4 SESION

4 SESIÓN

DEFINICIONES RELEVANTES• EVALUACIÓN NACIONAL DE RIESGOS (ENR): Ejercicio de autoevaluación que tiene como finalidad orientar la política de prevención y combate de riesgos que implican los delitos de LD/FT, para asignar los recursos a la mitigación de los mayores Riesgos identificados.• ELEMENTOS DE RIESGO: factores genéricos que se observan en el desarrollo de la actividad de las Entidades y que pueden afectar en mayor o menor medida el riesgo al que están expuestos (clientes, países, productos, transacciones, ENR, etc.)

• INDICADORES: Conjunto de características específicas de Riesgo que permiten conocer y evaluar cómo y en qué medida se puede encontrar expuesta la Entidad al Riesgo de LD/FT para cada uno de los ELEMENTOS DE RIESGO identificados.• METODOLOGÍA DE EVALUACIÓN DE RIESGOS: Conjunto de procesos para la identificación, medición y mitigación de los Riesgos de LD/FT, a los que está expuesta la Entidad.

Evaluación Nacionalde Riesgos

 Se publicó el 27 de Septiembre de 2016 en el Portal SITI. La idea de crear esta ENR surge a finales del 2013 por parte de la SHCP y el BID adoptando conceptos publicados en la guía del GAFI sobre la Evaluación Nacional de Riesgos de LD y FT (Feb 2013). Actualmente México se encuentra próximo a encarar la Cuarta Ronda de evaluaciones del GAFI para revisar el cumplimiento técnico de las 40 Recomendaciones y la efectividad de nuestro sistema nacional de prevención y combate al LD/FT/PADM. La finalidad de esta evaluación es identificar, evaluar y entender nuestros riesgos de LD/FT/PADM e implementar acciones y orientar los recursos nacionales necesarios para la adecuada prevención y mitigación de manera proporcional a los riesgos identificados.

CONTENIDO DE LA EVALUACIÓN NACIONAL DE RIESGOS 01 Evaluación de los riesgos de Lavado de Dinero en México 02 Evaluación de los riesgos de Financiamiento al Terrorismo en México 03 Evaluación de los riesgos del Régimen de prevención y combate al LD/FT en México 04 Evaluación de riesgos del Sistema Financiero Mexicano:  Resultados de la Evaluación Sectorial de los Sujetos Obligados  Productos o servicios considerados de mayor riesgo por SO  Resultados de la Evaluación de Riesgos de las Actividades Vulnerables

Resultados de la Evaluación Sectorial de Riesgos de los sectores que envíanreportes a la Unidad de Inteligencia Financiera y tomando en cuenta lasvulnerabilidades identificadas: 15 BBVA Bancomer, Banamex, Santander, Banorte, HSBC, Inbursa y Scotiabank Fuente: 1ª Evaluación Nacional de Riesgos de Lavado de Dinero y Financiamiento al Terrorismo en México

PRODUCTOS O SERVICIOS QUE LOS SUJETOS OBLIGADOS CONSIDERAN DE MAYOR RIESGO Fuente: 1ª Evaluación Nacional de Riesgos de Lavado de Dinero y Financiamiento al Terrorismo en México

RESULTADOS DE LA EVALUACIÓN SECTORIAL DE RIESGOSNOTA: Es la primera vez que se realiza la evaluación con el contenido de los Avisos enviados por losSujetos Obligados, ya que a la fecha de la edición anterior aún no entraba en vigor la LFPIORPI Fuente: 1ª Evaluación Nacional de Riesgos de Lavado de Dinero y Financiamiento al Terrorismo en México

CAPÍTULO II BISENFOQUE BASADO ENRIESGOS

A partir de las Resoluciones a las Disposiciones de CarácterGeneral en materia de PLD/FT en Marzo de 2017, seestablece que las Entidades Financieras deberán contar conuna Metodología de Evaluación de Riesgo.Esto surge de la Recomendación 1del Grupo de Acción Financiera:Enfoque Basado en riesgos.

