Contenido M03

ENFOQUE BASADO EN RIESGOS

• ¿Qué es un Riesgo? • ¿Qué tipos de riesgos conoces? • ¿A qué riesgos se enfrenta tu Entidad?

3. GUÍA DE ENFOQUE BASADO EN RIESGOS PARA EL SECTOR FINANCIERO

GENERALIDADES ✓ Guía publicada en 2014 ✓ Basada en los estándares del GAFI ✓ Dirigida a países, supervisores bancarios y bancos. ✓ Busca desarrollar medidas para mitigar los riesgos de LD y FT.

PROPÓSITOS: ✓ Principios que deben ponerse en práctica en la aplicación de un enfoque basado en riesgo de ALA/CFT. ✓ Colaborar con los países, las autoridades competentes y los bancos para el diseño y puesta en práctica. ✓ Contribuir para una supervisión y puesta en marcha efectiva de las medidas de mitigación nacionales. ✓ Complemento para la aplicación de las Recomendaciones.

COMPOSICIÓN DE LA GUÍA Dividida en Tres Secciones: 1. Enfoque Basado en Riesgo 2. Guía para Supervisores Bancarios 3. Guía para Bancos

SECCIÓN I: ENFOQUE BASADO EN RIESGO

GUÍA DE ENFOQUE BASADO EN RIESGOS PARA EL SECTOR FINANCIERO 2014 1. Principios que deben UNA MISMA IDEA: Busca 1. Asignación de responsabilidades en un EBR: ponerse en práctica en la identificar, evaluar y comprender Tomar en cuenta evaluaciones nacionales y tomar aplicación de un enfoque el riesgo de LD/FT al que están como partida lo legal y normativo, así como basado en riesgo de expuestos y mitigarlos. naturaleza, diversidad y madurez del sector ALA/CFT. financiero. UN NUEVO ENFOQUE: Permite Países, supervisores 2. Colaborar con los países, 3 secciones: adoptar medidas de control y 2. Identificación del riesgo de LA/FT: bancarios y bancos. las autoridades 1. Enfoque Basado en recursos de manera efectiva, Los países deben contar con mecanismos que competentes y los bancos Riesgo enfocando los esfuerzos de la faciliten el intercambio de información de los para el diseño y puesta en 2. Guía para Supervisores mejor manera posible. resultados de evaluación práctica. Bancarios 3. Guía para Bancos UNA APLICACIÓN ESTÁNDAR: 3. Evaluación del riesgo de LA/FT: 3. Contribuir para una Extender las medidas de control Implica que los países, autoridades competentes y supervisión y puesta en requeridas para nuevos sectores bancos, deberán determinar cómo los afectarán las marcha efectiva de las financieros y vulnerables, amenazas de LA/FT que han sido identificadas. medidas de mitigación siempre en función del grado nacionales. riesgo. 4. Mitigación del riesgo de LA/FT: Que se establezca cuál es la forma más eficaz de mitigar 4. Complemento para la el riesgo de LA/FT que han identificado. aplicación de las Recomendaciones. 5. Desarrollo de un entendimiento común de EBR: La eficacia de un EBR depende de un entendimiento común de las autoridades competentes y los bancos.

SECCIÓN II: GUÍA PARA SUPERVISORES

La Recomendación 26: Regulación y supervisión de las instituciones financieras* exige que los países sujeten a los bancos a una regulación y supervisión adecuadas de ALA/CFT. La NI R26 establece que los supervisores asignen recursos de supervisión a las áreas de mayor riesgo de LA/FT, partiendo de la base de que comprenden el riesgo de LA/FT de sus países y cuentan con acceso, tanto in situ como extra situ información relevante que contribuye a determinar el perfil de riesgo de un banco.

