TestSARLAFT

🛡️ Etapas del SARLAFT: identificación, medición, control y monitoreo del riesgo

TEMA 3. Etapas del SARLAFT: identificación, medición, control y monitoreo del riesgo

El SARLAFT es el sistema que toda entidad vigilada por la Superintendencia Financiera de Colombia (SFC) debe implementar para administrar el riesgo de lavado de activos y financiación del terrorismo (LA/FT), conforme al Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica (C.E. 029 de 2014), modificado por la C.E. 027 de 2020 (SARLAFT 4.0), que incorporó el enfoque basado en riesgo (EBR) en línea con la Recomendación 1 del GAFI. La administración del riesgo se desarrolla a través de cuatro etapas consecutivas: identificación, medición o evaluación, control y monitoreo.

Conceptos previos: factores de riesgo, riesgos asociados y perfiles

Los factores de riesgo son los agentes generadores del riesgo de LA/FT; como mínimo: clientes y usuarios, productos, canales de distribución y jurisdicciones. Los riesgos asociados son aquellos a través de los cuales se materializa el LA/FT: reputacional, legal, operativo y de contagio. La medición y el control producen, respectivamente, dos perfiles que el monitoreo compara:

Etapa 1. Identificación

Permite identificar los riesgos de LA/FT inherentes a la actividad según los factores de riesgo. Es clave que esta etapa se realice previamente al lanzamiento o uso de nuevos productos, nuevas prácticas comerciales o canales, nuevas tecnologías, a la modificación de un producto, a la incursión en un nuevo mercado y a la apertura de operaciones en nuevas jurisdicciones. Su resultado es identificar los factores de riesgo y los riesgos asociados; para ello la entidad debe establecer metodologías de segmentación de los factores de riesgo y de identificación del riesgo (num. 4.1.1, equivalente al num. 4.2.1 de la C.E. 029 de 2014).

Etapa 2. Medición o evaluación

Concluida la identificación, el SARLAFT debe permitir medir la probabilidad de ocurrencia del riesgo inherente frente a cada factor de riesgo, así como el impacto en caso de materializarse, mediante los riesgos asociados. Las mediciones podrán ser cualitativas o cuantitativas. El resultado de esta etapa es el perfil de riesgo inherente de la entidad, con las mediciones agregadas por factor y por riesgo asociado (num. 4.1.2 / num. 4.2.2 de la C.E. 029 de 2014).

Etapa 3. Control

La entidad toma las medidas conducentes a controlar el riesgo inherente derivado de los factores de riesgo y de los riesgos asociados. El control debe traducirse en una disminución de la probabilidad de ocurrencia y/o del impacto del riesgo. Su resultado es el perfil de riesgo residual. La entidad debe evaluar, con periodicidad mínima semestral, el diseño y la efectividad de las medidas de control (atributos de cobertura, frecuencia y funcionamiento) y establecer los niveles de exposición según la calificación obtenida en la medición (num. 4.1.3 / num. 4.2.3 de la C.E. 029 de 2014).

Etapa 4. Monitoreo

Permite hacer seguimiento del perfil de riesgo y del SARLAFT, y comparar la evolución del perfil de riesgo inherente con el perfil de riesgo residual. Su resultado es una matriz de riesgo y reportes sobre la evolución del riesgo y la eficiencia de los controles. El seguimiento debe tener una periodicidad acorde con el perfil de riesgo residual, pero en todo caso mínima semestral. Cuando los controles no sean efectivos, la entidad debe implementar de manera inmediata un plan de acción de ajuste, y asegurar que los riesgos residuales se mantengan en los niveles de aceptación definidos (num. 4.1.4 / num. 4.2.4 de la C.E. 029 de 2014).

