Juan Pablo Rodríguez CárdenasConsultor Antilavado – Antifraude – Anticorrupción

jrodriguez@ricsmanagement.com

Tegucigalpa, Honduras

Mayo de 2019

Prevención del Lavado de Activos, Delitos Financieros y Mejores

Prácticas - 2019

Matriz y mapa de riesgos de LA/FT: Una

herramienta de gestión de riesgos

Perfil Profesional

Juan Pablo Rodríguez Cárdenas

• Abogado de la Universidad Externado de Colombia, especialista en Derecho Penal y Ciencias Criminológicas de la mismaCasa de Estudios y especialista en Prevención y Control del Blanqueo de Capitales de la Fundación Universidad deSalamanca con estudios en Auditoría Basada en la Administración del Riesgo del CESA. Cuenta con entrenamiento enFundamentos de GRC y Profesional en GRC otorgados por OCEG (Open Compliance and Ethics Group) y estudios dePrácticas de Gobierno Corporativo y Arquitectura de Procesos enfocado en GRC.

• Consultor de Asobancaria y Fasecolda. Asesor Penal y Consultor Antilavado y Antifraude de diferentes entidadesfinancieras. Asesor Anticorrupción de la Auditoría General de la República.

• Capacitador en el Programa de Pasantías Financieras de la Oficina de las Naciones Unidas contra la Droga y el Delito ydel International Criminal Investigative Training Assistance Program – ICITAP para Fiscales y Policía Judicial.

• Conferencista local e internacional en Colombia, Venezuela, Ecuador, Perú, República Dominicana, El Salvador,Honduras, Nicaragua, Panamá, Estados Unidos, Argentina, Guatemala, Curazao, Chile, Paraguay, Uruguay, Puerto Rico yMexico.

• Profesor de Postgrado en Colombia, Nicaragua y Panamá. Profesor Investigador del Grupo de Investigación Javeriano deAuditoria Forense CIJAF de la Pontificia Universidad Javeriana de Colombia. Miembro de la Asociación Latinoamericanade Investigadores de Fraudes y Crímenes Financieros de República Dominicana, ALIFC. Autor de diferentes artículosespecializados en publicaciones internacionales.

• Socio de rics management Colombia y Director & Socio de rics management Panamá.

Agenda

• Introducción.

• Acuerdo conceptual.

• Componentes de la matriz de riesgo

LA/FT.

• Conclusiones.

Introducción

Cultura de cumplimiento

Literatura

Acuerdo conceptual de LA/FT

Modelo SAGRLAFT

GAFI

Recomendación 22 y 23

Acuerdo conceptual de gestión de riesgo

Autoevaluación de riesgos

https://www.youtube.com/watch?v=IQfZY5rvXX0

Foro Económico Mundial 2019

Riesgos empresariales

Fábrica de Pensamiento, IIA España.

ISO 31000 de 2009

1. Riesgo.

2. Gestión del riesgo.

3. Marco de referencia de la gestión del riesgo.

4. Política para la gestión del riesgo.

5. Actitud hacia el riesgo.

6. Plan para la gestión del riesgo.

7. Propietario del riesgo.

8. Proceso para la gestión del riesgo.

9. Valoración del riesgo.

10. Identificación del riesgo.

11. Fuente de riesgo.

12. Evento.

13. Consecuencia.

14. Probabilidad.

15. Perfil de riesgo.

16. Análisis del riesgo.

17. Criterios del riesgo.

18. Nivel de riesgo.

19. Evaluación del riesgo.

20. Tratamiento del riesgo.

21. Control.

22. Riesgo residual.

23. Monitoreo.

24. Revisión.

Fuente: Principios, marco de referencia y proceso. ISO31000:2018

Principios, marco de referencia y proceso. ISO31000:2018

Principios. ISO31000:2018

Integrada La gestión del riesgo es parte integral de todas las actividades de la organización.

Estructurada y exhaustivaUn enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a

resultados coherentes y comparables.

Adaptada

El marco de referencia y el proceso de la gestión del riesgo se adaptan y son

proporcionales a los contextos externo e interno de la organización relacionados

con sus objetivos.

Inclusiva

La participación apropiada y oportuna de las partes interesadas permite que se

consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una

mayor toma de conciencia y una gestión del riesgo informada.

