Evaluación y Gestión del Riesgo LA/FT

Andrés Carriquiry
Junio 2020

Programa de Formación de
Gestión Integral de Riesgos
RIESGO
Incertidumbre como
desviación con relación
• Efecto de la incertidumbre a lo esperado
sobre los objetivos

Evento que en caso de materializarse

puede comprometer el logro de los
objetivos
GESTIÓN DEL RIESGO

Evaluación de los posibles escenarios en los que

pudieran verse comprometidos los objetivos

Implementación de las medidas necesarias para

evitar el efecto de las desviaciones posibles
Particularidades del Riesgo LA/FT

Riesgos Financieros Riesgo LAFT

Causa Consecuencia Causa Consecuencia
Cliente
pierde un
mercado
Riesgo El cliente Pérdida a
Lava Riesgo
de Activos través de Otros
crédito LA/FT
Nuevos
competidores Pérdida
Riesgos
Económica
 40 RECOMENDACIONES DE GAFI

REVISIÓN 2003 Establecía el EBR en determinadas áreas

REVISIÓN 2012 Generaliza la aplicación del EBR

RECOMENDACIÓN 1 - RECOMENDACIONES GAFI REVISIÓN 2012

Este enfoque debe constituir un fundamento esencial para la

asignación eficaz de recursos en todo el régimen antilavado de
activos y contra el financiamiento del terrorismo (ALA/CFT) y la
implementación de medidas basadas en riesgo en todas las
Recomendaciones del GAFI
RECOMENDACIÓN 1 – NOTA INTERPRETATIVA 8

Evaluación del riesgo - Debe exigirse a las instituciones financieras y las APNFD
que tomen medidas apropiadas para identificar y evaluar sus riesgos de lavado de
activos y financiamiento del terrorismo (para los clientes, países o áreas
geográficas; y productos, servicios, transacciones o canales de envío). Éstas deben
documentar esas evaluaciones para poder demostrar sus bases, mantener estas
evaluaciones actualizadas, y contar con los mecanismos apropiados para
suministrar información acerca de la evaluación del riesgo a las autoridades
competentes.
ENFOQUE BASADO
ENFOQUE EN RIESGO
BASADO EN RIESGO

GESTIÓN DEL RIESGO

EVALUACIÓN DE RIESGO
EVALUACIÓN DE RIESGO
CONCLUSIÓN NO DICHA:
No es posible implementar un Sistema de Prevención de
LA/FT con enfoque de Riesgo, si no es a partir de una
adecuada EVALUACIÓN DE RIESGO
SITUACIÓN CASI PARADÓJICA

MUCHO ÉNFASIS EN GESTIÓN DEL RIESGO LAFT

POCO ÉNFASIS EN LA EVALUACIÓN DE RIESGO

RESULTADO DE LA PARADOJA

FIFA…

ODEBRECHT…

PETROBRAS…

CASO KIRCHNER EN ARGENTINA…

CASO SACA EN EL SALVADOR…

PUNTO EN COMUN:

NINGUNO FUE DETECTADO POR LOS SISTEMAS DE PREVENCIÓN

Podemos aparentar tener
buen músculo, y hasta
creérnoslo.

Pero cuando llega la hora

de la verdad…..
ENTONCES…

Es adecuado encaminar nuestro sistema de Gestión del Riesgo

LAFT y nuestra Metodología para la Evaluación del Riesgo de
manera tal que cumplan con los requisitos regulatorios

Pero por encima de ello, es necesario contar con un sistema de

gestión que nos proteja eficazmente, a la Entidad y a nosotros
mismos.
Y ESTO COMIENZA CON LA EVALUACIÓN DE RIESGO
PUNTOS CLAVE PARA LA EVALUACIÓN DEL RIESGO

IDENTIFICACIÓN DE RIESGOS

MEDICIÓN DE RIESGOS

TRATAMIENTO DE RIESGOS
REQUISITOS PARA UNA ADECUADA EVALUACIÓN DE RIESGO LAFT
QUE CONSIDERE LA TOTALIDAD DE LOS RIESGOS

QUE SE MIDAN ADECUADAMENTE LOS RIESGOS, AL TRATARSE DE METODOLOGÍAS

CUALITATIVAS Y SEMI-CUANTITATIVAS

QUE SE CONSIDERE ADECUADAMENTE LA FUERZA MITIGADORA DE LOS CONTROLES

QUE EL EVALUADOR CUENTE CON EL EXPERTISE NECESARIO

QUE UNA DE LAS SALIDAS SEA UN PLAN DE ACCIÓN PARA LA MITIGACIÓN DE LOS
RIESGOS QUE EXEDAN EL MARGEN DE TOLERANCIA

QUE NOS DÉ SEGURIDAD!!

