BDO Argentina – Revisión Externa Independiente

Relevamiento de Autoevaluación de Riesgo de LA/FT

Razonabilidad del Sistema de Gestión de Riesgos (Ver punto 1 dentro de 100-3)

a)
1. En la metodología no se describe algún estándar internacional o metodología de riesgo en la
que se haya basado la elaboración de la misma. De acuerdo a lo conversado con la Entidad, no
tomaron como base algún estándar.

2. En el punto 1.2 del apartado IV de Metodología se detallan las líneas de negocio del banco de
la Entidad. Las mismas son:
 Banca Corporativa: considerando en esta, empresas que tienen más de 700
millones de pesos de facturación anual, siempre que no se encuentre alocadas en
otras bancas específicas.
 Banca Empresa: considerando en esta, empresas desde 20 millones de pesos hasta
700 millones de pesos de facturación anual, siempre que no se encuentre alocadas
en otras bancas específicas.
 Banca Minorista: considerando clientes con ingresos mínimos, titulares de cuenta
gratuita universal y empresas con facturación anual de hasta 20.000.000 de pesos.
Comprende Sucursales y sucursal virtual.
 Banca Institucional, para la cual se consideran las Compañías de Seguros, Otros
Bcos, Alycs, Fondos Comunes de Inversión, Cajas Profesionales, Universidades y
Otros inversores.
 Banca Transaccional: que incluye los sectores de Comercio exterior (COMEX) y
Servicios.
 Mercado de Capitales para la cual se consideran Fondos Comunes de Inversión –
Sociedades depositarias de FCI.
 Banca de Accionistas: directores y familia/ Empresas de familia Cerviño.
 Fideicomisos Financieros propios de la Entidad y empresas vinculadas.
 Riesgo Operacional y Riesgos.
 Tesorería y Finanzas.
 Sector Público.
A fines de la elaboración de la autoevaluación y recopilación de datos, las bancas consideradas
para el análisis son Banca Corporativa, Banca Empresas, Banca Financiera, Banca Individuos o
Minorista, Banca Institucional, Banca Mercado de Capitales, Banca Superliga, Recursos
Humanos, Leasing y Otros inversores. Esto de acuerdo a la segmentación que existe en el
sistema de Prevención utilizada por la Entidad (SOS).
Cabe destacar que la Entidad no hizo un análisis de los factores de riesgo por cada Banca o

1
 línea de negocio. Si bien tienen definidas las líneas, la Entidad nos comenta que como
consideran que un cliente puede migrar de una línea a otra por diferentes motivos, evaluaron
los factores de riesgo sin discriminar las líneas, esto sería evaluar los factores a nivel Entidad.
Obs: Tanto en la metodología de autoevaluación como en el informe técnico se hace
mención a las líneas de negocio definidas por la Entidad. No obstante, no hemos verificado
un análisis de los factores de riesgo dichas líneas de negocio.

3. De acuerdo al punto 1.3 del apartado IV de la Metodología, se verificó que se hayan evaluado
como mínimo clientes, productos, canales y zona geográfica. A su vez, incluyeron dentro del
análisis los siguientes factores: cumplimiento normativo, tecnológico y corporativo.
Las ponderaciones asignadas para cada factores mínimos (Matriz de riesgo cliente) fueron las
siguientes :
 Cliente 35%
 Canales 15%
 Zona Geográfica 30%
 Productos 20%
Las ponderaciones asignadas para otros factores (Matriz de riesgo a nivel Entidad) fueron las
siguientes:
 Cumplimiento 40%
 Tecnológico 35%
 Corporativo 25%

4. Respecto de los factores mínimos (Cliente, Producto, Canal de distribución y Zona

Geográfica), se le asignaron métricas cuantitativas de medición. Para los factores
Cumplimiento, Tecnológico y Corporativo, se utilizaron métricas cualitativas (punto 1.3 del
apartado IV la Metodología).