Idea clave para el examen

La secuencia lógica es: la identificación y la medición determinan el riesgo inherente; el control lo reduce y genera el riesgo residual; y el monitoreo compara ambos perfiles de forma continua. Reglas que suelen evaluarse: la identificación debe ser previa a productos, canales o jurisdicciones nuevos; la medición puede ser cualitativa o cuantitativa; y tanto la evaluación de controles como el seguimiento exigen periodicidad mínima semestral.

Practica el banco completo y haz simulacros gratis

Preguntas de muestra (35)

1. Según la etapa de Identificación del SARLAFT (CBJ, Cap. IV, num. 4.1.1), ¿en qué momento debe la entidad identificar el riesgo de LA/FT frente a un producto, servicio, canal o jurisdicción nuevos?

  1. Después del primer trimestre de operación del nuevo producto
  2. Previamente al lanzamiento o uso del producto, canal o incursión en la nueva jurisdicción
  3. Únicamente cuando la UIAF lo requiera
  4. Solo si el producto supera un umbral de transacciones mensuales

La etapa de identificación debe realizarse previamente al lanzamiento o uso de cualquier producto, nuevas prácticas comerciales, nuevas tecnologías, incursión en nuevo mercado, apertura en nuevas jurisdicciones y lanzamiento o modificación de canales de distribución (CBJ, Cap. IV, num. 4.1.1).

2. Para identificar el riesgo de LA/FT, ¿cuál de las siguientes es una actividad mínima exigida a las entidades en la etapa de Identificación?

  1. Establecer metodologías para la segmentación de los factores de riesgo y segmentarlos
  2. Calcular el perfil de riesgo residual de la entidad
  3. Evaluar semestralmente la efectividad de los controles
  4. Implementar la matriz de riesgo y los reportes de evolución

En la identificación, las entidades deben como mínimo establecer metodologías para la segmentación de los factores de riesgo y segmentarlos, además de metodologías de identificación del riesgo y sus riesgos asociados (CBJ, Cap. IV, num. 4.1.1.1 a 4.1.1.3). El perfil residual y la matriz de riesgo son resultados de control y monitoreo.

3. Como resultado de la etapa de Identificación, las entidades deben poder identificar:

  1. La probabilidad y el impacto de cada riesgo asociado
  2. Los factores de riesgo y los riesgos asociados a los que se ven expuestas frente al LA/FT
  3. El perfil de riesgo residual de la entidad
  4. Los niveles de aceptación del riesgo residual

Como resultado de la identificación, las entidades deben poder identificar los factores de riesgo y los riesgos asociados a los que se ven expuestas frente al riesgo de LA/FT (CBJ, Cap. IV, num. 4.1.1). La probabilidad e impacto corresponden a la medición; el perfil residual al control.

4. Un banco colombiano va a lanzar una billetera digital con una nueva tecnología en desarrollo. El oficial de cumplimiento debe determinar la actuación SARLAFT correcta. ¿Cuál es?

  1. Esperar a que el producto opere seis meses y luego medir el riesgo
  2. Identificar previamente el riesgo de LA/FT inherente al nuevo producto y su tecnología antes del lanzamiento
  3. Reportar el lanzamiento a la UIAF como operación sospechosa
  4. Aplicar solo el perfil de riesgo residual ya existente del banco

La etapa de identificación debe realizarse previamente al lanzamiento o uso de cualquier producto y de nuevas tecnologías o tecnologías en desarrollo para productos nuevos o existentes (CBJ, Cap. IV, num. 4.1.1). Por tanto el riesgo debe identificarse antes del lanzamiento.

5. Una entidad vigilada planea abrir operaciones en una nueva jurisdicción del exterior. ¿Qué exige el SARLAFT en la etapa de Identificación respecto de esa apertura?

  1. Identificar el riesgo de LA/FT previamente a la apertura de operaciones en la nueva jurisdicción
  2. Identificar el riesgo solo después de que la jurisdicción figure en listas GAFI
  3. Limitarse a medir el impacto reputacional una vez abierta la sede
  4. Reportar la apertura a la Superintendencia como ROS

La identificación debe realizarse previamente a la apertura de operaciones en nuevas jurisdicciones (CBJ, Cap. IV, num. 4.1.1). Las jurisdicciones son además un factor de riesgo definido en el Capítulo.

