Comprender las fuentes de riesgo, la originación del riesgo y la clasificación del riesgo son componentes esenciales de la gestión del riesgo. A veces, el lavado de dinero o el financiamiento del terrorismo, o los riesgos de LA/FT pueden originarse en un proceso de la entidad, pero también afectar a otros procesos. En consecuencia, la gerencia identifica y gestiona estos riesgos de LA/FT para mantener y mejorar el rendimiento del cumplimiento.
Crear, preservar, realizar y minimizar la erosión del valor de una entidad se habilita aún más al identificar, evaluar y responder al riesgo de LA/FT que puede afectar el logro de la estrategia y los objetivos comerciales de la entidad. Los riesgos de LA/FT originados a nivel de cliente o transaccional pueden ser tan perjudiciales como los identificados a nivel de entidad.
La gestión de riesgos de ML/FT permite a las entidades mejorar su capacidad para identificar nuevos riesgos de ML/FT y establecer respuestas apropiadas de ALD/CTF, reduciendo las sorpresas y los costos de cumplimiento relacionados. Además, a través de la identificación lógica y la integración de los riesgos de ML / TF, la organización encuentra las causas fundamentales y las fuentes de los riesgos de ML / TF.
Comprender las fuentes de riesgo, la originación del riesgo y la clasificación del riesgo
Existen varias fuentes de las que se originan los riesgos de ML / TF, como los requisitos reglamentarios, incluidas las leyes, políticas, procedimientos, cambios en los factores económicos y políticos, cambios en los perfiles de riesgo, comportamientos y transacciones de los clientes, y varios otros factores internos relacionados con los empleados relacionados con la incorporación y la verificación de identidad.
Los riesgos de LA/TF pueden estar altamente correlacionados con factores dentro del contexto empresarial o con otros riesgos. Además, las respuestas de riesgo de ML/TF pueden requerir inversiones significativas en procesos, equipos y sistemas de cumplimiento. Los riesgos emergentes de LA/FT surgen cuando cambia el contexto empresarial, cambia el perfil del cliente, se introducen nuevas leyes y regulaciones, se trata de clientes o jurisdicciones de alto riesgo, etc.
Tenga en cuenta que los riesgos emergentes de ML / TF pueden necesitar ser mejor entendidos inicialmente y pueden justificar la reidentificación con mayor frecuencia. Además, las organizaciones deben establecer una cultura de comunicación con respecto a los riesgos emergentes de ML / TF. La identificación de los riesgos nuevos y emergentes de LA/FT permite a la organización mirar hacia el futuro y les da tiempo para evaluar la gravedad potencial de los riesgos emergentes de LA/FT.
Tener tiempo para evaluar los riesgos emergentes de ML / TF permite a la organización anticipar las respuestas de riesgo ALD / CTF. Algunos riesgos de LA/FT pueden permanecer desconocidos, para los cuales no había una expectativa razonable de que la organización los consideraría durante la identificación y evaluación del riesgo de ML/TF.
Los incidentes de riesgo de ML/TF pueden tener consecuencias financieras, de reputación, operativas, estratégicas y legales. Dado que puede haber diferentes consecuencias de los riesgos de LA/FT en combinación que pueden afectar a una unidad operativa o a la entidad en su conjunto, pueden estar altamente correlacionadas con factores dentro del contexto empresarial o con otros riesgos.
La identificación y clasificación de riesgos de LA/FT en categorías de riesgo apropiadas son actividades centrales de las prácticas de gestión de riesgos ALA/CTF. La clasificación de riesgos permite a la organización evaluar los riesgos inherentes y residuales para diversos procesos y actividades. Sin la clasificación de riesgos en tipos o clases apropiadas, la administración puede ser incapaz de analizar los riesgos relacionados con diferentes procesos y departamentos de manera apropiada.
Los riesgos deben clasificarse según su tipo, naturaleza y complejidad. Para clasificar los riesgos, las organizaciones deben establecer las fuentes de los riesgos, lo que significa identificar posibles fuentes, información, datos, investigaciones e informes que puedan ayudar a los propietarios del riesgo a identificar sus fuentes de riesgo relevantes y aplicables. Esto permite a las organizaciones clasificar sus riesgos en categorías apropiadas para evaluar el impacto y la probabilidad de los riesgos.
Dichas fuentes de riesgo pueden ser informes de auditoría interna, informes de inspección por parte del regulador, datos históricos de pérdidas, información financiera, datos de quejas de clientes, base de datos de noticias, incidentes de peligro informados, datos de sanciones, etc.
La clasificación del riesgo se logra mediante la definición de los criterios cuantitativos y cualitativos de evaluación del riesgo. Una vez que los riesgos se identifican y etiquetan con los tipos de riesgo, se realiza la evaluación de riesgos inherentes y residuales , considerando el nivel de controles establecidos para mitigar los riesgos. Después de realizar la evaluación de riesgos residuales, los riesgos se clasifican en tres grandes niveles: alto, medio y bajo.
Durante la clasificación de riesgos, la organización considera la criticidad de la función y el proceso al que se refiere el riesgo. Los departamentos y procesos críticos siempre tienen prioridad, y los riesgos relacionados generalmente se marcan como altos para garantizar que todos los procesos críticos se monitoreen regularmente desde el punto de vista de la gestión de riesgos. Esto es necesario porque el riesgo en procesos críticos puede conducir a pérdidas financieras, operativas, de reputación y estratégicas significativas.
Tal clasificación permite a la administración agregar el riesgo de alto nivel como riesgos prioritarios para fines de monitoreo y gestión. Todos los riesgos multifuncionales de alto nivel se agregan para tener una visión más amplia de los riesgos significativos a los que está expuesta una organización. Una vez que se agregan todos los riesgos clasificados de alto nivel, cada propietario del proceso comienza a tomar las medidas adecuadas e implementar los controles que deben implementarse para mitigar dichos riesgos de alto nivel.
Los riesgos emergentes de LA/FT también se evalúan y clasifican a medida que surgen cuando cambia el contexto comercial, y pueden alterar el perfil de riesgo de la entidad en el futuro. Tenga en cuenta que los riesgos emergentes pueden necesitar ser entendidos mejor para identificar e inicialmente evaluar con precisión y pueden justificar la reidentificación con mayor frecuencia. Además, las organizaciones deben comunicar información en evolución sobre los riesgos emergentes.
La identificación de riesgos nuevos y emergentes, o cambios en los riesgos existentes, permite a la organización mirar hacia el futuro y les da tiempo para evaluar la gravedad potencial de los riesgos y aprovecharlos. A su vez, tener tiempo para evaluar el riesgo permite a la organización anticipar la respuesta al riesgo o revisar la estrategia y los objetivos comerciales de la entidad según sea necesario. Algunos riesgos pueden permanecer desconocidos, para los cuales no había una expectativa razonable que la organización consideraría durante la identificación de riesgos.
Reflexiones finales
Comprender las fuentes de riesgo, la originación del riesgo y la clasificación del riesgo es crucial para una gestión eficaz del riesgo. Al identificar los riesgos potenciales, comprender cuándo y dónde pueden ocurrir y clasificarlos adecuadamente, las organizaciones pueden desarrollar estrategias efectivas para mitigar y gestionar los riesgos.