Modulo 5

CURSO ONE WEEKDetección y Gestión de riesgos LD/FT

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |2 Contenido5.1 Guía de Enfoque Basado en Riesgos para el Sector Bancario (GAFI) 35.1.1 Estructura 35.1.2 Sección I: El Enfoque Basado en Riesgo del GAFI para efectos de ALA/CFT 45.1.3 Sección II: Guía para supervisores 55.1.4 Sección III: Guía para bancos 85.2 Adecuada Gestión de los riesgos relacionados con el Blanqueo de capitales y laFinanciación del terrorismo del Comité de Supervisión Bancaria de Basilea de 2014 125.2.1 PBC/FT a escala de grupo y en un contexto transfronterizo 195.3 Guía para un Planteamiento Basado en el Riesgo en la Gestión del Riesgo de blanqueo deCapitales del grupo Wolfsberg 195.4 Sistema de Administración del Riesgo del Lavado de Activos y Financiamiento alTerrorismo (SARLAFT) 235.4.1 Riesgos Asociados al LA/FT 245.4.2 Etapas del SARLAFT 255.5 Norma ISO 31000:2009 325.5.1 Introducción 325.5.2 Estructura de la Norma 325.5.3 Comunicación y consulta 375.5.4 Establecer el contexto 375.5.5 Evaluación de Riesgos 375.5.6 Tratamiento del Riesgo 38Bibliografía40

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |3 5.1 Guía de Enfoque Basado en Riesgos para el Sector Bancario (GAFI) GAFIEl enfoque basado en riesgo (EBR) es una parte fundamental para la aplicación efectiva de los “Estándares Internacio-nales Revisados del GAFI sobre la Lucha contra el Lavado de Activos y el Financiamiento del Terrorismo y la Proliferación”,mejor conocidos como “Las Recomendaciones”. El GAFI ha realizado una revisión de su guía sobre el enfoque basado enriesgo para el sector financiero con objeto de que ésta guarde relación con las nuevas recomendaciones del GAFI y reflejela experiencia que las autoridades públicas y el sector privado adquirieron durante la aplicación del enfoque basado enriesgo a lo largo de los años.La guía de Enfoque Basado en Riesgos para el Sector Bancario, fue elaborada por un grupo de miembros del GAFI codiri-gido por el Reino Unido y México en conjunto con representantes del Sector Privado, siendo adoptada por el GAFI en suSesión Plenaria de octubre del 2014.La guía fue elaborada con los siguientes propósitos:• Preparar los principios que deben ponerse en práctica en la aplicación de un enfoque basado en riesgo de Anti Lavado de Activos y Contra elFinanciamiento al Terrorismo (ALA/CFT).• Colaborar con los países, las autoridades competentes y los bancos para el diseño y puesta en práctica de un enfoque basado en riesgo de ALA/CFT al compartir ejemplos y directrices generales de las prácticas actuales.• Contribuir para una supervisión y puesta en marcha efectiva de las medidas nacionales de ALA/CFT, centrándose en los riesgos y en lasmedidas de mitigación.• Sobre todo, fomentar el desarrollo de un entendimiento común en cuanto a lo que es el enfoque basado en riesgo de ALA/CFT y lo que implica. 5.1.1 Estructura La Guía está dirigida a los países y a sus autoridades competentes, incluyendo a los supervisores bancarios. También está di- rigida a los profesionales del sector bancario. Tiene presente el hecho de que un EBR toma como punto de partida el enfoque legal y normativo del país, así como su naturaleza, diversidad y madurez de su sector bancario y su perfil de riesgo. La guía está dividida en tres secciones:• La Sección I define al enfoque basado en riesgo (EBR), así como los elementos necesarios para su aplicación.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |4• La Sección II ofrece una guía específica a los Supervisores Bancarios sobre una implementación efectiva de un EBR.• La Sección III ofrece una guía específica a los Bancos sobre una implementación efectiva de un EBR, así como sobre los controles internos,gobierno corporativo y monitoreo. 5.1.2 Sección I: El Enfoque Basado en Riesgo del GAFI para efectos de ALA/CFTEl Enfoque Basado en Riesgos (EBR) de Anti Lavado de Activos (ALA) / Contra el Financiamiento al Terrorismo (CFT) significa que los países,autoridades competentes e instituciones financieras, deben identificar, evaluar y entender los riesgos en LA/FT a los que están expuestos yadoptar las medidas adecuadas para mitigar de manera efectiva dichos riesgos.Al evaluar estos riesgos, los países, autoridades competentes e instituciones financieras, deben analizar y tratar de entender la forma en que losriesgos identificados los afectan; de esta manera, la evaluación del riesgo proporciona una base para la aplicación sensible de medidas contra estosdelitos.El EBR no es un enfoque infalible; habrá ocasiones en las que una institución haya tomado todas las medidas razonables para identificar y mitigarlos riesgos de ALA/CFT e incluso así, se le siga utilizando para los fines de LA/FT. Es importante mencionar que, un enfoque basado en riesgo noexime a países, autoridades competentes e instituciones financieras de mitigar los riesgos de LA/FT si estos riesgos han sido evaluados como bajos.La aplicación de un Enfoque Basado en Riesgo, o RBA por sus siglas en inglés, no debe considerarse de aplicación opcional, sino como un pre-re-quisito para una implementación efectiva de los estándares del GAFI para control de actividad criminal.Elementos clave para entender el Enfoque Basado en Riesgo:I. Una misma idea: un EBR, busca identificar, evaluar y comprender el riesgo de LD/FT al que están expuestos (global, nacional y sectorial) paraaplicar medidas de control enfocadas en mitigar adecuadamente el riesgo.II. Un nuevo enfoque: el EBR permite adoptar medidas de control y recursos de manera efectiva, enfocando los esfuerzos de la mejor maneraposible. Donde hay mayor riesgo, habrá medidas más estrictas o mayor cantidad/Calidad de recursos asignados al control específico.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |5III. Una aplicación estándar: es necesario extender las medidas de control requeridas para nuevos sectores financieros y vulnerables, en funcióndel riesgo o abuso de éste por parte del crimen organizado. La autoridad debe evaluar y supervisar la adecuada implementación de un EBR enlos sectores obligados. 5.1.3 Sección II: Guía para supervisoresEsta segunda sección de la guía va dirigida para los supervisores de las Entidades Financieras en cada país, es decir, en nuestro caso, esta guíacorresponde a la CNBV y cómo debe implementar un Enfoque Basado en Riesgo.La Recomendación 26 del GAFI exige que los países sujeten a los bancos a una regulación y supervisión adecuadas de ALA/CFT. La NotaInterpretativa de esta recomendación establece que los supervisores asignen recursos de supervisión a las áreas de mayor riesgo de LA/FT,partiendo de la base de que los supervisores comprenden el riesgo de LA/FT de sus países y cuentan con acceso, tanto in situ¹ como extrasitu² del tipo de información relevante que contribuye a determinar el perfil de riesgo de un banco.Comprensión del RiesgoLos supervisores deben entender los riesgos de LA/FT a los que está expuesto el sector bancario, así como los riesgos de LA/FT asociados alos bancos y grupos bancarios, Los supervisores deben recurrir a una variedad de recursos para identificar y evaluar los riesgos de LA/FT. En elcaso de los riesgos sectoriales, pueden incluir, de forma no limitativa, las evaluaciones de riesgo de la jurisdicción nacional, las tipologías nacio-nales o internacionales y la experiencia de supervisión, así como la retroalimentación de la Unidad de Inteligencia Financiera (UIF).En el caso de los bancos, los supervisores deben tomar en cuenta el nivel de riesgo inherente incluyendo: • La naturaleza y complejidad de los productos y servicios del banco • Tamaño • Modelo de negocio • Sistemas de gobierno corporativo • Información financiera y contable • Canales de distribución • Perfiles de los clientes • Localización geográfica¹ En el propio lugar² Fuera de su lugar