QUÉ DEBEMOS ESPERAR DE LA EVALUACIÓN DE RIESGO?

• Identificación y medición del Riesgo Inherente asociado a nuestro

negocio
• Evaluación de la potencia con que nuestro sistema de control actúa
en la mitigación del Riesgo Inherente
• Conocer el Riesgo Residual remanente después de la acción
mitigadora de nuestros controles sobre el Riesgo Inherente
• Determinación de los Riesgos Residuales que se sitúan por encima
del Nivel de Tolerancia definido

PARA ESTO EXISTEN DIFERENTES METODOLOGÍAS

THE WOLFSBERG GROUP

Fuente: The Wolfsberg Group

ESTANDAR ISO 31000

• Proporciona directrices para gestionar el riesgo al que se enfrentan

organizaciones diversas y en contextos también diversos

• Proporciona un enfoque común no sólo para la gestión de cuaquier tipo

de riesgo, sino también para cualquier tipo de organización o sector

• Puede ser utilizado a lo largo de la vida de las organizaciones, en

cualquier tipo de actividad, inclusive para la toma de decisiones
Fuente: UNIT/ISO
El Estandar ISO 31000 proporciona directrices para la gestión de riesgos de
diverso tipo, en organizaciones también diversas, independientemente de
su naturaleza y tamaño

Ello hace necesario su

adecuación para cada sector de
actividad y sus distintos sub-
sectores, estableciendo un
proceso de gestión acorde a los
riesgos a gestionar
METODOLOGÍA BASADA EN EL ESTANDAR ISO 31000

• Definir factores de Riesgo

• Identificar para cada factor de riesgo todas las posibles situaciones (eventos) a través de
las que se podría materializar el riesgo

• Medir el daño potencial para la Entidad, asociado a cada posible evento de riesgo (Riesgo
Inherente)

• Evaluar la potencia de los controles disponibles a los efectos de determinar en qué medida
mitigan el daño potencial asociado a cada posible situación

• Obtener el Riesgo Residual que persiste luego de la aplicación de los controles disponibles

• Determinar las posibles situaciones (eventos) en los que el daño potencial residual supera
el margen de tolerancia definido
METODOLOGÍA BASADA EN EL ESTANDAR ISO 31000

• Definir factores de Riesgo

• Identificar para cada factor de riesgo todas las posibles situaciones (eventos) a través de
las que se podría materializar el riesgo

• Medir el daño potencial para la Entidad, asociado a cada posible evento de riesgo (Riesgo
Inherente)

• Evaluar la potencia de los controles disponibles a los efectos de determinar en qué medida
mitigan el daño potencial asociado a cada posible situación

• Obtener el Riesgo Residual que persiste luego de la aplicación de los controles disponibles

• Determinar las posibles situaciones (eventos) en los que el daño potencial residual supera
el margen de tolerancia definido
METODOLOGÍA BASADA EN EL ESTANDAR ISO 31000

VENTAJAS:
• Posibilidad de cubrir razonablemente todos los aspectos a través de los cuales podría
materializarse el riesgo

• Visualización detallada de los aspectos que requieren atención inmediata

• Generar como salida un Plan de Acción enfocado específicamente en los aspectos que
requieren mayor control

CUMPLE CON LOS ESTÁNDARES REGULATORIOS

PROTEGE EFICAZMENTE AL OFICIAL DE CUMPLIMIENTO Y A LA ENTIDAD

MODELO AUSTRALIANO

ESTABLECER CONTEXTO
COMUNICAR Y CONSULTAR

MONITOREO Y REVISIÓN
IDENTIFICAR RIESGOS

ANALIZAR RIESGOS ETAPAS CRÍTICAS:

