El Enfoque Basado en Riesgos (EBR) según GAFI para las Actividades Profesionales No Financieras Designadas (en adelante APNFD) refiere que los países deben exigir a las actividades y profesiones no financieras designadas (APNFD) que identifiquen, evalúen y tomen una acción eficaz para mitigar sus riesgos de lavado de activos y financiamiento del terrorismo.1
Conceptos generales Antes de entrar al estudio del alcance y elementos que abarca la Recomendación 1 del GAFI, es importante precisar aquello que debe entenderse cuando hablamos de un Enfoque Basado en Riesgo. Debe quedar claro que el EBR es un proceso dinámico para identificar, evaluar y mitigar los riesgos. Aquí, conviene describir cada una de las partes de la definición que hemos esgrimido.
El riesgo puede definirse como la probabilidad de un evento y sus consecuencias. Puesto en contexto, nos referimos a la posibilidad de que ocurra un suceso determinado y, en caso de suscitarse, el grado de daño y afectación que pudiera resultar de su ocurrencia.
Ahora bien, el análisis de riesgo discurre por tres vertientes principales: amenazas, vulnerabilidades e impacto.
Amenazas. Consiste en una persona o en un grupo que tenga la capacidad de afectar la integridad del negocio. En este se encuentran delincuentes, grupos criminales, células terroristas, etcétera.
Vulnerabilidades. Partes y elementos del sistema o de un negocio en particular, que pueda ser explotado por un elemento de las amenazas identificadas.
Impacto. Apunta a la severidad del daño que pueda ocasionar la materialización de un riesgo.
Cuando nos referimos a que el EBR es un proceso, significa que se integra por distintas etapas. Si bien nos es estrictamente necesario seguir cada una de estas, lo importante es dejar apuntado que el proceso no puede circunscribirse y quedarse en un análisis exclusivamente.
A continuación, describimos de manera breve cada una de las etapas principales de este proceso:
1. Identificar los elementos de riesgo y sus correspondientes indicadores que explican la manera en que afectan la exposición al riesgo del negocio. La granularidad dependerá de cada negocio de acuerdo con sus propias necesidades y el contexto en el que se desenvuelve.
2.Utilizar un método para la medición de los riesgos que establezca una relación entre los indicadores referidos en la etapa 1 anterior y determinar la importancia relativa de cada uno de ellos de manera consistente, en función de su importancia para describir dichos riesgos.
3. Establecer los mitigantes necesarios en función de los indicadores considerados en el proceso señalado en la etapa 1, para que los riesgos se mantengan en un nivel de tolerancia aceptable de conformidad con el documento de políticas, criterios, medidas y procedimientos internos del negocio.
En relación con la identificación de riesgos, en ocasiones, se tiene una percepción equivocada al considerar que existe una metodología única de elaboración. Todo lo contrario. Al leer las Disposiciones de carácter general aplicables a los distintos sujetos supervisados, observamos que aquellas que ya incluyen un capítulo de EBR estipulan el establecimiento de una metodología para llevar a cabo la evaluación de los riesgos; no obstante; el capítulo dispone lineamientos generales y en ningún momento busca establecer modelos fijos.
Los cuatro elementos básicos de un EBR son:
1. Identificación de elementos de riesgo e indicadores de riesgo.
2. Medición de riesgos.
3. Mitigación de riesgos.
4. Esquema general de una metodología de evaluación de riesgos.
En el apartado de identificación de elementos de riesgo para las actividades vulnerables refiere la información externa e interna, nacional e internacional que debe ser tomada en cuenta por las empresas o negocios que tienen operaciones consideradas como actividad vulnerable conforme a la Ley Federal de Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI). Así como los indicadores sugeridos para estos riesgos.
En el apartado de medición de riesgos se pretende orientar al lector en un método lo más eficaz posible para establecer una relación entre los indicadores de riesgos referidos en el apartado y que se asigne la importancia relativa de cada uno de ellos, de manera consistente, en función de su importancia para describir el elemento de riesgo al que pertenece.
El apartado de mitigación de riesgos refiere los recursos materiales, técnicos y humanos de cumplimiento que contribuyen a administrar, controlar y disminuir (no evitar o anular) la exposición a los riesgos de lavado de dinero y financiamiento al terrorismo.
Identificación de elementos de riesgo e indicadores de riesgo
Para la identificación de riesgos se debe considerar tres elementos:
a) Información nacionales. EBR que las autoridades mexicanas publicaron como “Evaluación de Nacional de Riesgos de Prevención de Lavado de Dinero y Financiamiento al Terrorismo en México”,2 documento en el que las autoridades mexicanas establecen el nivel de riesgo por actividad vulnerable, misma que se refiere en el cuadro anexo.
