Estructura del sistema de gestión del riesgo LAFT en el sector real

La gestión de riesgos no es solo una responsabilidad del sector financiero, también es una preocupación del sector real.

Introducción

En la actualidad la prevención de riesgos de lavado de activos y la financiación del terrorismo dejó de ser una problemática que solo se presenta en el sector financiero, si no que trascendió a otros niveles y sectores como el sector real, compuesto por empresas comerciales, industriales y no financieras, que entendieron que también podían ser vulnerables ante este tipo de delitos.

Por esta razón, un gran número de organizaciones pertenecientes al sector real han comenzado a implementar dentro de sus esquemas internos la gestión de prevención de riesgos relacionados al lavado de dinero y financiación del terrorismo (LAFT), basándose en buenas prácticas y con un alto grado de compromiso por parte de la  dirección corporativa y con toda la responsabilidad que esto implica. 

En la siguiente guía que realizamos, podrás entender la importancia de llevar a cabo esta gestión en tu empresa y cuál es la manera adecuada de hacerlo para que puedas evitar errores durante la implementación y gestión. 

h_grupos_7

La importancia de Sarlaft en el sector real

Independientemente de que un ente regulador no exija contar con un sistema de gestión de prevención de lavado de activos y financiación del terrorismo, es importante que las entidades del sector real entiendan que implementarlo significa ir un paso adelante en temas de prevención, ya que cada vez más estamos expuestos o vulnerables a este tipo de delitos. 

Las amenazas pueden reflejarse tanto interna como externamente y se dan por la falta de controles, cultura del riesgo, personal no preparado, procedimientos mal ejecutados y tecnologías obsoletas.

Hay que tener claro que este tipo de riesgos pueden aparecer en cualquier momento y que su impacto es muy alto, que afecta el valor humano, financiero, de negocios y de infraestructura, llegando hasta el impacto reputacional y legal, esto sin importar el tamaño de la compañía, lo que lleva a que se dificulte el cumplimiento de los objetivos. 

Implementar un sistema de gestión de riesgos LAFT reduce el riesgo de sanciones legales y contribuye a que la imagen y reputación de la organización sea mejor ante el público. 

"Más allá de las exigencias normativas, cada día la relación con clientes, usuarios,  empleados, accionistas, proveedores, contrapartes y corresponsales, va girando en torno a los cambios tecnológicos y a las exigencias del mercado.  Las nuevas tendencias sobre la forma de hacer negocios obliga a que se impregne de dinámica la forma como se le debe hacer seguimiento a los riesgos, que en últimas están soportados en los procedimientos que le permiten a la institución cumplir con sus objetivos para mantenerse competitivos"; afirma Alexander Devia, miembro de la Asociación de Especialistas en FIBA como Anti Money Laundering Certified Associate y especialista en administración de riesgo de lavado de activos y financiación del terrorismo.

Por otro lado, se debe tener en cuenta que existe un modelo de buenas prácticas NRS (Negocios Responsables y Seguros), que brinda algunas claves para que la gestión se haga de manera adecuada.

Este programa está liderado por la Cámara de Comercio de Bogotá (CCB), la oficina de Naciones Unidas con la droga y el delito y la Embajada Británica en Colombia. 

¿Para qué sirve el Modelo NRS?

  • Contribuye a la prevención de delitos como el lavado de activos, la financiación del terrorismo y el contrabando. 
  • Favorece la permanencia y sostenibilidad de los negocios.
  •  Atrae inversionistas.
  • Genera seguridad y confianza sectorial.
  • Desarrolla una gestión empresarial responsable y segura. 
  • Mejora la toma de decisiones estratégicas. 
  • Fomenta la competencia económica legítima.

    Fuente: Modelo de Gestión del Riesgo de LA/FT para el sector real, por Negocios responsables y seguros, Embajada Británica Bogotá, UNODC y Cámara de Comercio de Bogotá.

Etapas del modelo de gestión del sistema LAFT en el sector real

Varios autores conocedores de las metodologías para administrar riesgos, coinciden en un orden lógico, que de hecho es exigido por la normatividad local e internacional. 

Esto en términos generales obliga a un conocimiento claro del negocio (análisis del contexto), que implica analizar de manera transversal los procesos relevantes de la institución; incluyendo los procesos estratégicos, al igual que los procesos de apoyo; e involucrando a los responsables expertos en la operación, que aportan en la identificación de los riesgos, en la medición o evaluación de los mismos y en la consecución de controles y en el posterior monitoreo o seguimiento.  

h_persona_cifras_7

Finalmente debe existir un área o personal dedicado al proceso de monitoreo, que permita cerrar el ciclo luego de haber generado planes de acción que corrijan y/o mitiguen el impacto de los riesgos que se evaluaron, ya que un sistema de gestión de riesgos es dinámico.   

