Por Yolanda Cano Gutiérrez
En este artículo se explican de manera general las fases que van a permitir la elaboración de una matriz de riesgos de Lavado de Dinero y Financiamiento al terrorismo (LA/FT) para las Actividades Vulnerables (AV) del artículo 17 de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI), sin perder de vista que la creación de una matriz de riesgos es la herramienta que busca evaluar y prevenir para cuantificar los riesgos y disminuir así, el nivel de subjetividad al momento de la evaluación; por lo que es fundamental identificar toda la normativa aplicable al negocio para diseñar las estrategias y procedimientos necesarios que coadyuven a un sistema de prevención eficaz.
Antecedentes
En México cada día se habla más de prevenir, palabra muy de moda que junto con la palabra “riesgo” en el ámbito empresarial cobran aún más importancia. Estas palabras ya empiezan a estar presentes como un plan de acción o medidas preventivas para eximir a la empresa de alguna sanción; sin embargo, esto no significa que ya se cuente con una metodología bien definida para lograrlo o que como sociedad ya contemos con una cultura de prevención. Ahora, si a ello sumamos el tema de Prevención de Lavado de Dinero para las Actividades Vulnerables, nos damos cuenta que esto nos brinda una gran oportunidad de crecimiento y mejora para los negocios mexicanos, ya que en la Evaluación Nacional de Riesgos (ENR) de 2020 la participación fue solamente de un 13.8% de un total de 70,083 SO registrados al 31 de diciembre de 2018 a quienes se les realizaron los Cuestionarios de Percepción de Riesgos.
Ahora bien, en aras de dar cumplimiento al objeto de la LFPIORPI y considerando los estándares internacionales, -recordemos que México es miembro del Grupo de Acción Financiera (GAFI) desde el año 2000-, para que las Actividades Vulnerables puedan dar cumplimiento a sus obligaciones, en este caso en particular, la identificación y evaluación de sus riesgos, es fundamental tener presente las recomendaciones 1.- Evaluación de riesgos y aplicación de un enfoque basado en riesgos y 28.- Regulación y supervisión de las Actividades y Profesiones no Financieras Designadas (APNFD) del GAFI, así como, la Guía Anticorrupción para quienes realizan estas actividades en términos del artículo 17 de la LFPIORPI y toda la demás normativa que les sea aplicable y que les permita un cumplimiento oportuno y eficaz.
R.1 del GAFI. Los países deben identificar, evaluar y entender sus riesgos de lavado de activos/financiamiento del terrorismo, y deben tomar acción, incluyendo la designación de una autoridad o mecanismo para coordinar acciones para evaluar los riesgos, y aplicar recursos encaminados a asegurar que se mitiguen eficazmente los riesgos. Con base en esa evaluación, los países deben aplicar un enfoque basado en riesgo (EBR) a fin de asegurar que las medidas para prevenir o mitigar el lavado de activos y el financiamiento del terrorismo sean proporcionales a los riesgos identificados.
R. 28 del GAFI. Las APNFD deben estar sujetas a medidas de regulación y supervisión contra el lavado de activos y financiamiento del terrorismo (LA/FT), debiendo los países garantizar que se les apliquen sistemas eficaces para el monitoreo y asegurar el cumplimiento de los requisitos antilavado de activos y contra el financiamiento del terrorismo (ALA/CFT) a través de un supervisor o un organismo autorregulador apropiado, con base en los riesgos identificados.
RIESGOS ASOCIADOS AL LD/FT
Para empezar, se debe mencionar que el GAFI no determina una metodología para regir lo riesgos de LA/FT para las APNFD, conocidas aquí en México como Actividades Vulnerables (AV); sin embargo, sí es importante que los Sujetos Obligados (SO) apliquen alguna metodología que les sea práctica para el cumplimiento preventivo que se desea.
Como segunda mención, recordemos que el riesgo es definido como “una contingencia”, es decir, la posibilidad o probabilidad de que algo suceda o no. Ahora bien, algunos de los riesgos que se pueden presentar por la ausencia de una buena gestión de riesgos de LA/FT son principalmente, riesgo reputacional, riesgo operacional, riesgo legal, entre otros.
