SESION 5

Sesión 5

VI. Implementación: Divulgación ydocumentación1. Documentación del modelo.• Diagnóstico de Riesgos• Manual de procedimientos• Evidencia de creación y funcionamiento.• Registros de efectividad• Informes a autoridades.2. Reportes de operaciones internos y externos.3. Programa de capacitación.4. Divulgación.5. Sanciones.

VIDEO 6: Divulgación y documentación

1. Documentación delmodelo

Diagnóstico de RiesgosEl proceso debe ser documentado y dejar evidencia del desarrollodel mismo. El primer documento a integrar es el diagnóstico deriesgos puede ser tan extenso y detallado como lo requiera laentidad, pero al meno deberá incluir lo siguiente:1. Fecha de elaboración.2. Oficial de cumplimiento y/o miembros del CCC.3. Resultado de análisis FODA.4. Catálogos definidos.5. Tabla de calificación de eventos de riesgo.6. Gráfica de riesgo inherente por segmento (elemento de riesgo).7. Tabla de definición de controles.8. Gráfica de riesgo residual.9. Plan de prioridades para implementación de controles.

Manual de procedimientos“El diseño y los detalles de la Metodología de Evaluación de Riesgos,así como los procesos para su uso y validación, dada la actualizaciónperiódica de la misma, sería deseable que esté contenida en undocumento diferente al documento de políticas, criterios, medidas yprocedimientos internos a que se refieren las Disposiciones.” Guía deMetodología de Evaluación de Riesgos CNBV.• El documento referido deberá cumplir con los mismos estándares del documento de políticas, criterios, medidas y procedimientos internos a que se refieren las Disposiciones.• Debe incluir el criterio y procedimiento para cada punto a desarrollar.

Evidencia de creación y funcionamiento.• El manual detallará las políticas y procedimientos para diseñar, implementar y valorar la metodología de gestión de riesgos, en el manual se establece la receta.• El resultado documental de la aplicación del manual será un documento independiente y se conoce como la evidencia de creación y funcionamiento.

Puntos a incluir en la metodología.• Registros de efectividad: incluir dentro del manual de qué manera se documentarán los registros de efectividad. Los formatos para este seguimiento serán parte de los anexos.• Informes a autoridades: si bien la presentación de reportes se establece en el manual PLD/FT, es recomendable hacer referencia a este en el manual de metodología.

CapacitaciónLas disposiciones establecen un programa de capacitación anual, si lametodología incluye sólo esta capacitación referir al manual de PLD/FT,en caso de requerir un programa específico para la metodología,detallarla en el manual de metodología.

DIVULGACION• El manual debe incluir a quién se presentará esta información, cómo y cuando se presentará el contenido del manual de metodología y los reportes internos correspondientes.• Matriz de responsabilidades. Que resultado para quien lo guarda y cada cuando se actualiza.

Matriz RACIA cada tarea, actividad o grupo de tareas se le asigna uno de los roles RACIque se definen en la siguiente tabla: Este rol corresponde a quien efectivamente realiza la tarea. Lo más habitual es que exista sólo un encargado (R) por cadaR Responsible Responsable tarea; si existe más de uno, entonces el trabajo debería ser subdividido a un nivel más bajo, usando para ello las matrices RACI. Este rol se responsabiliza de que la tarea se realice y es elA Accountable Encargado que debe rendir cuentas sobre su ejecución. Sólo puede existir una persona que deba rendir cuentas (A) de que la tarea sea ejecutada por su encargado (R).C Consulted Consultado Este rol posee alguna información o capacidad necesaria para realizar la tarea. Este rol debe ser informado sobre el avance y los resultadosI Informed Informado de la ejecución de la tarea. A diferencia del consultado (C), la comunicación es unidireccional.

Ejemplo: RACI Actividad Director Oficial de Director DirectorAct 1 General Cumplimiento Promoción SistemasAct. 1.1Act. 1.2 A R RAct. 3 RAct. 4 I AR R I A A A

Control y custodia de documentosDOCUMENTO ENCARGADO CUSTODIA INFORMADO PRÒXIMA FRECUENCIA (SALIDAS) ACTUALIZACIÒN ACTUALIZACIÒNMatriz de OC Oficial de Director General, 1/8/2018 12 mesesriesgos Cumplimiento DireccionesCatálogos de OC Sistemas 1/8/2018 12 mesesriesgos

SancionesIndependientemente de las sanciones establecidas en el manual dePLD/FT se pueden incluir sanciones relacionadas con el manual de metodología.

