Manual del Participante 5

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |2 Contenido5.1 Guía de Enfoque Basado en Riesgos para el Sector Bancario (GAFI) 35.1.1 Estructura 35.1.2 Sección I: El Enfoque Basado en Riesgo del GAFI para efectos de ALA/CFT 45.1.3 Sección II: Guía para supervisores 45.1.4 Sección III: Guía para bancos 75.2 Adecuada Gestión de los riesgos relacionados con el Blanqueo de capitales y laFinanciación del terrorismo del Comité de Supervisión Bancaria de Basilea de 2014 105.2.1 PBC/FT a escala de grupo y en un contexto transfronterizo 165.3 Guía para un Planteamiento Basado en el Riesgo en la Gestión del Riesgo de blanqueo deCapitales del grupo Wolfsberg 165.4 Sistema de Administración del Riesgo del Lavado de Activos y Financiamiento alTerrorismo (SARLAFT) 195.4.1 Riesgos Asociados al LA/FT 205.4.2 Etapas del SARLAFT 205.5 Norma ISO 31000:2009 265.5.1 Introducción 265.5.2 Estructura de la Norma 275.5.3 Comunicación y consulta 295.5.4 Establecer el contexto 295.5.5 Evaluación de Riesgos 305.5.6 Tratamiento del Riesgo 30Bibliografía32

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |35.1 Guía de Enfoque Basado en Riesgos para el Sector Bancario (GAFI)El enfoque basado en riesgo (EBR) es una parte fundamental para la aplicaciónefectiva de los “Estándares Internacionales Revisados del GAFI sobre la Lucha contrael Lavado de Activos y el Financiamiento del Terrorismo y la Proliferación”, mejor co-nocidos como “Las Recomendaciones”. El GAFI ha realizado una revisión de su guíasobre el enfoque basado en riesgo para el sector financiero con objeto de que éstaguarde relación con las nuevas recomendaciones del GAFI y refleje la experienciaque las autoridades públicas y el sector privado adquirieron durante la aplicacióndel enfoque basado en riesgo a lo largo de los años.La guía de Enfoque Basado en Riesgos para el Sector Bancario, fue elaborada por un GAFIgrupo de miembros del GAFI codirigido por el Reino Unido y México en conjuntocon representantes del Sector Privado, siendo adoptada por el GAFI en su SesiónPlenaria de octubre del 2014.La guía fue elaborada con los siguientes propósitos:• Preparar los principios que deben ponerse en práctica en la aplicación de un enfoque basado en riesgode Anti Lavado de Activos y Contra el Financiamiento al Terrorismo (ALA/CFT).• Colaborar con los países, las autoridades competentes y los bancos para el diseño y puesta en práctica de unenfoque basado en riesgo de ALA/CFT al compartir ejemplos y directrices generales de las prácticas actuales.• Contribuir para una supervisión y puesta en marcha efectiva de las medidas nacionales de ALA/CFT,centrándose en los riesgos y en las medidas de mitigación.• Sobre todo, fomentar el desarrollo de un entendimiento común en cuanto a lo que es el enfoque basadoen riesgo de ALA/CFT y lo que implica. 5.1.1 Estructura La Guía está dirigida a los países y a sus autoridades competentes, incluyendo a los supervisores bancarios. También está dirigida a los profesionales del sector bancario. Tiene presente el hecho de que un EBR toma como punto de partida el enfoque legal y normativo del país, así como su naturaleza, diversidad y madurez de su sector bancario y su perfil de riesgo. La guía está dividida en tres secciones:• La Sección I define al enfoque basado en riesgo (EBR), así como los elementos necesarios para su aplicación.• La Sección II ofrece una guía específica a los Supervisores Bancarios sobre una implementaciónefectiva de un EBR.• La Sección III ofrece una guía específica a los Bancos sobre una implementación efectiva de un EBR, asícomo sobre los controles internos, gobierno corporativo y monitoreo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |45.1.2 Sección I: El Enfoque Basado en Riesgo del GAFI para efectosde ALA/CFTEl Enfoque Basado en Riesgos (EBR) de Anti Lavado de Activos (ALA) / Contra el Financiamiento al Terroris-mo (CFT) significa que los países, autoridades competentes e instituciones financieras, deben identificar,evaluar y entender los riesgos en LA/FT a los que están expuestos y adoptar las medidas adecuadas paramitigar de manera efectiva dichos riesgos.Al evaluar estos riesgos, los países, autoridades competentes e instituciones financieras, deben analizar y tratarde entender la forma en que los riesgos identificados los afectan; de esta manera, la evaluación del riesgoproporciona una base para la aplicación sensible de medidas contra estos delitos.El EBR no es un enfoque infalible; habrá ocasiones en las que una institución haya tomado todas las medidasrazonables para identificar y mitigar los riesgos de ALA/CFT e incluso así, se le siga utilizando para los fines deLA/FT. Es importante mencionar que, un enfoque basado en riesgo no exime a países, autoridades competentese instituciones financieras de mitigar los riesgos de LA/FT si estos riesgos han sido evaluados como bajos.La aplicación de un Enfoque Basado en Riesgo, o RBA por sus siglas en inglés, no debe considerarse de apli-cación opcional, sino como un pre-requisito para una implementación efectiva de los estándares del GAFIpara control de actividad criminal.Elementos clave para entender el Enfoque Basado en Riesgo:I. Una misma idea: un EBR, busca identificar, evaluar y comprender el riesgo de LD/FT al que están expuestos(global, nacional y sectorial) para aplicar medidas de control enfocadas en mitigar adecuadamente el riesgo.II. Un nuevo enfoque: el EBR permite adoptar medidas de control y recursos de manera efectiva, enfocandolos esfuerzos de la mejor manera posible. Donde hay mayor riesgo, habrá medidas más estrictas o mayorcantidad/Calidad de recursos asignados al control específico.III. Una aplicación estándar: es necesario extender las medidas de control requeridas para nuevos sectoresfinancieros y vulnerables, en función del riesgo o abuso de éste por parte del crimen organizado. La autoridaddebe evaluar y supervisar la adecuada implementación de un EBR en los sectores obligados. 5.1.3 Sección II: Guía para supervisoresEsta segunda sección de la guía va dirigida para los supervisores de las Entidades Financieras en cada país,es decir, en nuestro caso, esta guía corresponde a la CNBV y cómo debe implementar un Enfoque Basadoen Riesgo.La Recomendación 26 del GAFI exige que los países sujeten a los bancos a una regulación y supervisiónadecuadas de ALA/CFT. La Nota Interpretativa de esta recomendación establece que los supervisores

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |5asignen recursos de supervisión a las áreas de mayor riesgo de LA/FT, partiendo de la base de que lossupervisores comprenden el riesgo de LA/FT de sus países y cuentan con acceso, tanto in situ¹ comoextra situ² del tipo de información relevante que contribuye a determinar el perfil de riesgo de un banco.Comprensión del RiesgoLos supervisores deben entender los riesgos de LA/FT a los que está expuesto el sector bancario, asícomo los riesgos de LA/FT asociados a los bancos y grupos bancarios, Los supervisores deben recurrir a unavariedad de recursos para identificar y evaluar los riesgos de LA/FT. En el caso de los riesgos sectoriales,pueden incluir, de forma no limitativa, las evaluaciones de riesgo de la jurisdicción nacional, las tipologíasnacionales o internacionales y la experiencia de supervisión, así como la retroalimentación de la Unidad deInteligencia Financiera (UIF).En el caso de los bancos, los supervisores deben tomar en cuenta el nivel de riesgo inherente incluyendo: • La naturaleza y complejidad de los productos y servicios del banco • Tamaño • Modelo de negocio • Sistemas de gobierno corporativo • Información financiera y contable • Canales de distribución • Perfiles de los clientes • Localización geográfica • Países de operación • Controles vigentes • Calidad de la política de gestión de riesgos • Funciones de supervisión internaUna parte de esta información puede obtenerse a través de la supervisión prudencial. Asimismo, la infor-mación de otros actores participantes del banco, como supervisores, la UIF y los organismos encargadosde hacer cumplir la ley también puede ser útil, los supervisores deben analizar su evaluación del riesgo deperfil en materia de LA/FT del sector y de los bancos periódicamente y, en todo momento, en caso de quelas circunstancias del banco cambien o surjan nuevas amenazas relevantes.Mitigación del RiesgoLas Recomendaciones del GAFI requieren que los supervisores asignen más recursos de supervisión a las áreas demayor riesgo de LA/ FT. Esto implica que los supervisores determinen la frecuencia e intensidad de las evaluacio-nes periódicas en función del nivel de riesgo de LA/FT al que el sector y los bancos individuales están expuestos.También significa que en aquellos casos en los que no sea factible una supervisión detallada de los bancospara identificar LA/CFT, los supervisores deben dar prioridad a las áreas de mayor riesgo ya sea en los bancosindividuales o en bancos que operan en un determinado sector.¹ En el propio lugar² Fuera de su lugar