COMPRENSIÓN DEL RIESGO MITIGACIÓN DEL RIESGO SUPERVISIÓN DEL EBR • Los supervisores deben • Las Recomendaciones del GAFI • Los supervisores deberán entender los riesgos de LA/FT requieren que los supervisores contar con un equipo de que a los que está expuesto el asignen más recursos de pueda evaluar los procesos y sector bancario. supervisión a las áreas de controles adecuados al riesgo mayor riesgo de LA/ FT. del sector . • Debe tomar en cuenta la naturaleza y complejidad de FORMAS DE AJUSTAR EL • Realizar comparaciones entre los productos, el tamaño, ENFOQUE: los programas de ALA y CFT de modelo de negocio, sistemas los bancos y entender que no de gobierno corporativo, • Ajuste de la Intensidad de los siempre serán los mismos. canales de distribución, perfil Controles. de los clientes, localización • Los supervisores deberán geográfica entre otros. • Ajuste del tipo de supervisión verificar que su personal está (In situ o Extra situ). capacitado para determinar si • Parte de esta información los controles ALA/CFT son puede obtenerse a través de la • Ajuste de la frecuencia y adecuados o no. supervisión prudencial y otras naturaleza de la supervisión. Autoridades. • Lograr que el Enfoque de supervisión sea el mismo a nivel nacional. • Proporcionar guías para el cumplimiento.

SECCIÓN III: GUÍA PARA BANCOS

EVALUACIÓN DEL RIESGO MITIGACIÓN DE RIESGOS CONTROLES INTERNOS, GOBIERNO CORPORATIVO Y ▪ El banco entienda cómo y ▪ Los bancos deben desarrollar hasta qué punto es e implementar políticas y MONITOREO. vulnerable a LA/FT. procedimientos para mitigar los riesgos de LA/FT que han • Contar con controles internos ▪ Al identificar y evaluar el identificado a través de su adecuados es una condición riesgo de LA/FT al que están propia evaluación de riesgos. previa para la aplicación expuestos, los bancos deben eficaz de las políticas y considerar : ▪ DDC: identificación, procesos para mitigar el verificación, propósito e riesgo de LA/FT. ▪ La naturaleza, escala, índole de la relación diversidad y complejidad de comercial. • Gobierno Corporativo: implica su negocio. liderazgo sólido por parte de ▪ DDC en función del grado de la alta dirección, así como la ▪ Los mercados a los que se riesgo. designación de un oficial de dirige. cumplimiento competente a ▪ DDC continua o Monitoreo, a nivel gerencial. ▪ El número de clientes de alto los clientes. riesgo. • Monitoreo del cumplimiento ▪ Presentación de Informes a por parte del personal del ▪ Las jurisdicciones que la o las autoridades Banco con las políticas y regulan al banco correspondientes en caso de procedimientos, incluye: sospecha o fundamentos de reclutamiento, capacitación, ▪ Los canales de distribución. operaciones relacionadas a remuneración y evaluación de ▪ La auditoría interna. LA/FT. controles. ▪ El volumen y alcance de sus operaciones.

4. ADECUADA GESTIÓN DE LOS RIESGOS RELACIONADOS CON LD Y FT DEL COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA 2014

GENERALIDADES ▪ Guía publicada en 2014 ▪ Dirigida a Bancos ▪ Busca apoyar en la aplicación de los estándares del GAFI así como los principios del Comité de Basilea. ▪ Una sólida gestión del riesgo BC/FT tiene especial relevancia para la seguridad y solvencia generales de los bancos y del sistema bancario.

Consciente de los riesgos que asumen los bancos de ser utilizados, deliberadamente o no, en actividades delictivas, el Comité de Supervisión Bancaria de Basilea publica en esta guía las directrices sobre la forma en que los bancos deberán incluir el blanqueo de capitales (BC) y la financiación del terrorismo (FT) dentro de su gestión global del riesgo.

