Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2. En el punto 1.2 del apartado IV de Metodología se detallan las líneas de negocio del banco de
la Entidad. Las mismas son:
Banca Corporativa: considerando en esta, empresas que tienen más de 700
millones de pesos de facturación anual, siempre que no se encuentre alocadas en
otras bancas específicas.
Banca Empresa: considerando en esta, empresas desde 20 millones de pesos hasta
700 millones de pesos de facturación anual, siempre que no se encuentre alocadas
en otras bancas específicas.
Banca Minorista: considerando clientes con ingresos mínimos, titulares de cuenta
gratuita universal y empresas con facturación anual de hasta 20.000.000 de pesos.
Comprende Sucursales y sucursal virtual.
Banca Institucional, para la cual se consideran las Compañías de Seguros, Otros
Bcos, Alycs, Fondos Comunes de Inversión, Cajas Profesionales, Universidades y
Otros inversores.
Banca Transaccional: que incluye los sectores de Comercio exterior (COMEX) y
Servicios.
Mercado de Capitales para la cual se consideran Fondos Comunes de Inversión –
Sociedades depositarias de FCI.
Banca de Accionistas: directores y familia/ Empresas de familia Cerviño.
Fideicomisos Financieros propios de la Entidad y empresas vinculadas.
Riesgo Operacional y Riesgos.
Tesorería y Finanzas.
Sector Público.
A fines de la elaboración de la autoevaluación y recopilación de datos, las bancas consideradas
para el análisis son Banca Corporativa, Banca Empresas, Banca Financiera, Banca Individuos o
Minorista, Banca Institucional, Banca Mercado de Capitales, Banca Superliga, Recursos
Humanos, Leasing y Otros inversores. Esto de acuerdo a la segmentación que existe en el
sistema de Prevención utilizada por la Entidad (SOS).
Cabe destacar que la Entidad no hizo un análisis de los factores de riesgo por cada Banca o
1
línea de negocio. Si bien tienen definidas las líneas, la Entidad nos comenta que como
consideran que un cliente puede migrar de una línea a otra por diferentes motivos, evaluaron
los factores de riesgo sin discriminar las líneas, esto sería evaluar los factores a nivel Entidad.
Obs: Tanto en la metodología de autoevaluación como en el informe técnico se hace
mención a las líneas de negocio definidas por la Entidad. No obstante, no hemos verificado
un análisis de los factores de riesgo dichas líneas de negocio.
3. De acuerdo al punto 1.3 del apartado IV de la Metodología, se verificó que se hayan evaluado
como mínimo clientes, productos, canales y zona geográfica. A su vez, incluyeron dentro del
análisis los siguientes factores: cumplimiento normativo, tecnológico y corporativo.
Las ponderaciones asignadas para cada factores mínimos (Matriz de riesgo cliente) fueron las
siguientes :
Cliente 35%
Canales 15%
Zona Geográfica 30%
Productos 20%
Las ponderaciones asignadas para otros factores (Matriz de riesgo a nivel Entidad) fueron las
siguientes:
Cumplimiento 40%
Tecnológico 35%
Corporativo 25%
5. En el punto 2.1 de la Etapa II, de la Metodología establece que la Entidad procederá a analizar
las métricas (cuantitativas / cualitativas) que le permitirá evaluar los recursos con que cuenta
la entidad para mitigar los riesgos de lavado de activos y financiamiento del terrorismo
identificados en la Etapa I.
En el punto 2.1 se describe un listado de fuentes y recursos de los cuales la Entidad se valdrá
para el proceso de evaluación.
2
identificados y controles incluidos. La Forma en la que se determina el riesgo residual.
7. De acuerdo al análisis que realizamos, dentro de los factores a analizar esta el factor
tecnológico.
Para los canales de distribución, el subfactor es Carácter Presencial-No Presencial con una
ponderación del 100%.
Respecto del factor “canal de distribución”, se utilizaron los datos del total de operaciones de
todos los clientes de marzo de 2018 que surgen de reportes generados desde Sideba y del
3
sistema SOS.
