Introducción
La UIF acaba de publicar la Resolución 76 del corriente a{o 2019, dirigida a los operadores del sector de tarjetas de crédito y compra y emisores de cheques de viajero, que reemplaza a la 2/2012, en un marco concordante con lo ya dispuesto para las entidades financieras, sector asegurador y agentes de mercado.Hemos hecho referencia en diversas ocasiones, a la necesidad de aplicar Enfoques Basados en Riesgo para la gestión de la prevención del delito de lavado de dinero[1], a partir de que, en la actualización de las 40 Recomendaciones realizada en el año 2012, el GAFI destacó como Recomendación Número 1 la adopción de estos modelos de gestión, tanto para supervisores como para sujetos obligados.En diversas entregas analizaremos los principales cambios previstos en la Resolución de marras. En esta primera, se abordará el análisis de los impactos del Enfoque Basado en Riesgo en los marcos de prevención y detección adoptados por las entidades.
Quiénes están obligados
El art. 2 define como Sujetos Obligados a:

  • Las empresas emisoras de cheques de viajero.
  • Las entidades que actúan como operadores del sistema de tarjetas de crédito o compra, entendiendo que son operadores, los Emisores de Tarjeta de Crédito o Compra y los Adquirentes, Agregadores, Agrupadores y Facilitadores de Pagos.
  • Operadores de tarjetas prepagas, incluidas las tarjetas prepagas de regalo, recargables o no, que operan contra saldos acreditados previamente a su uso y sean destinados a la compra de bienes o servicios en establecimientos comerciales.

Asimismo, define como no alcanzados por la presente obligación a:

  • Los operadores de la tarjeta que instrumenta el Sistema Único de Boleto Electrónico implementado por los Decretos Nº 84/2009, Nº 1479/2009 y concordantes;
  • Los operadores de tarjetas destinadas exclusivamente a la adquisición de bienes consumibles dentro del local comercial emisor de la tarjeta;
  • Los operadores de tarjeta destinadas exclusivamente a la carga de combustibles y lubricantes.

Qué es la Gestión del Riesgo de LA y FT

El Riesgo de Lavado, puede definirse como la posibilidad que una entidad sufra pérdidas, derivadas de ser utilizada como instrumento para lavar activos y/o canalizar recursos para el terrorismo, impactando en su reputación y en la del sistema financiero en general.El objetivo de la gestión basada en riesgos entonces, consiste reducir la probabilidad de ser utilizado como instrumento para llevar adelante el delito de legalización de activos, producto de actividades de Lavado. También, tiene como fin el mitigar los riesgos de pérdida emergentes conjuntamente con los riesgos asociados, tales como de reputación, operativo y de contagio.Considerar la prevención de lavado de dinero, bajo la concepción de la gestión del riesgo implica la adopción de un método lógico y sistemático consistente en identificar, analizar, evaluar, controlar, monitorear y mitigar los riesgos asociados con esa actividad.En términos restrictivos entonces la administración del riesgo de LD/FT consiste en definir y establecer una estrategia orientada a identificar, valorar, tratar y controlar eventos potenciales de Lavado de Activos y Financiamiento del Terrorismo, con el fin de prevenirlos, detectarlos y mitigarlos oportunamente. 
La novedad: El Sistema de Prevención de Lavado de Dinero
La norma indica que los “Sujetos Obligados deben implementar un Sistema de Prevención de LA/FT, el cual deberá contener todas las políticas y procedimientos establecidos para la gestión de Riesgos a los que se encuentran expuestos y los elementos de cumplimiento exigidos”.Exige dos componentes, siendo esta una de las novedades más importantes:

  • Gestión de Riesgos: conformado por las políticas y procedimientos de identificación, evaluación, mitigación y monitoreo de riesgos, a los que se encuentra expuesta la propia Entidad, conforme su propia autoevaluación y las disposiciones de la UIF.
  • Gestión de Cumplimiento: incluye las políticas y procedimientos adoptados por las Entidades en el marco de los establecido por la Ley, la UIF y demás disposiciones sobre la materia.

Aparece como novedad, el componente “Gestión de Riesgos”, el cual tanto por las Recomendaciones GAFI, como por las propias Resoluciones de la UIF, ya era un formato obligatorio, aunque no estuviese definido y especificado con la profundidad que se presenta en la nueva norma.Este componente, ahora explícitamente establecido, deviene en la necesidad de medir el grado de exposición al riesgo al que se halla sujeta la entidad, para consecuentemente monitorear y mitigar los mismos.La herramienta de medición es la Matriz de Riesgos, la cual constituye el sustento fundamental para el diseño de un marco de prevención y detección adecuado. Asimismo, establece las bases para el correcto diseño del resto de las herramientas, tales como alertas y perfiles y la debida diligencia. Esto implica que éstas últimas, serán distintas conforme su grado de exposición. También son factores determinantes, el real conocimiento del Cliente, la calidad de los datos almacenados, la tecnología y los sistemas aplicativos.También cabe destacar importancia que tiene para el proceso autoevaluación exigido, la consideración del Riesgo País [2]. Conocer por ejemplo las zonas calientes, los productos más riesgosos y las actividades que los delincuentes eligen a la hora de lavar fondos en la región, permite ajustar la Matriz de Riesgos de cada entidad. La calificación del Riesgo país, es una obligación de la UIF, que aún se halla pendiente a la fecha.