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |6A continuación, se mencionan algunas formas en que las que los supervisores pueden ajustar su enfoque:• Ajuste de la intensidad de los controles que se requieren para llevar a cabo su función de autorizaciónRegular el nivel de información que necesitan cuando se trabaja para evitar que los delincuentes o sus cómplicescuenten con una parte significativa o mayoritaria de un banco. • Ajuste del tipo de supervisión en materia de ALA/CFTLos supervisores siempre deben contar con acceso tanto in situ como extra situ de toda la información pertinenterelacionada con riesgos y cumplimiento de normas.• Ajuste de la frecuencia y naturaleza de una supervisión continua en materia de ALA/CFTLos supervisores deben ajustar la frecuencia de las supervisiones de ALA/CFT realizadas de acuerdo con losriesgos identificados, y combinar los exámenes periódicos con una supervisión de ALA/CFT realizada confines específicos de acuerdo a indicadores que se vayan presentando.• Ajuste de la intensidad de la supervisión en materia de ALA/CFTLos supervisores deben determinar el alcance y/o nivel de evaluación apropiado en función de los riesgosidentificados, con el fin de evaluar la adecuación de las políticas y procedimientos que los bancos han diseñadopara evitar ser objeto de abusos.Supervisión del Enfoque Basado en RiesgosEnfoque General Los supervisores deberán contar con un equipo que pueda evaluar los procesos y controles adecuados al riesgo del sector y del apetito de riesgo individual de cada institución. También debe considerarse rea- lizar comparaciones entre los programas ALA/CFT de los bancos que proporcionarán un medio para hacerles ver la importancia de la calidad de los controles de un banco. Los supervisores deben, sin embargo, tener en cuenta que en el esquema de EBR, puede haber razones de peso que ocasionen que los controles de los bancos no sean siempre iguales: los supervisores deben contar con las herramientas necesarias que les permitan evaluar las diversas ventajas que implican estas diferencias, especialmente cuando se comparan con bancos que utilizan diferentes niveles de complejidad operativa.CapacitaciónLa nota interpretativa de la recomendación 26, establece que el personal de supervisión a cargo de vigilar quelos bancos pongan en práctica el EBR, debe entender el grado de discrecionalidad con que un banco cuentapara la evaluación y mitigación de sus riesgos de LA/FT.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |7En particular, los supervisores deben verificar que el personal ha sido capacitado para lograr que el personalde supervisión haga uso de su buen juicio para determinar si los controles anti lavado de activos y contra elfinanciamiento al terrorismo son los adecuados para el banco. También debe intentar lograr que el enfoquede supervisión llevado a cabo a nivel nacional sea el mismo, en caso de existir varias autoridades de controlcompetentes, o por el modelo de supervisión nacional.GuíaLos supervisores deberán hacer del conocimiento de los bancos sus expectativas de cumplimiento consus obligaciones legales y normativas, después de considerar su participación en un proceso de consultacon las partes interesadas correspondientes, también deben considerar proporcionar servicios de Guíaa los bancos sobre cómo cumplir con sus obligaciones jurídicas y normativas en cuanto a ALA/CFT enuna manera que fomente la inclusión financiera. También deberá fomentar la cooperación nacional para queexista una interpretación coherente entre autoridades. 5.1.4 Sección III: Guía para bancosEl Enfoque Basado en Riesgos en materia de ALA/CFT pretende $impulsar el diseño de medidas de prevención o mitigación quesean proporcionales a los riesgos identificados de LA/FT. En elcaso de los bancos, esto se aplica a la forma en que los bancosasignan sus recursos de cumplimiento, organizan sus controlesy estructuras internas, e implementan políticas y procedimien-tos para prevenir y detectar el LA/FT, incluyendo metodologías anivel de grupo cuando sea necesario.El Enfoque Basado en Riesgos en materia de ALA/CFT pretende impulsar el diseño de medidas de prevencióno mitigación que sean proporcionales a los riesgos identificados de LA/FT. En el caso de los bancos, esto seaplica a la forma en que los bancos asignan sus recursos de cumplimiento, organizan sus controles y es-tructuras internas, e implementan políticas y procedimientos para prevenir y detectar el LA/FT, incluyendometodologías a nivel de grupo cuando sea necesario.Es importante señalar que la banca abarca una amplia gama de productos y servicios financieros que suponendistintos riesgos de LA/FT según su naturaleza, por lo cual es un requisito que los bancos tomen en cuentaestas diferencias al momento de evaluar los riesgos de la Entidad.Evaluación del RiesgoLa evaluación del riesgo forma la base del EBR de un banco. Debe permitir que el banco entienda cómo y hastaqué punto es vulnerable a LA/FT. La evaluación de riesgos de un banco debe ser proporcional a la naturalezay alcance de las actividades del banco. En el caso de bancos más pequeños o menos complejos una evaluaciónde riesgos simple podría ser más que suficiente. Por el contrario, cuando los productos y servicios del bancoson más complejos o cuando existen múltiples filiales o sucursales que ofrecen una amplia variedad de produc-tos, y/o su base de clientes es más variada, se requerirá un proceso de evaluación de riesgo más sofisticado.Al identificar y evaluar el riesgo de LA/FT al que están expuestos, los bancos deben considerar una serie defactores entre los que se incluyen los que se mencionan a continuación:

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |8• La naturaleza, escala, diversidad y complejidad de su negocio;• Los mercados a los que se dirige;• El número de clientes que ya han sido identificados como de alto riesgo;• Las jurisdicciones que regulan al banco, ya sea a través de sus propias actividades o las actividades de susclientes, especialmente aquellas jurisdicciones con niveles relativamente altos de corrupción o participación conel crimen organizado, y/o controles poco satisfactorios en cuanto a ALA/CFT así como los incluidos en el GAFI;• Los canales de distribución;• La auditoría interna y los resultados de regulación;• El volumen y alcance de sus operacionesLos bancos deben complementar esta información con la información obtenida de fuentes internas yexternas pertinentes, como los son los directores de las empresas, gerentes de relaciones, evaluacionesnacionales de riesgo, las listas emitidas por organizaciones intergubernamentales internacionales y gobier-nos nacionales, las evaluaciones mutuas en materia de ALA/CFT y los informes de seguimiento del GAFI.Asimismo, los bancos deben revisar su evaluación periódicamente y también cuando sus circunstanciascambian o surgen nuevas amenazas relevantes.Mitigación del RiesgoLos bancos deben desarrollar e implementar políticas y procedimientos paramitigar los riesgos de LA/FT que han identificado a través de su propia eva-luación de riesgos. Los procesos de Debida Diligencia del Cliente (DDC)deben diseñarse para ayudar a los bancos a entender quiénes son sus clientesmediante la recopilación de información sobre lo que hacen y la razón porla que requieren los servicios bancarios. Las etapas iniciales del proceso deDDC deben diseñarse para ayudar a los bancos a evaluar el riesgo de LA/FTasociado con una relación comercial propuesta, determinar el nivel de DDCque debe aplicarse y disuadir a los individuos de establecer una relación denegocios para llevar a cabo actividades ilícitas.Con base en una visión integral de la información obtenida en el contexto de su aplicación de medidas de DDC,los bancos deberían poder preparar un perfil de riesgo del cliente. Esto determinará el nivel y tipo de moni-toreo continuo y sustentará la decisión del banco de concertar, continuar o terminar la relación comercial.Los perfiles de riesgo se pueden aplicar a nivel de cliente individual o, en el caso de grupos de clientes quecomparten ciertas características (por ejemplo, clientes con nivel de ingresos similares, o que realizan el mismotipo de operaciones bancarias). Este enfoque es particularmente relevante para los clientes de banca minorista.La DDC inicial comprende lo siguiente:• La identificación del cliente y, en su caso, el propietario real.• Verificación de la identidad del cliente a partir de información confiable e independiente, datos o docu-mentación al menos en la medida requerida por el marco legal y regulatorio aplicable.• Comprensión del propósito e índole prevista de la relación comercial y, en situaciones de mayor riesgo,obtener más información.