2. INTRODUCCIÓN
Las empresas deberán realizar un análisis de su exposición a este riesgo,
establecer su propio sistema de autocontrol y gestión de riesgo de LA/FT,
según las características de su negocio, los bienes y servicios que ofrece, su
comercialización, las áreas geográficas donde opera, entre otros aspectos
que resulten relevantes en el diseño del mismo
Superintendencia de Sociedades a través de la C.E. 100-00005 de Jun 2014
y C.E. 100-000006 de Agos 2016 presento las normas, estándares
internacionales y lineamientos con el fin de facilitar el sector real, la
implementación de un sistema de autocontrol y gestión del riesgo de LA / FT
La política de supervisión de la Superintendencia de Sociedades se basa en
algunos de los riesgos a los que están expuestas las empresas sujetas a su
supervisión, dentro de las cuales se destaca el riesgo de Lavado de Activos y
La Financiación al Terrorismo LA / FT
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
3. Efectuar un diagnóstico con el objetivo de identificar las brechas existentes
entre la situación actual de S&A / SE, con respecto a la situación ideal para
cumplir con el requerimiento de la Superintendencia de Sociedades
El resultado de esta consultoría, es proveer una ruta de implementación y
recomendaciones para que las empresas cumpla con el requerimiento de la
Superintendencia de Sociedades
OBJETIVO
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
4. SECTORES OBLIGADOS A IMPLEMENTAR SAGRLAFT
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
Sector
Financiero
Economía
Solidaria
Aduanero y
Cambiario
Transporte
de Valores
Notarias
Juegos de
Azar
Salud
Profesionale
s de Cambio
Vehículos Oro
Súper
Sociedades
Futbol
Giros
Postales
Inmobiliario
Explotación
de Minas
Servicios
Jurídicos
Servicios
Contables
Servicios de
Cobranza
Construcció
n Edificios
Partes/Piezas
de Vehículos
Servicios
Domiciliario
Sociedades
Portuarias
SECTORES REPORTANTES
5. ENFOQUE METODOLOGIA DEL TRABAJO
Diseño y
aprobación
Ejecución
Seguimiento
Cumplimiento
Comunicación
Capacitación
Cumplimiento-CE100-00005yCE100-000006
PLANEACION EJECUCION
MEDICION Y
MONITOREO
RESULTADO
Evaluacióndelestadodemaduresdel
sistema
GERENCIA DEL PROYECTO
Planeación y
definición del
alcance.
Identificación de los
procesos críticos de
la organización.
Definición de
políticas, Objetivos,
límites y
procedimientos
para la
administración de
riesgos.
Se identifiquen y
califiquen los
riesgos y sus
principales eventos
(causa/falla) a nivel
de procesos.
Identificación y
calificación de los
controles
asociados a los
riesgos y las
causa/fallas.
Implementar el
sistema de registro
de eventos
generadores de
riesgo.
Diseño y
generación de
informes
Definir
mecanismos de
revisión del
cumplimiento
Manual de
SAGRLAFT
Diseñar el plan
de comunicación
para todo el
proceso.
Diseñar el
proceso de
sensibilización y
capacitación que
se realizará
sobre
administración
de riesgos.
FRENTES DE
TRABAJO
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
6. Entrevistas y levantamiento de procesos
Matriz de Riesgos
Mapa de Riesgos 5x5
Manual de la Metodología
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
RESUMEN DEL PROCESO
Diagramas de Procesos
Diagramas de Procesos-Calificados
7. METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
El Comité BASILEA fue establecido en Suiza en 1975 por los presidentes de
los bancos centrales de los once países miembros del Grupo de los Diez (G-10)
en aquel momento. El Comité se constituyó en un foro de discusión para fomentar
la mejora y la convergencia de las prácticas y normativas.
Comité de Basilea, publica documentos con la finalidad de orientar con respecto a
cómo deben incluir la prevención del lavado de activos en su administración
general de riesgos.
