¿Cómo elaborar una matriz de riesgos Sarlaft o Sagrilaft?

¿Qué es gestionar un riesgo?

Toda organización colombiana y extranjera está expuesta a diferentes riesgos (operativos, financieros, legales, de crédito, etc.) por el simple hecho de estar constituida legalmente e iniciar sus operaciones. En esta oportunidad hablaremos de la gestión de los riesgos de lavado de activos, financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva, en adelante LA/FT/FPADM, a los que están expuestas las entidades.

Lo más importante para cualquier organización en relación con sus riesgos es poderlos gestionar de la mejor manera. Para ello las entidades deben contar con políticas, procedimientos, metodologías y herramientas que le permitan identificar, medir, controlar y gestionar de manera integral sus riesgos.

¿La normatividad me obliga a tener una matriz de riesgos?

En la actualidad existen diferentes normatividades para cada sector emitidas por sus respectivos entes de control, tales son los casos del Sector Real vigilado por la Superintendencia de Sociedades (Sagrilaft: Circular Básica Jurídica, Capítulo X), Sector Financiero por la Superintendencia Financiera (Sarlaft: Circular Básica Jurídica, Capítulo IV, Título IV, Parte I) y otras normatividades aplicables por los entes de control que establecen la generación de la matriz de riesgos.

Los diferentes sistemas de gestión de riesgo se instrumentan a través de las etapas (identificación, medición, control y monitoreo) y los elementos (diseño y aprobación, auditoría y cumplimiento, divulgación y capacitación; y asignación de funciones). Ahora, como herramienta fundamental para gestionar los riesgos se estableció la matriz de riesgos.

¿Qué es Matriz de Riesgos Sarlaft o Sagrilaft?

Sector Real: es uno de los instrumentos que le permite a una Empresa identificar, individualizar, segmentar, evaluar y controlar los Riesgos LA/FT/FPADM a los que se podría ver expuesta, conforme a los Factores de Riesgo LA/FT/FPADM identificados.

Sector Financiero: es una herramienta que facilita una evaluación de riesgos holística, que debe cumplir con las siguientes características: identificación del riesgo, causas, probabilidad, impacto, riesgos asociados, controles e indicadores.

Existen muchas definiciones de acuerdo con cada ente de control y con cada entidad nacional e internacional que reglamenta, normatiza o genera buenas prácticas sobre el riesgo de LA/FT/FPADM. A nuestro entender, la matriz de riesgos es una herramienta que permite relacionar los eventos de riesgo por cada factor de riesgo de LA/FT/FPADM; de igual manera, facilita el observar la evolución del riesgo en términos de probabilidad e impacto por cada uno de los riesgos asociados al LA/FT/FPADM, desde el riesgo inherente, hasta su riesgo residual para determinar el nivel de efectividad de los controles.

La matriz de riesgos (también llamada matriz de análisis de riesgos) se estructura mediante filas y columnas en donde cada fila registra los riesgos y cada columna es una característica del riesgo (factor de riesgo, riesgo asociado, causa, consecuencia, probabilidad, impacto, criticidad, control, etc.).

7 pasos para elaborar una Matriz de Riesgos

1. Determinar el contexto interno y externo de la entidad

Es esencial que cada entidad sea consciente de su tamaño, ubicación geográfica, actividad económica, sector en el que se encuentre, cultura organizacional, competencia, condiciones políticas, sociales, culturales y de seguridad con el fin de identificar y medir sus amenazas y vulnerabilidades.

2. Identificar los factores de riesgo

Con base en la determinación del contexto interno y externo de la empresa, se deben identificar los diferentes factores de riesgo que deben ser objeto de administración y control tales como: contrapartes, productos, canales y jurisdicciones.

3. Establecer la metodología de riesgo

Identificado el contexto y los factores de riesgo, llegó la hora de establecer la metodología que utilizará para desarrollar el sistema de gestión de riesgo. Existen varios estándares nacionales e internacionales que podrá utilizar, algunos de ellos son:

• La Norma Técnica Colombiana NTC – ISO 31000 2018, NTC-IEC/ISO 31010 2020
• ISO 37301 / 2021
• Norma Australiana Neozelandesa AS/NZS 4360
• Modelo de administración del riesgo corporativo COSO
• Otros estándares internacionales

4. Identificar los riesgos

Teniendo en cuenta las amenazas y sus fuentes de peligro debe identificar los posibles riesgos de LA/FT/FPADM a los que se enfrenta la empresa estableciendo las causas, consecuencias, factores de riesgo y riesgos asociados.

5. Medir los riesgos

De acuerdo con la metodología seleccionada, debe establecer la probabilidad y el impacto de cada uno de los riesgos identificados obteniendo el perfil de riesgo inherente.

6. Calificar los controles

Una vez establecido el perfil de riesgo inherente, se deben calificar los controles de acuerdo con su diseño, calidad y efectividad. Producto de este análisis se obtendrá como resultado el perfil de riesgo residual.

7. Graficar el mapa de calor

Finalizada la matriz de riesgos donde se estableció el perfil de riesgo inherente y el perfil de riesgo residual, se podrá representar los resultados gráficamente en un mapa de calor. Este mapa está conformado por dos variables, la probabilidad (eje “y”) y el impacto (eje “x”), las cuales están calificadas en matrices de diferentes tamaños de acuerdo con sus necesidades (3x3, 5x5 y 10x10), clasificados de menor a mayor. Como resultado de dicha calificación se obtiene el nivel de riesgo de acuerdo con los criterios de riesgo establecidos donde normalmente en la zona roja son los riesgos más peligrosos y en la zona verde son los más bajos o controlados.

Para terminar…

Una de las herramientas más poderosas con la que contamos para gestionar los riesgos LA/FT/FPADM es la matriz de riesgos. Esta herramienta brinda información de valor a los administradores de la empresa y al Oficial de Cumplimiento con el fin de tomar mejores decisiones contribuyendo así con la mitigación de los diferentes riesgos de LA/FT/FPADM identificados.

Desde Tusdatos.co podemos asesorarte para elaborar con éxito tu matriz de riesgos. Contáctanos aquí.