El presente artículo está basado en la exposición realizada por el director de infolaft, Alberto Lozano Vila, en el XIII Congreso Panamericano de Riesgo de Lavado de Activos y Financiación del Terrorismo, realizado por la Asociación Bancaria de Colombia (Asobancaria), entre el 11 y 12 de julio de 2013 en Cartagena de Indias.
Como primer antecedente de la gestión del riesgo, en el año 2004 el Comité de Supervisión Bancaria de Basilea sostuvo que la gestión consolidada del riesgo conocimiento del cliente (Know Your Costumer por su sigla en inglés) es el proceso centralizado establecido para “coordinar y promulgar políticas y procedimientos a escala del grupo, así como los sistemas sólidamente dispuestos para compartir información dentro del mismo (…). Estas políticas y procedimientos han de estar diseñados no solo para cumplir al pie de la letra toda la legislación y regulación pertinente, sino también, en un sentido más amplio, para identificar, vigilar y reducir los riesgos de reputación, de concentración, operativo y legal”.
De este modo, cuando los recursos son escasos es necesario priorizar. Algunas veces se requiere hacer una debida diligencia reforzada y en otras basta con una debida diligencia simplificada. Esta es la razón de ser de la gestión de riesgo: determinar el riesgo de las operaciones para determinar la debida diligencia correspondiente.
En efecto, cuando queremos asegurarnos de acatar la ley al pie de la letra estamos frente a un programa de cumplimiento; cuando queremos detectar operaciones inusuales o sospechosas estamos frente a un sistema de detección; pero cuando queremos un sistema que nos permita saber qué tan riesgosas son nuestras operaciones estamos frente a un sistema de gestión de riesgo.
El enfoque basado en el riesgo sigue siendo un tema novedoso; no obstante, al estudiarlo a profundidad, se evidencia que existe todavía un problema de lenguaje y de terminología que convierte el tema en una cuestión compleja y relativa.
Aunque las diversas entidades en Colombia y en el resto del mundo siguen intentando encontrar la solución decisiva y categórica para combatir el lavado de activos y la financiación del terrorismo, hoy solo hay propuestas de sistemas y de aproximaciones al enfoque basado en riesgo sin que exista una solución convincente e indiscutible al respecto. De hecho, cuando se pretende crear o diseñar una idea o un sistema desde sus cimientos, el o los pioneros que lo intentan se enfrentan al riesgo del fracaso. A pesar de lo anterior, es preciso destacar que la ‘prueba y error’ y la documentación de tales experiencias y estudios son el camino para encontrar una solución satisfactoria y definitiva.
¿Qué aporta el Gafi?
En el año 2007 el Gafi publicó una guía con un enfoque basado en la gestión del riesgo de lavado de activos y financiación del terrorismo que tiene como propósito servir de soporte en el desarrollo de lo que implica una gestión de riesgo de este tipo. En este orden de ideas, el estudio de los parámetros internacionales permite generar un entendimiento común y buscar, de cierta forma, que los diversos países y entidades establezcan un marco de referencia colectivo que les permita entenderse plenamente en la materia.
Los principios básicos establecidos en la guía que realizó el Gafi son:
a) El sistema adoptado debe ser ‘a la medida’; cada país y cada organización tienen que tener su propio sistema de gestión del riesgo e identificar el régimen más apropiado, diseñado para afrontar los riesgos particulares.
b) La respuesta frente al riesgo tiene que ser proporcional al problema y no puede haber respuestas uniformes. En efecto, al adoptar el enfoque basado en riesgo, las autoridades y las instituciones financieras pueden lograr que las medidas para prevenir o mitigar el lavado de activos y la financiación del terrorismo sean adecuadas y apropiadas para el riesgo identificado.
