LA IMPLEMENTACION PRACTICA DEL SARLAFT DESDE LA PERSPECTIVA DEL CLIENTE Medición, Control y Monitoreo de Riesgos 14 de Agosto de 2009

IMPLEMENTACION DE UN SISTEMA DE ADMINISTRACION DE RIESGO EFICAZ INIT IMPLEMENTACION DE UN SISTEMA DE ADMINISTRACION DE RIESGO EFICAZ ATEMPERADO A LA NORMATIVIDAD Y CARACTERISTICAS PROPIAS EL RIESGO LA/FT EN CONTEXTO CON EL NEGOCIO CRITERIO Y RESPONSABILIDAD COMITÉ DE CUMPLIMIENTO: UN ORGANO CONSULTIVO EN LA TOMA DE DESICIONES LAS TIPOLOGIAS SON CONDUCTAS TIPICAS NO MAXIMAS DE LEY

AGENDA METODOLOGÌA SARLAFT Medición INIT AGENDA METODOLOGÌA SARLAFT Medición Establecer las metodologías de medición o evaluación con el fin de determinar la posibilidad o probabilidad de ocurrencia del riesgo de LA/FT y su impacto en caso de materializarse frente a cada uno de los factores de riesgo y los riesgos asociados. A efectos de realizar una medición o evaluación consolidada de los factores de riesgo y los riesgos asociados. Control Monitoreo 3

CONSOLIDACIÓN DEL RIESGO INIT SARLAFT NIVEL MACRO CLIENTES Variables: Cliente, Canales, Jurisdicciones y Productos SISTEMA DE APLICACIÓN Matrices de Riesgo 75% PROCESOS Variable: Pruebas de Control CONSOLIDACIÓN DEL RIESGO 20% MONITOREO TRANSACCIONAL Variables. Cualitativas- Cuantitativas PRODUCTOS Variable: Pruebas de Control 5%

VALORACIÓN DE VARIABLES CUALITATIVAS POR FACTOR INIT MEDICIÓN RIESGO INHERENTE CLIENTES FACTORES DE RIESGO VALORACIÓN DE VARIABLES CUALITATIVAS POR FACTOR CLIENTE Tipo Persona Act. Económica Patrimonio 75% JURISDICCIÓN 10% Nacionalidad Ubicación Geográfica (Ofi) PRODUCTOS R. Alto R. Bajo 10% R. Moderado R. Muy Bajo CANALES 5% R. Alto R. Moderado R. Bajo R. Muy Bajo

VALORACIÓN DE VARIABLES CUANTITATIVAS POR FACTOR INIT MEDICIÓN RIESGO RESIDUAL CLIENTES FACTORES DE RIESGO VALORACIÓN DE VARIABLES CUANTITATIVAS POR FACTOR CLIENTE Segmentación Perfilamiento 75% JURISDICCIÓN R. Bajo R. Alto R. Moderado R. Muy Bajo 10% PRODUCTOS R. Bajo R. Alto R. Moderado R. Muy Bajo 10% CANALES R. Bajo R. Alto R. Moderado R. Muy Bajo 5%

Muy Bajo Bajo Moderado Alto INIT MEDICIÓN CLIENTES NIVEL DE RIESGO VALOR LIMITE INFERIOR LIMITE SUPERIOR COLORIMETRÍA MUY BAJO 1 1.75   BAJO 2 1.76 2.5 MODERADO 3 2.51 3.25 ALTO 4 3.26 4 3 2 1 Alto Moderado Bajo Muy Bajo Riesgo Transaccional 1 2 3 4 Muy Bajo Bajo Moderado Alto Riesgo en Vinculación

MEDICIÓN PROCESOS RIESGO INHERENTE RIESGO RESIDUAL Procedimientos INIT MEDICIÓN RIESGO INHERENTE PROCESOS Procedimientos Infraestructura Tecnológica Entrevistas Documentación Divulgación de Información Diagramas de Flujo Riesgo Procesos Estructura Organizacional Capacitación Matriz de Riesgos y Controles Pruebas de Control Riesgo Procesos RIESGO RESIDUAL

Matriz de Riesgos y Controles INIT MEDICIÓN RIESGO INHERENTE PRODUCTOS Entrevistas Creación del Producto Análisis del Producto Diagramas de Flujo Riesgo Productos Admón Matriz de Riesgos y Controles Pruebas de Control Riesgo Productos RIESGO RESIDUAL

MEDICIÓN PROCESOS Y PRODUCTOS Muy Bajo Bajo Moderado Alto INIT MEDICIÓN PROCESOS Y PRODUCTOS NIVEL DE RIESGO VALOR LIMITE INFERIOR LIMITE SUPERIOR COLORIMETRÍA MUY BAJO 1 1.75   BAJO 2 1.76 2.5 MODERADO 3 2.51 3.25 ALTO 4 3.26 Alto Moderado Bajo Muy Bajo Probabilidad Muy Bajo Bajo Moderado Alto Impacto

