Metología de supervisión con enfoque basado en riesgos (EBR) del lavado de activos y financiamiento del terrorismo
I. Concepto de Enfoque Basado en Riesgos de Lavado de Activos y Financiamiento del Terrorismo (LA/FT)
Enfoque Basado en Riesgos de Lavado de Activos y Financiamiento del Terrorismo (LA/FT). De acuerdo a los Estándares Internacionales sobre la Lucha contra el Lavado de Activos, el Financiamiento del Terrorismo, y el Financiamiento de la Proliferación de Armas de Destrucción Masiva, del Grupo de Acción Financiera Internacional (GAFI), los países deben aplicar un enfoque basado en riesgo (EBR).
Con la finalidad de asegurar que las medidas para prevenir o mitigar el lavado de activos y el financiamiento del terrorismo sean proporcionales a los riesgos identificados.
El “Enfoque Basado en Riesgo” les permite a las organizaciones:
- Evaluar el nivel de exposición a los riesgos de LA/FT por cada producto, servicio, cliente, área geográfica y canales de distribución;
- Medir la eficiencia y efectividad de los controles internos establecidos para mitigar tales riesgos;
- Determinar el nivel de riesgo residual de la organización
- Identificar oportunidades de mejora en los procesos y controles internos.
II. Sujetos Obligados
Con la finalidad de asegurar que las medidas para prevenir o mitigar el lavado de activos y el financiamiento del terrorismo sean proporcionales a los riesgos identificados.
GESTIÓN DE RIESGOS
Los sujetos obligados deben implementar una metodología que les permita, de manera oportuna, identificar, medir, controlar, mitigar y monitorear los eventos potenciales de riesgos de lavado de activos y el financiamiento del terrorismo.
Sistema de Control Interno – Modelo de las tres (3) líneas de defensa
Modelo de las tres (3) líneas de defensa – Bases para su implementación
- Comprometer los accionistas y directivos de la organización: debe constar en el código de ética, actas, manuales o documentos institucionales.
- Determinar el contexto en el que opera la organización: normativa aplicable, objetivos y estrategias, sistema de gestión y administración, y estructura organizacional.
- Definir las herramientas, técnicas y fuentes de información: implementación de la metodología de gestión de riesgos.
Marco de Gestión de Riesgos: políticas, procedimientos, controles, estructura organizacional y metodologías para la identificación, medición, control mitigación y monitoreo de los eventos potenciales de riesgos de LA/FT.
Factores de Riesgo:
- Productos y servicios
- Base de clientes
- Áreas geográficas
- Canales de distribución
Al evaluar los riesgos de LA/FT, la organización deberá considerar todos los factores de riesgo relevantes, a escala nacional, sectorial y de relación comercial, para determinar su perfil de riesgo, y en consecuencia, determinar las medidas de mitigación y control que se aplicarán.
Identificar los eventos de riesgo y sus causas:
- Enumerar los eventos de riesgo: determinar los eventos de riesgo en cada una de las etapas del respectivo proceso o relación contractual, ya sea con clientes, relacionados, empleados, proveedores, entre otros.
- Definir ¿Qué puede suceder?: listar los posibles incidentes o acontecimientos, derivados de una fuente interna o externa, que pueden ser generadores de un riesgo asociado al LA/FT.
- Determinar ¿Cómo y por qué puede suceder?: identificar las circunstancias que podrían materializar el riesgo, por lo tanto, se expresan los riesgos en términos de consecuencia, considerando las causas que pueden generarlo.
IDENTIFICACIÓN:
Base de Clientes: identificar la naturaleza y el perfil de riesgo de la base de clientes de la organización (residentes, no residentes, extranjeros, PEP´s, ONG, APNFD, negocios con alto volumen de dinero en efectivo, operaciones, etc.).
Áreas Geográficas: identificar las actividades o relaciones comerciales que involucren jurisdicciones o localidades tipificadas como de alto riesgo, o con un alto volumen de criminalidad.
Canales de distribución: identificar vulnerabilidades asociadas a los distintos medios que los clientes de la organización utilizan para acceder a sus productos y servicios, y de los métodos utilizados para establecer una relación con los mismos.
Identificar la existencia de productos, servicios, clientes, áreas geográficas y canales de distribución, con mayores niveles de vulnerabilidad, señalados en la Evaluación Nacional de Riesgo o en informes de organismos internacionales.
La etapa de identificación deberá:
- Permitir que la organización identifique los eventos potenciales de riesgos de LA/FT asociados a su base de clientes, productos y servicios, canales de distribución y áreas geográficas, considerando las características propias de cada factor;
- Estar apoyada en recursos tecnológicos, con el debido soporte matemático y estadístico, considerando el volumen y tipo de información relacionada; e
- Involucrar diferentes técnicas de obtención de información (datos sobre operaciones y transacciones, evaluación nacional de riesgo, informes de organismos internacionales, entre otros).