Los criterios de medición de los subfactores correspondientes a Canales se encuentran
descriptos en acuerdo en el punto I.II, apartado III (Análisis pormenorizado de cada uno de los
factores que componen la matriz de riesgo cliente) del Informe Técnico.
Para Zona Geográfica, los subfactores son el total de sucursales segmentadas por provincias,
las quedan de la siguiente manera:
Caba (17 sucursales)
Buenos Aires (41 sucursales)
Córdoba (1 sucursal)
Mendoza (1 sucursal)
San Juan (1 sucursal)
Santa Fe (2 sucursales)
Tucumán (1 sucursal)
San Luis (1 sucursal)
Respecto del factor “zona geográfica”, se utilizaron los datos sobre el total de sucursales de la
Entidad, considerando el total de clientes activos al 31.03.2018 que surgen de reportes
generados desde Sideba y del sistema SOS.
Los criterios de medición de los subfactores correspondientes a Zona Geográfica se
encuentran descriptos en acuerdo en el punto III.I, apartado III (Análisis pormenorizado de
cada uno de los factores que componen la matriz de riesgo cliente) del Informe Técnico.
Para los productos, el subfactor se segmentó por Tipo de Operación con una ponderación del
100%.
Respecto del factor “producto”, se utilizaron los datos del total de operaciones de todos los
clientes de marzo de 2018 que surgen de reportes generados desde Sideba y del sistema SOS.
Los criterios de medición de los subfactores correspondientes a Canales se encuentran
descriptos en acuerdo en el punto I.II, apartado III (Análisis pormenorizado de cada uno de los
factores que componen la matriz de riesgo cliente) del Informe Técnico.
4
Debida diligencia en base al riesgo (100/19)
Debida diligencia a clientes sujetos obligados (100/19)
Reportes sistemáticos – regímenes informativos (100/19)
Procedimiento generación ROS y desvinculación de clientes (100/19)
Incumplimiento normativo (100/19)
Sanciones y medidas correctivas (100/19)
Clientes (100/19)
Perfil Transaccional (100/19)
Control y Monitoreo (100/19)
Monitoreo Transaccional (100/19)
Transferencias electrónicas (100/19)
Depósitos de efectivo (100/19)
Este factor se evaluó de manera subjetiva.
Para Aspecto Tecnológico, los subfactores y su ponderación son los siguientes:
Sistema de almacenamiento de datos (100/6)
SOS Sistema de Monitoreo (100/6)
Interfaces entre datos entidad y sistema de monitoreo (100/6)
Acceso a las bases o archivo del sistema (100/6)
Reportes sistemáticos (100/6)
Reportes sistemáticos a la UIF/BCRA (100/6)
Este factor se evaluó de manera subjetiva.
5
ponderación asignada al factor y su calificación.
Respecto de la determinación del riesgo de cada factor y subfactor, la Entidad definió un
esquema de medición que va de 1 a 25 para Bajo (1), de 26 a 60 para Medio (2) y de 61 a 100
para Alto (3).
Obs: En la metodología no se encuentra una definición sobre la determinación del riesgo
inherente y el riesgo residual.
d) Para Cumplimiento, Gobierno y Tecnológico, que son a los factores a los que se evaluaron los
controles no se definió un criterio de medición.
Obs: No hemos podido llevar a cabo la tarea de verificar las tablas de evaluación de los
controles definidos para medir la efectividad de los controles, queremos aclarar que los
mismos se midieron de manera subjetiva y no se definió un criterio de evaluación.
e) Se visualizó el Acta de aprobación del documento metodológico por parte del Comité de
PLAFT/Directorio, la misma fue aprobada por el Directorio nro 2921 con fecha 11 de enero de
2018.
Observaciones
Ver informe final.
6
BDO Argentina – Auditoría Interna
b) De acuerdo al anexo II del Informe Técnico, la Matriz de Riesgo de Clientes, comprende los
indicadores característicos que permiten establecer un perfil de cliente para la actividad
financiera. Siendo la Matriz de Riesgo a Nivel Entidad, el riesgo final de la Entidad,
considerando el riesgo asociado a sus clientes y formas de operar (determinado por la matriz
de riesgo de cliente) el cual es mitigado, por el Ambiente de Control de la Entidad.