ELEMENTOS ESENCIALES DE UNA SÓLIDA GESTIÓN DEL RIESGO BC/FT De acuerdo con Principios básicos para una supervisión bancaria eficaz (2012), todos los bancos estarán obligados a: «Contar con políticas y procesos adecuados, incluidas estrictas reglas de debida diligencia con la clientela (CDD), para promover normas éticas y profesionales de alto nivel en el sector bancario e impedir que el banco sea utilizado, intencionalmente o no, con fines delictivos». (Principio 29)

ADECUADA GESTIÓN DE LOS RIESGOS RELACIONADOS CON LD Y FT DEL COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA 2014 Bancos y 1. Busca apoyar en la 1. Evaluación, comprensión, 1. Proceso global para la Los supervisores tienen el deber de supervisores aplicación de los gestión y mitigación de riesgos. gestión del riesgo de clientes. garantizar que los bancos aplican una estándares del GAFI así sólida gestión del riesgo BC/FT, no solo como los principios del 2. Políticas de aceptación de 2. Evaluación y gestión del para proteger su propia seguridad y Comité de Basilea. clientes. riesgo. solvencia, sino también la integridad 2. Una sólida gestión del 3. Identificación, verificación y 3. Intercambio de información del sistema bancario. riesgo BC/FT tiene elaboración del perfil de riesgo de dentro del grupo. especial relevancia para clientes y beneficiarios efectivo. la seguridad y solvencia 4. Grupos financieros mixtos. generales de los bancos 4. Seguimiento continuo. y del sistema bancario. 5. Gestión de la información. 6. Notificación de transacciones sospechosas y bloqueo de activos.

Elementos esenciales para una sólida gestión del riesgo 1. Evaluación y El banco deberá desarrollar y * Identificar y verificar El banco deberá dar un 1. Mantenimiento El banco deberá identificar, comprensión de los aplicar políticas y procedimientos la identidad del cliente. seguimiento de los de resgistros por al investigar y notificar transacciones riesgos. claros de aceptación de clientes clientes y de sus menos 5 años. * Conocer al sospechosas a la unidad de 2. Mecanismos de conforme al nivel de riesgo y Beneficiario efectivo. transacciones, así como inteligencia financiera. Además, Gobierno adecuados. exigir una DDC básica con todos una vigilancia respecto a * No iniciar relación u sus productos o servicios 2. Actualización de deberá utilizar las listas oficialmente 3. Las 3 líneas de los clientes y una DDC operación si no se con el fin de identificar y la información. publicadas antes de iniciar la defensa (Unidades de proporcionada conforme varíe el cumple con DDC. Negocio, Responsable mitigar patrones de relación comercial con clientes. ejecutivo, Auditoría nivel de riesgos asociados al riesgo. interna) cliente. 3. Suministro de El Banco deberá de cumplir con las información a los medidas precautorias indicadas por 4. Adecuado supervisores. seguimiento de la autoridad. transacciones

CAPÍTULO II BIS

Actualización del Capítulo IIBis

Las Entidades, deberán diseñar e implementar una metodología para llevar a cabo una evaluación de Riesgos a los que se encuentran expuestas derivado de sus productos, servicios, Clientes, Usuarios, países o áreas geográficas, transacciones y canales de envío o distribución con los que operan. El diseño de la metodología deberá estar establecido en su Manual de Cumplimiento, o bien, en algún otro documento o manual elaborado por la Entidad, y deberá establecer y describir todos los procesos que se llevarán a cabo para la identificación, medición y mitigación de los Riesgos para lo cual deberán tomar en cuenta, los factores de Riesgo que para tal efecto hayan identificado, así como la información que resulte aplicable dado el contexto de cada Entidad contenida en la ENR y sus actualizaciones que la Secretaría les dé a conocer por conducto de la Comisión.

✓ Tratándose de Entidades que formen parte de grupos financieros deberán contemplar los resultados de las Entidades que la integren. ✓ Asimismo, las Entidades llevarán a cabo una evaluación de los Riesgos antes del lanzamiento o uso de nuevos productos, servicios, tipos de Clientes y/o Usuarios, países o áreas geográficas, canales de envío o distribución y transacciones. ✓ Las Entidades para el diseño de la metodología de evaluación de Riesgos deberán cumplir con lo siguiente: DISEÑO I. Identificar los elementos e indicadores asociados a cada uno de ellos que explican cómo y en qué medida se puede encontrar expuesta al Riesgo la Entidad, considerando al menos, los siguientes elementos: • Productos y servicios. • Clientes y Usuarios. • Países y áreas geográficas. • Transacciones y canales de envío o distribución vinculados con las Operaciones de la Entidad, con sus Clientes y con sus Usuarios.

