Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Zona Privada Asociados   |   Boletines Compliance
 
FORMULARIO DE CONTACTO
Deseo suscribirme al Newsletter de la WCA
 

18/12/2018

La nueva versión de la norma ISO 31000:2018 Gestión de Riesgos, aplicada a sistemas de Prevención de Lavado de Activos y Financiamiento del Terrorismo

La última versión de la norma se centra de forma exhaustiva en la atención de gestión del riesgo como una herramienta de gestión para minimizar de forma anticipada la potencial materialización de riesgos que pudieren producirse y afectar el giro normal de negocio de las organizaciones.  Por tanto, la norma ISO 31000 se actualiza en febrero del 2018 para “crear valor” por lo que refuerza el liderazgo y apoyo de la alta dirección al sistema de gestión desde un enfoque de arriba hacia abajo, es decir desde el gobierno corporativo al nivel de gestión, para enfrentar con proactividad a los riesgos actuales a los que se enfrentan las organizaciones, en especial el enfoque integral de esta norma es plenamente aplicable a la administración del riesgo del lavado de activos y financiamiento del terrorismo (LAFT).  El liderazgo, el compromiso y la integración de las posibles amenazas dentro de la estructura y administración estratégica de una entidad cobran especial relevancia en esta nueva versión.  Es el primer estándar que establece la gestión de riesgos sociales y ambientales, desarrollando nuevos procedimientos para la prevención de posibles eventos de riesgos y están alineados a los programas de responsabilidad social empresarial (RSE) que últimamente son aplicados por las entidades financieras, sobre todos los bancos.

Si bien es cierto que el enfoque de la anterior norma ISO 31000:2009 no es exigida por la regulación de los países de la región; sin embargo, a nivel internacional es una práctica general la utilización de sus preceptos, dado que ayuda a alinear los procedimientos y las metodologías de gestión de riesgos, en especial el de LAFT, ya que gran parte de su enfoque implícitamente está presente en sus programas de gestión del riesgo, y lo desarrollan a partir de su identificación hasta llegar a la etapa del monitoreo y revisión.

En esta última versión de la norma sobre el sistema de gestión de riesgos los principales cambios se fundamentan principalmente en:

1. Principios de gestión de riesgos

La norma realza el primer principio de la versión 2009 de creación y protección de valor de la gestión de riesgo; los restantes diez (10) principios se sintetizan en los ocho (8) que se describen más adelante. La versión actualizada de la norma, marca los principios como factor clave del éxito; esto es, tanto del diseño, implementación y mantenimiento, como en la mejora del sistema de gestión de riesgos.  En este punto todos los sistemas de la norma circundan alrededor de uno esencial que funciona como eje central: crear valor y protegerlo. En este sentido, alinear los objetivos de la gestión de riesgo de lavado de activos y financiamiento del terrorismo con los objetivos de negocio, son una prioridad y una oportunidad de practicar el principio “ganar, ganar” para todas las partes.

La fusión y síntesis de principios no modifica en gran medida el porqué de la norma, pero sí requiere ciertas acciones previas para el cierre de brechas y prioridades antes de la implementación de la norma, como son la ejecución de ajustes, reformas y actualizaciones a ciertos procedimientos y políticas, cambios que demandan tiempo para el consenso de las partes, que pueden tener una injerencia significativa dentro de la planificación estratégica de la entidad, sin dejar de considerar los factores humanos, cultura organizacional y la mejora continua mediante el aprendizaje.

2. Liderazgo y compromiso de la alta dirección

El liderazgo per ce no va a gestionar de una forma efectiva la administración del riesgo, sino el acompañamiento directo de la alta dirección al desarrollo del programa de cumplimiento de prevención de LAFT, por lo que la norma refuerza el liderazgo de la dirección en el sistema de gestión, dándole un enfoque como ya se indicó de arriba hacia abajo.  Por tanto se trata de “crear valor”, de utilizar la gestión de los riesgos como herramienta de seguimiento y control y como apoyo en la toma de decisiones con base al establecimiento claro de los objetivos estratégicos de la organización, que incluyen los objetivos de gestión de estos riesgos.