Esta información apoyará a la sensibilización a las actividades vulnerables de cómo las autoridades los tienen categorizados en relación con el riesgo de su negocio.
b) Información Interna. EBR se refiere a la información de las operaciones del negocio identificadas como actividad vulnerable, misma que debe estar claramente definida y descrita en los contratos de servicio para sus clientes o usuarios.
c) Información Internacional. EBR se refieren a información que proporciona organismos internacionales como GAFI, relativo al enfoque basado en riesgos por actividad vulnerable, esta información puede ser consultada en la página Web del mismo organismo.3 Esta les permitirá conocer el enfoque basado en riesgos internacional para cada actividad vulnerable y que son equivalentes a las establecidas en la LFPIORPI.
Con estos tres elementos de información se puede tener un entendimiento general de los antecedentes del enfoque basado en riesgos por actividades vulnerables, sensibilizando a quienes son principiantes en el conocimiento de riesgos en materia de prevención de lavado de dinero.
En cuanto al riesgo del lavado y la financiación del terrorismo se deben considerar los indicadores de riesgo como los agentes generadores del riesgo, o fuentes del riesgo.
Para efectos del riesgo de Lavado de Dinero y Financiamiento al Terrorismo (LDFT), se debe considerar como mínimo los siguientes factores de riesgo: clientes/usuarios, productos/servicios, canales de distribución y jurisdicciones. Los factores de riesgo dependen del tipo de negocio y pueden ser ampliados de acuerdo con las necesidades propias de la entidad.
Los factores de riesgo son la base para realizar la identificación de los riesgos de LDFT, ya que estos permiten orientar el proceso de análisis de acuerdo con características particulares de la percepción propia de cada factor frente al riesgo de LDFT. Los factores se deben entender como:
Cliente. Es toda persona natural o jurídica con la cual la entidad establece y mantiene una relación contractual o legal para el suministro de cualquier producto propio de su actividad.
Usuario. Son aquellas personas naturales o jurídicas a las que, sin ser clientes, la entidad les presta un servicio.
Beneficiario. Es toda persona natural o jurídica que, sin tener la condición de cliente, es la propietaria o destinataria de los recursos o bienes objeto del contrato o se encuentra autorizada o facultada para disponer de los mismos.
Producto. Son las operaciones legalmente autorizadas que pueden adelantar las entidades vigiladas mediante la celebración de un contrato.
Jurisdicción. Es el punto geográfico relacionado con la operación de la actividad vulnerable.
Jurisdicción. Es el punto geográfico relacionado con la operación de la actividad vulnerable.
Medición de riesgo
La medición de riesgos es un análisis más detallado de los resultados del apartado anterior de Identificación de elementos de riesgo y de los indicadores o factores de riesgo con la finalidad de evaluar de manera mas precisa el riesgo en materia de LDFT de cada uno.
Para medir o evaluar el riesgo en materia de LDFT, en las actividades vulnerables puede asignar diversos rangos de calificación a cada indicador, los cuales deberán representar la relación que existe entre probabilidad de ocurrencia del riesgo de que se lleve a cabo una operación de LDFT y el posible impacto de esta.
Es importante resaltar que habría que tomar en consideración, para la medición de riesgo, la información de EBR nacional a la que hicimos referencia en el apartado de Identificación de elementos de riesgo, ya que toda actividad vulnerable se ve afectada por el contexto nacional, como parte del análisis en la medición de riesgos en la medida de lo posible.
Mitigación de riesgo En este apartado, la mitigación de riesgos se refiere en la identificación de controles, medidas , criterios y políticas y procedimientos para reducir los riesgos de LDFT, así como las estructuras internas de las unidades de negocio operativas y funcionales y de cualquier otra que se considere conveniente, con el fin de fomentar un sistema integral de gestión de riesgos de las empresas que realizan actividades vulnerables.
Algunos ejemplos de medidas y controles son:
- Contar con un manual de políticas y procedimientos en materia de PL/FT. > Implementar mecanismos que permitan identificar a sus clientes o usuarios que estén considerados como de alto riesgo. > Contar con capacitación en materia de PL/FT.
- Implementar herramientas automatizadas que faciliten el monitoreo de operaciones inusuales de sus clientes o usuarios. > Contar con un responsable encargado de supervisar los procedimientos manuales y automatizados en materia de PL/FT.
En conclusión, el Enfoque Basado en Riesgos para las actividades vulnerables deberá ser un punto prioritario en su diseño e implementación en las empresas sujetas a la LFPIORPI, a pesar de que no existe un marco detallado para su diseño e implementación.
Con los puntos mencionados en este artículo las empresas tendrán que iniciar su propia metodología general de evaluación de riesgos de sus clientes y operaciones consideradas como actividad vulnerable, y comenzar a crear la cultura empresarial, alineada al enfoque nacional de riesgo en materia de prevención de lavado de dinero y financiamiento al terrorismo.
ING. ROSAlÍA CASTAÑEDA ViVAR | Licenciada en Informática, Certificada en PLD e integrante de la Comisión de PLD
rosalia.castañeda@hotmail.com