Basilea enfatiza y da recomendaciones sobre riesgos de LA-FT algunos como:
1. Elementos para una sólida administración de riesgos
2. Mecanismos adecuados de prevención
3. Un sistema de monitoreo transaccional adecuado
4. Política de vinculación de cliente –proveedores
5. Monitoreo Permanente
6. Manejo de la información
7. Reporte de operaciones sospechosas
MARCOS DE REFERENCIA
8. MARCOS DE REFERENCIA
El Grupo de Acción Financiera Internacional – GAFI es un ente intergubernamental
establecido en 1989 por los Ministerios y sus jurisdicciones Miembro. El mandato del
GAFI es fijar estándares y promover la implementación efectiva de medidas legales,
regulatorias y operativas para combatir el lavado de activos. Se toman las 40
recomendaciones al LA y las 9 recomendaciones a la FT
El Grupo de Acción Financiera de Sudamérica – Gafisud es un organismo integrado
por todos los países de América del Sur, excepto Venezuela, y con el agregado de
México, creado en el año 2000 para “combatir el lavado de dinero y la financiación al
terrorismo, a través de la mejora continua de las políticas internacionales y
nacionales en cada una de sus países
Tipologías – es un documento de compilación y síntesis que fue realizado por la
Unidad de Información y Análisis Financiero – UIAF y se enmarca en las estrategias
de prevención en lavado de activos y/o financiación del terrorismo
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
9. METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
La UIAF tiene como misión prevenir y detectar operaciones relacionadas con el lavado de
activos y la financiación del terrorismo, mediante la centralización, sistematización y
análisis de información que recauda, con el fin de entregar información a las autoridades
competentes. Así mismo, divulga información relacionada con estos delitos para mejorar
los controles de aquellas personas, naturales o jurídicas, que sean susceptibles de ser
usadas.
Además, recibe los reportes de Operaciones Sospechosas de los sectores obligados a
tener implementado el SAGRLAFT.
El Grupo Egmont es un organismo internacional
conformado por Unidades de Inteligencia Financiera
(UIF), estableciendo una red internacional para
intercambiar información, conocimientos y tecnología en
pos de luchar contra el Lavado de Activos y la
Financiación del Terrorismo.
Unidad de Información y Análisis Financiero
10. MARCOS DE REFERENCIA
Para el desarrollo de la Metodología de Autocontrol de Riesgos de LA/FT se utilizó el
Marco de Referencia COSO ERM, el cual amplía el concepto de control interno y
proporciona un foco más robusto y extenso sobre la gestión del riesgo empresarial. El
marco define componentes esenciales, sugiere un lenguaje común y provee una dirección
y guía clara para la administración de riesgos en la Institución
El proyecto SAGRLAFT se divide en cinco etapas para su inicio, ejecución y
administración, ISO 19600: 2014, se basa en los principios de buen gobierno,
proporcionalidad, transparencia, sostenibilidad, ISO 31000: 2009, proporciona principios y
directrices genéricas sobre gestión de riesgos y lo establecido en la C.E 100-00005 Jun
2014 y C.E 100-000006 Agos 2016 de la Superintendencia de Sociedades
COSO ERM
Committee of Sponsoring
Organizatión
Comité de Organización
Patrocinadora
ISO 31000: 2009
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
12. CONCEPTO DEL RIESGO
Es la posibilidad de pérdida o daño que puede sufrir una entidad por su
propensión a ser utilizada a través de sus operaciones como instrumento para
el Lavado de Activos y/o canalización de recursos hacia la realización de
Actividades Terroristas, o cuando se pretenda el ocultamiento de activos
provenientes de dichas actividades
El Lavado de Activos-LA es una figura que busca darle apariencia de legalidad a
unos dineros de origen ilegal. Los delincuentes mediante el movimiento de
activos y dinero buscan crear esa apariencia legal de sus ganancias, o por lo
menos buscan que sea difícil seguir o rastrear el origen ilícito de sus ganancias
ilícitas, incurrirá por esa sola conducta, en prisión de ocho (8) a veintidós
(22) años y multa de seiscientos cincuenta (650) a cincuenta mil
(50.000) salarios mínimos legales vigentes
El Financiamiento del Terrorismo-FT es cualquier forma de acción económica,
ayuda o mediación que proporcione apoyo financiero a las actividades de
