5 cosas que debes saber para crear una matriz de riesgos LAFT

Para una adecuada gestión de los riesgos de lavado de activos y financiación del terrorismo en las organizaciones, al igual que ocurre con otro tipo de riesgos, es importante tener bien definida y actualizada la matriz de riesgos.

En este artículo te contamos sobre algunos elementos que debes tener en cuenta a la hora de construir una matriz para la gestión de riesgos LAFT en tu organización. 

1. Qué es y para qué sirve la matriz de riesgos

Lo primero es recordar que una matriz de riesgos es una herramienta sencilla y eficaz que permite a las organizaciones de cualquier industria y tamaño identificar los diferentes riesgos a los que están expuestas. 

En este caso, sirve para la identificación y gestión de los riesgos de lavado de activos y financiación del terrorismo, es decir, a través de esta herramienta las organizaciones también pueden evaluar, controlar y monitorear de una mejor manera estos riesgos, que en caso de materializarse traerían consecuencias negativas como afectaciones a la reputación y a la continuidad del negocio. 

Por otra parte, ten presente que al elaborar una matriz de riesgos para tu organización esta debe:

• Ser flexible.
• Ser fácil de elaborar y de consultar por parte de todo el personal de la organización.
• Permitir realizar un diagnóstico objetivo de todos los factores de riesgo del negocio o cualquier otra característica. 

2. Metodologías utilizadas para la matriz de riesgos

Para elaborar una matriz de riesgos es recomendable definir previamente un marco de referencia o metodología de gestión de riesgos, por ejemplo, la norma ISO 31000 o el marco COSO.

De manera general, la norma ISO 31000 presenta una guía útil para la gestión de riesgos. Al implementar esta metodología, a través de la gestión de riesgos las organizaciones podrán tomar mejores decisiones, establecer y lograr objetivos estratégicos y mejorar su desempeño. 

Quienes se basen en esta metodología para la gestión y construcción de la matriz de riesgos LAFT deben, entre otras cosas: definir los objetivos del sistema de gestión, nombrar a los responsables del sistema de gestión de riesgos, identificar los riesgos, analizar los riesgos y definir los controles. 

Con respecto al marco COSO, se trata de un sistema de gestión de riesgos y control interno que tiene como objetivo diagnosticar problemas y dificultades en las organizaciones para gestionarlos y generar cambios necesarios que beneficien a la empresa. 

3. Frecuencia e impacto en la matriz de riesgos

Conocer y definir la frecuencia y el impacto de los riesgos LAFT es fundamental en la construcción de la matriz de riesgos.

La frecuencia consiste en la probabilidad de que ocurra un riesgo. Esta probabilidad puede determinarse en la matriz a través de escalas de valores cualitativas y cuantitativas, por ejemplo:

1. Improbable: la probabilidad de que ocurra un riesgo, es decir, que se materialice, es demasiado baja, casi nula. 
2. Posible: la probabilidad de que ocurra es baja, aunque puede presentarse. 
3. Ocasional: el riesgo puede materializarse en cualquier momento. 
4. Probable: la materialización del riesgo es alta, de hecho, suele presentarse.
5. Frecuente: es muy alta la probabilidad de ocurrencia del riesgo. 

Entre tanto, el impacto se trata del conjunto de consecuencias que ocasiona la materialización de un riesgo, es decir, la afectación que el riesgo causaría a la organización y pueden ser económicos, legales, reputacionales, entre otros. Y al igual que en la frecuencia, se tienen escalas cualitativas y cuantitativas como:

1. Insignificante: el impacto no representa un problema para la organización.
2. Menor: el impacto del riesgo en los objetivos de la empresa es mínimo.
3. Moderado: la materialización del riesgo puede causar una pérdida momentánea.
4. Mayor: genera retrasos importantes que afectan el cumplimiento de los objetivos.
5. Catastrófico: puede detener la operación de la empresa, incluso, tener consecuencias como el cierre definitivo.

4. Pasos para crear la matriz de riesgos LAFT

Con todo lo anterior claro, veamos ahora qué pasos debes seguir para crear una matriz de riesgos LAFT en tu organización:

1. Conocimiento del contexto

Es importante conocer tanto el contexto interno como externo de la organización. El interno se refiere a las condiciones propias de la empresa, por ejemplo, la estructura organizacional, los procesos, las políticas, etc. 

Y el contexto externo tiene que ver con las condiciones por fuera de la organización (locales, nacionales e internacionales) que se interrelacionan con esta, entre otras: globalización económica, panorama político, dinámica de la industria, cultura del país, instituciones legales, etc.

2. Identificación de los riesgos LAFT

Aquí es importante considerar tanto el alcance y el contexto de los diferentes procesos organizacionales para identificar los riesgos LAFT a los que están expuestos. Algunos riesgos pueden ser: incumplimientos del marco legal, multas y sanciones, fraude, corrupción, captación ilegal de dinero, entre otros. 

3. Asociar riesgos

Los riesgos de lavado de activos y financiación del terrorismo traen asociados otros riesgos que es necesario conocer y tener presentes en la matriz de riesgos:

• Riesgo reputacional: se presenta por el desprestigio, la mala imagen o la publicidad negativa de una organización. Cuando se materializa este riesgo, es posible que haya una pérdida de clientes, disminución de los ingresos incluso el enfrentamiento de procesos judiciales.

• Riesgo legal: se presenta cuando una entidad es sancionada, multada u obligada a indemnizar por haber incumplido normas, regulaciones u obligaciones contractuales.

• Riesgo de contagio: se trata de la posible afectación reputacional, legal o económica que puede sufrir una organización por estar relacionada con la acción o la experiencia de una persona natural o jurídica asociado a ella.

• Riesgo operativo: fallas en las personas, procesos o tecnologías asociadas a delitos de LAFT y que puedan interferir con la normal operación de la organización. 

4. Definir los controles

A cada uno de los riesgos identificados es necesario asignarles controles efectivos que ayuden a prevenirlos o a mitigar su impacto. Estos controles pueden ser preventivos o detectivos e implementarse de forma automática, semiautomática o manual. 

5. Tipologías y delitos fuentes de riesgos LAFT

En la construcción de la matriz de riesgos LAFT también es necesario conocer las diferentes tipologías de riesgos LAFT que existen, por ejemplo: 

• Movimiento transfronterizo de dinero.
• Importación ficticia de maquinaria y materias primas.
• Transporte transfronterizo de divisas.
• Lavado de fondos provenientes de la explotación del oro.

Tener conocimiento de estas tipologías ayuda en la valoración de la frecuencia y el impacto que pueden tener los riesgos identificados en la matriz. 

Y en cuanto a los delitos fuente hay que considerar delitos como: trata de personas, tráfico de migrantes, extorsión, enriquecimiento ilícito, delitos contra el sistema financiero, entre otros. 

Ya que conoces todo esto, en tu organización podrán crear la matriz de riesgos para la gestión de los riesgos de lavado de activos y financiación del terrorismo. 

Pero si quieres hacerla de una manera mucho más simple, eficiente y práctica, crea ahora tu cuenta en Pirani y conoce cómo a través de nuestro sistema de gestión AML podemos ayudarte no solo a crear la matriz de riesgos sino también a gestionar adecuadamente estos riesgos.