NUEVOS RETOS

DE LOS SISTEMAS
DE ADMINISTRACIÓN LA/FT
HISTORIAS SARLAFT.
NUEVOS RETOS DE LOS SISTEMAS DE
ADMINISTRACIÓN LA/FT

ING. PEDRO LEONARDO CORTES GARCIA

Consultor y asesor empresarial

MBA – Magister en Planeación Estratégica
Especialista en Gestión de Riesgos y Control de Entidades
Financieras
Especialista en Administración y Negocios
PMP, CRM, Auditor Líder ISO 9001, 14001, 39001,31001
EVOLUCIÓN DE ADMINISTRACIÓN /GESTIÓN
DEL RIESGO
RIESGO DEL
NEGOCIO:
Es aquel que "Es Cualquier evento,
pone en peligro impedimento, obstáculo,
la viabilidad de problema u oportunidad,
la organización cuya posible ocurrencia
a mediano y podrá incidir en el logro
largo plazo. de los objetivos y metas.
CATEGORÍAS E
INTERACCIONES
DE RIESGO
TRÍANGULO
DEL FRAUDE
Marco para detectar situaciones
De alto riesgo
PROCESO DE GESTIÓN DE RIESGO
 ESTABLECER EL CONTEXTO

MACROENTORNO MICROENTORNO ANÁLISIS INTERNO

Fuerzas competitivas
de porter
¿Qué suministros son convertidos
T en qué resultados?
Político Económico
¿Quién lleva a cabo la
A transformación?

Social Tecnológico S ¿Quién provee los suministros?

C ¿Quién recibe los resultados?

Ambiental Legal ¿Quién debe asegurarse que la

O transformación se lleve a efecto?
¿Quién fuera el sistema influencia
I la transformación?
 HERRAMIENTAS PARA LA
IDENTIFICACIÓN DE RIESGOS

PESTEL MACROENTORNO
Fatores políticos, económicos,
Socioculturales, tecnológicos,
Ambientales y legales.

LA ORGANIZACIÓN

TASCOI GRUPO ESTRATÉGICO

CINCO FUERZAS AMBIENTE DE LA INDUSTRIA

 QUÉ VAMOS A ADMINISTRAR

NICHO

GRUPO OBJETIVO

SEGMENTO
 ESQUEMA DE UN SISTEMA DE
ADMINISTRACIÓN DE RIESDO DE LAFT
¿A QUE ME ESTOY
TENDENCIAS.
ENFRENTANDO?
Hallazgo – Metodología de identificación de Hallazgo – Incumplimiento en la
riesgos implementación del SARLAFT
Carece de metodología adecuada para la Falencias en la adopción de la
identificación de riesgos a partir de los matriz de riesgo.
segmentos identificados.
Los eventos de riesgo no estaban
conectados con los factores de riesgo.
CASOS:
Hallazgo – Velar por el correcto
funcionamiento del SARLAFT.
Matriz de riesgo. No evidencias
de reuniones ni acciones
tendientes a mejorar
deficiencias
Hallazgo – Segmentación
No cuenta con metodología de
segmentación de factores de riesgo, por
lo tanto, no posee señales de alerta ni
proceso de apoyo a identificación de
operaciones inusuales.
La segmentación implementada no
partía del análisis de bases de datos ni
contenía siquiera las variables minimas
de segmentación.
Confusión entre identificación de riesgos
con medición
CASOS:
Hallazgo – Velar por el correcto
funcionamiento del SARLAFT.
Segmentación de los factores de
riesgo: no realizó acciones para
subsanar deficiencias encontradas
en bases de datos.
No utilizó variables mínimas de
segmentación.
Señales de alerta y operaciones
inusuales: No realizó acciones
tendientes a subsanar las
deficiencias de la entidad.
Hallazgo – Metodologías de
segmentación de factores
de riesgo No existía una
metodología de
segmentación (juicio
experto) No incluía
variables mínimas
definidas en la norma.
 CASOS:

Fábrica de hielo “La Roca”

ocultaba rentas ilegales de frente
occidental del Eln, La Fiscalía
capturó a Claudia Patricia
Rodríguez Moreno, quien creó la
empresa en Cali. (Abril de 2018)

