La etapa de identificación es aquella en la que una empresa establece cuáles son los factores de riesgo de lavado de activos o financiación del terrorismo, para lo cual se exige que las organizaciones cuenten con metodologías que permitan alcanzar dicho objetivo. En este artículo, Infolaft le recomienda la mejor manera de aproximarse al tema.
Este artículo fue elaborado por Infolaft con base en la experiencia adquirida, luego de diez años de prestar el servicio de listas restrictivas y de consultoría Sarlaft y Sagrlaft a cerca de 200 empresas del sector financiero, sector real, sector cooperativo, sector salud y de comercio exterior en Colombia y en varios países de Latinoamérica.
Las listas vinculantes para Colombia
Lea también: SAGRILAFT, sistema para prevenir lavado de activos en empresas
Eventos de riesgo Sarlaft, antes de identificarlos
El marco jurídico exige que en la etapa de identificación toda entidad obligada a prevenir el riesgo de LA/FT tenga una metodología para la segmentación de los factores de riesgo. También se les exige aplicar la metodología y segmentar efectivamente los factores de riesgo. Con base en esto tiene que identificar las vías a través de las cuales se puede materializar el riesgo de LA/FT. Estas exigencias, que a simple vista parecen sencillas, encuentran obstáculos cuando se hace evidente que la regulación no dice cuál metodología utilizar para dicha segmentación. Esta situación, sin duda, genera inquietudes en los oficiales de cumplimiento encargados del correcto funcionamiento del Sarlaft. Este es un escenario en el que la inacción no es la conducta apropiada, pues pecar por defecto puede generar problemas frente al supervisor. Por ello, la recomendación más importante es que se escoja una o varias metodologías que puedan ser adaptables a la estructura corporativa existente. Además, se debe documentar correctamente por qué se eligió o se eligieron esas metodologías. Listas restrictivas y habeas dataIdentifique eventos de riesgo Sarlaft con la ISO 31000
Para identificar eventos de riesgo Sarlaft, una de las metodologías más ampliamente aceptadas es la Norma Técnica Colombiana (NTC) ISO 31000. Esta norma proporciona principios y directrices para la gestión de riesgos y el proceso de implementación, tanto en el nivel estratégico como en el operativo. En relación con el proceso de identificación, este documento exhorta a que las entidades tengan una lista exhaustiva de eventos de riesgo. Básicamente, un evento de riesgo es aquel susceptible de crear, aumentar, prevenir, degradar, acelerar o retrasar el cumplimiento de los logros y objetivos del Sarlaft. Estos objetivos se pueden desagregar en los siguientes:- Que a la empresa no le ingresen activos ilícitos
- Evitar que la empresa maneje activos ilícitos.
- Prevenir que de la empresa salgan activos ilícitos con apariencia de legalidad.
Eventos de riesgo Sarlaft: hay que socializarlos
Pero faltan dos pasos para que la identificación de eventos de riesgo Sarlaft, basada en el reconocimiento, sea útil en las entidades. El primero consiste en redactar y caracterizar de forma detallada los eventos de riesgo, de tal manera que sean reconocibles por todos los colaboradores de la organización. Mientras que el segundo paso consiste en adaptar los eventos a los procesos internos. Esto ayudará a responder la pregunta: ¿en qué fase de los procesos pueden ocurrir los eventos de riesgo Sarlaft? Las recomendaciones para que este procedimiento de identificación y redacción de los eventos de riesgo, y su incorporación a los procesos corporativos sea exitoso son:- No quedarse únicamente en los procesos de vinculación de clientes, sino incluir todos los que involucran contrapartes, dado que el riesgo de LA/FT se puede materializar en todos ellos.
- No circunscribirse únicamente al tema de productos, sino también al de servicios financieros.
- Estudiar la posibilidad de establecer a los activos como un factor de riesgo adicional dentro del proceso de identificación de eventos de riesgo.
- Superar la idea de que los eventos de riesgo conforman una lista estática. Además de nombrarlos, hay que describirlos de forma detallada.
- Comprender que homogeneizar los eventos de riesgo permite que no sean contradictorios y que se les pueda dar un tratamiento uniforme y eficiente.