La mayoría de las IRA parecen adecuadas en teoría. Identifican riesgos, asignan calificaciones y se archivan en la carpeta de cumplimiento. Pero cuando los reguladores o auditores las revisan detenidamente, las deficiencias se hacen evidentes: falta de una metodología clara, de un cálculo del riesgo residual y de una relación entre las puntuaciones de riesgo y la realidad operativa. La diferencia entre una IRA débil y una defendible no reside en su presentación, sino en su funcionamiento como herramienta de gestión.

Esto es lo que observamos repetidamente al revisar las Evaluaciones de Riesgo Institucional (IRA) de entidades reguladas de las Islas Vírgenes Británicas, APNFD y OSFL. La IRA existe. Identifica riesgos. Asigna calificaciones. La alta dirección la ha aprobado. La entidad considera que cumple con las normas.

Luego llega el regulador o se realiza una auditoría interna y salen a la luz los problemas.

Las brechas más comunes

• Se identifican los riesgos y se asignan calificaciones, pero no existe una metodología documentada que explique cómo se calcularon esas calificaciones.. Por ejemplo, una IRA podría indicar que una jurisdicción es de "riesgo medio" sin explicar si dicha calificación se basa en las listas del GAFI, los datos de transacciones o las directrices regulatorias. La IRA asigna puntuaciones numéricas, pero no explica el significado de cada nivel ni cómo se combinan las puntuaciones.
• Se enumeran los controles, pero no se evalúa si son eficaces. El IRA identifica los riesgos inherentes (p. ej., “jurisdicción de alto riesgo”), pero no evalúa la eficacia de los controles existentes para mitigarlos ni documenta el riesgo residual restante tras la aplicación de los controles. No existe una distinción clara entre el riesgo inherente y el riesgo residual. 
• El IRA describe el negocio, pero no define el perfil de riesgo general ALD/CTF/FP de la entidad a nivel institucional. Se abordan categorías de riesgo individuales (riesgo del cliente, riesgo de jurisdicción, riesgo del producto), pero esos hallazgos no se sintetizan en una calificación de riesgo institucional clara que informe la toma de decisiones, la asignación de recursos o los protocolos de escalada.
• No existen acuerdos de gobernanza documentados. El IRA no especifica quién es responsable de mantenerlo (MLRO, Jefe de Cumplimiento, comité de riesgos), con qué frecuencia se revisa y actualiza, o cómo se informan los hallazgos a la alta gerencia y al Directorio.
• El IRA es estático y no se ha actualizado para reflejar los cambios comerciales.. A pesar de los cambios en la base de clientes, nuevos productos o servicios, la entrada en nuevas jurisdicciones o los cambios regulatorios, la IRA permanece inalterada. Una IRA que no se ha actualizado en dos años no es defendible, por muy bien redactada que estuviera originalmente.

Estos no son problemas superficiales. Cuando una IRA no puede explicar sus propias conclusiones, indica a los reguladores que la entidad no comprende plenamente su exposición al riesgo. Esto aumenta el escrutinio regulatorio, genera hallazgos adversos y puede dar lugar a medidas coercitivas.

El riesgo no es solo la brecha en sí, sino la trayectoria de cumplimiento que puede seguirse cuando los reguladores concluyen que el marco de gestión de riesgos de una entidad no es adecuado para su propósito.

Una Evaluación de Riesgo Institucional no pretende ser un documento estático o meramente descriptivo. Los reguladores ya no se conforman con IRA que, aunque bien interpretadas, no funcionan como herramientas prácticas de gestión de riesgos.

En esencia, una IRA eficaz debería permitir a una entidad:

Identificar y evaluar los riesgos inherentes de ALD/CFT/FP entre clientes, productos, canales de distribución y exposición geográfica.

Cuantifique esos riesgos utilizando una metodología clara y defendible que explica cómo se calculan las puntuaciones de riesgo, qué datos o factores cualitativos se consideran y quién es responsable de mantener la evaluación.

Evaluar la eficacia de los controles existentes y determinar el riesgo residual tras la aplicación de los controles. Esta no es una lista de políticas, sino una evaluación de su eficacia en la práctica.

Definir desencadenantes de escalada donde los riesgos exceden el apetito de riesgo declarado de la entidad y articular cómo esos factores desencadenantes informan la toma de decisiones, la calidad de los archivos y los requisitos mejorados de diligencia debida.

