Academia cero control lavado de activos

Estructura del sistema de gestión del riesgo LAFT en el sector real

La gestión de riesgos no es solo una responsabilidad del sector financiero, también es una preocupación del sector real.

Estructura del sistema de gestión del riesgo LAFT en el sector real

Introducción

En la actualidad la prevención de riesgos de lavado de activos y la financiación del terrorismo dejó de ser una problemática que solo se presenta en el sector financiero, si no que trascendió a otros niveles y sectores, por ende las empresas asociadas al sector real (para lo cual definiremos como empresas comerciales, industriales y no financieras) comenzaron a identificar que también podían ser muy vulnerables ante este tipo delitos.

Por esta razón, un gran número de organizaciones pertenecientes al sector real han comenzado a implementar dentro de su esquema interno la gestión de prevención de riesgos relacionados al lavado de dinero y financiación del terrorismo (LAFT), basado en buenas prácticas, con un alto grado de compromiso por parte de la  dirección corporativa y con toda la responsabilidad que esto implica. 

A continuación, usted encontrará una guía que le permitirá entender la importancia de llevar a cabo esta gestión dentro de su empresa y cuál es la forma adecuada para hacerlo, con el fin de evitar cometer errores durante su gestión. 

aml_management

La importancia de Sarlaft en el sector real

Independientemente de que en la actualidad un ente regulador no exija contar con un sistema de gestión de prevención de lavado de activos y financiación del terrorismo, es importante que las entidades del sector real entiendan que implementarlo significa ir un paso adelante en temas de prevención, ya que cada vez más estamos expuestos o vulnerables a este tipo de delitos. 

Las amenazas pueden reflejarse tanto interna como externamente y se dan por la falta de controles, cultura del riesgo, personal no preparado, procedimientos mal ejecutados y tecnologías obsoletas 

Hay que tener claro que este tipo de riesgos pueden aparecer en cualquier momento y que su impacto es muy alto, que afecta el valor humano, financiero, de negocios y de infraestructura, llegando hasta el impacto reputacional y legal, esto  sin importar el tamaño de la compañía, lo que lleva a que se dificulte el cumplimiento de los objetivos. 

Implementar un sistema de gestión de riesgos LAFT reduce el riesgo de sanciones legales y contribuyen a que la imagen y reputación de la organización sea mejor ante el público. 

"Más allá de las exigencias normativas, cada día la relación con clientes, usuarios,  empleados, accionistas, proveedores, contrapartes y corresponsales, va girando en torno a los cambios tecnológicos y a las exigencias del mercado.  Las nuevas tendencias sobre la forma de hacer negocios obliga a que se impregne de dinámica la forma como se le debe hacer seguimiento a los riesgos, que en últimas están soportados en los procedimientos que le permiten a la institución cumplir con sus objetivos para mantenerse competitivos"; afirma Alexander Devia, Miembro de la asociación de especialistas en FIBA como Anti Money Laundering Certified Associate y especialista en administración de riesgo de lavado de activos y financiación del terrorismo.

Por otro lado, se debe tener en cuenta que existe un modelo de buenas prácticas NRS (Negocios Responsables y seguros), el cual brinda algunas claves para que la gestión se haga de manera adecuada.

Este programa está liderado por la Cámara de Comercio de Bogotá (CCB), la oficina de Naciones Unidas con la droga y el delito y la Embajada Británica en Colombia. 

¿Para qué sirve el Modelo NRS?

  • Contribuyen a la prevención de delitos como el lavado de activos, la financiación del terrorismo y el contrabando. 
  • Favorecen la permanencia y sostenibilidad de los negocios.
  •  Atraen inversionistas.
  •  Generan seguridad y confianza sectorial.
  • Desarrollan una gestión empresarial responsable y segura. 
  • Mejoran la toma de decisiones estratégicas. 
  • Fomentan la competencia económica legítima.