II. Utilizar un método para la medición de los Riesgos que establezca una relación entre los indicadores y el elemento al que pertenecen, así como asignar un peso a cada uno de ellos de manera consistente en función de su importancia para describir dichos Riesgos. III. Identificar los Mitigantes que la Entidad tiene implementados al momento del diseño de la metodología, debiendo considerar todas las políticas, criterios, medidas y procedimientos internos del Manual de Cumplimiento, así como su efectiva aplicación, a fin de establecer el efecto que estos tendrán sobre los indicadores y elementos de Riesgo.

IMPLEMENTACIÓN: Las Entidades deberán implementar la metodología diseñada y obtener los resultados de la misma a fin de conocer los Riesgos a los que se encuentran expuestas. En la implementación de la metodología de evaluación de Riesgos, las Entidades deberán asegurarse de: ✓ Que no existan inconsistencias con sus sistemas automatizados. ✓ Utilizar, al menos, la información correspondiente al total del número de Clientes, número de operaciones y monto operado correspondiente a un periodo que no podrá ser menor a 12 meses. Cuando se detecte la existencia de mayores o nuevos Riesgos para las propias Entidades, estas deberán modificar, las políticas, criterios, medidas y procedimientos que correspondan, contenidos en el Manual de Cumplimiento, o bien, en algún otro documento o manual elaborado por la Entidad, a fin de establecer los Mitigantes que considere necesarios en función de los Riesgos identificados, así como para mantenerlos en un nivel de tolerancia aceptable de conformidad con lo establecido en el Manual de Cumplimiento.

✓ Las modificaciones a las políticas, criterios, medidas y procedimientos internos, derivadas de los resultados de la implementación, deberán realizarse en un plazo no mayor a 12 meses contados a partir de que la Entidad cuente con los resultados de su implementación y estar claramente identificadas y señaladas. ✓ El cumplimiento y resultados de las obligaciones contenidas en este Capítulo, deberán ser revisados y actualizados por las Entidades cuando se detecte la existencia de nuevos Riesgos, cuando se actualice la ENR, o en un plazo no mayor a 12 meses a partir de que la Entidad cuente con los resultados de su implementación. ✓ Dichas revisiones y actualizaciones deberán constar por escrito y estar a disposición de la Secretaría y de la Comisión, a requerimiento de esta última, dentro del plazo que la propia Comisión establezca.

✓ La Comisión podrá revisar y, en su caso, ordenar a las Entidades la modificación de su metodología de evaluación de Riesgos o de sus Mitigantes, así como solicitar un plan de acción para que adopten medidas reforzadas para gestionar y mitigar sus Riesgos. ✓ Las Entidades deberán conservar la información generada durante un plazo no menor a 5 años. ✓ Las Entidades deberán dar cumplimiento a todas las obligaciones contenidas en las presentes Disposiciones, en concordancia con los resultados que generen sus metodologías a las que se hace referencia en este Capítulo. ✓ La Comisión, previa opinión de la Secretaría, elaborará lineamientos, guías y/o mejores prácticas que las Entidades considerarán para el mejor cumplimiento.

GUÍA PARA LA ELABORACIÓN DE UNA METODOLOGÍA DE EVALUACIÓN DE RIESGOS EN MATERIA DE PREVENCIÓN DE OPERACIONES CON RECURSOS DE PROCEDENCIA ILÍCITA Y FINANCIAMIENTO AL TERRORISMO

DEFINICIONES RELEVANTES. • EVALUACIÓN NACIONAL DE RIESGOS (ENR): Ejercicio de autoevaluación que tiene como finalidad orientar la política de prevención y combate de riesgos que implican los delitos de LD/FT, para asignar los recursos a la mitigación de los mayores Riesgos identificados. • ELEMENTOS DE RIESGO: Factores genéricos que se observan en el desarrollo de la actividad de las Entidades y que pueden afectar en mayor o menor medida el riesgo al que están expuestos (clientes, países, productos, transacciones, ENR, etc.).

