Última actualización: 5 febrero, 2024
Los Informes Técnicos de Autoevaluaciones de Riesgo (IT AER) son herramientas cruciales en la identificación y evaluación de amenazas y vulnerabilidades en diferentes sectores. Sin embargo, un análisis detallado de varios IT AER recibidos por la Unidad de Información Financiera (UIF) de la Argentina ha revelado falencias significativas en su confección.
La UIF publicó sus hallazgos en un documento detallando tanto las falencias como recomendando mejores prácticas para realizar los Informes Técnicos de Autoevaluaciones de Riesgos. En este blog te contamos cuáles son los errores más comunes en este tipo de informes.
Te recomendamos: “10 recomendaciones de la UIF para los Informes Técnicos”
Principales errores en los Informes Técnicos
- Metodología. Un hallazgo sorprendente es que el 58,34 % de los IT AER no indicaron la metodología utilizada para evaluar el riesgo de LA/FT. La metodología es crucial por su rol en la transparencia, validación y replicabilidad del informe.
- Contenidos Mínimos. Los informes carecen de elementos clave como el alcance, el riesgo de la entidad, el período evaluado y las variaciones de riesgo. Además, falta especificar la periodicidad de presentación ante los organismos de control, lo que conlleva a errores recurrentes en la presentación bienal.
- Análisis de Riesgos y Naturaleza de la Actividad Comercial. Los IT AER generalmente no contienen información detallada sobre la naturaleza y dimensión de la actividad comercial del sujeto obligado. Esto incluye la falta de detalle en líneas de negocio y en la evaluación del contexto interno y externo.
- Datos Estadísticos y Razonabilidad. Una deficiencia notable es la ausencia de información estadística. Los datos cuantitativos son esenciales para fundamentar y visualizar la magnitud de los riesgos identificados.
- Factores de Riesgo Mínimos de LA/FT. Los informes suelen omitir una escala de calificación para los niveles de riesgo y carecen de lógica en las asignaciones de ponderadores. Además, hay una falta de análisis por líneas de negocio y de detalles en factores de riesgo como clientes y geografía.
- Controles Mitigantes. Los IT AER suelen referirse de manera genérica a los controles mitigantes sin describir específicamente los implementados para cada factor de riesgo. Además, falta una evaluación de la eficacia de estos controles y un análisis del impacto de los riesgos residuales.
- Otros Factores de Riesgo Evaluados. Los informes no suelen incluir análisis de cambios que afectan la evaluación de riesgos de LA/FT, como fusiones, cambios tecnológicos o nuevos productos. Tampoco abordan adecuadamente el impacto de las nuevas tecnologías en el riesgo de LA/FT.
Buenas prácticas a tener en cuenta
Los errores encontrados en los IT AER subrayan la necesidad de una metodología clara, un análisis exhaustivo y detallado, y la inclusión de datos estadísticos para validar y fortalecer los informes. Es esencial que las entidades comprendan y aborden estas deficiencias para mejorar la efectividad de sus procesos de evaluación de riesgos y garantizar el cumplimiento normativo.
Estas son las recomendaciones de la UIF para mejorar los Informes Técnicos
- El informe debe ser autosuficiente para que la UIF evalúe el riesgo residual obtenido.
- Se debe adjuntar la metodología utilizada y la Declaración de Tolerancia al Riesgo.
- Incluir información sobre el Plan de Negocios proyectado y situaciones relevantes que podrían impactar en el riesgo de lavado de activos y financiamiento del terrorismo.
- Incluir un resumen ejecutivo con comparación de resultados respecto al período anterior.
- Brindar información consistente y detallada para todas las líneas de negocio evaluadas.
- Describir cambios normativos y regulatorios, evaluando su impacto en el proceso de autoevaluación.
- Evaluar riesgos derivados de la falta de identificación de beneficiarios finales.
- Incluir la evaluación del ambiente de control y cultura de cumplimiento.
- Diseñar e implementar controles mitigantes específicos por factor de riesgo.
- Incluir en el informe un cuadro resumen del riesgo residual de la entidad y de cada factor individual.