Imputan cargos de delitos de

rebelión agravada, financiación
del terrorismo y de grupos de
delincuencia organizada, y por la
operación 'Marea Verde' administración de dineros para
El Burro' utilizó varios locales de los Sanandresito de Bogotá actividades terroristas.
para lavar millones de dólares para los carteles mexicanos.
Fuente: eltiempo.com/justicia/conflicto-y-narcotrafico/ Fuente: eltiempo.com - Abril de 2018
Mayo 10 de 2018
Hallazgo – Metodología de identificación de Hallazgo – Incumplimiento en la
riesgos implementación del SARLAFT
Carece de metodología adecuada para la Falencias en la adopción de la
identificación de riesgos a partir de los matriz de riesgo.
segmentos identificados.
Los eventos de riesgo no estaban
conectados con los factores de riesgo.
Hallazgo – Deber de velar por el
efectivo, eficiente y oportuno
funcionamiento de las etapas que
conforman el SARLAFT
Existencia de falencias en la
segmentación (técnica de árboles de
clasificación).
La segmentación no se encuentra
implementada / instrumentada.
Falencias en la documentación de la
segmentación
Hallazgo – Señales de alerta y
procedimientos de identificación y
análisis de operaciones inusuales
Solo posee señales de alerta para
clientes
Exclusivamente cualitativas, sin
posibilidad de ser automatizadas
en la plataforma tecnológica.
No aprobadas por Junta Directiva
EVENTOS
 TENEMOS QUE
READAPTARNOS.
 ESTRUCTURA ORGANIZACIONAL

Máximo Mayor
Órgano compromiso

Responde por
la entidad Principal
ejecutor

Responde en la Mas capacitado y

entidad conocedor de SIAR

Desarrolla Seguir
actividad procesos
TÉCNICAS GERENCIALES PARA EL ÁREA DE
CUMPLIMIENTO
Identifiquen sus riesgos.
Focalicen los recursos disponibles a aquellas áreas que implican
mayores riesgos.
Implementen medidas para la mitigación de los riesgos con
fundamento en un enfoque basado en riesgos que permita la
adopción de mecanismos flexibles y la aplicación de medidas
preventivas

Palabra clave: ÁREA DE IMPACTO

 ÁREAS DE IMACTO

Activos y recursos básicos Ingresos y derechos

(Humanos)

Costos de actividades Personas / Comunidad

Desempeño Programación de actividades

Intangibles Clima organizacional

CONSECUENCIA : IMPACTO

Estrategícos OBJETIVOS Y METAS Del proceso

TÉCNICAS GERENCIALES PARA EL ÁREA DE
CUMPLIMIENTO

Identifiquen al cliente y verifiquen su identidad, lo cual tiene el alcance

de conocer el objetivo de la relación comercial.
Lleven a cabo un monitoreo permanente de las transacciones de los
asociados/clientes para determinar su razonabilidad de acuerdo con el
conocimiento que se tiene del asociado/cliente, actividad comercial y
perfil de riesgo.
Asignen mayores recursos, a las actividades identificadas como de
mayor riesgo, siguiendo el enfoque basado en riesgos.

Palabra clave: CONOCIMIENTO DEL CLIENTE

 DEBIDA DILIGENCIA

El concepto de debida diligencia se ha entendido como el

proceso mediante el cual se investigan y se consideran las
posibilidades antes de tomar una decisión.

El concepto de debida diligencia LA/FT o la noción de

debidas diligencias con el propósito de prevenir LA/FT
suele atribuirse a los esfuerzos de dos organizaciones
internacionales: el Comité de Supervisión Bancaria de
Basilea (Bcbs por su sigla en inglés) y el Grupo de Acción
Financiera Internacional (Gafi).

Palabra clave: INSTRUMENTOS

 DEBIDA DILIGENCIA
Para el Bcbs (Basel Committee on Banking
Supervision), las debidas diligencias de conocimiento
del cliente son más que una herramienta para la
prevención del lavado de activos, ya que protegen la
integridad del mercado y evitan que los bancos se
vean sometidos a riesgos de reputación, operativos,
legales y de concentración.

Palabra clave: MECANISMOS

 REQUISITOS DEBIDA DILIGENCIA
Establece que las instituciones financieras tienen que llevar a
cabo una debida diligencia del conocimiento del cliente en la
cual, entre otras cosas, debe:

Identificar al cliente.
Identificar al beneficiario final.
Recopilar información.
Analizar y monitorear la relación comercial.
Las transacciones del cliente.
Identificar situaciones de riesgo de LA/FT en las
operaciones, negocios o contratos que realizar.
 LA LEY Y LA DEBIDA DILIGENCIA
Toda persona natural o jurídica obligada a cumplir con normativa
relacionada con la prevención de LA/FT debe tener presente los
requisitos mínimos de debida diligencia exigidos en la ley.