5. En el punto 2.1 de la Etapa II, de la Metodología establece que la Entidad procederá a analizar
las métricas (cuantitativas / cualitativas) que le permitirá evaluar los recursos con que cuenta
la entidad para mitigar los riesgos de lavado de activos y financiamiento del terrorismo
identificados en la Etapa I.
En el punto 2.1 se describe un listado de fuentes y recursos de los cuales la Entidad se valdrá
para el proceso de evaluación.

6. De acuerdo a lo descripto en el punto 2.5, para determinar el riesgo total de la Entidad, se

sumará los resultados de cada una de los factores (dado por el producto de la suma del riesgo
de cada sub factor y su ponderación). Asimismo, será incluido en el análisis la tolerancia al
riesgo que resulte de la conjunción de todos los factores / sub factores con sus riesgos

2
 identificados y controles incluidos. La Forma en la que se determina el riesgo residual.

7. De acuerdo al análisis que realizamos, dentro de los factores a analizar esta el factor
tecnológico.

8. Respecto de la cultura de cumplimiento, la misma fue contemplada en el factor

“cumplimiento normativo”.
Los subfactores fueron detallados en el Informe Técnico.

b) Los criterios de medición de los factores de riesgo no se encuentran descriptos en la

metodología, salvo por lo descripto en el punto a) 5. del Relevamiento.
En la página 12 del Informe Técnico, se indica que cada uno de los factores estará
determinado por diversos subfactores que tendrán una ponderación asignada, para luego
determinar el riesgo determinado por cada factor. A su vez cada subfactor tendrá diversos
elementos de riesgo.
En el punto III, del Informe Técnico se describe la composición de los factores de riesgo, es
decir sus subfactores.

Para clientes, los subfactores y su ponderación son los siguientes:

 Residencia (15%)
 Nacionalidad (10%)
 Actividad que realiza (20%)
 Persona Humana o Jurídica (20%)
 Condición PEP (10%)
 Carácter Público o Privado (10%)
 Participación en mercado de capitales o asimilables (5%)
 Antigüedad en la entidad (10%)
Respecto del factor “cliente”, se utilizaron los datos de la cantidad de clientes del Banco
activos al 31.03.2018. Utilizando las bases de datos que surgen de reportes generados desde
Sideba y de el sistema SOS.
Los criterios de medición de los subfactores correspondientes a Cliente se encuentran
descriptos en acuerdo en los punto I.I a I.VII, apartado III (Análisis pormenorizado de cada uno
de los factores que componen la matriz de riesgo cliente) del Informe Técnico.

Para los canales de distribución, el subfactor es Carácter Presencial-No Presencial con una
ponderación del 100%.
Respecto del factor “canal de distribución”, se utilizaron los datos del total de operaciones de
todos los clientes de marzo de 2018 que surgen de reportes generados desde Sideba y del

3
sistema SOS.
Los criterios de medición de los subfactores correspondientes a Canales se encuentran
descriptos en acuerdo en el punto I.II, apartado III (Análisis pormenorizado de cada uno de los
factores que componen la matriz de riesgo cliente) del Informe Técnico.

Para Zona Geográfica, los subfactores son el total de sucursales segmentadas por provincias,
las quedan de la siguiente manera:
 Caba (17 sucursales)
 Buenos Aires (41 sucursales)
 Córdoba (1 sucursal)
 Mendoza (1 sucursal)
 San Juan (1 sucursal)
 Santa Fe (2 sucursales)
 Tucumán (1 sucursal)
 San Luis (1 sucursal)
Respecto del factor “zona geográfica”, se utilizaron los datos sobre el total de sucursales de la
Entidad, considerando el total de clientes activos al 31.03.2018 que surgen de reportes
generados desde Sideba y del sistema SOS.
Los criterios de medición de los subfactores correspondientes a Zona Geográfica se
encuentran descriptos en acuerdo en el punto III.I, apartado III (Análisis pormenorizado de
cada uno de los factores que componen la matriz de riesgo cliente) del Informe Técnico.