2. Gestión de procesos

Entradas Elementos que conforman un proceso Salidas Secuencia InteracciónCriterios y MétodosRecursos necesarios Responsables

Proceso Criterio Procedimiento 1 Actividad 1 Entrada + Desarrollo + Salida - Criterio Procedimiento 2 Actividad 2 Responsable Criterio Procedimiento 3 Actividad 3 Actividad 1 Entrada + Desarrollo + Salida - Actividad 2 Responsable Actividad 3 Actividad 1 Entrada + Desarrollo + Salida - Actividad 2 Responsable Actividad 3 Entrada + Desarrollo + Salida - Responsable Entrada + Desarrollo + Salida - Responsable Entrada + Desarrollo + Salida - Responsable Entrada + Desarrollo + Salida - Responsable Entrada + Desarrollo + Salida - Responsable Entrada + Desarrollo + Salida - Responsable

Ejemplo: Criterio Definición de Actividad 1 Entrada + Desarrollo + Salida - eventos Actividad 2 Responsable Actividad 3Identificación Criterio Definición de Actividad 1 Entrada + Desarrollo + Salida - tablas de Actividad 2 Responsable Actividad 3 probabilidad e Actividad 1 Entrada + Desarrollo + Salida - impacto Actividad 2 Responsable Actividad 3 Criterio Calificación de Entrada + Desarrollo + Salida - eventos Responsable Entrada + Desarrollo + Salida - Responsable Entrada + Desarrollo + Salida - Responsable Entrada + Desarrollo + Salida - Responsable Entrada + Desarrollo + Salida - Responsable Entrada + Desarrollo + Salida - Responsable

Contenido mínimo de manual demetodología.1. Antecedentes2. Marco Legal.3. Objetivos4. Diseño a) Identificación b) Medición5. Implementación a) Actualizaciones al manual b) Evidencia de creación y funcionamiento. c) Capacitación d) Divulgación e) Sanciones6. Monitoreo7. Anexos8. Control de Cambios

Ejemplo de procedimiento Responsable Actividad Documento1 Oficial de Evalúa los segmentos de mayor riesgo Cumplimiento2 Oficial de Define los niveles de tolerancia Cumplimiento aceptable. Oficial de Identifica los controles que aplicará Cumplimiento para administrar, controlar y disminuir3 la probabilidad e impacto del riesgo inherente4 Oficial de Determina la efectividad del control Cumplimiento5 Oficial de Analiza el riesgo residual obtenido Cumplimiento

ACTIVIDADRealiza los ejercicios de lahoja TAR_5.7 del Archivode TAR.Actividades.xlsx

VII. Valoración: Seguimiento y monitoreo.1. Objetivo2. Autoevaluación.

VIDEO 7: Seguimiento y monitoreo

MONITOREODEL RIESGOConsiste en revisar la presencia yfuncionamiento de las diferentes etapasmediante actividades permanentes comoevaluaciones periódicas, independientes, etc.El propósito de esta etapa, es comparar laevolución del riesgo inherente con la del riesgoresidual, tanto en forma desagregada comoconsolidada.

Para efecto del monitoreo se debe tomar encuenta lo siguiente:▪ Hacer un seguimiento que facilite la rápida detección y corrección de deficiencias en cualquiera de las cuatro etapas.▪ Realizar un seguimiento del riesgo inherente y residual de LD/FT por cada factor de riesgo y consolidado; así como de la efectividad de los programas, políticas, normas, procedimientos y controles internos implementados.▪ Establecer señales de alerta descriptivas y prospectivas que indiquen potenciales fuentes de riesgo de LD/FT.

Como resultado de esta etapa la Entidad debe desarrollar reportesque permitan establecer la evolución del riesgo, la eficiencia yeficacia de los programas, políticas, normas, procedimientos ycontroles internos implementados.

Reto del monitoreo: obtener la información necesaria sin que cueste demasiado.❑ La información que usted tiene no es la información que usted quiere.❑ La información que usted quiere no es la información que usted necesita.❑ La información que usted necesita no es la información que usted puede obtener.❑ La información que usted puede obtener cuesta mas de lo que usted quiere pagar.Peter L. Bernstein.