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT |9DDC Continua/MonitoreoEl monitoreo permanente significa el escrutinio³ de las operaciones para determinar si éstas son consistentescon el conocimiento que el banco tiene del cliente y la naturaleza y propósito del producto bancario y de larelación comercial. El monitoreo también incluye la identificación de los cambios en el perfil del cliente(por ejemplo, su comportamiento, uso de los productos y cantidad de dinero involucrada), y mantener unregistro actualizado de tales cambios, lo que puede requerir la aplicación de medidas nuevas o adicionales deDDC. El monitoreo de las operaciones es un componente clave para la identificación de operaciones queson potencialmente sospechosas.Los bancos deben ajustar el alcance y profundidad de vigilancia de acuerdo con su evaluación del riesgoinstitucional y los perfiles de riesgo de cada cliente. Debe aplicarse un sistema de monitoreo reforzado parasituaciones de mayor riesgo, y al mismo tiempo, los bancos pueden optar por reducir la frecuencia e intensidadde los controles cuando los riesgos son menores. La adecuación de los sistemas de monitoreo y los factoresque llevan a los bancos a ajustar el nivel de monitoreo debe revisarse periódicamente para continuar siendorelevantes con el programa de riesgo de ALA/CFT del banco.Los bancos deben documentar y establecer claramente los criterios y parámetros utilizados para la seg-mentación de los clientes y para la asignación de un nivel de riesgo a cada uno de los grupos de clientes.Los criterios aplicados para determinar la frecuencia e intensidad de la vigilancia de los diferentes segmentosde clientes también deben ser transparentes. Con este fin, los bancos deberán documentar, conservar la infor-mación sobre los resultados del monitoreo y comunicarla de forma adecuada al personal involucrado, así comolas dudas que se hubiesen planteado y la forma en que fueron resueltas.InformesLa Recomendación 20 del GAFI demanda que los países exijan a sus bancos que si sospechan o cuentan confundamentos razonables para sospechar que los fondos son producto de un delito o están relacionados con elfinanciamiento del terrorismo, éstos deberán informar de sus sospechas de inmediato a la UIF correspondiente.Los bancos podrán indicar mediante una señal distintiva cualquier movimiento inusual de fondos u opera-ciones para su posterior análisis. Los bancos deberán contar con sistemas adecuados de gestión de casos a finde que dichos fondos u operaciones se analicen manera oportuna y se determine si los fondos o la operaciónson sospechosos.Los fondos u operaciones que son sospechosas deben reportarse inmediatamente a la UIF de la maneraestablecida por las autoridades competentes. Los procesos que los bancos utilizan para escalar las sospechasy, en última instancia, informar a la UIF, deben reflejar esto. Aunque las políticas y procesos que dan lugar a quelos bancos emitan una alerta de sospecha pueden aplicarse según el tipo de riesgo, el banco deberá informaruna vez que haya surgido la sospecha de LA/FT.Controles internos, gobierno corporativo y monitoreo.El Banco deberá contar con controles internos adecuados es una condición previa para la aplicación eficazde las políticas y procesos para mitigar el riesgo de LA/FT. Los controles internos incluyen acuerdos degobierno corporativo apropiados en los que es claro en quien recae la responsabilidad de en materia de ALA/CFT, así como de poner en práctica controles para monitorear la integridad del personal, de conformidad con ³ Examen o análisis exacto y minucioso que se hace de algo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 10la legislación local aplicable, en especial en situaciones transfronterizas y de evaluación nacional de riesgos,de cumplimiento y controles para comprobar la eficacia general de las políticas y procesos del banco paraidentificar, evaluar y controlar los riesgos.Gobierno CorporativoLa acertada aplicación y eficaz operación de un EBR en materia de ALA/CFT depende de un liderazgo sólidopor parte de la alta dirección así como de la supervisión del desarrollo y aplicación del EBR en todo el banco.La alta dirección debe considerar varias maneras de apoyar iniciativas en materia de ALA/CFT: • Promover el cumplimiento como un valor central del banco. • Implementar mecanismos adecuados de comunicación interna en relación con los riesgos reales o probables de LA/FT que enfrenta el banco. • Decidir sobre las medidas que se requieren poner en práctica para mitigar los riesgos de LA/FT identificados y sobre el grado de riesgo residual que el banco está dispuesto a aceptar. • Conformar de forma adecuada los recursos de la Unidad de ALA/CFT del banco. Monitoreo del CumplimientoUn ambiente de control interno del banco debe ser conducente para asegurar la integridad, competencia y cum-plimiento del personal con las políticas y procedimientos relevantes. Las medidas relevantes de los controlesde ALA/CFT deben ser consistentes con el más amplio conjunto de controles implementados para la atenciónde riesgos de negocios, financieros y operativos.La Recomendación 18 del GAFI, en su NI 18, requiere que los países soliciten a los bancos nombrar a unoficial de cumplimiento a un nivel gerencial. Adicionalmente a proporcionar asesoría al personal relevantepara el cumplimiento de sus obligaciones, su rol será de monitorear y asesorar los riesgos de LA/FT a travésdel banco así como de la aplicación adecuada y efectividad de las medidas implementadas por el banco parala mitigación de riesgos.El oficial de cumplimiento debe entonces tener la necesaria independencia, autoridad, nivel, recursos yexperiencia para llevar a cabo estas funciones de forma efectiva, incluyendo la habilidad para tener acceso atoda la información interna (incluyendo a través de líneas de negocio, y sucursales bancarias y subsidiarias). 5.2 Adecuada Gestión de los riesgos relacionados con el Blanqueo de ca- pitales y la Financiación del terrorismo del Comité de Supervisión Bancaria de Basilea de 2014Consciente de los riesgos que asumen los bancos de ser utilizados, deliberadamente o no, en actividades de-lictivas, el Comité de Supervisión Bancaria de Basilea publica en esta guía las directrices sobre la forma enque los bancos deberán incluir el blanqueo de capitales (BC) y la financiación del terrorismo (FT) dentrode su gestión global del riesgo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 11 El Comité se comprometió hace tiempo a promover la apli- cación de sólidas políticas y procedimientos de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo (PBC/FT), publicando los Principios básicos para una su- pervisión bancaria eficaz (revisados en 2012), cuyo Princi- pio 29 está dedicado a la utilización abusiva de servicios financieros. Asimismo, el Comité apoya la adopción de las normas emitidas por el Grupo de Acción Financiera Inter- nacional (GAFI), incluso haciendo referencias cruzada a sus recomendaciones en esta guía. Una sólida gestión del riesgo BC/FT tiene especial relevancia para la seguridad y solvencia generales de los bancos y del sistema bancario, por tanto si esta no es suficiente o correcta, plantea graves riesgos a los bancos, en especial riesgos de re- putación, operacional, de cumplimiento y de concentración, cabe señalar que todos estos riesgos están relacionados entre sí.La guía fue publicada en Enero de 2014 está dirigida principalmente específicamente a bancos, gruposbancarios y supervisores bancarios, debe leerse en conjunto con los “Las 40 Recomendaciones del GAFI” y“Principios Básicos para una Supervisión Bancaria Eficaz”, en éstos últimos se encuentra el requisito elementalpara implementar un Sistema de Gestión de Riesgos, es decir, todos los bancos estarán obligados a «contarcon políticas y procesos adecuados, incluidas estrictas reglas de debida diligencia con la clientela (CDD),para promover normas éticas y profesionales de alto nivel en el sector bancario e impedir que el banco seautilizado, intencionalmente o no, con fines delictivos».Gestión del Riesgo1.- Evaluación, comprensión, gestión y mitigación de riesgos(a) Evaluación y comprensión de los riesgosUna sólida gestión del riesgo exige la identificación y el análisis de los riesgos BC/FT presentes en el banco,así como el diseño y la eficaz aplicación de políticas y procedimientos acordes con los riesgos identificados.Al realizar un análisis integral del riesgo el banco deberá considerar todos los factores de riesgo relevante,inherente y residual, a escala nacional, sectorial, bancaria y de relación comercial para determinar su perfil deriesgo y el adecuado nivel de mitigación que se aplicará.(b) Mecanismos de gobierno adecuadosUna eficaz gestión del riesgo BC/FT exige unos mecanismos de gobierno adecuados, conforme se describe enlas pertinentes publicaciones previas del Comité. En particular, el requisito de que el Consejo de Administra-ción apruebe y supervise las políticas en materia de riesgos, gestión del riesgo y cumplimiento es totalmenterelevante en el contexto del riesgo BC/FT, así como comprender claramente los riesgos BC/FT.El Consejo de Administración deberá asignar las competencias explícitas teniendo realmente en cuenta la es-tructura de gobierno del banco para garantizar la gestión eficaz de las políticas y procedimientos de la entidad.