Post on 16-Oct-2019
Juan Pablo Rodríguez CárdenasConsultor Antilavado – Antifraude – Anticorrupción
jrodriguez@ricsmanagement.com
Tegucigalpa, Honduras
Mayo de 2019
Prevención del Lavado de Activos, Delitos Financieros y Mejores
Prácticas - 2019
Matriz y mapa de riesgos de LA/FT: Una
herramienta de gestión de riesgos
Perfil Profesional
Juan Pablo Rodríguez Cárdenas
• Abogado de la Universidad Externado de Colombia, especialista en Derecho Penal y Ciencias Criminológicas de la mismaCasa de Estudios y especialista en Prevención y Control del Blanqueo de Capitales de la Fundación Universidad deSalamanca con estudios en Auditoría Basada en la Administración del Riesgo del CESA. Cuenta con entrenamiento enFundamentos de GRC y Profesional en GRC otorgados por OCEG (Open Compliance and Ethics Group) y estudios dePrácticas de Gobierno Corporativo y Arquitectura de Procesos enfocado en GRC.
• Consultor de Asobancaria y Fasecolda. Asesor Penal y Consultor Antilavado y Antifraude de diferentes entidadesfinancieras. Asesor Anticorrupción de la Auditoría General de la República.
• Capacitador en el Programa de Pasantías Financieras de la Oficina de las Naciones Unidas contra la Droga y el Delito ydel International Criminal Investigative Training Assistance Program – ICITAP para Fiscales y Policía Judicial.
• Conferencista local e internacional en Colombia, Venezuela, Ecuador, Perú, República Dominicana, El Salvador,Honduras, Nicaragua, Panamá, Estados Unidos, Argentina, Guatemala, Curazao, Chile, Paraguay, Uruguay, Puerto Rico yMexico.
• Profesor de Postgrado en Colombia, Nicaragua y Panamá. Profesor Investigador del Grupo de Investigación Javeriano deAuditoria Forense CIJAF de la Pontificia Universidad Javeriana de Colombia. Miembro de la Asociación Latinoamericanade Investigadores de Fraudes y Crímenes Financieros de República Dominicana, ALIFC. Autor de diferentes artículosespecializados en publicaciones internacionales.
• Socio de rics management Colombia y Director & Socio de rics management Panamá.
Agenda
• Introducción.
• Acuerdo conceptual.
• Componentes de la matriz de riesgo
LA/FT.
• Conclusiones.
Introducción
Cultura de cumplimiento
Literatura
Acuerdo conceptual de LA/FT
Modelo SAGRLAFT
GAFI
Recomendación 22 y 23
Acuerdo conceptual de gestión de riesgo
Autoevaluación de riesgos
https://www.youtube.com/watch?v=IQfZY5rvXX0
Foro Económico Mundial 2019
Riesgos empresariales
Fábrica de Pensamiento, IIA España.
ISO 31000 de 2009
1. Riesgo.
2. Gestión del riesgo.
3. Marco de referencia de la gestión del riesgo.
4. Política para la gestión del riesgo.
5. Actitud hacia el riesgo.
6. Plan para la gestión del riesgo.
7. Propietario del riesgo.
8. Proceso para la gestión del riesgo.
9. Valoración del riesgo.
10. Identificación del riesgo.
11. Fuente de riesgo.
12. Evento.
13. Consecuencia.
14. Probabilidad.
15. Perfil de riesgo.
16. Análisis del riesgo.
17. Criterios del riesgo.
18. Nivel de riesgo.
19. Evaluación del riesgo.
20. Tratamiento del riesgo.
21. Control.
22. Riesgo residual.
23. Monitoreo.
24. Revisión.
Fuente: Principios, marco de referencia y proceso. ISO31000:2018
Principios, marco de referencia y proceso. ISO31000:2018
Principios. ISO31000:2018
Integrada La gestión del riesgo es parte integral de todas las actividades de la organización.
Estructurada y exhaustivaUn enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a
resultados coherentes y comparables.
Adaptada
El marco de referencia y el proceso de la gestión del riesgo se adaptan y son
proporcionales a los contextos externo e interno de la organización relacionados
con sus objetivos.
Inclusiva
La participación apropiada y oportuna de las partes interesadas permite que se
consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una
mayor toma de conciencia y una gestión del riesgo informada.
