Por: Javier Fernando Klus, MBA, CIA. Colaborador de Auditool
Con el fin de establecer un sistema de gestión de riesgos de LA/FT/FPADM se pueden establecer los siguientes pasos:
1. El primer aspecto fundamental, es identificar los riesgos relacionados con LA/FT/FPADM, para esto la empresa debe establecer una matriz de riesgos basada principalmente en: ¿Qué puede suceder en materia de LA/FT/FPADM?.
Un ejemplo de matriz de riesgo podría ser la siguiente:
2. Una vez identificado los riesgos que tengan que ver con esta temática, el segundo paso será la medición o evaluación de los riesgos de LA/FT/FPADM. Para esto utilizaremos los elementos generalmente definidos para cualquier análisis de riesgos, la probabilidad de ocurrencia es definido como la posibilidad de que las fuentes potenciales de riesgo lleguen a materializarse. El otro elemento es el impacto, definido como el nivel de pérdida o daño que podría resultar en el caso de materializarse el riesgo de LA/FT/FPADM. Estos dos elementos combinados nos darán la severidad del riesgo.
Esto lo podremos estar expresando a través de una escala que podrá ser, por ejemplo: No significativo, Menor, Medio y Mayor y a través de una ponderación que estará dada por la fórmula:
Riesgo Inherente (RI): Valor probabilidad * Valor Impacto
El resultante será una matriz como la siguiente:
- Por su naturaleza
Controles Preventivos
Controles Detectivos - Por su forma
Controles Manuales
Controles Automáticos - Por estado de implementación
Implementado
En desarrollo
Inexistente
4. Como último aspecto de este análisis de riesgo y evaluación de situación deberemos establecer el riesgo residual el cual surge de la siguiente fórmula:
Riesgo Residual (RR)= Nivel de Riesgo Inherente * Nivel de Calificación de Riesgos
El nivel de calificación del riesgo no es ni más, ni menos, que la calificación asignada al riesgo una vez implementado un marco de control. En síntesis, el concepto de riesgo residual sería el riesgo remanente que aún permanece una vez implementado un sistema de control.
A través de estos sencillos pasos podremos finalmente tener mapeados en una matriz los riesgos relacionados con LA/FT/FPADM, así como, los controles que direccionan a dichos riesgos y finalmente el riesgo residual existente, el cual, es el grado de exposición que dicha organización tendrá a esos riesgos una vez implementado un sistema de control interno. La organización con base en este nivel de riesgo residual definirá si ese nivel de riesgo es aceptable o debe implementar nuevos controles.
Javier Fernando Klus, MBA, CIA.
Javier Klus fue gerente de auditoría en PwC Argentina con más de 12 años de experiencia profesional trabajando en la evaluación de entornos de control interno para empresas líderes en la industria energética. Se ha especializado en la evaluación de riesgos y controles y en el diseño e implementación de controles para el ciclo de adquisiciones. También ha liderado compromisos importantes en las áreas de revisiones de sistemas de implementación previas y posteriores; diseño e implementación de políticas y procedimientos para el área financiera, evaluación de riesgos y control de ERP y proyectos de preparación de Sarbanes Oxley. Especialidades: Auditoría de Sistemas y Procesos, Gestión de Proyectos, Auditoría Interna, Cumplimiento SARBOX. Colaborador de Auditool