DEFINICIONES RELEVANTES. • INDICADORES: Conjunto de características específicas de Riesgo que permiten conocer y evaluar cómo y en que medida se puede encontrar expuesta la Entidad al Riesgo de LD/FT para cada uno de los ELEMENTOS DE RIESGO identificados. • METODOLOGÍA DE EVALUACIÓN DE RIESGOS: Conjunto de procesos para la identificación, medición y mitigación de los Riesgos de LD/FT, a los que está expuesta la Entidad.

OBJETIVO Señalar los criterios mínimos que la Entidad puede considerar para el cumplimiento del EBR, derivado de sus productos, servicios, prácticas y tecnologías.

ENFOQUE BASADO EN RIESGOS (EBR) Entender hasta que Permitir asignar Los delitos pueden punto es vulnerable. eficientemente recursos derivar de diferentes fuentes aunque hay y aplicar gestión de elementos de riesgo riesgos. más vulnerables. El riesgo asociado a los Los Indicadores varían elementos no es igual de una Entidad a otra. para todas las Entidades.

METODOLOGÍA DE EVALUACIÓN DE RIESGO Establece los procesos para identificación, medición y mitigación considerando Elementos e Indicadores. Proporcionar de manera integral la identificación, evaluación y entendimiento de los riesgos, de forma clara, concisa y organizada. Permite identificar el nivel de riesgo de la Entidad para la aplicación de procesos de gestión de riesgos.



FASE 1 DISEÑO Identificación de Elementos Medición de Riesgo Mitigantes de Riesgo e Indicadores Productos, Servicios, Clientes, Matriz de probabilidad e Gobierno Corporativo, Países, Transacciones y canales impacto. Administración de Riesgo, Control Interno, Estructuras, de envío. Sistemas, Políticas, Procedimientos, Capacitación.

1. IDENTIFICACIÓN DE ELEMENTOS DE RIESGO E INDICADORES ELEMENTOS DE RIESGO Productos y Servicios Características propias de cada servicio y producto con el que opera que faciliten la realización de operaciones de LD/FT. Incluyendo entre otras anonimato o falta de identificación del Cliente o Usuario o de alguna persona involucrada en la operación, productos de alto nivel de valor, productos o servicios que facilitan la transferencia de valor, etc. Cliente y/o Usuario *Física/moral/fideicomiso Países y áreas Geográficas *Edad/ Fecha de Constitución. *Nacional/ Extranjera. *Actividad económica/ giro mercantil. *Regímenes fiscales preferentes *Países con medidas deficientes en PLD/FT. *Países identificados como de mayor riesgo. *Áreas nacionales de Riesgo Alto. *Lista de Personas Bloqueadas. Transacciones y canales de *Canales de envío no presenciales (cajeros, medios electrónicos, etc.) envío vinculados con las Operaciones con *Instrumento monetario o medios de pago de Riesgo (efectivo en moneda Clientes/Usuarios. nacional o divisas, transferencias internacionales, documentos, tarjetas prepagadas, etc.)

2. MEDICIÓN DE RIESGO ✓ Selección de un método exhaustivo relacionado con los Indicadores y la asignación de importancia a cada uno en función de los Elementos de Riesgo. ✓ El método debe ser flexible, que permita realizar ajustes cuando la operación lo requiera. ✓ Debe participar la alta dirección, áreas operativas y de cumplimiento. ✓ Debe ser documentado de forma exhaustiva, clara, concisa y organizada. ✓ Se podrán asignar diversos rangos a cada indicador que representen la relación entre la probabilidad de que ocurra y el impacto.