6. De acuerdo con la etapa de Identificación, ¿respecto de cuál de los siguientes supuestos debe la entidad identificar previamente el riesgo de LA/FT?

  1. La rotación ordinaria de personal administrativo
  2. El lanzamiento o modificación de los canales de distribución
  3. La presentación del informe anual a la asamblea
  4. El cambio de auditor externo de la entidad

La identificación debe realizarse previamente, entre otros, al lanzamiento o modificación de los canales de distribución y a nuevas prácticas comerciales incluidos nuevos canales de prestación de servicios (CBJ, Cap. IV, num. 4.1.1).

7. Una compañía de financiamiento decide modificar sustancialmente las características de un producto de crédito ya existente. Según la etapa de Identificación, debe:

  1. Omitir la identificación porque el producto ya existía
  2. Identificar previamente el riesgo de LA/FT asociado a la modificación de las características del producto
  3. Reportar la modificación a la UIAF antes de implementarla
  4. Aplicar directamente la etapa de monitoreo semestral

La identificación debe realizarse previamente a la modificación de las características del producto (CBJ, Cap. IV, num. 4.1.1), aun cuando el producto ya exista.

8. La incursión en un nuevo mercado obliga a la entidad a:

  1. Identificar previamente el riesgo de LA/FT inherente a esa incursión
  2. Aplicar de inmediato la etapa de control sin identificación previa
  3. Solicitar autorización a la UIAF para operar
  4. Esperar la materialización de un evento de riesgo para actuar

La etapa de identificación debe realizarse previamente a la incursión en un nuevo mercado (CBJ, Cap. IV, num. 4.1.1).

9. Al establecer metodologías de identificación del riesgo y sus riesgos asociados respecto de cada factor segmentado, las entidades deben tener en cuenta:

  1. Solo el contexto interno de la entidad
  2. El contexto interno y externo
  3. Exclusivamente las listas vinculantes internacionales
  4. Únicamente el perfil de riesgo residual previo

Las entidades deben establecer metodologías de identificación del riesgo y sus riesgos asociados respecto de cada factor segmentado, teniendo en cuenta el contexto interno y externo (CBJ, Cap. IV, num. 4.1.1.2).

10. Dentro de las actividades mínimas de la etapa de Identificación, las entidades deben además:

  1. Identificar las formas a través de las cuales puede presentarse el riesgo de LA/FT
  2. Definir el nivel de aceptación del riesgo residual
  3. Implementar la matriz de riesgo y los reportes de evolución
  4. Evaluar la efectividad de las medidas de control con periodicidad semestral

En la identificación las entidades deben, entre otros mínimos, identificar las formas a través de las cuales puede presentarse el riesgo de LA/FT (CBJ, Cap. IV, num. 4.1.1.1 a 4.1.1.3). Los niveles de aceptación, la matriz y la evaluación semestral pertenecen a control y monitoreo.

11. Una cooperativa financiera quiere habilitar un nuevo canal de corresponsales digitales nunca antes usado. El comité de cumplimiento debate si debe actuar en SARLAFT. Lo correcto es:

  1. No hacer nada en SARLAFT porque los corresponsales son terceros
  2. Identificar previamente el riesgo de LA/FT del nuevo canal antes de habilitarlo
  3. Reportar de inmediato a la UIAF la creación del canal
  4. Pasar directamente a la etapa de monitoreo del canal

La identificación debe realizarse previamente a nuevas prácticas comerciales (incluidos nuevos canales de prestación de servicios) y al lanzamiento o modificación de los canales de distribución (CBJ, Cap. IV, num. 4.1.1). Los canales son además un factor de riesgo.