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |6• Países de operación• Controles vigentes• Calidad de la política de gestión de riesgos• Funciones de supervisión internaUna parte de esta información puede obtenerse a través de la supervisión prudencial. Asimismo, la información de otros actores participan-tes del banco, como supervisores, la UIF y los organismos encargados de hacer cumplir la ley también puede ser útil, los supervisores debenanalizar su evaluación del riesgo de perfil en materia de LA/FT del sector y de los bancos periódicamente y, en todo momento, en caso de quelas circunstancias del banco cambien o surjan nuevas amenazas relevantes.Mitigación del RiesgoLas Recomendaciones del GAFI requieren que los supervisores asignen más recursos de supervisión a las áreas de mayor riesgo de LA/ FT. Esto implicaque los supervisores determinen la frecuencia e intensidad de las evaluaciones periódicas en función del nivel de riesgo de LA/FT al que el sector y losbancos individuales están expuestos.También significa que en aquellos casos en los que no sea factible una supervisión detallada de los bancos para identificar LA/CFT, los supervisoresdeben dar prioridad a las áreas de mayor riesgo ya sea en los bancos individuales o en bancos que operan en un determinado sector.A continuación, se mencionan algunas formas en que las que los supervisores pueden ajustar su enfoque:• Ajuste de la intensidad de los controles que se requieren para llevar a cabo su función de autorizaciónRegular el nivel de información que necesitan cuando se trabaja para evitar que los delincuentes o sus cómplices cuenten con una parte significativao mayoritaria de un banco. • Ajuste del tipo de supervisión en materia de ALA/CFTLos supervisores siempre deben contar con acceso tanto in situ como extra situ de toda la información pertinente relacionada con riesgos y cumpli-miento de normas.• Ajuste de la frecuencia y naturaleza de una supervisión continua en materia de ALA/CFT

