Cuestiones prácticas sobre la autoevaluación de riesgos en el sector del mercado de capitales

I. INTRODUCCION

El 5 de marzo de 2018 fue publicada la Resolución Nro. 21/2018 (en adelante la “Resolución”) de la Unidad de Información Financiera (“UIF”) cumpliendo formalmente con los compromisos asumidos por la República Argentina frente al Grupo de Acción Financiera (“GAFI”) para la implementación de un enfoque basado en riesgos (“EBR”)  en el sector del mercado de capitales.

Independientemente de la aplicación de un EBR en relación con los elementos de cumplimiento normativo (por ejemplo, las políticas de conocimiento del cliente), la Resolución establece entre otros requerimientos, la obligación de implementar un proceso de autoevaluación de los riesgos de lavado de activos y el financiamiento del terrorismo (“Autoevaluación de Riesgos”)”) por parte de los sujetos obligados enumerados en los incisos 4 y 5 de la Ley Nro. 25.246 y modificatorias (“Sujetos Obligados”).

II. PRINCIPALES REQUERIMIENTOS DE LA RESOLUCIÓN

La Resolución determina que los Sujetos Obligados deben establecer por escrito una metodología que le permita identificar, evaluar, mitigar y monitorear los  riesgos de lavado de activos y el financiamiento del terrorismo (“Riesgos”) a los cuales están expuestos, tomando en consideración los siguientes factores de riesgo con cada una de las líneas de negocios de la organización: (i) clientes; (ii) productos y servicios ofrecidos; (iii) canales de distribución; y (iv) zonas geográficas. Asimismo, requiere que dicho proceso sea aprobado por el órgano de administración o la máxima autoridad del Sujeto Obligado.

Por otra parte, las características y procedimientos del proceso de Autoevaluación de Riesgos, así como el nivel apropiado de monitoreo y las acciones correctivas o métodos para mitigar los Riesgos identificados, deberán ser debidamente documentados. Los resultados que obtenga el Sujeto Obligado deberán constar en un informe técnico elaborado por el Oficial de Cumplimiento (“Informe Técnico”) incluyendo los siguientes requisitos: (i) contar con la aprobación del órgano de administración; (ii) conservar los registros en el domicilio registrado ante la UIF; (iii) actualizarlo en forma anual; y (iv) enviar el Informe Técnico a la UIF una vez aprobado por el órgano de administración. Es importante destacar que la no revisión por parte de la UIF, no podrá considerarse como una aprobación tácita.

Una vez que los Sujetos Obligados hayan identificado y evaluado los Riesgos, deberán establecer mecanismos adecuados que permitan mitigar los mismos. En el caso de eventos o situaciones consideradas de alto riesgo, se deberán implementar controles más robustos y específicos, pudiendo, en los demás casos, diferenciar el alcance de las medidas de mitigación dependiendo del nivel de Riesgo identificado, en la medida que los Sujetos Obligados puedan aportar documentación, reportes, estadísticas u otra documentación que acredite la no concurrencia de factores de Riesgo, o su carácter meramente marginal, de acaecimiento remoto o circunstancial.

Conforme a la estrategia de negocios y dimensión de la actividad de los Sujetos Obligados, en el marco de las políticas de gestión de Riesgos, los Sujetos Obligados deberán contar con una declaración de tolerancia al Riesgo aprobado por el órgano de administración, incluyendo los factores de riesgo, así como la implementación de políticas para la aceptación de clientes que presenten un alto Riesgo, la cual deberá establecer las condiciones para su aprobación, las comunicaciones internas requeridas y se realice la identificación de los tipo de clientes respecto de los cuales no se podrá mantener una relación comercial.

Finalmente,  en el artículo 41, la Resolución establece el plan de implementación que deberán cumplir los Sujetos Obligados: (i) al 30 de septiembre de 2018 haber desarrollado y documentado la metodología de Autoevaluación de Riesgos; (ii) al 31 de diciembre de 2018 contar con el Informe Técnico y (iii) al 31 de marzo de 2019 haber implementado los ajustes necesarios a las normas internas de acuerdo a los resultados obtenidos.

III. CONSIDERACIONES PRELIMINARES

Para lograr una efectiva implementación de un proceso de Autoevaluación de Riesgos existen ciertas consideraciones preliminares a tener en cuenta. En primer lugar, cada organización es diferente. Ello incluye cuestiones como los Riesgos a los cuales está expuesta cada  compañía, así como aquellas relacionadas a la política de apetito al riesgo establecido por el órgano de administración, y los recursos humanos y/o tecnológicos disponibles para mitigar los riesgos.

Por otra parte, todo proceso de Autoevaluación de Riegos implica la determinación de los objetivos (“Benchmarks”) que la compañía desea alcanzar, tales como el estricto cumplimiento del marco legal y regulatorio, el apego a los valores y políticas corporativos; la aplicación de las mejores prácticas de la industria y la búsqueda constante en la mejora de la calidad y efectividad del sistema para la prevención del lavado de dinero y el financiamiento del terrorismo (“Sistema de PLAyFT”).