SU OBJETIVO ES:Establecer los procesos para la identificación, medición ymitigación de los Riesgos a los que está expuesta laentidad derivado de sus productos, servicios, prácticas otecnologías con las que operan, tomando el cuenta losfactores de Riesgo identificados, el documento de laEvaluación nacional de riesgos y lo que emita la CNBV.En el siguiente diagrama se muestra lo que conllevaimplementar un Enfoque Basado en Riesgos:

ENFOQUE BASADO DOCUMENTAL MANUAL PLD IDENTIFICACIÓN EN RIESGOS IMPLEMENTACIÓN MEDICIÓN METODOLOGÍA MITIGANTES VALORACIÓN DE RIESGOS ADECUACIONES A METODOLOGÍAS CONTROLES MITIGANTES SISTEMAS AUTOMATIZADOS

Las Entidades para el diseño de la metodología de evaluación deRiesgos deberán cumplir con lo siguiente:Considerar en su proceso de identificación a los indicadores queexplican cómo y en qué medida se puede encontrar expuesta alRiesgo la Entidad, considerando al menos, los siguientes elementos: Clientes Usuarios Países y áreas geográficas Productos Servicios Transacciones Canales de envío vinculados con las Operaciones de la Entidad Evaluación nacional de riesgos y sus actualizaciones que la Secretaría les dé a conocer por conducto de la Comisión.

Utilizar un método para la medición de los Riesgos queestablezca una relación entre los indicadores referidos yasignar un peso a cada uno de ellos de manera consistenteen función de su importancia para describir dichos Riesgos.Establecer los Mitigantes que considere necesarios enfunción de los indicadores detectados por cada Entidadpara mantenerlos en un nivel de tolerancia aceptable deconformidad con sus documentos de políticas, criterios,medidas y procedimientos internos.

La Entidad deberá: Asegurarse de que no existan inconsistencias entre la información que incorporen a la misma y la que obre en sus sistemas automatizados. Cuando se detecten nuevos riesgos deberán modificar las políticas y medidas que correspondan para mitigarlos, así como su metodología de evaluación de Riesgos. El cumplimiento y resultados de las obligaciones contenidas en este Capítulo, deberán ser revisados y actualizados por las Entidades cada doce meses

 Las Entidades deberán conservar la información generada durante un plazo no menor a cinco años y proporcionarla a la Secretaría y a la Comisión, a requerimiento de esta última, dentro del plazo que la propia Comisión establezca. La Comisión elaborará lineamientos, guías y/o mejores prácticas que las Entidades considerarán para el mejor cumplimiento a lo previsto en el presente Capítulo

TABLA DE FECHAS DE VIGENCIASECTOR ENTRÓ EN VIGOR FIN DE PLAZO DE SISTEMAS IMPLEMENTADO ENTREGA 45 días AUTOMATIZADOS CAPITULO II BIS ART 43SOFOM Regulada y 10/03/2017 24/04/2017 05/03/2018 03/06/2018 ENR Centros cambiarios, 10/03/2017 24/04/2017 05/03/2018 03/06/2018 Casas de cambio yTransmisores de dineroAlmacenes Generales 24/03/2017 08/05/2017 19/03/2018 17/06/2018 de Depósito Sociedades 24/03/2017 08/05/2017 19/03/2018 17/06/2018 Cooperativas deAhorro y PréstamoSociedades Financieras 05/04/2017 10/05/2017 31/03/2018 29/06/2018 Populares 31/03/2017 15/05/2017 26/03/2018 24/06/2018 Uniones de Crédito

La Guía para la metodología de evaluación de riesgos de laComisión Nacional Bancaria y de Valores indica cómo debe serdesarrollada.