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |7Los supervisores deben ajustar la frecuencia de las supervisiones de ALA/CFT realizadas de acuerdo con los riesgos identificados, y combinar losexámenes periódicos con una supervisión de ALA/CFT realizada con fines específicos de acuerdo a indicadores que se vayan presentando.• Ajuste de la intensidad de la supervisión en materia de ALA/CFTLos supervisores deben determinar el alcance y/o nivel de evaluación apropiado en función de los riesgos identificados, con el fin de evaluar laadecuación de las políticas y procedimientos que los bancos han diseñado para evitar ser objeto de abusos.Supervisión del Enfoque Basado en Riesgos Enfoque General Los supervisores deberán contar con un equipo que pueda evaluar los procesos y controles adecuados al riesgo del sector y del apetito de riesgo individual de cada institución. También debe considerarse realizar comparaciones entre los programas ALA/CFT de los bancos que proporcionarán un medio para hacerles ver la importancia de la calidad de los controles de un banco. Los supervisores deben, sin embargo, tener en cuenta que en el esquema de EBR, puede haber razones de peso que ocasionen que los controles de los bancos no sean siempre iguales: los supervisores deben contar con las herramientas necesarias que les permitan evaluar las diversas ventajas que implican estas diferencias, especial- mente cuando se comparan con bancos que utilizan diferentes niveles de complejidad operativa. CapacitaciónLa nota interpretativa de la recomendación 26, establece que el personal encargado de vigilar que los bancos pongan en práctica el EBR, debe en-tender el grado de discrecionalidad con que un banco cuenta para la evaluación y mitigación de sus riesgos de LA/FT.En particular, los supervisores deben verificar que el personal ha sido capacitado para lograr que el personal de supervisión haga uso de su buenjuicio para determinar si los controles anti lavado de activos y contra el financiamiento al terrorismo son los adecuados para el banco. Tambiéndebe intentar lograr que el enfoque de supervisión llevado a cabo a nivel nacional sea el mismo, en caso de existir varias autoridades de controlcompetentes, o por el modelo de supervisión nacional.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |8GuíaLos supervisores deberán hacer del conocimiento de los bancos sus expectativas de cumplimiento con sus obligaciones legales y normati-vas, después de considerar su participación en un proceso de consulta con las partes interesadas correspondientes, también deben considerarproporcionar servicios de Guía a los bancos sobre cómo cumplir con sus obligaciones jurídicas y normativas en cuanto a ALA/CFT en unamanera que fomente la inclusión financiera. También deberá fomentar la cooperación nacional para que exista una interpretación coherenteentre autoridades.5.1.4 Sección III: Guía para bancosEl Enfoque Basado en Riesgos en materia de ALA/CFT pretende impulsar el diseño de medidas de pre- $vención o mitigación que sean proporcionales a los riesgos identificados de LA/FT. En el caso de losbancos, esto se aplica a la forma en que los bancos asignan sus recursos de cumplimiento, organizansus controles y estructuras internas, e implementan políticas y procedimientos para prevenir y detectarel LA/FT, incluyendo metodologías a nivel de grupo cuando sea necesario.El Enfoque Basado en Riesgos en materia de ALA/CFT pretende impulsar el diseño de medidas de pre-vención o mitigación que sean proporcionales a los riesgos identificados de LA/FT. En el caso de losbancos, esto se aplica a la forma en que los bancos asignan sus recursos de cumplimiento, organizansus controles y estructuras internas, e implementan políticas y procedimientos para prevenir y detectarel LA/FT, incluyendo metodologías a nivel de grupo cuando sea necesario.Es importante señalar que la banca abarca una amplia gama de productos y servicios financieros que suponen distintos riesgos de LA/FT según sunaturaleza, por lo cual es un requisito que los bancos tomen en cuenta estas diferencias al momento de evaluar los riesgos de la Entidad.Evaluación del RiesgoLa evaluación del riesgo forma la base del EBR de un banco. Debe permitir que el banco entienda cómo y hasta qué punto es vulnerable a LA/FT. La evaluación de riesgos de un banco debe ser proporcional a la naturaleza y alcance de las actividades del banco. En el caso de bancos máspequeños o menos complejos una evaluación de riesgos simple podría ser más que suficiente. Por el contrario, cuando los productos y serviciosdel banco son más complejos o cuando existen múltiples filiales o sucursales que ofrecen una amplia variedad de productos, y/o su base de clienteses más variada, se requerirá un proceso de evaluación de riesgo más sofisticado.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |9Al identificar y evaluar el riesgo de LA/FT al que están expuestos, los bancos deben considerar una serie de factores entre los que se incluyen losque se mencionan a continuación: • La naturaleza, escala, diversidad y complejidad de su negocio; • Los mercados a los que se dirige; • El número de clientes que ya han sido identificados como de alto riesgo; • Las jurisdicciones que regulan al banco, ya sea a través de sus propias actividades o las actividades de sus clientes, especialmente aquellas jurisdic- ciones con niveles relativamente altos de corrupción o participación con el crimen organizado, y/o controles poco satisfactorios en cuanto a ALA/CFT así como los incluidos en el GAFI; • Los canales de distribución; • La auditoría interna y los resultados de regulación; • El volumen y alcance de sus operacionesLos bancos deben complementar esta información con la información obtenida de fuentes internas y externas pertinentes, como los son losdirectores de las empresas, gerentes de relaciones, evaluaciones nacionales de riesgo, las listas emitidas por organizaciones intergubernamentalesinternacionales y gobiernos nacionales, las evaluaciones mutuas en materia de ALA/CFT y los informes de seguimiento del GAFI. Asimismo,los bancos deben revisar su evaluación periódicamente y también cuando sus circunstancias cambian o surgen nuevas amenazas relevantes. Mitigación del RiesgoLos bancos deben desarrollar e implementar políticas y procedimientos para mitigar los riesgos de LA/FT que hanidentificado a través de su propia evaluación de riesgos. Los procesos de Debida Diligencia del Cliente (DDC) debendiseñarse para ayudar a los bancos a entender quiénes son sus clientes mediante la recopilación de información sobrelo que hacen y la razón por la que requieren los servicios bancarios. Las etapas iniciales del proceso de DDC debendiseñarse para ayudar a los bancos a evaluar el riesgo de LA/FT asociado con una relación comercial propuesta, de-terminar el nivel de DDC que debe aplicarse y disuadir a los individuos de establecer una relación de negocios parallevar a cabo actividades ilícitas.Con base en una visión integral de la información obtenida en el contexto de su aplicación de medidas de DDC, los bancos deberían poder prepararun perfil de riesgo del cliente. Esto determinará el nivel y tipo de monitoreo continuo y sustentará la decisión del banco de concertar, conti-nuar o terminar la relación comercial. Los perfiles de riesgo se pueden aplicar a nivel de cliente individual o, en el caso de grupos de clientes quecomparten ciertas características (por ejemplo, clientes con nivel de ingresos similares, o que realizan el mismo tipo de operaciones bancarias).Este enfoque es particularmente relevante para los clientes de banca minorista.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 10La DDC inicial comprende lo siguiente:• La identificación del cliente y, en su caso, el propietario real.• Verificación de la identidad del cliente a partir de información confiable e independiente, datos o documentación al menos en la medida re-querida por el marco legal y regulatorio aplicable.• Comprensión del propósito e índole prevista de la relación comercial y, en situaciones de mayor riesgo, obtener más información. DDC Continua/MonitoreoEl monitoreo permanente significa el escrutinio³ de las operaciones para determinar si éstas son consistentes con el conocimiento que el bancotiene del cliente y la naturaleza y propósito del producto bancario y de la relación comercial. El monitoreo también incluye la identificación de loscambios en el perfil del cliente (por ejemplo, su comportamiento, uso de los productos y cantidad de dinero involucrada), y mantener un registroactualizado de tales cambios, lo que puede requerir la aplicación de medidas nuevas o adicionales de DDC. El monitoreo de las operaciones es uncomponente clave para la identificación de operaciones que son potencialmente sospechosas.Los bancos deben ajustar el alcance y profundidad de vigilancia de acuerdo con su evaluación del riesgo institucional y los perfiles de riesgode cada cliente. Debe aplicarse un sistema de monitoreo reforzado para situaciones de mayor riesgo, y al mismo tiempo, los bancos pueden optarpor reducir la frecuencia e intensidad de los controles cuando los riesgos son menores. La adecuación de los sistemas de monitoreo y los factoresque llevan a los bancos a ajustar el nivel de monitoreo debe revisarse periódicamente para continuar siendo relevantes con el programa de riesgode ALA/CFT del banco.Los bancos deben documentar y establecer claramente los criterios y parámetros utilizados para la segmentación de los clientes y para la asig-nación de un nivel de riesgo a cada uno de los grupos de clientes. Los criterios aplicados para determinar la frecuencia e intensidad de la vigilanciade los diferentes segmentos de clientes también deben ser transparentes. Con este fin, los bancos deberán documentar, conservar la informaciónsobre los resultados del monitoreo y comunicarla de forma adecuada al personal involucrado, así como las dudas que se hubiesen planteado y laforma en que fueron resueltas. InformesLa Recomendación 20 del GAFI demanda que los países exijan a sus bancos que si sospechan o cuentan con fundamentos razonables para sospecharque los fondos son producto de un delito o están relacionados con el financiamiento del terrorismo, éstos deberán informar de sus sospechas de in-mediato a la UIF correspondiente.³ Examen o análisis exacto y minucioso que se hace de algo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 11Los bancos podrán indicar mediante una señal distintiva cualquier movimiento inusual de fondos u operaciones para su posterior análisis. Losbancos deberán contar con sistemas adecuados de gestión de casos a fin de que dichos fondos u operaciones se analicen manera oportuna y sedetermine si los fondos o la operación son sospechosos.Los fondos u operaciones que son sospechosas deben reportarse inmediatamente a la UIF de la manera establecida por las autoridades com-petentes. Los procesos que los bancos utilizan para escalar las sospechas y, en última instancia, informar a la UIF, deben reflejar esto. Aunque laspolíticas y procesos que dan lugar a que los bancos emitan una alerta de sospecha pueden aplicarse según el tipo de riesgo, el banco deberá informaruna vez que haya surgido la sospecha de LA/FT. Controles internos, gobierno corporativo y monitoreo.El Banco deberá contar con controles internos adecuados es una condición previa para la aplicación eficaz de las políticas y procesos paramitigar el riesgo de LA/FT. Los controles internos incluyen acuerdos de gobierno corporativo apropiados en los que es claro en quien recae laresponsabilidad de en materia de ALA/CFT, así como de poner en práctica controles para monitorear la integridad del personal, de conformidadcon la legislación local aplicable, en especial en situaciones transfronterizas y de evaluación nacional de riesgos, de cumplimiento y controles paracomprobar la eficacia general de las políticas y procesos del banco para identificar, evaluar y controlar los riesgos. Gobierno CorporativoLa acertada aplicación y eficaz operación de un EBR en materia de ALA/CFT depende de un liderazgo sólido por parte de la alta dirección así comode la supervisión del desarrollo y aplicación del EBR en todo el banco.La alta dirección debe considerar varias maneras de apoyar iniciativas en materia de ALA/CFT: • Promover el cumplimiento como un valor central del banco. • Implementar mecanismos adecuados de comunicación interna en relación con los riesgos reales o probables de LA/ FT que enfrenta el banco. • Decidir sobre las medidas que se requieren poner en práctica para mitigar los riesgos de LA/FT identificados y sobre el grado de riesgo residual que el banco está dispuesto a aceptar. • Conformar de forma adecuada los recursos de la Unidad de ALA/CFT del banco.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 12 Monitoreo del CumplimientoUn ambiente de control interno del banco debe ser conducente para asegurar la integridad, competencia y cumplimiento del personal con las políticasy procedimientos relevantes. Las medidas relevantes de los controles de ALA/CFT deben ser consistentes con el más amplio conjunto de controlesimplementados para la atención de riesgos de negocios, financieros y operativos.La Recomendación 18 del GAFI, en su NI 18, requiere que los países soliciten a los bancos nombrar a un oficial de cumplimiento a un nivel ge-rencial. Adicionalmente a proporcionar asesoría al personal relevante para el cumplimiento de sus obligaciones, su rol será de monitorear y ase-sorar los riesgos de LA/FT a través del banco así como de la aplicación adecuada y efectividad de las medidas implementadas por el banco para lamitigación de riesgos.El oficial de cumplimiento debe entonces tener la necesaria independencia, autoridad, nivel, recursos y experiencia para llevar a cabo estasfunciones de forma efectiva, incluyendo la habilidad para tener acceso a toda la información interna (incluyendo a través de líneas de negocio, ysucursales bancarias y subsidiarias).5.2 Adecuada Gestión de los riesgos relacionados con el Blanqueode capitales y la Financiación del terrorismo del Comité de Super-visión Bancaria de Basilea de 2014Consciente de los riesgos que asumen los bancos de ser utilizados, deliberadamente o no, enactividades delictivas, el Comité de Supervisión Bancaria de Basilea publica en esta guía las di-rectrices sobre la forma en que los bancos deberán incluir el blanqueo de capitales (BC) y lafinanciación del terrorismo (FT) dentro de su gestión global del riesgo.El Comité se comprometió hace tiempo a promover la aplicación de sólidas políticas y procedi-mientos de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo (PBC/FT),publicando los Principios básicos para una supervisión bancaria eficaz (revisados en 2012),cuyo Principio 29 está dedicado a la utilización abusiva de servicios financieros. Asimismo,el Comité apoya la adopción de las normas emitidas por el Grupo de Acción Financiera Inter-nacional (GAFI), incluso haciendo referencias cruzada a sus recomendaciones en esta guía.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 13Una sólida gestión del riesgo BC/FT tiene especial relevancia para la seguridad y solvencia generales de los bancos y del sistema bancario, por tan-to si esta no es suficiente o correcta, plantea graves riesgos a los bancos, en especial riesgos de reputación, operacional, de cumplimiento y deconcentración, cabe señalar que todos estos riesgos están relacionados entre sí.La guía fue publicada en Enero de 2014 está dirigida principalmente a bancos, grupos bancarios y supervisores bancarios, debe leerse en con-junto con los “Las 40 Recomendaciones del GAFI” y “Principios Básicos para una Supervisión Bancaria Eficaz”, en éstos últimos se encuentrael requisito elemental para implementar un Sistema de Gestión de Riesgos, es decir, todos los bancos estarán obligados a «contar con políticasy procesos adecuados, incluidas estrictas reglas de debida diligencia con la clientela (CDD), para promover normas éticas y profesionales dealto nivel en el sector bancario e impedir que el banco sea utilizado, intencionalmente o no, con fines delictivos». Gestión del Riesgo1.- Evaluación, comprensión, gestión y mitigación de riesgos(a) Evaluación y comprensión de los riesgosUna sólida gestión del riesgo exige la identificación y el análisis de los riesgos BC/FT presentes en el banco, así como el diseño y la eficaz aplicaciónde políticas y procedimientos acordes con los riesgos identificados.Al realizar un análisis integral del riesgo el banco deberá considerar todos los factores de riesgo relevante, inherente y residual, a escala nacional,sectorial, bancaria y de relación comercial para determinar su perfil de riesgo y el adecuado nivel de mitigación que se aplicará.(b) Mecanismos de gobierno adecuadosUna eficaz gestión del riesgo BC/FT exige unos mecanismos de gobierno adecuados, conforme se describe en las pertinentes publicaciones previasdel Comité. En particular, el requisito de que el Consejo de Administración apruebe y supervise las políticas en materia de riesgos, gestión del riesgoy cumplimiento es totalmente relevante en el contexto del riesgo BC/FT, así como comprender claramente los riesgos BC/FT.El Consejo de Administración deberá asignar las competencias explícitas teniendo realmente en cuenta la estructura de gobierno del banco para ga-rantizar la gestión eficaz de las políticas y procedimientos de la entidad. El Consejo de Administración y la alta dirección deberán nombrar un res-ponsable ejecutivo de PBC/FT.(c) Las tres líneas de defensa1. Las Unidades de Negocio (por ejemplo, las actividades de cara al público y en contacto directo con los clientes) constituyen la primera línea de

