Elementos para la Construcción de una Matriz de

Riesgo

Sofía A. Mera

El Salvador - 2011

Es una herramienta dinámica que permite documentar, analizar y hacer

seguimiento al esquema de riesgos planteado, para su administración

Existen tantas versiones de matrices, como usos y necesidades por

entidad

Metodología Fuente Observación Interpretación

Método de

Estándar

Australiano

Comité de

Estándares de

Australia. AS/NZS

4360: 1999

Metodología de alto reconocimiento con

enfoque a la administración de riesgo.

Tiene un amplio alcance de aplicación.

Metodología

COSO-ERM

Comittee de

Sponsoring

Organizations of

The treadway

Commission Internal

Control

Es un modelo de auditoría con enfoque de

Riesgo, creado como iniciativa del sector

privado de EEUU en 1985. Su objetivo

mayor es identificar los factores que

causan la divulgación financiera

fraudulenta y reducir su incidencia.

NTC 5254 Adaptación del

método australiano

en Colombia

Recoge la metodología del Estándar

Australiano y la oficializa el ICONTEC para

Colombia

Check List GAFI Es un sistema de revisión con base en una

secuencia de cumplimiento con relación a

las recomendaciones del GAFI

Mapeo de Riesgo Metodología

suministrada por los

consultores Erns &

Young

Es una metodología que recoge el Método

australiano y orienta la presentación del

riesgo en un mapa. Esta metodología es la

adoptada por SARO y da uniformidad de

criterio al interior de la entidad

Fuente: Banrep

Este método fue creado por el Comité OB/7 de la

junta de estándares de Australia y Nueva Zelanda

en el año 1999, sobre administración de riesgos

como una revisión de AS/NZ 4360:1995

Administración de Riesgos.

De acuerdo con el estándar anterior, es decir

AS/NZ 4360:1995, los objetivos son los siguientes:

• Proveer un marco conceptual genérico para el

establecimiento del contexto.

• Identificación del Riesgo

• Análisis del Riesgo

• Evaluación del Riesgo

• Tratamiento del Riesgo

• Monitoreo y Comunicación del Riesgo

El Negocio Financiero es el negocio del Riesgo…

RIESGOS PUROS

RIESGOS NEGOCIO

� Procesos Estocásticos

– Matrices de

Transición

� Análisis de

distribución

estadísticas

� Valores

esperados

� Matrices de

Riesgo

� Matrices de

Riesgo

El riesgo de LAFT se materializa a través de los riesgos asociados:

Bases Complemento

•Cultura

•Infraestructura

•Mercado

•Objetivos

LeyesLeyesLeyesLeyes

DecretosDecretosDecretosDecretos

ReglamentosReglamentosReglamentosReglamentos

Responsabilidad Responsabilidad Responsabilidad Responsabilidad Administrativa Administrativa Administrativa Administrativa

y Penaly Penaly Penaly Penal

CONVENCICONVENCICONVENCICONVENCIÓÓÓÓN VIENAN VIENAN VIENAN VIENA

Tipificación

• Extinción

• Extradición

• Comiso –Congelación

• Retención

GAFIGAFIGAFIGAFI

• Países No CooperantesBASILEABASILEABASILEABASILEA

• Acciones Sobre ReguladoresPALERMOPALERMOPALERMOPALERMO• Tipificación• Pruebas• Proceso

REGIMEN LEGALREGIMEN LEGALREGIMEN LEGALREGIMEN LEGAL• Ley de Secreto

Bancario 1970• Ley Contra LA

1986• Patriot Act

EEUU 2001

SISTEMA SISTEMA SISTEMA SISTEMA JUDICIALJUDICIALJUDICIALJUDICIAL

Conocimiento Institucional

PROGRAMAS PROGRAMAS PROGRAMAS PROGRAMAS DEL GOBIERNODEL GOBIERNODEL GOBIERNODEL GOBIERNO

Programa OFAC

Legislación Nal con Alcance ExtraterritorialLegislación InternacionalLegislación Nacional

Se consultaron entidades expertas en LAFT para conocer información adicional que permita

establecer nuevos escenarios que afecten a la etidad con LAFT.

FACTORES DE RIESGO – AML/CFT

• Fortalece el

conocimiento del

cliente

• Define perfiles de

comportamiento de

los segmentos

• Genera alertas de

inusualidad

• Es el soporte para la

identificación del

riesgo

• Facilita la evaluación

de riesgo• Es una guía y resumen de la

contextualización

• Necesita un apoyo tecnológico

• Contiene variables de riesgo de LAFT

Técnicas de Minería de Datos

“IBM – PASW

Modeler”

Software de minería de

datos que permite

desarrollar modelos de

minería de datos y

utilizarlos en operaciones

empresariales para

mejorar la toma de

decisiones.

