Metodología de supervisión con enfoque basado en riesgos

Parte I.

Ante la constante amenaza que tenemos de los delitos de Lavado de Activos (LA), Financiación del Terrorismo (FT), y Financiamiento de la Proliferación de Armas de Destrucción Masiva (FPADM), nos llevan a realizar actividades especiales para garantizar al interior de nuestras organizaciones e instituciones la prevención. Esto también ha llevado a que muchas iniciativas de seguridad mundial también entren a proponer en sus normas en la adopción de un enfoque de supervisión basado en riesgos LA/FT, que busca a través del liderazgo y compromiso fortalecer la cultura de seguridad, como nos trae la Norma BASC versión 6:2022, pero revisemos en que consiste en la siguiente manera:

I. Concepto de Enfoque Basado en Riesgos de Lavado de Activos y Financiamiento del Terrorismo (LA/FT/FPADM).

Enfoque Basado en Riesgos de Lavado de Activos y Financiamiento del Terrorismo (LA/FT), de acuerdo a los Estándares Internacionales sobre la Lucha contra el Lavado de Activos, el Financiamiento del Terrorismo y el Financiamiento de la Proliferación de Armas de Destrucción Masiva (FPADM), del Grupo de Acción Financiera Internacional (GAFI), deben ser aplicados por los países adheridos.
Con la finalidad de asegurar que las medidas para prevenir o mitigar el lavado de activos y el financiamiento del terrorismo sean proporcionales a los riesgos identificados, el “Enfoque Basado en Riesgo” les permite a las organizaciones:

1. Evaluar el nivel de exposición a los riesgos de LA/FT/FPADM por cada producto, servicio, cliente, área
   geográfica y canales de distribución;
2. Medir la eficiencia y efectividad de los controles internos establecidos para mitigar tales riesgos;
3. Determinar el nivel de riesgo residual de la organización
4. Identificar oportunidades de mejora en los procesos y controles internos.

II. Sujetos Obligados

Con la finalidad de asegurar que las medidas para prevenir o mitigar el lavado de activos y el financiamiento
del terrorismo sean proporcionales a los riesgos identificados

Gestión de Riesgos

Los sujetos obligados deben implementar una metodología que les permita, de manera oportuna, identificar, medir, controlar, mitigar y monitorear los eventos potenciales de riesgos de lavado de activos y el financiamiento del terrorismo.

Sistema de Control Interno – Modelo de las tres (3) líneas de defensa

1. Comprometer los accionistas y directivos de la organización: debe constar en el código de ética, actas, manuales o documentos institucionales.
2. Determinar el contexto en el que opera la organización: normativa aplicable, objetivos y estrategias, sistema de gestión y administración, y estructura organizacional.
3. Definir las herramientas, técnicas y fuentes de información: implementación de la metodología de gestión de riesgos.

Marco de Gestión de Riesgos: políticas, procedimientos, controles, estructura organizacional y metodologías para la identificación, medición, control mitigación y monitoreo de los eventos potenciales
de riesgos de LA/FT.

Factores de Riesgo:

1. Productos y servicios
2. Base de clientes
3. Áreas geográficas
4. Canales de distribución

Al evaluar los riesgos de LA/FT, la organización deberá considerar todos los factores de riesgo relevantes, a escala nacional, sectorial y de relación comercial, para determinar su perfil de riesgo, y en consecuencia, determinar las medidas de mitigación y control que se aplicarán.

Identificación

Para identificar los eventos de riesgo y sus causas, se debe tener en cuenta:

1. Enumerar los eventos de riesgo: determinar los eventos de riesgo en cada una de las etapas del respectivo proceso o relación contractual, ya sea con clientes, relacionados, empleados, proveedores, entre otros.
2. Definir ¿Qué puede suceder?: listar los posibles incidentes o acontecimientos, derivados de una fuente interna o externa, que pueden ser generadores de un riesgo asociado al LA/FT.
3. Determinar ¿Cómo y por qué puede suceder?: identificar las circunstancias que podrían materializar el riesgo, por lo tanto, se expresan los riesgos en términos de consecuencia, considerando las causas que pueden generarlo.

