La Prevención de Lavado de Activos, aplicado sobre el Enfoque de la Gestión de Riesgos en las Instituciones Financieras.

Ing. Adriana Coello

Banco Centroamericano de

Integración Económica

(BCIE)

Contenido

Estándares Internacionales

Un Sistema de Prevención Basado en Riesgo

Apetito de Riesgo

Algunas Reflexiones Finales

• Es muy fácil explicar el pasado.

• Es muy difícil predecir el futuro.

• Cuando miramos un evento que ha

ocurrido, seguramente no era conocido en

el momento en que ocurrió.

• Es más fácil mirar el pasado y decir por

qué pasó, que predecir qué va a pasar.

• Las herramientas o modelos nos sirven

para lidiar con la incertidumbre. Utilizar

estas herramientas para tratar de entender

la aleatoriedad y manejar el riesgo.

“Si no atacas activamente tus riesgos, éstos te

atacarán activamente a tí.” -Tom Gib

“El riesgo es como el fuego: si es controlado te

ayudará; si no es controlado te destruirá.” -

Theodore Roosevelt

“Hasta una decision correcta es incorrecta cuando es tomada muy tarde.” - Lee Iacocca

¿Cuál es el propósito de la gestión de

riesgos?

ADMINISTRACIÓN DEL

RIESGO DE LA/FT

ADMINISTRACIÓN DE LOS RIESGOS

FINANCIEROS

Sus mecanismos se dirigen a

prevenirlo, detectarlo y reportarlo

(oportuna y eficazmente).

Sus mecanismos se dirigen a

medirlos, asumirlos íntegra o

parcialmente en función del perfil

de riesgo de la entidad y la

relación rentabilidad / riesgo.

Estándares Internacionales

Estándares para la Gestión de Riesgo

Modelo

AS/NZS

COSO

2013

GUIAS

GAFI

NORMAS TÉCNICAS

ISO 31000

BASILEA

Gestión del Riesgo

Las organizaciones de todos los tipos y tamaños se enfrentan a factores

internos y externos y las influencias que hacen incierto alcanzar sus objetivos.

ISO 31000:2009

RIESGO El efecto de la incertidumbre sobre los objetivos.

GESTION

DE RIESGO

Actividades coordinadas para dirigir y controlar una

organización con respecto al riesgo.

Perm

ite

Aumentar la

probabilidad de lograr

objetivos.

Mejora la

identificación de

oportunidades y

amenazas.

Establecer una base

confiable para la toma

de decisiones y la

planificación.

Mejora la gobernanza. Mejora los controles.

Mejora la eficacia

operacional y

eficiencia.

Gestión del Riesgo

ISO 31000:2009

a) Crea valor y protege

b) Es una parte integral de

los procesos de la

organización

c) Es una parte de la toma

de decisiones

d) Se aborda expresamente

la incertidumbre

e) Es sistemática,

estructurada y oportuna

f) Se basa en la mejor

información disponible

g) A la medida

h) Toma en cuenta los

factores culturales

i) Es transparente e

inclusiva

j) Es dinámica, interactiva y

facilita la respuesta al

cambio

k) Facilita la mejora continua

de la organización

Principio de la gestión de

riesgo (Cláusula 3)

Marco para la gestión del riesgo

(Cláusula 4)

Mandato y

compromiso

(4.2)

Diseño de

marco para

manejar riesgo

(4.3)

Continua

mejora del

marco

(4.6)

Aplicación de

gestión de

riesgo

(4.4)

Seguimiento y

revisión del

marco

(4.5)

Proceso de Gestión del riesgo

(Cláusula 5)

Establecer el contexto (5.3)

Com

un

icació

n y

co

nsu

lta (5

.2)

Con

trol y

Revis

ión

(5.6

)

Evaluación del riesgo (5.4)

Identificación de riesgos

(5.4.2)

Análisis de riesgos

(5.4.3)

Evaluación de riesgos

(5.4.4)

Tratamiento del riesgo (5.5)

40 Recomendaciones del GAFI

FATF/GAFI

1. Evaluación de riesgos y aplicación de un enfoque basado en riesgo

Los países deben identificar, evaluar y entender sus riesgos de lavado de

activos/financiamiento del terrorismo, y deben tomar acción, incluyendo la designación de una

autoridad o mecanismo para coordinar acciones para evaluar los riesgos, y aplicar recursos

encaminados a asegurar que se mitiguen eficazmente los riesgos. Con base en esa evaluación,

los países deben aplicar un enfoque basado en riesgo (RBA, por sus siglas en inglés) a fin

de asegurar que las medidas para prevenir o mitigar el lavado de activos y el financiamiento del

terrorismo sean proporcionales a los riesgos identificados. Este enfoque debe constituir un

fundamento esencial para la asignación eficaz de recursos en todo el régimen antilavado de

activos y contra el financiamiento del terrorismo (ALA/CFT) y la implementación de medidas

basadas en riesgo en todas las Recomendaciones del GAFI. Cuando los países identifiquen

riesgos mayores, estos deben asegurar que sus respectivos regímenes ALA/CFT aborden

adecuadamente tales riesgos. Cuando los países identifiquen riesgos menores, estos pueden

optar por permitir medidas simplificadas para algunas Recomendaciones del GAFI bajo

determinadas condiciones.