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 12El Consejo de Administración y la alta dirección deberán nombrar un responsable ejecutivo de PBC/FT.(c) Las tres líneas de defensa1. Las Unidades de Negocio (por ejemplo, las actividades de cara al público y en contacto directo con losclientes) constituyen la primera línea de defensa encargada de identificar, evaluar y controlar los riesgos desus actividades. Estas unidades deberán conocer y aplicar las políticas y procedimientos y disponer de recursossuficientes para realizar eficazmente estas tareas.El banco deberá disponer de políticas y procesos adecuados para seleccionar a su personal, presente y futuro,a fin de garantizar unos elevados principios éticos y profesionales. Todos los bancos deberán implantar pro-gramas de formación del personal de modo que sus empleados estén adecuadamente capacitados para aplicarlas políticas y procedimientos PBC/FT de la entidad.2. Responsable Ejecutivo de PBC/FT deberá hacerse responsable de un seguimiento continuo del cumplimientode todas las obligaciones en materia de PBC/FT por parte del banco. Esto implica la verificación por muestreodel cumplimiento de la normativa y un examen de los informes de anomalías para alertar a la alta dirección oal Consejo de Administración si se considera que la dirección no está aplicando los procedimientos PBC/FTde forma Responsable.El responsable ejecutivo de PBC/FT deberá ser el contacto para todas las cuestiones en esa materia de lasautoridades internas y externas, incluidas las autoridades supervisoras o las unidades de inteligenciafinanciera (FIU). El responsable ejecutivo de PBC/FT también podrá desempeñar la función de director deriesgos, director de cumplimiento o equivalente y también deberá atribuírsele la responsabilidad de notificarlas transacciones sospechosas.3. La auditoría interna, la tercera línea de defensa, desempeña una función importante al evaluar de formaindependiente la gestión y los controles del riesgo, rindiendo cuentas al comité de auditoría del Consejo de Ad-ministración o un órgano de vigilancia similar mediante evaluaciones periódicas de la eficacia del cumplimientode las políticas y procedimientos PBC/FT.El banco deberá implantar políticas para la realización de auditorías sobre: I. La adecuación de las políticas y procedimientos PBC/FT del banco para tratar los riesgos identificados. II. La eficacia de la aplicación de las políticas y procedimientos del banco por parte del personal. III. La eficacia de la vigilancia del cumplimiento y del control de calidad, incluyendo parámetros o criterios de alerta automática. IV. La eficacia de los programas de formación del personal relevante del banco.La alta dirección deberá garantizar que a las funciones de auditoría se les asigna personal experto en la materia y conla experiencia adecuada para realizar dichas auditorías, así como que el alcance y la metodología de las auditorías seadecuan al perfil de riesgo del banco y que la frecuencia de dichas auditorías depende asimismo del riesgo.En numerosos países, los auditores externos también desempeñan una importante función al evaluar loscontroles y procedimientos internos de los bancos en el curso de sus auditorías financieras, y al confirmar quecumplen las regulaciones y prácticas de supervisión en materia de PBC/FT. En el caso de que el Banco decidaauditarse de manera externa, deberá garantizar que la auditoria se adecue al grado de riesgo de la Entidad.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 13(d) Adecuado sistema de seguimiento de transacciones El banco deberá disponer de un sistema de seguimiento acorde con su tamaño, sus actividades y compleji-dad, así como con los riesgos presentes en la entidad. En la mayoría de los bancos, especialmente en aquélloscon actividad internacional, un seguimiento eficaz requerirá probablemente la automatización del proceso deseguimiento. Éste deberá incluir todas las cuentas de los clientes del banco y todas las transacciones en lasque esos clientes sean ordenantes o beneficiarios. Este sistema deberá permitir al banco realizar un análisis detendencias con los datos de transacciones e identificar relaciones comerciales y transacciones anómalas conel fin de prevenir BC o FT.Este sistema deberá ser capaz de ofrecer información fidedigna a la alta dirección sobre ciertos aspectos cru-ciales, incluidos cambios en el perfil de las transacciones realizadas por los clientes. Para elaborar el perfildel cliente, el banco deberá incorporar la información CDD actualizada, completa y fidedigna facilitada porel cliente. La auditoría interna también deberá evaluar el sistema TI para garantizar que es adecuado y que laprimera y segunda líneas de defensa lo utilizan eficazmente.2. Política de aceptación de clientesEl banco deberá desarrollar y aplicar políticas y procedimientos claros de aceptaciónde clientes para identificar los tipos de clientes susceptibles de plantear un mayorriesgo de BC y FT conforme a la evaluación de riesgos del banco. Con la finalidad dedeterminar cuál es el nivel de riesgo total y las oportunas medidas a adoptar para ges-tionar esos riesgos. Al evaluar el riesgo, el banco deberá tener en cuenta los factorespertinentes a la situación, como: • Antecedentes del cliente • Ocupación (incluido si ocupa un puesto relevante en el sector público o privado) • Fuentes de renta y riqueza, su país de origen y de residencia (cuando difieran) • Productos utilizados • Naturaleza y finalidad de sus cuentas • Cuentas vinculadas • Actividades comerciales • Otros indicadores de riesgo relacionados con el clienteEsas políticas y procedimientos deberán exigir una diligencia debida básica con todos los clientes y una dili-gencia debida proporcionada conforme varíe el nivel de riesgo asociado al cliente. Cuando los riesgos seanmás elevados, los bancos deberán adoptar una diligencia debida reforzada podrá ser esencial en el casode un particular que planee mantener un importante saldo en cuenta y realice regularmente transferenciaselectrónicas transfronterizas o en el de una persona del medio político (PEP) o en el caso de PEP extranjeras.3.- Identificación, verificación y elaboración del perfil de riesgo de clientes y beneficiarios efectivos.El banco deberá implantar un procedimiento sistemático para identificar y verificar a sus clientes y,cuando proceda, a cualquier persona que actúe en nombre de aquéllos y de cualquier beneficiario efec-tivo. La identidad de clientes y beneficiarios efectivos, así como de las personas que actúen en nombrede aquéllos, deberá verificarse mediante documentos, datos o informaciones fiables e independientes.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 14Cuando se recurra a documentos, el banco deberá tener presente que los mejores documentos para verificarla identidad son aquéllos más difíciles de obtener ilícitamente o falsificar.Si bien el proceso de identificación y verificación del cliente tiene lugar al comienzo de la relación o antes derealizarse una transacción bancaria ocasional, el banco deberá utilizar esa información para familiarizarse conel perfil y la conducta del cliente. Con esta política el banco podrá elaborar los perfiles de riesgo de cada unode sus clientes los cuales facilitarán la identificación de cualquier actividad en las cuentas que se desvíe dela actividad o conducta que sería considerada «normal» para un determinado cliente o categoría de clientes yque podría considerarse anómala, o incluso sospechosa.Cuando el banco sea incapaz de completar las medidas CDD, no deberá abrir la cuenta, iniciar relacionescomerciales o realizar la transacción. El banco no deberá abrir una cuenta ni realizar negocios con un clienteque insista en el anonimato.4.- Seguimiento continuoEl seguimiento continuo constituye un aspecto esencial de una sóli-da y eficaz gestión del riesgo BC/FT. El banco solo puede gestionareficazmente sus riesgos si conoce la actividad bancaria razonable ynormal de sus clientes y puede de ese modo identificar transaccionesintentadas y anómalas que trascienden los patrones habituales de laactividad bancaria.Deberá realizarse un seguimiento continuo de todas las relacionescomerciales y transacciones, aunque el alcance de este seguimientodeberá estar en función del riesgo identificado en la evaluación deriesgos realizada por el banco y en sus labores de CDD. El seguimien-to de los clientes o transacciones de alto riesgo deberá reforzarse.El banco no solo deberá realizar un seguimiento de sus clientes y delas transacciones de éstos, sino también una vigilancia transversalde los productos o servicios con el fin de identificar y mitigar lospatrones de riesgo emergentes.Todos los bancos deberán disponer de sistemas para detectar transacciones o patrones de actividad anómaloso sospechosos. Al diseñar escenarios para identificar dichas actividades, el banco deberá considerar el perfilde riesgo del cliente elaborado a partir de la evaluación de riesgos de la entidad, la información recabada en suslabores de CDD y otra información procedente de agencias policiales y otras autoridades en su jurisdicción.5.