c) Según el Gafi, las instituciones tendrán que identificar los clientes, productos, servicios, canales y las ubicaciones geográficas de alto riesgo. Todos ellos cambiarán con el tiempo, de acuerdo al desarrollo de las circunstancias particulares y la evolución de las amenazas. Así mismo, es primordial identificar ‘las manzanas podridas’ o los métodos utilizados para lavar activos o financiar el terrorismo.
d) A pesar del rigor y efectividad de los controles LA/FT establecidos por las instituciones financieras, los criminales seguirán intentando movilizar fondos ilícitos a través del sector financiero sin ser detectados y, en ciertos casos, tendrán éxito.
e) Es necesario reconocer que cualquier tipo de controles razonables aplicados, incluso aquellos controles implementados como resultado del enfoque basado en riesgo, no identificarán o detectarán todas las instancias del lavado de activos y la financiación del terrorismo. Las autoridades deben considerar esto al evaluar los programas de cumplimiento y no deben castigar a quienes implementen adecuadamente su sistema, así este sea penetrado en ciertos eventos: no existen sistemas infalibles.
f) Todos ganan con un verdadero sistema de gestión de riesgo que implemente un adecuado enfoque basado en el riesgo: los clientes reciben un mejor servicio y una mejor atención, y el supervisor puede hacer una gestión más apropiada. La sociedad y el comercio en general se benefician con una prevención y un control más eficiente y efectivo del lavado de activos y la financiación del terrorismo.
g) Un verdadero sistema de gestión de riesgo es aquel que no establece los mismos requisitos y estándares para todos los casos, sino el que establece un estándar adecuado al nivel de riesgo particular para cada cliente, transacción, producto o canal.
h) El enfoque basado en riesgo no es necesariamente una opción sencilla: es posible que existan barreras y dificultades que sea preciso superar al implementar las medidas necesarias.
i) En un enfoque como el que se describe se requiere tanto de recursos como de expertos.
j) La diversidad entre los sistemas implementados puede generar innovaciones y mejoras en el cumplimiento. Así mismo, puede también causar incertidumbre en relación con las expectativas, dificultades al aplicar un tratamiento regulatorio uniforme, y una falta de entendimiento por parte de los clientes respecto de la información requerida para mantener los servicios.
k) Hay clientes muy especiales que hay que tratar con cuidado, y la debida diligencia de esas transacciones es la razón de ser del enfoque basado en el riesgo. Con todo, es necesario ir del nivel micro de transacción por transacción al nivel macro de todos los sistemas de la organización (ej. sistema de control interno y gobierno corporativo).
Así, de acuerdo con el Gafi, las entidades que implementen los sistemas deben tener claro que se trata de un ‘aprender sobre la marcha’, que hay que esforzarse y equivocarse para perfeccionar poco a poco los sistemas. Resulta trascendental documentar los errores para determinar qué funciona y qué no funciona. El enfoque basado en riesgo centra la atención sobre clientes/ jurisdicciones/canales/ productos de alto riesgo, pero en todo caso el Gafi reconoce que el riesgo puede estar en las categorías de bajo riesgo, donde las entidades no están focalizadas.
Finalmente, luego de los principios generales, el Gafi concluye que el secreto en materia del gestión del riesgo LA/FT es precisamente que cada entidad y cada país tiene que descubrir su propio secreto, sin que establezca las pautas del ‘cómo’ o introduzca fórmulas de riesgo.
Un lenguaje que no permite comunicarnos
En su intervención durante el XIII Congreso Panamericano de Riesgo LA/FT, Lozano concluyó que el enfoque basado en riesgo no ha ‘despegado’ porque cada país y cada organismo internacional ha establecido y adoptado un lenguaje y una terminología propia en esta materia. Así, sin que exista un consenso o claridad conceptual al respecto, la comunicación y transmisión del conocimiento es difícil.