CONSOLIDADO RIESGO RESIDUAL Calificación Consolidada Banco Calificación Consolidada 1.19 1.10 Clientes (1.225.054) Riesgo: Muy Bajo Riesgo: Muy Bajo Escalas 4 3 2 1 Muy Bajo 1 - 1.75 Bajo 1.76 - 2.50 Moderado 2.51 – 3.25 Alto 3.26 - 4 1 2 3 4 Calificación Consolidada 1.50 Procesos (60) Riesgo: Bajo Calificación Consolidada 1 2 3 4 Calificación del Riesgo Consolidado 1 trimestre Marzo 2009 1.31 Productos (39) Calificación del Riesgo Consolidado 4 trimestre Diciembre 2008 Riesgo: Bajo Tendencia IV trimestre 2008 vs.1 trimestre 2009

AGENDA METODOLOGÌA SARLAFT Medición Control INIT AGENDA METODOLOGÌA SARLAFT Medición Control Establecer las metodologías para definir las medidas de control del riesgo de LA/FT. Aplicar las metodologías aprobadas por la Junta Directiva sobre cada uno de los factores de riesgo y los riesgos asociados. Establecer los niveles de exposición en razón de la calificación dada a los factores de riesgo en la etapa de medición. Toma de decisiones aterrizadas – (criterio, responsabilidad y oportunidad) Realizar los reportes de operaciones sospechosas a la Unidad UIAF. Monitoreo

CONTROL PROGRAMA DE CAPACITACIÓN Empleados nuevos e-learning INIT CONTROL PROGRAMA DE CAPACITACIÓN Empleados nuevos e-learning Capacitadores regionales Clientes Especiales Filiales y Outsourcing PEP`s Reconocimiento, actualización y seguimiento de los Pep`s, Creación de procedimiento para que nivel jerárquico superior autorice las vinculaciones o su continuidad. CAMPAÑAS POLÍTICAS Y PARTIDOS POLÍTICOS Desarrollo de un Software Especializado para la Administración de estas cuentas y sus reportes. Monitoreo y seguimiento a los recursos que manejan las cuentas para campañas políticas, seguimiento a donaciones en efectivo, Topes, devolución de las mismas si no están soportadas, análisis de documentación y visita a Cliente.

WF ACTUAL DE MONITOREO DE INUSUALIDADES Se analiza la transacción del cliente y si cumple con algún parametro, levanta un flujo de trabajo El primer paso del WF es recopilar todos los datos del cliente, información de Gtes asignados y Oficinas Generación y Atención Se levanta un nuevo formulario WEB de investigación y se envía al Auditor El cliente realiza una transacción por cualquier canal En esta instancia el Gte deberá certificar o no, la o las transacciones del cliente, de acuerdo al conocimiento que tenga del mismo. El Auditor según su análisis, decidirá si le solicita información al Gte o cierra el caso de investigación El formulario espera: 3 días 7 días 5 días Correo Vice El Auditor puede cerrar el caso o solicitar nuevamente info al Gte N veces Cuando llega la respuesta del Gte el Auditor podrá cerrar el caso o Solicitar concepto al Oficial para generar un ROI. En esta instancia el Oficial puede cerrar el caso, generar ROI o devolver el caso al Auditor, para que complemente información. 7 días El formulario esperará:

INIT PRUEBAS DE CONTROL La Unidad de Cumplimiento, cuenta con un esquema permanente de pruebas de control en Oficina y áreas Staff, donde se verifica la calidad de la información y la efectividad de los mecanismos de control, establecidos por el Banco a nivel de procesos, productos, pudiendo así, identificar si los mismos son ejecutados adecuadamente.

INIT AGENDA METODOLOGÌA SARLAFT Medición Control Monitoreo Seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias del SARLAFT. Permanente seguimiento y comparación del riesgo inherente y residual de cada factor de riesgo y de los riesgos asociados. Asegurar que los controles sean comprensivos de todos los riesgos y que los mismos estén funcionando en forma oportuna, efectiva y eficiente. Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad. Toma de decisiones e implementación de los correctivos – seguimiento. Determinar las operaciones inusuales y sospechosas

CALIFICACIÓN DEL RIESGO RESIDUAL DE LOS CLIENTES INIT CALIFICACIÓN DEL RIESGO RESIDUAL DE LOS CLIENTES

CALIFICACIÓN DEL RIESGO RESIDUAL DE LOS CLIENTES INIT CALIFICACIÓN DEL RIESGO RESIDUAL DE LOS CLIENTES

CLIENTES NIVEL DE RIESGO ALTO POR TRIMESTRE Y TIPO DE BANCA INIT CLIENTES NIVEL DE RIESGO ALTO POR TRIMESTRE Y TIPO DE BANCA

PARTICIPACIÓN DE PROCESOS POR NIVEL DE RIESGO INIT PARTICIPACIÓN DE PROCESOS POR NIVEL DE RIESGO

PARTICIPACIÓN DE PRODUCTOS Y PROCESOS POR NIVEL DE RIESGO INIT PARTICIPACIÓN DE PRODUCTOS Y PROCESOS POR NIVEL DE RIESGO

KYR (Know Your Risk) CONOZCA SU RIESGO KYR (KNOW YOUR RISK) KYC (KNOW YOUR COSTUMER) PERMITE Ajuste y calibración de controles Toma de decisiones asertivas.

