Gestión del Riesgo de Soborno, punto de partida para una correcta implementación de un Sistema de Gestión Antisoborno
El punto de partida para una correcta implementación de un Sistema de Gestión Antisoborno (SGAS) es analizar el contexto en que se mueve la organización, así como sus partes interesadas, para definir en qué elementos de nuestros procesos debemos poner énfasis en el sistema (definición del alcance), así como valorar los riesgos, los controles existentes y los necesarios para mitigar los riesgos de soborno evaluado.
Contexto de la organización y partes interesadas
Definición del alcance
La organización debe determinar las cuestiones externas e internas que son pertinentes para su propósito y que afectan a su capacidad para lograr los objetivos previstos de su SGAS. Esto incluye:
- El tamaño, la estructura y los niveles de autoridad y decisión;
- Los lugares y sectores en los que opera;
- La naturaleza, escala y complejidad de las actividades y operaciones;
- El modelo de negocio;
- Las entidades sobre las que tiene el control y entidades que ejercen control sobre la organización;
- Los socios de negocios de la organización;
- La naturaleza y el alcance de las interacciones con los funcionarios públicos; y los deberes y obligaciones legales, reglamentarias, contractuales y profesionales aplicables
En cuanto a las partes interesadas se debe determinar:
- Las partes interesadas que son pertinentes al SGAS;
- Los requisitos pertinentes de estas partes interesadas.
De análisis del contexto y partes interesadas se determinan los límites y aplicabilidad del sistema y se establece el alcance. Es decir, no se puede previamente tener un alcance sin estas entradas, ya que podríamos dejar fuera del sistema procesos claves y que pueden representar un riesgo alto de soborno.
Evaluación del riesgo de soborno
Es importante recordar que la evaluación de los riesgos de soborno se debe hacer periódicamente considerando el contexto en el cual se gestiona la organización. El entorno es cambiante y se debe considerar este factor.
Se debe identificar el riesgo de soborno que la organización podría anticipar razonablemente, analizar, evaluar y priorizar los riesgos de soborno identificados. El siguiente elemento que debemos considerar es la idoneidad y eficacia de los controles existentes dentro de la organización para mitigar los riesgos de soborno evaluados.
La metodología por lo tanto debería permitirnos identificar, analizar y evaluar esos riesgos. El análisis incluye normalmente la estimación de las posibles consecuencias que podrían derivar del soborno y las probabilidades asociadas.
Riesgo = Impacto (consecuencias) x Probabilidad de Ocurrencia
El grado de detalle requerido dependerá de la disponibilidad de datos fiables y de la necesidad de toma de acciones. Se sugiere que se establezcan criterios para eliminar la subjetividad.
Una vez valorado del riesgo deberemos y en base a una matriz de decisión, deberemos evaluar la eficacia de los controles existentes, y proponer las acciones definitivas a considerar, en base al nuevo puntaje obtenido. Los controles pueden mitigar ya sea impacto u ocurrencia.
La evaluación del riesgo de soborno debe ser revisada, de forma regular de modo que los cambios y la nueva información puedan evaluarse adecuadamente, con base en el tiempo y la frecuencia definidos por la organización.
Una vez que se definieron acciones, es importante evaluar la eficacia de las acciones y que de su implementación tengamos evidencia objetiva de que se logró mitigar los riesgos de soborno.
La evaluación del riesgo de soborno no debe ser un ejercicio extenso o demasiado complejo. Debemos tener presente que los resultados de la evaluación no van a ser necesariamente correctos, debido a la incertidumbre ligada a estos procesos. En la medida que sea razonablemente posible, los resultados de la evaluación del riesgo de soborno deberían reflejar los riesgos de soborno reales que enfrenta la organización.
El ejercicio debe diseñarse como una herramienta para ayudar a la organización a evaluar y priorizar el riesgo de soborno, y debe examinarse y revisarse de manera regular con base en los cambios en la organización o en las circunstancias, así como las tecnologías existentes y la experiencia adquirida en el proceso.
Elaborado por: Ing. César Díaz, Corporación 3D