Para los productos, el subfactor se segmentó por Tipo de Operación con una ponderación del
100%.
Respecto del factor “producto”, se utilizaron los datos del total de operaciones de todos los
clientes de marzo de 2018 que surgen de reportes generados desde Sideba y del sistema SOS.
Los criterios de medición de los subfactores correspondientes a Canales se encuentran
descriptos en acuerdo en el punto I.II, apartado III (Análisis pormenorizado de cada uno de los
factores que componen la matriz de riesgo cliente) del Informe Técnico.

Para Cumplimiento normativo, los subfactores y su ponderación son los siguientes:

 Políticas (100/19)
 Manuales de procedimientos (100/19)
 Capacitación (100/19)
 Resguardo de documentación (100/19)
 Código de conducta (100/19)
 Implementación del enfoque basado en riesgo (100/19)
 Evaluación del sistema de prevención (100/19)

4
  Debida diligencia en base al riesgo (100/19)
 Debida diligencia a clientes sujetos obligados (100/19)
 Reportes sistemáticos – regímenes informativos (100/19)
 Procedimiento generación ROS y desvinculación de clientes (100/19)
 Incumplimiento normativo (100/19)
 Sanciones y medidas correctivas (100/19)
 Clientes (100/19)
 Perfil Transaccional (100/19)
 Control y Monitoreo (100/19)
 Monitoreo Transaccional (100/19)
 Transferencias electrónicas (100/19)
 Depósitos de efectivo (100/19)
Este factor se evaluó de manera subjetiva.
Para Aspecto Tecnológico, los subfactores y su ponderación son los siguientes:
 Sistema de almacenamiento de datos (100/6)
 SOS Sistema de Monitoreo (100/6)
 Interfaces entre datos entidad y sistema de monitoreo (100/6)
 Acceso a las bases o archivo del sistema (100/6)
 Reportes sistemáticos (100/6)
 Reportes sistemáticos a la UIF/BCRA (100/6)
Este factor se evaluó de manera subjetiva.

Para Gobierno Corporativo, los subfactores y su ponderación son los siguientes:

 Estructura (100/7)
 Participación del Directorio (100/7)
 Resultado análisis independiente (100/7)
 Designación del oficial de cumplimiento (100/7)
 Responsabilidad del oficial de cumplimiento (100/7)
 Comité de prevención de lavado (100/7)
 Funciones del staff de prevención (100/7)
Este factor se evaluó de manera subjetiva.

c) De acuerdo a lo establecido en el punto 2.2. de la metodología, luego de realizada la

evaluación se deberá calificar el riesgo del factor considerando la eficiencia de sus controles y
procedimientos en la materia, con la finalidad de mitigar el riesgo identificado. Cabe
mencionar que la calificación se realizara considerando la escala de Riesgo Alto / Medio / Bajo.
En el punto 2.3 se describe que el riesgo de cada factor estará dado por el producto de la

5
 ponderación asignada al factor y su calificación.
Respecto de la determinación del riesgo de cada factor y subfactor, la Entidad definió un
esquema de medición que va de 1 a 25 para Bajo (1), de 26 a 60 para Medio (2) y de 61 a 100
para Alto (3).
Obs: En la metodología no se encuentra una definición sobre la determinación del riesgo
inherente y el riesgo residual.

d) Para Cumplimiento, Gobierno y Tecnológico, que son a los factores a los que se evaluaron los
controles no se definió un criterio de medición.
Obs: No hemos podido llevar a cabo la tarea de verificar las tablas de evaluación de los
controles definidos para medir la efectividad de los controles, queremos aclarar que los
mismos se midieron de manera subjetiva y no se definió un criterio de evaluación.

e) Se visualizó el Acta de aprobación del documento metodológico por parte del Comité de
PLAFT/Directorio, la misma fue aprobada por el Directorio nro 2921 con fecha 11 de enero de
2018.

Conclusiones: Se han volcado nuestras conclusiones en el informe final.

Observaciones
Ver informe final.