Si bien todas las personas en el territorio colombiano están obligadas a

cumplir con los estándares de conducta establecidos en leyes como el
Código Penal, Código de Extinción de Dominio y la Ley 1121 sobre
prevención y detección del delito de financiación del terrorismo, las
normas especiales solamente aplican a determinadas personas.
 LA LEY Y LA DEBIDA DILIGENCIA
Los requisitos generales que se deben cumplir como mínimo en una
debida diligencia LA/FT para todos los sectores obligados son:

Denunciar ante la Fiscalía General de la Nación la presunta

comisión de delitos sobre LA/FT de los cuales la entidad tenga
conocimiento.
Consultar a todas las contrapartes (en algunos sectores
solamente al cliente) en las listas vinculantes para Colombia, es
decir, en las listas de Naciones Unidas.
Denunciar ante la Fiscalía General de la Nación bienes que
puedan ser objeto de la acción real de extinción de dominio y
actuar con buena fe exenta de culpa.
¿CUÁLES SON LOS OTROS PARÁMETROS DE
DEBIDA DILIGENCIA LA/FT?

En todos los sectores existen diferentes parámetros; por ejemplo, el

sector real y el sector salud son de los pocos obligados a establecer
procedimientos para el conocimiento de la mayoría de sus contrapartes
(clientes, proveedores, trabajadores, socios o accionistas, etc.), mientras
que hay sectores en los que la norma suele exigir conocer prácticamente
solo los clientes, como ocurre en los sectores financiero, cooperativo,
operadores postales de pago, entre otros.
 ¿CUÁLES SON LOS OTROS PARÁMETROS DE
DEBIDA DILIGENCIA LA/FT?

Para cada uno de estos sectores la debida diligencia LA/FT se ve agotada en términos
legales una vez se satisfagan todos los requisitos normativos, que en su mayoría
suelen ser los siguientes:
Diligenciamiento del formulario de conocimiento del cliente o contraparte.
Consulta en las listas obligatorias y preferiblemente en las sugeridas en cada
norma.
Actualización de la información, por lo general mínimo una vez al año.
Monitoreo de las operaciones, transacciones o negocios.
Identificación y seguimiento a PEP.
 DEBIDA DILIGENCIA AMPLIADA
EN LA PRACTICA

La debida diligencia “ampliada o extendida” consiste en desarrollar las

acciones de la manera más eficiente y diligente posible que sean
necesarias para conocer adecuadamente a los asociados de negocio,
reforzando el conocimiento de aquellos que por su actividad o condición
sean sensibles a DELITOS y, en general, cumplir con todas y cada una de
las obligaciones establecidas en el Código de Conducta y en las
disposiciones emitidas por el sujeto obligado en materia de prevención.

‘‘Siempre debe existir la necesidad de conocer a la contraparte”

 PRONUNCIAMIENTO DE LAS CORTES
Corte Constitucional, Sentencia C-820/12

En temas de debida diligencia sobre LA/FT, las cortes no han hecho una alusión
expresa a este tipo de debidas diligencias pero sí han precisado cuál es el estándar de
conducta exigido a un tercero con buena fe exenta de culpa en el marco de los
procesos de extinción de dominio.
Así, se ha precisado que un tercero afectado en un proceso de extinción de dominio
será acreditado como un tercero con buena fe exenta de culpa cuando demuestre “no
solo la conciencia de haber actuado correctamente sino también la presencia de un
comportamiento encaminado a verificar la regularidad de la situación” en otras
palabras, cuando haya actuado con la diligencia debida.
¿CÓMO HACER LA DEBIDA DILIGENCIA EN
LAS PEP?

Se debe contar con formularios que permitan la captura de datos de

personas con este perfil y en lo posible tener herramienta de
identificación de quienes puedan ser considerados como tal, y
registro en un sistema de manera que se puedan definir montos y
frecuencia de las transacciones para hacerles seguimiento con una
mayor periodicidad.
Si en la relación el cliente obliga a la entidad a recibir frecuentemente
altas sumas de dinero, es imprescindible exigirle a esta persona
documentos tales como autorizaciones para el manejo de ciertos
rubros, certificados de posesión, entre otros.
 RETOS EN LA GESTIÓN SARLAFT

La principal dificultad que enfrentará el oficial de cumplimiento de una empresa es ‘‘la

concientización de los directivos y colaboradores en general de la importancia de la
prevención del LA/FT.