Dinámica
Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los
contextos externo e interno de la organización. La gestión del riesgo anticipa,
detecta, reconoce y responde a esos cambios y eventos de una manera apropiada
y oportuna.
Mejor información disponible
Las entradas a la gestión del riesgo se basan en información histórica y
actualizada, así como en expectativas futuras. La gestión del riesgo tiene en
cuenta explícitamente cualquier limitación e incertidumbre asociada con tal
información y expectativas. La información debería ser oportuna, clara y disponible
para las partes interesadas pertinentes.
Factores humanos y
culturales
El comportamiento humano y la cultura influyen considerablemente en todos los
aspectos de la gestión del riesgo en todos los niveles y etapas.
Mejora continua La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.
Componentes de la matriz de riesgo de LA/FT
AS 4360 de 1999
AS 4360 de 1999
AS 4360 de 1999
Identificación de riesgos de LA/FT
Identificación de riesgos
➢ ¿Qué puede suceder?➢ ¿Cómo puede suceder?➢ ¿Por qué puede suceder?➢ ¿Quién puede generarlo?
Identificar los Riesgos
Al identificar un riesgo en el proceso objeto de análisis, se deben formular las siguientes
preguntas:
1. ¿Qué podría ocurrir? (área de impacto–consecuencia/efecto).
2. ¿Por qué? ¿Cómo? (fuente de riesgo – causa/evento).
3. ¿Dónde? (localidad, proyecto).
4. ¿Cuándo? (probabilidad materialización del riesgo).
¿Qué podría ocurrir? Atraco a una oficina.
Área de impacto Pérdida del efectivo de la Unidad de Negocio
Consecuencia/efecto Pérdida de Activos
¿Por qué? Por incumplimiento de los procedimientos
Fuente de riesgo Perpetrado por bandas organizadas, delincuencia común
¿Cómo?
Causa/evento
3 ¿Dónde? En una Unidad de Negocios del Banco
¿Cuándo?
Probabilidad de materialización del riesgo
Realicemos un ejemplo
Cada vez que se incumpla un procedimiento o proceso
Por falla de seguridad
1
2
4
¿Qué podría ocurrir? Atraco a una oficina.
Área de impacto Pérdida del efectivo de la Unidad de Negocio
Consecuencia/efecto Pérdida de Activos
¿Por qué? Por incumplimiento de los procedimientos
Fuente de riesgo Perpetrado por bandas organizadas, delincuencia común
¿Cómo?
Causa/evento
3 ¿Dónde? En una Unidad de Negocios del Banco
¿Cuándo?
Probabilidad de materialización del riesgo
Realicemos un ejemplo
Cada vez que se incumpla un procedimiento o proceso
Por falla de seguridad
1
2
4
Debido a:
• Causa
Podría Ocurrir que:
•Evento
Lo que ocasionaría:
• Efecto
Identificación de riesgos
Algunas fuentes de identificación de riesgos
TipologíasMedios de
comunicaciónJuicio Experto
Sentencias ROS remitidos
TECNICA VALORACION DEL RIESGO
DELPHI
Esta técnica es un procedimiento para obtener un
consenso confiable de la opinión de un grupo de
expertos.
los expertos expresan
sus opiniones
individualmente y de
manera anónima
Sus opiniones son
independientes.
Elementos
de Entrada
Un
conjunto
de
opciones
para las
cuales se
necesita
el
consenso.
Los expertos tienen acceso a los puntos de vista
de otros expertos a medida que el proceso
avanza.
Elementos
de Salida
Convergenc
ia hacia el
consenso
sobre el
material en
cuestión.
This text is
editable
✓ Es una actividad intensa y que consume
mucho tiempo.
✓ Es necesario que los participantes
puedan expresarse con claridad por
escrito.
✓ Dado que las opiniones son
anónimas, aquellas que no son
populares se expresan con mayor
probabilidad.
✓ Todas las opiniones tienen igual
peso, lo cual evita el problema de
personalidades dominantes.
✓ Se logra la propiedad de los
resultados.
✓ No es necesario que las personas se
reúnan en un lugar y en un momento
determinado.