• El propósito del Monitoreo no es producir informes, sino generar acciones preventivas, correctivas o de mejoramiento que se tomen respecto a la gestión de riesgos.• “Únicamente con identificar y medir los riesgos no se garantiza el que se minimicen las perdidas y se maximicen las oportunidades. Se requiere de u adecuado proceso de toma de decisiones que se complemente con la gestión de riesgos efectivos.”Bravo Mendoza, Oscar y Marleny Sánchez de Celiz. Gestión Integral de Riesgos.

EJEMPLO DE MONITOREO DEL RIESGO INHERENTENO. CONTROL RESPONSABLE GRADO DE FECHA DE GRADO DE RR RIESGO IMPLEMENTACIÓN MES 1 RESIDUAL1 Política de Identificación Oficial de 20/mayo/2017 2 Cumplimiento 2 por segmento de cliente. 22 Capacitación al personal Oficial de 18/julio/2017 2 Cumplimiento 1 de cara al público en relación a las actividades 4 vulnerables. 43 Adecuación del sistema Responsable de 20/noviembre/2017 2 Sistemas de detección y seguimiento de operaciones.4 Auditorías bimestrales Oficial de 01/junio/2017 4 Cumplimiento sobre los expedientes integrados en ese periodo.5 Implementar una mesa Director General 01/agosto/2017 4 de control dentro de la Entidad.

Temas que deberás analizar cuando valoresla eficiencia de la gestión de riesgos.• Resultados del proyecto.• Desempeño en tiempos.• Recursos utilizados.• Problemas que surgieron durante el proyecto.• Cambios realizados al proyecto inicial: objetivos, tiempos, presupuestos.• Cambios en el entorno inesperados.• Satisfacción de la dirección con los resultados.• Efectividad de la gestión de riesgos.• Lecciones aprendidas.

ACTIVIDADRealiza los ejercicios de lahoja TAR_5.8 del Archivode TAR.Actividades.xlsx

IX. Conclusiones

Macroproceso del sistema de administraciónde riesgo de LD/FT1. Identificación 2. Medición 3. MitigantesSegmentación Identificación Medición Medición Medición Riesgo Eficacia Riesgo Control Residual InherenteSeguimiento de Monitoreo Acciones Transacciones Análisis de Seguimiento Diseño deOperaciones ControlesSospechosas MonitoreoReportes Controles

Elementos de Riesgos Segmentados.CLIENTES PRODUCTOS CANALES JURISDICCIONES • Deben ser homogéneos al interior y heterogéneos entre ellos. • Sirven de base para construir señales de alerta y diseñar perfiles de riesgo. • Estos son los segmentos mínimos que exigen las disposiciones.

Relación de objetivos, eventos de riesgos, identificación y medición. PROBABILIDADOBJETIVOS EVENTO INHERENTE IMPACTO LEGAL FACTORES DE CONTROLES IMPACTO OPERATIVO RIESGO RESIDUAL PROBABILIDAD REPUTACIONAL CONTAGIO FACTORES DE RIESGO LEGAL OPERATIVO SEGMENTADOS REPUTACIONAL CONTAGIO

En conclusión. Diseñar ¿Cómo vamos a ¿Cómo vamos a ¿Cómo vamos a ¿QuéImplementar identificar los medirlos? controlarlos? herramientas y riesgos? Valorar formatos ¿Cómo lo utilizaremos? documentamos? ¿Cómo lo ¿Como ¿Cómo sabemos si lo aplicamos? Cuando, aprendemos a hicimos bien? quien, en qué hacerlo? formato. ¿Qué debemos ¿Còmo lo corregir? hacemos mejor?

¿Qué enfoque seguir en cada fase del proyecto?Fases Enfoque de Liderazgo Enfoque de DirecciònInicio del proyecto Crear y compartir visiones Realizar un análisis deOrganización y preparación y estrategias. costo beneficio.Desarrollo Obtener compromiso de Especificar objetivos, los participantes fechas y presupuestos. Motivar al equipo Monitorear y reportar el progreso y solucionarCierre de proyecto Reconocer y recompensar problemas. a los participantes del proyecto. Conducir evaluación post- proyecto.

ACTIVIDADRevisión de los resultadosde lahoja TAR_5.9 del Archivode TAR.Actividades.xlsx