Pasar al contenido principal

¿Cómo evaluar sus controles?

Enviado por Infolaft el

Artículo por: Infolaft

Actualmente la regulación LA/FT exige a las entidades tener una serie de controles ya sea para mitigar, prevenir o eliminar su riesgo en materia de prevención de lavado de activos y financiación del terrorismo. Dada la relevancia de los controles es importante que las entidades puedan establecer si estos tienen un diseño, alcance y cumplimiento adecuados que permitan garantizar la efectividad de los mismos.

¿Qué es un control?

Es importante contextualizar el concepto de control y qué mejor que la NTC-ISO 31000 y Coso ERM 2004 para esta finalidad.

NTC-ISO 31000

La NTC-ISO 31000 en su numeral 2.26 define control como “medida que modifica el riesgo”; así mismo, aclara que dichas modificaciones pueden se materializadas como “(…) procesos, políticas, dispositivos, prácticas u otras acciones que modifican el riesgo”.
Al profundizar en el término “modificación del riesgo” la norma expresa que “el tratamiento de un riesgo involucra la selección de una o más opciones para modificar los riesgos y la implementación de tales opciones”. En cuanto a las opciones, en su numeral 5.5.1 el documento hace referencia a:
  1. ‘‘Evitar el riesgo al decidir no iniciar o continuar la actividad que lo originó.
  2. Tomar o incrementar el riesgo para perseguir una oportunidad.
  3. Retirar la fuente del riesgo.
  4. Cambiar la probabilidad.
  5. Cambiar las consecuencias.
  6. Compartir el riesgo con una o varias de las partes, (incluyendo los contratos y la financiación del riesgo).
  7. Retener el riesgo mediante una decisión informada’’.
Lea también: SAGRILAFT, sistema para prevenir lavado de activos en empresas

Coso ERM 2004

Por su parte el documento de Coso ERM 2004 define las actividades de control como: “(…) las políticas y procedimientos que ayudan a asegurar que la respuesta a los riesgos sea ejecutada por parte de la gerencia. Las actividades de control se llevan a cabo en toda la organización, en todos los niveles y en todas las funciones. Incluyen una serie de actividades  tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de desempeño operativo, seguridad de los activos, y segregación de funciones”.

¿Qué dice la normatividad?

El  Capítulo XI del Título I de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia (Sarlaft) hace precisión en el término riesgo residual o neto, relacionado con los controles y que es definido como “el nivel resultante del riesgo después de aplicar los controles”. Posteriormente, en el numeral 4.2.2. literal b de la misma norma, se indica que las entidades deben “identificar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual”. Lo anterior implica que la entidad debe contar con un procedimiento para evaluar sus controles y adicionalmente hacer seguimiento al desempeño de los mismos. Con respecto al desempeño de los controles la norma en su numeral 4.1.4 literal c. indica que los controles deben tener ciertas características, entre ellas “asegurar que los controles sean comprensivos de todos los riesgos y que los mismos estén funcionando en forma oportuna, efectiva y eficiente”. Para lo anterior el presente artículo propone una metodología para medir la efectividad de un control.

La efectividad de un control

Dada la obligación de las entidades de medir la efectividad de los controles, a continuación infolaft suministra los conceptos básicos del método DAC (cuya sigla se deriva de las iniciales Diseño, Alcance y Cumplimiento de un control, uno de los métodos para poder medir dicha efectividad.

Diseño

El Diseño de un control está más relacionado con el punto de vista teórico del mismo, pues hace referencia a qué tan acertada es la planeación y definición conceptual por parte de la entidad de los aspectos relevantes de dicho control, con el ánimo de que, una vez sea implementado, el mismo pueda cumplir los objetivos planteados. El diseño debe tener como punto de partida las normas y las mejores prácticas que la entidad está obligada y/o desee a cumplir.

ISO 31000 y el diseño

Por su parte la NTC-ISO 31000 no hace mención explícita al diseño de un control pero sí a la selección de “las opciones para el tratamiento del riesgo” a partir de criterios como:
  • Considerar los costos del control frente a los beneficios (legales, reglamentarios, sociales, etc.). Por ejemplo, el control para las personas expuestas públicamente representa un costo para la entidad pero puede prevenir prácticas corruptas por parte de funcionarios públicos.
  • Riesgos económicos de implementar controles que no son económicamente viables.
  • Considerar una o varias “opciones para el tratamiento del riesgo”. Por ejemplo, el control puede estar diseñado para disminuir el impacto y la probabilidad del evento de riesgo.
  • Valores y percepciones de las partes involucradas.
  • Cambios en el riesgo de otras partes de la organización o involucrados. Por ejmplo, considerar cómo se puede ver afectada la inclusión financiera de los clientes frente a un nuevo control.
  • Planear cómo priorizar el tratamiento individual del riesgo.

Coso ERM y el diseño

Al igual que la NTC ISO 31000, Coso ERM no hace mención específica al diseño de un control pero sí aclara que estos deben ser específicos a la entidad, para lo cual se deben considerar aspectos como:
  • Personas que administran la entidad
  • Ambiente e industria en la cual opera la entidad
  • Tamaño y complejidad de la organización
  • Naturaleza y alcance de las operaciones
  • Historia y cultura de la entidad
A continuación infolaft suministra un listado no exhaustivo de los aspectos que se pueden tener en cuenta para el diseño de un control, algunos tomados de la experiencia propia y también de los estándares mencionados anteriormente.
  • Documentado y aprobado: el control se encuentra formalmente documentado y cuenta con las aprobaciones de las áreas encargadas.
  • Objetivo: el (los) objetivo(s) del control está(n) alineado(s) con las políticas de prevención LA/FT de la entidad.
  • Procedimiento: el control tiene un procedimiento para su ejecución.
  • Método de evaluación: el control cuenta con uno o varios indicadores para medir su desempeño.
  • Responsable ejecución: el control especifíca el o los responsables para su ejecución.
  • Recursos: el control identifica los recursos de la organización para la ejecución del citado control.
  • Eventos de riesgo: se tienen identificados los eventos de riesgo que mitigan este control.
  • Probabilidad e impacto: el control está diseñado para modificar la probabilidad o el impacto de uno o varios riesgos o ambos.
  • Revisión periódica: el control es revisado de forma periódica. Por ejemplo, el control debería seguir operando de forma manual o ser automático.
  • Costo del control: la entidad tiene identificados los beneficios sociales y los costos del control.
  • Partes afectadas: el control tiene identificadas las partes afectadas por el mismo dentro o fuera de la organización.