elementos o grupos terroristas, incurrirá, en prisión de trece (13) a veintidós
(22) años y multa de mil trescientos (1.300) a quince mil(15.000) salarios
mínimos legales mensuales vigentes
Articulo 323 de la ley 599 de 2000 CP SS: modificado por la ley 1121 de 2006”
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
Ver Mapas
13. COMPARACION ENTRE EL LA / FT
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
15. RIESGOS ASOCIADOS
Son los agentes generadores del riesgo de LA/FT. Para S&A / SE son objeto de estudio y
análisis los citados a continuación, de acuerdo con la normatividad vigente:
Contraparte - Personas naturales o jurídicas con las cuales la empresa tiene vínculos de negocio
Productos - Bienes y servicios que ofrece o compra una empresa en desarrollo de su objeto social
Canales de Distribución - Medios que utiliza la empresa para ofrecer y comercializar sus bienes y
servicios
Jurisdicción Territorial - Zonas geográficas identificadas como expuesta al riesgo de la LA/FT
FUENTES DE RIESGOS
Son los riesgos a través de los cuales se materializa el riesgo de LA/FT. Este grupo se compone de
acuerdo con la normatividad vigente:
Reputacional – Es la posibilidad de perdida en que incurre una empresa por desprestigio
Legal – Es la eventualidad de perdida en que incurre une empresa los asociados, sus
administradores vinculados a ser sancionados o multas por incumplimiento a las normas al LA/FT
Operacional – Es la posibilidad de ser utilizado en actividades LA/FT por deficiencias, faltas o
inadecuaciones en el recursos humano, los procesos, la tecnología, infraestructura, etc.
Contagio – Es la posibilidad de perdida que una empresa pueda sufrir, directa o indirectamente
por una acción de un cliente, empleado, proveedor, etc. vinculado con los delitos LA/FT
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
16. ETAPAS DEL SAGRLAFT
ELEMENTOS DEL SAGRLAFT
Son las fases o pasos sistemáticos e interrelacionados mediante los cuales se administra el
riesgo de LA/FT. La metodología implementada comprende las siguientes:
Identificación
Medición o Evaluación
Control
Monitoreo
Conjunto de componentes a través de los cuales se instrumenta de forma organizada y
metódica la administración del riesgo de LA/FT. El SAGRLAFT implementado al interior
de S&A / SE comprende lo siguiente:
Políticas
Procedimientos
Documentación
Estructura Organizacional
Órganos de Control
Infraestructura Tecnológica
Divulgación de Información
Capacitación
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
17. METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
ESTRATEGIAS DE ADMINISTRACION DE RIESGOS
18. METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
Es el riesgo intrínseco de cada proceso, sin tener en cuenta los controles que
de éste se hagan a su interior
Este riesgo surge de la exposición que se tenga a la actividad en particular y
de la probabilidad que un choque negativo afecte la rentabilidad y el capital de
la empresa
El riesgo inherente es propio del trabajo o proceso, que no puede ser
eliminado del sistema; es decir, en todo trabajo o proceso se encontrarán
riesgos para las personas o para la ejecución de la actividad en sí misma
RIESGO INHERENTE
RIESGO RESIDUAL
Es aquel riesgo que subsiste, después de haber implementado controles
El riesgo residual refleja el riesgo remanente una vez se han implantado de
manera eficaz las acciones planificadas por la dirección para mitigar el
riesgo inherente
El Riesgo Residual debe ser Medido o Monitoreado
19. Fuentes de
Riesgo
Riesgos
Asociados
Etapas
SAGRLAFT
• Contraparte
• Productos
• Canales de
Distribución
• Jurisdicción
Territorial
Elementos
SAGRLAFT
• Reputacional
• Legal
• Operativo
• Contagio
• Inherente
• Residual
• Identificación
• Medición
• Control
• Monitoreo
• Políticas
• Estructura
Organizacional
• Órganos de Control
• Procedimiento
• Documentación
• Infraestructura
Tecnológica
• Divulgación de la
Información
• Capacitación
ALCANCE DEL SAGRLAFT
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
21. ETAPAS DEL PROYECTO SAGRLAFT
Escala de Proyecto SAGRLAFT
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
22. 1-Analisis del Ambiente de Control
Se realiza un entendimiento del ambiente de control en la CIA a través de entrevistas con
los Gerentes/Jefes/Colaboradores de la empresa, responsables de los procesos, análisis
