SESION 3

Sesión 3

IV. IDENTIFICACIÓN1.Proceso de elaboración de matriz de riesgos.2.Selección de equipo.3.Fuentes de información.4.Identificación de Eventos de riesgo.5.Identificación de causas de eventos.

VIDEO 3: Identificación de riesgos

1. Proceso de elaboraciónde matriz de riesgo

¿QUÉ ES UNA MATRIZDE RIESGOS?Es una herramienta de control y degestión normalmente utilizada paraidentificar las actividades (procesos yproductos) más importantes de unaempresa, el tipo y nivel de riesgosinherentes a estas actividades y losfactores exógenos y endógenosrelacionados con estos riesgos(factores de riesgo).

¿QUÉ ELEMENTOS SE DEBENCONSIDERAR PARA DISEÑARUNA MATRIZ DE RIESGOS? ✓ Riesgos inherentes a la Entidad ✓ Valorización del Riesgo (Probabilidad e Impacto) ✓ Calidad de la gestión o controles ✓ Riesgo residual

PROCESO DE ELABORACIÓN DE MATRIZ DE RIESGO Definición de los Calificación de Armado de la objetivos de la riesgos de la matriz de riesgomedición de riesgo entidad por su cartera. Análisis de Sesión de expertos Aplicación deinformación fuente. para validar los matriz de riesgo. niveles de riesgo de cada evento.Definición de los Determinación deeventos de riesgo los elementos de (situaciones medición. negativas) Definición de los Definición de losniveles de impacto. niveles de probabilidad.

▪ Obtener datos históricos tanto internos como externos que identifiquen experiencias asociadas a eventos de riesgo de LD/FT.▪ Asignar rangos de calificación para determinar la probabilidad e impacto con base en la información recolectada. Se asignan valores porcentuales o numéricos a la probabilidad. El impacto será medido con relación a su materialidad o con cada riesgo asociado.

PROBABILIDAD IMPACTOFACTOR DE RIESGO RANGO DE VALOR % VALOR DEL VALOR PROBABILIDAD NÚMERICO (Calculado sobre el IMPACTO NÚMERICO total de los clientes) Rara Vez 1. Riesgo Clientes No significativo 1 1 < 20% Menor 21.1 Personas Físicas realicen Eventualmente 2 ≥ 20% y ≤ 40% Moderado 3 actividad que genere gran Poco Probable 3 ≥ 40% y ≤ 60% Mayor 4 cantidad de efectivo Probable 4 ≥ 60% y ≤ 80% Alto 5 5 ≥ 80% y ≤ 100% No significativo 1 Muy frecuente 1 < 20% Menor 2 2 ≥ 20% y ≤ 40% Moderado 3 Rara Vez 3 ≥ 40% y ≤ 60% Mayor 4 4 ≥ 60% y ≤ 80% Alto 51.2 Personas Morales realicen Eventualmente 5 ≥ 80% y ≤ 100%actividad que genere gran Poco Probablecantidad de efectivo Probable Muy frecuente

¿CÓMO ESTÁ COMPUESTA UNA MATRIZ DE RIESGOS? CASI CON MEDIO ALTO MÁXIMO CERTEZAPROBABILIDAD FRECUENTE MEDIO ALTO ALTO POCO BAJO MEDIO MEDIO FRECUENTE INSIGNIFICANTE IMPORTANTE SUPERIOR IMPACTO

CON VALORES CASI CON CERTEZA 3 6 9 (3)PROBABILIDAD FRECUENTE 2 4 6 (2) POCO 1 2 3 FRECUENTE (1) INSIGNIFICANTE IMPORTANTE SUPERIOR (1) (2) (3) IMPACTO

2. Selección de equipo

El equipo de expertos que participaráen la evaluación de riesgos.Involucrar a toda la organización en al menos una partedel proceso de planeación es vital, ya que lo deseable esque forme parte de la cultura de la organización y secree un hábito.Sin embargo es imposible, la mayoría de las veces, elinvolucrar a todos en todo el proceso, aquí una guía parasaber a quién debes involucrar.

El equipo de expertos que participará en la evaluación de riesgos.• Director general: Asume un rol predominante en el equipo de evaluación de riesgos al establecer la visión, dirigir hacia la visión y empujar los resultados. Es decir, si la evaluación de riesgos no es la pasión del DG, nunca va a suceder; sin embargo en el proceso el DG debe permanecer en el fondo para que las ideas de los demás puedan emerger.• Miembros del equipo de evaluación de riesgos: el ideal es de 3 a 6 miembros con un facilitador externo y un coordinador interno. Los miembros deben representar diferentes segmentos de la compañía, no sólo las cabezas.• Oficial de cumplimiento: tendrá la función de ser el coordinador interno del proceso, debe ser el especialista en el tema y tener claro el proceso de diseño, implementación y valoración de la metodología.