Riesgo reputacional: Posibilidad de un evento negativo que daña la imagen y credibilidad como empresa, afectando de manera negativa la percepción que la sociedad tiene de ella.
Riesgo operacional: Posibilidad de pérdidas por fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.
Riesgo legal: Posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales o, como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios.
En la guía publicada en febrero de 2013 por el GAFI, se define al riesgo como “una función de tres factores: Amenaza, Vulnerabilidad y Consecuencia” (GAFI, 2013).
Amenaza: Es una persona, un grupo de personas, cuyo objeto o actividad tiene el potencial de dañar, por ejemplo, al estado, la sociedad o la economía. En el contexto del LA/FT, se incluye a criminales y sus organizaciones; grupos terroristas, sus integrantes, sus fondos y futuras actividades delictivas. Por ello es necesario tener conocimiento del ambiente donde se desarrollan los delitos para identificar su naturaleza. (ENR, 2020)
Vulnerabilidad: Comprende aquellas cosas que se pueden explotar por la amenaza o que pueden sustentar o facilitar sus actividades. Lo que significa enfocarse en los factores que representan debilidades en los sistemas, controles o ciertas características de PLD/FT de un país. (ENR, 2020)
Consecuencias: Impacto o daño que el LD o FT pueden causar, incluyendo el efecto de la actividad criminal o terrorista subyacente en los sistemas financieros e instituciones, en la economía y la sociedad de manera más general. (ENR, 2020)
Como se mencionó anteriormente, el GAFI no prescribe una metodología para regir lo riesgos de LA/FT para las AV; sin embargo, esta si es necesaria para cumplir con el objeto de Ley y es por ello que se hace referencia a la Norma ISO 31000:2018- Gestión del riesgo” que, aunque es una metodología utilizada más para el fraude y control interno de las empresas, puede adaptarse a cualquier organización y su contexto; además, proporciona un enfoque común para gestionar cualquier tipo de riesgo, lo que resulta ser práctico.
En la Norma ISO 31000:2018 se mencionan una serie de principios que son el fundamento de la gestión de riesgos y que deben considerarse cuando se establece el marco de referencia y los procesos de la gestión de riesgo de la empresa, para así lograr los objetivos establecidos.
Metodología Aplicable para la Gestión de Riesgos
Derivado de lo anterior, se presenta una propuesta para evaluar los riesgos LA/FT en las APNFD, para lo cual es importante considerar las características propias del Sujeto obligado, es decir, debe ser un traje a la medida, en el que se incluya identificar toda la normativa aplicable al negocio para diseñar las estrategias y procedimientos necesarios con la finalidad de dar cumplimiento a las obligaciones legales, analizar el tamaño y estructura de la empresa, su ubicación y los sectores en los que opera, las entidades sobre las que tiene control y el conocimiento de los socios, es importante señalar que esta herramienta requiere ser actualizada de manera constante por los cambios normativos y por las actividades que realiza la empresa que puedan impactar en la valoración del riesgo, entre otros.
Para entender de mejor manera la propuesta de la figura anterior, a continuación se hace referencia a las fases que permitirán una buena gestión del riesgo:
Fase 1. Establecer el contexto. Contestar a la pregunta, ¿Para qué? En esta fase se deben establecer i) los objetivos de la Gestión de Riesgos de LA/FT, mismos que deben ser acordes establecer sus propias declaraciones de compromiso y prevención, ii) los criterios de valoración del riesgo de LA/FT, los cuales están íntimamente relacionados con la severidad del riesgo y, por último, iii) establecer los factores de riesgos de LA/FT, como clientes-usuarios, productos-servicios, jurisdicción-zona geográfica y canales.
Fase 2. Identificación de los riesgos de LA/FT. Corresponde generar una lista de eventos de riesgos a que está expuesto y que puedan tener un impacto en su actividad, para lo que se sugieren dos pasos: i) determinar las técnicas para la identificación de riesgos de LD/FT y ii) establecer los eventos de riesgos y sus posibles causas, para este último paso seguir la fórmula AVC (Amenazas, vulnerabilidades y consecuencias).