de diagramas de flujo, manuales de procedimientos, circulares reglamentarias, entre
otros, a efectos de establecer la base como los Funcionarios de la Entidad perciben
2-Análisis de Contraparte(clientes, proveedores, socios) Productos, Canales y
Jurisdicción
Se identifican las Personas involucradas en cada uno de los procesos relacionados con
Contraparte, Productos, Canales y Jurisdicciones, las actividades que desempeñan, los
Riesgos y Eventos de riesgo en materia de LA/FT
3-Elaboración de Matrices de Riesgos y Controles
Los riesgos y eventos de riesgo identificados para los fuentes de riesgo, y calculo del
riesgo inherente y residual (eventos y fuentes)
Medidas de control óptimas para mitigar los eventos de riesgo
Mecanismos aplicados para probar la efectividad y eficacia de las medidas
de control
ETAPAS DEL PROYECTO SAGRLAFT
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
23. ETAPAS DEL PROYECTO SAGRLAFT
4- Actividades de Control
Identificación y desarrollo de políticas y procedimientos que permitan que la respuesta a
los riesgos se lleve a cabo de forma efectiva y dentro del apetito de riesgo definido por la
CIA a efectos de proveer una seguridad razonable respecto al logro de los objetivos
Institucionales
5- Monitoreo
Se realiza mediante la ejecución de actividades permanentes de evaluación de efectividad
de los controles implementados en la Institución y que permiten reducir el impacto (y/o)
probabilidad de ocurrencia de los eventos de riesgo identificados para cada factor. De
igual manera se monitorea la creación de nuevos procesos relacionados con los factores
de riesgo SAGRLAFT o modificaciones a los existentes a efectos de identificar nuevos
riesgos, eventos de riesgo y controles en materia de LA/FT
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
24. PROYETO SAGRLAFT
Posterior los diagramas son
remitidos a las diferentes áreas para
su certificación y aprobación
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
El proceso nace, cuando la compañía remite la información de todos los procesos
que se encuentran documentados al interior. Fueron 33 diagramas de procesos
certificados.
Después de conocer, analizar y
clasificar la información de la
compañía, se procede con las
entrevistas y el levantamiento de los
diagramas de procesos en cada
área
25. PROYECTO SAGRLAFT
Identificación de los Riesgos, Eventos y Controles
Se identificaron los riesgos con base en la CE 100-000005, CE 100-000006 y marcos de referencia normativos
Riesgos
16
Ver Detalle
Excel
Eventos
46
Controles
46
Consolidado
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
26. CALIFICACION-DIAGRAMAS DE PROCESOS
Se procede con la identificación de los eventos de riesgo en los diferentes diagramas de procesos,
utilizado la siguiente codificación:
ER – 00 (Evento de riesgo y código)
CS – 00 (Control SAGRLAFT Y código)
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
27. METODOLOGIA DE LA CALIFICACIÓN – FUENTES DE RIESGOS
1-Introducción
Implementar una metodología que permita el cumplimiento de la normatividad local e internacional vigente,
a través de la administración de los riesgos relacionados con LA/FT, con acciones preventivas y/o
correctivas para el control efectivo de los Riesgos Identificados
2-Escala de Calificación
Se recomienda para obtener el nivel de riesgo de los diferentes fuentes que se evalúan. En la tabla
adjunta se define el límite inferior y superior para cada nivel de riesgo, al igual que la colorimetría
utilizada para identificarlos:
Escala de Calificación de los Fuentes de Riesgo
Volver
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
28. Estructura de la Matriz de Riesgos y Controles
Código y Descripción del Riesgo
Corresponden al código que identifica al riesgo en el catalogo general y a la descripción detallada
del riesgo de LA/FT
Código y Descripción del Evento de Riesgo
Corresponden al código que identifica al evento de riesgo (evento por el cual se puede materializar
el riesgo) y a la descripción detallada del mismo
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
Ver Detalle
Excel
Ver Matriz
29. Estructura de la Matriz de Riesgos y Controles
Probabilidad de Ocurrencia
Corresponde a una lista de valores con los cuales se califica la frecuencia del evento de riesgo con
base en una escala determinada de la siguiente manera:
Probabilidad Muy Alta
Probabilidad Alta
Probabilidad Moderada
Probabilidad Baja
Probabilidad Muy Baja
Nota: Los valores anteriores son mutuamente excluyentes
Probabilidad de Ocurrencia Descripción
Muy Alta
1. Se espera la ocurrencia del evento en más del 20% de los casos.
2. Ocurre con cierta periodicidad (1 vez cada mes).
Alta
1. El evento ocurrirá entre el 15 y el 20% de los casos.
2. Se presenta con alguna frecuencia (1 vez cada trimestre)
Moderada
1. El evento puede ocurrir entre el 10 y 15% de los casos.
2. Se presenta por lo menos una vez cada año
Baja
1. El evento puede ocurrir entre el 3 y el 10% de los casos
2. Se ha presentado alguna vez en la Entidad ó en el sector (En cinco años)
Muy Baja
1. El evento puede ocurrir en menos del 3% de los casos
2. Se ha presentado una vez en los últimos 20 años
Soporte Calificación Probabilidad
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
30. Impacto
Corresponde a una lista de valores con los cuales se califica el nivel de impacto del
evento de riesgo en caso de materializarse, con base en una escala determinada de la
siguiente manera:
Impacto Superior
Impacto Mayor
Impacto Importante
Impacto Menor
Impacto Inferior
Nota: Los valores anteriores son mutuamente excluyentes
Los criterios utilizados para calificar el impacto son los siguientes:
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
31. Soporte Calificación Impacto
Impacto
Nivel de Impacto Descripción
Superior
* Sanciones económicas y administrativas por parte del ente regulador por ausencia de
políticas, procedimientos y controles en materia de SAGRLAFT.
* Sanciones internacionales y desprestigio de la compañía por mantener relaciones con
clientes del pasivo incluidos en listas OFAC/ONU.
* Cancelación de la personería jurídica.
* Intervención del establecimiento por parte del ente regulador.
* El daño producido por la ocurrencia del evento de riesgo es grave y las perdidas
pueden ocasionar una disminución en el patrimonio que ponga en peligro la continuidad
del negocio.
* Pérdida significativa de clientes.
* Imagen negativa para la entidad a nivel internacional.
* Sanciones económicas y desprestigio de la Compañía por mantener vínculos con
Accionistas involucrados en LA/FT.
Mayor
* Sanciones económicas y administrativas por parte del ente regulador por fallas,
deficiencias o inadecuaciones en los procesos y/o recursos que soportan el
SAGRLAFT.
* Alto costo e impacto operativo.
* Imagen negativa para la entidad a nivel nacional.
* Sanciones económicas y desprestigio de la Compañía por sostener vínculos laborales
o contractuales con P.N / P.J relacionadas con LA/FT.
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
32. Impacto
Nivel de Impacto Descripción
Importante
* Recomendaciones del ente regulador que no generan sanciones económicas
y/o administrativas.
* Las pérdidas económicas son de cuantía importante y el evento de riesgo
impacta moderadamente la operación del negocio.
* Imagen negativa para la entidad a nivel regional.
* No existen efectos colaterales derivados de las relaciones con Clientes,
Proveedores, Empleados y Accionistas que impliquen una situación perjudicial
para la Compañía.
Menor
* Amonestaciones internas por fallas, deficiencias o inadecuaciones en los
procesos y/o recursos que soportan el SAGRLAFT.
* Las pérdidas económicas son de mínima cuantía y el efecto sobre la operación
del negocio no es relevante.
* No se produce daño alguno al buen nombre y reputación de la Compañía.