Si bien la no revisión y/o aprobación de la Autoevaluación de Riesgos por parte de la UIF no implica una aprobación tácita, es importante considerar que los reguladores en el marco del desarrollo de sus funciones, suelen tomar como Benckmark a las  organizaciones que muestren un estándar superior en el grado de cumplimiento de la normativa aplicable. En ese sentido, aquellos Sujetos Obligados que se destaquen en el cumplimiento de las políticas de gestión de riesgos, incluyendo la implementación del proceso de Autoevaluación de Riesgos, marcarán el  estándar esperado por parte de la UIF en esta materia.

Los procesos de Autoevaluación de Riesgos no son una novedad en otras jurisdicciones (ej. Estados Unidos de América), en ese sentido, es recomendable apoyarse en las buenas prácticas y estándares internacionales que ya se vienen aplicando actualmente.

Finalmente, la implementación del proceso de Autoevaluación de Riesgos, debe ser entendida como uno de los elementos que componen el Sistema de PLAyFT, incluyendo al programa de capacitación, las políticas y procedimientos y el monitoreo y auditorías entre otros. Por ejemplo, el resultado de la Autoevaluación de Riesgos podría requerir una mejora en otros elementos del Sistema de PLAyFT, como por ejemplo la implementación de un nuevo entrenamiento o la elaboración de políticas complementarias. Asimismo, la incorporación de nuevos controles en una manual de procedimientos seguramente requerirá su consideración en el proceso de Autoevaluación de Riesgos. El Sistema de PLAyFT es un todo, en el cual los elementos que lo componen tienen un carácter dinámico, en constante influencia entre sí.

IV. PREGUNTAS BÁSICAS  

Frente a cualquier desafío que implique la interpretación y puesta en práctica de nuevas regulaciones, la primer pregunta que debería surgir es, ¿cuál es el espíritu de la nueva norma?, ¿Cuáles serán las expectativas del organismo regulador? En ese sentido, la mitigación de los Riesgos es el principal objetivo de la Autoevaluación de Riesgos.

Ahora bien, a los efectos de implementar un proceso de Autoevaluación de Riesgos efectivo, los Sujetos Obligados deberían basarse en preguntas complementarias para evaluar el mismo. Por ejemplo, ¿la compañía se está enfocando en las cuestiones de mayor riesgo para la entidad?; ¿el Sistema de PLAyFT está basado en los principios y valores de la organización, así como los riesgos relacionados a la actividad y perfil de negocios?; ¿se están obteniendo los resultados óptimos en función de los esfuerzos y asignación de recursos realizados?; ¿se están aplicando los recursos humanos y tecnológicos en los procesos y/o controles adecuados?; y ¿es efectivo el Sistema de PLAyFT o existe cierto margen para su mejora?.

V. RECOMENDACIONES PRÁCTICAS PARA UNA EFECTIVA IMPLEMENTACIÓN DEL PROCESO DE AUTOEVALUACIÓN DE RIESGOS

Seguidamente, y a los fines de una adecuada implementación del proceso de Autoevaluación de Riesgos, se deberán analizar y tener en consideración como mínimo los siguientes aspectos para su diseño.

● El compromiso de la dirección & la cultura corporativa. La efectividad y éxito de un proceso de Autoevaluación de

Riesgos depende en gran medida del compromiso de los niveles más altos de la organización para que no se limite a una mera implementación formal con los riesgos que ello conlleva, independientemente de la estructura del Sujeto Obligado no se hace referencia solamente al Órgano de Administración, sino también a todos los empleados y funcionarios con responsabilidades en materia de prevención del LA/FT. En esta instancia entra en juego más que nunca el famoso concepto de TONE FROM THE TOP. Este concepto se originó en las empresas de auditoría, y con él se hace referencia a la actitud de los altos directivos de una organización hacia los controles financieros internos. Se popularizó luego de una serie de importantes escándalos contables corporativos, como los que afectaron a Enron, Tyco International, Adelphia, Peregrine Systems y WorldCom, cuando el concepto fue enfatizado fuertemente en la Ley Sarbanes-Oxley de 2002 como medida importante en la prevención y detección de fraudes y otras prácticas financieras poco éticas. Hoy en día el término se aplica muy ampliamente, incluso en los campos de administración general, seguridad de la información, desarrollo de leyes y software, y se usa a menudo para describir la cultura corporativa general establecida por el liderazgo de una organización.

● Diseño y análisis en función de los riesgos asociados. El Proceso de Autoevaluación de Riesgos debe ser elaborado en función de los riesgos de LA/FT asociados a las características propias de los Sujetos Obligados, considerando su actividad, dimensión y capacidad, así como la estructura de control interno y recursos humanos y/o tecnológicos disponibles. No existe un modelo único de Autoevaluación de Riesgos que se ajuste a todos los Sujetos Obligados. Cada uno de los Sujetos Obligados poseen sus propios valores, políticas de negocios, esquema de control interno, estructura organizacional y política de apetito al riesgo de LA/FT. A ello se le suma las buenas prácticas propias de la industria, y las políticas regionales y/o globales en el caso de los grupos económicos.

