En 2017 se adicionó dentro de las Disposiciones de Carácter General la obligación explícita de aplicar un Enfoque Basado en Riesgos (EBR) para la prevención de Lavado de Dinero y Financiamiento al Terrorismo (LD/FT) por parte de diversos integrantes del Sector Financiero Mexicano. Un año después se comenzó a implementar dicho EBR en diversos sectores siendo el sector de Seguros y Fianzas el último en comenzar a hacerlo.
El EBR implica realizar una identificación de los riesgos a los que una Entidad Financiera se encuentra expuesta con la intención de conocer las áreas de mayor riesgo y así realizar una asignación eficaz de aquellos recursos utilizados para prevenir los delitos de LD y FT; si una Entidad Financiera está expuesta en mayor medida por ejemplo en un Producto o Servicio específico, deberá asignar más recursos de prevención para ello, por el contrario, si el riesgo es menor, asignará menos recursos.
Para lograr aplicar un EBR, las Entidades Financieras deben diseñar e implementar una metodología para llevar a cabo una evaluación de Riesgos a los que se encuentran expuestas considerando los siguientes elementos de riesgo: productos, servicios, clientes, usuarios, países o áreas geográficas, transacciones y canales de envío o distribución con los que operan[1].
En 2018 y 2019, la Comisión Nacional Bancaria y de Valores (CNBV) publicó una guía[2] para ayudar a las Entidades Financieras a elaborar dicha metodología, de igual forma en 2021 a través de su canal de YouTube publicó una serie de videos con el mismo fin. Sin embargo, en los recursos anteriores no se mencionan los retos que los Oficiales de Cumplimiento deberían tener presentes al momento de hacerlo, los cuales listo a continuación:
- Entendimiento común sobre EBR.
Antes de comenzar a desarrollar una metodología y por supuesto ponerla en marcha, es importante que el Oficial de Cumplimiento, su área a cargo, el Comité de Comunicación y Control y demás personas involucradas entiendan perfectamente qué es un EBR, su objetivo, alcance y demás especificaciones. Uno de los errores más comunes es confundir el EBR con la matriz de clasificación de grado de riesgo de Clientes y aquí es importante señalar que no son lo mismo; si bien debe existir una coherencia entre ellas y las mismas se complementan, es importante tener claro que evalúan cosas distintas: el EBR evalúa el grado de exposición de la Entidad al LD/FT en función de los elementos de riesgo antes mencionados; la matriz de clientes evalúa el riesgo individual considerando elementos inherentes al mismo.
Por tanto, el primer paso para poner en marcha un EBR debe ser una capacitación de todos los involucrados para homologar conocimientos, tener un entendimiento común sobre el tema y sobre todo dejar claro cuál es su alcance y beneficios.
- Identifica a las personas correctas.
El Oficial de Cumplimiento es la persona responsable del cumplimiento de las Disposiciones aplicables y por tanto de asegurar que el EBR sea aplicado, sin embargo, este ejercicio debe involucrar a las áreas expertas de la Entidad para considerar aquellos procesos, sistemas y demás particularidades que el mismo negocio tiene y seguramente, el Oficial de Cumplimiento no tiene en el radar. Sugiero involucrar al área Comercial, Operaciones, Riesgos, Comité de Comunicación y Control o la Dirección General y la más importante: Sistemas o TI.
Es importante tener una visión completa del negocio para que la identificación de los riesgos sea lo más clara posible y no se caiga en supuestos que pueden llegar a complicar la evaluación de los riesgos y generar el desarrollo e implementación de controles innecesarios y que implican un costo.
- Valida la data en los sistemas automatizados.
Antes de iniciar con el diseño de la metodología es necesario acercarse al área de Sistemas/TI o con el Proveedor del Sistema para entender cuál es la información que se encuentra disponible en el sistema o los sistemas involucrados, cómo se pueden realizar extracciones de información y se debe evaluar la calidad de la información disponible.
