4.2.2 b) iii. Evaluación de riesgos
Los riesgos identificados deben ser evaluados para dar prioridad a determinadas áreas de mayor exposición para la comisión de delitos en favor de la empresa. El identificar estos procesos por medio de una adecuada evaluación de riesgos permitirá enfocar de forma eficiente los recursos y esfuerzos del encargado de prevención al interior de la estructura empresarial (Balmaceda & Guerra, Políticas de prevención del delito en las empresas, 2014, p. 57).
Para evaluar los riesgos se utilizarán los parámetros de impacto y probabilidad en una escala de 1 a 5. Se entiende por «impacto» el efecto o el daño sobre la organización en caso de materializarse un riesgo y por «probabilidad» el nivel de certeza con que se puede materializar el riesgo. Para estos efectos se utilizan las siguientes escalas de evaluación:
iii.a. Escala de evaluación del impacto.
| Escala | Grado de impacto | Descripción del impacto |
| 5 | Catastrófico | El evento tendrá un efecto catastrófico (pérdidas de imagen, financieras y/u operacionales con un alto impacto a nivel de la organización). |
| 4 | Mayor | El evento tendrá efectos considerables para la organización (pérdidas de imagen, financieras y/u operaciones altas, con un impacto importante a nivel de la organización y relevante a nivel de la unidad). |
| 3 | Moderado | El evento tendrá efectos de mediana envergadura (pérdidas de imagen, financieras y/u operacionales de mediano impacto). |
| 2 | Menor | El evento tendrá efectos de menor envergadura que pueden ser asumidos sin mayores problemas por las unidades (pérdidas de imagen, financieras y/u operacionales de bajo impacto). |
| 1 | Bajo | El evento tendrá efectos poco significativos. |
iii.b. Escala de evaluación de probabilidad.
| Escala | Grado de probabilidad | Descripción de la probabilidad |
| 5 | Casi certeza | Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, un alto grado de seguridad que éste presente (90% a 100%). |
| 4 | Probable | Riesgo cuya probabilidad de ocurrencia es alta, es decir, entre 66% y 89% de seguridad que éste se presente. |
| 3 | Moderado | Riesgo cuya probabilidad de ocurrencia es media, es decir, entre 31% a 65% de seguridad que éste se presente. |
| 2 | Improbable | Riesgo cuya probabilidad de ocurrencia es baja, es decir, entre 11% a 30% de seguridad que éste se presente. |
| 1 | Muy improbable | Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, entre 1% a 10% de seguridad que éste se presente. |
En la evaluación de los riesgos identificados deben participar representantes de todas las áreas de la empresa que sean relevantes respecto de las decisiones de administración y control de la organización. Esta evaluación de riesgo recae en integrantes que tengan un conocimiento acabado de los riesgos a ser discutidos y tengan la autoridad para tomar decisiones relativas a las estrategias de control y otras formas de administración de los riesgos al interior de la estructura empresarial.