LA PREVENCIÓN DEL LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO NO SON ESCLUSIVOS DE LAS ENTIDADES FINANCIERAS Recordemos que los últimos acontecimientos relacionados con la captación ilegal de dinero en Colombia, han hecho que algunos de los Administradores de las Empresas del Sector Real se hayan empezado a preocupar por la responsabilidad administrativa y penal a la cual se pueden ver enfrentados por el desconocimiento de la regulación internacional y local sobre lavado de activos y financiación del terrorismo. la Ley 1121 de 2006 que regula la tipificación del delito de financiación del terrorismo y que modificó el régimen penal y administrativo del lavado de Activos junto con las nuevas exigencias normativas y los estándares internacionales que vinculan a las empresas del sector real como “Sujetos Obligados derivados”

LA PREVENCIÓN DEL LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO NO SON ESCLUSIVOS DE LAS ENTIDADES FINANCIERAS El sector Real es motor de la economía mundial y por ello es Fuente principal del SARLAFT. El SARLAFT y sus sujetos Obligados , Algunas personas consideran que esto es una función pura del sector financiero , toda vez que el Sector al cual pertenece no esta obligado y simplemente se deja de lado. Reacción del Avestruz EL PELIGRO SIMPLEMENTE NO ME TOCA. Lo que pide nuestra legislación es tener un actuar comercial como el de un buen padre de familia. (Simil) -Sabe usted donde están sus hijos? . En ese orden de ideas, es perentorio conocer de manera práctica los aspectos teóricos para la prevención del lavado de activos y la financiación del terrorismo, no sin antes recordar que LA IGNORANCIA DE LA LEY NO SIRVE DE EXCUSA. Ya que la omisión o desconocimiento puede tirar al traste su reputación y patrimonio,

RIESGOS ASOCIADOS AL REALIZAR NEGOCIOS U OPERACIONES CON PERSONAS O ENTIDADES VINCULADAS EN LISTAS INTERNACIONALES LISTA OFAC LISTA ONU RIESGO REPUTACIONAL: RIESGO DE CONTAGIO: RIESGO LEGAL: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. Es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por una acción o experiencia de un vinculado. El vinculado es el relacionado o asociado e incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la entidad. Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

EJEMPLOS: OPORTUNIDADES DE CONTAGIO Exportación / Importación: Realizar operaciones con personas naturales y jurídicas vinculadas en la Listas OFAC / ONU. Realizar operaciones de Moneda extranjera con Clientes en Países Sancionados por OFAC. Realización de giros de dinero o inversiones en el exterior a través de Brókers o Apoderados internacionales no reconocidos, desconociendo la Inversión realizada a su nombre o el portafolio de Inversión , la sociedad y el país destino de sus recursos. ( Solo importando la Rentabilidad Ofrecida )

EJEMPLOS: OPORTUNIDADES DE CONTAGIO 4. Recepción de pagos Provenientes del exterior por exportaciones desconociendo el Ordenante de la operación, corresponsal del emisor, el país destino, institución ordenante, etc. 5. Recepción de Prepagos de productos exportados , desconociendo el sentido del prepago.

Metodología propuesta a desarrollar en las empresas del sector real La interrelación de las empresas del sector Real con sus propios Clientes, Usuarios, Proveedores y Empleados hace cada vez mas necesario la adopción de medidas de control que permitan mitigar los riesgos reputacional y legal a los cuales se ven expuestas. Identificación de riesgos inherentes al desarrollo de la actividad Identificación Medición Control Monitoreo Realizar seguimiento del perfil del riesgo de la EMPRESA así como de la efectividad de los controles implementados Medición de la probabilidad de ocurrencia así como el impacto en caso de materializarse el riesgo Identificación de medidas de control que permitan mitigar los riesgos identificados

Consolidación por nivel de Riesgo Formulación de resultados Identificación Medición Control Monitoreo Ejecución de pruebas de control o revisión que evidencie la correcta aplicación y ejecución de los controles establecidos . Consolidación por nivel de Riesgo Formulación de resultados Nivel de Riesgo actual Nuevo Nivel de Riesgo

CONSIDERACIONES FINALES El SARLAFT es parte integral del negocio bancario. Actuación al Filo de la Navaja: Debemos tener cuidado con la sobreactuación – Criterio y Responsabilidad. El SARLAFT es dinámico. Requiere revisión y ajuste permanente (monitoreo a clientes y los indicadores de riesgo). Implementar los correctivos pertinentes. El SARLAFT es de todos, no solo del sector financiero. Sensibilización, capacitación y regulación. Recordemos que “Dura lex, sed lex” y que la ignorancia de la ley no sirve de excusa para que un trabajo pulcro y honesto se mancille por una omisión o desconocimiento.

INIT GRACIAS