IDENTIFICACIÓN MEDICIÓN MITIGANTES ¿Cómo y en qué Peso a cada Nivel de tolerancia medida estoy indicador Controles expuesto al riesgo? Métodos para medición de los Indicadores indicadores (segmentos) • Evaluación Nacional • Países y áreas de Riesgos geográficas • GAFI • Guías CNBV • Productos y servicios. • Transacciones • Canales de envío • Clientes y usuarios

EVENTOS DE RIESGORuta de dinero • Recibir activos de origen ilícito. Uso de • Realización de transacciones con documentos falsos.identidad • Relación con clientes o usuarios que abusan de las figuras societariasSindicatos para ocultar personas reconocidas como lavadores de dinero. Bienes • Relación con clientes o usuarios que abusan de las figuras societariasInmuebles para ocultar personas reconocidas como lavadores de dinero.Personas • Relación o transacciones con prestanombres. Jóvenes • Relación con empresas fachada. • Relación o transacciones con prestanombres. • Suplantación de personas.

¿QUÉ EVENTOS DE RIESGO LD/FTIDENTIFICAS RELACIONADOS A TUENTIDAD?

Riesgo = Probabilidad x Impacto• Cada evento de riesgo tiene una probabilidad de que suceda.• Cada evento de riesgo tiene riesgos asociados: Legal Operativo Reputacional Contagio

• Esta calificación nos da el riesgo que tiene tu entidad por ser como es:  Por realizar ciertas actividades.  Por formar parte de un sector.  Por tener cierta cultura de cumplimiento.• Una SOFOM puede tener el mismo riesgo que otra simplemente por ser SOFOM, o un CENTRO CAMBIARIO, o un BANCO… sin embargo, lo que incrementa o disminuye el riesgo es:  El tipo de clientes que tiene.  Las localidades en donde opera.  Los productos que ofrece.  El tipo de transacciones y canales con los que opera.

FACTORES DE RIESGO.Historial Edad de Actividad Ubicacióncrediticio. representantes económica. geográfica. legales. Monto de Antigüedad Forma de Nacionalidad.transacciones. como cliente. transacciones. Tiempo de Régimen Fiscal. operación.

FACTORES DE RIESGO.• Cada factor de riesgo será calificado con un nivel de impacto en función de fuentes externas:  Evaluación Nacional de Riesgos  Publicaciones GAFI  Tipologías  INEGI, etc.• E internas:  Experiencia sobre situaciones relativas a la entidad. Contexto interno.

CALIFICACIÓN PROBABILIDAD E IMPACTOEVENTOS DE RIESGO PROBABILI NIVEL DE R. LEGAL R. REPUTACIONAL R. CONTAGIO R. OPERATIVO PROMEDIO RIESGO DAD PROBABILIDAD 3 8.25Recibir activos de 1.00% 3 23 3 2.75origen ilícito. 4 6.00Realización de 0.50% 2 4 33 23 11.00transacciones condocumentos falsos. 4 4 13.00 4 9.00Relación con clientes o 2.00% 4 4 31 3 2.75 12.00usuarios que abusan de 3.00% 3 23 59.25las figuras societarias para 1.00% 4 6 42 3 3.25ocultar LD. 3.83 6 20 33 23Relación o 6 8.88transacciones con 33 23prestanombres. 3.00 18 15 15 17.75 66 66Relación con 3.00 2.50empresas fachada. 2.50 2.96Suplantación de 3.00%personas. 11%SUMA 6CUENTA 1.8%PROMEDIO

FÓRMULAS RIESGO = PROBABILIDAD X IMPACTO RIESGO POR EVENTOS = PROBABILIDAD DE CADA EVENTO X IMPACTO DE CADA EVENTO. RIESGO ENTIDAD = PROBABILIDAD PROMEDIO POR EVENTOS X ((IMPACTO POR EVENTO X IMPACTO POR FACTOR DE RIESGO)/2)