El Riesgo se identifica considerando:

•El entorno•La Naturaleza de la Entidad

El Riesgo se identifica con base en:

•Segmentación•Tipologías•Tipos de Consecuencia

• Legal• Operativa• Reputacional• Contagio

Factor Segmento Proceso Categoría Naturaleza Riesgo Causas

CLIENTEPersonas

JurídicasMoneda extranjera Listas

Lavado de

Dinero

Realizar una operación de

moneda extranjera, cuyo

destinatario se encuentra

relacionado en lista OFAC

• Falla en la

capacitación

• Falla en la

tecnología

•Falla en el

proceso

CLIENTEPersonas

NaturalesVinculación Infidelidad

Lavado de

Dinero

Asignar una tarjeta de

crédito local a una persona

vinculada en lista OFAC, la

cual persuadió a un

funcionario de la entidad a

incumplir un procedimiento

para hacerlo

•Falla en la

tecnología

• Infidelidad de

funcionario

Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un

millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales.

Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un

millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales.

Posibilidad de Pérdida

IMPACTOPROBABILIDAD

Pérdida de valor de

la acción

Publicaciones

relacionadas con

LAFT

internacionalmente

Congelación de Activos

Embargo de Cuentas

Bloqueo internacional

Tercero Civilmente

Responsable por LAFT

Prisión para funcionario Multa para la Entidad

Multa para el funcionario

Cancelación de cuentas

de clientes por LAFT

Publicaciones

relacionadas con LAFT a

nivel nacional

Pérdida de Clientes

por desconfianza

Cierre de relaciones

Comerciales

Pérdida de cartera

por LAFT

La Entidad no se

ve relacionada

con LAFT

No hay pérdida

económica significativa

Rumores en el sector

relacionados con LAFT

Vinculación a

investigaciones por

LAFT

Embargos por temas de

LAFT

Inclusión en lista

OFAC

Pérdida de la

personería jurídica

Cierre de locales

La contextualización…

La CAUSA determina el nivel

de responsabilidad de la

Entidad en el RiesgoCAUSA RESPONSABILIDAD

Fallas Tecnológicas Entidad

Falta de Capacitación Programa de Capacitación

Infidelidad del Funcionario Funcionario

CONOCIMIENTO INFORMACIÓN DATA

Grupo de Expertos Estadística de Eventos

• Permite realizar una calificación de

riesgo con base en la experiencia

• Está limitado a la experiencia y

conocimiento de los expertos

• Es un trabajo dispendioso y requiere

activa participación de los miembros

• Es rápida

• Tiene soporte histórico

• Recursos tecnológicos

OperativoPromedio

Transaccional Mes

Promedio

Transaccional Mes

LegalSanción Administrativa

Sanción Penal

Niveles en la

organización

ContagioRelación con personas

vinculadas en LAFT

Accionistas, Directivos,

Empleados, Proveedores,

Filiales, Usuarios

ReputaciónDifusión de

información que

afecte la confianza

Alcance Geográfico

Variable Jerarquía

Frecuencia

Transacción

Relación promedio

Transaccional Mes

Frecuencia

Evento

Relación a longitud

de tiempo

Número de

Clientes

Relación a escalas

de número de

clientes

La calificación de

probabilidad se

puede realizar

considerando tres

medidas para

evaluar de

acuerdo a la

naturaleza del

evento.

Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un

millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales.

I: 5 P: 5RIESGO INHERENTE:

Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un

millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales.

31

IMPACTO

PO

SIB

ILID

AD

32

• Debe considerarse al control como

mitigador del riesgo inherente para

obtener el Riesgo Residual

• Los controles son la respuesta al

dinamismo del GRILAFT

• Los controles deben clasificarse

como Preventivos, Detectivos y

Correctivos

• Los controles deben tener una

metodología de medición, en

términos cuantitativos

• Los controles pueden mitigar

impacto, probabilidad o ambos

Alto Riesgo Debida Diligencia

Reforzada

Medio Riesgo Debida Diligencia

Mejorada

Bajo Riesgo Debida Diligencia

Ampliada

Normal Riesgo Debida Diligencia

4

3

2

1

• Cultura

• Políticas

• Procedimientos

• Tecnología

• Capacitación

• Gestión: Prevención,

Detección o

Corrección

Responsable del control:Asignado o No Asignado

Tipo de control: Preventivo, Correctivo o

Detectivo

Naturaleza del control: Automático, Manual o

Dependiente de

Tecnología Informática

Frecuencia del controlDocumentación del controlActividades que componen el diseño del control

FORTALEZA Muy adecuado

AdecuadoInadecuado

EJECUCIÓNDébil

ModeradoFuerte

SOLIDEZ Débil

ModeradoFuerte

METODOLOGÍA 1

METODOLOGÍA CON BASE EN PRUEBAS

Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un

millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales.

RIESGO RESIDUAL

Supuesto: Banco multinacional centroamericano, con cuentas de corresponsalía en EEUU. Con un

millón de clientes distribuidos en 80% PJ y 20% en PN. Su mercado principal son las multinacionales.

38

Ri = (5,5)Rr= (5– C, 5-C)Rr=(1, 1)

• El desarrollo de las matrices de riesgo es propio de cada Entidad, guardando un marco común

de referencia general y guía de seguimiento

• El punto relevante de la Matriz de riesgo es la contextualización, la cual define el horizonte y

lineamientos del modelo de riesgo de la Entidad

• En todo sistema de riesgo existe un riesgo de modelo

• Se requiere contar con talento humano multidisciplinario y apoyo tecnológico con alta

capacidad para manejo de registros, para una gestión eficiente

Sofía Mera

Sofia.mera@bancodebogota.com.co

Gracias