- Gestión de la Información(a) Mantenimiento de registrosEl banco deberá garantizar el registro de toda la información recabada en el contexto de CDD. Esto incluye (i)el registro de los documentos facilitados al banco al verificar la identidad del cliente o del beneficiario efectivoy ii) la transcripción en los propios sistemas TI del banco de la información CDD relevante contenida en dichosdocumentos u obtenida por otros medios.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 15(b) Actualización de la informaciónMantener la información actualizada contribuirá a que el banco vigile eficazmente las actividades anómalas osospechosas en la cuenta.(c) Suministro de información a los supervisoresEl banco deberá ser capaz de demostrar a sus supervisores, a requerimiento de éstos, la adecuada implementaciónde las medidas PBC/FT definidas anteriormente.6. Notificación de transacciones sospechosas y bloqueo de activos(a) Notificación de transacciones sospechosasEl seguimiento y análisis continuo de cuentas y transacciones permitirá a los bancos identificar actividadessospechosas y notificar con rapidez transacciones auténticamente sospechosas. Una vez que se sospecha de unacuenta o relación, además de notificar la actividad sospechosa, el banco deberá garantizar la adopción de medidasoportunas para mitigar adecuadamente el riesgo de que el banco sea utilizado en actividades delictivas.(b) Bloqueo de activosEl banco deberá ser capaz de identificar y cumplir las decisiones de bloqueo de fondos adoptadas por la auto-ridad competente y bajo ningún motivo deberá mantener relaciones con entidades o individuos designados.Todos los bancos deberán contar con sistemas para detectar transacciones prohibidas y podrán adoptar sistemas dedetección automática adecuados a sus fines. El banco deberá bloquear sin demora y sin previo aviso los fondos uotros activos de personas o entidades designadas, con arreglo a la legislación y regulación aplicables.Adecuada gestión de riesgos del Comité de Basilea Evaluación, comprensión, gestión y mitigación de Riesgos Notificación de Política de aceptacióntransacciones sospechosas de Clientes y bloqueo de activosGestión de la Información Identificación, verificación y elaboración del perfil de riesgo de clientes y beneficiarios efectivos Seguimiento continuo

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 165.2.1 PBC/FT a escala de grupo y en un contexto transfronterizo 5.3 Guía para un Planteamiento Basado en el Riesgo en la Gestión del Riesgo de blanqueo de Capitales del grupo WolfsbergEl Grupo Wolfsberg opina que esta Guía apoyará la gestión del riesgo y ayudará a las entidades a la hora deestablecer criterios de negocio respecto a sus clientes. No existe ninguna metodología universalmente acor-dada y aceptada por gobiernos e instituciones que prescriba la naturaleza y el alcance de un planteamientobasado en el riesgo.Por consiguiente, esta Guía pretende coordinar unas consideraciones pertinentes que pueden resultar útilespara las instituciones a la hora de desarrollar y adoptar un planteamiento prudentemente diseñado basadoen el riesgo. Cada entidad debe determinar los elementos específicos de su propio proceso basado en el riesgo,fundamentados en las transacciones de la entidad en cuestión.Un planteamiento prudente basado en el riesgo permite a las entidades identificar los criterios para medirlos potenciales riesgos de blanqueo de capitales. La identificación de los riesgos de blanqueo referentes aclientes y transacciones permitirá a las entidades determinar e implantar medidas y controles proporcio-nados para mitigar dichos riesgos. En el caso de algunos clientes, puede que el riesgo sólo se manifieste unavez que el cliente haya comenzado a realizar transacciones en la cuenta, haciendo que el seguimiento de lastransacciones del cliente sea un componente fundamental de un planteamiento basado en el riesgo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 17Los riesgos de blanqueo de capitales pueden medirse mediante la aplicación de distintas categorías, que puedenmodificarse por variables de riesgo. Los criterios de riesgo más frecuentemente usados son:• Riesgo-país• Riesgo del cliente• Riesgo de serviciosAl valorar el riesgo global del blanqueo potencial, el peso concedido a estas categorías de riesgo – individualmenteo en su conjunto – estará a discreción de cada entidad.Variables de RiesgoLa determinación del nivel de riesgo que represente un cliente determinado para una entidad implica ciertogrado de criterio. Por consiguiente, la metodología de un planteamiento basado en el riesgo de una entidadpuede también tener en cuenta variables de riesgo adicionales, específicas de un determinado cliente otransacción, las cuáles pueden incluir: • El nivel de los activos que deposite un cliente determinado, o el volumen de las operaciones realizadas. • El nivel de regulación u otro régimen de supervisión o gobierno a que se someta el cliente. • La regularidad o duración de la relación. • Estar familiarizado con una jurisdicción, incluyendo el conocimiento de las leyes y normas locales, ade- más de la estructura y el alcance de la supervisión reguladora, como resultado de las propias operaciones de la entidad dentro de la jurisdicción. • El uso por los clientes de vehículos corporativos intermedios u otras estructuras sin ningún fundamento claro de índole comercial o de otro tipo, o que aumenten innecesariamente la complejidad de la operación o de otra manera resulten en una falta de transparencia para la entidad financiera.Medidas y Controles para Situaciones de Mayor Riesgo Las entidades financieras deben diseñar e implantar medidas y controles adecuados para mitigar los riesgos potenciales de blanqueo de capitales de aquellos clientes que se consideren de mayor riesgo como resultado del procedimiento de valoración de riesgo de la entidad. Se pueden incluir uno o más de los siguientes controles y medidas: • Mayor conocimiento por la entidad de situaciones de mayor riesgo dentro de las líneas de negocio en toda la entidad • Incremento de los niveles de conocimiento del cliente o mejora de la “debida diligencia”. • Aprobación escalada para el establecimiento de una cuenta o relación; • Mayor seguimiento de las transacciones; • Incremento de los niveles de controles continuos y revisiones de las relaciones con los clientesA menudo, los mismos controles y medidas abordarán más de uno de los criterios de riesgo identificados, yno se espera necesariamente que una entidad establezca controles específicos para todos y cada uno de los

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 18criterios de riesgo indicados en esta Guía. Los principios y directrices del Grupo Wolfsberg proporcionanuna guía más detallada sobre los adecuados controles y medidas incrementados que se pueden iniciar paraclientes de mayor riesgo.Riesgo- PaísEn los factores que podrían determinar sí un país presenta mayor riesgo se incluyen: 1. Países sometidos a sanciones, embargos o medidas similares por la autoridad. (Ej. ONU) 2. Países identificados por el Grupo de Acción Financiera (GAFI) como indispuestos a colaborar en la prevención de lavado de dinero o que no cuentan con las leyes y normas adecuadas en el tema. 3. Países identificados, por fuentes fiables, que están involucrados en el financiamiento al terrorismo. 4. Países identificados, por fuentes fiables, de estar involucrados en corrupción y otra actividad criminal.Riesgo de clienteSe han identificado a las siguientes clases de clientes como los que tienen mayor probabilidad de presentarriesgos potenciales en lavado de dinero: 1. Fabricantes, traficantes e intermediarios de armas. 2. Negocios de dinero en efectivo: casas de cambio, casinos u otros juegos de azar, actividades que generen grandes cantidades de efectivo. 3. Asociaciones benéficas no reguladas. 4. Comerciantes de bienes de alto valor. 5. Cuentas mantenidas por terceros. 6. Personas políticamente expuestas.Riesgo de serviciosPuede también servir de ayuda en la valoración global del riesgo de blanqueo de capitales la determinaciónde los riesgos presentados por los servicios ofrecidos por una entidad financiera. Cuando se determinen losriesgos de lavado de dinero, se deben considerar los siguientes factores: 1. Servicios identificados por reguladores como riesgo potencial: Banca de Corresponsales Internacionales y Banca Internacional. 