FORTALEZAS LIMITACIONES
Formación de un equipo que
asuma y controle el proceso Delphi
Selección de un grupo de
expertos (Puede haber
uno o mas paneles de expertos)
Desarrollo de la primera ronda del
cuestionario
Someter el cuestionario a
prueba
Enviar el cuestionario a los panelistas
individualmente
Se analiza la información proveniente
de la primera ronda de
respuestas, se combina y se
vuelve a distribuir a los
panelistas
Los panelistas responden y el
proceso se repite hasta
que se logre el consenso
PR
OC
ES
O
Equipo responsable del proceso• Persona 1• Persona 2• Persona 3• ….
Selección grupo expertosExperto 1Experto 2
Se elabora cuestionario y se genera una encuesta.
Se enviará cuestionario a comité organizador para pruebas
Se enviará a los panelistas el formulario de Google aprobado en las pruebas
Se tabulan las respuestas de los panelistas
Los resultados se comparten a los expertos, con la oportunidad de calificar nuevamente buscando consenso
ProcesoIterativo
HastaLograr
Consenso
Medición de riesgos de LA/FT inherentes
Medición de riesgos de LA/FT inherentes
Cuantitativa Cualitativa
Metodologías para la medición
AS 4360 de 1999
AS 4360 de 1999
AS 4360 de 1999
Evaluación de riesgos
DESCRIPCIÓN DEFINICIÓN CALIFICACIÓN RANGO
Casi Certeza
Se espera que ocurra en la mayoría de las
circunstancias5
81% al 99%
Probable
Probablemente ocurrirá en la mayoría de las
circunstancias4
61% al 80%
Posible Puede ocurrir. 3 41% al 60%
Improbable Podría ocurrir en algún momento 2 21% al 40%
Raro Puede ocurrir solo en circunstancias excepcionales 1 0.1% al 20%
PROBABILIDAD DEL RIESGO LA/FT
Evaluación de riesgos
DESCRIPCIÓN DEFINICIÓN CALIFICACIÓN RANGO
CatastróficoPerjuicios que generan perdida de capacidad de
producción con efectos nocivos5 81% al 99%
MayorPerjuicios extensivos que generan perdida en la
capacidad de producción sin efectos nocivos4 61% al 80%
ModeradoPerjuicios que se contienen localmente y con asistencia
externa3 41% al 60%
MenorPocos perjuicios que se contienen local e
inmediatamente2 21% al 40%
Insignificante No genera perjuicios significativos 1 0.1% al 20%
IMPACTO DEL RIESGO LA/FT
Evaluación de riesgos
Casi Certeza 5 10 15 20 25
Probable 4 8 12 16 20
Posible 3 6 9 12 15
Improbable 2 4 6 8 10
Raro 1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico
MAPA DE RIESGOS LAFT
PR
OB
AB
ILID
AD
IMPACTO
Evaluación de riesgos
DESCRIPCIÓN CALIFICACIÓN RANGO DESCRIPCIÓN CALIFICACIÓN RANGO
Casi Certeza 5 81% al 99% Catastrófico 5 81% al 99%
Probable 4 61% al 80% Mayor 4 61% al 80%
Posible 3 41% al 60% Moderado 3 41% al 60%
Improbable 2 21% al 40% Menor 2 21% al 40%
Raro 1 0.1% al 20% Insignificante 1 0.1% al 20%
MEDICION DEL RIESGO LA/FT
PROBABILIDAD IMPACTO
Evaluación de riesgos
Nivel de Riesgo TratamientoEquivalencias
Generales
Riesgo Extremo Requiere acción inmediata. 21 a 25
Riesgo Alto Necesita atención de la alta gerencia. 16 a 20
Riesgo ModeradoDebe especificarse responsabilidad
gerencial. 11 a 15
Riesgo MenorRevisión de la aplicación de
procedimientos de rutina.6 a 10
Riesgo BajoAdministrar mediante procedimientos
de rutina.0 a 5
NIVEL DE RIESGO
Evaluación de riesgos
Riesgos Asociados al Riesgo de Lavado de Activos y Financiación del
Terrorismo
➢ Riesgo Legal
➢ Riesgo Operativo
➢ Riesgo Reputacional
➢ Riesgo de Contagio
Riesgos asociados
Riesgos asociados
Control de riesgos de LA/FT
Tratamiento del riesgo
Controles:
Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y
para que la probabilidad de que el negocio / proceso logre sus metas
y objetivos sea mayor.
Son incorporados en los procesos para garantizar que se cumplan los
requerimientos del flujo de trabajo y los objetivos generales del
negocio y de los procesos.