Fuente: Modelo de Gestión del Riesgo de LA/FT para el sector real, por Negocios responsables y seguros, Embajada Británica Bogotá, UNODC y Cámara de Comercio de Bogotá.

Etapas del modelo de gestión del sistema LAFT en el sector real

Varios autores conocedores de las metodologías para administrar riesgos, coinciden en un orden lógico, que de hecho es exigido por la normatividad local e internacional. 

Esto en términos generales obliga a un conocimiento claro del negocio (análisis del contexto), que implica analizar de manera transversal los procesos relevantes de la institución; incluyendo los procesos estratégicos, al igual que los procesos de apoyo,   involucrando a los responsables expertos en la operación quienes aportaran en la identificación de los riesgos, en la medición o evaluación de los mismos y en la consecución de controles, para el posterior seguimiento.  

h_-23

Finalmente deberá existir un área o personal dedicado al proceso de monitoreo, que le permitirá cerrar el ciclo luego de haber generado planes de acción que corrijan y/o mitiguen el impacto de los riesgos que se evaluaron, ya que un sistema de gestión de riesgos es dinámico.   

El modelo de gestión de riesgo para el sector real debe contemplar los procesos más álgidos de la institución, debe permitir la identificación oportuna para una administración eficiente  de sus riesgos, apoyada en tecnología de punta y con el aval incondicional por parte de sus directivos”, sostiene Devia. 

Cabe resaltar que este modelo se basa en la normativa y guía internacional COSO.

El modelo de gestión de riesgo para el sector real

Etapa 1

Diagnóstico y definición de metodología 

En esta etapa lo que se busca es comprometer a los altos directivos de la empresa y miembros a que conozcan el contexto de los negocios, con el fin de que una vez se entienda esto se pueda realizar el diagnóstico de los riesgos a los que están expuestos.

Para impregnar este compromiso dentro de la compañía se debe crear una cultura de gestión del riesgo, para que todos los empleados estén enterados de cuáles son las actividades que están relacionadas al lavado de activos y financiación del terrorismo con el fin de evitar de que puedan llevarlas a cabo en algún momento por falta de conocimiento, para esto se recomienda establecer códigos éticos o manuales institucionales que contengan esta información. Al igual que la divulgación constante de información relacionada, para crear una apropiada cultura, ya que es uno de los temas que lleva más tiempo y que al ser un tema transversal a la compañía, es importante el compromiso de todos.

Por otro lado, es indispensable analizar el contexto interno y externo de la organización, teniendo este conocimiento a profundidad hará que sea mucho más fácil establecer cuáles son los riesgos a los que se enfrenta la compañía, para evitar que estos intervengan negativamente en el cumplimiento de objetivos y metas.

Una vez realizado el diagnóstico y definido cómo y dónde estamos ubicados, debemos iniciar con la definición de la metodología a aplicar. 

Cuando iniciamos con la definición de metodología para implementar el sistema para la prevención del riesgo LAFT, empezamos a buscar en normas y documentación sobre otras empresas que ya lo tengan implementado, esto es bueno, pero es importante tener en cuenta estos sistemas son totalmente adaptables y que lo más importante es el cumplimiento de los requerimientos mínimos en el caso de los que ya se encuentran obligados por un ente regulador y para el caso de los que lo adoptan por buenas prácticas, el objetivo es el de la prevención de la materialización de dicho riesgo. 

Adicional a los factores o generadores de riesgo que se conoce para otro sistemas de riesgo, como lo son el recurso humano, los procesos, infraestructura, tecnología, en el sistema LAFT aparece otro análisis que es identificar los canales por donde se puede generar el riesgo, estos son: los clientes los productos, canales de distribución, jurisdicción o zona geográfica. 

Definir los objetivos del sistema LAFT: es indispensable que estos estén alineados con los objetivos de la entidad en general, ya que deben ser transversales a los demás procesos y se deben dar a conocer para que finalmente se dé el cumplimiento. 

