Elementos para la Construcción de una Matriz de Riesgo Sofía A. Mera El Salvador -2011
Es una herramienta dinámica que permite documentar, analizar y hacer seguimiento al esquema de riesgos planteado, para su administración Existen tantas versiones de matrices, como usos y necesidades por entidad
Metodología Fuente Observación Interpretación Método de Estándar Australiano Metodología COSO-ERM NTC 5254 Comité de Estándares de Australia. AS/NZS 4360: 1999 Comittee de Sponsoring Organizations of The treadway Commission Internal Control Adaptación del método australiano en Colombia Metodología de alto reconocimiento con enfoque a la administración de riesgo. Tiene un amplio alcance de aplicación. Es un modelo de auditoría con enfoque de Riesgo, creado como iniciativa del sector privado de EEUU en 1985. Su objetivo mayor es identificar los factores que causan la divulgación financiera fraudulenta y reducir su incidencia. Recoge la metodología del Estándar Australiano y la oficializa el ICONTEC para Colombia Check List GAFI Es un sistema de revisión con base en una secuencia de cumplimiento con relación a las recomendaciones del GAFI Mapeo de Riesgo Metodología suministrada por los consultores Erns & Young Es una metodología que recoge el Método australiano y orienta la presentación del riesgo en un mapa. Esta metodología es la adoptada por SARO y da uniformidad de criterio al interior de la entidad
Fuente: Banrep Este método fue creado por el Comité OB/7 de la junta de estándares de Australia y Nueva Zelanda en el año 1999, sobre administración de riesgos como una revisión de AS/NZ 4360:1995 Administración de Riesgos. De acuerdo con el estándar anterior, es decir AS/NZ 4360:1995, los objetivos son los siguientes: Proveer un marco conceptual genérico para el establecimiento del contexto. Identificación del Riesgo Análisis del Riesgo Evaluación del Riesgo Tratamiento del Riesgo Monitoreo y Comunicación del Riesgo
El Negocio Financiero es el negocio del Riesgo Procesos Estocásticos Matrices de Transición RIESGOS PUROS RIESGOS NEGOCIO Análisis de distribución estadísticas Matrices de Riesgo Valores esperados Matrices de Riesgo
El riesgo de LAFT se materializa a través de los riesgos asociados:
Bases Complemento
Cultura Infraestructura Mercado Objetivos
Legislación Nacional Leyes Decretos Reglamentos Responsabilidad Administrativa y Penal CONVENCIÓN N VIENA Tipificación Extinción Extradición Comiso Congelación Retención GAFI Países No Cooperantes BASILEA Acciones Sobre Reguladores PALERMO Tipificación Pruebas Proceso Legislación Internacional Legislación Nal con Alcance Extraterritorial REGIMEN LEGAL Ley de Secreto Bancario 1970 Ley Contra LA 1986 Patriot Act EEUU 2001 SISTEMA JUDICIAL Conocimiento Institucional PROGRAMAS DEL GOBIERNO Programa OFAC
Se consultaron entidades expertas en LAFT para conocer información adicional que permita establecer nuevos escenarios que afecten a la etidad con LAFT.
FACTORES DE RIESGO AML/CFT
Es una guía y resumen de la contextualización Necesita un apoyo tecnológico Contiene variables de riesgo de LAFT Fortalece el conocimiento del cliente Define perfiles de comportamiento de los segmentos Genera alertas de inusualidad Es el soporte para la identificación del riesgo Facilita la evaluación de riesgo
Técnicas de Minería de Datos
IBM PASW Modeler Software de minería de datos que permite desarrollar modelos de minería de datos y utilizarlos en operaciones empresariales para mejorar la toma de decisiones.
El Riesgo se identifica considerando: El entorno La Naturaleza de la Entidad El Riesgo se identifica con base en: Segmentación Tipologías Tipos de Consecuencia Legal Operativa Reputacional Contagio
Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales. Factor Segmento Proceso Categoría Naturaleza Riesgo Causas CLIENTE Personas Jurídicas Moneda extranjera Listas Lavado de Dinero Realizar una operación de moneda extranjera, cuyo destinatario se encuentra relacionado en lista OFAC Falla en la capacitación Falla en la tecnología Falla en el proceso CLIENTE Personas Naturales Vinculación Infidelidad Lavado de Dinero Asignar una tarjeta de crédito local a una persona vinculada en lista OFAC, la cual persuadió a un funcionario de la entidad a incumplir un procedimiento para hacerlo Falla en la tecnología Infidelidad de funcionario
Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales.
