Macroproceso SARLAFT

 

1. Segmentación. De acuerdo con la norma, la segmentación debe cumplir con dos finalidades principales:

• Segmentar los factores de riesgo en desarrollo de la etapa de identificación.
• A través de la segmentación las entidades deben determinar las características usuales de las transacciones que se desarrollan y compararlas con aquellas que realicen los clientes, a efectos de detectar las operaciones inusuales.

1. Identificación. Como resultado de esta etapa las entidades vigiladas deben estar en capacidad de identificar los factores de riesgo y los riesgos asociados a los que se ven expuestas en relación al riesgo de LA/FT.
2. Medición del riesgo inherente. Como resultado de esta etapa las entidades deben estar en capacidad de establecer el perfil de riesgo inherente de LA/FT de la entidad y las mediciones agregadas en cada factor de riesgo y en sus riesgos asociados.
3. Evaluación de la eficacia de los controles. Este proceso busca asegurar que los controles sean comprensivos de todos los riesgos y que los mismos estén funcionando en forma oportuna, efectiva y eficiente.
4. Medición del riesgo residual. Como resultado de esta etapa la entidad debe establecer el perfil de riesgo residual de LA/FT. El control debe traducirse en una disminución de la posibilidad de ocurrencia y/o del impacto del riesgo de LA/FT en caso de materializarse.
5. Monitoreo. Como resultado de esta etapa la entidad debe desarrollar reportes que permitan establecer las evoluciones del riesgo de la misma, así como la eficiencia de los controles implementados. Así mismo en esta etapa se deben determinar las operaciones inusuales y sospechosas.
6. Diseño de controles. El control debe traducirse en una disminución de la posibilidad de ocurrencia y/o del impacto del riesgo de LA/FT en caso de materializarse.
7. Seguimiento transaccional. Las entidades deben estar en capacidad de hacer seguimiento a las operaciones que realicen sus clientes y usuarios a través de los demás factores de riesgo.

Para dar cumplimiento a lo anterior las entidades deben como mínimo:

1. Realizar seguimiento a las operaciones con una frecuencia acorde a la evaluación de riesgo de los factores de riesgo involucrados en las operaciones.
2. Monitorear las operaciones realizadas en cada uno de los segmentos de los factores de riesgo.

   a) Análisis de operaciones sospechosas. La confrontación de las operaciones detectadas como inusuales, con la información acerca de los clientes o usuarios y de los mercados, debe permitir, conforme a las razones objetivas establecidas por la entidad, identificar si una operación es o no sospechosa y reportarlo de forma oportuna y eficiente a la UIAF.

De los anteriores procesos se deben obtener las siguientes salidas o productos.

1. Acciones de gestión de riesgo o acciones correctivas.
2. Controles, en forma de políticas, manuales, procedimientos, señales de alerta, etcétera.
3. Reporte de Operaciones Sospechosas, ROS. Cada proceso tiene sus particularidades, pero lo más importante es que cada uno se describe según sus elementos esenciales: entradas, metodologías, decisiones metodológicas, requisitos -legales y de calidad- y salidas. Es una forma muy completa de describir el flujo, las entradas, la transformación y las salidas. Al final, como resultado de todo el proceso, se obtienen ROS, Controles y Acciones de Gestión del Riesgo.

Los distintos procesos en los que hemos divido el Macroproceso SARLAFT se relacionan entre sí por sus distintas entradas y salidas. Por ejemplo, el resultado de la identificación de los eventos de riesgo es fundamental para la medición, por lo tanto estos dos procesos están relacionados y tienen una precedencia definida. Como macroproceso, el SARLAFT se ha dividido en nueve procesos, cada uno de los cuales ha sido caracterizado de acuerdo a unos componentes constantes que detallamos a continuación:

1. Entradas

   »» Internas: Información y decisiones de la entidad necesarias para el proceso.

   »» Externas: Información de otras entidades o autoridades sobre el riesgo de lavado de activos y financiación del terrorismo o sobre aspectos del SARLAFT.

2. Metodologías: Existe cierta libertad para seleccionar las metodologías apropiadas para las entidades, aun así el supervisor establece unos requisitos de rigor para algunas de éstas.
3. Decisiones metodológicas: Las metodologías son amplias y generales, y para convertirse en procesos deben ser desarrolladas por la entidad. Además, muchas implican el juicio del experto que debe tomar ciertas decisiones sin las cuales el trabajo sería improcedente.
4. Proceso: Éste puede ser descrito en términos de actividades y tareas. Este proceso debe adaptarse a los requisitos de las entidades y a las decisiones metodológicas particulares.
5. Requerimientos legales y de calidad: Todo proceso debe ser gestionado con una idea clara de los límites que impone la ley o la metodología para la realización del mismo.
6. Salidas: Son el resultado palpable y concreto de los procesos que conforman el SARLAFT. La transformación de las entradas genera valor para la entidad y permite una utilización concreta por los responsables del SARLAFT. Pueden ser salidas autónomas que sirven por sí solas como en el caso del ROS, o pueden ser productos intermedios que sirven de entrada para otro proceso como, por ejemplo, las mediciones.

A su vez, el macroproceso presenta cuatro etapas: identificación, medición, control y monitoreo.

Otra forma de ver el Macroproceso SARLAFT es como un conjunto de procesos que a su vez se componen de actividades y tareas.

El siguiente gráfico ilustra este concepto:

Existe una dificultad conceptual en convertir las cuatro etapas del SARLAFT en este macroproceso pues los temas de gestión de riesgo y seguimiento transaccional son muy distintos. Tal vez comparten conceptos e información, pero desde el punto de vista operativo son diferentes.

Entendemos que la detección es una forma de control, la más importante pero no la única. Por esta razón diferenciamos Monitoreo de Riesgo y Detección (seguimiento transaccional).

Los procesos de Medición y el Monitoreo del Riesgo deben ser estructurados de tal forma que quede claro que el diagnóstico del proceso de Medición implica tres componentes principales: riesgo inherente, controles y riesgo residual. Estos tres están relacionados, pero parten de entradas diferentes.

El riesgo inherente es muy teórico y conceptual, el riesgo residual es concreto y real, por lo cual hay varias formas de medirlo, mientras que los controles requieren de técnicas de evaluación bien particulares y diferentes, especialmente de auditorías.

El método de expertos puede ser la metodología común para estas mediciones, pero no en todos los casos. La relación entre estos tres pilares es una relación matemática que se puede expresar así:

Riesgo Residual = Riesgo Inherente – Eficacia de los Controles

De este modo, se divide la medición en tres etapas complementarias:

1. Medición del riesgo inherente,
2. Medición de la eficacia de los controles
3. Medición de del riesgo residual.

La Medición es importante para el Monitoreo, pero no es el Monitoreo en sí. Monitorear el riesgo requiere comparar las mediciones entre sí, pero también compararlas en el tiempo y frente a las pautas que la Junta Directiva haya establecido -perfil de riesgo aceptado o nivel de riesgo aceptable-. Por lo tanto, no se debe mezclar los procesos de medición -riesgo o controles- con el monitoreo.

Finalmente, además de las ventajas pedagógicas que trae el esquema, éste puede contribuir a la solución de las dificultades prácticas que pueda presentar la aplicación del SARLAFT.