EJEMPLOS: PROBABILIDAD IMPACTO RIESGO PONDERACION RGO POND 5.83 11% 0.65 POR TIPO DE OPERACIÓN 2.41 2.41 POR MONTO DE CRÉDITO 4.69 11% 0.52 2.17 2.17 5.53 11% 0.61 POR TIPO DE PRODUCTOS 2.35 2.35 4.96 11% 0.55 2.23 2.23 POR LOCALIDADES 4.91 11% 0.55 POR TAMAÑO DE CLIENTES 2.21 2.21 3.83 11% 0.43 TIPO DE MONEDA 1.96 1.96 4.76 11% 0.53 POR TIPO DE PERSONA 2.18 2.18 POR NACIONALIDAD 3.83 11% 0.43 POR MERCADO 1.96 1.96 POR INSTRUMENTOS MONETARIOS 4.95 11% 0.55 2.23 2.23 POR PERSONAS RELACIONADAS EN LISTAS 3.83 11% 0.43 1.96 1.96 - 0% - TOTALES 0.00 - 2.29 2.29 47.11 100% 5.23

PROBABILIDAD 5 4 CONSTANTE 3 MODERADO 2 OCASIONAL 1 POSIBLE IMPROBABLE - 2345 01 INSIGNIFICANTE MENOR CRÍTICO MAYOR CATASTRÓFICO IMPACTO

GUÍA PARA LA ELABORACIÓN DE UNA METODOLOGÍA DE EVALUACIÓN DE RIESGOS EN MATERIA DE PREVENCIÓN DE OPERACIONES CON RECURSOS DE PROCEDENCIA ILÍCITA Y FINANCIAMIENTO AL TERRORISMO 2019

Guía para la elaboración de una Metodología de evaluación de riesgos en materia de prevención de operación con recursos de procedencia Ilícita y financiamiento al terrorismo Marzo 2017 Septiembre 2019 Nace el Capítulo II Bis. Enfoque Basado en Riesgos. Las entidades ya deben contar con un informe de valoración, pero la autoridad detecta que aún hay fallas Se dio un plazo de 360 días (Bancos) y 450 días para en las metodologías revisadas. implementar la metodología. En marzo de 2019 se publican modificaciones y se da un En 2019 se cumplen los primeros 12 meses para valorar nuevo plazo a diciembre de 2019 para presentar una la metodología. metodología actualizada. En septiembre de 2019 se publica la Nueva Guía para la Metodología de EBR.



1. DISEÑO Indicadores específicos para Lavado de Dinero y para Financiamiento al Terrorismo. 1.- Identificación de los Elementos de Riesgo y sus correspondientes indicadores PRODUCTOS Y CLIENTES Y PAÍSES Y AREAS TRANSACCIONES Y SERVICIOS: Mayor USUARIOS: GEOGRÁFICAS: CANALES DE ENVÍO: especificación Se va: AV; Pers Mayor Separación de recuadro de c/Act. Comerciales. especificación en ejemplos en transacciones y ejemplo. Se adiciona: recuadro de Empresas de rec. ejemplo. canales. Creación.

2. MEDICIÓN INDICADORES: Relación entre Indicadores y su impacto en los elementos de riesgo. ELEMENTOS: Dar una ponderación de importancia a los elementos de riesgo. RIESGO DEL SUJETO SUPERVISADO: Probabilidad de ocurrencia de un evento LD/FT. Impacto por concentración del negocio. *Cambios en la probabilidad: Seguro; altamente probable; probable; poco probable; muy poco probable.

Efectividad por periodicidad, nivel de automatización, etc. Definir sobre que elementos de la medición recaen. Tipos de mitigantes contenidos Gobierno Corporativo Auditoría Estructuras Capacitación PLD/FT Internas

4. IMPLEMENTACIÓN Definición de un Riesgo Inherente y un Riesgo Residual una vez aplicados mitigantes. Adicionar riesgos dependiendo del resultado y mantenerlos en un nivel “tolerable”. Plan de trabajo para modificaciones al Manual de Cumplimiento (o adicionales de la entidad) no mayor a 12 meses. Verificación del resultado de la Implementación.

5. VALORACIÓN