Veritas Online

Recientes

Bases de un adecuado RBA, el riesgo de no mitigar riesgos

Bases de un adecuado RBA, el riesgo de no mitigar riesgos
abril 01
07:18 2018

Para que una empresa cumpla con sus objetivos, es necesario hacer un análisis para localizar las vulnerabilidades, y a la vez implementar un plan de contingencia para saber cómo actuar en cada caso y así reducir o eliminar el impacto.

Desde siempre los negocios han buscado la forma de mitigar todo tipo de riesgos a los cuales pudiera estar sujeta su operación, con ello se han diseñado diversos planes de prevención, principalmente enfocados a prevenir riesgos de carácter económico y financiero; sin embargo, es cierto que siempre quedará un riesgo residual imposible de eliminar; es decir, podemos mitigar el riesgo para llevarlo al nivel más bajo aceptable, pero jamás podremos eliminarlo, la única manera de no incurrir en riesgos es no hacer negocios.

Hoy en día además México se encuentra en un proceso de adopción de diversas regulaciones en materia de prevención de lavado de dinero, las cuales refieren el reconocimiento de un Enfoque Basado en Riesgo (RBA, por sus siglas en inglés), razón por la cual toma mayor relevancia detectar, prevenir y mitigar riesgos en todos los negocios, principalmente en aquellos considerados como vulnerables al lavado de dinero, de acuerdo con lo establecido en los artículos 14 y 17 de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (Ley Federal PIORPI).

Lo anterior recomendado por el Grupo de Acción Financiera Internacional (GAFI) para los países miembros, autoridades e instituciones financieras, en su documento Guía para un enfoque basado en riesgo, con la finalidad de que las economías establezcan medidas adecuadas para mitigar de manera efectiva los riesgos de lavado de dinero, financiamiento al terrorismo y proliferación de armas de destrucción masiva, mediante su identificación, análisis y evaluación.

A pesar de que el presente análisis se enfoca en los riesgos de lavado de dinero o activos y financiamiento al terrorismo, cabe hacer mención que al pensar en un enfoque basado en riesgos, no solo se debe considerar este, sino todos aquellos relacionados con el negocio o actividad, incluyendo los riesgos económicos y financieros, de fraude, laborales, operativos, tecnológicos e incluso ambientales (para ciertas industrias), entre otros, sin llegarlos a confundir con elementos o factores de riesgo como errónea y usualmente le es llamado al riesgo país o geográfico, riesgo transaccional, riesgo de producto/ servicio, etcétera.

Una vez aclarado esto, ya sea de manera interna o externa, el enfoque para el cuidado y desarrollo sano de negocios de cualquier tipo, debe considerar todos los riesgos a los que se encuentra sujeto dependiendo de las operaciones que se realicen, para ello se tienen diversas guías que pueden ser tomadas como referencia, mas no como política, pues el modelo debe ser “a la medida” de las necesidades y no existe un documento que brinde tal.

Como ejemplo relevante tenemos el recientemente adecuado y revisado Enterprise Risk Management –Integrating with Strategy and Performance (Junio 2017), emitido por el Committee of Sponsoring Organizations of the Treadway Commission (COSO), tal vez el marco referencial y guía más completa hasta el momento, aceptada a nivel mundial para implementar procesos de control interno encaminados a la prevención de riesgos, sin dejar de considerar las propias guías emitidas por la Comisión Nacional Bancaria y de Valores (CNBV), así como el GAFI, enfocadas al riesgo de prevención de lavado de dinero, en conjunto con la ISO 31000 Risk Management de forma general, entre otras guías para riesgos específicos.

El enfoque para el cuidado y desarrollo sano de negocios de cualquier tipo, debe considerar todos los riesgos a los que está sujeto”.

Para el adecuado diseño de un sistema interno de prevención de riesgos se deben considerar diversos factores, entre ellos: a) Involucramiento de los ejecutivos clave dentro de la organización, ya que ellos conocen la operación y el ambiente de control; b) Conocimiento de la operación interna y principales políticas; c) Conocimiento del marco regulatorio y normativo que rige los negocios de la entidad; d) Tipo de productos o servicios que ofrece; e) Región o territorio donde realiza operaciones; f) Calidad de los clientes, proveedores y otras entidades con las cuales realiza operaciones; g) Ambiente de tecnologías de la información donde opera; h) Capacidad técnica del personal; i) Flujo de información y canales de comunicación; j) Cultura organizacional y claridad de los objetivos institucionales; etcétera.

El siguiente paso es comenzar a identificar los riesgos a nivel entidad que se tienen latentes, internos a nivel corporativo y operativo, y a nivel procesal (procesos significativos), los cuales deben delimitarse perfectamente para no considerar fallas en los procesos como riesgos, a menos que se trate de una falla que pueda suponer algún impacto significativo a los objetivos de la entidad.

Posteriormente se debe analizar qué controles mitigantes existen dentro de los tres niveles comentados, desde la entidad hasta cada proceso, los cuales se clasificarán de acuerdo con su función (preventiva o detectiva), con su naturaleza (manual, de aplicación o automático y manual dependiente de Tecnologías de la Información) y de acuerdo con su periodicidad, donde debe darse mayor importancia a aquellos automáticos que sean preventivos (obviedad).

Una vez clasificados debe hacerse una primera evaluación de controles mitigantes que se refiere al diseño; es decir, la forma en que se encuentran plasmados en las políticas, instaurados en los sistemas de manejo de información, a nivel segregación de funciones, con la finalidad de descartar aquellos controles que no están previniendo fallas y riesgos, o que resultan secundarios en la función preventiva, ya que existe algún otro control más fuerte que mitiga el mismo riesgo.

La segunda evaluación se refiere al nivel operativo de los controles; es decir, la funcionalidad y efectividad con la que previenen riesgos al momento de realizar las transacciones u operaciones, aquí es donde pasamos de la teoría a la práctica, primero se evalúa que los controles existen y posteriormente que se encuentran funcionando adecuadamente, documentando todas aquellas fallas derivadas de omisiones, errores, excepciones o desviaciones, estas mostrarán un panorama de las áreas de oportunidad para enfocarse.

Hasta aquí se puede decir que se ha visto la parte preventiva, de tal manera que si se realiza adecuadamente el análisis y se implementa este enfoque, se tendrá un plan de prevención ad hoc a la entidad, sin embargo, es necesario además contar con un plan contingente, donde se considere que en caso de materializarse algún riesgo se deben tomar las medidas necesarias para reducir o eliminar el impacto hacia la entidad.

En conclusión, se sabe que toda entidad está sujeta a diversos riesgos, los cuales podrían afectar los objetivos de la entidad y se deben conocer las vulnerabilidades que se tienen, mantenerlas medidas y controladas a través de una metodología de administración de riesgos, asimismo, llevar a cabo evaluaciones rutinarias de dicho plan e implementar mejoras para evitar consecuencias que van desde sanciones por parte de autoridades supervisoras y reguladoras, hasta daños económicos y patrimoniales a la entidad.

 

C.P y C.P.L. Luis César González Jaimes
Especialista Certificado en Prevención de Lavado
de Dinero por la CNBV y el IMCP
Socio en BHR Enterprise Worldwide México
cgonzalez@bhrewmx.com.mx

Facebook Comments

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

A %d blogueros les gusta esto: