Por: Eduardo Escobar Giraldo. Colaborador de Auditool

¿QUÉ ES SARLAFT?

De acuerdo con la Unidad de Información y Análsis Financieros (UIAF), el Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo se compone de dos fases: la primera corresponde a la prevención del riesgo y cuyo objetivo es prevenir que se introduzcan al sistema financiero recursos provenientes de actividades relacionadas con el lavado de activos y/o de la financiación del terrorismo. 

La segunda, que corresponde al control, y cuyo propósito consiste en detectar y reportar las operaciones que se pretendan realizar o se hayan realizado para intentar dar apariencia de legalidad a operaciones vinculadas al LA/FT. 

ELEMENTOS CONSTRUCTIVOS DEL SARLAFT

Los elementos de control deben contemplar políticas, procedimientos, documentación, estructura organizacional, órganos de control, infraestructura tecnológica, divulgación de información y capacitación.

Las medidas preventivas y procedimientos exigentes deben articular las etapas del sistema, permitir identificar situaciones potenciales de Riesgo de LA/FT y contribuir con la prevención y gestión; de tal forma que mitiguen los efectos o consecuencias de los hechos intuidos, para evitar que se materialicen los riesgos identificados.

Se debe trabajar en la incorporación y precisión conceptual de los factores de riesgo, espectro que cubre stakeholders, como generadores y fuentes de riesgo del LA/FT. En tal sentido, se enfatiza el tratamiento especial que debe darse al riesgo reputacional, por cuanto es la columna vertebral de los riesgos asociados.

Considerando que este es un riesgo especial que requiere ser tratado con instrumentos de control eficientes, lo primero que hay que decir es que la norma colombiana por ser pionera en la exigencia de un sistema específico, en mi opinión debe atender algunas imprecisiones conceptuales que en mi sentir deben ser dirimidas o asumidas por las entidades.

Con el propósito de contribuir al funcionamiento práctico del sistema, de tal forma que facilite la utilización de herramientas tecnológicas efectivas, que contribuyan efectivamente a la mitigación del riesgo de lavado de activos y financiación del terrorismo -LA/FT-.

Conceptualización de los factores de riesgo

La Superintendencia Financiera de Colombia -SFC- establece como premisa los siguientes factores de riesgo: clientes-usuarios, productos, jurisdicciones, canales de distribución y los demás stakeholders que se lleguen a definir en el modelo diseñado a la medida, en mi opinión coherente con la normativa esta definición requiere ser analizada con profundidad, con el fin de establecer bases fundamentales del sistema de administración.

Clientes-usuarios: en mi consideración, permítanme acercarme a la definición original de este factor de riesgo, denominándose generadores de riesgo, por cuanto las empresas son permeables por las personas, en tal sentido se requiere abrir su cobertura a los otros grupos de interés “incluyendo relacionados no económicos stakeholders” que también juegan un papel predominante en el riesgo de cualquier vinculado económico, a saber: accionistas/socios, empleados incluidos los miembros de la juntas directivas o de socios, revisores fiscales, auditores internos; así como contratistas y proveedores de bienes y servicios.

A diferencia con lo establecido en la norma: los productos, las jurisdicciones y los canales de distribución u otros generadores de riesgo de acuerdo con las características, negocios, composición societaria y demás factores endógenos o exógenos lleguen a establecerse denominados como fuentes de riesgo; esta proposición se fundamenta en esencia por cuanto estos componentes se convierten en medios por los cuales los clientes-usuarios y demás grupos de interés, pueden ser utilizados en la realización de operaciones sofisticadas de esquemas de lavado o para desviar recursos hacia organizaciones criminales.

Segmentación

En relación a la segmentación también planteo algunos aspectos prácticos, cuya intención es facilitar la administración del riesgo de una manera sencilla, de tal forma que permita la efectividad requerida.

Si bien es cierto, se requiere contemplar la segmentación empírica o a priori, establecida comercialmente por actividades económicas y características relacionadas con atributos adicionales de las personas, requieren ser justificadas para demostrar la homogeneidad al interior de los grupos y heterogeneidad entre ellos, se requiere sustentar con el conjunto de argumentos de reconocido valor técnico o técnicas estadísticas o de machine learning.

Políticas

Metodología y esencia de la segmentación

La metodología relacionada con los elementos de control deben articular la normatividad específica que aplique a la entidad, bajo principios de mejores prácticas de gestión, en consecuencia la homogeneidad en la segmentación del factor cliente debe formar parte de la sistemática aplicabilidad en la generación de operaciones inusuales, considerando tipo de persona, sus atributos e involucrar variables aritméticas apoyadas en herramientas tecnológicas con criterios integralmente estimados sobre el monto de los ingresos, egresos y patrimonio, coherente con la actividad económica y el movimiento transaccional u operacional; lo cual debe concluir con el análisis de los movimientos financieros del giro normal de los negocios o actividad económica respaldada por el objeto social.

Considero que los parámetros basados en el histórico transaccional, complementado con la definición de rangos o perfiles de riesgo; asociados a la descripción de cada grupo homogéneo, permiten determinar umbrales o patrones de comportamiento, los cuales requieren ser documentados.

http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-18992016000100002

La metodología aplicada a: productos, canales de distribución y jurisdicciones, para la calificación de un cliente específico con características propias e individuales, es un proceso indispensable en la división de los factores de riesgo, con el propósito de que obedezca a las características propias en cada caso, con lo cual en mi concepto cumple con las exigencias normativas y contribuya a la detección hechos que se desvíen de los patrones de comportamiento.

Los procesos de segmentación de los factores de riesgo deben permitir la determinación de los movimientos financieros, la generación de señales de alerta, la identificación de operaciones inusuales y la determinación de operaciones que resulten sospechosas.

Características de los negocios

La adecuada desagregación de los clientes, en los casos de negocios complejos, cuando se trate de fiducia mercantil, operaciones en moneda extranjera, operaciones de leasing, factoring o disimilitud de actividades, es preciso tener divididos los clientes por tamaño y características de los negocios.

La ponderación utilizada en los factores de riesgo individual, o de manera global utilizando promedios de ingresos, permite establecer los parámetros o umbrales de comportamiento normal de los clientes que conforman el segmento.

La segmentación del factor cliente debe ser consistente en la determinación de las características usuales de las transacciones, comparativas con las que realizan los clientes a efectos de detectar operaciones inusuales.

Adicionalmente, debe incluirse variables socioeconómicas, demográficas y financieras con el propósito de determinar parámetros de normalidad.

De otra parte, debe permitir la generación de datos confiables para obtener el perfil real de cada cliente, en concordancia con el segmento en el que se desagreguen los mismos y se clasifiquen los demás factores de riesgo, considerando las características y aspectos relacionados con cada uno de los grupos de interés.

La estrategia metodológica relacionada con la confiabilidad y disponibilidad de la información debe garantizar que en la data no se presenten campos vacíos o con información en ceros, con la finalidad de garantizar la integridad y disponibilidad de los documentos, registros y en general de la información respectiva.

Riesgos asociados

La SFC apropia el concepto de riesgos colegiados: reputación, legal, de contagio y operativos; al respecto es menester indicar que el verdadero riesgo finalmente es el legal, concordante con los siguientes fundamentos que concuerdan de la normatividad vigente.

Riesgo reputacional: por ser el principal peligro del LA/FT/FPADM, así como de los demás sistemas de riesgo, debería tratarse independientemente como un sistema único y no ligado o asociado a otro sistema. La anterior apreciación la sustento en el hecho de la preservación de la imagen institucional, columna vertebral de una organización.

Dinámica del riesgo reputacional

En consecuencia, se requiere establecer protocolos de actuación específica para salvaguardar la buena imagen institucional, de tal forma que permita una taxonomía de este tipo de riesgo.

Riesgo operativo: este riesgo asociado se debe identificar, valorar y monitorear conjuntamente en el sistema de riesgo operativo -SARO, es decir, las inconsistencias en la información, fallas operativas, humanas o tecnológicas, u omisión de requisitos; deben tratarse independientemente del SARLAFT y no como un riesgo asociado o independiente.

Riesgo de contagio: coherente con lo indicado anteriormente, es un riesgo secundario por cuanto depende del impacto, con lo cual se convierte en riesgo legal.

Esta propuesta implica que los anteriores riesgos asociados (reputacional y operativo) se administren independientemente y los únicos riesgos realmente asociados al SARLAFT son el legal y el de contagio.

En términos prácticos lo que se plantea es que al sistema de administración de riesgos se concentre en los riesgos reales de LA/FT/FPADM, se le dé el tratamiento adecuado para mitigar efectivamente los riesgos asociados, los cual son generados por las personas que utilicen a las entidades con la finalidad de realizar actividades relacionadas con dineros de procedencia ilícita o para desviar recursos para financiar terrorismo.

Documentación

Los elementos del SARLAFT implementados por la entidad deben constar en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información, entre otros soportes documentales se debe mantener los siguientes:

Políticas para la administración del riesgo de LA/FT/FPADM Metodologías para la segmentación, identificación, medición y control del riesgo de LA/FT/FPADM Estructura organizacional del SARLAFT, funciones y responsabilidades de quienes participan en la administración del riesgo de LA/FT/FPADM, medidas necesarias para asegurar el cumplimiento de las políticas del SARLAFT. Procedimientos para identificar, medir, controlar y monitorear el riesgo de LA/FT/FPADM y de control interno y revisión del SARLAFT Programas de capacitación del SARLAFT

---

Conclusión

Aunque no existe un modelo único, por cuanto el diseño del SARLAFT debe ser a la medida de las necesidades de cada institución, si seguimos esta propuesta se facilitará la puesta en funcionamiento el sistema hecho a la medida, documentados adecuadamente para demostrar la debida diligencia normal e intensificada de acuerdo con la vulnerabilidad y nivel de riesgo que contribuya al proceso de maduración y fortalecimiento; apoyado en el establecimiento de índices de gestión e indicadores de riesgo que contribuyan a la evolución y mejora del sistema.

---

Eduardo Escobar Giraldo

Tesorero Aigrys Andino
Consultor G.R.C. TodosistemasSTI