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 14defensa encargada de identificar, evaluar y controlar los riesgos de sus actividades. Estas unidades deberán conocer y aplicar las políticas y proce-dimientos y disponer de recursos suficientes para realizar eficazmente estas tareas.El banco deberá disponer de políticas y procesos adecuados para seleccionar a su personal, presente y futuro, a fin de garantizar unos elevadosprincipios éticos y profesionales. Todos los bancos deberán implantar programas de formación del personal de modo que sus empleados estén ade-cuadamente capacitados para aplicar las políticas y procedimientos PBC/FT de la entidad.2. Responsable Ejecutivo de PBC/FT deberá hacerse responsable de un seguimiento continuo del cumplimiento de todas las obligaciones en ma-teria de PBC/FT por parte del banco. Esto implica la verificación por muestreo del cumplimiento de la normativa y un examen de los informes deanomalías para alertar a la alta dirección o al Consejo de Administración si se considera que la dirección no está aplicando los procedimientos PBC/FT de forma Responsable.El responsable ejecutivo de PBC/FT deberá ser el contacto para todas las cuestiones en esa materia de las autoridades internas y externas,incluidas las autoridades supervisoras o las unidades de inteligencia financiera (FIU). El responsable ejecutivo de PBC/FT también podrá des-empeñar la función de director de riesgos, director de cumplimiento o equivalente y también deberá atribuírsele la responsabilidad de notificarlas transacciones sospechosas.3. La auditoría interna, la tercera línea de defensa, desempeña una función importante al evaluar de forma independiente la gestión y los controlesdel riesgo, rindiendo cuentas al comité de auditoría del Consejo de Administración o un órgano de vigilancia similar mediante evaluaciones periódicasde la eficacia del cumplimiento de las políticas y procedimientos PBC/FT.El banco deberá implantar políticas para la realización de auditorías sobre: I. La adecuación de las políticas y procedimientos PBC/FT del banco para tratar los riesgos identificados. II. La eficacia de la aplicación de las políticas y procedimientos del banco por parte del personal. III. La eficacia de la vigilancia del cumplimiento y del control de calidad, incluyendo parámetros o criterios de alerta automática. IV. La eficacia de los programas de formación del personal relevante del banco.La alta dirección deberá garantizar que a las funciones de auditoría se les asigna personal experto en la materia y con la experiencia adecuada para realizardichas auditorías, así como que el alcance y la metodología de las auditorías se adecuan al perfil de riesgo del banco y que la frecuencia de dichas auditoríasdepende asimismo del riesgo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 15En numerosos países, los auditores externos también desempeñan una importante función al evaluar los controles y procedimientos internos delos bancos en el curso de sus auditorías financieras, y al confirmar que cumplen las regulaciones y prácticas de supervisión en materia de PBC/FT.En el caso de que el Banco decida auditarse de manera externa, deberá garantizar que la auditoria se adecue al grado de riesgo de la Entidad.(d) Adecuado sistema de seguimiento de transacciones El banco deberá disponer de un sistema de seguimiento acorde con su tamaño, sus actividades y complejidad, así como con los riesgos presentesen la entidad. En la mayoría de los bancos, especialmente en aquéllos con actividad internacional, un seguimiento eficaz requerirá probablemente laautomatización del proceso de seguimiento. Éste deberá incluir todas las cuentas de los clientes del banco y todas las transacciones en las que esosclientes sean ordenantes o beneficiarios. Este sistema deberá permitir al banco realizar un análisis de tendencias con los datos de transacciones eidentificar relaciones comerciales y transacciones anómalas con el fin de prevenir BC o FT.Este sistema deberá ser capaz de ofrecer información fidedigna a la alta dirección sobre ciertos aspectos cruciales, incluidos cambios en el perfilde las transacciones realizadas por los clientes. Para elaborar el perfil del cliente, el banco deberá incorporar la información CDD actualizada,completa y fidedigna facilitada por el cliente. La auditoría interna también deberá evaluar el sistema TI para garantizar que es adecuado y que laprimera y segunda líneas de defensa lo utilizan eficazmente.2. Política de aceptación de clientesEl banco deberá desarrollar y aplicar políticas y procedimientos claros de aceptación de clientes para identificar los tipos de clientes susceptiblesde plantear un mayor riesgo de BC y FT conforme a la evaluación de riesgos del banco. Con la finalidad de determinar cuál es el nivel de riesgototal y las oportunas medidas a adoptar para gestionar esos riesgos. Al evaluar el riesgo, el banco deberá tener en cuenta los factores pertinentes ala situación, como: • Antecedentes del cliente • Ocupación (incluido si ocupa un puesto relevante en el sector público o privado) • Fuentes de renta y riqueza, su país de origen y de residencia (cuando difieran) • Productos utilizados • Naturaleza y finalidad de sus cuentas • Cuentas vinculadas • Actividades comerciales • Otros indicadores de riesgo relacionados con el cliente