Definir las políticas del sistema LAFT: las políticas deben ser mandatos alcanzables, prácticos,  que se encuentren redactados de forma sencilla y que contemple el qué se pretende, el cómo, cuándo y los responsables, además de esto deben estar documentados en los diferentes manuales propios del sistema, así como apoyarse contar con un código ético o de Buen Gobierno servirá como guía para la creación de las políticas.

Definir la estructura de la empresa: así como hay una estructura organizacional de la empresa, se debe tener también definir una estructura con responsabilidades  propias del sistema LAFT, esto facilitará la administración de los riesgos de LAFT, está irá 100 por ciento ligada a la cultura organizacional y normalmente está compuesta por:

  • Junta directiva
  • Representante legal
  • Oficial de cumplimiento 
  • Personas que apoyan y gestionan el sistema de LAFT 
  • Comité de riesgo LAFT 
  • Responsables de los procesos en donde existan riesgos LAFT
  • Todos los miembros de la compañía

Definición del sistema de control interno: se definirá quienes son los responsables y bajo qué metodologías se trabajará para darle cumplimiento a la administración del riesgo LAFT, verificar si los controles que se están haciendo son los correctos y efectivos. Se deben identificar también los órganos control que estarán a cargo ya sea el comité de auditoría, gestor interno y revisor fiscal.

La fase del diagnóstico y definición de la metodología a aplicar es fundamental para llevar a cabo las etapas de la gestión del riesgo LAFT en el sector real.

Gestión del Riesgo

Etapa 2

Identificación de riesgos LAFT

De acuerdo a la metodología definida, se inicia con la definición de los procesos vulnerables a la materialización de riesgos y se inicia la identificación de los riesgos inherentes a los que está expuesta, esto se debe hace con cada uno de los factores de riesgo que se definieron en la etapa de diagnóstico.

Se recomienda clasificarlos de la siguiente forma:

  • Alto
  • Medio
  • Bajo

Si ya existen algún tipo de matrices establecidas para la identificación de riesgos se pueden hacer uso de las mismas, haciendo las adaptaciones necesarias,  en caso tal de que no haya es indispensable crearla de acuerdo a la definido en la metodología, tenga en cuenta que allí debe tener el listado de riesgos identificados, darle una medición a la probabilidad de que aparezcan, la evaluación del impacto, el cálculo del riesgo total y esta se debe actualizar constantemente con el equipo. 

Para el reconocimientos de los riesgos se debe tener en cuenta los riesgos ya se materializaron o los que puedan llegar a materializar de acuerdo a los siguientes criterios:

  1. Enumerar los eventos de riesgo
    Hacer un listado de los riesgos que han surgido o que puedan llegar a surgir en cada una de las áreas de la compañía interna o externamente. 
  2. Definir qué puede suceder
    Una vez se tengan los riesgos identificados a estos se les debe agregar los incidentes que se puedan presentar, esto con el fin de saber qué consecuencias e impacto puede traer en caso de que aparezcan.
  3. Definir cómo puede suceder
    Acá se determinará las causas, es decir en qué situaciones el riesgo se puede materializar, entender el origen de su naturaleza.

A continuación se muestra un ejemplo de la manera en que se puede iniciar con un listado o inventario de riesgos.

Modelo de Gestión del Riesgo de LA/FT para el sector real, por Negocios responsables y seguros, Embajada Británica Bogotá, UNODC y Cámara de Comercio de Bogotá.

Etapa 3

Medición de los riesgos LAFT

En esta etapa se debe determinar el nivel de probabilidad de ocurrencia del riesgo y el impacto que este traería en caso de llegar a materializarse. 

De acuerdo a estándares internacionales una de las formas más comunes y que hace parte de las buenas prácticas es que a través de estimaciones cualitativas se haga la medición del riesgo como el análisis de tipologías, conocimiento de expertos y experiencia de la industria, además se debe tener en cuenta los siguientes criterios.

Probabilidad e impacto

La probabilidad se refiere al grado de ocurrencia de un riesgo y se puede clasificar en: muy probable, probable y raro.

