El riesgo de soborno está presente en el día a día de muchas organizaciones. Ante ello, la mejor forma de evitarlo y prevenir que ese riesgo se materialice, es mediante un proceso de identificación del riesgo en la empresa.
Tabla de contenidos
El proceso de identificación de los riesgos
Para llevar a cabo la identificación del riesgo de soborno en una organización, en primer lugar, es necesario hacer un análisis de la gestión de activos. La ISO IEC 27005:2018 proporciona las directrices para poder estructurar, documentar y mantener la seguridad de la información en cualquier organización.
Identificación de activos primarios y secundarios
Esta normativa recomienda empezar por identificar los tipos de activos y hace una división entre primarios y secundarios. Los activos primarios incluyen el proceso y la información. Por otro lado, los activos secundarios incluyen el hardware, el software, redes, sitio, estructura organizacional y personas.
Todos estos activos contienen informaciones, datos personales, aplicaciones, o programas, que puedan ser utilizados como elemento de soborno. Cualquier organización que tenga establecido una gestión de activos eficiente podrá soportar cualquier tipo de sistema de gestión como, por ejemplo, un sistema de gestión antisoborno, de calidad, de riesgos, etc.
Estudio de vulnerabilidad
Una vez se tienen identificados los activos, el siguiente paso es precisar la frecuencia con que pueden aparecer los riesgos mediante el estudio de vulnerabilidad. En este mismo punto, se debe realizar un estudio de la probabilidad de que existan estos riesgos, además de estudiar las pérdidas.
Como ejemplo, en el caso de que la información que se quiera sustraer para realizar el soborno la tenga una persona, la frecuencia con que puede ocurrir este riesgo es menor. En cambio, si los datos están en una aplicación, en un software o hardware, la frecuencia del riesgo aumentar muchísimo.
Identificación de las amenazas
En la prevención de los sobornos, existen diferentes tipos de amenazas para la organización. Existen las ambientales, accidentales y las deliberadas. Estas últimas son las que se deben tener en cuenta en el momento de identificar el riesgo de soborno.
Las amenazas deliberadas ocurren cuando las personas van con la intención premeditada de cometer un acto de soborno o fraude. Aprovecharán cualquier vulnerabilidad que la empresa no haya identificado. Un ejemplo podría ser la sustracción de un disco duro que no está bajo vigilancia o bien entrar en la cuenta de un ordenador que no tiene una clave de seguridad.
El análisis del riesgo de soborno
La mejor forma de prevenir el riesgo de soborno en una empresa es mediante un enfoque orientado a la incertidumbre. Para esto es preciso identificar todo lo que ya ha sucedido, como ataques informáticos, sustracciones, etc. Y también tener en cuenta cualquier escenario que pudiera ocurrir.
Por ese motivo, también es necesario analizar el riesgo de soborno dentro de la empresa mediante un mapa de calor con probabilidades y consecuencias. Para complementarlo, se tendrá que justificar el porqué de cada consecuencia y probabilidad, para finalmente llevar a cabo la valoración de cada riesgo.
Existen riesgos aceptados y no aceptados. Los aceptados suelen ser los que tienen un riesgo bajo y se deben revisar una vez al mes. Por otro lado, los riesgos no aceptados son los que pueden afectar más a la organización y se debe realizar un plan de tratamiento.
Formación para poder identificar el riesgo de soborno
Todo tipo de organización, sea cual sea su naturaleza, sector o tamaño, opera bajo el riesgo de poder vivir un soborno. Los gestores de riesgo son los encargados en poder prevenir estos hechos, mediante el proceso detallado en este artículo.
EALDE Business School ha diseñado una nueva formación totalmente impartida online para preparar a los profesionales en este ámbito. El Máster en Compliance, Fraude y Blanqueo aborda la gestión de riesgos y cómo estos podrían llegar a afectar a las organizaciones. Los alumnos trabajarán las normas ISO 31000, ISO 37301 y también la normativa española UNE 37301.
Puedes obtener más información sobre el Máster en Compliance, Fraude y Blanqueo de EALDE Business School haciendo clic en el siguiente enlace:
Si te ha resultado útil este artículo te animamos a compartirlo entre tus contactos, y a complementar la información con este webinar grabado:
0 comentarios