2. Servicios con implicación de negociación y entrega de billetes de banco o metales preciosos.FormaciónLa formación de los empleados implicados dentro de la entidad financiera juega un papel imprescindibleen la implantación acertada de cualquier planteamiento de la gestión de posibles riesgos de blanqueo basadoen el riesgo. Todos los empleados implicados deben conocer y entender el entorno legal y regulador en queoperen, con inclusión de las disposiciones pertinentes en materia de prevención de blanqueo, además de lasmedidas propias de la entidad para dar efecto a su planteamiento basado en el riesgo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 19ConclusiónEsta Guía no pretende impedir que las entidades financieras negocien con un cliente simplemente por la posiblecondición de mayor riesgo de éste. Más bien, se ha diseñado para ayudar a las entidades en la identificaciónde situaciones en que podría resultar conveniente la implantación de medidas y controles adicionales. In-cluso con el uso de un planteamiento razonablemente diseñado basado en el riesgo, es posible que una entidadfinanciera se vea implicada en el blanqueo de capitales sin darse cuenta.Un planteamiento basado en el riesgo es importante para la efectividad y eficiencia de la lucha contra el blanqueode capitales. Fomenta la prioridad del esfuerzo y la actividad mediante referencia a la probabilidad del blanqueode capitales y refleja experiencias y proporcionalidad mediante el ajuste del esfuerzo al riesgo.5.4 Sistema de Administración del Riesgo del Lavado de Activos yFinanciamiento al Terrorismo (SARLAFT)El Sistema de Administración del Riesgo de Lavado deActivos y Financiación del Terrorismo (SARLAFT) sur-ge de las disposiciones legales de la materia en Colombiaemitidas por la Superintendencia de Colombia.La Superintendencia Financiera de Colombia busca con laexpedición de la Circular Externa 022 de 2007, implemen-tar un SARLAFT con el fin de prevenir que las entidadesvigiladas sean utilizadas para dar apariencia de legalidad aactivos provenientes de actividades delictivas o para la ca-nalización de recursos hacia la realización de actividadesterroristas. Cabe mencionar que NO existe un SARLAFTtipo o modelo, es decir, cada entidad colombiana deberáque crear, desarrollar y perfeccionar su propio sistemaconsiderando los lineamientos establecidos en la circular.El SARLAFT se compone de dos fases a saber: a) Prevención del Riesgo, que tiene como fin prevenir que se introduzca al sistema financiero recursos provenientes del Lavado de Activos y Financiación del Terrorismo (LA/FT). b) Control, busca detectar operaciones que se pretendan realizar o se hayan realizado.Factores de riesgoSon los generadores del riesgo LA/FT y se deben tener en cuenta como mínimo:a. Clientes/usuariosb. Productosc. Canales de distribuciónd. Jurisdicciones

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 20 5.4.1 Riesgos Asociados al LA/FTSon riesgos a través de los cuales se materializa el riesgo LA/FT, los cuales son:• Riesgo Reputacional: es la posibilidad de pérdida en que incurre una entidad por desprestigio, malaimagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause:pérdida de clientes, disminución de ingresos o procesos judiciales.• Riesgo legal: es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a in-demnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas deactuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecuciónde contratos o transacciones.• Riesgo operativo: es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, enel recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientosexternos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.• Riesgo de Contagio: es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente,por una acción o experiencia de un vinculado. El vinculado es el relacionado o asociado e incluye personasnaturales (físicas) o jurídicas (morales) que tienen posibilidad de ejercer influencia sobre la entidad.Definición del riesgo de Lavado de Activos y/o Financiación del TerrorismoPosibilidad de pérdida o daño que puede sufrir una entidad vigilada por la Superintendencia Financiera deColombia (SFC), por su propensión a ser utilizada directa o a través de sus operaciones como instrumento parael lavado de activos o la canalización de recursos para la Financiación del Terrorismo. 5.4.2 Etapas del SARLAFTEl SARLAFT que deben implementar las entidades vigiladas por la SFC, debe comprender como mínimolas siguientes etapas:

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 211.- Identificación del riesgo, permite identificar los riesgos LA/FT inherentes al desarrollo de su actividad teniendo en cuentalos factores de riesgo mencionados anteriormente.Para identificar el riesgo de LA/FT, se debe hacer como mínimo: • Metodologías para la segmentación de los factores de riesgo. • Con base en lo anterior, segmentar los factores de riesgo. • Metodologías para identificar el riesgo LA/FT y sus riesgos asociados. • Con base en lo anterior identificar las formas a traves de las cuales se puede presentar el riesgo LA/FT.Como resultado de esta etapa las entidades vigiladas deben estar en capacidad de identificar los factores deriesgo y los riesgos asociados.2.- Medición o Evaluación, El SARLAFT, debe permitirle a las entidades vigiladas, medir la posibilidad o pro-babilidad de ocurrencia del riesgo inherente de LA/FT, frente a cada uno de los factores de riesgo, así como elimpacto en caso de materializarse mediante los riesgos asociados.Para medir el riesgo de LA/FT, las entidades deben como mínimo: • Establecer metodologías de medición o evaluación, con el fin de determinar la ocurrencia del riesgo LA/ FT y su impacto en caso de materializarse. • Aplicar las metodologías de medición o evaluación.Como resultado de esta etapa, las entidades deben estar en capacidad de establecer el perfil de riesgo inherente,en cada factor de riesgo y en sus riesgos asociados.6.3 Control, las entidades vigiladas deben tomar medidas conducentes a controlar el riesgo inherente al quese ven expuestasPara controlar el riesgo LA/FT las entidades deben como mínimo: • Establecer las metodologías para definir las medidas de control. • Aplicar las metodologías establecidas en el punto anterior. • Establecer los niveles de exposición en razón de la calificación dada a los factores de riesgo en la etapa de medición • Realizar los reportes de operaciones sospechosas a la UIAF.Como resultado de esta etapa la entidad debe establecer su perfil de riesgo LA/FT consolidado. El controldebe traducirse en una disminución de la posibilidad de ocurrencia y del impacto del riesgo LA/FT encaso de materializarse.6.4 Monitoreo, esta etapa permite hacer seguimiento a los perfiles de riesgo, así como detectar operacionesinusuales y/o sospechosas

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 22Para monitorear las entidades deben como mínimo:• Desarrollar un proceso de seguimiento que facilite la rápida detención y corrección de las deficiencias enlas etapas del SARLAFT.• Realizar del riesgo inherente y residual de cada factor de riesgo y de los riesgos asociados.• Realizar el seguimiento del riesgo inherente y residual consolidado.• Asegurar que todos los controles sean comprensivos de todos los riesgos y que los mismos estén funcionandoen forma oportuna y efectiva.• Establecer indicadores descriptivos y/o prospectivos que evidencien potenciales fuentes de riesgo.• Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.Elementos del SARLAFTLos siguientes elementos deben desarrollar las etapas del sistema1.- Políticas, son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el SARLAFT.Las políticas que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del SARLAFT ytraducirse en reglas de conducta y procedimientos que orientan la actuación de la entidad y sus accionistas. Laspolíticas deben incorporarse en un código de ética que oriente la actuación de los funcionarios de la entidadpara el funcionamiento del SARLAFT, y establezca procedimientos sancionatorios además de establecer lasconsecuencias que genera su incumplimiento.2.- Procedimientos, las entidades deben establecer procedimientos aplicables para la adecuada implementacióny funcionamiento de los elementos y las etapas del SARLAFT.La entidad debe adoptar mecanismos que las permitan como mínimo: • Conocer al cliente actual y potencial. • Conocer el mercado. • Identificar y analizar las operaciones inusuales. • Determinar y reportar las operaciones sospechosas.Para que los mecanismos adoptados operen de manera efectiva, eficiente y oportuna se debe contar con lossiguientes instrumentos: • Señales de alerta. • Segmentación de los factores de riesgo en relación al mercado. • Monitoreo de operaciones • Consolidación electrónica de operaciones.3. Documentación. Las etapas y los elementos del SARLAFT implementados por las entidades deben cons-tar en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad dela información allí contenida.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 23La documentación como mínimo deberá: • Contar con un respaldo físico. • Contar con requisitos de seguridad de forma tal que se permita su consulta sólo por quienes estén autorizados. • Contar con los criterios y procesos de manejo, guarda y conservación de la misma.La documentación deberá comprender por lo menos: • Manual de procedimientos del SARLAFT. • Los documentos y registros que evidencien la operación efectiva del SARLAFT. • Los informes de la junta directiva, el representante legal, el oficial de cumplimiento y los órganos de control.4.