COMO CONSTRUIR UNA MATRIZ DE RIESGO COMPLETA Y POTENTE DE UNA MANERA

FACIL Y DIRECTA

Por Franco Rojas Sagárnaga

La valoración del riesgo de lavado de activos según el Enfoque Basado en

Riesgos de Basilea II no ha sido aun adecuadamente instrumentada por las
entidades y los supervisores financieros en todo el continente americano En un
inicio, no se comprendió la adecuada valoración del riesgo operativo y aún
existen problemas importantes de medición, sea por la utilización del método
básico, método estándar o método avanzado.

Los resultados alcanzados solo permitieron aproximaciones a calificaciones y

mediciones cualitativas y no así cuantitativas. El avance en este campo es
reciente en cuanto al Riesgo Operativo, pero entonces ¿que sucede con el riesgo
del lavado de dinero? ¿Donde se encuentra? ¿Como se lo puede medir?

Las respuestas a estas interrogantes señalaban constantemente que este riesgo

no es posible de medir, es muy subjetivo y que su efecto es solamente en el
ámbito del riesgo de reputación de las entidades. Bien, efectivamente, esta
respuesta no se aleja de la verdad, sin embargo resulta parcial, debido a que el
riesgo de lavado de activos se vincula transversalmente a todas las operaciones
de la entidad, por lo cual su medición debería estar relacionada a la medición
de otros riesgos similares, tales como los riesgos financieros y el riesgo operativo.

Debido al desconocimiento parcial de la aplicación de metodologías acertadas

de medición de riesgo, las entidades de intermediación financiera y servicios
auxiliares, implementaron mecanismos que buscan calificar de algún modo la
operativa de cierto tipo de clientes. En Paraguay por ejemplo, algunas entidades
financieras basaron su accionar en la denominada “matriz de riesgo”, SIENDO LA
MISMA NO UNA VERDADERA MATRIZ, sino mas bien una escala de parámetros
cualitativos centrados en procesos o actividades de clientes. Este trabajo puede
ser útil en cierta medida, pero el mismo está INCOMPLETO debido a que no es
posible ponderar integral y unificadamente el riesgo. Adicionalmente se
concentran ciertas variables que merecen un análisis especial, como por ejemplo
la zona geográfica, los tipos de productos, los tipos de servicios, los tipos de
clientes, los procesos, etc.

Por otra parte, las guías de prevención internacional y la experiencia en diversos

países, ha marcado el camino para la generación de MECANISMOS POTENTES de
prevención tanto en la vinculación como en el monitoreo transaccional de
operaciones de clientes, lo cual es necesario explotar según los trabajos internos
realizados.
 Veamos un ejemplo en una institución financiera:

Una institución financiera de Paraguay supongamos que se dedica a la

captación de recursos a través de cuentas de ahorro y que utilizan para
conceder créditos hipotecarios y de capital de trabajo en menor escala,
Adicionalmente, la entidad , brinda el servicio de pago de remesas del exterior
por afiliación de una cadena internacional (Western Union), permite el cambio de
divisas, transferencias de fondos al exterior e interior del país. En vista del trabajo
desarrollado y lo aprendido en algunos talleres, la entidad financiera ha
construido lo que considera una “matriz de riesgo”, utilizando el siguiente modelo:

Bajo Moderado Alto

Base de cliente estable y
conocida.
Basado en la revisión, hay
pocas operaciones grandes en
efectivo. (US$ 10,000 o mas)
La base de clientes esta
aumentando debido a sucursales,
consolidaciones y adquisiciones.
Volumen moderado de grandes
operaciones en efectivo.
Una base de clientes en crecimiento,
en un área extensa con una gran
diversidad geográfica.
Volumen significativo de grandes
operaciones en efectivo.

Pocos clientes y negocios de Un número moderado de clientes Un número grandes de clientes

alto riesgo. de alto riesgo identificados individuales y empresas de alto riesgo
(ejemplos: cambiadores de identificados.
cheques, tiendas de conveniencia,
remisores de dinero, empresas de
importación y exportación, PEPs,
concesionarios de auto, cuentas de
no residentes)

En base al anterior cuadro, se ha dado tres calificaciones diferentes a toda su

cartera de clientes establecidos (Primera línea) B: Bajo riesgo del cliente;
(Segunda línea) M: Riesgo Moderado de cliente; y (Tercera línea) A: Riesgo Alto
de cliente A los clientes eventuales no los califica sino hasta el final del mes de
acuerdo a los reportes mensuales o deja a la valoración subjetiva de los
funcionarios operativos que están en frente de la actividad para dar la
calificación.

Los resultados según el común general son satisfactorios y puede que pasen
desapercibidos a los supervisores debido a que esa matriz no mide
adecuadamente y uniformemente el riesgo de lavado de dinero, por lo cual por
el momento sugiere a los administradores que el tema está cubierto, sin embargo,
lo único que se está generando es incrementar la exposición de la entidad por
inadecuada valoración. ¿Por que? ¿Como debemos medir entonces el riesgo?

