5 tips para tu Informe Técnico de Autoevaluación de Riesgos

Última actualización: 2 mayo, 2025

En abril de 2025, la Unidad de Información Financiera (UIF) publicó su informe técnico con los hallazgos sobre las Autoevaluaciones de Riesgo (AER) presentadas por los sujetos obligados durante el año anterior. El análisis no solo muestra avances, sino también áreas clave donde aún hay margen de mejora. ¿Qué puede aprender tu organización de este documento?

El enfoque basado en riesgo: más vigente que nunca

La actualización de la Recomendación 1 del GAFI, aprobada en febrero de este año, refuerza la importancia del enfoque basado en riesgo (EBR) y promueve la aplicación de medidas proporcionales. Esto implica que los países y las entidades deben no solo identificar y comprender los riesgos de lavado de activos, financiación del terrorismo y de la proliferación de armas (LA/FT/FP), sino también tomar acciones concretas para mitigarlos, incluyendo medidas simplificadas cuando los riesgos son bajos.

Cambios normativos clave

A partir de la reforma de la Ley 25.246 (modificada por la Ley 27.739 y sus decretos reglamentarios), la UIF amplió el universo de sujetos obligados e introdujo nuevas obligaciones. Entre ellas, se destacan:

• La creación del Registro de Proveedores de Servicios de Activos Virtuales (PSAV) y del Registro Centralizado de Beneficiarios Finales.
• La obligatoriedad de realizar AER con foco en factores clave: clientes, productos, canales y zonas geográficas.
• Un fortalecimiento del deber de presentar un informe técnico autosuficiente, actualizado y con respaldo metodológico y estadístico.

Falencias frecuentes en los Informe Técnico de Autoevaluaciones de Riesgo (IT AER)

Aunque se evidenciaron avances, el informe señala deficiencias repetidas en las AER:

• Ausencia o insuficiencia de metodología: Algunos informes no explicitan cómo se realizó la evaluación, lo que debilita su credibilidad.
• Análisis incompletos: Falta de escalas de riesgo, ausencia de ponderaciones justificadas o de datos estadísticos clave.
• Falta de especificidad en los controles mitigantes: Varios sujetos obligados describen los controles de forma genérica, sin evidencias sobre su efectividad.
• Planes de acción insuficientes para riesgos residuales: Es fundamental detallar cómo se abordarán los riesgos que persisten tras aplicar controles.

5 tips para tu Informe Técnico de Autoevaluación de Riesgos según la UIF:

El documento también destaca las mejores prácticas que deberían incorporar todos los sujetos obligados:

Presentar informes autosuficientes, con metodología documentada y análisis por línea de negocio

Una de las principales observaciones de la UIF fue la falta de claridad metodológica en varios IT AER. Un informe autosuficiente debe contener toda la información necesaria para ser comprendido y evaluado sin necesidad de referencias externas. Esto implica:

• Describir con precisión la metodología utilizada para identificar, medir y ponderar riesgos.
• Documentar cómo se aplicó dicha metodología en cada línea de negocio.
• Incluir fundamentos técnicos, normativos y estadísticos que sustenten las conclusiones.
• Incorporar los resultados del análisis por línea de negocio, ya que cada una puede tener exposiciones al riesgo muy distintas. Ignorar esta segmentación puede invisibilizar focos de alto riesgo.

Un informe que no cumple con estos requisitos puede generar incertidumbre regulatoria y debilitar la confianza en la gestión de riesgos de la entidad.

Evaluar y justificar el riesgo inherente y residual, con métricas claras y enfoque sectorial

El riesgo inherente es el nivel de exposición que tiene una organización antes de aplicar controles, mientras que el riesgo residual es el que permanece luego de implementar las medidas de mitigación. Ambos deben estar evaluados con:

• Escalas definidas para medir la probabilidad de ocurrencia y el impacto potencial.
• Ponderaciones y justificaciones específicas para cada factor de riesgo: clientes, productos/servicios, canales de distribución y zonas geográficas.
• Análisis diferenciado por sector (financiero, mercado de capitales, seguros, etc.), ya que la normativa y los riesgos varían significativamente entre ellos.

No justificar cómo se calcula el riesgo o no evaluar el residual limita la capacidad del supervisor para determinar la razonabilidad de la autoevaluación.

Incluir el análisis de factores adicionales

La UIF sugiere ampliar la mirada más allá de los cuatro factores mínimos. Entre los factores adicionales recomendados se destacan:

• Know Your Employee (KYE): Evaluar el riesgo que representan los empleados internos, especialmente en funciones críticas. Esto implica monitorear antecedentes, conflictos de interés, accesos a sistemas y procesos disciplinarios.
• Cultura de cumplimiento: Valorar si la organización promueve una cultura ética, capacita adecuadamente a su personal y cuenta con canales efectivos para reportar irregularidades.
• Tecnologías emergentes: Analizar el riesgo que implica la implementación de nuevos canales, herramientas digitales o servicios fintech, antes de su lanzamiento, identificando vulnerabilidades específicas.

Incluir estos elementos demuestra madurez en la gestión de riesgos y anticipación ante nuevas amenazas.

Incorporar datos estadísticos y comparativos con años anteriores

Los datos respaldan las conclusiones. La UIF remarca la necesidad de que los IT AER incluyan:

• Estadísticas concretas sobre volumen de operaciones, cantidad de clientes, alertas, reportes de operaciones sospechosas (ROS), entre otros.
• Comparaciones interanuales que evidencien la evolución del riesgo, la efectividad de los controles implementados y los cambios en el contexto operativo.
• Visualizaciones como gráficos o cuadros comparativos que faciliten la lectura y comprensión del análisis.

Sin esta evidencia cuantitativa, la evaluación pierde profundidad y se limita a un diagnóstico superficial.

Diseñar planes de mitigación claros, con cronogramas y responsables definidos

Cuando se detectan riesgos residuales significativos, el informe debe detallar los pasos concretos que la organización tomará para reducirlos. Un plan de mitigación efectivo debe incluir:

• Objetivos específicos: Qué riesgo se quiere reducir y a qué nivel.
• Medidas concretas: Capacitación, actualización de políticas, implementación de controles tecnológicos, etc.
• Responsables asignados: Áreas o personas que liderarán cada acción.
• Cronograma detallado: Plazos de implementación y puntos de control.
• Indicadores de seguimiento: Para medir la efectividad del plan una vez aplicado.

La ausencia de este plan limita la capacidad de mejora y puede exponer a la entidad a incumplimientos futuros.

¿Cómo estuvo el desempeño sectorial?

Según las estadísticas, el sector de mercado de capitales fue el que más avanzó (mejora del 37%), seguido por entidades financieras y cambiarias (25%), tarjetas de crédito (22%) y seguros (13%). No obstante, todos los sectores tienen oportunidades de mejora, especialmente en la puntualidad de presentación, el análisis de FT/FP y el uso de datos para respaldar las evaluaciones.

En conclusión, el informe de la UIF no solo actúa como guía regulatoria, sino como una herramienta de mejora continua para fortalecer los sistemas de prevención. Entender sus recomendaciones y aplicarlas con rigurosidad no es solo una obligación normativa: es una estrategia inteligente para proteger tu organización y contribuir a la integridad del sistema financiero.