- Estructura organizacional, las entidades deben establecer y asignar las facultades y funciones a cargo delos órganos de dirección, administración, control y del oficial de cumplimiento.Funciones de la Junta Directiva.• Establecer las políticas del SARLAFT.• Aprobar el manual de procedimientos y sus actualizaciones.• Designar al oficial de cumplimiento y su respectivo suplente.• Designar la (s) instancia (s) autorizada (s) para exonerarclientes del diligenciamiento del formulario de transaccionesen efectivo.• Ordenar los recursos técnicos y humanos necesarios paraimplementar y mantener en funcionamiento el SARLAFT.• Pronunciarse respecto de cada uno de los puntos que contengan los informes que presente el oficial decumplimiento, dejando la expresa constancia en la respectiva acta.• Hacer seguimiento y pronunciarse periódicamente sobre el perfil de riesgo del lavado de activos y/ofinanciación del terrorismo (LA/FT) de la entidad.• Aprobar el procedimiento para la vinculación de los clientes que pueden exponer en mayor grado a laentidad al riesgo del lavado de activos y/o financiación del terrorismo (LA/FT), así como las instanciasresponsables, atendiendo que las mismas deben involucrar funcionarios de la alta gerencia.• Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinacióny reporte de las operaciones sospechosas.• Establecer y hacer seguimiento a las metodologías para la realización de entrevistas no presenciales y/o larealización de entrevistas por personal que no tenga la condición de empleado de la entidad.• Aprobar las metodologías de segmentación, identificación, medición y control del SARLAFT.• Designar la (s) instancia (s) responsable (s) del diseño de las metodologías, modelos e indicadores cualita-tivos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.• En el caso de grupos, corresponderá además a las juntas directivas de las matrices impartir los lineamientosy adoptar las medidas necesarias para que cada una de las subordinadas del grupo aplique procedimientossimilares a los implementados por la matriz, atendiendo en todo caso las características particulares de laactividad desarrollada por cada una de ellas.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 24Funciones del Representante Legal • Someter a aprobación de la junta directiva u órgano que haga sus veces en coordinación con el oficial de cumplimiento, el manual de procedimientos del SARLAFT y sus actualizaciones. • Verificar que los procedimientos establecidos, desarrollen todas las políticas adoptadas por la Junta Directiva u órgano que haga sus veces. • Adoptar las medidas adecuadas como resultado de la evolución de los perfiles de riesgo de los factores de riesgo y de los riesgos asociados. • Garantizar que las bases de datos y la plataforma tecnológica cumplan con los criterios y requisitos establecidos en la circular. • Proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT. • Prestar efectivo, eficiente y oportuno apoyo al oficial de cumplimiento.Funciones del Oficial de Cumplimiento• Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el SARLAFT.• Presentar, cuando menos en forma trimestral, informes escritos a la junta directiva u órgano que haga susveces, en los cuales debe referirse como mínimo a los siguientes aspectos:I. Los resultados de la gestión desarrollada.II. El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades.III. La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controlesadoptados, así como de los riesgos asociados.IV. La efectividad de los mecanismos e instrumentos establecidos en la presente circular, así como de lasmedidas adoptadas para corregir las fallas en el SARLAFT.V. Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces.VI. Los documentos y pronunciamientos emanados de las entidades de control y de la Unidad AdministrativaEspecial de Información y Análisis Financiero – UIAF.• Coordinar el desarrollo de programas internos de capacitación.• Promover la adopción de correctivos al SARLAFT.• Proponer a la administración la actualización del manual de procedimientos y velar por su divulgacióna los funcionarios.• Colaborar con la instancia designada por la Junta Directiva en el diseño de las metodologías, modelos eindicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de lasoperaciones inusuales.• Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces,y los informes que presente el Revisor Fiscal y adoptar las medidas del caso frente a las deficiencias informadas.• Diseñar las metodologías de segmentación, identificación, medición y control del SARLAFT.• Elaborar y someter a la aprobación de la Junta Directiva o el órgano que haga sus veces, los criterios ob-jetivos para la determinación de las operaciones sospechosas, así como aquellos para determinar cuáles delas operaciones efectuadas por usuarios serán objeto de consolidación, monitoreo y análisis de inusualidad.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 255.- Órganos de control: Las entidades deben establecer órganos e instancias responsables de efectuar una evaluacióndel SARLAFT, a fin de que se puedan determinar sus fallas o debilidades e informarlas a las instancias pertinentes.Revisoría FiscalÉste deberá elaborar un reporte trimestral dirigido a la Junta Directiva u órgano que haga sus veces, en el queinforme acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas einstructivos sobre el SARLAFT.Además, deberá poner en conocimiento del oficial de cumplimiento, las inconsistencias y fallas detectadasen el SARLAFT.Auditoria Interna o quien ejecute funciones similares o haga sus vecesÉsta deberá evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementosdel SARLAFT, con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, deberá informar losresultados de la evaluación al oficial de cumplimiento y a la junta directiva, adicionalmente deben realizar unarevisión periódica de los procesos relacionados con las exoneraciones y parametrizaciones de las metodologías,modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico.6.- Infraestructura Tecnológica: Las entidades deben contar con la tecnología y los sistemas necesarios paragarantizar la adecuada administración del riesgo de LA/FT. Para ello deben contar con un soporte tecnológicoacorde con sus actividades, operaciones, riesgo y tamaño.7.- Divulgación de la información: Las entidades deben diseñar un sistema efectivo, eficiente y oportunode reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los re-querimientos de las autoridades competentes.Los siguientes son los reportes mínimos que deber tener en cuenta las entidades en el diseño del SARLAFT:Reportes internos• Transacciones inusuales• Operaciones sospechosas• Reportes de la etapa de monitoreoReportes externos• Reporte de operaciones sospechosas (ROS)• Reporte de transacciones en efectivo• Reporte de clientes exonerados• Reporte de transacciones múltiples en efectivo• Reporte de los intermediarios del mercado cambiario• Reporte de Información sobre campañas políticas• Reporte de Información sobre transacciones realizadas en Colombia con tarjetas crédito o débitoexpedidas en el exterior.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 268.- Capacitación: Las entidades deben diseñar, programar y coordinar planes de capacitación sobre el SARLAFTdirigidos a todas las áreas y funcionarios de la entidad. 5.5 Norma ISO 31000:2009La Organización Internacional de Normalización o ISO, nacida el 23 de febrero de 1947, es el organismoencargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como deservicios), comercio y comunicación para todas las ramas industriales.La Norma Internacional 31000 “La Gestión de Riesgos: Principios y Directrices”, fue terminada de votar el25 de Julio del 2009. 5.5.1 IntroducciónLas organizaciones de todos los tipos y tamaños se enfrentan a factores tanto internos como externos quepueden impedir que éstas alcancen sus objetivos. Es decir, todas las actividades de una organización implicanun Riesgo, por lo cual esta Norma Internacional recomienda a las organizaciones a desarrollar, implementar ymejorar un marco cuyo objetivo sea la integración de un proceso de Gestión de Riesgos, el cual pueda aplicarsea todas las áreas y niveles en cualquier momento.Aunque la práctica de la Gestión de Riesgos ha sido desarrollada con el tiempo y dentro de muchos sectores conel fin de satisfacer las diversas necesidades, la adopción de procesos coherentes dentro de un marco global puedeayudar a garantizar que el riesgo se gestiona con eficacia, eficiencia y de manera coherente en toda la organización.El enfoque descrito por esta Norma establece los principios y directrices para la gestión de cualquier formade riesgo de manera sistemática, transparente y creíble dentro de cualquier ámbito y contexto. Por tal mo-tivo, una característica clave de ésta norma es la inclusión de “establecer el contexto” como una actividadal inicio de este proceso.La Norma ISO 31000:2009 está dirigida a cualquier tipo de Organización sin importar su actividad o tamaño,pues al establecer el contexto de cada entidad, la gestión de riesgos estará en función de los objetivos de laorganización, sus grupos de interés, así como sus criterios de riesgo. Además, la Norma se puede aplicar acualquier tipo de Riesgo.