El enfoque basado en riesgo (RBA por sus siglas en inglés), es la Recomendación 1 del GAFI (R.1) y constituye el eje fundamental en que se articula todo sistema de prevención para combatir de forma eficiente el lavado de activos y el financiamiento del terrorismo, así como el financiamiento para la proliferación de armas de destrucción masiva y otras amenazas a la integridad del sistema. Fue incorporado por el GAFI en su revisión del año 2012, como parte esencial de sus Recomendaciones.
El RBA ha sido una de las principales conquistas de nuestra legislación, al pasar de un esquema de supervisión basado en el cumplimiento, como estaba contemplado en la Ley No.72-02, a un enfoque basado en riesgo al tenor de lo dispuesto en la Ley No.155-17. Fue calificada como Mayoritariamente Cumplida (MC) por el Grupo de Acción Financiera de Latinoamérica (GAFILAT), en el Informe de Evaluación Mutua de República Dominicana, adoptado en julio 2018; y no varió en el Primer Informe de Seguimiento Intensificado, Agosto 2019.
Los Estándares GAFI fortalecieron los requisitos para las situaciones de mayor riesgo a fin de permitir que se focalicen más en aquellas áreas de alto riesgo, o donde se podría mejorar la implementación. Cumpliendo con esta Recomendación, los países deben primero identificar, evaluar y entender los riesgos del lavado de activos y el financiamiento del terrorismo al que están expuestos, y luego adoptar las medidas adecuadas para mitigar los riesgos.
El RBA es una metodología de gestión de riesgo al interior de las organizaciones, que permite adoptar medidas más flexibles para orientar los recursos de manera más efectiva y aplicar medidas preventivas acordes y proporcionarles con la naturaleza de los riesgos. Se aplica tanto a las instituciones financieras, como a las actividades y profesiones no financieras designadas (APNFD). También a los órganos y/o entes supervisores y organismos autorreguladores (OAR).
La Nota Interpretativa de la Recomendación 1 del GAFI (NIR.1), establece que mediante la adopción de un RBA, las autoridades competentes, instituciones financieras y APNFD deben ser capaces de asegurar que las medidas dirigidas a prevenir o mitigar el lavado de activos y el financiamiento del terrorismo correspondan y sean proporcionales con los riesgos identificados, y que les permita tomar decisiones sobre cómo asignar sus propios recursos del modo más eficaz. Deben tener procesos establecidos para identificar, evaluar, monitorear, administrar y mitigar los riesgos.
El principio general que gobierna el RBA es que cuando existan riesgos mayores, los países deben exigir a las instituciones financieras y a las APNFD que ejecuten medidas intensificadas para administrar y mitigar esos riesgos; y que por su parte, cuando los riesgos sean menores, puede permitirse la aplicación de medidas simplificadas. Nunca debe permitirse medidas simplificadas cuando exista sospecha de lavado de activos o financiamiento del terrorismo.
La norma ISO 9001 versión 2015 sobre calidad, adopta el enfoque basado en riesgos en sus requisitos, para la implementación, establecimiento, mantenimiento y mejora continua del sistema de gestión de la calidad. Pretende considerar el riesgo como algo integrado en el sistema de gestión. El RBA se encuentra orientado hacia un enfoque preventivo que consiste en reconocer los riesgos dentro de una organización y llevar a cabo las actuaciones necesarias para evitar que se produzcan.
En ese sentido, las organizaciones deben implementar metodologías o procedimientos para la identificación, medición, control y monitoreo de los eventos potenciales de riesgos, para prever o disminuir los efectos adversos de los mismos mediante la identificación y el control previo.
Tanto el Comité de Supervisión Bancaria de Basilea, para las instituciones financieras, como la Asociación Internacional de Supervisores de Seguros (IAIS por sus siglas en inglés), para las Compañías de Seguro, Reaseguro y Corredores de Seguros, establecen la adecuada gestión del RBA en sus respectivos sectores; y la forma en que las entidades deben incluir el lavado de activos y el financiamiento del terrorismo, dentro de su gestión global de riesgo. Coinciden con el GAFI, destacando que los elementos esenciales de una correcta gestión de riesgos incluyen evaluación, comprensión, gestión y mitigación de los mismos.
Para determinar el perfil de riesgo y el adecuado nivel de mitigación que se aplicará, las organizaciones deberán considerar todos los factores relevantes. Desarrollar un conocimiento minucioso de su base de clientes, países, jurisdicciones y zonas geografías, nacionales o internacionales, en los que éstos residen y realizan sus operaciones, y desde o hacia las cuales se dirigen las transacciones. También de los productos o servicios que ofrecen, aún aquellos en fase de desarrollo; y las formas en que se realizan las transacciones, sus canales de distribución o envío.
El análisis de riesgo es un ejercicio descriptivo, explicativo y predictivo, que requiere de la recolección, evaluación e interpretación de la información, con el objetivo de anticiparse a una dificultad, prever un posible daño o alertar sobre la probabilidad de ocurrencia de un evento potencial de riesgo. Esto le permitirá a la organización evaluar el nivel de los factores de riesgos inherentes a los que está expuesta, medir la eficiencia y la efectividad de los controles internos establecidos para mitigar esos riesgos, determinar el nivel de riesgo residual dispuesta aceptar de acuerdo a su apetito de riesgo e identificar oportunidades de mejora de los procesos y controles internos.
Medir la probabilidad de ocurrencia de un evento potencial de riesgo y el impacto que pueda acarrear en la organización requiere de un modelo cuantitativo de valor futuro que permitirá determinar el nivel de exposición al riesgo.
Dependerá de la tecnología empleada, de la capacidad de las personas involucradas y de la cultura de prevención de la organización, determinar cuáles son los controles claves o los mitigantes idóneos que permitan reducir la exposición al riesgo. La determinación de la eficiencia y la efectividad de los controles internos establecidos para mitigar los riesgos, es calculado a valor presente y es la que va a establecer el perfil de riesgo neto o residual.
Considerando la efectividad de los controles implementados, debe haber una disminución de la probabilidad de ocurrencia y del impacto de los eventos potenciales de riesgos, en caso de materializarse, asegurando que el perfil de riesgo neto o residual se encuentre en los niveles de tolerancia establecidos por la organización, de acuerdo a su apetito de riesgo.
Las conclusiones de la evaluación del riesgo, se encuentran resumidas en una matriz de riesgo, apoyadas por la documentación del análisis y la justificación de las conclusiones. Se utilizan para registrar la evaluación de los riesgos inherentes, la calidad de la gestión del riesgo y la evaluación del riesgo neto o residual.
Todo programa de cumplimiento con un enfoque basado en riesgos, debe ser diseñado sobre la base de los resultados obtenidos del proceso de identificación, medición, control, mitigación y monitoreo de los eventos potenciales de riesgos de lavado de activos y financiamiento del terrorismo, adecuado a la organización, estructura, recursos y complejidad de las operaciones que realicen, para de esta manera focalizar sus recursos de manera efectiva, asegurando que las medidas adoptadas para prevenir o mitigar los riesgos sean proporcionales.
El objetivo es establecer un sistema eficaz a manera de preservar el funcionamiento sano de las entidades y los mercados en los que operan.
Por: David Elías Melgen (*)
(*) M.R.E. FIBA AMLCA Casinos y Juegos