La respuesta es la siguiente:

La valoración del riesgo de lavado de activos como fue mencionado en el

material publicado anteriormente, implica la construcción de matrices genéricas
y matrices específicas alimentadas adecuadamente por una parametrización
cualitativa y cuantitativa de clientes que toma en cuenta algunos de los aspectos
descritos en el cuadro que usan actualmente en Paraguay y otros que se
presentan en el siguiente cuadro:

ANALISIS
Clasificación de Riesgo AML Rating
1 a 25 Bajo
26 a 50 Medio
51 a 100 Alto
 Factores de Riesgo / Clientes y Transacciones BNP-HSBC-

Tabla Detalles Riesgo %

Actividad Económica o comercial
Independiente (ama de casa, estudiante) 30
ONG 15
FUNDACIONES 40
CASINOS 40
CASAS DE REMESAS 35
1
BIENES RAICES 25
COMPRA VENTA DE CARROS USADOS 15
Negocio de compra y venta de oro 15
Gobierno Corporativo de la Empresa 15
Internacional/PIC, IBC,ACCIONES AL PORTADOR 20
250 25
PAIS DE ORIGEN
País proveedor o comprador 20
Residentes 15
No residentes 15
local 10
Ubicación en Zona Libre 30
Ubicación en Frontera 30
extranjero 30
150 15
Listas Especiales
Paises No-Cooperadores (FATF) 20
Sanciones de la OFAC (Office of Foreign Assets N/A
Control)
Departmento de Estado de US: (World Check) 20
.- Embargos de armas N/A
.- Paises completamente no cooperadores con N/A
los esfuerzos antiterroristas de USA
.- Sanciones de No proliferacion 20
.- Estados Patrocinadores del terrorismo N/A
U.N. Sanciones N/A
Paìses de paraiso fiscal (OECD) 20
3 Shell Corporation 20
Offshore Banks 20
Fuente de Droga o Paìs deTransito 20
Clientes que han sido identificados y/o penalizados 25
por cualquier autoridad nacional, debido a su
debilidad en sus controles para prevenir el lavado
de dinero y el financiamiento del terrorismo.

Persona Expuesta Políticamente (“PEPs”) 25

referencia Internas 5
Referencia de la Asociación Panameña de Crédito 5
(APC)
200 20
TRANSACCION
Transferencias Internacionales 30
Cambio de Divisas 30
Efectivo 30
4
Giros 10
Cartas de Crédito 25
Cajillas de Seguridad 25
150 15
Monto
Mayores B/1,000.00 y que acumelen más B/.10,000.00 25

5 Mayores B/10,000.00 y que acumelen más 50

B/.100,000.00
Mayores B/100,000.00 75
150 15
Debida Diligencia Reforzada
El cliente no tiene calificaciòn externa de riesgo 25
El cliente no es una Compañìa que cotiza en Bolsa: 25
6 Nacional y/o internacional
El cliente no tiene informacion disponble en su 50
pagina web
100 10
100

El cuadro anterior realiza una clasificación o parametrización del riesgo de sus

clientes considerando variables macro muy importantes:

- Tipo de Actividad Económica

- País de Origen
- Inclusión en Listas internacionales
 - Tipos de Transacciones que realiza el cliente
- Montos
- Si requiere de Debida Diligencia Reforzada

Cada una de estas variables macro, presentan una calificación ponderada sobre
el riesgo que implica ser parte de cada una de las variables. Asimismo, en cada
variable se presenta otra sub calificación para identificar aquellos clientes que
operan en sectores con mayores riesgos. Bien, esta parametrización se asocia
directamente con el modelo que emplean algunas entidades financieras de
Paraguay, pero además las califica. Este es el primer paso, según la escala de
riesgo determinada por la entidad, la cual no es única.

El siguiente paso es traspasar la información de la parametrización a la tabla de

calificación de cliente por cliente:
NOMBRE:

INFORMACION DEL CLIENTE FACTORES DE RIESGO COMENTARIOS

RIESGO DEL Riesgo
CLIENTE
1 Actividad Económica #¡REF! 2
2 País de incorporación N/A 0
3 Grupo Economico: N/A 0
4 Compañias o instituciones N/A 0
relacionadas
5 Paìses donde se ofrecen sus N/A 0
servicios y productos:
6 Accionistas con más del 20% de N/A 0
las acciones
7 Productos y servicios ofrecidos N/A 0
8 Calificaciones externas de riesgo N/A 0

9 Es el cliente una compañía N/A 0

comercial pública (trade)?
10 El cliente mantiene informacion N/A 0
disponible en su pagina web
11 Staff ejecutivo N/A 0
12 Miembros de la Junta Directiva N/A 0
13 Verificaciones OFAC: Entidad N/A 0
14 Verificaciones OFAC: Personal N/A 0
clave
15 N/A 0
16 0
17 0
risk class 2

Esta información puede complementarse o restringirse según el tipo de actividad

del cliente y de la entidad, por lo cual el modelo presentado no es único pero es
muy útil a partir del cual construir “Perfiles de riesgo de cliente” a fin de establecer
indicadores numéricos muy útiles para las matrices específicas y matrices
genéricas de riesgo.

