Con el ánimo de guiar el desarrollo de esta etapa de identificación de eventos de riesgo, infolaft dará algunas pautas sobre la manera como las entidades pueden atender esta fase del sistema y para ello se debe señalar que es indispensable escoger una metodología de reconocido valor técnico. A continuación se hará referencia a la Norma Técnica NTC – ISO 31000.

 

Este artículo fue elaborado por Infolaft con base en la experiencia adquirida como prestador del servicio de listas restrictivas y de consultoría Sarlaft y Sagrlaft a cerca de 200 empresas del sector financiero, sector real, sector cooperativo, sector salud y de comercio exterior en Colombia y en varios países de Latinoamérica.

 

Sobre la identificación

Los sistemas de administración del riesgo de lavado de activos y de la financiación del terrorismo están conformados por etapas y elementos.

Las etapas corresponden a unas fases o pasos que se siguen para administrar el riesgo (identificación, medición y/o evaluación, control y monitoreo) y los elementos son componentes que permiten dar orden y método al sistema (políticas, procedimientos, estructura organizacional, herramientas tecnológicas y de capacitación).

La denominada etapa de ‘identificación’ lidera el inicio de la administración del riesgo, directriz que se observa desde que se lee la recomendación número uno del Grupo de Acción Financiera Internacional (Gafi), máxima autoridad a nivel mundial en la prevención y control del lavado de activos y la financiación del terrorismo (en adelante LA/FT).

Allí se insta a los países a identificar los riesgos y a tomar medidas disponiendo de los recursos para mitigar la probabilidad de ocurrencia y su impacto, en proporción al resultado de la evaluación de los riesgos identificados.

 

 

NTC – ISO 31000

La NTC – ISO 31000 es una actualización de la NTC 5254. La ISO 31000 interpreta que “la eficiencia del control está en el manejo de los riesgos, es decir, en lograr que el control garantice de manera razonable la reducción del riesgo” y, por lo tanto, que los objetivos de la entidad en materia de LA/FT sean alcanzables.

En el numeral 5.4.2 de la norma se describe la manera técnica como las entidades pueden abordar la etapa de identificación del riesgo, estableciendo lo siguiente:

 “La organización debería identificar:

  • Las fuentes de riesgo.
  • Las áreas de impacto.
  • Los eventos (incluyendo los cambios en las circunstancias) y
  • sus causas y consecuencias potenciales.

El objeto de esta fase es generar una lista exhaustiva de riesgos con base en aquellos eventos que podrían crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de los objetivos. Es importante identificar los riesgos asociados a la no búsqueda de oportunidades. La identificación exhaustiva es crítica porque un riesgo que no se identifique en esta fase no será incluido en una fase posterior”. (Negrilla fuera del texto original).

Como resultado de la aplicación de estos lineamientos es posible armar una tabla como la que se sugiere a continuación. Dicha tabla sirve para documentar el desarrollo de la etapa y organizar la lista de eventos para poder trabajarlos:

¿Cómo diligenciar la tabla?

Primero que todo, a continuación se hace claridad respecto a los campos contenidos en la tabla:

No.: se refiere al código que permite diferenciar cada evento de riesgo de los demás.

Fuente: es la información que sirve de punto de partida para la identificación del evento.

Área de impacto: nombre del área, proceso, producto o jurisdicción en donde se presenta el evento.

Descripción del evento: presentación detallada del evento de riesgo.

Frente al logro de los objetivos del Sarlaft: se refiere a la manera como infiere el evento en el logro de los objetivos de la entidad.

Causa: situaciones generadoras del evento, tales como: omisión o aplicación indebida de normas, carencia de valores y principios, inadecuación de la infraestructura organizacional y/o tecnológica, falta de política o procedimiento, fallas en los procesos, intención dolosa o culposa de clientes, empleados o proveedores, diferencias normativas.

Consecuencia/Riesgos asociados: pérdidas o daños que se pueden derivar del evento de riesgo, tales como legales, de reputación, de contagio y operativos.

 

Para lograr el diligenciamiento de la tabla la NTC ISO – 31000 establece que “la organización debería aplicar herramientas y técnicas para la identificación del riesgo que sean adecuadas a sus objetivos y capacidades, y a los riesgos que se enfrentan. La información pertinente y actualizada es importante para identificar los riesgos. Esta información debería incluir siempre que sea posible la información básica. En la identificación del riesgo se debería involucrar a las personas con el conocimiento apropiado”.

Ahora bien, para poner en marcha la técnica recomendada, es necesario tener en cuenta que el riesgo es el efecto de la incertidumbre sobre los objetivos trazados por la entidad para prevenir y controlar que de manera directa o indirecta se pueda materializar el delito de lavado de activos o de financiación del terrorismo.

Posteriormente, hay que definir las fuentes de riesgo, es decir, según la misma norma, los elementos que solos o en combinación tienen el potencial intrínseco de originar un riesgo, que para el caso de LA/FT y según la normatividad vigente en materia, pueden ser denominados: clientes, proveedores, empleados, usuarios, productos, canales de distribución y jurisdicciones.

