REQUERIMIENTOS REGULATORIOS

Luego de tanta espera, y tras varios meses de análisis por los sujetos obligados enumerados en los incisos 4 y 5 del artículo 20 de la Ley 25.246 y modificatorias, así como aquellos enumerados en el inciso 22 que actúen como fiduciarios financieros de valores fiduciarios con oferta pública (“Sujetos Obligados”), se publicó en el Boletín Oficial la Resolución Nro. 21/2018 (la “Resolución”) de la Unidad de Información Financiera (“UIF”) cumpliendo formalmente de esta manera con los compromisos asumidos por la República Argentina frente al Grupo de Acción Financiera (“GAFI”) para la implementación de un enfoque basado en riesgos en el mercado de capitales.

Independientemente de la aplicación de un enfoque basado en riesgos  en relación con los elementos de cumplimiento (por ejemplo, conocimiento del cliente), la obligación de realizar una autoevaluación de los riesgos de lavado de activos y el financiamiento del terrorismo (“LA/FT”) por parte de los Sujetos Obligados es una parte esencial de este nuevo paradigma llamado “EBR”.

A continuación, se enumeran algunas cuestiones preliminares que establece la Resolución, previo al análisis de algunas recomendaciones para su efectiva implementación.

La Resolución determina que los Sujetos Obligados deben establecer por escrito una metodología de identificación y evaluación de riesgos que le permitan identificar, evaluar, mitigar y monitorear sus riesgos de LA/FT en función de la la naturaleza y dimensión de la actividad comercial propia, tomando en consideración los factores de riesgos en cada una de sus líneas de negocios (“Autoevaluación de Riesgos”). Asimismo, requiere que dicho proceso sea aprobado por el órgano de administración o la máxima autoridad (“Órgano de Administración”) del Sujeto Obligado.

Por otra parte, las características y procedimientos del proceso de Autoevaluación de Riesgos, así como el nivel apropiado de monitoreo y las acciones correctivas o métodos para mitigar el riesgo deberán ser documentadas. Los resultados que obtenga el Sujeto Obligado deberán constar en un informe técnico (“Informe Técnico”) elaborado por el Oficial de Cumplimiento que refleje los resultados de la implementación de la Autoevaluación de Riesgos incluyendo los siguientes requisitos: (i) contar con la aprobación del Órgano de Administración; (ii) conservar los registros en el domicilio registrado ante la UIF; (iii) actualizarlo en forma anual; y (iv) enviar el informe técnico a la UIF una vez aprobado por el Órgano de Administración. Es importante destacar que la no revisión por parte de la UIF no podrá considerarse como una aprobación tácita.

Si bien la Resolución en su espíritu tiene como objetivo darle libertades a los Sujetos Obligados para que determinen el proceso de Autoevaluación de Riesgos, la UIF requiere que determinados factores de riesgo de LA/FT sean considerados en forma obligatoria: (i) clientes; (ii) productos y servicios; (iii) canales de distribución (ej. internet o telefónica); y (iv) zona geográfica en la cual el Sujeto Obligado ofrece los productos y servicios (“Factores de Riesgo”).

Una vez que los Sujetos Obligados hayan identificado y evaluado los riesgos de LA/FT, deberán establecer mecanismos adecuados que permitan mitigar los mismos. En el caso de eventos o situaciones consideradas de alto riesgos, se deberán implementar controles más robustos y específicos, pudiendo, en los demás casos, diferenciar el alcance de las medidas de mitigación de los riesgos dependiendo del nivel de riesgo de LA/FT identificado, en la medida que los Sujetos Obligados puedan aportar documentación, reportes, estadísticas u otra documentación que acredite la no concurrencia de factores de riesgo de LA/FT, o su carácter meramente marginal, de acaecimiento remoto o circunstancial. Conforme a la estrategia de negocios y dimensión de la actividad de los Sujetos Obligados, en el marco de las políticas de gestión de riesgos de LA/FT, los Sujetos Obligados deberán contar con una declaración de tolerancia al riesgo aprobado por el Órgano de Administración, incluyendo los Factores de Riesgo, así como la implementación de políticas para la aceptación de clientes que presenten un alto riesgo de LA/FT, la cual deberá establecer las condiciones para su aprobación, las comunicaciones internas requeridas y se identifique los tipo de clientes respecto de los cuales no se podrá mantener una relación comercial.

Finalmente,  en el artículo 41 la Resolución establece el plan de implementación por parte de los Sujetos Obligados: (i) al 30 de septiembre de 2018 haber desarrollado y documentado la metodología de Autoevaluación de Riesgos; (ii) al 31 de diciembre de 2018 contar con el Informe Técnico y (iii) al 31 de marzo de 2019 haber implementado los ajustes necesarios a las normas internas de acuerdo a los resultados obtenidos.