Lo construido hasta el momento no son matrices de riesgo, pues es recién en este

momento que la entidad financiera establece las matrices de riesgo específicas
que construirá tomando en cuenta principalmente las siguientes:

- Productos que oferta

 - Servicios que oferta

- Zonas geográficas en las que trabaja o con las que se asocia

- Actividades económicas que relaciona

- Tipos de clientes

Por cada una de las variables allí descritas, la entidad financiera deberá crear
matrices de riesgo específicas como las siguientes:

Calidad de Gestión

Nivel de Tipo de Riesgo

Actividad 1
Riesgo Residual (**)
Medidas de Efectividad Promedio (*)

Control

Control 1 3
Riesgo
5 Control 2 4 3,6 1,38
Inherente 1
Control 3 4

Control 1 5
Riesgo
4 Control 2 5 4,25 0,94
Inherente 2
Control 3 4

Control 1 3
Riesgo
4 Control 2 4 3,6 1,11
Inherente 3
Control 3 4

Riesgo Control 1 5
3 3,5 0,85
Inherente 4
Control 2 2

Perfil de Riesgo (Riesgo Residual Total) (***) 1,07

(*) Promedio de los Datos de Efectividad

(**) Resultado de la división entre el nivel de riesgo / Promedio de efectividad

(***) Promedio: Se considera un mismo peso de ponderación a los Riesgos Residuales

La matriz anterior, expone internamente el mapa de riesgo implícito en la

columna nivel de riesgo, la cual pondera la probabilidad de ocurrencia del riesgo
y el impacto del mismo según la escala valorativa de la parametrización inicial.
Posteriormente, se incorpora la columna de control emergente del riesgo
planteado y se estima según una escala homogénea cuanto cubre el riesgo.

Finalmente, la razón entre el nivel de riesgo y el nivel de control nos dan el

llamado “Riesgo Residual”, que es el verdadero riesgo al cual está expuesta la
entidad en la actividad analizada y sobre la cual debe tomarse una decisión.

En el ejemplo propuesto de la entidad financiera para el producto depósito de

ahorro , podríamos tener la siguiente matriz específica:

Calidad de Gestión
Cuentas de Nivel de Tipo de Riesgo
Ahorro Riesgo Medidas de Efectividad Promedio (*) Residual (**)
Control
Confirmación
Presentación de
de información
5 3 3 1,6
documentación con
falsa documentos
reales
Revisión
segunda de
Falsificación
4 firmas según 5 5 0,8
de Firmas
sistema y
supervisor
Perfil de Riesgo (Riesgo Residual Total) (***) 1,2

Lo anterior nos indica que el riesgo en las cuentas de ahorro o es alto con relación
al riesgo de presentación de documentación falsificada, pues el control no cubre
adecuadamente la exposición del riesgo dejando abierta la posibilidad de fraude
en mas del 50%.

Nota: El nivel de riesgo es consecuencia del Factor de riesgo calculado

previamente por la multiplicación de la probabilidad de ocurrencia del riesgo y el
impacto en la entidad financiera, siendo en el ejemplo:

Probabilidad de que ocurra la presentación de documentación falsa igual a 5,

(siendo en la escala de probabilidad 5 lo mas alto y 1 lo mas bajo).

Impacto de la ocurrencia en la presentación de documentación igual a 1

(impacto económico por ejemplo por sanción equivalente a 30 dólares). El
impacto también se debe exponer en una escala de 1 a 5 siendo 1 el de menor
impacto y 5 el más alto.

La multiplicación de ambos da 5, que corresponde al nivel de riesgo.

Posteriormente, al trabajo realizado con la cuenta de deposito de ahorro, debe
repetirse el procedimiento por cada tipo de servicios y clientes y las variables que
considere la entidad. Según el ejemplo debería realizarlo por cada tipo de
créditos, sean estos hipotecarios y de capital de trabajo. Luego, por los servicios
de remesa y por giros al interior. Finalmente por zona geográfica de operación y
clientes.

Este trabajo es demorado, sin embargo se lo realiza una sola vez, pues luego
automáticamente se va retroalimentando para construir la matriz genérica
explicada en documentos anteriores tanto para la vinculación como para el
aspecto transaccional.

Existen exposiciones gráficas del trabajo y también matriciales – numerales, lo cual

ayuda mucho a la gestión de la entidad, al examinador y también al supervisor.

Por lo tanto, el modelo de valoración de riesgo que utilizan algunas de entidades

financieras, es un INICIO pero falta aun un LARGO CAMINO que recorrer para
poder construir COMPLETA matrices de riesgo, conforme recomienda Basilea II y la
GAFI.

Consecuentemente, es mejor invertir recursos en un modelo completo y potente

de Matriz de Riesgo.

Y concienciar sobre eso es el propósito final de este material