● El enfoque basado en riesgo como principal paradigma. La identificación de los diferentes riesgos a los cuales están expuestos los Sujetos Obligados es un requisito básico y principio fundamental para el diseño y monitoreo del proceso de Autoevaluación de Riesgos. Aquellas actividades comerciales que desarrollen los Sujetos Obligados y que generen un mayor riesgo de LA/FT deben ser mitigados con controles adicionales, procesos de monitoreo continuo, procedimientos especiales de debida diligencia, etc.

● Dinámica del proceso de autoevaluación de riesgos y sus implicancias. Considerando el dinamismo de los Factores de Riesgos y las variables que componen el proceso de Autoevaluación de Riesgos,  su análisis en forma periódica es esencial para determinar el grado de efectividad de los controles implementados para mitigar los riesgos de LA/FT. Habida cuenta de ello, los encargados de diseñar, ejecutar y monitorear el proceso de Autoevaluación de Riesgos deberán indefectiblemente preguntarse con cierta frecuencia si: ¿el proceso de Autoevaluación de Riesgos está funcionando conforme a los objetivos o benchmarks establecidos al momento de su diseño e implementación?; ¿se están invirtiendo los recursos en forma adecuada?; ¿los riesgos están siendo mitigados de acuerdo con lo esperado? Asimismo, la Autoevaluación debe generar acciones concretas por parte de los Sujetos Obligados  como la implementación de planes de acción correctivos entre otras medidas.

● La actualización permanente del proceso de autoevaluación de riesgos como una necesidad. Debe tenerse muy en cuenta que el proceso de Autoevaluación de Riesgos no debe entenderse como estático, sino todo lo contrario. Se trata de un elemento dinámico y que permanentemente debe captar la realidad de la organización, es decir, contemplar nuevos productos y/o servicios, nuevas líneas comerciales o canales de comercialización, la implementación de nuevas sucursales, etc.

● El rol del riesgo reputacional en el proceso de autoevaluación de riesgos. el proceso de Autoevaluación de Riesgos de Riesgos cumple un rol trascendental en la mitigación del riesgo reputacional. La publicación de una noticia adversa en los medios de comunicación puede afectar severamente la reputación de los Sujetos Obligados, independientemente de su grado de culpabilidad, pudiendo generar pérdidas económicas, pérdidas de clientes, gastos en asesoramiento legal, pérdida de mercados, etc.

● Los aspectos formales y su relevancia ante los procesos de inspecciones y/o requerimientos del regulador. El proceso de Autoevaluación de Riesgos será ser objetivo de revisión por parte de la UIF. En este sentido los Sujetos Obligados deben documentar el Proceso de Autoevaluación de Riesgos  en forma clara, precisa y completa, incluyendo todos los Factores de Riesgos, los controles vigentes, así como las acciones correctivas necesarias, a los efectos de demostrar su eficacia en el marco de una posible inspección y/o requerimiento por parte del regulador.

VI. CONCLUSIONES

Luego de varios años de convivir con un marco regulatorio cuyo paradigma estaba basado en el cumplimiento formal, el cambio de cultura en el sector del mercado de capitales, es todo un desafío, y en particular si nos referimos a la implementación de un proceso de Autoevaluación de Riesgos. No obstante ello, y más allá de las complejidades que pueda presentar el desarrollo de una metodología para evaluar los Riesgos, nadie mejor que los propios Sujetos Obligados conocen los Riesgos a los cuales están expuestos en el marco del desarrollo de sus actividades comerciales en forma diaria. En ese sentido, la Autoevaluación de Riesgos no es ni más ni menos que el reflejo de los mismos en un documento escrito puesto a disposición del regulador, en este caso de la UIF

La Autoevaluación de Riesgos, es un elemento del Sistema de PLAyFT muy efectivo cuando es utilizado en forma correcta, no sólo como punto de partida para determinar el estado de situación de la organización, sino también como una herramienta que permita evaluar la evolución de la  efectividad del Sistema de PLAyFT en el tiempo.

Finalmente, no debe perderse de vista que la implementación de un Sistema de PLAyFT, incluyendo uno de sus elementos como el proceso de Autoevaluación de Riesgos tiene una serie de beneficios para la organización, los cuales son enumerados a continuación: (i) demuestra el compromiso de la organización en el cumplimiento de las leyes, regulaciones y buenas prácticas; (ii) permite identificar y prevenir delitos y/o conductas poco éticas; (iii) alienta a los funcionarios y empleados a cumplir con las normas de la compañía y a denunciar violaciones a las mismas; (iv) reduce el riesgo de posible sanciones a la organización así como a sus funcionarios y (v) protege la reputación de la organización.