12. Dentro de las cuatro etapas del SARLAFT, la Identificación es:

  1. La primera etapa, previa a la medición o evaluación
  2. La segunda etapa, posterior a la medición
  3. La última etapa, equivalente al monitoreo
  4. Una etapa opcional dentro del enfoque basado en riesgo

El SARLAFT comprende como mínimo las etapas de 1) Identificación, 2) Medición o evaluación, 3) Control y 4) Monitoreo (CBJ, Cap. IV, num. 4.1). La identificación es la primera y precede a la medición.

13. Un banco lanzó hace dos años un producto sin haber identificado su riesgo de LA/FT y ahora pretende ampliarlo a un nuevo mercado. ¿Cuál es la actuación SARLAFT correcta frente a la ampliación?

  1. La identificación ya no procede porque el producto existe hace dos años
  2. Debe identificar previamente el riesgo de LA/FT de la incursión en el nuevo mercado
  3. Solo debe medir el impacto reputacional una vez ampliado
  4. Debe reportar a la UIAF la omisión inicial como ROS

Con independencia de la omisión pasada, la identificación debe realizarse previamente a la incursión en un nuevo mercado (CBJ, Cap. IV, num. 4.1.1). La ampliación dispara la obligación de identificar el riesgo antes de ejecutarla.

14. La etapa de Monitoreo del SARLAFT debe permitir, principalmente:

  1. Hacer seguimiento del perfil de riesgo y del SARLAFT, y comparar el perfil inherente con el residual
  2. Identificar por primera vez los factores de riesgo
  3. Medir la probabilidad de ocurrencia del riesgo inherente
  4. Definir las medidas de control sobre cada factor de riesgo

El monitoreo debe permitir hacer seguimiento del perfil de riesgo y, en general, del SARLAFT, y comparar la evolución del perfil de riesgo inherente con el perfil de riesgo residual de LA/FT de la entidad (CBJ, Cap. IV, num. 4.1.4).

15. El proceso de seguimiento de la etapa de Monitoreo debe tener una periodicidad acorde con el perfil de riesgo residual, pero en todo caso con periodicidad mínima:

  1. Anual
  2. Trimestral
  3. Semestral
  4. Mensual

El proceso de seguimiento debe tener una periodicidad acorde con el perfil de riesgo residual, pero en todo caso con periodicidad mínima semestral (CBJ, Cap. IV, num. 4.1.4.1).

16. Como resultado de la etapa de Monitoreo, la entidad debe implementar:

  1. Una matriz de riesgo y reportes que permitan establecer las evoluciones del riesgo y la eficiencia de los controles
  2. El perfil de riesgo inherente de la entidad
  3. Las metodologías de segmentación de factores de riesgo
  4. El perfil de riesgo residual por primera vez

Como resultado del monitoreo, la entidad debe implementar una matriz de riesgo y reportes que permitan establecer las evoluciones del riesgo y la eficiencia de los controles implementados (CBJ, Cap. IV, num. 4.1.4). El perfil inherente es resultado de la medición y el residual del control.

17. Dentro de las actividades del monitoreo, la entidad debe establecer indicadores que sean:

  1. Descriptivos y/o prospectivos de potenciales fuentes de riesgo
  2. Exclusivamente contables y financieros
  3. Únicamente de rentabilidad sobre el patrimonio
  4. Solo de cobertura geográfica de sucursales

El monitoreo debe establecer indicadores descriptivos y/o prospectivos de potenciales fuentes de riesgo (CBJ, Cap. IV, num. 4.1.4.2 a 4.1.4.5).

18. El monitoreo debe realizar seguimiento y comparación del riesgo inherente y residual:

  1. De cada factor de riesgo y de cada riesgo asociado
  2. Solo del factor clientes y usuarios
  3. Únicamente del riesgo reputacional consolidado
  4. Solo de la entidad en su conjunto, sin desagregar

El monitoreo debe realizar seguimiento y comparación del riesgo inherente y residual de cada factor y de cada riesgo asociado (CBJ, Cap. IV, num. 4.1.4.2 a 4.1.4.5).