Técnica:
▪ Capacitaciones dinámicas (sencillas, gráficas, educativas, de fácil entendimiento)
donde los objetivos sean transmitir la importancia de la prevención y la importancia de
la participación de todos los niveles.
▪ Involucrar a las distintas áreas en la elaboración y ejecución del programa, de tal
manera que para estas sea claro que el oficial de cumplimiento es un aliado que busca
acompañarle para cumplir de forma segura y confiable con sus objetivos de negocio.
 RETOS EN LA GESTIÓN SARLAFT

Las entidades no conocen qué es este sistema, de qué se trata y cuál es la

responsabilidad para poder nombrar a un funcionario que pueda
desempeñar las funciones encomendadas en la norma, por lo cual nombra a
cualquier funcionario interno para minimizar el costo de contratar a una
persona externa.
Técnica:
Es primordial que se logre sensibilizar en primera instancia a la alta gerencia
de la compañía y luego a las personas de segundo nivel jerárquico. Logrado
este nivel, resulta ser fácil que al bajar la comunicación hacia los demás
niveles esta llegue con mensaje de urgencia.
 RETOS EN LA GESTIÓN SARLAFT

La ausencia de la “cultura de control’’, la cual se puede entender como una percepción

desde el interior de la implementación del sistema de prevención como una
imposición normativa, más que como un mecanismo de protección dotado de bondades
que le proporciona a la compañía una serie de herramientas, para prevenir que la misma
sea utilizada como medio para la canalización de recursos provenientes o destinados a
financiar actividades delictivas.

Técnica: Iniciar con mucha y casi que personalizada labor de capacitación por procesos y
subprocesos, y actividades de arriba hacia abajo y de abajo hacia arriba en la cadena de
valor, incluyendo la cadena de suministros (externos).
 RETOS EN LA GESTIÓN SARLAFT

Las áreas comerciales y otras opacan la función de cumplimiento porque la catalogan

como ‘enemiga de los negocios’.

Técnica:
▪ Lo primero es que los oficiales de cumplimiento sean consciente de su rol en la
compañía, partiendo del hecho de que el sistema de prevención de LA/FT es
transversal a todos los procesos ejecutados en la empresa incluido el frente comercial.
▪ Capacitar a los colaboradores en temas de sanciones normativas por incumplimiento a
la norma, mostrando casos reales de compañías que han sido sancionadas.
 RETOS EN LA GESTIÓN SARLAFT

Las áreas comerciales y otras opacan la función de cumplimiento porque la catalogan como
‘enemiga de los negocios’.

Técnica:
▪ Somos un apoyo para el conocimiento del cliente en la generación de negocios y
mantenimiento de clientes, para salvaguardar y proteger a la empresa y a sus funcionarios
de clientes deshonestos por todo concepto. Somos parte de las utilidades del negocio.
▪ Las áreas comerciales deben estar regularmente informadas y actualizadas respecto de las
consecuencias acerca de conductas ilegales o incluso antiéticas.
 RETOS EN LA GESTIÓN SARLAFT

Las áreas comerciales y otras opacan la función de cumplimiento porque la catalogan

como ‘enemiga de los negocios’.

Técnica:
▪ Las cifras de detección y mitigación de riesgos por parte del área de cumplimiento
deben estar siempre alineadas con el logro de la meta comercial y con el
cumplimiento del plan estratégico.
▪ Crear un espacio en la organización en el cual los colaboradores realicen actividades
donde deban aplicar las políticas. Pueden ser por equipos o áreas de trabajo y quien
obtenga mejor puntaje recibiría un incentivo.
 RETOS EN LA GESTIÓN SARLAFT

Las áreas comerciales y otras opacan la función de cumplimiento porque la catalogan

como “enemiga de los negocios”.