En este punto es importante eliminar un mito que he escuchado muchas veces en el sector: «La metodología EBR debe estar integrada en los Sistemas Automatizados»; lo anterior es incorrecto puesto que las Disposiciones aplicables son muy claras: los sistemas automatizados deben proveer la información que las Entidades incluirán en la metodología[3]; en este sentido, son los Sistemas Automatizados los que van a dar forma a la metodología, pues dependiendo de la información disponible se podrán ir evaluando los elementos de riesgo para cada uno de los elementos identificados.
Esta validación de la data en los sistemas automatizados es crucial, pues además de evitar reprocesos en el Diseño de la metodología también pone en el radar posibles ajustes que deben realizarse a los sistemas para que el EBR sea alimentado de la mejor forma.
- Evalúa correctamente los controles existentes.
Uno de los indicadores más importantes de la metodología EBR es conocer el riesgo residual de la Entidad, es decir, aquel que queda una vez que son considerados los controles existentes para cada elemento de riesgo. Sin embargo, evaluar los controles existentes puede ser un dolor de cabeza si no se consideran algunos elementos propios de la Administración de Riesgos. Primero, es importante identificar el tipo de control con el que se cuenta, para ello tomaremos como base las 3 clasificaciones más comunes:
- a) Control Preventivo: busca anticiparse a la posibilidad de que se materialice un riesgo.
- b) Control Detectivo: opera al momento en que se realizan las actividades e identifica omisiones o desviaciones y permite anticiparse a la materialización del riesgo.
- c) Control Correctivo: opera una vez que un proceso fue ejecutado e identifica la omisión o desviación, sin embargo, el riesgo ya se materializó.
Segundo, una evaluación de un control será más real si se toma en cuenta la naturaleza del control, es decir, si es manual, semiautomático o automatizado. Lo anterior nos puede dar un reflejo de la efectividad del control, pues entre más automatizados estén, menor será la exposición al riesgo en relación con aquellos controles que se ejecutan de forma manual y por ende, traen consigo un riesgo operativo adicional.
- Involucra a la Alta Dirección.
Por último, pero no menos importante, es necesario que desde el inicio se involucre a la Alta Dirección, ya sea a través del Comité de Comunicación y Control o en su caso, directamente con el Director General o equivalentes. Y se deben dejar claras dos cosas: la primera es que es una obligación regulatoria con la que se debe cumplir y segundo, esta implementación requiere de recursos.
Lo segundo siempre es lo más complicado, pues además de solicitar un presupuesto a la Entidad, muchas veces nos vamos a enfrentar a que este tipo de proyectos compiten con otros existentes dentro de las compañías, por tal motivo es responsabilidad de los Oficiales de Cumplimiento o su equivalente mostrar la utilidad que tiene dicha metodología en la toma de decisiones y que, a la larga, al buscar una aplicación eficiente de los recursos puede representar un ahorro para la Entidad.
CONCLUSIÓN
El Enfoque Basado en Riesgos en materia de PLD-FT proporciona a las Entidades Financieras un panorama de los riesgos relacionados a los que se encuentran expuestas, por tanto, permite tomar mejores decisiones incluso sobre el rumbo del negocio. Si bien es cierto, la aplicación de dicho enfoque no es infalible, si ayuda a fortalecer de forma permanente los programas de prevención de estos delitos.
Por tal motivo, conocer los retos que existen al implementar un EBR ayuda a los Oficiales de Cumplimiento a dejar ese «dolor de cabeza» y convertirlo en la guía para todas sus funciones y responsabilidades.
[1] Guía para la elaboración de una metodología de evaluación de riesgos en materia de PLD/FT, Comisión Nacional Bancaria y de Valores.
[2] Guía para la elaboración de una metodología de evaluación de riesgos en materia de PLD/FT, Comisión Nacional Bancaria y de Valores.
[3] Fracción IX Bis de la 51a Disposición de Carácter General a que se refiere el artículo 115 de la Ley de Instituciones de Crédito.