19. Un oficial de cumplimiento propone hacer el seguimiento del perfil de riesgo solo una vez al año para reducir costos. ¿Es admisible según la etapa de Monitoreo?

  1. Sí, la periodicidad anual es la regla general del monitoreo
  2. No, el seguimiento debe tener periodicidad mínima semestral
  3. Sí, siempre que el perfil residual sea bajo
  4. No, debe ser mensual en todos los casos

El proceso de seguimiento debe tener periodicidad acorde con el perfil de riesgo residual, pero en todo caso con periodicidad mínima semestral (CBJ, Cap. IV, num. 4.1.4.1). Una periodicidad anual incumple ese mínimo.

20. Dentro de las cuatro etapas del SARLAFT, el Monitoreo es:

  1. La cuarta y última etapa del ciclo de administración del riesgo
  2. La primera etapa, previa a la identificación
  3. La segunda etapa, equivalente a la medición
  4. Una etapa exclusiva de los riesgos financieros típicos

El SARLAFT comprende como mínimo las etapas de 1) Identificación, 2) Medición, 3) Control y 4) Monitoreo; el monitoreo es la cuarta etapa (CBJ, Cap. IV, num. 4.1 y 4.1.4).

21. Una entidad realiza seguimiento periódico pero no ha implementado ninguna matriz de riesgo ni reportes de evolución. Frente a la etapa de Monitoreo, esta situación implica que:

  1. Cumple plenamente, pues basta con el seguimiento informal
  2. Incumple, porque el monitoreo exige implementar una matriz de riesgo y reportes de evolución y eficiencia de controles
  3. Solo afecta la etapa de identificación
  4. Debe reportar la omisión a la UIAF como ROS

Como resultado del monitoreo, la entidad debe implementar una matriz de riesgo y reportes que permitan establecer las evoluciones del riesgo y la eficiencia de los controles (CBJ, Cap. IV, num. 4.1.4). No tenerlos implica un incumplimiento de esa etapa.

22. Una de las actividades del monitoreo consiste en asegurar que los controles:

  1. Sean comprensivos de todos los riesgos identificados
  2. Cubran únicamente el factor clientes
  3. Se evalúen solo cuando se materialice un evento
  4. Reemplacen la etapa de identificación previa

El monitoreo debe asegurar que los controles sean comprensivos de todos los riesgos y, de no ser efectivos, implementar de inmediato un plan de acción de ajuste (CBJ, Cap. IV, num. 4.1.4.2 a 4.1.4.5).

23. El área de cumplimiento de una fiduciaria advierte en el seguimiento que el perfil de riesgo residual se ha deteriorado frente al inherente esperado. ¿A qué etapa del SARLAFT corresponde detectar y reaccionar ante esa evolución?

  1. A la identificación, porque ahí se segmentan los factores
  2. Al monitoreo, que sigue y compara la evolución de los perfiles inherente y residual
  3. A la medición, que solo calcula probabilidad e impacto iniciales
  4. A ninguna etapa; corresponde exclusivamente a la UIAF

El monitoreo permite hacer seguimiento del perfil de riesgo y comparar la evolución del perfil inherente con el residual (CBJ, Cap. IV, num. 4.1.4), siendo la etapa que detecta y reacciona ante el deterioro del perfil.

24. ¿Cuál de las siguientes afirmaciones distingue correctamente la Identificación del Monitoreo?