Apoyar la supervisión informada por parte de la alta dirección y la Junta Directiva a través de un documento que se revisa, actualiza y utiliza periódicamente para orientar la asignación de recursos de cumplimiento y las prioridades de capacitación.

Es importante que una IRA sea un documento dinámico. Debe revisarse y actualizarse para reflejar los cambios en el modelo de negocio, la cartera de clientes, los productos, las jurisdicciones y las expectativas regulatorias. 

La deficiencia más común que observamos en las IRA es la ausencia de una metodología clara y documentada.

Los reguladores y auditores no solo quieren ver que usted identificó un riesgo y le asignó una puntuación. Quieren comprender cómo llegó a esa puntuación y si su enfoque es consistente, repetible y proporcional a su negocio.

Cómo es una metodología clara

Un IRA bien diseñado debe estar respaldado por una sección de metodología que explique, en términos prácticos:

• Cómo se calculan las puntuaciones de riesgo. Esto incluye definir qué significa cada nivel de puntuación (por ejemplo, “1 = riesgo bajo, 5 = riesgo alto”), explicar cómo se ponderan y combinan los factores de riesgo individuales para producir una puntuación general y documentar qué umbrales activan una diligencia debida mejorada o una escalada de la Junta. 
• ¿Qué datos, métricas o factores cualitativos se consideran?. ¿Utiliza datos de segmentación de clientes? ¿Umbrales de volumen de transacciones? ¿Orientación regulatoria de la FSC o la FIA de las Islas Vírgenes Británicas? ¿Puntos de referencia del sector?
• ¿Quién es responsable de mantener y actualizar el IRA?. ¿Se trata del MLRO? ¿El Jefe de Cumplimiento? ¿Un comité de riesgos interfuncional? Esto debe documentarse.
• Con qué frecuencia la alta gerencia o la Junta Directiva revisan y vuelven a aprobar el IRA. La revisión anual es común, pero las entidades que operan en entornos de mayor riesgo o experimentan cambios comerciales significativos pueden requerir actualizaciones más frecuentes.

Este nivel de detalle es crucial no solo para la gobernanza interna, sino también para los reguladores y auditores, quienes deben comprender y evaluar cómo se llegaron a las conclusiones. Si su IRA no supera la prueba del "cómo", no es apta para su propósito.

Una IRA es uno de los primeros documentos que revisan los reguladores durante una inspección. Les indica qué tan bien la entidad comprende su propia exposición al riesgo y si su marco de prevención del lavado de dinero, el financiamiento del terrorismo y la financiación del terrorismo es proporcional a dicho riesgo.

Cuando una IRA es débil, le indica al regulador que:

• Es posible que la entidad no comprenda plenamente los riesgos a los que se enfrenta.
• Es posible que el marco de cumplimiento no esté adaptado al negocio.
• Es posible que la alta dirección y el consejo directivo no estén recibiendo información precisa sobre los riesgos.

Esto aumenta la probabilidad de que se presenten hallazgos adversos en las inspecciones, incluyendo hallazgos relacionados con la gobernanza, la evaluación de riesgos y la eficacia de la función de cumplimiento. También aumenta el riesgo de que otras áreas del programa de ALD/CFT/FP sean sometidas a un escrutinio más riguroso.

Por el contrario, una IRA sólida demuestra que la entidad comprende claramente su perfil de riesgo, que los controles están diseñados para abordar dichos riesgos y que la alta dirección participa activamente en la supervisión de los mismos. Esto posiciona a la entidad en una posición favorable durante las inspecciones y reduce la probabilidad de escalada.

Una IRA bien estructurada no es solo un documento regulatorio. Es una herramienta estratégica que ayuda a las entidades a identificar proactivamente las debilidades en sus marcos de prevención del lavado de dinero, el financiamiento del terrorismo y la financiación del terrorismo (AML/CTF/FP) y a abordarlas antes de que el regulador las detecte.

Ejemplo real: remediación tras la retroalimentación regulatoria

Gold Leaf apoyó recientemente a una entidad regulada por las Islas Vírgenes Británicas luego de recibir comentarios regulatorios de que su IRA no cumplía adecuadamente con los requisitos de la sección 12 del Código AML.