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 16Esas políticas y procedimientos deberán exigir una diligencia debida básica con todos los clientes y una diligencia debida proporcionada conformevaríe el nivel de riesgo asociado al cliente. Cuando los riesgos sean más elevados, los bancos deberán adoptar una diligencia debida reforzadapodrá ser esencial en el caso de un particular que planee mantener un importante saldo en cuenta y realice regularmente transferencias electrónicastransfronterizas o en el de una persona del medio político (PEP) o en el caso de PEP extranjeras.3.- Identificación, verificación y elaboración del perfil de riesgo de clientes y beneficiarios efectivos.El banco deberá implantar un procedimiento sistemático para identificar y verificar a sus clientesy, cuando proceda, a cualquier persona que actúe en nombre de aquéllos y de cualquier beneficiarioefectivo. La identidad de clientes y beneficiarios efectivos, así como de las personas que actúenen nombre de aquéllos, deberá verificarse mediante documentos, datos o informaciones fiablese independientes. Cuando se recurra a documentos, el banco deberá tener presente que los mejoresdocumentos para verificar la identidad son aquéllos más difíciles de obtener ilícitamente o falsificar.Si bien el proceso de identificación y verificación del cliente tiene lugar al comienzo de la relación o antesde realizarse una transacción bancaria ocasional, el banco deberá utilizar esa información para familia-rizarse con el perfil y la conducta del cliente. Con esta política el banco podrá elaborar los perfiles deriesgo de cada uno de sus clientes los cuales facilitarán la identificación de cualquier actividad en lascuentas que se desvíe de la actividad o conducta que sería considerada «normal» para un determinadocliente o categoría de clientes y que podría considerarse anómala, o incluso sospechosa.Cuando el banco sea incapaz de completar las medidas CDD, no deberá abrir la cuenta, iniciar relaciones comerciales o realizar la transacción.El banco no deberá abrir una cuenta ni realizar negocios con un cliente que insista en el anonimato.4.- Seguimiento continuoEl seguimiento continuo constituye un aspecto esencial de una sólida y eficaz gestión del riesgo BC/FT. El banco solo puede gestionar eficazmentesus riesgos si conoce la actividad bancaria razonable y normal de sus clientes y puede de ese modo identificar transacciones intentadas y anómalasque trascienden los patrones habituales de la actividad bancaria.Deberá realizarse un seguimiento continuo de todas las relaciones comerciales y transacciones, aunque el alcance de este seguimiento deberáestar en función del riesgo identificado en la evaluación de riesgos realizada por el banco y en sus labores de CDD. El seguimiento de los clienteso transacciones de alto riesgo deberá reforzarse. El banco no solo deberá realizar un seguimiento de sus clientes y de las transacciones de éstos,sino también una vigilancia transversal de los productos o servicios con el fin de identificar y mitigar los patrones de riesgo emergentes.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 17Todos los bancos deberán disponer de sistemas para detectar transacciones o patrones de actividad anómalos o sospechosos. Al diseñar escenariospara identificar dichas actividades, el banco deberá considerar el perfil de riesgo del cliente elaborado a partir de la evaluación de riesgos de la en-tidad, la información recabada en sus labores de CDD y otra información procedente de agencias policiales y otras autoridades en su jurisdicción.5.- Gestión de la Información(a) Mantenimiento de registrosEl banco deberá garantizar el registro de toda la información recabada en el contexto de CDD. Esto incluye (i) el registro de los documentos facilitadosal banco al verificar la identidad del cliente o del beneficiario efectivo y ii) la transcripción en los propios sistemas TI del banco de la informaciónCDD relevante contenida en dichos documentos u obtenida por otros medios.(b) Actualización de la informaciónMantener la información actualizada contribuirá a que el banco vigile eficazmente las actividades anómalas o sospechosas en la cuenta.(c) Suministro de información a los supervisoresEl banco deberá ser capaz de demostrar a sus supervisores, a requerimiento de éstos, la adecuada implementación de las medidas PBC/FT definidas anteriormente.6. Notificación de transacciones sospechosas y bloqueo de activos(a) Notificación de transacciones sospechosasEl seguimiento y análisis continuo de cuentas y transacciones permitirá a los bancos identificar actividades sospechosas y notificar con rapidez tran-sacciones auténticamente sospechosas. Una vez que se sospecha de una cuenta o relación, además de notificar la actividad sospechosa, el banco deberágarantizar la adopción de medidas oportunas para mitigar adecuadamente el riesgo de que el banco sea utilizado en actividades delictivas.(b) Bloqueo de activosEl banco deberá ser capaz de identificar y cumplir las decisiones de bloqueo de fondos adoptadas por la autoridad competente y bajo ningún motivodeberá mantener relaciones con entidades o individuos designados.Todos los bancos deberán contar con sistemas para detectar transacciones prohibidasy podrán adoptar sistemas de detección automática adecuados a sus fines. El banco deberá bloquear sin demora y sin previo aviso los fondos u otrosactivos de personas o entidades designadas, con arreglo a la legislación y regulación aplicables.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 18Adecuada gestión de riesgos del Comité de Basilea Evaluación, comprensión, gestión y mitigación de Riesgos Notificación de Política de aceptacióntransacciones sospechosas de Clientes y bloqueo de activosGestión de la Información Identificación, verificación y elaboración del perfil de riesgo de clientes y beneficiarios efectivos Seguimiento continuo

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 195.2.1 PBC/FT a escala de grupo y en un contexto transfronterizo 5.3 Guía para un Planteamiento Basado en el Riesgo en la Gestión del Riesgo de blanqueo de Capi- tales del grupo WolfsbergEl Grupo Wolfsberg opina que esta Guía apoyará la gestión del riesgo y ayudará a las entidades a la hora de establecer criterios de negocio respectoa sus clientes. No existe ninguna metodología universalmente acordada y aceptada por gobiernos e instituciones que prescriba la naturaleza y elalcance de un planteamiento basado en el riesgo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 20Por consiguiente, esta Guía pretende coordinar unas consideraciones pertinentes que pueden resultar útiles para las instituciones a la hora dedesarrollar y adoptar un planteamiento prudentemente diseñado basado en el riesgo. Cada entidad debe determinar los elementos específicosde su propio proceso basado en el riesgo, fundamentados en las transacciones de la entidad en cuestión.Un planteamiento prudente basado en el riesgo permite a las entidades identificar los criterios para medir los potenciales riesgos de blanqueode capitales. La identificación de los riesgos de blanqueo referentes a clientes y transacciones permitirá a las entidades determinar e implantarmedidas y controles proporcionados para mitigar dichos riesgos. En el caso de algunos clientes, puede que el riesgo sólo se manifieste una vezque el cliente haya comenzado a realizar transacciones en la cuenta, haciendo que el seguimiento de las transacciones del cliente sea un componentefundamental de un planteamiento basado en el riesgo.Los riesgos de blanqueo de capitales pueden medirse mediante la aplicación de distintas categorías, que pueden modificarse por variables de riesgo.Los criterios de riesgo más frecuentemente usados son: • Riesgo-país • Riesgo del cliente • Riesgo de serviciosAl valorar el riesgo global del blanqueo potencial, el peso concedido a estas categorías de riesgo – individualmente o en su conjunto – estará a discre-ción de cada entidad.Variables de RiesgoLa determinación del nivel de riesgo que represente un cliente determinado para una entidad implica cierto grado de criterio. Por consiguiente,la metodología de un planteamiento basado en el riesgo de una entidad puede también tener en cuenta variables de riesgo adicionales, espe-cíficas de un determinado cliente o transacción, las cuáles pueden incluir: • El nivel de los activos que deposite un cliente determinado, o el volumen de las operaciones realizadas. • El nivel de regulación u otro régimen de supervisión o gobierno a que se someta el cliente. • La regularidad o duración de la relación. • Estar familiarizado con una jurisdicción, incluyendo el conocimiento de las leyes y normas locales, además de la estructura y el alcance de la supervisión reguladora, como resultado de las propias operaciones de la entidad dentro de la jurisdicción. • El uso por los clientes de vehículos corporativos intermedios u otras estructuras sin ningún fundamento claro de índole comercial o de otro tipo, o que aumenten innecesariamente la complejidad de la operación o de otra manera resulten en una falta de transparencia para la entidad financiera.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 21Medidas y Controles para Situaciones de Mayor Riesgo Las entidades financieras deben diseñar e implantar medidas y controles adecuados para mitigar los riesgos potenciales de blanqueo de capitales de aquellos clientes que se consideren de mayor riesgo como resultado del procedimiento de valoración de riesgo de la entidad. Se pueden incluir uno o más de los siguientes controles y medidas: • Mayor conocimiento por la entidad de situaciones de mayor riesgo dentro de las líneas de negocio en toda la entidad • Incremento de los niveles de conocimiento del cliente o mejora de la “debida diligencia”. • Aprobación escalada para el establecimiento de una cuenta o relación; • Mayor seguimiento de las transacciones; • Incremento de los niveles de controles continuos y revisiones de las relaciones con los clientesA menudo, los mismos controles y medidas abordarán más de uno de los criterios de riesgo identificados, y no se espera necesariamente queuna entidad establezca controles específicos para todos y cada uno de los criterios de riesgo indicados en esta Guía. Los principios y directricesdel Grupo Wolfsberg proporcionan una guía más detallada sobre los adecuados controles y medidas incrementados que se pueden iniciar paraclientes de mayor riesgo.Riesgo- PaísEn los factores que podrían determinar sí un país presenta mayor riesgo se incluyen: 1. Países sometidos a sanciones, embargos o medidas similares por la autoridad. (Ej. ONU) 2. Países identificados por el Grupo de Acción Financiera (GAFI) como indispuestos a colaborar en la prevención de lavado de dinero o que no cuentan con las leyes y normas adecuadas en el tema. 3. Países identificados, por fuentes fiables, que están involucrados en el financiamiento al terrorismo. 4. Países identificados, por fuentes fiables, de estar involucrados en corrupción y otra actividad criminal.Riesgo de clienteSe han identificado a las siguientes clases de clientes como los que tienen mayor probabilidad de presentar riesgos potenciales en lavado de dinero:

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 22 1. Fabricantes, traficantes e intermediarios de armas. 2. Negocios de dinero en efectivo: casas de cambio, casinos u otros juegos de azar, actividades que generen grandes cantidades de efectivo. 3. Asociaciones benéficas no reguladas. 4. Comerciantes de bienes de alto valor. 5. Cuentas mantenidas por terceros. 6. Personas políticamente expuestas.Riesgo de serviciosPuede también servir de ayuda en la valoración global del riesgo de blanqueo de capitales la determinación de los riesgos presentados por los ser-vicios ofrecidos por una entidad financiera. Cuando se determinen los riesgos de lavado de dinero, se deben considerar los siguientes factores: 1. Servicios identificados por reguladores como riesgo potencial: Banca de Corresponsales Internacionales y Banca Internacional. 2. Servicios con implicación de negociación y entrega de billetes de banco o metales preciosos.FormaciónLa formación de los empleados implicados dentro de la entidad financiera juega un papel imprescindible en la implantación acertada de cual-quier planteamiento de la gestión de posibles riesgos de blanqueo basado en el riesgo. Todos los empleados implicados deben conocer y entenderel entorno legal y regulador en que operen, con inclusión de las disposiciones pertinentes en materia de prevención de blanqueo, además de lasmedidas propias de la entidad para dar efecto a su planteamiento basado en el riesgo.ConclusiónEsta Guía no pretende impedir que las entidades financieras negocien con un cliente simplemente por la posible condición de mayor riesgo de éste.Más bien, se ha diseñado para ayudar a las entidades en la identificación de situaciones en que podría resultar conveniente la implantación demedidas y controles adicionales. Incluso con el uso de un planteamiento razonablemente diseñado basado en el riesgo, es posible que una entidadfinanciera se vea implicada en el blanqueo de capitales sin darse cuenta.Un planteamiento basado en el riesgo es importante para la efectividad y eficiencia de la lucha contra el blanqueo de capitales. Fomenta la prioridaddel esfuerzo y la actividad mediante referencia a la probabilidad del blanqueo de capitales y refleja experiencias y proporcionalidad mediante el ajustedel esfuerzo al riesgo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 235.4 Sistema de Administración del Riesgo del Lavado de Activos yFinanciamiento al Terrorismo (SARLAFT)El Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terro-rismo (SARLAFT) surge de las disposiciones legales de la materia en Colombia emitidas porla Superintendencia de Colombia.La Superintendencia Financiera de Colombia busca con la expedición de la Circular Externa022 de 2007, implementar un SARLAFT con el fin de prevenir que las entidades vigiladassean utilizadas para dar apariencia de legalidad a activos provenientes de actividades de-lictivas o para la canalización de recursos hacia la realización de actividades terroristas.Cabe mencionar que NO existe un SARLAFT tipo o modelo, es decir, cada entidad co-lombiana deberá que crear, desarrollar y perfeccionar su propio sistema considerando loslineamientos establecidos en la circular.El SARLAFT se compone de dos fases a saber: a) Prevención del Riesgo, que tiene como fin prevenir que se introduzca al sistema financiero recursos provenientes del Lavado de Activos y Financiación del Terrorismo (LA/FT). b) Control, busca detectar operaciones que se pretendan realizar o se hayan realizado.Factores de riesgoSon los generadores del riesgo LA/FT y se deben tener en cuenta como mínimo:a. Clientes/usuariosb. Productosc. Canales de distribuciónd. Jurisdicciones

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 245.4.1 Riesgos Asociados al LA/FTSon riesgos a través de los cuales se materializa el riesgo LA/FT, los cuales son:• Riesgo Reputacional: es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no,respecto de la institución y sus prácticas de negocios, que cause: pérdida de clientes, disminución de ingresos o procesos judiciales.• Riesgo legal: es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado delincumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los con-tratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución decontratos o transacciones.• Riesgo operativo: es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, latecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociadosa tales factores.• Riesgo de Contagio: es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por una acción o experiencia de unvinculado. El vinculado es el relacionado o asociado e incluye personas naturales (físicas) o jurídicas (morales) que tienen posibilidad de ejer-cer influencia sobre la entidad.Definición del riesgo de Lavado de Activos y/o Financiación del TerrorismoPosibilidad de pérdida o daño que puede sufrir una entidad vigilada por la Superintendencia Financiera de Colombia (SFC), por su propensión aser utilizada directa o a través de sus operaciones como instrumento para el lavado de activos o la canalización de recursos para la Financiación delTerrorismo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 255.4.2 Etapas del SARLAFTEl SARLAFT que deben implementar las entidades vigiladas por la SFC, debe comprender como mínimo las siguientes etapas:1.- Identificación del riesgo, permite identificar los riesgos LA/FT inherentes al desarrollo de su actividad teniendo en cuenta los factores de riesgomencionados anteriormente.Para identificar el riesgo de LA/FT, se debe hacer como mínimo: • Metodologías para la segmentación de los factores de riesgo. • Con base en lo anterior, segmentar los factores de riesgo. • Metodologías para identificar el riesgo LA/FT y sus riesgos asociados. • Con base en lo anterior identificar las formas a traves de las cuales se puede presentar el riesgo LA/FT.Como resultado de esta etapa las entidades vigiladas deben estar en capacidad de identificar los factores de riesgo y los riesgos asociados.2.- Medición o Evaluación, El SARLAFT, debe permitirle a las entidades vigiladas, medir la posibilidad o probabilidad de ocurrencia del riesgo in-herente de LA/FT, frente a cada uno de los factores de riesgo, así como el impacto en caso de materializarse mediante los riesgos asociados.Para medir el riesgo de LA/FT, las entidades deben como mínimo:

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 26 • Establecer metodologías de medición o evaluación, con el fin de determinar la ocurrencia del riesgo LA/FT y su impacto en caso de materializarse. • Aplicar las metodologías de medición o evaluación.Como resultado de esta etapa, las entidades deben estar en capacidad de establecer el perfil de riesgoinherente, en cada factor de riesgo y en sus riesgos asociados.6.3 Control, las entidades vigiladas deben tomar medidas conducentes a controlar el riesgo inherenteal que se ven expuestasPara controlar el riesgo LA/FT las entidades deben como mínimo: • Establecer las metodologías para definir las medidas de control. • Aplicar las metodologías establecidas en el punto anterior. • Establecer los niveles de exposición en razón de la calificación dada a los factores de riesgo en la etapa de medición • Realizar los reportes de operaciones sospechosas a la UIAF.Como resultado de esta etapa la entidad debe establecer su perfil de riesgo LA/FT consolidado. El control debe traducirse en una disminuciónde la posibilidad de ocurrencia y del impacto del riesgo LA/FT en caso de materializarse.6.4 Monitoreo, esta etapa permite hacer seguimiento a los perfiles de riesgo, así como detectar operaciones inusuales y/o sospechosasPara monitorear las entidades deben como mínimo: • Desarrollar un proceso de seguimiento que facilite la rápida detención y corrección de las deficiencias en las etapas del SARLAFT. • Realizar del riesgo inherente y residual de cada factor de riesgo y de los riesgos asociados. • Realizar el seguimiento del riesgo inherente y residual consolidado. • Asegurar que todos los controles sean comprensivos de todos los riesgos y que los mismos estén funcionando en forma oportuna y efectiva. • Establecer indicadores descriptivos y/o prospectivos que evidencien potenciales fuentes de riesgo. • Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 27Elementos del SARLAFTLos siguientes elementos deben desarrollar las etapas del sistema1.- Políticas, son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el SARLAFT.Las políticas que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del SARLAFT y traducirse en reglas de conducta yprocedimientos que orientan la actuación de la entidad y sus accionistas. Las políticas deben incorporarse en un código de ética que oriente la ac-tuación de los funcionarios de la entidad para el funcionamiento del SARLAFT, y establezca procedimientos sancionatorios además de establecerlas consecuencias que genera su incumplimiento.2.- Procedimientos, las entidades deben establecer procedimientos aplicables para la adecuada implementación y funcionamiento de los elementosy las etapas del SARLAFT.La entidad debe adoptar mecanismos que las permitan como mínimo: • Conocer al cliente actual y potencial. • Conocer el mercado. • Identificar y analizar las operaciones inusuales. • Determinar y reportar las operaciones sospechosas.Para que los mecanismos adoptados operen de manera efectiva, eficiente y oportuna se debe contar con los siguientes instrumentos: • Señales de alerta. • Segmentación de los factores de riesgo en relación al mercado. • Monitoreo de operaciones • Consolidación electrónica de operaciones.3. Documentación. Las etapas y los elementos del SARLAFT implementados por las entidades deben constar en documentos y registros, garan-tizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida.La documentación como mínimo deberá:

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 28 • Contar con un respaldo físico. • Contar con requisitos de seguridad de forma tal que se permita su consulta sólo por quienes estén autorizados. • Contar con los criterios y procesos de manejo, guarda y conservación de la misma.La documentación deberá comprender por lo menos: • Manual de procedimientos del SARLAFT. • Los documentos y registros que evidencien la operación efectiva del SARLAFT. • Los informes de la junta directiva, el representante legal, el oficial de cumplimiento y los órganos de control.4.- Estructura organizacional, las entidades deben establecer y asignar las facultades y funciones a cargo de los órganos de dirección, administración,control y del oficial de cumplimiento.Funciones de la Junta Directiva. • Establecer las políticas del SARLAFT. • Aprobar el manual de procedimientos y sus actualizaciones. • Designar al oficial de cumplimiento y su respectivo suplente. • Designar la (s) instancia (s) autorizada (s) para exonerar clientes del diligenciamiento del formu- lario de transacciones en efectivo. • Ordenar los recursos técnicos y humanos necesarios para implementar y mantener en funciona- miento el SARLAFT. • Pronunciarse respecto de cada uno de los puntos que contengan los informes que presente el oficial de cumplimiento, dejando la expresa constancia en la respectiva acta.• Hacer seguimiento y pronunciarse periódicamente sobre el perfil de riesgo del lavado de activos y/o financiación del terrorismo (LA/FT)de la entidad.• Aprobar el procedimiento para la vinculación de los clientes que pueden exponer en mayor grado a la entidad al riesgo del lavado de activosy/o financiación del terrorismo (LA/FT), así como las instancias responsables, atendiendo que las mismas deben involucrar funcionarios de laalta gerencia.• Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y reporte de las operaciones sospechosas.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 29• Establecer y hacer seguimiento a las metodologías para la realización de entrevistas no presenciales y/o la realización de entrevistas por personalque no tenga la condición de empleado de la entidad.• Aprobar las metodologías de segmentación, identificación, medición y control del SARLAFT.• Designar la (s) instancia (s) responsable (s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocidovalor técnico para la oportuna detección de las operaciones inusuales.• En el caso de grupos, corresponderá además a las juntas directivas de las matrices impartir los lineamientos y adoptar las medidas necesariaspara que cada una de las subordinadas del grupo aplique procedimientos similares a los implementados por la matriz, atendiendo en todo casolas características particulares de la actividad desarrollada por cada una de ellas.Funciones del Representante Legal • Someter a aprobación de la junta directiva u órgano que haga sus veces en coordinación con el oficial de cumplimiento, el manual de procedi- mientos del SARLAFT y sus actualizaciones. • Verificar que los procedimientos establecidos, desarrollen todas las políticas adoptadas por la Junta Directiva u órgano que haga sus veces. • Adoptar las medidas adecuadas como resultado de la evolución de los perfiles de riesgo de los factores de riesgo y de los riesgos asociados. • Garantizar que las bases de datos y la plataforma tecnológica cumplan con los criterios y requisitos establecidos en la circular. • Proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT. • Prestar efectivo, eficiente y oportuno apoyo al oficial de cumplimiento.Funciones del Oficial de Cumplimiento • Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el SARLAFT. • Presentar, cuando menos en forma trimestral, informes escritos a la junta directiva u órgano que haga sus veces, en los cuales debe referirse como mínimo a los siguientes aspectos:I. Los resultados de la gestión desarrollada.II. El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades.III. La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgosasociados.IV. La efectividad de los mecanismos e instrumentos establecidos en la presente circular, así como de las medidas adoptadas para corregir lasfallas en el SARLAFT.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 30V. Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces.VI. Los documentos y pronunciamientos emanados de las entidades de control y de la Unidad Administrativa Especial de Información y AnálisisFinanciero – UIAF.• Coordinar el desarrollo de programas internos de capacitación.• Promover la adopción de correctivos al SARLAFT.• Proponer a la administración la actualización del manual de procedimientos y velar por su divulgación a los funcionarios.• Colaborar con la instancia designada por la Junta Directiva en el diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativosde reconocido valor técnico para la oportuna detección de las operaciones inusuales.• Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, y los informes que presente el Re-visor Fiscal y adoptar las medidas del caso frente a las deficiencias informadas.• Diseñar las metodologías de segmentación, identificación, medición y control del SARLAFT.• Elaborar y someter a la aprobación de la Junta Directiva o el órgano que haga sus veces, los criterios objetivos para la determinación de lasoperaciones sospechosas, así como aquellos para determinar cuáles de las operaciones efectuadas por usuarios serán objeto de consolidación,monitoreo y análisis de inusualidad.5.- Órganos de control: Las entidades deben establecer órganos e instancias responsables de efectuar una evaluación del SARLAFT, a fin de que se puedandeterminar sus fallas o debilidades e informarlas a las instancias pertinentes.Revisoría FiscalÉste deberá elaborar un reporte trimestral dirigido a la Junta Directiva u órgano que haga sus veces, en el que informe acerca de las conclusionesobtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARLAFT.Además, deberá poner en conocimiento del oficial de cumplimiento, las inconsistencias y fallas detectadas en el SARLAFT.Auditoria Interna o quien ejecute funciones similares o haga sus vecesÉsta deberá evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT, con el fin de determinarlas deficiencias y sus posibles soluciones. Así mismo, deberá informar los resultados de la evaluación al oficial de cumplimiento y a la junta directiva,adicionalmente deben realizar una revisión periódica de los procesos relacionados con las exoneraciones y parametrizaciones de las metodologías,modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 316.- Infraestructura Tecnológica: Las entidades deben contar con la tecnología y los sistemas necesarios para garantizar la adecuada administracióndel riesgo de LA/FT. Para ello deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño.7.- Divulgación de la información: Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como ex-ternos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes.Los siguientes son los reportes mínimos que deber tener en cuenta las entidades en el diseño del SARLAFT: Reportes internos • Transacciones inusuales • Operaciones sospechosas • Reportes de la etapa de monitoreo Reportes externos • Reporte de operaciones sospechosas (ROS) • Reporte de transacciones en efectivo • Reporte de clientes exonerados • Reporte de transacciones múltiples en efectivo • Reporte de los intermediarios del mercado cambiario • Reporte de Información sobre campañas políticas • Reporte de Información sobre transacciones realizadas en Colombia con tarjetas crédito o débito expedidas en el exterior.8.- Capacitación: Las entidades deben diseñar, programar y coordinar planes de capacitación sobre el SARLAFT dirigidos a todas las áreas y funciona-rios de la entidad.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 325.5 Norma ISO 31000:2009La Organización Internacional de Normalización o ISO, nacida el 23 de febrero de 1947, es el organismo encargado de promover el desarrollo denormas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales.La Norma Internacional 31000 “La Gestión de Riesgos: Principios y Directrices”, fue terminada de votar el 25 de Julio del 2009. 5.5.1 IntroducciónLas organizaciones de todos los tipos y tamaños se enfrentan a factores tanto internos como externos que pueden impedir que éstas alcancen susobjetivos. Es decir, todas las actividades de una organización implican un Riesgo, por lo cual esta Norma Internacional recomienda a las organiza-ciones a desarrollar, implementar y mejorar un marco cuyo objetivo sea la integración de un proceso de Gestión de Riesgos, el cual pueda aplicarsea todas las áreas y niveles en cualquier momento.Aunque la práctica de la Gestión de Riesgos ha sido desarrollada con el tiempo y dentro de muchos sectores con el fin de satisfacer las diversas nece-sidades, la adopción de procesos coherentes dentro de un marco global puede ayudar a garantizar que el riesgo se gestiona con eficacia, eficiencia y demanera coherente en toda la organización.El enfoque descrito por esta Norma establece los principios y directrices para la gestión de cualquier forma de riesgo de manera sistemática,transparente y creíble dentro de cualquier ámbito y contexto. Por tal motivo, una característica clave de ésta norma es la inclusión de “establecerel contexto” como una actividad al inicio de este proceso.La Norma ISO 31000:2009 está dirigida a cualquier tipo de Organización sin importar su actividad o tamaño, pues al establecer el contexto de cadaentidad, la gestión de riesgos estará en función de los objetivos de la organización, sus grupos de interés, así como sus criterios de riesgo. Además,la Norma se puede aplicar a cualquier tipo de Riesgo. 5.5.2 Estructura de la NormaLa estructura de la Norma es la siguiente: en la primera parte encontramos la introducción, donde se aborda el contexto en el que se encuentran lasorganizaciones y la razón por la que sería bueno adoptar la Gestión de Riesgos. En la segunda parte se encuentra el Glosario, donde se encuentranconceptos y definiciones para asegurar la buena comprensión de la Norma. Posteriormente, se presentan los 11 Principios necesarios para la imple-mentación de la Norma.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 33Principios:Para una gestión de riesgos eficaz, una organización deberá cumplir en todos los niveles con los siguientes principios:1.- Crea valor y protegeLa gestión de riesgo (GR) contribuye a la consecución de los objetivos y a la mejora del rendimiento.2.- Es parte integral de todos los procesos de la organizaciónLa gestión de riego no es una actividad aislada, sino que más bien forma parte de todos los procesos de la organización, incluida la planeaciónestratégica.3.- Es parte de la toma de decisionesLa GR ayuda a los tomadores de decisiones, prioriza acciones y distingue entre los distintos cursos de acción.4.- Toma en cuenta la incertidumbreLa GR toma en cuenta explícitamente la incertidumbre, su naturaleza y como se puede dirigir.5.- Es sistemática, estructurada y oportunaUn enfoque sistemático, oportuno y estructurado de gestión de riesgo contribuye a la eficiencia y resultados consistentes, comparables y fiables.6.- Se basa en la mejor información disponibleLas entradas para el proceso de GR se basan en fuentes de información fiables como datos históricos, experiencia, sin embargo la GR debe con-siderar el contexto externo e interno de la organización, así como su perfil de riesgo.7.- Toma los factores humanos y culturales en cuentaReconoce las capacidades, percepciones e intenciones de las personas que forman parte de la organización y que pueda facilitar u obstaculizar ellogro de los objetivos de la organización.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 348.- Debe ser transparente e inclusivoGracias a una adecuada participación de los interesados y tomadores de decisiones en todos los niveles de la organización.9.- Es dinámica, interactiva y de respuesta al cambioEl contexto de la organización siempre se encuentra en un cambio constante, por tanto, la gestión de riesgos siempre debe estar evaluando estos cambios yactuando en función de estos para poder responder de la mejor manera.10.-Facilita la mejora continuaLas organizaciones deben desarrollar e implementar estrategias para mejorar su grado de madurez de gestión de riesgos junto con los demás aspectosde la organización.Marco de Gestión de RiesgoEl éxito de la gestión del riesgo dependerá de la eficacia del marco de gestión que proporciona las bases y disposiciones que lo incrusta en toda laorganización. A continuación te presentamos el proceso para la adecuada elaboración del Marco:

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 35

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 36Proceso de Gestión de Riesgos

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 375.5.3 Comunicación y consultaComunicación y consulta con todas las partes interesadas tanto internas como externas que tienen lugar durante todas las fasesdel proceso de gestión de riesgos. Por tanto, se deberán elaborar planes de comunicación y consulta deben desarrollarse enuna etapa temprana, esta garantizará que los responsables del proceso de gestión de riesgo y los interesados conozcan las basesen las que se toman acciones así como las razones. 5.5.4 Establecer el contextoAl establecer el contexto, la organización se articula y define sus objetivos internos, externos y parámetros que deberá tener en cuenta al momentode gestionar el riesgo. Para conocer a detalle los riesgos es necesario establecer el contexto mediante dos análisis: el del contexto externo y el con-texto interno.El contexto externo es el entorno externo en donde la organización pretende alcanzar sus objetivos, específicamente aquellos requisitos legales yreglamentarios, así como aquellos aspectos culturales, políticos, jurídicos, financieros, económicos, tecnológicos, tendencias clave, etc.’El contexto interno es el ambiente interno en el que la organización lleva a cabo sus actividades, es decir, cualquier cosa dentro de la organizaciónque puede influir a que la organización no cumpla con sus objetivos, por tal motivo, la cultura organizacionales, los procesos y la estructura deberánestar alineados con el proceso de gestión de riesgos. 5.5.5 Evaluación de RiesgosLa evaluación de riesgos es el proceso mediante el cual se identifican los riesgos, se analizan y se evalúan.• Identificación de Riesgos:En este paso el objetivo es generar una lista completa de los riesgos sobre aquellos acontecimientos que podrían impedir elcumplimiento de los objetivos, esta identificación debe incluir a los riesgos y su fuente que se encuentren bajo el control dela organización, así como sus consecuencias.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 38• Análisis de Riesgos:Este paso consiste en desarrollar una mayor comprensión del riesgo. El análisis de riesgos proporciona una entrada al riesgoevaluación y las decisiones sobre si los riesgos deben ser tratados, así como definir el tratamiento y métodos para mitigarlos.Aquí se define las consecuencias y la probabilidad de que un evento ocurra, generalmente se determina mediante un valornúmero basado en un método de evaluación. • Evaluación de Riesgos El propósito de la evaluación de riesgos es ayudar en la toma de decisiones con base en los resultados del análisis de riesgos sobre aquellos riesgos que necesitan tratamiento, así como la prioridad para aplicar el mismo. Esta evaluación supone la decisión de mantener los controles ya existentes o modificarlos. 5.5.6 Tratamiento del RiesgoConsiste en seleccionar una o más opciones para modificar los riesgos y la aplicación de esas opciones. Una vez implementados los controles sedeberán monitorear y en caso que sea necesario modificar.El tratamiento de riesgos implica un proceso cíclico de: • La evaluación de un tratamiento de los riesgos • Decidir si los niveles residuales de riesgo son tolerables • Si no son tolerables se deberá generar un nuevo tratamiento • Evaluar la eficacia de ese tratamientoSelección de las opciones de tratamiento del riesgoEsta selección consiste en equilibrar los costes y los esfuerzo de aplicación frente a los beneficios derivados. Incluso se podrán elegir métodosque no sean justificables económicamente pero por el nivel de riesgo lo sean.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 39Elaborar e implementar los planes de tratamientoEl propósito de los planes es documentar como los tratamientos se van a implementar,estos planes deben incluir las razones por las que se seleccionó el tratamiento, así comosus beneficios, quiénes son los responsables de aprobar el plan y ejecutarlo, los recursos,limitaciones, calendario y horarios.Seguimiento y revisiónTanto el seguimiento y la revisión debe ser una parte planificada del proceso de gestiónde riesgos, esta puede ser periódica o ad hoc. Las responsabilidades de seguimiento y deevaluación deben estar claramente definidas a efectos de asegurar que los controles sean eficaces y eficientes tanto en el diseño como en el funcio-namiento, obtener más información para mejorar la evaluación de riesgos, analizar y detectar cambios en el contexto tanto interno como externo.El registro del proceso de gestión de RiesgosLas actividades de gestión de riesgos deberían ser rastreables. En este proceso de gestión, proporcionar los registros es un pilar para la mejorade los métodos y herramientas. Para la creación de registros se puede tomar en cuenta: las necesidades de la organización, los beneficios de lareutilización de esa información, las necesidades legales, el periodo de retención y la sensibilidad de la información.Recuerda:“La gestión de riesgos se considera como elemento central de los procesos de gestión de la organización.”

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 40 BibliografíaComité de Supervisión Bancaria de Basilea. Adecuada gestión de los riesgos relacionados con el blanqueo de capitales y la financiación del terrorismo,Banco de Pagos Internacionales 2014.FATF, Guidance for a risk-based approach, the banking sector, Paris FATF Secretariat, 2014.GRUPO WOLFSBERG, Declaración de Wolfsberg, Guía para un Planteamiento Basado en el Riesgo en la Gestión del Riesgo de Blanqueo de Capitales, 2006.Norma Internacional ISO 31000:2009, de Gestión de Riesgos-Principios y Directrices.Instrucciones Relativas a la Administración del Riesgo de Lavado de Activos y de la Financiación al Terrorismo. Superintendencia Financiera de Colombia,2007.