Cuando se habla de gestionar el riesgo y construir una matriz de riesgo LAFT holística, se hace referencia a los procedimientos, metodologías y herramientas que utilizan las organizaciones, para identificar, medir y mitigar el riesgo. Dentro de las normatividades vigentes para el Sector Real (Circular 100-000016), la Superintendencia Financiera de Colombia (Circular 027 de 2020) y así como otras normatividades aplicables a otros sectores, exigen a las entidades obligadas a implementar metodologías de riesgo que permitan identificar, prevenir, controlar y gestionar el Riesgo de LA/FT/FPADM.
Los sistemas de administración que deben implementar las entidades obligadas para gestionar el riesgo de LA/FT, se instrumenta a través de las etapas y elementos, correspondiendo las primeras a las fases o pasos sistemáticos e interrelacionados mediante los cuales las entidades administran el riesgo de LA/FT, y los segundos al conjunto de componentes a través de los cuales se instrumenta de forma organizada y metódica la administración del riesgo de LA/FT en las entidades.
Como punto de partida, la nueva regulación exige a las entidades vigiladas elaborar una matriz de riesgo la cual se encuentra definida por la Circular Externa 027 de la Superintendencia Financiera de Colombia como:
“Matriz de riesgo: Es una herramienta que facilita una evaluación de riesgos holística, que debe cumplir con las disposiciones del subnumeral 4.2.2.3.5. del presente Capítulo”
En esta Circular, la Superintendencia Financiera de Colombia le está pidiendo específicamente a las entidades vigiladas la elaboración de su matriz de riesgo. Dichas matrices, según se aclara allí, no solo deben permitir identificar y ubicar los eventos de riesgos a los que está expuesta la entidad, sino que además debe permitir dar cumplimiento a los siguientes puntos:
a. Relacionar cada evento con cada uno de los segmentos de los factores de riesgo en los que se podrían materializar los mismos.
b. Relacionar cada evento de riesgo con su calificación de riesgo inherente y residual, calculado en función de su probabilidad de ocurrencia e impacto por cada uno de los riesgos asociados.
c. Relacionar cada evento de riesgo con los controles existentes para reducir la probabilidad y/o el impacto de ocurrencia, y con la efectividad de esos controles.
Entendiendo la importancia de la matriz de riesgo dentro de la administración de los sistemas de prevención del riesgo LA/FT/FPDAM, a continuación, se desarrollan los criterios metodológicos principales que recomendamos seguir para que esta herramienta sirva como un instrumento para una gestión efectiva, eficiente y oportuna de los sistemas de prevención del riesgo LA/FT/FPADM por parte de las entidades.
Etapas para la construcción de una Matriz de Riesgo Holística
1. Establecer el contexto interno y externo en el que se desenvuelve la empresa
La matriz de riesgo y las metodologías de riesgo deben tomar en consideración el contexto interno y el contexto externo de la entidad. Este último determinado por las condiciones sociales, políticas, económicas, culturales y de seguridad de las jurisdicciones en que opera la entidad. Mientras que el contexto interno es definido como el ambiente interior, determinado por factores organizacionales como el gobierno corporativo, el mapa de procesos o los controles existentes, así como también las políticas, reglamentos, protocolos y demás normas que dirigen el funcionamiento interno de la organización. El conocimiento del contexto externo es fundamental para que la entidad pueda identificar y medir sus amenazas, mientras que el conocimiento del contexto interno es esencial para la determinación de las vulnerabilidades de la organización. Finalmente, el riesgo es una función de las amenazas y las vulnerabilidades a las que está expuesta una entidad.
En la evaluación y entendimiento de los contextos se debe incluir un análisis de tipologías LA/FT que se pueden presentar en la entidad, haciendo una preselección de las mismas. Estas servirán como insumo para la determinación de los eventos de riesgos específicos de la entidad, para la construcción de los monitoreos basados en tipologías y para determinar las señales de alerta que serán también un insumo para la matriz de riesgo LA/FT/FPADM.