Una vez se tiene claridad sobre las fuentes de riesgo y las áreas afectadas, se debe proceder a efectuar la lista de los eventos que las fuentes de riesgo pueden generar a la entidad.  Para ello hay que tener claridad sobre lo que la norma define como evento:

 

  • La presencia o cambio de un conjunto particular de circunstancias asociadas al riesgo de LA/FT.
  • Una o más ocurrencias que pueden tener varias causas del riesgo de LA/FT.
  • Algo que está sucediendo en la entidad, pero que tiene relación con el riesgo de LA/FT.
  • Una referencia a un ‘incidente’ o ‘accidente’.
  • Una referencia a un evento sin consecuencias, como un ‘cuasi accidente’, ‘incidente’, ‘situación de peligro’ o ‘conato de accidente.

 

Esas circunstancias, incidentes o situaciones pueden obtenerse utilizando, entre otras, las siguientes técnicas y/o herramientas:

 

  • Listas de chequeo ‘check list’.
  • Lluvia de ideas.
  • Entrevistas.
  • Juicios basados en la experiencia, utilizando personas con el conocimiento apropiado: el propósito es aprovechar el conocimiento colectivo de un grupo sobre el contexto y la marcha del negocio.
  • Juicios basados en los registros: el propósito es utilizar información pertinente y actualizada.
  • Diagramas de Flujo: el propósito es tener una visión detallada de los procesos, las interrelaciones entre las entradas, tareas, salidas y responsabilidades.

 

Una vez definida la técnica o una mezcla de ellas, se debe llevar a cabo la actividad teniendo en cuenta lo siguiente:

 

  • Contar con los objetivos de la entidad en materia de LA/FT, dado que ellos son la pauta de lo que se busca controlar o cuidar.
  • Contar con la información de tipologías, mejores prácticas y documentos nacionales e internacionales sobre LA/FT para revisarlos e identificar posibles eventos.
  • Contar con la información y la experiencia interna sobre LA/FT para revisarla e identificar posibles eventos. Algunos ejemplos son: análisis del historial de ROS enviados a la Uiaf, análisis del historial de requerimientos de autoridades relacionados con LA/FT, análisis de los delitos y sus delitos conexos que pueden cometerse en el desarrollo del objeto social de la entidad, análisis del historial de señales de alerta recibidas de LA/FT, análisis de eventos de riesgo ciertos reportados y análisis de incumplimiento de controles.
  • Definir la forma en que se van a expresar los eventos de riesgos (sintaxis).
  • Realizar la lista de los eventos de riesgo.
  • Tener en cuenta las preguntas claves para identificación del riesgo: ¿Qué puede suceder? ¿Cómo puede suceder? ¿Cuándo puede suceder?

 

Finalmente, y para completar la etapa de identificación y el cuadro propuesto, se recomienda el uso de técnicas de reconocido valor que permitan establecer las causas y consecuencias de cada uno de los eventos listados. Dentro de dichas técnicas se pueden mencionar las siguientes:

El diagrama de las espinas de pescado, denominado así por la forma que tiene el esquema, el cual facilita el análisis de los eventos listados en cuanto a la relación que existe entre los efectos y todas las causas o factores que originan dicho evento, por este motivo también recibe el nombre de diagrama de causa – efecto o diagrama causal.

Al aplicar esta técnica, en combinación con los juicios de expertos, es posible:

  • Identificar las causas verdaderas del evento.
  • Resumir todas aquellas relaciones entre las causas y efectos del evento.
  • Favorecer también el pensamiento del equipo, lo que conllevará un mayor aporte de ideas.
  • Obtener una visión más global y estructurada del evento, dado que se realiza una identificación de un conjunto de factores básicos.

 

 

El diagrama de los árboles de falla es una técnica lógica y estructurada que permite identificar todos los elementos asociados que pueden hacer que un evento ocurra.  Este tipo de diagrama proporciona una representación de la combinación de causas potenciales que permiten prever y planear adecuadamente, para lograr los objetivos del sistema de administración.

 

La aplicación de esta técnica trae como beneficio:

  • Identificar las causas del evento desde su raíz.
  • Identificar la fiabilidad en la ocurrencia del evento.

El diagrama de análisis de capas de protección (Lopa) es un método semicuantitativo que permite identificar las posibles consecuencias y frecuencia de los eventos listados.  Del lado cualitativo utiliza análisis de procesos y del lado cuantitativo utiliza la información de los árboles de fallas, permitiendo determinar y valorar el evento de forma intuitiva y reproducible a través de cada una de las capas de protección con las que cuenta, empezando por el diseño del proceso, de los controles y de las señales de alerta. Cada una de estas capas interactúa conjuntamente para mitigar los eventos.

El análisis Lopa ayuda a tomar decisiones coherentes conforme a la adecuación de las capas de protección que ya existen o que hayan sido propuestas para hacer frente a los eventos listados.

De cada una de las actividades se debe dejar como constancia un papel o archivo de trabajo con las observaciones y resultados obtenidos, documentación que sirve de soporte para las evaluaciones periódicas de los órganos de control, quienes tienen que evaluar las metodologías y modelos aplicados en la primera etapa de administración del sistema del riesgo de LA/FT.