Tras la plenaria de octubre el Gafi publicó un documento titulado ‘Enfoque basado en riesgo para el sector bancario’, el cual suministra algunos controles y directrices para que las entidades puedan ajustar y optimizar sus sistemas internos de gestión de riesgo LA/FT.

 

¿Qué es el EBR?

El documento menciona que el enfoque basado en riesgo (EBR) es útil para que ‘‘los países, autoridades competentes e instituciones financieras identifiquen, evalúen y comprendan los riesgos LA/FT a los que están expuestos y tomen medidas acordes con dichos riesgos con el fin de mitigarlos efectivamente”. La publicación también hace la salvedad de que ninguno de los actores involucrados en prevenir el lavado de activos está exento de tomar medidas de prevención cuando los riesgos evaluados sean bajos.

 

EBR en la práctica

Según el documento, al momento de aplicar el EBR a los bancos los supervisores deben considerar “la evaluación y mitigación del riesgo propia del banco, y considerar el nivel de discreción permitido bajo el EBR de cada país”.

Respecto a los bancos, el documento indica que cuando identifiquen que el riesgo LA/FT es mayor, deben tomar medidas amplificadas para mitigarlo y dichas medidas, según el Gafi, corresponden a la aplicación de controles con mayor alcance, profundidad, frecuencia e intensidad.

La implementación del EBR por parte de la banca también implica la toma de una serie de decisiones que afectan la forma en que la entidad debe asignar los recursos destinados a sus procesos de cumplimiento, la organización de sus estructuras internas y de control interno, y la implementación de políticas y procedimientos para la detección y prevención del lavado de activos y financiación del terrorismo. 

El documento indica que la evaluación de los riesgos es la base del EBR, pues esta etapa debe permitir a los bancos entender cómo y hasta qué punto son vulnerables al riesgo de lavado de activos y la financiación del terrorismo. El Gafi también menciona que usualmente de este ejercicio se obtiene como resultado una “categorización estilizada del riesgo”, que se puede interpretar como una serie de niveles de riesgo que tienen la finalidad de mostrarle al banco en qué nivel de riesgo LA/FT se encuentra ubicado y por ende determinar los recursos necesarios para mitigar dicho riesgo.

El Gafi afirma que la evaluación de dicho riesgo depende del tamaño y complejidad de la entidad, para lo cual recomienda realizar una evaluación del riesgo simple cuando, por ejemplo, el banco tenga una gama de clientes homogénea y/o sus productos y servicios sean limitados. Caso contrario ocurriría cuando el banco ofrece productos y servicios complejos, y cuando existen varias subsidiarias u oficinas que atienden una base diversificada de clientes.

Lo anterior se puede resumir en la siguiente tabla: 

 

Adicionalmente, el documento suministra un listado de factores que deben considerar las entidades al momento de evaluar su riesgo, de los cuales infolaft selecciona los siguientes:

  • La cantidad de clientes que se tienen identificados como de alto riesgo.
  • Las jurisdicciones en las que participa el banco, tanto por sus propias actividades o por las actividades de sus clientes, especialmente las jurisdicciones con niveles relativamente altos de corrupción o crimen organizado, y/o con controles de prevención deficientes y listadas por el Gafi.
  • El volumen y cantidad de las transacciones del banco, considerando la actividad usual de la entidad y el perfil de sus clientes.

 

La mitigación de riesgos 

Dentro de la mitigación de los riesgos se encuentra la debida diligencia, el monitoreo continuo y el reporte. Según el documento, una vez identificados los riesgos, “[los] bancos deben desarrollar e implementar políticas y procedimientos para mitigar los riesgos LA/FT”. Para hacerlo se sugieren las siguientes acciones:

Debida diligencia

Un aspecto relevante que menciona la publicación es que la debida diligencia debe aplicar en todos los casos y que esta puede ser ajustada considerando la regulación vigente y los riesgos LA/FT asociados con el cliente. Con respecto a lo anterior, el Gafi menciona que “(…) la cantidad y tipo de información recolectada, y el alcance en que dicha información es verificada, debe incrementarse cuando los riesgos asociados con la relación del negocio son altos”.  

Monitoreo continuo

Además de la debida diligencia, las entidades deben realizar un monitoreo continuo, el cual es definido como “(…) el escrutinio de las transacciones para determinar si (…) son consistentes con el conocimiento que el banco tiene del cliente y la naturaleza y propósito del producto del banco y su relación comercial”.  