Esta etapa tiene como principal objetivo clasificar los riesgos e identificar la probabilidad de ocurrencia y su impacto.
- La medición se lleva a cabo sobre cada uno de los eventos de riesgo identificados en la etapa anterior.
- Involucra calcular la cantidad de veces que un riesgo puede ocurrir en la organización, en un plazo de tiempo determinado (normalmente un año) sobre el total de eventos identificados, y determinar cómo la ocurrencia de los riesgos afectaría los objetivos de la organización.
- La probabilidad y el impacto se combinan para determinar el nivel de riesgo.
En esta etapa, las organizaciones deberán:
- Tomar medidas orientadas a controlar los riesgos.
- Detectar operaciones inusuales.
- Proveer un sistema efectivo, eficiente y oportuno de reportes, tanto internos como externos, que garantice el funcionamiento de los procedimientos de la organización y los requerimientos de las autoridades competentes; y
- Diseñar y aplicar procedimientos para el seguimiento y control de las operaciones de los clientes, relacionados, empleados, entre otros, para efectos de la detección y reporte de operaciones sospechosas a las autoridades.
En esta etapa es importante:
- Implementar controles de prevención y detección:
- Controles de prevención: se aplican sobre la causa del riesgo y su agente generador, con el fin de disminuir la posibilidad de ocurrencia.
- Controles de detección: son alarmas que se accionan frente a una situación anormal.
- Conocer el mercado y las tipologías de LA/FT; y
- Definir cuáles serán las señales de alerta.
- Desarrollar un proceso de seguimiento continuo y efectivo que facilite la rápida detección y corrección de las deficiencias del marco de gestión de riegos de LA/FT;
- Determinar si los controles implementados incluyen todas las fuentes de eventos potenciales de riesgos de LA/FT y funcionan de forma oportuna, efectiva y eficiente;
- Asegurar que el perfil de riesgo residual de LA/FT se encuentre en los niveles de tolerancia establecidos por el Alta Gobernanza o quien haga sus veces; y
- Permitir a la Alta Gobernanza o quien haga sus veces y a la Alta Gerencia identificar y mitigar, rápidamente, las deficiencias en los controles de la organización.
El programa de cumplimiento basado en los riesgos de lavado de activos y financiamiento del terrorismo (LA/FT), deberá ser:
- Aprobado y formalizado por la Alta Gobernanza o quien haga sus veces;
- Diseñado sobre la base de los resultados obtenidos del proceso de evaluación de gestión de riesgos de LA/FT;
- Evaluado de forma continua e independiente, procurando su actualización, cuando corresponda; y
- Libre de conflicto de intereses e influencia indebida.
EL PROGRAMA DE CUMPLIMIENTO
El programa de cumplimiento deberá traducirse en reglas de conducta y procedimientos que orienten la actuación de la organización, sus accionistas, Miembros la Alta Gobernanza o quien haga sus veces, Alta Gerencia y demás personal, así como sus sucursales o agencias y demás relacionados.
Evaluación de Riesgos
Lineamientos y procedimientos para determinar el perfil de riesgo de la base de clientes de la organización y establecer el tipo de debida diligencia a realizar (simplificada o ampliada), de acuerdo a:
- Productos o servicios ofrecidos, nivel y naturaleza del riesgo de los clientes, usuarios y beneficiarios finales;
- Propósito de la relación comercial;
- Volumen y tipo de operaciones/dinero involucrado;
- Actividad comercial y fuentes de ingresos de los clientes y beneficiarios finales;
- Tipo y cantidad de operaciones/ transacciones a realizar; y
- Canales de distribución y áreas geográficas involucradas, entre otros.
Adicionalmente, establecer procedimientos para la determinación del riesgo asociado a sus accionistas, miembros de la Alta Gobernanza o quien haga sus veces, alta gerencia y demás empleados, proveedores de servicios tercerizados, entre otros. Las evaluaciones deberán estar sustentadas en matrices de riesgos.
Contratación y Capacitación
Las organizaciones deberán implementar políticas, procedimientos y controles para asegurar que el personal de dirección, gestión y operación sea idóneo y adecuado.
Las organizaciones deberán contratar cuidadosamente y vigilar la conducta de su personal, en especial los que desempeñen cargos relacionados con el manejo de clientes, recepción de dinero y control de información, mediante la implementación de un programa “Conozca a su Empleado”, con la finalidad de:
- Conocer sus antecedentes;
- Identificar posibles conflictos de interés; y
- Medir la susceptibilidad que presenta el personal de dirección, gestión y operación para tomar parte en una operación de LA/FT.
Igualmente, deberá establecer políticas, procedimientos y controles respecto a sus proveedores de servicios tercerizados.