6
 BDO Argentina – Auditoría Interna

Relevamiento de Autoevaluación de Riesgo de LA/FT

Valoración de la Autoevaluación de Riesgo de LA/FT (Ver punto 2 de 100-3)

Documentación: documentos soporte de aplicación de metodología de autoevaluación o Informe
técnico en el caso de que el desarrollo de autoevaluación este plasmado solamente en dicho informe.

a) La Entidad volcó los resultado de la autoevaluación en el Informe Técnico, a su vez existe un

file en el que se encuentra documentado cada una de las mediciones y resultados obtenidos
para los factores de riesgo y sus respectivos subfactores. Además, el Banco cuenta con un
documento de logs en los que se volcó el trabajo realizado con las bases obtenidas ya sea a
través del Core del banco (Sideba) y de la información proveniente de sistema de prevención
(SOS).

b) De acuerdo al anexo II del Informe Técnico, la Matriz de Riesgo de Clientes, comprende los
indicadores característicos que permiten establecer un perfil de cliente para la actividad
financiera. Siendo la Matriz de Riesgo a Nivel Entidad, el riesgo final de la Entidad,
considerando el riesgo asociado a sus clientes y formas de operar (determinado por la matriz
de riesgo de cliente) el cual es mitigado, por el Ambiente de Control de la Entidad.
La Entidad concluyó que su perfil de riesgo, como resultado de la autoevaluación es Medio, el
cual consideramos razonable por el tamaño, tipo de clientes, productos y sucursales en las que
se encuentra el Banco.

c) Para cada uno de los subfactores de Clientes, Productos, Canales y Zona Geográfica se
determinó la cantidad de clientes por nivel de riesgo, donde 1 es bajo, 2 es medio y 3 es alto.
Luego se unió el resultado de cada subfactor para determinar el riesgo para cada factor por
cliente. Se combino el riesgo de los 4 factores antes mencionados y así se obtuvo el riesgo final
de todos los Clientes. En síntesis, se obtuvo el perfil de riesgo de cada cliente de acuerdo a los
resultados de los 4 factores de riesgo.
En la hoja 70 del log final se detalla de qué manera se llega a que el riesgo para la Matriz de
Riesgo cliente sea MEDIO.

De acuerdo al documento “Matriz operativa y Sistemas”, para cada proceso de cada factor se
identificaron las debilidades detectadas de los mismos, cuales son los mitigantes con los que
cuenta la Entidad para cada proceso y cuál es el impacto que producen las debilidades
detectadas. El riesgo bruto se asignó de manera subjetiva.
En la hoja 71 del log final se detalla de qué manera se llega a que el riesgo para la
Cumplimiento Normativo sea MEDIO.

7
 En la hoja 72 del log final se detalla de qué manera se llega a que el riesgo para la Aspecto
Tecnológico sea MEDIO.
En la hoja 73 del log final se detalla de qué manera se llega a que el riesgo para la Gobierno
Corporativo sea BAJO.
De acuerdo a punto 131 del Log final, Ponderaron los resultados obtenidos anteriormente y
procedieron a la determinación del Riesgo de los últimos 3 factores analizados, que influirán
sobre los riesgos determinados para los clientes de la Entidad; permitiéndonos arribar al
Riesgo a Nivel Entidad
Se concluyó que el riesgo del Ambiente de Control de la Entidad, reviste la calidad de Riesgo
Medio.

Como último paso, de acuerdo al punto 132 del log final, se generó la equivalencia entre el
riesgo determinado por el ambiente de control y el riesgo bruto determinado por la matriz de
riesgo de Clientes, para determinar cómo dichos riesgos brutos se mitigarán por el ambiente
de control implementado en la Entidad, para arribar al Riesgo Total a Nivel Entidad
En la página 75 del Log final, se encuentra la tabla de definición del riesgo final, considerando
los resultados obtenidos para el ambiente de control y para la matriz riesgo cliente.
Al ser el riesgo medio en la matriz de clientes y al ser riesgo medio en el ambiente de control,
no se incrementan los riesgos en la determinación del Riesgo a Nivel Entidad.