Los países deben exigir a las instituciones financieras y actividades y profesiones no

financieras designadas (APNFD) que identifiquen, evalúen y tomen una acción eficaz para

mitigar sus riesgos de lavado de activos y financiamiento del terrorismo.

40 Recomendaciones del GAFI

FATF/GAFI

NOTA INTERPRETATIVA DE LA RECOMENDACIÓN 1

(EVALUACIÓN DE RIESGOS Y APLICACIÓN DE UN ENFOQUE BASADO EN RIESGO)

Al implementar un RBA, las instituciones financieras y las APNFD deben tener establecidos

procesos para identificar, evaluar, monitorear, administrar y mitigar los riesgos de lavado

de activos y financiamiento del terrorismo. El principio general de un RBA es que, cuando

existan riesgos mayores, los países deben exigir a las instituciones financieras y a las APNFD

que ejecuten medidas intensificadas para administrar y mitigar esos riesgos; y que, por su

parte, cuando los riesgos sean menores, puede permitirse la aplicación de medidas

simplificadas.

Un Sistema de Prevención Basado en

Riesgo

Gestión del Riesgo LA-FT

El Principio 29 de los Principios Básicos para una Supervisión Bancaria Eficaz (septiembre de 2012) establece que todos los bancos estarán obligados a «contar con políticas y procesos adecuados, incluidas estrictas reglas de debida diligencia con la clientela (CDD), para promover normas éticas y profesionales de alto nivel en el sector bancario e impedir que el banco sea utilizado, intencionalmente o no, con fines delictivos»

Evaluación, comprensión, gestión y mitigación de riesgos

Política de aceptación de clientes

Identificación, verificación y elaboración del perfil de riesgo de clientes y beneficiarios efectivos

Seguimiento continuo

Gestión de la información

Notificación de operaciones sospechosas y bloqueo de activos

1 2 3

4 5 6

Elementos Esenciales de una Sólida Gestión del Riesgo LA/FT

Evaluación, comprensión, gestión y mitigación de riesgos 1 Evaluación y comprensión de los riesgos

Considerar todos los factores de riesgo relevantes (inherentes y residuales) para determinar su perfil de riesgo y el adecuado nivel de mitigación que se aplicará.

Desarrollar un conocimiento minucioso de los riesgos inherentes a su base de clientes, productos, canales de distribución y servicios ofrecidos y en las jurisdicciones en las que él o sus clientes realizan negocios.

Mecanismos de gobierno adecuados

Papel del Consejo de Administración

Responsable ejecutivo de prevención LA/FT

Las tres líneas de defensa

Adecuado sistema de seguimiento de transacciones

Acorde con su tamaño, sus actividades y complejidad, así como con los riesgos presentes en la entidad.

Unidades de

negocio

Responsable

ejecutivo de

prevención LA/FT

Auditoría

interna

BIS

Elementos Esenciales de una Sólida Gestión del Riesgo LA/FT

Política de aceptación de clientes 2

Identificar los tipos de clientes susceptibles de plantear un

mayor riesgo, conforme a la evaluación de riesgos del banco.

Al evaluar el riesgo, el banco deberá tener en

cuenta los factores pertinentes a la situación,

tales como:

• Antecedentes del cliente

• Ocupación (incluido si ocupa un puesto

relevante en el sector público o privado)

• Fuentes de renta y riqueza

• País de origen y de residencia

• Productos utilizados

• Naturaleza y finalidad de sus cuentas

• Cuentas vinculadas

• Actividades comerciales

• Otros indicadores de riesgo relacionados con el

cliente

- Diligencia debida básica

- Diligencia debida proporcionada

- Medidas Reforzadas

- Medidas Simplificadas

BIS

Identificación, verificación y elaboración del perfil de riesgo de clientes y beneficiarios efectivos 3

El banco deberá

implantar un

procedimiento

sistemático para

identificar y verificar a

sus clientes y, cuando

proceda, a cualquier

persona que actúe en

nombre de aquéllos y

de cualquier

beneficiario efectivo.