De acuerdo con la NTC ISO 31000 la fuente de riesgo es un elemento que solo en combinación tiene el potencial intrínseco de originar un riesgo. Sin embargo, los estándares internacionales utilizan varios términos para referirse a la fuente del riesgo y a las variables que lo modifican, como se pone de presente a continuación:
De esta forma, existen errores conceptuales (factor de riesgo), mal uso de los términos (jurisdicción), diferencia de términos (variables), varios significados de un mismo término (canal) y términos muy amplios (segmentación).
Como consecuencia de la diversidad en la terminología y en el lenguaje, el desarrollo y los avances en gestión de riesgo de cada entidad o de cada país no son comparables ni compatibles.
Aportes para la construcción de un modelo universal
En aras de unificar la terminología entre los diversos sistemas, Lozano resaltó la importancia de construir un modelo universal que permita agrupar y diferenciar los distintos conceptos y términos en los sistemas de gestión de riesgo. En este sentido, propuso adoptar cuatro elementos fundamentales para la gestión de riesgo, que se encuentran interrelacionados:
- La transacción
- La medición del riesgo
- Las políticas de la entidad
- La decisión de negocio
La transacción
La transacción integra los clientes, los productos, los canales y las jurisdicciones. A veces los modelos deben tener en cuenta que hay dos jurisdicciones, por eso ese concepto es más complejo de lo que parece.
Adicionalmente, en la transacción cobran importancia los activos y otras personas relacionadas con la misma.
Lozano, entonces, puso de presente que en realidad más que hablar de factor de riesgo hay que hacer referencia a las transacciones, que tienen varias características e información.
La medición del riesgo
Existe la fórmula que establece que el riesgo es igual a la probabilidad por el impacto (R=P*I). Con todo, incluso esta fórmula del riesgo debe ser ‘matizada’ para el riesgo de lavado de activos y financiación del terrorismo, debido a que en esta materia el impacto adquiere mucha más trascendencia que la probabilidad, la cual en ciertos casos es baja.
En la medición del riesgo de la transacción se utilizan diversamente sistemas de matrices, scoring, categorías tipo Gafi, segmentaciones (utilizadas por todas las entidades en Colombia por ser una exigencia legal) e información pública.
Decisiones de negocio
Los análisis de las transacciones y la medición del riesgo de las mismas se realizan, en última instancia, para tomar decisiones de negocio. Así, en virtud de lo anterior, se determinan en mayor o menor medida los documentos que se le solicitan al cliente, se verifica la información, se realiza una debida diligencia ordinaria o ampliada, se establecen las señales de alerta, se determina un monitoreo, se toma la decisión de realizar el ROS y se aprueban o no las transacciones; todo lo anterior como parte integral de la decisión de negocio.
Las políticas de la entidad
Es fundamental que las entidades establezcan unas políticas claras en relación con la gestión de riesgo como, por ejemplo, determinando el apetito de riesgo (ej. no hacer operaciones de alto riesgo y únicamente de bajo riesgo). Así mismo, es importante implementar un protocolo de acción y delimitar los tipos de negocio que quieren realizarse. En efecto, Lozano resaltó que en muchos casos las entidades fallan porque no existen protocolos claros en relación con la gestión del riesgo LA/FT.
Integración de las cuatro etapas
Las anteriores etapas se integran en una ‘fórmula’ que permite gestionar el riesgo LA/FT. La visión que debe haber al respecto es aquella según la cual existe una transacción sobre la que se debe tomar una decisión de negocio, decisión que se adopta en virtud de la medición de riesgo de la transacción y de las políticas de la entidad.
En conclusión, en materia del enfoque basado en riesgo existe un problema de conceptos y terminologías. En consecuencia, es necesario adoptar términos y sistemas comunes que le permitan a las entidades entenderse entre sí, con las autoridades y con otros países. Lozano sostuvo que lo importante, en última instancia, es tomar decisiones acertadas de negocio para implementar sistemas que permitan prevenir y controlar el lavado de activos y la financiación del terrorismo de forma cada vez más eficiente y oportuna.