La Gestión del Riesgo: Autoevaluación.
La norma establece que los Sujetos Obligados “deberán desarrollar una metodología de identificación y valuación de riesgos acorde con la naturaleza y dimensión de su actividad comercial, que tome en cuenta los distintos factores de riesgos en cada una de sus líneas de negocio”.Los resultados de la metodología deben constar en un informe elaborado por el Oficial de Cumplimiento, el cual debe cumplir con las siguientes características:

  • actualizado en forma anual,
  • contar con la aprobación del órgano de administración o máxima autoridad de la Entidad;
  • conservarse, conjuntamente con la metodología y la documentación e información que lo sustente,
  • ser enviado a la UIF, una vez aprobado, antes del 30 de abril de cada año calendario.

Este informe de Autoevaluación, tiene varias implicancias no menores. La primera de ellas es que seguramente, será uno de varios componentes utilizados por el Supervisor, para determinar el riesgo de cada Sujeto Obligado. Esta calificación contribuirá a definir la modalidad de inspección, es decir, el alcance, la periodicidad, el formato extra situ o in situ, etc.  Por supuesto esa información será complementada con otras, tales como la dimensión económica, sus productos y servicios, la zona geográfica donde opera y su gobierno corporativo.La segunda de las implicancias, es que la calidad de este informe revela al Supervisor, el compromiso de la Dirección y la gestión misma del Oficial de Cumplimiento, valores claves en estos enfoques.Por último, la importancia de este informe y la calidad de su elaboración, no deben ser soslayados, ya que además de las implicancias mencionadas, también será determinante a la hora de establecer los distintos niveles de debida diligencia, con el consecuente impacto en los procesos internos de la entidad y en la eficiencia de los marcos de protección y detección.

Factores de Riesgo
La nueva normativa adopta como factores de riesgo los cuatro tradicionales, a saber:

  • Clientes:
    • Considerando su “comportamiento, antecedentes y actividades, al inicio y durante toda la relación comercial”. También propone incluir otros atributos tales como la residencia y nacionalidad, el nivel estimado de ingresos, consumos, transacciones realizadas o patrimonio y la actividad que realiza, el carácter de persona humana o jurídica, la condición de PEP, el carácter público o privado y el medio de pago utilizado.
  • Productos y/o servicios
    • Refiere a todos los productos y servicios aún en etapa de desarrollo. También deberán evaluarse los riesgos de nuevas tecnologías aplicadas a productos.
  • Canales de distribución
    • Se deben incluir, las distintas modalidades tales como operatoria por Internet, operatoria telefónica, distribución a través de dispositivos móviles, operatividad remota, entre otros.
  • Zona geográfica
    • La norma establece que se deben considerar las zonas geográficas en las que se ofrecen “productos y/o servicios, tanto a nivel local como internacional, tomando en cuenta sus índices de criminalidad, características económico-financieras y socio-demográficas y las disposiciones que autoridades competentes y el GAFI emitan con respecto a dichas jurisdicciones”. Se reitera entonces la necesidad de contar con un Informe de Riesgo País, cuya elaboración compete a la propia UIF.

Los grados de la Debida Diligencia

La Resolución establece que la Entidad deberá adoptar medidas intensificadas o específicas o simplificadas, dependiendo del nivel de riesgo detectado.Esto requiere mantener relaciones con el Cliente, identificando en forma fehaciente su identidad, su actividad y origen de los fondos, utilizando además y de corresponder, esquemas de controles cruzados que permitan validar la información. Es decir que se vincula estrechamente con la Política de Conozca a su Cliente.Las medidas ya sean controles o mitigantes, deben asegurar que el nivel de riesgo se mantenga dentro de los niveles y características aprobadas por el órgano de administración o máxima autoridad de la Entidad.
Políticas de Riesgo
Las Entidades deberán contar con:

  • Una declaración de tolerancia al riesgo de LA/FT, aprobada por el órgano de administración o la máxima autoridad de la Entidad y debe reflejar el nivel de riesgo aceptado en relación a Clientes, productos y/ o servicios, canales de distribución y zonas geográficas, exponiendo las razones tenidas en cuenta para tal aceptación, así como las acciones mitigantes para un adecuado monitoreo de los mismos”.
  • Políticas para la aceptación de Clientes que presenten un alto Riesgo de LA/FT. Deben preverse condiciones generales y particulares de aceptación, niveles de aprobación y detalle de tipos de clientes con los que no se operará y las razones.

Algunas consideraciones:Puede definirse como “apetito de riesgos” como el nivel agregado y tipos de riesgo que una entidad está dispuesta a asumir, previamente decidido y conforme la medición de riesgo, a fin de lograr sus objetivos estratégicos y plan de negocio”.Una adecuada declaración de tolerancia o apetito de riesgo, exige una correcta medición del grado de exposición y un adecuado criterio de fijación, ya que errores en esos márgenes condicionan negativamente el negocio si son demasiado exigentes o pueden convertir a la entidad, en permeable al delito, cuando los límites son muy laxos.

Monitoreo de riesgos.
Siguiendo lógica de la gestión de riesgos, la nueva normativa exige un efectivo proceso de monitoreo. A tal fin la entidad deberá aplicar políticas de segmentación de Clientes en base a su riesgo.  Para esto se deberá contar con un sistema de calificación (modelo de scoring o modelo de rating, con factores cualitativos y/ o cuantitativos) de Riesgos de LA/FT. Esta misma lógica también sustenta los grados de aplicación de Debida Diligencia.A estos efectos es menester contar con adecuada información del Cliente y herramientas tecnológicas acordes. Sin embargo, los requerimientos de las áreas de prevención no suelen contar con prioridad en los planes de las áreas de sistemas. Sin duda toda esta nueva normativa exigirá esfuerzos en este sentido.