Verificar Identidad

Fuentes de

Información

Documentos

Perfil y

Conducta del

Cliente

Control

de Listas Custodia

Naturaleza

y Nivel de

Riesgo

Categorías

de

Clientes

Monitoreo

BIS

Elementos Esenciales de una Sólida Gestión del Riesgo LA/FT

Seguimiento continuo 4 “El banco solo puede gestionar eficazmente sus riesgos si conoce la actividad

bancaria razonable y normal de sus clientes y puede de ese modo identificar

transacciones intentadas y anómalas que trascienden los patrones habituales de

la actividad bancaria. Sin este conocimiento, el banco probablemente no

podrá cumplir con su obligación de identificar y notificar las transacciones

sospechosas a las autoridades competentes.”

Sistemas para detectar transacciones o patrones de actividad anómalos o

sospechosos

Diseñar escenarios

Aplicar políticas y procedimientos reforzados de diligencia debida a los

clientes que haya identificado como de alto

riesgo

Sistemas integrados de gestión de la información,

proporcionados a su tamaño, estructura

organizativa o complejidad.

Cotejar su(s) base(s) de datos de clientes cuando haya modificaciones en

los listados de sanciones

BIS

Elementos Esenciales de una Sólida Gestión del Riesgo LA/FT

Gestión de la información 5

Mantenimiento de Registros

(i) el registro de los documentos facilitados al banco al verificar la identidad del cliente o del beneficiario efectivo y ii) la transcripción en los propios sistemas TI del banco de la información relevante contenida en dichos documentos u obtenida por

otros medios.

Actualización de la Información

Fiabilidad, vigencia y relevancia

Suministro de Información a los Supervisores

Capacidad para demostrar a sus supervisores, a requerimiento de éstos, la

adecuación de sus sistemas, políticas y procedimientos.

BIS

Elementos Esenciales de una Sólida Gestión del Riesgo LA/FT

Notificación de operaciones sospechosas y bloqueo de activos 6

Notificación de Operaciones Sospechosas

Bloqueo de Activos

Identificación

Investigación

Notificación

La detección de terroristas no

es una medida de diligencia

debida sensible al riesgo, por

lo que deberá realizarse

independientemente del perfil

de riesgo atribuido al cliente.

BIS

Elementos Esenciales de una Sólida Gestión del Riesgo LA/FT

SARLAFT Colombiano

Políticas. •Son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el SARLAFT.

Procedimientos. •Procedimientos aplicables para la adecuada ejecución y funcionamiento de los elementos y las etapas del SARLAFT.

Estructura organizacional.

•Constituir y asignar las facultades y funciones a cargo de los órganos de dirección, gerencia, control y del oficial de cumplimiento

Infraestructura tecnológica.

•Tecnología y los sistemas necesarios para certificar la adecuada administración del riesgo de LA/FT. Para este deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño.

Órganos de control.

•Órganos e peticiones responsables de efectuar una evaluación del SARLAFT, a fin de que se puedan establecer sus fallas o debilidades e informarlas a las peticiones pertinentes.

Divulgación de información.

•Sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que certifique el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes.

Capacitación. •Diseñar, programar y coordinar planes de capacitación sobre el SARLAFT dirigidos a todas las áreas y funcionarios de la entidad.

SARLAFT

Proceso

ETAPAS

UNODC

Proceso

UNODC

Comprometer a los dueños y directivos del negocio

Determinar el contexto en el que se desenvuelve la

empresa

Determinar los factores de riesgo de LA/FT

Elaboración del diagnóstico del riesgo de LA/FT

Definición de las metodologías y herramientas

para la administración de riesgos de LA/FT

PASO 1

PASO 2

PASO 3

PASO 4

PASO 5

Proceso

UNODC

Identificar los eventos de riesgo y sus causas PASO 1

Proceso

UNODC

Determinar los criterios para la medición de

los riesgos

(PROBABILIDAD E IMPACTO)

PASO 1

Proceso

UNODC

Definir los controles para mitigar cada uno de

los eventos de riesgo

Definir los procedimientos para la aplicación de

los controles

Diseñar y aplicar un plan de tratamiento de los

riesgos de LA/FT

Seguimiento y control de las operaciones de las

contrapartes para efectos de la detección y

reporte de operaciones a las autoridades

PASO 1

PASO 2

PASO 3

PASO 4

Proceso

UNODC

Proveer un sistema de documentos y registros de

las etapas y elementos del Sistema de

Administración del Riesgo de LA/FT

Diseño y ejecución del programa de capacitación y

del plan de divulgación del Sistema de

Administración de Riesgo de LA/FT.