"El modelo de gestión de riesgo para el sector real debe contemplar los procesos más álgidos de la institución, debe permitir la identificación oportuna para una administración eficiente de los riesgos, apoyada en tecnología de punta y con el aval incondicional por parte de sus directivos",  explica Alexander Devia. 

Es clave entender que este modelo está basado en la normativa y guía internacional COSO.

1_PP_estructura_gestion_de_riesgos_laft

Etapa 1: Diagnóstico y definición de metodología 

En esta etapa lo que se busca es comprometer a los altos directivos de la empresa y miembros a que conozcan el contexto de los negocios, con el fin de que puedan realizar el diagnóstico de los riesgos a los que están expuestos.

Para impregnar este compromiso dentro de la compañía es importante tener una cultura de gestión del riesgo, que por ejemplo permita a todos los empleados conocer cuáles son las actividades que están relacionadas al lavado de activos y financiación del terrorismo para así, evitar que las lleven a cabo en algún momento por falta de conocimiento. 

Para esto, es importante tener códigos éticos o manuales institucionales que contengan esta información. Así mismo, debe haber una divulgación constante de información relacionada a estos temas para crear una apropiada cultura, ya que es uno de los aspectos que toma más tiempo y por ser transversal a la compañía, es clave el compromiso de todos.

Por otro lado, es indispensable analizar el contexto interno y externo de la organización. Teniendo este conocimiento a profundidad será más fácil establecer cuáles son los riesgos a los que se enfrenta la compañía, para evitar que estos intervengan negativamente en el cumplimiento de objetivos y metas.

Una vez realizado el diagnóstico y definido cómo y dónde está la organización, lo siguiente es definir la metodología que se va a aplicar. 

Cuando iniciamos con la definición de metodología para implementar el sistema para la prevención del riesgo LAFT, es importante tener en cuenta que este es un sistema adaptable y que lo más importante es el cumplimiento de los requerimientos mínimos en caso de los que están obligados por un ente regulador, y para los que lo adoptan por buenas prácticas, el objetivo es el de la prevención de la materialización de este riesgo.

Adicional a los factores o generadores de riesgo que se conoce para otros sistemas de gestión de riesgos, como lo son el recurso humano, los procesos, la infraestructura o la tecnología, en el sistema de gestión de riesgos LAFT se deben identificar los canales por los que es posible que se genere el riesgo, es decir: los clientes, los productos, los canales de distribución, la jurisdicción o zona geográfica. 

En la definición de la metodología a implementar, también es importante que se definan:

Los objetivos del sistema LAFT

Es indispensable que estos estén alineados con los objetivos de la entidad en general, ya que deben ser transversales a los demás procesos y se deben dar a conocer para que finalmente se dé el cumplimiento. 

Las políticas del sistema LAFT

Estas políticas deben ser mandatos alcanzables, prácticos, que se estén redactadas de forma sencilla y que contemplen qué se pretende, cómo, cuándo y los responsables. Además, deben estar documentadas en los diferentes manuales propios del sistema, así como apoyarse en un código ético o de Buen Gobierno.

La estructura de la empresa

Así como hay una estructura organizacional de la empresa, se debe tener también una estructura con responsabilidades propias del sistema de gestión de riesgos LAFT, esto facilitará la administración de este tipo de riesgo y es importante que esté completamente alineada a la cultura organizacional. Por lo general, esta estructura está compuesta por:

  • Junta directiva
  • Representante legal
  • Oficial de cumplimiento 
  • Personas que apoyan y gestionan el sistema de riesgos LAFT 
  • Comité de riesgos LAFT 
  • Responsables de los procesos en donde existan riesgos LAFT
  • Todos los miembros de la compañía

El sistema de control interno

Se debe definir a los responsables y la metodología que se trabajará para cumplir con la administración del riesgo LAFT, verificar si los controles que se están haciendo son los correctos y efectivos. Igualmente, se deben identificar los órganos control que estarán a cargo, como son el comité de auditoría, el gestor interno y el revisor fiscal.

Esta primera fase de diagnóstico y definición de la metodología es fundamental para llevar a cabo las demás etapas de la gestión de riesgos en el sector real. 

Auditoria interna persona cifras 8

Etapa 2: Identificación de riesgos LAFT

A partir de la metodología definida en la etapa anterior, inicia la definición de los procesos vulnerables a que se materialicen estos riesgos se inicia la identificación de los riesgos inherentes a los que está expuesta. Esto debe hacerse teniendo en cuenta cada uno de los factores de riesgo definidos en la etapa de diagnóstico.