Técnica:
▪ El cumplimiento de ventas se encuentre inmerso dentro de buenas prácticas para
obtener los clientes que se merece la compañía, el incumplimiento de los
procedimientos de vinculación, registro de data y actualización de información
deberá ser un indicador que incremente o disminuya la comisión que los
comerciales y cargos relacionados con clientes puedan llegar a recibir.
 RETOS EN LA GESTIÓN SARLAFT

Las empresas debe tomar consciencia de que conocer a su cliente, proveedor o tercero,
es un factor determinante para el crecimiento, fortalecimiento y expansión del negocio,
pues contar con esta información le va a permitir generar nuevas ofertas de productos y
servicios que en últimas buscan fidelizar a sus clientes con la compañía. La obligación de
conocimiento del cliente que trae el sistema de prevención LA/FT es la formalización de
una buena práctica que debe ser inherente a cualquier tipo de negocio.

El conocimiento del cliente garantiza satisfacer sus necesidades y poder generar un

valor agregado.
 ¿CADA CUÁNTO DEBE REVISAR EL SISTEMA?

De acuerdo al contexto y desarrollo del Negocio:

Cuando se comienza con un nuevo sistema de prevención LA/FT se hace necesario

verificar en períodos cortos el modelo, hacerle ajustes a las reglas, [teniendo en
cuenta] la coherencia con la realidad del negocio y la generación de falsos positivos.
Durante la etapa de implementación el sistema debe revisarse cada tres meses para
identificar falencias e implementar mejoras y una vez se encuentre implementado
debería revisarse cada seis meses con el fin de fortalecer el sistema.
 ¿CADA CUÁNTO DEBE REVISAR EL SISTEMA?

De acuerdo al contexto y desarrollo del Negocio:

Teniendo en cuenta que los negocios y el mercado son dinámicos, el sistema de
prevención de LA/FT también debe serlo, de manera que los controles aplicados
siempre estén a tono con los procesos, pues es una manera de determinar su
efectividad. En este sentido la verificación de la eficacia del sistema no puede estar
condicionada por un factor de periodicidad sino por la variación en los diversos
factores constitutivos del negocio.
 ¿CÓMO IDENTIFICAR ÁREAS DE RIESGO?
El diseño de la política y la implementación del sistema de autocontrol y gestión
de riesgo LA/FT deben ir acordes con las características propias del negocio y de
la entidad, y por ello una de las tareas más relevantes es la de identificar aquellas
áreas que representen mayor riesgo de lavado de activos y financiación del
terrorismo.

Entender el contexto del negocio, es decir: cómo, con quién y en dónde se

opera y los detalles de los procesos de negocios con clientes, accionistas y
proveedores para poder hacer una buena identificación de áreas de riesgo.
 ¿CÓMO IDENTIFICAR ÁREAS DE RIESGO?
El conocimiento que se tenga de su negocio, basado en una segmentación de clientes,
se podrá determinar hacia dónde se deberán dirigir los monitoreos de las operaciones
que realicen los clientes, esto principalmente enfocado en la transaccionalidad.
Recuerden que por medio del criterio de expertos se puede evaluar el riesgo en
productos y zonas donde se mueven dichos clientes.
Establecer niveles de riesgo (alto, moderado, medio, bajo) de las fuentes de riesgo
identificadas y acompañar la evaluación de riesgo de los líderes de cada área,
utilizando una metodología como Basc, ISO 31000 o el modelo de Negocios
Responsables y Seguros, entre otras.
 ¿ESTRATEGIAS GENERALES DEL OFICIAL?

El oficial de cumplimiento debe estar constantemente actualizado en temas de

prevención, tener creatividad para transmitir las políticas de prevención LA/FT al
interior de la Compañía, sea un gestor de prevención, contar con un equipo calificado
y apoyo en las herramientas tecnológicas.
Estudiar y tener claro el alcance de la responsabilidad, siendo muy equilibrados entre
el cumplimiento y el desarrollo del objeto social de la entidad.
Generar una cultura de cumplimiento dentro de toda la organización. Esta cultura
debe fomentar valores básicos que lleven a los empleados a creer que actuar honesta
e íntegramente hace parte del camino adecuado. Los mensajes claros y sencillos son
los que harán la diferencia.
 ¿ESTRATEGIAS GENERALES DEL OFICIAL?