Dinámica

Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los

contextos externo e interno de la organización. La gestión del riesgo anticipa,

detecta, reconoce y responde a esos cambios y eventos de una manera apropiada

y oportuna.

Mejor información disponible

Las entradas a la gestión del riesgo se basan en información histórica y

actualizada, así como en expectativas futuras. La gestión del riesgo tiene en

cuenta explícitamente cualquier limitación e incertidumbre asociada con tal

información y expectativas. La información debería ser oportuna, clara y disponible

para las partes interesadas pertinentes.

Factores humanos y

culturales

El comportamiento humano y la cultura influyen considerablemente en todos los

aspectos de la gestión del riesgo en todos los niveles y etapas.

Mejora continua La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.

Componentes de la matriz de riesgo de LA/FT

AS 4360 de 1999

AS 4360 de 1999

AS 4360 de 1999

Identificación de riesgos de LA/FT

Identificación de riesgos

➢ ¿Qué puede suceder?➢ ¿Cómo puede suceder?➢ ¿Por qué puede suceder?➢ ¿Quién puede generarlo?

Identificar los Riesgos

Al identificar un riesgo en el proceso objeto de análisis, se deben formular las siguientes

preguntas:

1. ¿Qué podría ocurrir? (área de impacto–consecuencia/efecto).

2. ¿Por qué? ¿Cómo? (fuente de riesgo – causa/evento).

3. ¿Dónde? (localidad, proyecto).

4. ¿Cuándo? (probabilidad materialización del riesgo).

¿Qué podría ocurrir? Atraco a una oficina.

Área de impacto Pérdida del efectivo de la Unidad de Negocio

Consecuencia/efecto Pérdida de Activos

¿Por qué? Por incumplimiento de los procedimientos

Fuente de riesgo Perpetrado por bandas organizadas, delincuencia común

¿Cómo?

Causa/evento

3 ¿Dónde? En una Unidad de Negocios del Banco

¿Cuándo?

Probabilidad de materialización del riesgo

Realicemos un ejemplo

Cada vez que se incumpla un procedimiento o proceso

Por falla de seguridad

1

2

4

¿Qué podría ocurrir? Atraco a una oficina.

Área de impacto Pérdida del efectivo de la Unidad de Negocio

Consecuencia/efecto Pérdida de Activos

¿Por qué? Por incumplimiento de los procedimientos

Fuente de riesgo Perpetrado por bandas organizadas, delincuencia común

¿Cómo?

Causa/evento

3 ¿Dónde? En una Unidad de Negocios del Banco

¿Cuándo?

Probabilidad de materialización del riesgo

Realicemos un ejemplo

Cada vez que se incumpla un procedimiento o proceso

Por falla de seguridad

1

2

4

Debido a:

• Causa

Podría Ocurrir que:

•Evento

Lo que ocasionaría:

• Efecto

Identificación de riesgos

Algunas fuentes de identificación de riesgos

TipologíasMedios de

comunicaciónJuicio Experto

Sentencias ROS remitidos

TECNICA VALORACION DEL RIESGO

DELPHI

Esta técnica es un procedimiento para obtener un

consenso confiable de la opinión de un grupo de

expertos.

los expertos expresan

sus opiniones

individualmente y de

manera anónima

Sus opiniones son

independientes.

Elementos

de Entrada

Un

conjunto

de

opciones

para las

cuales se

necesita

el

consenso.

Los expertos tienen acceso a los puntos de vista

de otros expertos a medida que el proceso

avanza.

Elementos

de Salida

Convergenc

ia hacia el

consenso

sobre el

material en

cuestión.

This text is

editable

✓ Es una actividad intensa y que consume

mucho tiempo.

✓ Es necesario que los participantes

puedan expresarse con claridad por

escrito.

✓ Dado que las opiniones son

anónimas, aquellas que no son

populares se expresan con mayor

probabilidad.

✓ Todas las opiniones tienen igual

peso, lo cual evita el problema de

personalidades dominantes.

✓ Se logra la propiedad de los

resultados.

✓ No es necesario que las personas se

reúnan en un lugar y en un momento

determinado.