Las organizaciones deberán implementar programas de capacitación a la totalidad personal de dirección, gestión y operación, orientados a fomentar la prevención del lavado de activos y el financiamiento del terrorismo. Dichos programas deberán:
- Ser diseñados en colaboración con el Oficial de Cumplimiento y aprobados por la Alta Gobernanza o quien haga sus veces.
- Adaptar el contenido y la periodicidad del entrenamiento acorde al perfil de riesgo de la organización y a las necesidades propias de cada área; y
- Ser extensivo al personal de las sucursales y agencias. El contenido deberá cubrir las exigencias normativas, así como las políticas, procedimientos y controles asociados a la gestión de los riesgos de LA/FT. Igualmente, el contenido deberá informar las sanciones correspondientes por incumplimientos a las políticas internas y las exigencias normativas.
Régimen de Sanciones Disciplinarias
Las organizaciones deberán asegurarse de que el personal de dirección, gestión y operación conozca las políticas, procedimientos y controles establecidos en relación a los riesgos de LA/FT, así como el respectivo régimen de sanciones disciplinarias a aplicarse ante incumplimientos o violaciones a los mismos.
Dichas sanciones disciplinarias deberán enfatizar las medidas a aplicar ante incumplimientos relacionados a:
- Lavado de activos.
- Financiamiento del terrorismo.
- Fraudes.
- Prácticas deshonestas.
- Corrupción.
- Sobornos, entre otros.
Código de Ética
El código de ética se constituye en los parámetros que deben ser cumplidos de manera consciente y obligatoria, por el personal de dirección, gestión y operación, así como los relacionados a la organización (accionistas, proveedores de servicios tercerizados, entre otros).
El código de ética deberá incluir:
- Situaciones de conflictos de interés.
- Confidencialidad sobre la información de la organización.
- Explotación de oportunidades de negocios.
- Obligación de revelar situaciones personales o profesionales relevantes para su actuación frente a la organización.
- Desarrollo y comportamiento profesional.
- Valores éticos y morales.
- Integridad personal, entre otros.
Auditoría
Las organizaciones deberán contar con una auditoría interna que evalúe la efectividad del programa de cumplimiento contra los riesgos de (LA/FT), debiendo mantener informado a la Alta Gobernanza o quien haga sus veces y a la Alta Gerencia al respecto.
La auditoría interna deberá realizar pruebas independientes al programa de cumplimiento de la organización, que como mínimo, incluyan:
- La evaluación de la idoneidad general y de la efectividad del programa de cumplimiento, incluyendo sus políticas, procedimientos y procesos;
- La evaluación de los esfuerzos de la Alta Gerencia para corregir las debilidades identificadas en auditorías previas y los hallazgos de inspecciones realizadas por la Auditoría Interna, cuando corresponda;
- El análisis del programa de capacitación del personal, en cuanto a su adecuación y a la relevancia de su contenido;
- La revisión de la efectividad de los sistemas de monitoreo de operaciones sospechosas; y
- La determinación del grado de adhesión del personal a las políticas y procedimientos establecidos.
Las firmas de auditores externos contratadas por las organizaciones deberán evaluar el grado hasta el cual el marco de gestión y el programa de cumplimiento basado en riesgos de LA/FT:
- Se corresponden con los requerimientos normativos; y
- Fomentan la efectiva detección de operaciones sospechosas.
A los fines de evitar que las organizaciones sean utilizadas para el lavado de activos y el financiamiento del terrorismo.
NUEVA METODOLOGÍA DE SUPERVISIÓN
A raíz de la emisión de la Guía del Enfoque Basado en Riesgo del Grupo de Acción Financiera Internacional (GAFI), de octubre 2014, y sobre la base del Marco de Supervisión de organización se desarrolló una metodología de supervisión con un enfoque basado en riesgos de LA/FT, la cual establece el proceso siguiente:
Análisis Extra-situ
Comprende el conocimiento de la organización y la determinación de su perfil de riesgos de lavado de activos y financiamiento del terrorismo, mediante el llenado de la matriz de riesgos:
- Determinación del nivel de amenaza potencial, asociado a las actividades realizadas por las organizaciones, de acuerdo a los factores de riesgo: base de clientes, áreas geográficas, canales de distribución, productos y servicios;
- Evaluación de la efectividad de la mitigación de riesgos de lavado de activos y financiamiento del terrorismo; y
- Determinación del perfil de riesgo de LA/FT, asignando categorías de bajo, moderado, sobre promedio y alto.
Realizado sobre la base de las informaciones recibidas a través del cuestionario de autoevaluación de riesgos.
Estrategia de Supervisión y Planificación
Programación del trabajo de supervisión para el período, sobre la base del perfil de riesgo determinado, la calidad de la auditoría, los resultados de inspecciones anteriores y del monitoreo. En esta etapa, los supervisores:
- Desarrollan y documentan un plan de supervisión acorde al perfil de riesgo LA/FT de la organización.