3. La integración de los riesgos, en el marco de referencia

La norma establece que el marco de referencia o marco de trabajo será el factor clave para la integración de los riesgos dentro del sistema de gestión.  En este punto ejerce una alta influencia la alta dirección y su liderazgo, así como el compromiso de las partes interesadas o stakeholders.  Por tanto la versión de la norma 31000:2018 busca diseñar el sistema más adecuado para la organización teniendo en cuenta la diversidad y convergencia de riesgos.

 
El desarrollo del marco de referencia abarca el diseño, implementación, evaluación y mejora de cada uno de los elementos que componen el sistema de gestión de riesgos.  Se concluye este tema puntualizando que la dirección será la responsable de alinear la gestión de riesgos con la estrategia, objetivos y cultura organizacional de la entidad y el consenso de criterios de las partes para el tratamiento de estos riesgos al interior de la organización.
 
4. La naturaleza iterativa y dinámica del riesgo
 
Es decir la flexibilidad y adaptación de los procesos iterativos en respuesta a los diversos cambios internos y externos que presenta el entorno. En este aspecto no ha habido mucho cambio en la norma ISO 31000:2018, es más el proceso para la identificación del riesgo se mantiene, pero con mayor implicación y compromiso de la alta dirección. Promover la conciencia y la mentalidad para que los riesgos sean entendidos y comprendidos por cada uno de los principales interesados, asegura un mejor tratamiento de los riesgos.  Además, considerar las tareas de comunicación y consultas ayuda a tener retroalimentación oportuna e información que ayuda en el proceso de toma de decisiones.
 
La norma ISO 31000:2018 resalta la importancia que a este respecto tiene la confidencialidad de la información, el rol dentro del modelo de gestión y los derechos de privacidad de las personas en un programa de comunicación y consulta. 
 
Un esquema comparativo de las dos versiones de la norma ISO 31000 (2009 y 2018) se desarrollan a continuación:
 

La versión de la norma ISO 31000:2018 centra su atención en el liderazgo y el compromiso de la dirección en la gestión del riesgo, desde el gobierno corporativo hacia el resto de niveles operativos de la organización.  Con la versión actual de la norma los resultados que se proyectan obtener son más sólidos y de mayor valor agregado, puesto que se enfatiza y prioriza el apoyo y la gestión que la alta dirección debe brindar al programa de cumplimiento de las organizaciones, ya que un capítulo aparte merece el alcance y la calidad de los resultados que la alta dirección debe informar sobre el manejo y administración del riesgo del LAFT a la Junta Directiva, a los organismos de control y a las contrapartes locales y del exterior.
 
Consideraciones generales
 
Con la  actualización de la versión 2018 de la norma, uno de los puntos que se hace énfasis en la naturaleza iterativa del riesgo, alineada a los cambios externos que presentan el entorno y el compromiso de la alta dirección.  En este sentido, la inteligencia artificial y el uso de las nuevas tecnologías disruptivas en la digitalización bancaria toma un rol preponderante, ya que el sector financiero debe cuidar más sus plataformas de seguridad.   
 
Con el enfoque de la norma actual, se debe considerar además el aspecto social y ambiental de aquellas actividades económicas de clientes relacionadas a la explotación de los recursos naturales (sector minero, energético, hidrocarburos, forestal, entre otros) que tienen un directo impacto ambiental.  No se debe dejar de mencionar que la mayoría de entidades bancarias y otras entidades financieras, están comprometidos y han firmado el pacto global de responsabilidad social empresarial (RSE) que es un compromiso voluntario incluido en la planificación estratégica sobre los riesgos sociales y ambientales a través de un modelo de gestión socialmente responsable que alinee el desempeño social, ambiental y económico con las estrategias de las organizaciones.
 
El nuevo modelo de la  versión 2018, además debe tomar en consideración la evolución de la banca comercial tradicional hacia una banca más electrónica y digital, en consecuencia se debe priorizar y realizar  los proyectos masivos de digitalización de toda la información de los clientes e integrarla a los sistemas automatizados.  La nueva banca se desarrolla bajo una corriente de simplificar procesos engorrosos y documentos físicos voluminosos, ya que la era digital es una realidad del cual la banca es uno de sus mayores referentes.


Autor: Dr. Iván Danilo Ortiz, AML/CA

 


 
Patrocinadores
Colaboradores
Entidades Asociadas