Posibilidad de Pérdida PROBABILIDAD IMPACTO
La contextualización Congelación de Activos Embargo de Cuentas Bloqueo internacional Vinculación a investigaciones por LAFT Embargos por temas de LAFT Publicaciones relacionadas con LAFT internacionalmente Inclusión en lista OFAC Pérdida de la personería jurídica Cancelación de cuentas de clientes por LAFT Publicaciones relacionadas con LAFT a nivel nacional Pérdida de Clientes por desconfianza Cierre de relaciones Comerciales Cierre de locales No hay pérdida económica significativa Rumores en el sector relacionados con LAFT Pérdida de cartera por LAFT Prisión para funcionario Multa para la Entidad Pérdida de valor de la acción La Entidad no se ve relacionada con LAFT Multa para el funcionario Tercero Civilmente Responsable por LAFT
CAUSA Fallas Tecnológicas Falta de Capacitación Infidelidad del Funcionario RESPONSABILIDAD Entidad Programa de Capacitación Funcionario La CAUSA determina el nivel de responsabilidad de la Entidad en el Riesgo
CONOCIMIENTO INFORMACIÓN DATA Grupo de Expertos Permite realizar una calificación de riesgo con base en la experiencia Está limitado a la experiencia y conocimiento de los expertos Es un trabajo dispendioso y requiere activa participación de los miembros Estadística de Eventos Es rápida Tiene soporte histórico Recursos tecnológicos
Operativo Variable Promedio Transaccional Mes Jerarquía Promedio Transaccional Mes Legal Sanción Administrativa Sanción Penal Niveles en la organización Contagio Relación con personas vinculadas en LAFT Accionistas, Directivos, Empleados, Proveedores, Filiales, Usuarios Reputación Difusión de información que afecte la confianza Alcance Geográfico
La calificación de probabilidad se puede realizar considerando tres medidas para evaluar de acuerdo a la naturaleza del evento. Frecuencia Transacción Frecuencia Evento Número de Clientes Relación promedio Transaccional Mes Relación a longitud de tiempo Relación a escalas de número de clientes
Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales. RIESGO INHERENTE: I: 5 P: 5
Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales.
IMPACTO 31 POSIBILIDAD
Debe considerarse al control como mitigador del riesgo inherente para obtener el Riesgo Residual Los controles son la respuesta al Alto Riesgo Debida Diligencia Reforzada 4 dinamismo del GRILAFT Los controles deben clasificarse como Preventivos, Detectivos y Medio Riesgo Debida Diligencia Mejorada 3 Correctivos Los controles deben tener una Bajo Riesgo Debida Diligencia Ampliada 2 metodología de medición, en términos cuantitativos Normal Riesgo Debida Diligencia 1 Los controles pueden mitigar impacto, probabilidad o ambos 32
Cultura Políticas Procedimientos Tecnología Capacitación Gestión: Prevención, Detección o Corrección
METODOLOGÍA 1 Responsable del control: Asignado o No Asignado Tipo de control: Preventivo, Correctivo o Detectivo Naturaleza del control: Automático, Manual o Dependiente de Tecnología Informática Frecuencia del control Documentación del control Actividades que componen el diseño del control FORTALEZA Muy adecuado Adecuado Inadecuado EJECUCIÓN Débil Moderado Fuerte SOLIDEZ Débil Moderado Fuerte
METODOLOGÍ A CON BASE EN PRUEBAS
Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales. RIESGO RESIDUAL
Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales.
38 Ri = (5,5) Rr= (5 C, 5-C) Rr=(1, 1)
El desarrollo de las matrices de riesgo es propio de cada Entidad, guardando un marco común de referencia general y guía de seguimiento El punto relevante de la Matriz de riesgo es la contextualización, la cual define el horizonte y lineamientos del modelo de riesgo de la Entidad En todo sistema de riesgo existe un riesgo de modelo Se requiere contar con talento humano multidisciplinario y apoyo tecnológico con alta capacidad para manejo de registros, para una gestión eficiente
Gracias Sofía Mera Sofia.mera@bancodebogota.com.co