Ejemplo base de datosREF/ Num crédito 6001 5531 1333Nombre del acreditado La Unión Genial La Sofom Magnífica Adolfo Castro 19/11/1999 05/01/2015Fecha de colocación 20/8/2016Monto otorgado 3,000,000.00 1,500,000.00 300,000.00Saldo Vigente 2,250,000.00 1,125,000.00 225,000.00Saldo Vencido 30,000.00 15,000.00 3,000.00Tipo de Producto/Servicio CREDITO NOMINA CREDITO SIMPLE REFACCIONARIOLocalidad ACONCHI, SON ADANA, TURQUIA ABASOLO DEL VALLE, VERActividad Económica USUARIOS MENORES USUARIOS MENORES GOBIERNO ACABADO DE TELAS Cada CINEMATOGRAFIA Y FEDERAL concepto ESPARCIMIENTO coincide con losTipo de Moneda MEXICAN PESO MEXICAN PESO MEXICAN PESO catálogos FISICA de riesgo.Tipo de Persona MORAL MORAL MEXICANA CONSTRUCCIÓNNacionalidad MEXICANA MEXICANA TRANSFERENCIAS IGUALAMercado CONSTRUCCIÓN COMERCIO 150,001 a 999,999Instrumentos Monetarios TRANSFERENCIAS TRANSFERENCIASSucursal IGUALA IGUALARANGO 1,000,000- en adelante 1,000,000- en adelante

Tablas de cartera por cada segmento:ejemplo con localidades.PASO 1. Elaborar tabla resumen por localidades. LOCALIDADES NUM. EXPEDIENTES MONTO OTORGADO 1 300,000.00ABASOLO DEL VALLE, VER 1 1,500,000.00 1 3,000,000.00ADANA, TURQUIA 3 4,800,000.00ACONCHI, SONSUMAPASO 2. Ponderar el monto en cada localidad: monto por localidad / monto total. LOCALIDADES NUM. MONTO OTORGADO PONDERACIÓN EXPEDIENTES 300,000.00 6.3%ABASOLO DEL VALLE, VER 1,500,000.00 31.3% 1 3,000,000.00 62.5%ADANA, TURQUIA 4,800,000.00 1 100.0 %ACONCHI, SON 1SUMA 3

PASO 3. Asignar nivel de impacto de acuerdo a los catálogos. LOCALIDADES NUM. PONDERACIÓN IMPACTO EXPEDIENTES MONTO OTORGADOABASOLO DEL VALLE, VER 6.3% 1 1 300,000.00 31.3% 1ADANA, TURQUIA 62.5% 2ACONCHI, SON 1 1,500,000.00 100.0 % 1 3,000,000.00SUMA 3 4,800,000.00PASO 4. Multiplicar el impacto por el % de ponderación.LOCALIDADES NUM. EXPED MONTO PONDERACIÓN IMPACTO IMPACTO DEL OTORGADO SEGMENTO PONDERADOABASOLO DEL VALLE, VER 1 300,000.00 1 1 0.06 6.3% 2 0.31 1.25ADANA, TURQUIA 1 1,500,000.00 31.3% 1.63ACONCHI, SON 1 3,000,000.00 62.5%SUMA 3 4,800,000.00 100.0 %

PASO 5. Tomar el impacto total por eventos y descomponerlo por el porcentaje de ponderación. NUM. MONTO PONDERACI IMPACTO DEL IMPACTO EXPE OTORGADO ÓN TOTAL POR LOCALIDADES IMPACTO SEGMENTO EVENTOS DABASOLO DEL VALLE, PONDERADOVERADANA, TURQUIA 1 300,000.00 6.3% 1 0.06 0.17ACONCHI, SON 1 0.31 0.84 1 1,500,000.00 31.3% 2 1.25 1.69SUMA 1.63 2.70* 1 3,000,000.00 62.5% *Ver tabla calificación por 3 4,800,000.00 100.0 % eventos.PASO 6. Promediar los dos impactos: por segmento y por eventos. LOCALIDADES NUM. MONTO PONDERACI IMPACTO IMPACTO DEL IMPACTO PROMEDIO EXPED OTORGADO ÓN SEGMENTO TOTAL POR IMPACTOABASOLO DEL VALLE, PONDERADO EVENTOSVER 0.12ADANA, TURQUIA 1 300,000.00 6.3% 1 0.06 0.17 0.58ACONCHI, SON 1 0.31 0.84 1.47 1 1,500,000.00 31.3% 2 1.25 1.69 2.16SUMA 1.63 2.70* 1 3,000,000.00 62.5% 3 4,800,000.00 100.0 %