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 27 5.5.2 Estructura de la NormaLa estructura de la Norma es la siguiente: en la primera parte encontramos la introducción, donde se abordael contexto en el que se encuentran las organizaciones y la razón por la que sería bueno adoptar la Gestiónde Riesgos. En la segunda parte se encuentra el Glosario, donde se encuentran conceptos y definiciones paraasegurar la buena comprensión de la Norma. Posteriormente, se presentan los 11 Principios necesarios parala implementación de la Norma.Principios:Para una gestión de riesgos eficaz, una organización deberá cumplir en todos los niveles con los siguientes principios:1.- Crea valor y protegeLa gestión de riesgo (GR) contribuye a la consecución de los objetivos y a la mejora del rendimiento.2.- Es parte integral de todos los procesos de la organizaciónLa gestión de riego no es una actividad aislada, sino que más bien forma parte de todos los procesos de laorganización, incluida la planeación estratégica.3.- Es parte de la toma de decisionesLa GR ayuda a los tomadores de decisiones, prioriza acciones y distingue entre los distintos cursos de acción.4.- Toma en cuenta la incertidumbreLa GR toma en cuenta explícitamente la incertidumbre, su naturaleza y como se puede dirigir.5.- Es sistemática, estructurada y oportunaUn enfoque sistemático, oportuno y estructurado de gestión de riesgo contribuye a la eficiencia y resultadosconsistentes, comparables y fiables.6.- Se basa en la mejor información disponibleLas entradas para el proceso de GR se basan en fuentes de información fiables como datos históricos, ex-periencia, sin embargo la GR debe considerar el contexto externo e interno de la organización, así como superfil de riesgo.7.- Toma los factores humanos y culturales en cuentaReconoce las capacidades, percepciones e intenciones de las personas que forman parte de la organización yque pueda facilitar u obstaculizar el logro de los objetivos de la organización.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 288.- Debe ser transparente e inclusivoGracias a una adecuada participación de los interesados y tomadores de decisiones en todos los niveles dela organización.9.- Es dinámica, interactiva y de respuesta al cambioEl contexto de la organización siempre se encuentra en un cambio constante, por tanto, la gestión de riesgos siempredebe estar evaluando estos cambios y actuando en función de estos para poder responder de la mejor manera.10.-Facilita la mejora continuaLas organizaciones deben desarrollar e implementar estrategias para mejorar su grado de madurez de gestiónde riesgos junto con los demás aspectos de la organización.Marco de Gestión de RiesgoEl éxito de la gestión del riesgo dependerá de la eficacia del marco de gestión que proporciona las bases y dis-posiciones que lo incrusta en toda la organización. A continuación te presentamos el proceso para la adecuadaelaboración del Marco:

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 29Proceso de Gestión de Riesgos 5.5.3 Comunicación y consulta Comunicación y consulta con todas las partes interesadas tanto internas como externas que tienen lugar durante todas las fases del proceso de gestión de riesgos. Por tanto, se deberán elaborar planes de comunicación y consulta deben desarrollarse en una etapa temprana, esta garantizará que los responsables del proceso de gestión de riesgo y los interesados conozcan las bases en las que se toman acciones así como las razones. 5.5.4 Establecer el contextoAl establecer el contexto, la organización se articula y define sus objetivos internos, externos y parámetrosque deberá tener en cuenta al momento de gestionar el riesgo. Para conocer a detalle los riesgos es necesarioestablecer el contexto mediante dos análisis: el del contexto externo y el contexto interno.

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 30El contexto externo es el entorno externo en donde la organización pretende alcanzar sus objetivos, específi-camente aquellos requisitos legales y reglamentarios, así como aquellos aspectos culturales, políticos, jurídicos,financieros, económicos, tecnológicos, tendencias clave, etc.’El contexto interno es el ambiente interno en el que la organización lleva a cabo sus actividades, es decir,cualquier cosa dentro de la organización que puede influir a que la organización no cumpla con sus objetivos,por tal motivo, la cultura organizacionales, los procesos y la estructura deberán estar alineados con el procesode gestión de riesgos. 5.5.5 Evaluación de RiesgosLa evaluación de riesgos es el proceso mediante el cual se identifican los riesgos, se analizan y se evalúan. • Identificación de Riesgos: En este paso el objetivo es generar una lista completa de los riesgos sobre aquellos acon- tecimientos que podrían impedir el cumplimiento de los objetivos, esta identificación debe incluir a los riesgos y su fuente que se encuentren bajo el control de la organización, así como sus consecuencias.• Análisis de Riesgos:Este paso consiste en desarrollar una mayor comprensión del riesgo. El análisis de ries-gos proporciona una entrada al riesgo evaluación y las decisiones sobre si los riesgosdeben ser tratados, así como definir el tratamiento y métodos para mitigarlos. Aquí sedefine las consecuencias y la probabilidad de que un evento ocurra, generalmente sedetermina mediante un valor número basado en un método de evaluación. • Evaluación de Riesgos El propósito de la evaluación de riesgos es ayudar en la toma de decisiones con base en los resultados del análisis de riesgos sobre aquellos riesgos que necesitan tratamiento, así como la prioridad para aplicar el mismo. Esta evaluación supone la decisión de mantener los controles ya existentes o modificarlos. 5.5.6 Tratamiento del RiesgoConsiste en seleccionar una o más opciones para modificar los riesgos y la aplicación de esas opciones. Unavez implementados los controles se deberán monitorear y en caso que sea necesario modificar.El tratamiento de riesgos implica un proceso cíclico de: • La evaluación de un tratamiento de los riesgos • Decidir si los niveles residuales de riesgo son tolerables • Si no son tolerables se deberá generar un nuevo tratamiento • Evaluar la eficacia de ese tratamiento

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 31Selección de las opciones de tratamiento del riesgoEsta selección consiste en equilibrar los costes y losesfuerzo de aplicación frente a los beneficios deriva-dos. Incluso se podrán elegir métodos que no seanjustificables económicamente pero por el nivel deriesgo lo sean.Elaborar e implementar los planes de tratamientoEl propósito de los planes es documentar como lostratamientos se van a implementar, estos planes de-ben incluir las razones por las que se seleccionó el tratamiento, así como sus beneficios, quiénes son losresponsables de aprobar el plan y ejecutarlo, los recursos, limitaciones, calendario y horarios.Seguimiento y revisiónTanto el seguimiento y la revisión debe ser una parte planificada del proceso de gestión de riesgos, esta puedeser periódica o ad hoc. Las responsabilidades de seguimiento y de evaluación deben estar claramente definidasa efectos de asegurar que los controles sean eficaces y eficientes tanto en el diseño como en el funcionamiento,obtener más información para mejorar la evaluación de riesgos, analizar y detectar cambios en el contextotanto interno como externo.El registro del proceso de gestión de RiesgosLas actividades de gestión de riesgos deberían ser rastreables. En este proceso de gestión, proporcionar losregistros es un pilar para la mejora de los métodos y herramientas. Para la creación de registros se puedetomar en cuenta: las necesidades de la organización, los beneficios de la reutilización de esa información,las necesidades legales, el periodo de retención y la sensibilidad de la información.Recuerda:“La gestión de riesgos se considera como elemento central de los procesos de gestión de la organización.”

Módulo 5: Detección y Gestión de Riesgos en materia de PLD y FT | 32 BibliografíaComité de Supervisión Bancaria de Basilea. Adecuada gestión de los riesgos relacionados con el blanqueo de capi-tales y la financiación del terrorismo, Banco de Pagos Internacionales 2014.FATF, Guidance for a risk-based approach, the banking sector, Paris FATF Secretariat, 2014.GRUPO WOLFSBERG, Declaración de Wolfsberg, Guía para un Planteamiento Basado en el Riesgo en la Gestióndel Riesgo de Blanqueo de Capitales, 2006.Norma Internacional ISO 31000:2009, de Gestión de Riesgos-Principios y Directrices.Instrucciones Relativas a la Administración del Riesgo de Lavado de Activos y de la Financiación al Terrorismo.Superintendencia Financiera de Colombia, 2007.