El regulador identificó que, si bien la IRA identificaba categorías de riesgo relevantes, no explicaba claramente cómo se evaluaban o medían dichos riesgos. Entre las deficiencias específicas se encontraban:

• Calificaciones de riesgo asignadas sin una metodología clara o documentada.
• Explicación limitada de cómo se derivaron los puntajes de riesgo inherente.
• Distinción insuficiente entre riesgo inherente, eficacia del control y riesgo residual.
• No existen desencadenantes de escalada claramente definidos y vinculados con el apetito por el riesgo.
• No existe una articulación clara del perfil general de riesgo ALD/CTF/FP de la entidad.

Gold Leaf llevó a cabo una revisión y remediación enfocada, que incluyó:

1. Desarrollar una metodología de puntuación de riesgos clara y consistente que explicaba cómo se calculaban las calificaciones.
2. Reestructuración del IRA distinguir claramente entre riesgo inherente, eficacia del control y riesgo residual.
3. Aclaración de los acuerdos de gobernanza, incluidos los umbrales de escalada y los procesos de revisión y aprobación.
4. Documentar la posición general de riesgo ALD/CTF/FP de la entidad de una manera que fuera comprensible para la alta dirección, el Consejo de Administración y el regulador.

Tras la remediación, la entidad contaba con una IRA que reflejaba con precisión su modelo de negocio y su perfil de riesgo, estaba alineada con la sección 12 del Código AML y podía explicarse claramente al regulador.

Este caso pone de relieve que las cuentas individuales de riesgo (IRA) suelen estar técnicamente presentes, pero son sustancialmente débiles. La retroalimentación regulatoria debe considerarse una oportunidad para fortalecer el marco de riesgos, no solo como un ejercicio técnico.

Los reguladores no evalúan las cuentas IRA de forma aislada. Las evalúan en el contexto general de la entidad. ALD/CTF/PF programa.

Si el IRA establece que la entidad es de “bajo riesgo”, pero la base de clientes incluye personas de alto patrimonio neto de múltiples jurisdicciones, el regulador cuestionará la evaluación de riesgo.

Si el IRA asigna una calificación de “riesgo medio” a un producto, pero no hay una explicación de cómo se obtuvo esa calificación o qué controles mitigan el riesgo, el regulador identificará la brecha.

Si el IRA no se ha actualizado en dos años a pesar de cambios comerciales significativos, el regulador concluirá que el documento no se está utilizando como una herramienta de gestión.

Por eso, la metodología no es opcional. Es la base de una IRA defendible. Sin ella, la entidad no puede demostrar que su evaluación de riesgos está basada en evidencia, es proporcionada y adecuada a su propósito.

Una IRA no funciona de forma aislada. Debe alinearse con las necesidades de la entidad. ALD/CTF/PF Manual, procedimientos de debida diligencia del cliente, protocolos de seguimiento de transacciones y programas de capacitación.

Cuando el IRA identifica clientes o jurisdicciones de alto riesgo, esos hallazgos deben reflejarse en:

• Requisitos mejorados de diligencia debida documentados en el Manual AML.
• Umbrales de monitoreo de transacciones y activadores de alertas.
• Materiales de capacitación para personal de primera línea y oficiales de cumplimiento.
• Informes de junta directiva e información de gestión.

Si la IRA y el Manual AML no concuerdan, o si las conclusiones de la IRA no se implementan, los reguladores identificarán la discrepancia. Esto socava la credibilidad de ambos documentos.

Gold Leaf apoya regularmente a los clientes para garantizar que las IRA, los manuales AML y los procedimientos operativos estén alineados, sean consistentes y se basen en evidencia.

Si la IRA de su entidad no ha sido revisada en los últimos 12 meses, o si no está seguro de si su metodología es defendible, ahora es el momento de abordarlo.

Reserve una llamada confidencial de evaluación de IRA para discutir su evaluación de riesgos actual, identificar brechas y desarrollar un enfoque estructurado para la remediación o redacción.

Contacto Gold Leaf Consulting Limited:
Correo electrónico: info@goldleafbvi.com
Teléfono: +1 (284) 494-9559
Oficina: Edificio Oleander, Suite OL 6, 13a JR O'Neal Drive, Port Purcell, Tórtola, Islas Vírgenes Británicas