Los oficiales deben participar activamente en el diseño de los nuevos

negocios buscando una efectiva administración del riesgo, establecer canales
de comunicación efectivos con la alta dirección de la compañía y la junta
directiva, generar mecanismos de retroalimentación permanente sobre el
entorno del negocio y del panorama de riesgo, y establecer planes de acción
basados en el riesgo real del negocio.
Es importante que las buenas prácticas mencionadas como controles a
procedimientos se puedan convertir en políticas de cumplimiento de la
institución, transversales a todos los procesos de la empresa y que esas
buenas prácticas hagan parte del plan estratégico de la entidad. Con ello se
evita desgastes y se facilita la labor de control que los oficiales de
cumplimiento.
 LA GERENCIA INTEGRAL DE RIESGOS

Proceso de planear, dirigir, organizar, y controlar los recursos y actividades de una empresa,
para reducir al mínimo, el efecto económico al ocurrir un riesgo, al menor costo posible.
ISO 31000 - Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

Minimizar
repercusiones
Objetivo Asociadas a un riesgo negativas
(pérdidas)

Maximizar Política efectiva para

repercusiones asegurar equilibrio
positivas entre riesgo y
(oportunidades) oportunidades

Herramienta para alinear estrategia, procesos, personas, tecnología y conocimiento, erradicando las barreras
funcionales o culturales de modo que se adopte un enfoque holístico (conjunto), integral y anticipado.
 PRINCIPIOS PARA LA GESTIÓN DE RIESGOS
– ISO 31000

Para una mayor eficacia, la gestión del riesgo en una organización debe tener en cuenta
los Siguientes principios:
 GESTIÓN INTEGRAL – CALIDAD/RIESGO

DIRECCIONAMIENTO Gestión
ESTRATÉGICO Estratégica
(Directrices)
¿quién?

GESTIÓN
INTEGRAL Gestión por
Gestión procesos
organizacional GERENCIA ¿Cómo?
TRANSFORMACIÓN
¿quién? DEL DÍA A DÍA
CULTURAL
 Planear

Comunicación y Monitoreo o
consulta ESTABLECER CONTEXTO revisión

Identificación Análisis de Evaluación de

Tratar el riesgo
de riesgos riesgos riesgos

Hacer Actuar Verificar

 PROCESO (PC) VS PROCEDIMIENTO (PCD)
ISO 9001:2015

PROCESO. PROCEDIMIENTO.
Que se hace? Como se hace?

Conjunto de actividades mutuamente Es una forma específica para llevar a cabo

relacionadas o que interactúan, las cuales una actividad o un proceso. Cuando se
transforman elementos de entrada en tiene un proceso que tiene que ocurrir en
resultados. una forma específica, y se especifica cómo
sucede, se tiene un procedimiento.
 PROCESO
(PC)
• Transforma entradas en salidas utilizando
recursos, es dinámico y cambia constantemente.
• El proceso busca la realización de un
resultado (producto o servicio), el cuál se
puede operar y gestionar.
• Se enfoca en la satisfacción de los clientes.
PROCEDIMIENTO
(PCD)
• Define por escrito los pasos detallados
de cada una de las actividades de ese proceso,
Tiene a ser estático y determinado con exactitud.
• Apunta a la finalización de cada tarea concreta
se implementa para que se cumpla.
• Se enfoca en el cumplimiento de la norma o
los estándares definidos por la organización.
 MAPA DE PROCESOS
ESTRATÉGICO

Gestión Gestión de Gestión del

estratégica calidad y riesgos servicio

Expectativas MISIONALES Retroalimentación

Gestión comercial Gestión aportes Gestión

Gestión crédito
y mercadeo y ahorros cartera

GESTIÓN SOCIAL Y
COMUNICACIONES

Apoyo

Gestión Gestión Gestión Gestión Control

administrativa financiera TICS operaciones interno

Gestión humana
ESTRATEGIA
ESTRATEGIA
ESTRATEGIA
LOS REGISTROS DE RIESGO INCLUYEN:
 ¿QUE ES CONTROL?

AZ/NZS

Son las políticas, procesos, dispositivos, prácticas u otras acciones que actúan para
eliminar o minimizar los riesgos adversos o mejorar oportunidades positivas.
Proveen una seguridad razonable relativa al logro de los objetivos

IIA

Es toda acción tomada por la gerencia para mejorar la probabilidad de que los objetivos y
metas establecidas sean alcanzadas. El control es el resultado de la adecuada planeación,
organización y dirección por la gerencia.
 ¿QUE ES CONTROL?