La Entidad concluyó que su perfil de riesgo, como resultado de la autoevaluación es Medio, el
cual consideramos razonable por el tamaño, tipo de clientes, productos y sucursales en las que
se encuentra el Banco.
c) Para cada uno de los subfactores de Clientes, Productos, Canales y Zona Geográfica se
determinó la cantidad de clientes por nivel de riesgo, donde 1 es bajo, 2 es medio y 3 es alto.
Luego se unió el resultado de cada subfactor para determinar el riesgo para cada factor por
cliente. Se combino el riesgo de los 4 factores antes mencionados y así se obtuvo el riesgo final
de todos los Clientes. En síntesis, se obtuvo el perfil de riesgo de cada cliente de acuerdo a los
resultados de los 4 factores de riesgo.
En la hoja 70 del log final se detalla de qué manera se llega a que el riesgo para la Matriz de
Riesgo cliente sea MEDIO.
De acuerdo al documento “Matriz operativa y Sistemas”, para cada proceso de cada factor se
identificaron las debilidades detectadas de los mismos, cuales son los mitigantes con los que
cuenta la Entidad para cada proceso y cuál es el impacto que producen las debilidades
detectadas. El riesgo bruto se asignó de manera subjetiva.
En la hoja 71 del log final se detalla de qué manera se llega a que el riesgo para la
Cumplimiento Normativo sea MEDIO.
7
En la hoja 72 del log final se detalla de qué manera se llega a que el riesgo para la Aspecto
Tecnológico sea MEDIO.
En la hoja 73 del log final se detalla de qué manera se llega a que el riesgo para la Gobierno
Corporativo sea BAJO.
De acuerdo a punto 131 del Log final, Ponderaron los resultados obtenidos anteriormente y
procedieron a la determinación del Riesgo de los últimos 3 factores analizados, que influirán
sobre los riesgos determinados para los clientes de la Entidad; permitiéndonos arribar al
Riesgo a Nivel Entidad
Se concluyó que el riesgo del Ambiente de Control de la Entidad, reviste la calidad de Riesgo
Medio.
Como último paso, de acuerdo al punto 132 del log final, se generó la equivalencia entre el
riesgo determinado por el ambiente de control y el riesgo bruto determinado por la matriz de
riesgo de Clientes, para determinar cómo dichos riesgos brutos se mitigarán por el ambiente
de control implementado en la Entidad, para arribar al Riesgo Total a Nivel Entidad
En la página 75 del Log final, se encuentra la tabla de definición del riesgo final, considerando
los resultados obtenidos para el ambiente de control y para la matriz riesgo cliente.
Al ser el riesgo medio en la matriz de clientes y al ser riesgo medio en el ambiente de control,
no se incrementan los riesgos en la determinación del Riesgo a Nivel Entidad.
Obs: Si bien se desarrolló la matriz de riesgo Entidad, la misma concluyó acerca del riesgo
por cada cliente en vez de determinar el riesgo por cada factor.
Obs: Inconsistencia entre la matriz de riesgo de clientes que surge del sistema y que ha sido
utilizada para la segmentación de clientes por riesgo, y la matriz de determinación del perfil
de la Entidad en la que se determinó el perfil de riesgo de cada cliente por factor de riesgo.
Cabe aclarar, que si bien la matriz entidad no se condice con la matriz cliente, los factores
que considera la norma para determinar un riesgo están siendo contemplados en la matriz
cliente y/o dentro de alertas, revisiones.
d) La Entidad emitió un Informe Técnico y el mismo fue presentado a la UIF el día 03.05.2018, de
acuerdo a la constancia de recepción de la UIF. En dicho informe se incluyó una breve
descripción de la metodología y el perfil de riesgo final de la Entidad.
Observaciones
8
Ver informe final.
b) Se visualizó el Acta de aprobación del Informe técnico por parte del Directorio y Declaración
de Tolerancia al riesgo por parte del Directorio por acta nro 2996, con fecha 09 de abril de
2018.
9
PLAyFT se encuentra desactualizado.
Conclusiones
Observaciones
Ver informe final.
Pruebas de cumplimiento
Observaciones
No tiene observaciones que formular.
10