FORTALEZAS LIMITACIONES

Formación de un equipo que

asuma y controle el proceso Delphi

Selección de un grupo de

expertos (Puede haber

uno o mas paneles de expertos)

Desarrollo de la primera ronda del

cuestionario

Someter el cuestionario a

prueba

Enviar el cuestionario a los panelistas

individualmente

Se analiza la información proveniente

de la primera ronda de

respuestas, se combina y se

vuelve a distribuir a los

panelistas

Los panelistas responden y el

proceso se repite hasta

que se logre el consenso

PR

OC

ES

O

Equipo responsable del proceso• Persona 1• Persona 2• Persona 3• ….

Selección grupo expertosExperto 1Experto 2

Se elabora cuestionario y se genera una encuesta.

Se enviará cuestionario a comité organizador para pruebas

Se enviará a los panelistas el formulario de Google aprobado en las pruebas

Se tabulan las respuestas de los panelistas

Los resultados se comparten a los expertos, con la oportunidad de calificar nuevamente buscando consenso

ProcesoIterativo

HastaLograr

Consenso

Medición de riesgos de LA/FT inherentes

Medición de riesgos de LA/FT inherentes

Cuantitativa Cualitativa

Metodologías para la medición

AS 4360 de 1999

AS 4360 de 1999

AS 4360 de 1999

Evaluación de riesgos

DESCRIPCIÓN DEFINICIÓN CALIFICACIÓN RANGO

Casi Certeza

Se espera que ocurra en la mayoría de las

circunstancias5

81% al 99%

Probable

Probablemente ocurrirá en la mayoría de las

circunstancias4

61% al 80%

Posible Puede ocurrir. 3 41% al 60%

Improbable Podría ocurrir en algún momento 2 21% al 40%

Raro Puede ocurrir solo en circunstancias excepcionales 1 0.1% al 20%

PROBABILIDAD DEL RIESGO LA/FT

Evaluación de riesgos

DESCRIPCIÓN DEFINICIÓN CALIFICACIÓN RANGO

CatastróficoPerjuicios que generan perdida de capacidad de

producción con efectos nocivos5 81% al 99%

MayorPerjuicios extensivos que generan perdida en la

capacidad de producción sin efectos nocivos4 61% al 80%

ModeradoPerjuicios que se contienen localmente y con asistencia

externa3 41% al 60%

MenorPocos perjuicios que se contienen local e

inmediatamente2 21% al 40%

Insignificante No genera perjuicios significativos 1 0.1% al 20%

IMPACTO DEL RIESGO LA/FT

Evaluación de riesgos

Casi Certeza 5 10 15 20 25

Probable 4 8 12 16 20

Posible 3 6 9 12 15

Improbable 2 4 6 8 10

Raro 1 2 3 4 5

Insignificante Menor Moderado Mayor Catastrófico

MAPA DE RIESGOS LAFT

PR

OB

AB

ILID

AD

IMPACTO

Evaluación de riesgos

DESCRIPCIÓN CALIFICACIÓN RANGO DESCRIPCIÓN CALIFICACIÓN RANGO

Casi Certeza 5 81% al 99% Catastrófico 5 81% al 99%

Probable 4 61% al 80% Mayor 4 61% al 80%

Posible 3 41% al 60% Moderado 3 41% al 60%

Improbable 2 21% al 40% Menor 2 21% al 40%

Raro 1 0.1% al 20% Insignificante 1 0.1% al 20%

MEDICION DEL RIESGO LA/FT

PROBABILIDAD IMPACTO

Evaluación de riesgos

Nivel de Riesgo TratamientoEquivalencias

Generales

Riesgo Extremo Requiere acción inmediata. 21 a 25

Riesgo Alto Necesita atención de la alta gerencia. 16 a 20

Riesgo ModeradoDebe especificarse responsabilidad

gerencial. 11 a 15

Riesgo MenorRevisión de la aplicación de

procedimientos de rutina.6 a 10

Riesgo BajoAdministrar mediante procedimientos

de rutina.0 a 5

NIVEL DE RIESGO

Evaluación de riesgos

Riesgos Asociados al Riesgo de Lavado de Activos y Financiación del

Terrorismo

➢ Riesgo Legal

➢ Riesgo Operativo

➢ Riesgo Reputacional

➢ Riesgo de Contagio

Riesgos asociados

Riesgos asociados

Control de riesgos de LA/FT

Tratamiento del riesgo

Controles:

Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y

para que la probabilidad de que el negocio / proceso logre sus metas

y objetivos sea mayor.

Son incorporados en los procesos para garantizar que se cumplan los

requerimientos del flujo de trabajo y los objetivos generales del

negocio y de los procesos.