En cuanto al impacto se refiere a las consecuencias o daños que el riesgo pueda tener sobre la organización y este se puede clasificar en alto, medio o bajo. 

Procedimientos para la medición del riesgo LAFT
  1. Identificar el impacto y la probabilidad de que se materialice el riesgo.
  2. Evaluación de los riesgos teniendo en cuenta el nivel de impacto y la probabilidad de que ocurra.
  3. Darle importancia a los riesgos de acuerdo a la clasificación que se hizo de los mismo basándose en los criterios de calificación. 
  4. Aquellos impactos de riesgos que estén en el listado de altos y medios deben contar con los adecuados procedimientos y controles  para realizar la adecuada mitigación.
  5. La importancia de la matriz de riesgo es vital, ya que cada factor de riesgo y eventos deben estar registrados allí.

Etapa 4

Controles

Estos se dividen en tipo y forma de control de acuerdo a su implementación. Lo que se busca es que se tomen las medidas necesarias para mitigar y bajar la posibilidad de ocurrencia e impacto de los riesgos y brindar alguna alerta para detectar alguna actividad sospechosa o inusual, con el fin de que se puedan tomar los correctivos para mitigar los riesgos que se puedan presentar y afecten de manera directa el cumplimiento de objetivos dentro de la organización. 

Tipos de controles
  • Preventivo: Se ejecuta para prevenir los riesgo LAFT.
  • Detectivo: se pone en marcha cuando hay una actividad inusual que indique algún tipo de alerta.
Clasificación de controles
  • Implementado: el control está registrado y funciona de manera correcta.
  • Desarrollo: el control está diseñado pero no ha interactuado. 
  • No existe: no se ha creado. 
Valoración de controles
  • Fuerte: los controles son efectivos y eficaces y funcionan perfectamente.
  • Moderado: hay fallas en su implementación y se necesitan ajustes.
  • Débil: no son los adecuados.

Etapa 5

Documentación y divulgación

Es importante contar con un sistema de documentos y registros en donde se condensa la información de cada una de las etapas para que tener disponibilidad inmediata de datos, oportunidad de mejora y confiabilidad.

Por otro lado, el generar reportes contribuye a que la gestión sea efectiva y eficiente, ya que esto garantiza que los procedimientos que se están llevando son los adecuados y cumplen con la normativa establecida, al igual apoya la toma de decisiones.

Se debe tener en cuenta, que al igual que los riesgos y los controles, la documentación debe ser revisada con una periodicidad para mantenerlos actualizarlos y acorde con los cambios presentados. 

herramientas_sarlaft

Es de vital importancia darle a conocer a todos los miembros de la compañía, información sobre el sistema que se está implementado para esto se deben realizar capacitaciones y estrategias de comunicación que contribuyan a crear conciencia y cultura para que estén informados de cómo será la gestión, con el fin de que puedan estar alertas y en caso de ver alguna actividad sospechosa puedan intervenir.

Es importante definir quiénes serán los responsables de realizar esta documentación, con el fin de que la información que se agregue sea la adecuada y verídica. 

Etapa 6

Seguimiento o monitoreo

  1. Verificar que lo definido en el objetivo y metodología del sistema se esté cumpliendo de manera efectiva. 
  2. Crear un plan de seguimiento que permita detectar las falencias que se están presentando en cada una de las fases con el fin de hacer mejoras y a la vez identificar cuáles son las buenas prácticas
  3. Garantizar que los controles estén funcionando de la manera adecuada. 
  4. Los gestores deben hacer el respectivo seguimiento a los riesgos. 
  5. Validar que el objetivo de prevenir la materialización del riesgo se esté cumpliendo.
  6. Validar que se efectuaron los ajustes necesarios al sistema.
  7. Acá se revisará si el sistema implementado está surgiendo efecto positivo dentro de la compañía, si el tratamiento a los riesgos es oportuno y eficaz.