• Identificación
• Análisis
EVALUAR RIESGOS • Evaluación

TRATAR RIESGOS
 TÉCNICAS A UTILIZAR

o Cualitativas

o Semi-cuantitativas

Se parte de escalas descriptivas de valoración subjetiva, que se relacionan con

escalas numéricas. Si bien estas técnicas se apoyan en un aspecto subjetivo,
permiten una evaluación con mayor grado de detalle que las técnicas
puramente cualitativas, siempre que los criterios de evaluación sean definidos
con la mayor precisión posible.
 UMBRAL DE RIESGO/TOLERANCIA AL RIESGO

Diferenciación con APETITO DE RIESGO

Nivel de riesgo que estoy dispuesto a

RIESGOS asumir desde una perspectiva de
FINANCIEROS estrategia de negocio vinculándolo a
determinado nivel de retorno esperado
 RIESGO LAFT

No es posible evaluarlo desde una perspectiva de negocio

vinculándolo al nivel de retorno esperado.

Por lo tanto, más que a Se debe entender como los

“apetito de riesgo”, en el rangos por encima de los
caso del riesgo LAFT cuales es necesario
deberíamos referirnos a encaminar medidas
“tolerancia de riesgo” adicionales de mitigación.
 Posibles estrategias frente a los riesgos:

EVITARLOS Eliminación del riesgo para evitar su impacto

TRANSFERIRLOS Contratación de seguros, op. Sindicadas, etc.

 Posibles estrategias frente a los riesgos:

ASUMIRLOS Estrategia a adoptar cuando el daño potencial resulta

cuantificable en términos objetivos. Permite la adopción
de planes de contingencia y establecimiento de
previsiones.
MITIGARLOS Establecer procedimientos de control tanto preventivos
como detectivos para la adecuada mitigación del riesgo
(razonabilidad)
PASOS DE LA EVALUACIÓN DE RIESGO

ANÁLISIS DE DETERMINACIÓN DE DETERMINACIÓN DE

CONTEXTO FACTORES DE RIESGO EVENTOS DE RIESGO

MEDICIÓN DEL RIESGO OBTENCIÓN DEL RIESGO EVALUACIÓN DE

INHERENTE CONTROLES

OBTENCIÓN DEL DEFINICIÓN DE MEDIDAS PLAN DE ACCIÓN

RIESGO RESIDUAL DE MITIGACIÓN
ANÁLISIS DE CONTEXTO

• INTERNO Operativo

No Operativo

• EXTERNO Posibles Eventos de Riesgo

adquieren diferente significación
dependiendo del contexto en
que se presenten
 CONTEXTO INTERNO OPERATIVO
Para su evaluación deberíamos considerar diversos aspectos. Por
ejemplo:
• TARGET
• CANTIDAD DE CLIENTES
• CANTIDAD Y % DE CLIENTES DE ALTO RIESGO
• CANTIDAD Y % DE CLIENTES NO RESIDENTES
• VOLÚMENES DE EFECTIVO MAEJADO CON RELACIÓN A LA OPERATIVA TOTAL
• SINGIFICACIÓN DE LA OPERATIVA DE TRANSFERENCIAS CON EL EXTERIOR
• INCIDENCIA DE PRODUCTOS Y SERVICIOS EN OPERATIVA TOTAL SEGÚN NIVEL
DE RIESGO
 CONTEXTO INTERNO NO OPERATIVO
Mi capacidad institucional de respuesta al riesgo va a depender de
aspectos organizacionales no operativos, como por ejemplo:
• NIVEL DE DESARROLLO DE GOBIERNO COPORATIVO
• ESTRUCTURA DE CUMPLIMIENTO
• CULTURA DE CUMPLIMIENTO
• NIVEL DE CAPACITACION DEL PERSONAL
• ROTACION DE FUNCIONARIOS
 CONTEXTO EXTERNO

• ¿QUÉ CARACTERÍSTICAS TIENE EL ESCENARIO DE

RIESGO EN EL QUE OPERAMOS?

• ¿QUÉ AMENAZAS DEBEMOS ENFRENTAR?