Se recomienda clasificar los riesgos de la siguiente forma:

  • Alto
  • Medio
  • Bajo

Si ya se cuenta con algún tipo de matriz establecida para la identificación de riesgos se puede hacer uso de esta haciendo las adaptaciones necesarias. Si no se tiene, es indispensable crearla de acuerdo a lo definido en la metodología, ten en cuenta que allí debes tener el listado de riesgos identificados, darles una medición a la probabilidad de que aparezcan, evaluar el impacto, calcular el riesgo total y esta debe ser actualizada constantemente con el equipo. 

Para el reconocimientos de los riesgos ten en cuenta los riesgos que ya se materializaron o los que puedan llegar a materializarse según estos criterios:

Enumerar los eventos de riesgo

Hacer un listado de los riesgos que han surgido o que puedan llegar a surgir en cada una de las áreas de la compañía interna o externamente. 

Definir qué puede suceder

Una vez se tengan los riesgos identificados a estos se les debe agregar los incidentes que se puedan presentar, esto para saber qué consecuencias e impactos pueden traer en caso de que aparezcan.

Definir cómo puede suceder

Aquí se determinarán las causas, es decir, en qué situaciones el riesgo se puede materializar; hay que entender el origen de su naturaleza.

ebook-estructura-del-sistema-de-gestion-del-riesgo-laft-en-sector-real

En la siguiente tabla podrás ver un ejemplo de cómo puedes comenzar a realizar un listado o inventario de riesgos.

2_PP_estructura_gestion_de_riesgos_laft

Etapa 3: Medición de los riesgos LAFT

En esta etapa se debe determinar el nivel de probabilidad de ocurrencia del riesgo y el impacto que este traería en caso de llegar a materializarse. 

De acuerdo a estándares internacionales, una de las formas más comunes y que hace parte de las buenas prácticas es, a través de estimaciones cualitativas, hacer la medición del riesgo, por ejemplo, análisis de tipologías, conocimiento de expertos y experiencia de la industria.

También se deben tener en cuenta los criterios de probabilidad e impacto. La probabilidad se refiere al grado de ocurrencia de un riesgo y se puede clasificar en: muy probable, probable y raro. En cuanto al impacto se refiere a las consecuencias o daños que el riesgo pueda tener sobre la organización y este se puede clasificar en alto, medio o bajo. 

Procedimientos para la medición del riesgo LAFT

  1. Identificar el impacto y la probabilidad de que se materialice el riesgo.
  2. Evaluar los riesgos teniendo en cuenta el nivel de impacto y la probabilidad de que ocurra.
  3. Darle importancia a los riesgos de acuerdo a la clasificación que se hizo de los mismo basándose en los criterios de calificación. 
  4. Aquellos impactos de riesgos que estén en el listado de altos y medios deben contar con los adecuados procedimientos y controles  para realizar la adecuada mitigación.
  5. La importancia de la matriz de riesgo es vital, ya que cada factor de riesgo y eventos deben estar registrados allí.

Etapa 4: Controles

Los controles se dividen en tipo y forma de control según su implementación. Lo que se busca es tomar las medidas necesarias que permitan mitigar y bajar la probabilidad de ocurrencia y el impacto de los riesgos, así como brindar alguna alerta para detectar cualquier actividad sospechosa o inusual para que se puedan tomar acciones correctivas de manera oportuna.

Tipos de controles

  • Preventivo: Se ejecuta para prevenir los riesgo LAFT.
  • Detectivo: se pone en marcha cuando hay una actividad inusual que indique algún tipo de alerta.

Clasificación de controles

  • Implementado: el control está registrado y funciona de manera correcta.
  • Desarrollo: el control está diseñado pero no ha interactuado. 
  • No existe: no se ha creado. 

Valoración de controles

  • Fuerte: los controles son efectivos y eficaces y funcionan perfectamente.
  • Moderado: hay fallas en su implementación y se necesitan ajustes.
  • Débil: no son los adecuados.

Etapa 5: Documentación y divulgación

Es importante contar con un sistema de documentos y registros en donde se condensa la información de cada una de las etapas para poder tener disponibilidad inmediata de datos, oportunidades de mejora y confiabilidad.

Por otro lado, el generar reportes contribuye a que la gestión sea efectiva y eficiente, ya que esto garantiza que los procedimientos que se están llevando a cabo son los adecuados y cumplen con la normativa establecida, igualmente, apoya la toma de decisiones.

Se debe tener en cuenta, que al igual que los riesgos y los controles, la documentación debe ser revisada con una periodicidad para mantenerlos actualizarlos y acorde con los cambios presentados. 

h_persona_cifras_6

Es importante darle a conocer a todos los miembros de la compañía la información sobre el sistema que se está implementado, para esto se deben realizar capacitaciones y estrategias de comunicación que contribuyan a crear conciencia y cultura para que estén informados de cómo será la gestión, con el fin de que puedan estar alertas y en caso de ver alguna actividad sospechosa puedan intervenir.