Las entidades deben documentar el análisis de estos contextos, así como la metodología usada para evaluarlo, al igual se deben describir cuáles son las amenazas y vulnerabilidades LA/FT identificadas y el impacto que tiene esa evaluación de contexto en la valoración del riesgo al que está expuesta la entidad. Adicionalmente este documento debe describir el nicho de mercado, particularidades de los productos, de los canales, agencias u oficinas y todos los posibles factores internos que puedan influir en los objetivos del negocio.
2. Establecer la metodología de riesgo LA/FT/FPDAM
Para el desarrollo de un sistema de gestión de riesgos de Lavado de Activos y/o Financiación al Terrorismo y/o Financiación de la Proliferación de Armas de Destrucción Masiva, existen varios estándares que se pueden tener en cuenta, estos tienen como propósito desarrollar el marco conceptual sobre el cual se basó la metodología, la justificación de las decisiones metodológicas y la documentación de las actividades realizadas.
Existen varios estándares que se pueden tener en cuenta, dentro de ellos se tienen los siguientes:
- La Norma Técnica Colombiana NTC – ISO 31000 2018, NTC-IEC/ISO 31010 2020
- Norma Australiana Neozelandesa AS/NZS 4360
- Modelo de administración del riesgo corporativo COSO
- Otros estándares internacionales
La importancia radica en seleccionar un estándar que se ajuste a cada compañía, a sus necesidades, experiencia, entre otros. Independiente de la metodología seleccionada se deben desarrollar todas las etapas, elementos, componentes y/o los principios asociados a los mismos, ya que estos actúan de forma integrada y sistémica, es decir, cada uno afecta y permite el funcionamiento de los otros. De ahí que la falta de un componente no se pueda mitigar con la existencia de los demás.
3. Identificación del riesgo
El objetivo de esta etapa consiste en identificar las formas como se pueden presentar los riesgos vinculados al delito del Lavado de Activos y/o Financiación al Terrorismo y/o Financiación de las Armas de Destrucción Masiva en los cuales puede verse expuesta la entidad en función y desarrollo de su objeto social, los cuales se establecen con el fin de gestionar, controlar y minimizar razonablemente su ocurrencia e impacto en la Entidad.
Para un adecuado desarrollo de esta etapa se deberán tener en cuenta como mínimo las siguientes premisas:
a. La identificación de los eventos de riesgo se hará para cada uno de los factores de riesgo LA/FT que se hayan definido en la evaluación de contexto interno y externo. Para estos efectos se sugiere aplicar a cada uno de los factores de riesgo que se hayan definido, matrices de riesgo independientes.
b. La identificación de riesgos se realiza dentro de los segmentos resultantes para cada uno de los factores de factores de riesgo LA/FT como mínimo: clientes, productos, canales y jurisdicciones.
c. Se recomienda elaborar una lista de los posibles eventos de riesgo, para posterior a esto poder efectuar la respectiva asociación a los segmentos de los factores. Para la construcción de estos eventos se puede utilizar como insumo la evaluación de contextos, informes de tipologías y señales de alerta de organismos internacionales, documentos expedidos por las unidades de análisis financiero, documentos y recomendaciones internacionales, sobre prevención de LA/FT, entre otros.
d. Cuando se tienen nombrados y descritos los riesgos se deben identificar sus causas internas y externas, describiéndolas como los motivos o circunstancias por las cuales se puede ocasionar el riesgo.
Una vez concluida la etapa de identificación de riesgos a través de la lista global de eventos desarrollados en la matriz de riesgo, estos se incorporarán como corresponde en los diferentes segmentos de riesgo de LA/FT establecidos en la entidad, producto de la segmentación de los factores de riesgo LA/FT/FPADM que se establezcan en el desarrollo de los sistemas de prevención LAFT.
4. Medición o valoración del riesgo LA/FT/FPDAM
El análisis de riesgos de LA/FT involucra medir la probabilidad o posibilidad de ocurrencia del riesgo inherente de LA/FT de cada uno de los eventos de riesgo en cada una de las matrices de riesgos diseñadas para cada factor de riesgo, así como el impacto en caso de materializarse mediante los riesgos asociados.