 CONTEXTO EXTERNO
Para la evaluación del contexto externo debemos considerar aspectos
tales como:
• NIVEL DE CRIMINALIDAD
• ÍNDICES DE PERCEPCIÓN DE CORRUPCIÓN
• MAPA NACIONAL DE RIESGO
• ¿QUÉ ESTÁ PASANDO CON MIS PARES?
En la medida que varía el contexto, varía la significación de los
potenciales eventos de riesgo y el peso relativo a asignar a los
factores de riesgo
 DEFINICIÓN DE FACTORES DE RIESGO

FACTORES = FUENTES DE RIESGO

• CLIENTES • PRODUCTOS Y
Factores de riesgo SERVICIOS
comunes a todas
las entidades: • JURISDICCIONES • CANALES
 IDENTIFICACIÓN DE EVENTOS DE RIESGO

Acciones específicas o hechos potenciales a través de los cuales

• CONCEPTO:
puede materializarse el riesgo

Es necesario
detectar todos los FUENTES MULTIPLES
posibles potenciales
EVENTOS DE RIESGO NECESIDAD DE CUBRIR LA MÁS
AMPLIA GAMA DE EVENTOS
para cada FACTOR
POTENCIALES
DE RIESGO
IDENTIFICACIÓN DE EVENTOS DE RIESGO

FUENTES MULTIPLES

• Opinión de Expertos
• Tipologías publicadas NECESIDAD DE CUBRIR LA MÁS
• Histórico de eventos AMPLIA GAMA DE EVENTOS
• Tormenta de ideas POTENCIALES
• Actividades de taller
EVENTOS DE RIESGO FACTOR CLIENTES
Ejemplos:
• Vinculación de clientes con información falsa o insuficiente

• Vinculación de clientes incluidos en listas ONU/OFAC

• Vinculación de clientes que actúen como testaferros

• Vinculación de empresas fachada

• Que ingresen en cuenta fondos sin justificación de origen

EVENTOS DE RIESGO FACTOR PRODUCTOS
Ejemplos:
• Constitución de CDT a favor de persona/s incluidas en listas

• Que se utilice las parjetas prepagas para movilizar a nivel internacional fondos de
origen ilícito

• Que ingresen fondos del exterior sin la debida justificación.

• Que se utilicen operaciones de comercio exterior para mover fondos de origen ilícito

• Constitución de financiamiento para su cancelación con fondos de origen ilicito

 Determinación de riesgo inherente

• Nivel de riesgo al que está

expuesta la entidad en términos Para cada Evento de Riesgo
absolutos, en ausencia de
controles o cualquier acción de
mitigación.
Impacto que
Probabilidad de
• Se mide en términos de ocasionaría el
ocurrencia del
probabilidad e impacto. Evento de Riesgo
Evento de Riesgo
en caso de ocurrir
Determinación de riesgo inherente

El indicador de Riesgo Inherente para cada potencial evento de riesgo se obtiene

mediante el promedio aritmético de probabilidad e impacto

ASPECTOS CLAVE

Adecuada valuación de Considerar

la probabilidad de adecuadamente la
ocurrencia e impacto información proveniente
en caso de ocurrir del análisis de contexto
HASTA AQUÍ:

• Hemos identificado las fuentes de Riesgo inherentes a nuestro negocio

• Para cada fuente de riesgo, hemos identificado todas las posibles acciones o potenciales
eventos de riesgo a través del los cuales se podría materializar el riesgo

• Hemos definido la probabilidad de ocurrencia y el impacto que ocasionaría en caso de ocurrir,

para cada una de estas acciones o potenciales eventos de riesgo

• Hemos calculado el Riesgo Inherente (intrínseco de la naturaleza de nuestro negocio) para cada
potencial evento de riesgo

Consecuentemente, hemos definido el Perfil de Riesgo de nuestra Entidad

 TRATAMIENTO DE LOS RIESGOS

A partir del Riesgo Inherente, corresponde evaluar la potencia de

los controles existentes y en que medida los mismos actúan sobre
los distintos eventos de riesgo
EVALUACIÓN DE CONTROLES

Efecto mitigador sobre:

Tipo de Control Características del Control
• PROBABILIDAD
• IMPACTO Efecto proactivo. Al actuar sobre la causa del riesgo
• AMBOS Control Preventivo reduce su probabilidad de ocurrencia.