Tratamiento del riesgo

Controles:

La definición de los controles incluye:

➢ Qué busca hacer el control (objetivo)

➢ Cómo se lleva a cabo el control (procedimiento)

➢ Naturaleza del control: Preventivo ó Detectivo

➢ Tipo de control: Manual, Automático, ó Dependiente de

Tecnología Informática

➢ Quién lleva a cabo el control (Responsable)

➢ Cuándo se realiza el control (Periodicidad)

Tratamiento del riesgoOpciones de tratamiento (ISO 31000)

Aceptar Rechazar Transferir Mitigar Aumentar

Evaluación de Controles

Evaluación de Controles:

La evaluación de los controles incluye dos aspectos:

•Diseño: Configuración del control con respecto al riesgo que está mitigando. Esta variable seevalúa respondiendo al siguiente interrogante:

✓Las características o condiciones del control permiten mitigar el riesgo al cual estáasociado? Si la respuesta es positiva se establece que el diseño del control es adecuado, delo contrario se califica como inadecuado.

•Eficiencia Operativa: Implementación del control (ejecución) de acuerdo con las condicionesestablecidas (procedimiento, frecuencia, responsable y documentación soporte). Esta variable seevalúa respondiendo al siguiente interrogante:

✓El control se está ejecutando de acuerdo con las condiciones que se le han establecido?

✓La respuesta puede variar según el nivel de ejecución:

❖Débil: no se está ejecutando

❖Moderado: se está ejecutando parcialmente

❖Fuerte: se está ejecutando completamente - Cumple con las condicionesdispuestas

Tratamiento del riesgo

Evaluación de Controles

Control

Implementado

Manual

EficaciaNivel de

afectación

EficienciaNiel de

afectación

Automático

EficaciaNivel de

afectación

EficienciaNivel de

afectaciónNo

implementadoNo afecta

riesgo

Medición de riesgos de LA/FT residuales

Elementos a tener en consideración

Evaluando la efectividad de los controles

Midiendo directamente el Riesgo Residual

Evaluación de riesgos

Medición riesgo residual

Valoración del Riesgo Residual:

Casi Certeza

Probable 10

Posible 31 29

Improbable 1 1

Raro

Insignificante Menor Moderado Mayor Catastrófico

IMPACTO

P

R

O

B

A

B

I

L

I

D

A

D

ALTO MODERADO BAJO

10 61 1 72

SEVERIDAD DEL RIESGO RESIDUAL (Resumen)

Monitoreo de riesgos de LA/FT

AS 4360

Los planes de tratamiento/mitigación deben identificar el presupuesto requerido y las actividades

requeridas para verificar la efectividad del tratamiento.

Los planes de tratamiento/mitigación deben documentar cómo deben ser implementadas las

opciones seleccionadas. Estos planes deben incluir: proceso evaluado, riesgo identificado,

control asociado, oportunidad de mejoramiento identificada, recomendación, opción de

tratamiento seleccionada, compromisos, responsable, equipo de apoyo, prioridad, fecha inicio y

fecha fin.Plan de acción

Compromiso Responsable Equipo de apoyo Presupuesto Prioridad Fecha inicio Fecha fin

Tratamiento del riesgo

Plan de acción

Incluir la información sobre los planes de acción en la base de datos que adquiera o

desarrolle la Organización, con el fin de facilitar el posterior seguimiento a la implementación de

dichos planes

Implementar los planes de mitigación de riesgos. La responsabilidad por el tratamiento del

riesgo debe ser llevada a cabo por aquellos con mejor posibilidad de controlar el riesgo. Las

responsabilidades deben ser acordadas entre las partes de acuerdo con la prioridad definida.

Tratamiento del riesgo

Plan de acción

Conclusiones

Un barco está seguro en el puerto, pero para eso no fue que se hicieron los barcos.

Un problema de finalidad

El arco o el indio?

Contacto

RICS Management SASEdificio Teleport Business Park

Calle 113 No. 7-21 Torre A Of. 1101Bogotá, Colombia

Teléfono 57+1+6386488Fax 57+1+6585858

RICS Management Panamá SAEsquina de Vía España y Vía Brasil

Edificio Exedra Books, PB Ciudad de Panamá, República de Panamá

Teléfono +507 399 0130Celular +507 6030 9933