El segundo paso en la creación de un programa eficaz de cumplimiento de ALD/CFT es realizar una evaluación del riesgo de blanqueo de capitales.
Esto es importante porque una organización tiene una visión general de los riesgos específicos de la lucha contra el blanqueo de capitales a los que puede estar expuesta y necesita ser consciente de las posibles deficiencias. Pero seamos más precisos.
Paso 2: Evaluación de riesgos de ALD/CFT
La evaluación de los riesgos de la lucha contra el blanqueo de capitales tiene tres objetivos:
Objetivo 1: El primer objetivo es muy obvio; identifica los riesgos generales y específicos de blanqueo de capitales a los que se enfrenta una organización.
Objetivo 2: El segundo objetivo es determinar cómo se mitigan estos riesgos mediante los controles del programa de cumplimiento ALD/CFT de la organización. Dicho esto, esto requeriría tener ya algún tipo de control AML en su lugar. Si su organización aún no tiene ningún control establecido, esto significaría que el grado de mitigación del riesgo AML es cero y que ya es hora de ponerse a trabajar.
Objetivo 3: El tercer objetivo es establecer el riesgo residual que queda para la organización. Ahora, ¿cuál es el riesgo residual? Tienes el riesgo de AML; tienes ciertas medidas que mitigan ese riesgo hasta cierto punto. Lo que queda después de aplicar las medidas es el riesgo residual.
3 pasos para realizar una evaluación del riesgo de blanqueo de capitales
Entonces, ¿cómo se realiza una evaluación de riesgos de ALD? Existen numerosas formas de hacerlo, que difieren según las organizaciones y los sectores. Sin embargo, hay una lógica convencional detrás de ellos. Vamos a ver un enfoque general que puede utilizarse para realizar una evaluación del riesgo de blanqueo de capitales.
Como norma general, la evaluación del riesgo de blanqueo de capitales debe abarcar la totalidad de las actividades de la organización. Sin embargo, puede llevarse a cabo por partes o como parte de un ciclo rodante con un enfoque particular.
Ahora, la evaluación del riesgo de blanqueo de capitales se realiza en 3 fases. La fase 1 consiste en determinar el riesgo inherente. La fase 2 evalúa las medidas internas, y la fase 3 consiste en derivar el riesgo residual.
Paso 1: Identificar el riesgo inherente
Vamos a explorar la determinación del riesgo inherente.
El riesgo inherente representa la exposición al riesgo de blanqueo de capitales en ausencia de un entorno de control aplicado.
Para identificar el riesgo inherente, se suelen realizar evaluaciones de numerosas categorías de riesgo, según la organización. Las categorías más comunes son los clientes, los productos y servicios ofrecidos, los canales de distribución, las zonas geográficas en las que se desarrollan los negocios y algo que suele denominarse otros factores de riesgo cualitativos.
Dediquemos unas palabras a estos factores de riesgo ejemplares que podrían evaluarse.
Clientes
Empecemos por los clientes: Para evaluar el riesgo de blanqueo de capitales inherente a una división, unidad o línea de negocio, debe evaluarse la base de clientes y la relación comercial. El número de tipos de clientes, industrias, actividades, profesiones y negocios, junto con otros factores, pueden aumentar o disminuir los riesgos de blanqueo de capitales. Las siguientes categorías pueden estratificar la base de clientes e identificar los factores de riesgo de los clientes: tipo de cliente, propiedad, industria, actividad, profesión y negocio.
Productos y servicios
Lo siguiente son los productos y servicios: Hay que determinar o estimar el volumen de tipos de productos que ofrece la empresa y los KPI asociados. A continuación, se debe asignar a los tipos de productos una categoría de riesgo. Por ejemplo, riesgo bajo de blanqueo de capitales, riesgo moderado de blanqueo de capitales o riesgo alto de blanqueo de capitales. Estos datos pueden utilizarse para determinar qué porcentaje de cada tipo de producto se clasifica según la clasificación de riesgo. Por ejemplo, puede ver que el 25% de sus productos tienen un riesgo moderado de blanqueo de capitales.
Canales de distribución
Luego tenemos los canales: Algunos canales de entrega pueden aumentar el riesgo de blanqueo de capitales porque aumentan el riesgo de que la identidad y las actividades de los clientes puedan ser disimuladas. En consecuencia, debe evaluarse si, y en qué medida, el método de originación de cuentas o de servicio de cuentas podría aumentar el riesgo inherente de blanqueo de capitales.
Geografías
Lo siguiente son las zonas geográficas: Identificar las ubicaciones geográficas que pueden suponer un mayor riesgo es un componente básico de cualquier evaluación de riesgos inherentes. Hacer negocios en determinadas ubicaciones geográficas puede asociarse a un mayor riesgo de blanqueo de capitales. Para la evaluación del riesgo geográfico, puede utilizar las listas del GAFI u otras organizaciones.