Para un adecuado desarrollo de esta etapa se deberán tener en cuenta como mínimo las siguientes premisas:
a. La medición de la probabilidad de ocurrencia y el impacto por cada uno de los riesgos asociados se efectúa sobre cada uno de los eventos de riesgo identificados para cada segmento de los factores de riesgo LA/FT.
b. Se recomienda definir para la probabilidad, el impacto por cada uno de los riesgos asociados y la severidad unas escalas de riesgos asignándole un nombre, un valor y una descripción del significado de cada uno de los niveles.
c. La definición de la escala de impacto por los riesgos asociados se deberá efectuar por cada riesgo asociado a saber: legal, reputacional, operativo y de contagio, entendiendo por estos, los factores que más afectarían la entidad al presentarse un riesgo. Estos riesgos se pueden ponderar según la relevancia o importancia de cada uno, posteriormente se construye una escala general de medición que contiene las escalas de valores y descripciones graduales de cada riesgo asociado.
d. Resultado de las escalas definidas en los literales anteriores, se efectúa un mapa de calor basado en asignar el riesgo gráfico, según el nivel de importancia de cada zona o grado de calificación, asociado a la frecuencia y el impacto, con el fin de obtener el nivel de exposición de cada uno de los riesgos LAFT dentro de la matriz y de esta manera para los eventos ubicados en las áreas sombreadas en colores críticos adoptar medidas de control para disminuir su posibilidad de ocurrencia y/o impacto en caso de materializarse.
Una vez se tiene la medición del riesgo inherente para cada uno de los eventos se procederá a efectuar la medición consolidada de los eventos de riesgo que aplican a cada uno de los segmentos, de esta manera se obtiene el perfil de riesgo inherente del segmento. Después de expresarlo a nivel de cada segmento se obtiene la consolidación para el factor de riesgo aplicable y finalmente se consolida el riesgo LA/FT/FPADM por todos los factores de riesgo, es decir para la entidad.
5. Control
Una vez identificados y medidos los eventos de riesgo inherente se evalúan los controles existentes mitigantes del riesgo, esto dará como resultado el valor de riesgo residual, buscando que los mismos se encuentren en el nivel de aceptación o tolerancia establecidos.
Los controles de los Sistema de Gestión del Riesgo de LA/FT, se calificarán de acuerdo con los tipos y formas de control frente al estado de su implementación. Estas clasificaciones pueden incluir entre otras:
a. Tipo de control: Se refiere a la forma en cómo se efectúa la aplicación del control, donde se establecen las siguientes categorías:
- Control preventivo: se aplica sobre la causa del riesgo y su agente generador
- Control detectivo: es una alarma que se acciona frente a una situación anormal, como, por ejemplo, las señales de alerta.
- Control correctivo: Permiten corregir las desviaciones y prevenir que estas vuelvan a ocurrir.
b. Formas de control: Se refiere a la forma en cómo se efectúa la aplicación del control, donde se establecen las siguientes categorías
- Controles manuales: son las acciones que realizan las personas responsables de un proceso o actividad.
- Controles automáticos: son procedimientos aplicados desde un computador en un software de soporte; diseñados para prevenir, detectar o corregir errores o deficiencias, sin que tenga que intervenir el hombre en el proceso.
c. Cobertura: Se relaciona con el alcance del control en su cubrimiento, para ellos se establecen las siguientes categorías:
- Controles totales: La aplicación del control se hace sobre todos los segmentos de los factores de riesgo LAFT.
- Controles parciales: Es un control que aplica sobre algunos segmentos de los factores de riesgo LAFT.
Se pueden incluir criterios adicionales para clasificar los controles, sin embargo, todos aquellos que sean utilizados deben permitir evaluar la efectividad de los controles en la mitigación de los riesgos LA/FT/FPADM. Adicionalmente, para el calculo de la efectividad se puede definir pesos diferenciales para cada atributo dependiendo de su efecto en la eficacia del control.