Tratamiento del riesgo
Controles:
La definición de los controles incluye:
➢ Qué busca hacer el control (objetivo)
➢ Cómo se lleva a cabo el control (procedimiento)
➢ Naturaleza del control: Preventivo ó Detectivo
➢ Tipo de control: Manual, Automático, ó Dependiente de
Tecnología Informática
➢ Quién lleva a cabo el control (Responsable)
➢ Cuándo se realiza el control (Periodicidad)
Tratamiento del riesgoOpciones de tratamiento (ISO 31000)
Aceptar Rechazar Transferir Mitigar Aumentar
Evaluación de Controles
Evaluación de Controles:
La evaluación de los controles incluye dos aspectos:
•Diseño: Configuración del control con respecto al riesgo que está mitigando. Esta variable seevalúa respondiendo al siguiente interrogante:
✓Las características o condiciones del control permiten mitigar el riesgo al cual estáasociado? Si la respuesta es positiva se establece que el diseño del control es adecuado, delo contrario se califica como inadecuado.
•Eficiencia Operativa: Implementación del control (ejecución) de acuerdo con las condicionesestablecidas (procedimiento, frecuencia, responsable y documentación soporte). Esta variable seevalúa respondiendo al siguiente interrogante:
✓El control se está ejecutando de acuerdo con las condiciones que se le han establecido?
✓La respuesta puede variar según el nivel de ejecución:
❖Débil: no se está ejecutando
❖Moderado: se está ejecutando parcialmente
❖Fuerte: se está ejecutando completamente - Cumple con las condicionesdispuestas
Tratamiento del riesgo
Evaluación de Controles
Control
Implementado
Manual
EficaciaNivel de
afectación
EficienciaNiel de
afectación
Automático
EficaciaNivel de
afectación
EficienciaNivel de
afectaciónNo
implementadoNo afecta
riesgo
Medición de riesgos de LA/FT residuales
Elementos a tener en consideración
Evaluando la efectividad de los controles
Midiendo directamente el Riesgo Residual
Evaluación de riesgos
Medición riesgo residual
Valoración del Riesgo Residual:
Casi Certeza
Probable 10
Posible 31 29
Improbable 1 1
Raro
Insignificante Menor Moderado Mayor Catastrófico
IMPACTO
P
R
O
B
A
B
I
L
I
D
A
D
ALTO MODERADO BAJO
10 61 1 72
SEVERIDAD DEL RIESGO RESIDUAL (Resumen)
Monitoreo de riesgos de LA/FT
AS 4360
Los planes de tratamiento/mitigación deben identificar el presupuesto requerido y las actividades
requeridas para verificar la efectividad del tratamiento.
Los planes de tratamiento/mitigación deben documentar cómo deben ser implementadas las
opciones seleccionadas. Estos planes deben incluir: proceso evaluado, riesgo identificado,
control asociado, oportunidad de mejoramiento identificada, recomendación, opción de
tratamiento seleccionada, compromisos, responsable, equipo de apoyo, prioridad, fecha inicio y
fecha fin.Plan de acción
Compromiso Responsable Equipo de apoyo Presupuesto Prioridad Fecha inicio Fecha fin
Tratamiento del riesgo
Plan de acción
Incluir la información sobre los planes de acción en la base de datos que adquiera o
desarrolle la Organización, con el fin de facilitar el posterior seguimiento a la implementación de
dichos planes
Implementar los planes de mitigación de riesgos. La responsabilidad por el tratamiento del
riesgo debe ser llevada a cabo por aquellos con mejor posibilidad de controlar el riesgo. Las
responsabilidades deben ser acordadas entre las partes de acuerdo con la prioridad definida.
Tratamiento del riesgo
Plan de acción
Conclusiones
Un barco está seguro en el puerto, pero para eso no fue que se hicieron los barcos.
Un problema de finalidad
El arco o el indio?
Contacto
RICS Management SASEdificio Teleport Business Park
Calle 113 No. 7-21 Torre A Of. 1101Bogotá, Colombia
Teléfono 57+1+6386488Fax 57+1+6585858
RICS Management Panamá SAEsquina de Vía España y Vía Brasil
Edificio Exedra Books, PB Ciudad de Panamá, República de Panamá
Teléfono +507 399 0130Celular +507 6030 9933