Factores de riesgo adicionales
Por último, hay otros factores de riesgo que pueden influir en los riesgos operativos y contribuir a aumentar o disminuir la probabilidad de que se produzcan fallos en los controles clave de la lucha contra el blanqueo de capitales. Los factores de riesgo cualitativos afectan directa o indirectamente a los factores de riesgo inherentes. Por ejemplo, la estrategia efectiva y los cambios operativos o la apertura en una nueva ubicación pueden afectar al riesgo inherente.
Paso 2: Evaluación de las medidas internas
Pasemos a la fase 2 de la evaluación del riesgo de blanqueo de capitales. Una vez identificados y valorados los riesgos inherentes, hay que evaluar los controles internos para determinar en qué medida compensan los riesgos globales. Los controles son programas, políticas o actividades establecidas por la organización para protegerse contra la materialización de un riesgo de blanqueo de capitales. Estos controles también se utilizan para mantener el cumplimiento de la normativa aplicable en materia de lucha contra el blanqueo de capitales. Los controles de la lucha contra el blanqueo de capitales suelen evaluarse en diferentes categorías de control. Las categorías típicas pueden incluir el gobierno corporativo, las políticas, los procedimientos, el seguimiento y el control, la formación de los empleados y la detección y el archivo de los RAS. Cada una de estas áreas se evalúa en cuanto a su diseño general y su eficacia operativa.
Puede haber un indicador positivo o negativo de la ejecución del control. Estos deben documentarse para evaluar la eficacia operativa de cada control.
Pongamos un ejemplo: Para la formación, habrá algunos elementos que deben estar presentes en un marco de formación eficaz. Por ello, la evaluación controlada se centrará en cada uno de estos elementos, como por ejemplo si se han evaluado las necesidades de formación del personal, si se imparte formación especializada para las funciones clave o si la formación se completa a tiempo. Estos elementos exigen que la organización evalúe si cada uno de ellos funciona satisfactoriamente, necesita mejorar o es deficiente.
Los resultados de cada categoría de control se asocian a una puntuación, que refleja la fuerza relativa de ese control. A continuación, se puede asignar a cada categoría una ponderación basada en la importancia que la institución otorga a ese control. Lo que salga en el fondo se utilizará en la fase 3.
Paso 3: Determinar el riesgo residual
Bien, una vez que se han considerado tanto el riesgo inherente como la eficacia del entorno de control interno, se puede determinar el riesgo residual. El riesgo residual es el que permanece después de aplicar los controles al riesgo inherente. Se determina equilibrando el nivel de riesgo inherente con la solidez general de los controles de gestión de riesgos. La calificación del riesgo residual indica si los riesgos de blanqueo de capitales dentro de la organización se gestionan adecuadamente.
La práctica general es aplicar una escala de calificación de 3 niveles para evaluar el riesgo residual en una escala alta, moderada y baja. También se puede utilizar cualquier escala de valoración, por ejemplo, una escala de 5 puntos de Bajo, Bajo a Moderado, Moderado, Moderado a Alto y Alto. Pero la escala de valoración de 3 niveles es la más común.
Utilización de los resultados de la evaluación del riesgo de blanqueo de capitales
Ahora que ha realizado una evaluación de riesgos de ALD y tiene los resultados, ¿qué hace con ellos? Pueden utilizarse en una organización de muchas maneras diferentes. Aquí están los 5 mejores:
- En primer lugar, pueden utilizarse para identificar las lagunas u oportunidades de mejora en las políticas, procedimientos y procesos de lucha contra el blanqueo de capitales.
- En segundo lugar, pueden desarrollar estrategias de mitigación de riesgos, incluyendo controles internos adecuados y una menor exposición al riesgo residual.
- En tercer lugar, pueden tomar decisiones informadas sobre el apetito de riesgo y la aplicación de los esfuerzos de control, la asignación de recursos y el gasto en tecnología.
- A continuación, pueden asegurarse de que la alta dirección está al tanto de los principales riesgos, las deficiencias de control y los esfuerzos de corrección.
- Y, por último, pueden utilizarse para garantizar que los reguladores conozcan los principales riesgos, las deficiencias de control y los esfuerzos de corrección en toda la organización.
Reflexiones finales
Una evaluación del riesgo de blanqueo de capitales y financiación del terrorismo es el proceso de identificar el riesgo y desarrollar políticas y procedimientos para reducir y gestionar ese riesgo, así como evaluar la probabilidad y la gravedad de facilitar el blanqueo de capitales y la financiación del terrorismo a través de su servicio. La parte A de su programa AML/CTF requiere la creación de un marco para identificar, priorizar, tratar, controlar y supervisar las exposiciones al riesgo. A la hora de evaluar los riesgos, es fundamental tener en cuenta la probabilidad y la gravedad de facilitar el blanqueo de capitales y el financiamiento del terrorismo a través de su servicio.
