Auditoría PLD/FT con enfoque basado en riesgos: qué espera la autoridad

FINANCIERO BANCARIO / por Miguel Gallardo Guerra

El enfoque basado en riesgos (EBR) es uno de los pilares fundamentales del sistema de prevención de lavado de dinero y financiamiento al terrorismo. En consecuencia, también constituye un elemento central de la auditoría PLD/FT y del contenido del Informe de Auditoría.

Los Lineamientos establecen que el auditor debe sustentar su evaluación en un análisis de riesgos, considerando de manera integral el perfil del Sujeto Obligado, su operación y su modelo de negocio. La ausencia de este enfoque es una de las debilidades más relevantes detectadas en auditorías y procesos de supervisión.

El análisis de riesgos como punto de partida

Una auditoría PLD/FT con enfoque basado en riesgos no inicia con la revisión de manuales, sino con la comprensión del riesgo inherente y residual de la entidad. Para ello, el auditor debe considerar, entre otros factores:

• El tipo de clientes o usuarios atendidos.
• Los productos y servicios ofrecidos.
• Los canales de distribución utilizados.
• Las zonas geográficas en las que opera la entidad.
• La estructura interna y el grado de automatización de los procesos.

Este análisis permite al auditor priorizar áreas críticas y definir la profundidad de las pruebas a realizar.

Coherencia entre el EBR y la operación real

Uno de los focos más relevantes de la auditoría consiste en verificar la congruencia entre la Evaluación Interna de Riesgos documentada y la operación efectiva de la entidad.

En particular, el auditor evalúa si:

• La metodología de riesgos se encuentra debidamente diseñada, aprobada e implementada.
• La clasificación de clientes por nivel de riesgo es consistente con su comportamiento transaccional.
• Los controles de mitigación corresponden al nivel de riesgo identificado.
• El sistema de monitoreo y generación de alertas se ajusta al perfil de riesgo de la entidad.

Cuando existe una desconexión entre el análisis de riesgos y la práctica operativa, el EBR pierde efectividad y se convierte en un elemento meramente formal.

Impacto del enfoque basado en riesgos en el Informe de Auditoría

El enfoque basado en riesgos debe reflejarse de manera transversal en el Informe de Auditoría. Esto implica que:

• El programa de trabajo esté diseñado en función de los riesgos relevantes.
• Las pruebas realizadas se concentren en los procesos, productos o clientes de mayor exposición.
• Los hallazgos y recomendaciones estén directamente vinculados a riesgos identificados, y no a incumplimientos aislados o de bajo impacto.

Un informe que no evidencie esta lógica suele ser percibido como genérico y carente de sustento técnico suficiente.

Relación con la supervisión

La Comisión Nacional Bancaria y de Valores ha enfatizado, tanto en Lineamientos como en prácticas de supervisión, que el EBR es un criterio clave para evaluar la efectividad real del sistema PLD/FT.

Una auditoría que no incorpore adecuadamente este enfoque incrementa la probabilidad de observaciones, requerimientos adicionales o un mayor nivel de supervisión.

Conclusión

El enfoque basado en riesgos no es un elemento accesorio de la auditoría PLD/FT, sino su eje conceptual y metodológico. Integrarlo correctamente permite que la auditoría sea proporcional, relevante y alineada a las expectativas regulatorias.

Una auditoría PLD/FT sustentada en un análisis de riesgos sólido contribuye a identificar debilidades reales, fortalecer controles y reducir riesgos regulatorios de manera efectiva.