Divulgación de los controles para mitigar el riesgo

de LA/FT

Definir procedimientos para la imposición de

sanciones ante el incumplimiento de la aplicación de

controles

PASO 1

PASO 2

PASO 3

PASO 4

Proceso

UNODC

Definir procedimientos para la realización de

actividades de monitoreo o seguimiento del

Sistema de Administración del Riesgo de LA/FT.

PASO 1

Matriz de Riesgo LA/FT

“Las Matrices de Riesgo son una herramienta ampliamente utilizada en diversas actividades

que deben ponderar y gestionar riesgos.”

“La ventaja de este instrumento es que permite establecer un ranking cuantitativo y/o

cualitativo de los riesgos implícitos en una determinada operación en base a la información

disponible, estableciendo así un orden de prioridades. Una condición necesaria para poder

utilizar e interpretar este instrumento, consiste en definir previamente los umbrales de

tolerancia, delimitando las zonas de la tabla que indican mayores y menores riesgo

cualitativos, lo que generalmente se hace asignando colores a cada una de las celdas que

pertenecen a cada umbral.”

UIF Argentina

Matriz de Riesgo LA/FT

Legal Operativo Reputacional Contagio Diseño Implementación

Calificación

del Control

Nivel de

Exposición

(Riesgo

Residual)

Impacto

Evento de

RiesgoProbabilidad

Riesgo

Inherente

Nombre

del Control

Descripción

del Control

Evaluación del Control

Pro

ba

bil

ida

d

Impacto

Pro

ba

bil

ida

d

Impacto

Decálogo para la Adecuada Gestión de

Riesgo

1 Función de riesgos independiente y global, que asegura una adecuada

información para la toma de decisiones a todos los niveles

2 Objetividad en la toma de decisiones, incorporando todos los factores de

riesgo relevantes (tanto cuantitativos como cualitativos)

3 Gestión activa de la totalidad de la vida del riesgo, desde el análisis previo a

la aprobación hasta la extinción del riesgo

4 Procesos y procedimientos claros, revisados periódicamente en función de

las nuevas necesidades y con líneas de responsabilidad bien definidas

Gestión integrada de todos los riesgos mediante su identificación y

cuantificación, y gestión homogénea en base a una medida común 5

Decálogo para la Adecuada Gestión de

Riesgo

6

7

8

9 10

Diferenciación del tratamiento del riesgo, circuitos y procedimientos, de

acuerdo a las características del mismo

Generación, implantación y difusión de herramientas avanzadas de apoyo a la

decisión que, con un uso eficaz de las nuevas tecnologías, faciliten la gestión de

los riesgos

Descentralización de la toma de decisiones en función de las metodologías y

herramientas disponibles

Inclusión de la variable riesgo en las decisiones de negocio en todos los

ámbitos, estratégico, táctico y operativo

Alineación de los objetivos de la función de riesgos y de los individuos que

la componen con los de la Entidad, con el fin de maximizar la creación de valor

Oficial de Cumplimiento – Especialista

Multitarea

Tecnología Gestión de

Riesgo

La gestión de riesgos

ha cambiado desde

un enfoque en el

“costo de hacer

negocios”, hacia la

“creación de valor

con visión

estratégica”.

Apetito de Riesgo

Apetito de Riesgo

FÁBRICA DEL PENSAMIENTO, INTITUTO DE AUDITORES INTERNOS DE ESPAÑA

“El apetito es el nivel de riesgo que la empresa quiere aceptar y su tolerancia será la

desviación respecto a este nivel. La capacidad será el nivel máximo de riesgo que una

organización puede soportar en la persecución de sus objetivos.”

Apetito de Riesgo

FÁBRICA DEL PENSAMIENTO, INTITUTO DE AUDITORES INTERNOS DE ESPAÑA

Apetito de Riesgo

FÁBRICA DEL PENSAMIENTO, INTITUTO DE AUDITORES INTERNOS DE ESPAÑA

Apetito de Riesgo

FÁBRICA DEL PENSAMIENTO, INTITUTO DE AUDITORES INTERNOS DE ESPAÑA

FÁBRICA DEL PENSAMIENTO, INTITUTO DE AUDITORES INTERNOS DE ESPAÑA

Apetito de Riesgo

Reflexiones Finales

Reflexiones Finales

Importancia del estudio constante de marcos referenciales.

Construcción del Sistema para la Administración del Riesgo de LA-FT, acorde a naturaleza, tamaño, realidad y contexto de la entidad.

Importancia del Apetito de Riesgo y su dispersión a través de toda la organización.

Un Sistema para la Administración del Riesgo de LA-FT debe estar en constante seguimiento y evolución. Debe ser un modelo dinámico.

Preguntas

Muchas gracias.