Base de Clientes: identificar la naturaleza y el perfil de riesgo de la base de clientes de la organización (residentes, no residentes, extranjeros, PEP´s, ONG, APNFD, negocios con alto volumen de dinero en efectivo, operaciones, etc.).

Áreas Geográficas: identificar las actividades o relaciones comerciales que involucren jurisdicciones o localidades tipificadas como de alto riesgo, o con un alto volumen de criminalidad.

Canales de distribución: identificar vulnerabilidades asociadas a los distintos medios que los clientes de la organización utilizan para acceder a sus productos y servicios, y de los métodos utilizados para establecer una relación con los mismos.

Identificar la existencia de productos, servicios, clientes, áreas geográficas y canales de distribución, con mayores niveles de vulnerabilidad, señalados en la Evaluación Nacional de Riesgo o en informes de organismos internacionales.

La etapa de identificación deberá:

1. Permitir que la organización identifique los eventos potenciales de riesgos de LA/FT
   asociados a su base de clientes, productos y servicios, canales de distribución y áreas geográficas, considerando las características propias de cada factor;
2. Estar apoyada en recursos tecnológicos, con el debido soporte matemático y estadístico, considerando el volumen y tipo de información relacionada; e
3. Involucrar diferentes técnicas de obtención de información (datos sobre operaciones y transacciones, evaluación nacional de riesgo, informes de organismos internacionales, entre otros).

Medición

Esta etapa tiene como principal objetivo clasificar los riesgos e identificar la probabilidad de ocurrencia y su impacto.

• La medición se lleva a cabo sobre cada uno de los eventos de riesgo identificados en la etapa anterior.
• Involucra calcular la cantidad de veces que un riesgo puede ocurrir en la organización, en un plazo de tiempo determinado (normalmente un año) sobre el total de eventos identificados, y determinar cómo la ocurrencia de los riesgos afectaría los objetivos de la organización.
• La probabilidad y el impacto se combinan para determinar el nivel de riesgo.

Control y Mitigación

En esta etapa, las organizaciones deberán:

1. Tomar medidas orientadas a controlar los riesgos.
2. Detectar operaciones inusuales.
3. Proveer un sistema efectivo, eficiente y oportuno de reportes, tanto internos como externos, que garantice el funcionamiento de los procedimientos de la organización y los requerimientos de las
   autoridades competentes; y
4. Diseñar y aplicar procedimientos para el seguimiento y control de las operaciones de los clientes, relacionados, empleados, entre otros, para efectos de la detección y reporte de operaciones sospechosas a las autoridades.

En esta etapa es importante:

1. Implementar controles de prevención y detección:
   a. Controles de prevención: se aplican sobre la causa del riesgo y su agente generador, con el fin de disminuir la posibilidad de ocurrencia.
   b. Controles de detección: son alarmas que se accionan frente a una situación anormal.
2. Conocer el mercado y las tipologías de LA/FT; y
3. Definir cuáles serán las señales de alerta.

Monitoreo

1. Desarrollar un proceso de seguimiento continuo y efectivo que facilite la rápida detección y corrección de las deficiencias del marco de gestión de riegos de LA/FT;
2. Determinar si los controles implementados incluyen todas las fuentes de eventos potenciales de riesgos de LA/FT y funcionan de forma oportuna, efectiva y eficiente;
3. Asegurar que el perfil de riesgo residual de LA/FT se encuentre en los niveles de tolerancia establecidos por el Alta Gobernanza o quien haga sus veces; y
4. Permitir a la Alta Gobernanza o quien haga sus veces y a la Alta Gerencia identificar y mitigar, rápidamente, las deficiencias en los controles de la organización.

El programa de cumplimiento basado en los riesgos de lavado de activos y financiamiento del terrorismo (LA/FT), deberá ser:

1. Aprobado y formalizado por la Alta Gobernanza o quien haga sus veces;
2. Diseñado sobre la base de los resultados obtenidos del proceso de evaluación de gestión de riesgos de LA/FT;
3. Evaluado de forma continua e independiente, procurando su actualización, cuando corresponda; y
4. Libre de conflicto de intereses e influencia indebida

Fuente: Comparte Carlos Boshell