Fase 3 y 4. Análisis y evaluación de los riesgos de LA/FT. En esta fase se va a determinar el riesgo inherente, el cual se obtiene de multiplicar la probabilidad de ocurrencia por el impacto, es decir, el nivel de daño que puede causar. Los pasos a seguir son, i) establecer la medición de los eventos de riesgos, ii) determinar la severidad de cada evento de riesgo y, por último, iii) evaluación de controles.
Nota: En el paso tres, al considerar la efectividad de los controles, se va a proceder a calcular el riesgo residual, que es el riesgo que subsiste después de aplicar controles, aquí se utilizará la fórmula de riesgo inherente entre controles, igual a riesgo residual.
Fase 5. Tratamiento de los riesgos de LA/FT. En esta última fase se debe decidir sobre las diferentes opciones estratégicas que se pueden aplicar en un sistema de gestión de riesgos, es decir, se puede decir por evitar el riesgo, por prevenir su ocurrencia, por proteger el riesgo una vez que este se vuelve activo para limitar su capacidad de daño o perjuicio a la empresa, o por aceptar el riesgo en las condiciones en que este se encuentre.
De manera muy general se han abordado las 5 fases que nos va a permitir la elaboración de la matriz de riesgos de LA/FT, tengamos presente que la matriz de riesgos es una herramienta de control y gestión que permite identificar las actividades más importantes de la empresa, el tipo y nivel de riesgos inherentes a que está expuesta y los factores relacionados con estos riesgos, así también, evalúa la efectividad de una adecuada gestión y administración de riesgos que pudiera impactar en los resultados de la empresa.
Por otro lado, dimensiona los riesgos para saber si están controlados o no, prioriza acciones, protege los objetivos de la empresa y logra la mejora continua; además, de que sus ventajas tienen efectos preventivos, es adaptable y permite mejorar el desempeño al enfocarse en los riesgos de alta primacía.
CONCLUSIÓN
A pesar de que aún no se cuenta con una metodología bien definida para una gestión de riesgos en las Actividades Vulnerables y que, además, no se encuentra regulado en Ley, es sumamente importante que los SO consideren implementar esta herramienta ya que por la sola naturaleza de las actividades que realizan, presentan mayor vulnerabilidad a ser utilizados en operaciones con recursos de procedencia ilícita y de Financiamiento al Terrorismo, así como de igual manera les va a permitir tomar mejores decisiones a poner en acción para prevenir la comisión de un delito y eximir de responsabilidades. También hay que tener presente que debe ser un documento dinámico y apegado a las necesidades y especificaciones particulares que cada empresa tenga.
Bibliografía
- ENR. (SEPTIEMBRE de 2020).
- GAFI. (FEBRERO de 2013). GUÍA PARA LA EVALUACIÓN Y MITIGACIÓN DE RIESGO.
- GAFILAT. GUÍA DIRIGIDA AL SECTOR APNFD, PARA LA CONSTRUCCIÓN DE UNA MATRIZ DE RIESGOS EN PREVENCIÓN DE LAVADO DE ACTIVOS Y FINANCIAMIENTO AL TERRORISMO (LA/FT). DICIEMBRE 2022
- NORMA ISO 31000. GESTIÓN DE RIESGOS
- GAFI. 40 RECOMENDACIONES. https://www.cfatfgafic.org/index.php/es/documentos/gafi40-recomendaciones
Yolanda Cano Gutiérrez
Licenciada en Contaduría. Más de 14 años de experiencia en firmas de estrategias fiscales y empresas internacionales, en las áreas de consultoría en Prevención de Lavado de Dinero, Fiscal, Administración, Contable-Financiero, Gestión de Riesgos y Auditoría Interna, Forense y en materia de PLD para el Sector Financiero.
Integrante de la Comisión PLD CCPVER. May-2023.