RECOMENDACIONES PARA UNA EFECTIVA IMPLEMENTACIÓN DEL PROCESO DE AUTOEVALUACIÓN DE RIESGOS

Seguidamente, y a los fines de una adecuada implementación del proceso de Autoevaluación de Riesgos, se deberán analizar y tener en consideración como mínimo los siguientes aspectos para su diseño.

La efectividad y éxito de un proceso de Autoevaluación de Riesgos depende en gran medida del compromiso de los niveles más altos de la organización para que no se limite a una mera implementación formal con los riesgos que ello conlleva, independientemente de la estructura del Sujeto Obligado no se hace referencia solamente al Órgano de Administración, sino también a todos los empleados y funcionarios con responsabilidades en materia de prevención del LA/FT. En esta instancia entra en juego más que nunca el famoso concepto de TONE FROM THE TOP. Este concepto se originó en las empresas de auditoría, y con él se hace referencia a la actitud de los altos directivos de una organización hacia los controles financieros internos. Se popularizó luego de una serie de importantes escándalos contables corporativos, como los que afectaron a Enron, Tyco International, Adelphia, Peregrine Systems y WorldCom, cuando el concepto fue enfatizado fuertemente en la Ley Sarbanes-Oxley de 2002 como medida importante en la prevención y detección de fraudes y otras prácticas financieras poco éticas. Hoy en día el término se aplica muy ampliamente, incluso en los campos de administración general, seguridad de la información, desarrollo de leyes y software, y se usa a menudo para describir la cultura corporativa general establecida por el liderazgo de una organización.

● Diseño. El Proceso de Autoevaluación de Riesgos debe ser elaborado en función de los riesgos de LA/FT asociados a las características propias de los Sujetos Obligados, considerando su actividad, dimensión y capacidad, así como la estructura de control interno y recursos humanos y/o tecnológicos disponibles. No existe un modelo único de Autoevaluación de Riesgos que se ajuste a todos los Sujetos Obligados. Cada uno de los Sujetos Obligados poseen sus propios valores, políticas de negocios, esquema de control interno, estructura organizacional y política de apetito al riesgo de LA/FT. A ello se le suma las buenas prácticas propias de la industria, y las políticas regionales y/o globales en el caso de los grupos económicos.

● Enfoque basado en riesgo. La identificación de los diferentes riesgos a los cuales están expuestos los Sujetos Obligados es un requisito básico y principio fundamental para el diseño y monitoreo del proceso de Autoevaluación de Riesgos. Aquellas actividades comerciales que desarrollen los Sujetos Obligados y que generen un mayor riesgo de LA/FT deben ser mitigados con controles adicionales, procesos de monitoreo continuo, procedimientos especiales de debida diligencia, etc.

● Dinámica del proceso de autoevaluación de riesgos. Considerando el dinamismo de los Factores de Riesgos y las variables que componen el proceso de Autoevaluación de Riesgos,  su análisis en forma periódica es esencial para determinar el grado de efectividad de los controles implementados para mitigar los riesgos de LA/FT. Habida cuenta de ello, los encargados de diseñar, ejecutar y monitorear el proceso de Autoevaluación de Riesgos deberán indefectiblemente preguntarse con cierta frecuencia si: ¿el proceso de Autoevaluación de Riesgos está funcionando conforme a los objetivos o benchmarks establecidos al momento de su diseño e implementación?; ¿se están invirtiendo los recursos en forma adecuada?; ¿los riesgos están siendo mitigados de acuerdo con lo esperado? Asimismo, la Autoevaluación debe generar acciones concretas por parte de los Sujetos Obligados  como la implementación de planes de acción correctivos entre otras medidas.

● Actualización del proceso de autoevaluación de riesgos. Debe tenerse muy en cuenta que el proceso de Autoevaluación de Riesgos no debe entenderse como estático, sino todo lo contrario. Se trata de un elemento dinámico y que permanentemente debe captar la realidad de la organización, es decir, contemplar nuevos productos y/o servicios, nuevas líneas comerciales o canales de comercialización, la implementación de nuevas sucursales, etc.

● Riesgo reputacional. El proceso de Autoevaluación de Riesgos de Riesgos cumple un rol trascendental en la mitigación del riesgo reputacional. La publicación de una noticia adversa en los medios de comunicación puede afectar severamente la reputación de los Sujetos Obligados, independientemente de su grado de culpabilidad, pudiendo generar pérdidas económicas, pérdidas de clientes, gastos en asesoramiento legal, pérdida de mercados, etc.

● Inspecciones y/o requerimientos del regulador. El proceso de Autoevaluación de Riesgos será ser objetivo de revisión por parte de la UIF. En este sentido los Sujetos Obligados deben documentar el Proceso de Autoevaluación de Riesgos  en forma clara, precisa y completa, incluyendo todos los Factores de Riesgos, los controles vigentes, así como las acciones correctivas necesarias, a los efectos de demostrar su eficacia en el marco de una posible inspección y/o requerimiento por parte del regulador.