Según el documento, el monitoreo continuo involucra la detección en los cambios del perfil del cliente. En los casos donde el volumen transaccional de la entidad sea elevado y recurrente, dicho monitoreo debe realizarse de una forma automatizada, siendo esta la única forma realista para cumplir la labor. Con respecto a dichos sistemas automatizados, el Gafi hace una salvedad y recomienda a los bancos “entender sus reglas de operación, verificar con regularidad su integridad y revisar si están orientados a los riesgos LA/FT identificados”.

En cuanto al  EBR y al monitoreo continuo la publicación menciona que el monitoreo que deben llevar a cabo los bancos debe ajustarse dependiendo de los perfiles individuales de los clientes y la evaluación del riesgo LA/FT de la entidad.

Reportes

El documento hace mención del deber que deben cumplir los bancos de reportar a las unidades de inteligencia financiera cuando el banco sospecha o tiene suficientes argumentos para sospechar que los fondos están relacionados con la financiación del terrorismo y de actividades criminales. De forma complementaria a esta labor el Gafi observa que los bancos deben tener la capacidad para marcar o señalar las transacciones inusuales en sus sistemas y contar con un software especializado para la administración de casos con el fin de garantizar el seguimiento de las transacciones señaladas.

 

Controles internos, gobierno y monitoreo 

Controles internos

El Gafi menciona que “(…) los controles internos son un prerrequisito para la efectiva implementación de las políticas y procesos para mitigar los riesgos’’. Dentro de los ejemplos de controles internos suministrados por el documento se encuentran:

  • Acuerdos de gobierno corporativo que estipulen claramente las responsabilidades para mitigar el riesgo LA/FT.
  • Controles para hacer seguimiento a la integridad del personal, considerando la normatividad local y la evaluación del riesgo LA/FT a nivel país.
  • Controles para evaluar la efectividad de los procesos y políticas que emplea el banco para identificar, evaluar y monitorear el riesgo.

Gobierno Corporativo

El documento indica que “la implementación exitosa y operación efectiva de un EBR depende de un fuerte liderazgo gerencial y su supervisión en el desarrollo e implementación (…)”. El Gafi lista varias formas en las que la alta gerencia puede apoyar el programa de prevención LA/FT, las cuales se resumen a continuación:

  • Promover el cumplimiento como un valor central dentro de la entidad.
  • Implementar mecanismos adecuados de comunicación interna acerca de los riesgos potenciales y presentes que experimenta la institución.
  • Decidir acerca del nivel de riesgo residual que puede aceptar el banco.
  • Darle recursos suficientes a la unidad encargada de prevenir el lavado de activos.

Para lo anterior, según el documento, es requisito que la alta gerencia tenga conocimiento acerca del funcionamiento del marco del control de prevención LA/FT.

Garantizar el cumplimiento y el seguimiento

Con respecto a este punto el documento menciona que “el ambiente del control interno de un banco debe ser adecuado para asegurar la integridad, competencia y el cumplimiento del personal con las políticas y procedimientos pertinentes”. Para lograr lo anterior se requiere que los controles LA/FT estén en armonía con los demás controles que emplea la entidad (de negocio, financieros y operativos).

En este aparte el documento menciona aspectos relacionados con el recurso humano de la entidad, según los cuales los bancos deben realizar una investigación de antecedentes de su personal dependiendo de los riesgos LA/FT a los que están expuestos, y los funcionarios encargados de prevenir el LA/FT deben contar con la idoneidad y experticia necesarias para cumplir sus labores.

Capacitación y evaluación de controles

En cuanto al importante aspecto de la capacitación, el Gafi indica que esta debe caracterizarse por ser de alta calidad, obligatoria, efectiva, de carácter permanente y personalizada según las líneas de negocio del banco.

Finalmente, el documento trata sobre la evaluación de los controles y específicamente señala que el oficial de cumplimiento “(…) debe monitorear y evaluar los riesgos LA/FT a través del banco, así como la suficiencia y efectividad de las medidas que el banco ha puesto en práctica para mitigar dichos riesgos”.

La publicación hace referencia a la Recomendación 18, la cual exhorta a los países que sus bancos tengan una auditoría independiente para revisar su programa de prevención LA/FT. El documento suministra algunos ejemplos de controles internos, de los cuales infolaft extrae los siguientes:

  • Asegurar la confidencialidad del personal que reporta las operaciones sospechosas.
  • Establecer canales de consulta permanente con el personal para tratar temas de LA/FT.
  • Llevar a cabo actividades de prevención de tal manera que se perciban por todo el personal como un apoyo a la calidad de los servicios bancarios prestados a los clientes y como prueba de la integridad del banco.

 

 

Artículos Relacionados: Enfoque basado en riesgo y su aporte para la construcción de un modelo universal. Ed. 52.