Obs: Si bien se desarrolló la matriz de riesgo Entidad, la misma concluyó acerca del riesgo
por cada cliente en vez de determinar el riesgo por cada factor.
Obs: Inconsistencia entre la matriz de riesgo de clientes que surge del sistema y que ha sido
utilizada para la segmentación de clientes por riesgo, y la matriz de determinación del perfil
de la Entidad en la que se determinó el perfil de riesgo de cada cliente por factor de riesgo.
Cabe aclarar, que si bien la matriz entidad no se condice con la matriz cliente, los factores
que considera la norma para determinar un riesgo están siendo contemplados en la matriz
cliente y/o dentro de alertas, revisiones.

d) La Entidad emitió un Informe Técnico y el mismo fue presentado a la UIF el día 03.05.2018, de
acuerdo a la constancia de recepción de la UIF. En dicho informe se incluyó una breve
descripción de la metodología y el perfil de riesgo final de la Entidad.

e) Se visualizó el Acta de aprobación del Informe técnico y Declaración de Tolerancia al riesgo

por parte del Directorio por acta nro 2996, con fecha 09 de abril de 2018.

Observaciones

8
 Ver informe final.

BDO Argentina – Revisión Externa Independiente

Autoevaluación de Riesgo de LA/FT

Documentos Anexos (Declaración de tolerancia al riesgo de LA/FT y Políticas de Aceptación de

clientes de Alto riesgo) (Ver punto 3 de 100-3)
a) El Banco cuenta con una declaración de Tolerancia al riesgo en la que refleja el nivel de riesgo
aceptado en relación a Clientes, productos y/o servicios, canales de distribución y zonas
geográficas, exponiendo las razones tenidas en cuenta para tal aceptación, así como las
acciones mitigantes para un adecuado monitoreo y control de los mismos.
Como conclusión, en el punto IV de dicha Declaración, expone que de la Autoevaluación
efectuada surgió que la Entidad no presenta un alto riesgo de ser utilizadas por terceros para
el Lavado de Activos y Financiamiento del Terrorismo. Cabe destacar que, como política
preventiva, el Directorio ha definido que en caso en que se identifique algún riesgo residual a
nivel Entidad Alto, activar en forma instantánea un plan de mitigación que neutralice los
potenciales efectos.
En conclusión, el Directorio manifiesta un alto grado de compromiso en materia de Prevención
de Lavado de Activos y Financiamiento del Terrorismo.

b) Se visualizó el Acta de aprobación del Informe técnico por parte del Directorio y Declaración
de Tolerancia al riesgo por parte del Directorio por acta nro 2996, con fecha 09 de abril de
2018.

c) La Entidad ha definido, según el manual de Prevención de LA/FT (PRO381, punto 8.1), un

proceso de vinculación de clientes en el cual se establece la información que deben
contemplar para dar de alta a un potencial cliente. El dicho manual no se hace referencia a
una política de aceptación de clientes de Alto Riesgo.
Observación: De la tarea realizada hemos verificado que el manual de procedimiento de

9
 PLAyFT se encuentra desactualizado.

Conclusiones

Observaciones
Ver informe final.

Pruebas de cumplimiento

BDO Argentina – Revisión Externa Independiente

Autoevaluación de Riesgo de LA/FT

Adecuación de las Políticas y Procedimientos del Sujeto Obligado a los Resultados de la

Autoevaluación de Riesgo de LA/FT (ver punto 4 de 100-3)
a) Del ejercicio de la autoevaluación de riesgos, se elaboró un plan de remediación.

b) A dicho Plan de remediación la Entidad le hizo seguimiento de cumplimiento durante los

meses de agosto, septiembre y diciembre de 2018.

c) Los planes de remediación elaborados por el Banco resultan razonables, de acuerdo al

resultado de la autoevaluación y las debilidades que surgieron de la misma.

Observaciones
No tiene observaciones que formular.

10