PASO 7. Multiplicar el nivel de probabilidad total por eventos *Ver tablapor cada segmento. calificación por IMPACTO eventos. LOCALIDADES NUM. MONTO PONDERA IMPACTO DEL IMPACTO PROMEDIO RIESGO EXPED OTORGAD CIÓN SEGMENT TOTAL POR IMPACTO PROBABILIDAD* (PONDERADO) PORABASOLO DEL EVENTOSVALLE, VER 1 O O 0.12 LOCALIDADESADANA, TURQUIA 1 PONDERA 0.58ACONCHI, SON 1 1.47 5 0.58 3 DO 2.16 5 2.89SUMA 5 7.34 300,000.00 6.3% 1 0.06 0.17 31.3% 1 0.31 0.84 10.81 1,500,000.0 62.5% 2 1.25 1.69 0 100.0 % 1.63 2.70* 3,000,000.0 0 4,800,000.0 0PASO 8. Dividir el Riesgo Ponderado de cada localidad entre el factor de ponderación. IMPACTO LOCALIDADES NUM. MONTO PONDERA IMPACTO DEL IMPACTO PROMEDIO PROBABI RIESGO RIESGO POR LOCALIDAD EXPED OTORGA CIÓN SEGMENT TOTAL IMPACTO LIDAD* (PONDERADO) POR (PARA CALIF DE CLIENTES)ABASOLO DEL PORVALLE, VER DO O LOCALIDADESADANA, PONDERA EVENTOSTURQUIAACONCHI, SON DOSUMA 1 300,000.0 1 0.06 0.17 0.12 5 0.58 9.67 0 6.3% 1 1,500,000. 1 0.31 0.84 0.58 5 2.89 9.32 00 31.3% 2 5 1.25 1.69 1.47 7.34 5.87 1 3,000,000. 1.63 2.70* 2.16 10.81 NO SUMAR 00 62.5% 3 4,800,000. 100.0 % 00

PASO 9. Repetir del paso 1 al 8 por cada segmento de riesgo y cada total de riesgopor segmento integrará la matriz de riesgo inherente por segmento.PASO 10. Promediar los riesgos de cada segmento y obtener el riesgo inherentede la entidad por segmento: MATRIZ DE RIESGOS

Niveles de riesgo.Dependiendo del número de niveles utilizado en el modelo (de 1 a 5 o de 1 a 3)se debe hacer una tabla para significado de cada nivel de riesgo.55 10 15 20 254433 8 12 16 202211 6 9 12 1501 4 6 8 10 2 34 5 2 34 5RIESGO DE A NIVEL0.00 2.98 BAJO2.99 5.64 MENOR5.65 9.93 IMPORTANTE9.94 17.26 MAYOR17.27 25.00 MAXIMO

Matriz de riesgo inherente de laentidad por segmento.ELEMENTO DE RIESGO PROBABILIDAD IMPACTO RIESGO PONDERACION RGO PONDPOR ACTIVIDAD ECONÓMICA 5.00 1.88 9.41 10% 0.94POR TIPO DE PRODUCTOS 5.00 2.51 12.53POR INSTRUMENTOS MONETARIOS 5.00 1.85 9.25 10% 1.25POR LOCALIDADES 5.00 2.16 10.81 10% 0.93POR MONEDA 5.00 1.85 9.25 20% 2.16POR MERCADO 5.00 2.35 11.75POR MONTO DE CRÉDITO 5.00 2.82 14.09 10% 0.93POR TIPO DE PERSONA 5.00 1.88 9.41 10% 1.18POR NACIONALIDAD 10% 1.41 5.00 1.85 9.25TOTALES 10% 0.94NIVEL DE RIESGO INHERENTE 10% 0.93 5.00 2.13 95.75 100% 10.66 MAYOR 10.66

IMPACTO 5 4 SUPERIOR 3 MAYOR 2 IMPORTANTE 1 MENOR - INSIGNIFICANTE 0 RARA 123 4 5 POCO PROBABLE MEDIANAMENTE PROBABLE CASI CON PROBABLE CERTEZA PROBABILIDAD