Efecto reactivo. Permiten identificar los eventos de

TIPOS DE CONTROLES Control Detectivo riesgo luego de su materialización, tomando las
acciones correspondientes.

Se ejecuta de manera automática al estar

incorporado en los sistemas o constituir aplicativos.
Control Automático Mayor efectividad. Menor incidencia de riesgo
INVENTARIO DE CONTROLES operativo

Es ejecutado manualmente. Mayor incidencia de

Control Manual riesgo operativo. Efectividad relativa.
EVALUACIÓN DE CONTROLES

TIPO DE CONTROL

POTENCIA DEL CONTROL

EFECTIVIDAD DEL CONTROL

• Está bien diseñado?
• Está bien implementado?
• Está bien ejecutado?
• Es efectivo?
• Riesgo operativo?
 Determinación de riesgo residual

• El riesgo residual es el nivel de riesgo que persiste después del efecto

mitigador ejercido por los controles existentes sobre el nivel de riesgo
inherente.

• A partir de la evaluación de la fuerza con que los distintos controles

actúan sobre los eventos de riesgo, obtendremos nuevos indicadores de
probabilidad e impacto después de controles.

• El riesgo residual para cada evento de riesgo, surgirá del promedio

aritmético de probabilidad e impacto después de controles.
EFECTO MITIGADOR DE LOS CONTROLES

EFECTO MITIGADOR
PROBABILIDAD DE OCURRENCIA PROBABILIDAD DE OCURRENCIA

DE CONTROLES
ANTES DE CONTROLES DESPUÉS DE CONTROLES

IMPACTO EN CASO DE OCURRR IMPACTO EN CASO DE OCURRR

ANTES DE CONTROLES DESPUÉS DE CONTROLES

RIESGO INHERENTE RIESGO RESIDUAL

 A
FD–––Se
Control automático
Cuestionario
establece elalperfilcontra
delen ellistas en el
cliente
DETERMINACIÓN DE RIESGO RESIDUAL momento del Alta
cliente en base a sudel cliente
declaración
CM––elControl
en periódico
Requisito
momento dedel de toda lade
presentación
Alta base de
clientes
N contra
comprobante
– Control delistas
manual Inscripción
de alertasFiscal
Factor de Riesgo: CLIENTES
Fautomáticas
P –– Control
Visita a automático
clientes contra
de Alto listas en
Riesgo
por depósitos que
transferencias
exceden con el exterior env. y rec.
Probab Impact Riesgo Probabel perfil Impacto Riesgo
Eventos de Riesgo Controles
A.C. A.C. Inherente D.C. D.C. Residual

Operar con cliente

incuido en listas 4 4 4 A, C, F 1 3 2

Operar con empresa

fachada 3 4 3,5 D, M, P 2 4 3
Cliente ingresa fondos
sin justificación de 4 4 4 F, N, 3 4 3,5
origen
 Datos a partir del Riesgo Residual

• Eventos de riesgo con controles suficientes

• Eventos de riesgo con riesgo residual que excede el umbral de

aceptabilidad pero dentro del margen de tolerancia

• Eventos de riesgo con riesgo residual que excede el margen de

tolerancia

• Eventos de riesgo con controles excesivos o duplicados

POSIBILIDAD DE CONSOLIDACIÓN
 Nivel de Riesgo agregado por factor de riesgo

• De la misma manera que resulta necesario medir tanto el nivel de

riesgo inherente como residual respecto a cada evento de riesgo a los
efectos de su mapeo y encaminamiento de las acciones de mitigación,
también es necesario considerar y determinar el nivel de riesgo
agregado respecto a cada uno de los factores de riesgo.

• Para ello utilizaremos una técnica de promedio ponderado, de manera

de atribuir mayor significación en la evaluación agregada, a los eventos
de riesgo que presentan índices de riesgo residual más alto.
 Riesgo consolidado a nivel institucional
Una vez obtenidos los niveles de riesgo inherente y residual
agregados para cada factor de riesgo, podemos obtener el nivel de
riesgo consolidado a nivel institucional.