ISCA

Las políticas, procedimientos, prácticas y estructuras organizacionales,

diseñadas para asegurar razonable el logro de los objetivos del negocio
y que los eventos indeseables serán prevenidos o destacados o corregidos.
OTRAS

Es toda acción emprendida por la gerencia con el fin de eliminar o minimizar

razonablemente la materialización de los riesgos que puedan afectar los
objetivos y metas de la organización.
 IDENTIFICAR CONTROLES
ACTUALES
Evaluación Control Individual

Impacto en el
Caraterísticas
riesgo

Cobertura de cada control

Valoración del sobre el riesgo
Riesgo con
Controles:
Eficacia conjunto de controles sobre riesgo

EFECTO MITIGANTE SOBRE EL

RIESGO:
• En proporcion (%)del riesgo Resumen
absoluto
• Sobre probabilidad y la
consecuencia :Abs
 VALORACIÓN RIESGO CON CONTROLES: CONTROLES

Indicador del impacto de cada control, en relación a la “Consecuencia”, o la

“probabilidad” de la (s) causas de cada riesgo que mitiga.

INDICADOR VALOR

Consecuencia Consecuencia MUY ALTA 90%

(Reducción significativa) (Reducción insignificante)
lMPACTO DEL CONTROL ALTA 70%
CAUSAS PRlMARlAS CAUSAS SECUNDARlAS
(Mayor Probabilidad) (Menor Probabilidad) MEDIA 50%
MUY ALTA ALTA MEDIA BAJA MUY BAJA BAJA 30%
MUY BAJA 10%

COBERTURA INDIVIDUAL DEL CONTROL

VALORACIÓN DEL RIESGO CON CONTROLES: EFECTIVIDAD
INDICADORES DEL CONTROL

SEGÚN SU Manual
IMPLEMENTACIÓN Combinado
Automatizado

SEGÚN SU EJECUCIÓN Discretos (Muestreo)

SEGÚN SU FRECUENCIA Esporádico

Periódicos continuos
discrecional

SEGÚN SU COMPLEJIDAD Muy complejo

sencillo

SEGÚN SU NO Documentado parcialmente

DOCUMENTACIÓN documentado

SEGÚN SU NO Asignada
RESPONSABILIDAD Parcialmente Asignada
VALORACIÓN DEL RIESGO CON CONTROLES: EFECTIVIDAD
INDICADORES DEL CONTROL

DESCRIPTOR VALOR
Otros Factores de Riesgo que
inciden en la Efectividad de los EXCELENTE 10%
Controles

BUENA 30%
MODERADA 50%

INSATISFACTORIA 70%

Ambiente General de Control (*) POBRE 90%

ldoneidad
Valores
Ética ………………
 EJEMPLO VALORACIÓN EFECTIVIDAD CONTROL

Características del
No. Rangos Valor
Control
Manual 2
1 Tipo de Control Mixto 4
Evaluación Mayor a > Menor o Automático 8
Igual a Documentado y Divulgado 10
Documentado y Parcialmente
2 Documentación Divulgado 8

Documentado y No Divulgado 6
EXCELENTE 49 58 Parcialmente Documentado 4
NO Documentado 2
BUENO 41 49 Se ejecuta de manera contínua 15
3 Ejecución No siempre se se ejecuta 8
REGULAR 32 41 ES discrecional (Ad Hoc) 4
El procedimiento de control es
3
INSATISFACTORIO 24 32 4 Complejidad
complejo

El procedimiento de control es
6
POBRE 15 24 medianamente complejo
El procedimiento de control es
simple 10
Está Asignada 6
5 Responsabilidad
No Está Asignada 2
Informal 2
6 Evidencia del Control 5
Material
Sustancial 9
VALORACIÓN DE RIESGO CON CONJUNTO DE CONTROLES

Consideraciones evaluación del Conjunto de Controles

 Auditoria Auditoria Basada en la
Tradicional Gestión del Riesgo

PASADO HOY FUTURO

Contribuye a evaluar si los Contribuye al logro de los

controles actuaron objetivos y metas

Determinan los efectos de las Evalua la administración

desviaciones (resultados) Del registro y la efectividad
Controles (proceso)
Correctiva
Predictiva - preventiva
BUENAS PRÁCTICAS EN LA EJECUCIÓN DEL CONTROL Y DEL
MONITOREO DEL SARLAFT
Buenas prácticas en la ejecución del control y del
monitoreo del SARLAFT
Buenas prácticas en la ejecución del control y del
monitoreo del SARLAFT
“El peor riesgo, es creer que
todo esta bajo Control”
“La administración del riesgo debe llegar a ser el negocio
de todos en nuestra organización”
Título