Alcance

El alcance de un control hace referencia a la cobertura óptima que debe tener el mismo dentro de los recursos de la organización para impedir la materialización de un riesgo por el inadecuado alcance del mismo. Es decir, si las políticas, procedimientos, prácticas y dispositivos de la entidad, requeridos para impedir la materialización de uno o varios eventos de riesgo, se encuentran ubicados en todos los puntos (áreas, procesos, canales, jurisdicciones, unidades de negocio, etc.) o en donde deben ser aplicado. Por ejemplo, considérese una entidad que tiene como política no realizar transacciones u operaciones con contrapartes que figuren en la lista Ofac y que decide implementar un sistema de cruce de listas vinculantes y restrictivas. Sin embargo, en la práctica dicho sistema cubre únicamente el área de vinculación de clientes, dejando por fuera las contrapartes con las que se pueden establecer relaciones contractuales a través del área de compras y contratación. Por lo tanto el alcance de ese control es inadecuado, pues no es coherente con la política de la entidad. Para establecer controles con un alcance adecuado es importante contar con un conocimiento de los procesos de la organización y de las actividades que desarrollan los responsables de dichos procesos, para evitar que los controles pasen por alto algún hecho o situación susceptible de ser controlados. A continuación infolaft suministra un listado, no exhaustivo, de los aspectos a tener en cuenta dentro del alcance:
  • Procesos de la organización: el control se encuentra implementado en todas las áreas a cargo de los procesos asociados.
  • Actividades de cada proceso: el control supervisa, detecta, valida, compara, etc, los resultados de las actividades que deben ser controladas.
  • Sucursales o Jurisdicciones: el control opera en todas las sucursales o jurisdicciones en donde debe funcionar.

Cumplimiento

El cumplimiento de un control hace referencia a la ejecución y puesta en marcha por parte de la entidad del control conforme a la normatividad legal, políticas, procedimientos, prácticas y dispositivos que fueron diseñadas para determinado control. En otras palabras el cumplimiento consiste en verificar si las políticas y procedimientos de la entidad se ven reflejados en acciones concretas. La NTC-ISO 31000 hace mención a un concepto similar de cumplimiento, el cuál es la “operación”. En particular la norma indica que el proceso de monitoreo debe “garantizar que los controles son eficaces y eficientes tanto en el diseño como en la operación”. Claramente la norma hace referencia al monitoreo del diseño y cumplimiento del control. A continuación infolaft suministra un listado, no exhaustivo, de los aspectos a tener en cuenta dentro del cumplimiento:
  • Entes de control: han validado que el control se encuentre operando de acuerdo con  su diseño.
  • Revisiones periódicas: el oficial de cumplimiento revisa de forma periódica si el control se encuentra en funcionamiento.

La efectividad del control

El libro Indicadores de Gestión ilustra el concepto de efectividad, el cual viene dado en el primer nivel por la interacción de los “elementos” de la empresa, que son recursos, procesos, productos y cliente. Dicha interacción debe ser monitoreada por “signos vitales o factores claves para el éxito”, los cuales son la efectividad, la eficacia, la eficiencia y la productividad. La efectividad y la productividad provienen del logro de la eficacia y la eficiencia, aunque de forma diferente como lo estipula el autor. En el contexto de prevención de lavado de activos se espera que los controles sean eficientes en el sentido que los recursos empleados por la organización en los procesos para la prevención del lavado de activos sean aprovechados al máximo para conseguir el objetivo del control. Por su parte la eficacia hace referencia al grado de cumplimiento de los objetivos del control, que se traduce en la “modificación del riesgo” LA/FT de la entidad de acuerdo con su diseño y que a su vez cumpla las expectativas y necesidades de los “clientes” o el grupo de personas por quien se implementan los controles.

La efectividad y el DAC

Una vez reunidos los aspectos del diseño, alcance y cumplimiento del control el oficial de cumplimiento puede determinar la efectividad del mismo a partir de la evaluación de cada uno de los tres aspectos del DAC. Del primer gráfico es importante destacar que si alguno de los elementos del DAC no está presente la efectividad del control es nula. Por ejemplo si el control carece de diseño este adquiere el carácter de informal y puede no estar orientado a los objetivos de prevención LA/FT de la organización. Por su parte si el control no tiene el alcance apropiado existe la posibilidad de que hechos o situaciones que puedan incrementar el riesgo LA/FT pasen desapercibidas por parte de la organización. Y, por último, un control que carece de cumplimiento no es efectivo porque sencillamente no se ejecuta.

Recomendados

Lavado de activos: ¿cómo evitarlo en su empresa?

El lavado de activos es un delito que busca dar apariencia de legalidad a...

Listas restrictivas: ¿qué son y cómo funcionan?

Las listas restrictivas son bases de datos y sanciones contra empresas y...

¿Qué es extinción de dominio y cómo se evita en empresas?

La extinción de dominio es un proceso por medio del cual se afectan los bienes...