3. Fuentes de información

Fuente de En este punto del proceso el equipo debeinformación contar con: ✓ Informe previo elaborado: FODA, objetivos, elementos de riesgo a considerar. ✓ Plática introductoria al proceso de evaluación de riesgos. ✓ Manual PLD/FT ✓ Informes de auditoría PLD/FT. ✓ Estatus de cumplimiento ante CNBV, CONDUSEF y SAT. ✓ Desglose de la cartera activa y pasiva. ✓ … entre otros.

4. Identificación de eventos

Una vez recolectada la información se procede a generar unalista teórica de riesgos que servirá como punto de partida para iniciar la identificación de Riesgos. Sin embargo al realizar esta lista se puede presentar elproblema de diferenciar entre un evento de riesgo, la causa del riesgo y la consecuencia.

EJEMPLO: Supongamos que en una empresa existe laprohibición que el personal entre a un depósito porque allí se almacenan desechos tóxicos.

¿CUÁLES DE LAS SIGUIENTES SITUACIONES ES UN EVENTO DE RIESGO?a) Desconocimiento del personal de la prohibición existente.b) Entrada del personal al depósito.c) Depósito sin mecanismos de seguridad que permite el acceso al personal.d) Existencia de un depósito con desechos tóxicos.

NINGUNA

EVENTO DE Contaminación del personal por contactoRIESGO con los desechos tóxicos causándoles daños físicos.CAUSAS DELRIESGO a) Desconocimiento del personal de la prohibición existente.CONSECUENCIADEL RIESGO b) Entrada del personal al depósito. c) Depósito sin mecanismos de seguridad que permite el acceso al personal. a) Gastos en atención médica al personal que sufrió el daño. b) Incapacidad del personal involucrado. c) Demanda por parte del personal por no contar con las medidas preventivas para accidentes.

DEFINICIONESEVENTO DE Aparición o cambió de un conjuntoRIESGO particular de circunstancias.CAUSAS DEL Elemento que por sí solo o en combinaciónRIESGO tiene el potencial intrínseco para dar lugar a riesgo.CONSECUENCIA Resultado de un evento de riesgo queDEL RIESGO afecta a los objetivos.

NO SON EVENTOS1. Incumplimiento de controles.2. Tipologías3. Señales de alerta, pues son controles detectivos.4. El contrario del objetivo.5. Delitos penales relacionados con el riesgo.

PARA EVITAR ERRORES AL MOMENTO DE IDENTIFICAR UNRIESGO SE RECOMIENDA PREGUNTARSE CONSTANTEMENTE: ¿Esta situación es un riesgo? ¿Cuál es el riesgo? (En caso de no estar satisfecho)

IDENTIFICACIÓN DEL RIESGOEn esta primera etapa se deben identificar los eventos deriesgos y causas que pueden dar origen a hechos de LD y FT.Para ellos, es necesario tomar en cuenta:• Los procedimientos de la Entidad• Los factores de riesgo inherentes a la actividad que realizan.Es decir, se requiere segmentar los factores de riesgo eidentificar las formas a través de las cuales se puede presentareste riesgo (tipologías).

Relación de tipologías, eventos y alertas. Evento de Alerta 1 Riesgo 1 Alerta 2 Alerta 3 Evento de Alerta 4 Riesgo 2Tipología Evento de Alerta 5 Riesgo 3 Alerta 6 Alerta 7

Relación de objetivos, eventos, y etapas de identificación y medición.Objetivos Evento de Riesgo Probabilidad Legal Factores de Riesgo 1 Inherente Impacto Operativo riesgo Eficacia Reputacional Clientes Controles Contagio Probabilidad Productos Riesgo Impacto Legal Residual Operativo Geografía Reputacional Contagio Transacciones

5. Identificación de lascausas

EVENTOS DE RIESGO Y SUS CAUSAS ELEMENTO DE EVENTO CAUSA RIESGO Un cliente/usuario realiza Inadecuada aplicación de laClientes o Usuarios operaciones a cuenta de un política de Identificación del tercero relacionado con LD/FT Cliente.Países y áreasgeográficas Realizar una operación financiera El Sistema Automatizado no con una Entidad ubicada en un cuenta con las listas país no cooperante. oficialmente reconocidas. Un cliente lava dinero al no liquidar Inadecuada aplicación de la política de Identificación delProductos o Servicios el crédito con garantía hipotecaria y Cliente. justificar el origen de sus recursos.Transacciones y/o Recepción de pagos con recursos No se identificancanales de envío de procedencia ilícita. plenamente los depósitos a las cuentas concentradoras.

ACTIVIDADRealiza los ejercicios de lahoja TAR_3.4 del Archivode TAR.Actividades.xlsx