NO TODOS LOS FACTORES DE RIESGO TIENEN ELMISMO PESO

NECESIDAD DE PONDERACIÓN: PESO A ASIGNAR A CADA

• Requiere valoración FACTOR DEPENDERÁ DE
subjetiva LA REALIDAD PARTICULAR
• Indispensable opinión de DE CADA ENTIDAD.
expertos
 Riesgo consolidado a nivel institucional
Como resultado de la consolidación a nivel Institucional, se debe
llegar a un cuadro como el siguiente:

Puntaje
Puntaje Puntaje
Agregado de Puntaje Agregado
Ponderación Agregado de Agregado de
Factor de Riesgo (FR) Riesgo de Riesgo Residual
(Peso) Riesgo Riesgo
Inherente Ponderado
Inherente Residual
Ponderado
Cliente
Producto
Zonas Geográficas
Canales
CONSOLIDADO
INSTITUCIONAL
 Riesgo consolidado a nivel institucional
Como resultado de la consolidación a nivel Institucional, se debe
llegar a un cuadro como el siguiente:

Puntaje
Puntaje Puntaje
Agregado de Puntaje Agregado
Ponderación Agregado de Agregado de
Factor de Riesgo (FR) Riesgo de Riesgo Residual
(Peso) Riesgo Riesgo
Inherente Ponderado
Inherente Residual
Ponderado
Cliente
Producto
Zonas Geográficas
Canales
CONSOLIDADO
INSTITUCIONAL
 A esta altura de la evaluación contaremos con un mapa
mostrando:

Dónde están los mayores riesgos que enfrenta la Entidad

De qué manera los está mitigando

Cuales son los riesgos que aun requieren medidas adicionales para su
mitigación a los efectos de encuadrarlos en el nivel de riesgo aceptable

DIVERSAS POSIBILIDADES DE DESAGREGACIÓN / CONSOLIDACIÓN

 PLAN DE ACCIÓN EN TRES NIVELES

• RIESGO RESIDUAL EN EVENTO DE RIESGO EXCEDE

NIVEL ACEPTABLE

• RIESGO RESIDUAL AGREGADO EN FACTOR DE RIESGO

EXCEDE NIVEL ACEPTABLE

• RIESGO CONSOLIDADO A NIVEL ENTIDAD EXCEDE

NIVEL ACEPTABLE
 ACCIONES DE MITIGACIÓN

NECESIDAD DE CONSIDERAR EL ELENCO DE ACCIONES POSIBLES

• Efecto de la acción sobre el riesgo a mitigar

• Relación costo/beneficio
• Factibilidad de la acción
• Eventuales impactos colaterales
• Posibilidad de que la acción no resulte suficiente

DECIDIR LAS ACCIONES MÁS ADECUADAS

 FORMULACIÓN DEL PLAN DE ACCIÓN

CARACTERÍSTICAS

• Conjuntamente con áreas involucradas

• Información relevante
• Riesgo vinculado a la acción de mitigación
• Descripción de la acción de mitigación
• Recursos necesarios
• Plazo para la implementación en producción
• Responsable
 SEGUIMIENTO
RESPONSABLE POR LA IMPLEMENTACIÓN DE LA ACCIÓN
Seguimiento permanente verificando cumplimiento dentro del plazo
previsto e informando eventuales desvíos.
RESPONSABLE POR LA EVALUACIÓN DE RIESGO

Seguimiento de avance de todas las acciones del plan, evaluando y

solucionando causas en caso de desvíos. Reporte a órganos superiores.
ÓRGANO SUPERIOR (Comité de Riesgo, Comité de Cumplimiento, Junta Directiva, etc.)

Toma conocimiento y dispone eventuales acciones propias de su

competencia: reformulación, reasignación de recursos, etc.)
 Motivos posibles de incumplimiento de plan de acción

El Plan elaborado resultó irreal y alejado de las posibilidades de la Institución.

No se asignó los recursos necesarios para su ejecución.

No se encaró con los niveles de compromiso y dedicación necesarios.

 Instancias de Revisión

• Trimestralmente revisión del análisis de contexto externo e interno.

• En cualquier momento que irrumpan hechos relevantes que puedan

hacernos suponer un cambio en el escenario de riesgo

• En cualquier caso, anualmente revisión completa de la Matriz de Riesgo

Gracias por su atención!!
[email protected]

+598 99 660897