  1. La identificación se hace previa a productos/canales/jurisdicciones nuevos; el monitoreo da seguimiento continuo y compara perfiles inherente y residual
  2. La identificación compara perfiles; el monitoreo segmenta los factores de riesgo
  3. Ambas etapas calculan la probabilidad de ocurrencia del riesgo
  4. El monitoreo es previo al lanzamiento de productos y la identificación es semestral

La identificación se realiza previamente al lanzamiento o uso de productos, canales, mercados o jurisdicciones nuevos (num. 4.1.1), mientras que el monitoreo da seguimiento continuo y compara la evolución del perfil inherente con el residual con periodicidad mínima semestral (num. 4.1.4 y 4.1.4.1).

25. Según la CBJ (Cap. IV), una vez concluida la identificación, ¿qué debe permitir la etapa de medición o evaluación del SARLAFT?

  1. Medir la probabilidad de ocurrencia del riesgo inherente de LA/FT frente a cada factor de riesgo, así como el impacto en caso de materializarse mediante los riesgos asociados
  2. Aplicar las medidas de control sobre cada factor de riesgo
  3. Reportar a la UIAF las operaciones sospechosas detectadas
  4. Comparar la evolución del perfil de riesgo inherente con el residual

La CBJ (Cap. IV, num. 4.1.2) establece que, concluida la identificación, el SARLAFT debe permitir medir la probabilidad de ocurrencia del riesgo inherente de LA/FT frente a cada factor de riesgo, así como el impacto en caso de materializarse mediante los riesgos asociados.

26. De acuerdo con la CBJ, las mediciones en la etapa de medición o evaluación del SARLAFT podrán ser de carácter:

  1. Únicamente cuantitativo
  2. Únicamente cualitativo
  3. Cualitativo o cuantitativo
  4. Exclusivamente estadístico y probabilístico

La CBJ (Cap. IV, num. 4.1.2) dispone expresamente que las mediciones podrán ser de carácter cualitativo o cuantitativo.

27. ¿Cuál es el resultado o producto que la entidad debe poder establecer como consecuencia de la etapa de medición o evaluación?

  1. El perfil de riesgo residual de LA/FT de la entidad
  2. El perfil de riesgo inherente de LA/FT de la entidad y las mediciones agregadas en cada factor de riesgo y en sus riesgos asociados
  3. La matriz de riesgo y los reportes de evolución del riesgo
  4. El plan de acción de ajuste de los controles inefectivos

Según la CBJ (Cap. IV, num. 4.1.2), como resultado de la medición la entidad debe estar en capacidad de establecer el perfil de riesgo inherente de LA/FT de la entidad y las mediciones agregadas en cada factor de riesgo y en sus riesgos asociados. El perfil residual es resultado del control y la matriz de riesgo es del monitoreo.

28. La medición del riesgo inherente de LA/FT frente a cada factor de riesgo se realiza combinando dos variables. ¿Cuáles son?

  1. La cobertura y la frecuencia del control
  2. La probabilidad de ocurrencia y el impacto en caso de materializarse
  3. El riesgo inherente y el riesgo residual
  4. La segmentación y la calificación del cliente

La CBJ (Cap. IV, num. 4.1.2) exige medir la probabilidad de ocurrencia del riesgo inherente frente a cada factor de riesgo y el impacto en caso de materializarse mediante los riesgos asociados. Estas son las dos variables de la medición.

29. Conforme a las definiciones de la CBJ (Cap. IV), ¿qué se entiende por riesgo inherente?

  1. El nivel resultante del riesgo después de aplicar los controles
  2. El nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles
  3. El riesgo que la entidad acepta voluntariamente según su apetito de riesgo
  4. El riesgo derivado exclusivamente del factor jurisdicciones

La CBJ (Cap. IV, num. 1 — Definiciones) define el riesgo inherente como el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. El nivel resultante tras aplicar controles es el riesgo residual o neto.