Igualmente, se debe definir quiénes serán los responsables de realizar esta documentación para que la información que se incluya sea la adecuada y verídica. 

Etapa 6: Seguimiento o monitoreo

Durante esta etapa es importante:

  1. Verificar que lo definido en el objetivo y metodología del sistema se esté cumpliendo de manera efectiva. 
  2. Crear un plan de seguimiento que permita detectar las falencias que se están presentando en cada una de las fases para hacer mejoras y a la vez, identificar cuáles son las buenas prácticas.
  3. Garantizar que los controles estén funcionando de la manera adecuada. 
  4. Los gestores deben hacer el respectivo seguimiento a los riesgos. 
  5. Validar que el objetivo de prevenir la materialización del riesgo se esté cumpliendo.
  6. Validar que se efectuaron los ajustes necesarios al sistema.
  7. Revisar si el sistema implementado está surgiendo efecto positivo dentro de la compañía, si el tratamiento a los riesgos es oportuno y eficaz.

"Persiste el temor, usando la jerga coloquial de 'meter las manos al fuego', en garantizar el resultado exitoso de las metodologías que se apliquen. Esto en el entendido de que un sistema podrá ser exitoso si ninguno de sus eslabones se quiebra, estos son: sapiencia (líder capacitado), conocimiento (personal capaz), buena tecnología (aplicativo de administración de riesgos), reacción inmediata (disposición al cambio), recursos a la mano (apoyo directivo), planes de acción medibles y reales (compromiso de todos)", comenta Alexander Devia.   

Por otro lado, el modelo de gestión de riesgos LAFT debe estar acorde al tipo de sector al que pertenece la organización,  en cumplimiento de los pilares mínimos de aplicación referentes a conocimiento del cliente y contrapartes (debida diligencia), al seguimiento de operaciones (monitoreo), al mantenimiento de la información (actualización), a la determinación del riesgo (administración de riesgos) y en sí, a tener que ordenar bajo el marco de supervisión de riesgos, todas sus actividades.  

3_PP_estructura_gestion_de_riesgos_laft

El solo hecho de tener un cliente o cualquier tipo de relación contractual, hace que cuentes con un sin número de riesgos inherentes que deberás evaluar para conocer qué tan cerca al fuego está tu empresa.

"La cadena de valor de los factores de riesgo dependerá siempre del tipo de actividad económica que desempeñe la institución;  sin embargo, sea cual sea la actividad, el cumplimiento de los objetivos te llevará por tener que conocer el riesgo de su cliente / contraparte / usuario del producto o servicio que prestas / el canal de distribución por donde se mueve la operación y la jurisdicción o zona en donde desarrollas la actividad en cumplimiento del objeto social", concluye Devia.

Políticas de prevención de riesgos LAFT

  1. Verificar si las políticas existentes son las necesarias o si se deben implementar más medidas para mitigar los riesgos LAFT.
  2. Definir responsables para la implementación de las políticas contra los riesgos. 
  3. Definir medidas preventivas contra los riesgos definidos.
  4. Definir las maneras de actuar en el caso de la materialización de un riesgo.

h_gestion_de_riesgos_2

Órganos internacionales

Naciones Unidas

Mediante la Convención de las Naciones Unidas contra la Corrupción, suscrita en Mérida en 2003, uno de los principales propósitos es el de promover la cooperación para prevenir y combatir eficazmente la corrupción. 

Esta convención establece algunas medidas, entre las cuales se mencionan la reglamentación y supervisión de los bancos para prevenir y detectar todas las formas de blanqueo de dinero, la posibilidad de establecer una dependencia de inteligencia financiera, medidas viables para detectar y vigilar el movimiento transfronterizo de efectivo y de títulos negociables, medidas apropiadas para las instituciones que remiten dinero, y promover la cooperación mundial, regional, subregional y bilateral para combatir el blanqueo de dinero.

Gafi (Grupo de Acción Financiera Internacional)

El Grupo de Acción Financiera Internacional o Financial Action Task Force, es un organismo intergubernamental, cuyo propósito es el desarrollo y la promoción de políticas nacionales e internacionales para combatir el lavado de dinero y la financiación del terrorismo. 

Gafisud

Es una organización intergubernamental de base regional del GAFI que agrupa a los países de América del Sur para combatir el lavado de dinero y la financiación del terrorismo, a través del compromiso de mejora continua de las políticas nacionales contra ambos temas y la profundización en los distintos mecanismos de cooperación entre los países miembros.

Tomado de: Modelo de Gestión del Riesgo de LA/FT para el sector real, por Negocios responsables y seguros, Embajada Británica Bogotá, UNODC y Cámara de Comercio de Bogotá. 

ebook-estructura-del-sistema-de-gestion-del-riesgo-laft-en-sector-real

Prueba gratis Pirani

Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.

 

 

Crea tu cuenta gratis