Adicionalmente, para un adecuado desarrollo de esta etapa se deberán tener en cuenta las siguientes premisas:
a. Definir la periodicidad de evaluación de la efectividad de los controles y la persona o área encarga de su evaluación.
b. Asociar por cada evento de riesgo los controles que permiten mitigar el riesgo y para cada uno de los controles efectuar el calculo de la efectividad de acuerdo con los atributos y escalas definidos.
c. A cada control se le debe asociar la disminución en frecuencia, impacto o ambos. En relacion con el impacto es necesario indicar el o los riesgos asociados que se ven disminuidos posterior a la aplicación de los controles. Para llegar a la medición del riesgo residual se realizará la evaluación de la efectividad del grupo de controles que apliquen al riesgo.
Una vez se ha realizado la calificación del riesgo residual, con base en la clasificación y calificación de los controles, la metodología de control de riesgos de LA/FT/FPADM, se ejecutará con base en: la identificación de la gama de opciones para tratar el riesgo, la evaluación de dichas opciones, la preparación de planes para el tratamiento del riesgo y su implementación.
6. Monitoreo
De acuerdo con estándares para la Gestión de Riesgo, es necesario monitorear los riesgos, la eficacia del plan de tratamiento del riesgo, las estrategias y el sistema de gestión que se establece para controlar la implementación. Deben monitorearse los riesgos y la eficacia de las medidas de control a fin de garantizar que las circunstancias que hayan cambiado no alteren las prioridades del riesgo.
La etapa de Monitoreo busca dar cumplimiento a los siguientes objetivos:
a. Desarrollar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias en las etapas del Sistema, en este proceso se debe definir la periodicidad la cual recomendamos sea no mayor a semestral.
b. Asegurar que los controles sean comprensivos de todos los riesgos y que estén funcionando en forma oportuna y efectiva.
c. Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.
Algunos expertos consideran: “Una de las etapas más importantes en todo sistema de administración de riesgos, es el monitoreo o seguimiento de éste. La etapa de monitoreo en el esquema de administración de riesgos tiene como propósito monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación.”
Conclusiones
Las regulaciones actuales buscan que las entidades elaboren una matriz de riesgo que permita conocer y ver con claridad la medida y la relación existente entre los eventos de riesgo y los segmentos, el riesgo inherente, la efectividad de los controles y el riesgo residual. De tal suerte que esas matrices deben ser, en la práctica, una herramienta que permita apreciar el comportamiento global de los sistemas de prevención del riesgo LAFT/FPADM, en términos de su efectividad.
Es por esto, que las metodologías de gestión del riesgo LA/FT/FPADM deben como mínimo incorporar:
a. Matrices de riesgo que permitan apreciar y evaluar las relaciones entre eventos de riesgo, probabilidad, impacto, riesgo residual, señales de alerta, controles, efectividad de los controles y riesgo residual, segmentos de riesgo, contexto interno y contexto externo.
b. Matrices de riesgo que permitan determinar el perfil de riesgo inherente y residual para cada uno segmentos resultantes de los factores de riesgo LAFT y su posterior consolidación para calcular el nivel de riesgo de la entidad.
c. Mecanismos permanentes de monitoreo y medición de efectividad de los controles.
d. Evaluaciones de contexto interno y externo que nutran las matrices de riesgo, los modelos de segmentación y los mecanismos de monitoreo de efectividad de los controles.
En resumen, el modelo de gestión de riesgo LA/FT que buscan los supervisores tienen dos características esenciales: debe ser holístico y multidimensional. Holístico, en el sentido de incorporar todos los elementos de juicio que determinan el nivel de al riesgo LA/FT al que está expuesta la entidad. Y multidimensional, en el sentido de incorporar todos los elementos que componen los sistemas de prevención del riesgo.
Por: E. Moreno
¿Necesitas acompañamiento para definir la matriz de riesgo de tu empresa?
Déjanos tus datos y te acompañaremos en todo el proceso