30. Para medir el riesgo, ¿qué deben establecer como mínimo las entidades según la CBJ (num. 4.1.2.1)?

  1. Metodologías de segmentación de los factores de riesgo
  2. Metodologías de medición o evaluación que determinen la probabilidad de ocurrencia y el impacto frente a cada factor de riesgo y riesgo asociado, y aplicarlas para una medición consolidada
  3. Metodologías para definir las medidas de control
  4. Una matriz de riesgo con indicadores prospectivos

La CBJ (Cap. IV, num. 4.1.2.1) exige que las entidades establezcan metodologías de medición o evaluación que determinen la probabilidad de ocurrencia y el impacto frente a cada factor de riesgo y riesgo asociado, y las apliquen para una medición consolidada. La segmentación corresponde a identificación y las medidas de control a la etapa de control.

31. Según la CBJ (Cap. IV), ¿cuáles son los riesgos asociados al LA/FT a través de los cuales se materializa este riesgo?

  1. Crédito, mercado, liquidez y operativo
  2. Reputacional, legal, operativo y de contagio
  3. Cliente, producto, canal y jurisdicción
  4. Inherente, residual, agregado y consolidado

La CBJ (Cap. IV, num. 1 — Definiciones) establece que los riesgos asociados al LA/FT, a través de los cuales se materializa, son: reputacional, legal, operativo y de contagio. Los factores de riesgo (clientes, productos, canales y jurisdicciones) son agentes generadores, no riesgos asociados.

32. De acuerdo con la CBJ, ¿qué describe correctamente el riesgo reputacional como riesgo asociado al LA/FT?

  1. Posibilidad de pérdida por desprestigio, mala imagen o publicidad negativa, cierta o no, que cause pérdida de clientes, disminución de ingresos o procesos judiciales
  2. Posibilidad de pérdida al ser sancionada u obligada a indemnizar daños por incumplimiento de normas u obligaciones contractuales
  3. Posibilidad de pérdidas por fallas en el recurso humano, los procesos, la tecnología o la infraestructura
  4. Posibilidad de pérdida por la acción o experiencia de un vinculado

La CBJ (Cap. IV, num. 1 — Definiciones) define el riesgo reputacional como la posibilidad de pérdida por desprestigio, mala imagen o publicidad negativa, cierta o no, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. Las demás opciones corresponden a los riesgos legal, operativo y de contagio respectivamente.

33. Una entidad financiera colombiana es sancionada por la SFC por incumplir obligaciones del SARLAFT. La pérdida económica derivada de esa sanción corresponde, en términos de riesgos asociados al LA/FT, a:

  1. Riesgo reputacional
  2. Riesgo legal
  3. Riesgo operativo
  4. Riesgo de contagio

La CBJ (Cap. IV, num. 1 — Definiciones) define el riesgo legal como la posibilidad de pérdida al ser sancionada u obligada a indemnizar daños por incumplimiento de normas u obligaciones contractuales. La sanción de la SFC por incumplir el SARLAFT materializa precisamente este riesgo asociado.

34. En un banco colombiano, una falla en el sistema tecnológico de monitoreo transaccional impide detectar alertas de LA/FT y genera pérdidas. Como riesgo asociado al LA/FT, este evento se clasifica como:

  1. Riesgo reputacional
  2. Riesgo legal
  3. Riesgo operativo
  4. Riesgo de contagio

La CBJ (Cap. IV, num. 1 — Definiciones) define el riesgo operativo como la posibilidad de pérdidas por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura o por acontecimientos externos. Una falla en el sistema tecnológico encaja en esta definición.

35. Según la CBJ, el riesgo de contagio como riesgo asociado al LA/FT es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por:

  1. La publicidad negativa cierta o no que afecte su imagen
  2. La acción o experiencia de un vinculado
  3. Ser sancionada por incumplimiento normativo
  4. Fallas en sus procesos internos o tecnología

La CBJ (Cap. IV, num. 1 — Definiciones) define el riesgo de contagio como la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por la acción o experiencia de un vinculado (relacionado o asociado con posibilidad de ejercer influencia sobre la entidad).

Comienza gratis