* No existen efectos colaterales derivados de las relaciones con Clientes,
Proveedores, Empleados y Accionistas que impliquen una situación perjudicial
para la Compañía.
Inferior
* La Compañía no está expuesto a ser sancionado por parte del ente regulador.
* El evento de riesgo no genera pérdida económica.
* No se produce daño alguno al buen nombre y reputación de la Compañía.
* No existen efectos colaterales derivados de las relaciones con Clientes,
Proveedores, Empleados y Accionistas que impliquen una situación perjudicial
para la Compañía.
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
Soporte Calificación Impacto
33. Riesgo Inherente
Determina el nivel de riesgo inherente asociado al evento por el cual se puede materializar el riesgo.
El cálculo es automático y se realiza combinando los valores de impacto / probabilidad y asignando los
valores de nivel de riesgo (cualitativo y cuantitativo) según corresponda de acuerdo a la siguiente Tabla
de Riesgo:
Volver
Cualitativo Cuantitativo
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
34. Los niveles de riesgo de esta tabla y la colorimetría asociada con los mismos están
dados de acuerdo a la Escala de Calificación ya definida. Ver nivel riesgo
El valor de la columna impacto / probabilidad sirve a su vez como coordenadas de
graficación del riesgo inherente en el Mapa de Riesgos 5X5 de Contraparte, Productos,
Canales de distribución y Jurisdicción territorial. El primer digito corresponde a la
ubicación en el eje X (impacto) y el segundo a la ubicación en el eje Y (probabilidad) -
Ejemplo – 1
En la matriz se procede a calificar por cada evento de riesgo (ER) su “Probabilidad” e
“Impacto” de a cuerdo a la escala que se definió.
Realizado el punto anterior, la matriz dará el nivel de riesgo inherente por cada evento de
riesgo (ER) y a su vez el resultado del nivel de riesgo inherente por el Riesgo
SAGRLAFT (RS)
Riesgo Inherente
Ver Mapa
Ver probabilidad e impacto
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
35. Resultado de Riesgo Inherente por Matriz
Ejemplo – 1
Riesgo Inherente
Resultado Total del
Riesgo Inherente
SAGRLAFT
(RS6) = 3,335 (Alto)
Resultado Inherente por
Cada Evento Riesgo (ER)
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
36. Ejemplo – 2
Riesgos Asociados (Inherente)
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
Esta sección se compone de cuatro campos, uno para cada tipo de riesgo asociado, en
los cuales se indica si el riesgo identificado se puede materializar por medio de un riesgo
de tipo:
Reputacional
Operacional
Legal
De Contagio
Se califica cada Evento de Riesgo (ER) y que Riesgos están Asociados (Inherente) a cada
uno. Dando un “Clic” en una de las cuadriculas, esto nos indica que SI aplica
37. El proceso de tratamiento de los Controles consiste en seleccionar y aplicar las medidas más adecuadas,
con el fin de poder mitigar el riesgo (Modelo de Referencia COSO), para evitar de este modo los daños
intrínsecos a las fuentes de riesgo, o bien aprovechar las ventajas que pueda reportarnos.
Tratamiento de los Controles
Realizar las pruebas de control interno necesarias para garantizar que el SAGRLAFT se encuentra
funcionando correctamente. Estas pruebas estarán a cargo de la Revisoría Fiscal y de la Auditoría
Interna
El Oficial de Cumplimiento elaborará un Plan Anual de Cumplimiento – PAC del SAGRLAFT el cual será
presentado a la Junta Directiva y entregado a la Revisoría Fiscal y la Auditoría Interna
Realizar exámenes periódicos al SAGRLAFT para verificar su integridad, precisión y razonabilidad y
efectuar las recomendaciones que resulten pertinentes a la Junta Directiva, a la Alta Gerencia y al Oficial
de Cumplimiento
Velar por la correcta implementación de todas las metodologías y procedimientos del SAGRLAFT
Definir y desarrollar los controles a las situaciones que puedan generar riesgos de LA/FT en las
operaciones, negocios y contratos de la CIA
Proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el
SAGRLAFT
Estrategias de Tratamiento de Controles
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
38. Diseño del Control
En la matriz se captura el Control SAGRLAFT (CS) respectivo para cada evento de riesgo (ER)
Variables Diseño del Control
Se procederá de acuerdo a la Calificación del diseño del control de acuerdo a la siguiente tabla:
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
39. Variables Diseño del Control
Frecuencia Ejecución Frecuencia Revisión Diario
Semanal
Quincenal
Mensual
Bimensual
Trimestral
Semestral
Anual
Permanente
Esporádico
Cuando se requiera
Ejemplo – 3
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
40. Diseño del Control
Después de evaluar las variables del cuadro anterior, se obtiene un resultado el cual se evalúa de acuerdo
a la siguiente definición:
Ejecución del Control
Obtiene los resultados consolidados de la evaluación del control en las diferentes unidades auditables
( Áreas Tesorería, Contabilidad, Comercial, etc.) de acuerdo al periodo, las Contraparte, Productos,
Canales de distribución y Jurisdicción territorial evaluados.