"Persiste el temor, usando la jerga coloquial de “meter las manos al fuego”, en garantizar el resultado exitoso de las metodologías que se apliquen.  Esto en el entendido que un sistema podrá ser exitoso si ninguno de sus eslabones se quiebra, estos son: sapiencia (líder capacitado), conocimiento (personal capaz), buena tecnología (aplicativo de administración de riesgos), reacción inmediata (disposición al cambio), recursos a la mano (apoyo directivo), planes de acción medibles y reales (compromiso de todos)", puntualiza Devia.   

El modelo de gestión de riesgos debe estar acorde al tipo de sector donde se mueva la institución,  en cumplimiento de los pilares mínimos de aplicación referentes a conocimiento del cliente y contrapartes (debida diligencia), al seguimiento de operaciones (monitoreo), al mantenimiento de la información (actualización), a la determinación del riesgo (administración de riesgos) y en sí,  a tener que ordenar bajo el marco de supervisión de riesgos, todas sus actividades.  

elementoslaft-1
elementoslaft-2
elementoslaft-3

El solo hecho de tener un cliente o cualquier tipo de relación contractual, hace que usted cuente con un sin número de riesgos inherentes que deberá evaluar para conocer qué tan cerca al fuego su empresa se encuentra. 

"La cadena de valor de los factores de riesgo, dependerá siempre del tipo de actividad económica que desempeñe su institución;  sin embargo, sea cual sea su actividad, el cumplimiento de sus objetivos lo llevará por tener que conocer el riesgo de su CLIENTE / CONTRAPARTE / USUARIO,  del PRODUCTO o servicio que usted presta, el CANAL DE DISTRIBUCIÓN por donde se mueve su operación y la JURISDICCIÓN o zona en donde desarrolla usted la actividad en cumplimiento de su objeto social", concluye Devia.

Políticas de prevención

  1. Verificar si las políticas existentes son las necesarias o si  se deben implementar más medidas para mitigar los riesgos LAFT.
  2. Definir responsables para la implementación de las políticas contra los riesgos. 
  3. Definir medidas preventivas contra los riesgos definidos.
  4. Definir las maneras de actuar en el caso de la materialización de un riesgo.

management

Vea la importancia de regirse bajo las normas que otorgan los entes internacionales.

Órganos internacionales

Naciones Unidas

Mediante la Convención de las Naciones Unidas contra la Corrupción, suscrita en Mérida en 2003, uno de los principales propósitos es el de promover la cooperación para prevenir y combatir eficazmente la corrupción. Esta convención establece algunas medidas, entre las cuales se mencionan la reglamentación y supervisión de los bancos para prevenir y detectar todas las formas de blanqueo de dinero, la posibilidad de establecer una dependencia de inteligencia financiera, medidas viables para detectar y vigilar el movimiento transfronterizo de efectivo y de títulos negociables, medidas apropiadas para las - 59 - instituciones que remiten dinero, y promover la cooperación mundial, regional, subregional y bilateral para combatir el blanqueo de dinero.

Gafi (Grupo de Acción Financiera Internacional)

El Grupo de Acción Financiera Internacional o Financial Action Task Force, es un organismo intergubernamental, cuyo propósito es el desarrollo y la promoción de políticas nacionales e internacionales para combatir el lavado de dinero y la financiación del terrorismo. 

Gafisud

Es una organización intergubernamental de base regional del GAFI, que agrupa a los países de América del Sur para combatir el lavado de dinero y la financiación del terrorismo, a través del compromiso de mejora continua de las políticas nacionales contra ambos temas y la profundización en los distintos mecanismos de cooperación entre los países miembros.

Tomado de: Modelo de Gestión del Riesgo de LA/FT para el sector real, por Negocios responsables y seguros, Embajada Británica Bogotá, UNODC y Cámara de Comercio de Bogotá. 

Descargue el ebook gratuito y conozca la estructura del sistema de gestión del riesgo LAFT en el sector real

 

Compártalo en sus redes sociales