Definición de controles.PASO 1. Establecer las causas para cada evento de riesgo.EVENTOS DE RIESGO RIESGO CAUSARecibir activos de origen ilícito. 8.25 No identificar plenamente los depósitos en cuentas concentradoras.Realización de transacciones 6.00 El proceso de mesa de control no está detectando lacon documentos falsos. documentación falsa.Relación con clientes o usuarios 11.00 Los expedientes de clientes no cuentan con las actasque abusan de las figuras constitutivas y poderes digitalizados. El sistema no permitesocietarias para ocultar LD. registrar la información de los socios y propietarios reales.Relación o transacciones con 13.00 La matriz de riesgos no considera actualmente la edad oprestanombres. antigüedad como elemento de riesgo, ni el régimen fiscal.Relación con empresas fachada. 9.00 No se están realizando las investigaciones correspondientes para verificar la operación real de los clientes.

MITIGANTES DE RIESGOCapacitaciónEstructuras InternasControl InternoGobierno CorporativoAdministración de riesgosCriterios, medidas, políticas y procedimientos.Sistemas automatizados

Definición de controles.PASO 2. Establecer el control para cada evento de riesgo, así como su tratamiento.EVENTOS DE RIESGO RIESGO CONTROLRecibir activos de origen ilícito. 8.25 Establecer mecanismos para identificar el 100% de los depósitos en cuentas concentradoras.Realización de transacciones 6.00 Establecer mecanismos para cotejar las fechas de constitución ycon documentos falsos. registro y datos en el SAT.Relación con clientes o usuarios 11.00 Modificar el sistema para carga digital de actas y poderes.que abusan de las figuras Modificar el sistema para crear expedientes de propietariossocietarias para ocultar LD. reales, proveedores de recursos y beneficiarios.Relación o transacciones con 13.00prestanombres. Implementar matriz de riesgo que permita evaluar en riesgo superior a aquellas personas jóvenes sin registro fiscal yRelación con empresas fachada. 9.00 aparezcan como socios de empresas. Fortalecer el proceso de investigación a personas morales que sean de reciente creación, con socios jóvenes y sin RFC.

Definición de controlesPASO 3. Clasificación de cada tipo de control y evaluación. CONTROL CLASE TIPO ESTADO TRATAMIENT TIEMPO COSTO O 3Establecer mecanismos para identificar el 100% de SEMI- DETECTIVO EN DESARROLLO MITIGAR 2los depósitos en cuentas concentradoras. AUTOMÁTICOEstablecer mecanismos para cotejar las fechas de MANUAL PREVENTIVO EN DESARROLLO MITIGAR 1 2constitución y registro y datos en el SAT. 3 4 3 4Modificar el sistema para carga digital de actas y 2 2poderes. Modificar el sistema para crear expedientes AUTOMÁTICO PREVENTIVO NO EXISTE MITIGARde propietarios reales, proveedores de recursos ybeneficiarios.Implementar matriz de riesgo que permita evaluar PREVENTIVO NO EXISTE MITIGARen riesgo superior a aquellas personas jóvenes sin AUTOMÁTICOregistro fiscal y aparezcan como socios de empresas.Fortalecer el proceso de investigación a personas SEMI- PREVENTIVO EN DESARROLLO MITIGARmorales que sean de reciente creación, con socios AUTOMÁTICOjóvenes y sin RFC.* Asignar valores de 1 a 5 para inversión de tiempo y costo.

Implementación• Con el diseño de controles y su calificación se trazará el plan de implementación de los mismos.• Posteriormente, su evaluación corresponderá a la etapa de valoración de la gestión de riesgos de lavado de dinero y financiamiento al terrorismo.

Macroproceso del sistema de administraciónde riesgo de LD/FT1. Identificación 2. Medición 3. MitigantesSegmentación Identificación Medición Medición Medición Riesgo Eficacia Riesgo Control Residual InherenteSeguimiento de Monitoreo Acciones Transacciones Análisis de Seguimiento Diseño deOperaciones ControlesSospechosas MonitoreoReportes Controles