La CIA determinará la periodicidad de la ejecución de los controles semestral, anual, etc.
Ejemplo – 4
Diferentes opciones
dependiendo de lo
Evaluado e identificado en
el proceso y el control (CS)
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
41. Riesgo Residual
En este campo se calcula de forma automática el riesgo después de evaluar los controles existentes para
el evento de riesgo en cuestión. Para el calculo se tiene en cuenta los valores de Probabilidad e Impacto
inherente, el resultado obtenido en el punto anterior respecto a la Solidez del Conjunto de controles y si el
conjunto de controles disminuyen la Probabilidad e Impacto.
Aparecen dos nuevas variables:
Disminuye Probabilidad (SI/NO): Indica si el conjunto de controles disminuye la
probabilidad de ocurrencia del riesgo
Disminuye Impacto (SI/NO): Indica si el conjunto de controles disminuye el
nivel de impacto en caso de materializarse el riesgo
Probabilidad – Residual
Se calcula a partir del valor que adopte la variable “Disminuye Probabilidad” y se obtiene calculando la
Solidez del Conjunto de Controles.
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
42. Impacto – Residual
Se calcula a partir del valor que adopte la variable “Disminuye Impacto” y se obtiene calculando la
Solidez del Conjunto de Controles.
Ejemplo – 5
Calificado Probabilidad
e Impacto, la matriz da el resultado
de la solidez del Conjunto de Control
por Evento de Riesgo (ER)
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
43. Resultado Riesgo Residual y Riesgos Asociados
Riesgos Asociados – Residual
Ejemplo – 6
Esta sección se compone de cuatro campos, uno para cada tipo de riesgo asociado, en los cuales se
selecciona si el riesgo identificado está o no asociado con un riesgo de tipo:
Reputacional
Operacional
Legal
De Contagio
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
44. Mapa de Riesgos 5X5 de Contraparte, Productos, Canales de Distribución,
Jurisdicción Territorial y Procesos
Los eventos identificados en cada Factor de Riesgo se ubican en el Mapa de Riesgos de
acuerdo a su calificación Inherente y Residual la cual está basada en las escalas de
calificación de Probabilidad e Impacto definidas anteriormente. De esta forma y gracias a la
segmentación del Mapa con la colorimetría definida para cada nivel de riesgo, se puede
identificar rápidamente los riesgos que requieren planes de acción inmediatos que ayuden a
mitigarlos.
En el siguiente gráfico se observa la segmentación del mapa por niveles de riesgo y las
escalas de calificación de acuerdo a la Escala definida anteriormente.
MAPA DE RIESGO
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
45. Mapa de Riesgo
Ver Matriz
Completa
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
46. Entrevistas y levantamiento de procesos
Matriz de Riesgos
Mapa de Riesgos 5x5
Manual de la Metodología
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT
RESUMEN DEL PROCESO
Diagramas de Procesos
Diagramas de Procesos-Calificados
47. ESPACIO PARA PREGUNTAS
TALLER DE LA METODOLGIA
METODOLOGIA PARA LA ADMINISTRACION DEL RIESGO LA/FT