- Determinan el ámbito y alcance del trabajo de supervisión, así como los procedimientos de inspección que se realizarán; y
- Definen la documentación a requerir a la organización, para fines de su evaluación durante el proceso de inspección.
Revisión In-situ
Inspección de las áreas de riesgos de las organización e identificación de oportunidades de mejoras.
Los supervisores determinan si la organización:
- Cuenta con un proceso de evaluación de su exposición a los riesgos de lavado de activos y financiamiento del terrorismo (LA/FT); y
- Ha implementado un programa de cumplimiento efectivo, que promueva una adecuada mitigación de los riesgos identificados.
Para determinar la adecuación del proceso de evaluación de la exposición a los riesgos de lavado de activos y financiamiento del terrorismo (LA/FT), los supervisores:
- Evalúan el marco de gestión de riesgos de LA/FT de la organización, para determinar si comprende políticas y procedimientos para la identificación, medición, control y monitoreo de los riesgos de LA/FT a los cuales se expone la organización;
- Verifican si la organización desarrolla matrices de evaluación con un enfoque basado en riesgos, a fin de determinar el nivel de riesgo al que se expone;
- Determinan si la organización controla los riesgos de LA/FT al que se ven expuestas, disminuyendo la posibilidad de ocurrencia y/o el impacto del riesgo de LA/FT en caso de materializarse; y
- Verifican si la organización compara la evolución del nivel de riesgos de LA/FT, respecto al perfil de riesgo residual de LA/FT de la misma y lleva a cabo procedimientos para la detección de operaciones inusuales y/o sospechosas.
Para determinar la idoneidad del programa de cumplimiento contra el lavado de activos y financiamiento del terrorismo, los supervisores evalúan lo siguiente:
1. Gestión de Operaciones
- Políticas, procedimientos y controles
- Identificación de los clientes y beneficiario final
- Procedimientos de Debida Diligencia de Clientes
2. Rol y Responsabilidades de la Alta Gobernanza o quien haga sus veces
- Aprobación de políticas y procedimientos
- Código de ética y sanciones disciplinarias
- Supervisión y seguimiento
- Comités de apoyo
3. Rol y Responsabilidades de la Alta Gerencia
- Procesos de contratación de personal
- Programa de capacitación
- Programa “Conozca su Empleado”
- Tercerización de servicios
4. Rol y Responsabilidades del Oficial de Cumplimiento
- Monitoreo de la base de clientes
- Reportes de operaciones sospechosas
- Requerimientos de información
5. Rol y Responsabilidades de la Auditoria Independiente
- Auditoría interna
- Auditoría externa
Documentación
Durante el proceso de supervisión, los supervisores recopilan y revisan información relacionada a la organización, con la finalidad de documentar y sustentar sus conclusiones sobre las prácticas y nivel de cumplimiento a la normativa vigente.
Esta documentación es conocida como documentación de supervisión/papeles de trabajo. La misma se desarrolla con la finalidad de:
- Registrar el trabajo realizado durante el proceso de supervisión (extra-situ/insitu);
- Respaldar los hallazgos y recomendaciones presentados; y
- Facilitar las revisiones de calidad.
Informes
Se informan los hallazgos y recomendaciones a la organización, y se procede a la aplicación de sanciones, cuando corresponda.
- Los hallazgos representan las áreas de mejoras, incumplimientos o violaciones que los supervisores identificaron durante el trabajo realizado, la cuales estarán apoyados por información detallada y suficiente que demuestren las conclusiones y análisis presentados.
- Cuando corresponda, los supervisores solicitarán la implementación de planes de acción, los cuales deberán diseñarse considerando las medidas a adoptar para resolver los incumplimientos a la normativa vigente y las debilidades señaladas en los informes de inspección.
- Los informes de inspección deberán ser conocidos por la Alta Gobernanza o quien haga sus veces de las organizaciones.
Monitoreo
Seguimiento a los hallazgos y recomendaciones, así como identificación de variaciones en el perfil de riesgo de las organizaciones.
- Seguimiento a la implementación de planes de acción que surjan del proceso de supervisión in-situ
- Cumplimiento al Manual de Requerimientos de Información Orientados a la Supervisión Basada en Riesgos: faltas e inconsistencias en la remisión de informaciones;
- Solicitudes de nuevos productos y servicios, pagos electrónicos, subcontratación o tercerización de servicios;
- Cambios en la composición accionaria y en los recursos humanos (idoneidad y adecuación);
- Notificaciones de políticas y procedimientos; e
- Implementación de nuevos sistemas y tecnologías.
Fuente: CARLOS ALFONSO BOSHELL NORMAN