Una de las tareas más importantes del SARLAFT es la medición del riesgo de los eventos de riesgo identificados. En este artículo, InfoLAFT analiza el alcance de las palabras “desagregada”, “consolidada” y “agregada”, relacionadas con la medición del riesgo inherente establecida en el numeral 4.1.2. del Capítulo XI del Título I de la Circular Básica Jurídica de la Superfinanciera.
Después de culminar la etapa de identificación del riesgo de LAFT, las entidades vigiladas deben medir la probabilidad de ocurrencia de los eventos de riesgo y el impacto en caso de materializarse.
Para desarrollar lo anterior, la entidad debe contar con una metodología de medición de riesgo que le permita realizar una evaluación consolidada de los factores de riesgo y los riesgos asociados.
En la primera versión del SARLAFT (Circular Externa 22 de 2007) se estableció en el último párrafo del numeral 4.1.2. que el resultado de la etapa de medición debía ser la capacidad de la entidad vigilada de establecer el perfil del riesgo inherente, tanto en forma desagregada como consolidada en cada factor de riesgo y en sus riesgos asociados.
De acuerdo con lo establecido por la Circular 22, las entidades vigiladas, en un primer momento, debían establecer el perfil de riesgo inherente de cada uno de los factores de riesgo (clientes/usuarios, canales, productos y jurisdicciones) y de cada uno de los riesgos asociados (legal, reputacional, operativo y de contagio) en forma desagregada.
Esto quiere decir que las entidades tenían la obligación de establecer el riesgo inherente de cada uno de los eventos de riesgo identificados, en relación a su probabilidad (factores de riesgo) y su impacto en caso de materializarse (riesgos asociados). Esto en la práctica se traduciría en que un evento de riesgo debía ser medido 4 veces en su probabilidad y 4 veces en su impacto, es decir, una medición por cada factor de riesgo y por cada riesgo asociado (medición desagregada).
De la misma forma, las entidades vigiladas debían determinar de forma consolidada el perfil de riesgo inherente de toda la entidad, esto es, establecer la suma o el promedio de la entidad del riesgo inherente de todos los factores de riesgo y los riesgos asociados (medición consolidada).
Con ocasión de la modificación realizada por la Circular Externa 61 de 2007, el párrafo mencionado fue reformado en el sentido de eliminar las palabras “desagregada” y “consolidada” y en su lugar establecer mediciones agregadas en cada factor de riesgo y sus riesgos asociados.
Esta modificación, a nuestro modo de ver, no tuvo una incidencia práctica en el proceso de medición del riesgo y posterior determinación del perfil de riesgo inherente. Cuando la Circular hace referencia a que las entidades deben estar en la capacidad de establecer mediciones agregadas en cada factor de riesgo y en sus riesgos asociados, está diciendo que se debe establecer la forma como se van a sumar o “agregar” las mediciones de los eventos de riesgo para calcular el riesgo total de la entidad.