Área de práctica
Evaluación de riesgos.
Evaluaciones de riesgo en AML, operacional, cibernético, fraude y más. Diseñadas para servir a toda la empresa — basadas en tipologías, mapeadas a controles, y mantenidas a medida que el riesgo evoluciona, no revisadas una vez al año.
Riesgos evaluados antes de que llegue su examinador.
Una evaluación de riesgos útil nombra la exposición, mapea la brecha de control y produce un número sobre el que el comité puede actuar.
La evaluación de riesgos es la forma en que las instituciones descubren dónde se encuentran realmente antes de que el examinador se los diga. Nuestra práctica se basa en una metodología por tipologías — comenzamos por lo que realmente falla en instituciones como la suya, no por una biblioteca genérica de riesgos — y mapeamos cada exposición a los controles específicos que deberían detectarla.
Evaluamos en todo el espectro de riesgo empresarial: exposición a AML y sanciones, riesgo operacional, riesgo cibernético y tecnológico, riesgo de fraude — fraude por transferencia, originación ACH, colusión interna, fraude en solicitudes, identidad sintética — y riesgo de modelos. El alcance lo determina el perfil de riesgo real de su institución, no una plantilla estándar.
Cada evaluación produce tres resultados: un mapa de controles que muestra dónde están las brechas, una calificación de riesgo residual calibrada a las expectativas del examinador, y una hoja de ruta de remediación con secuenciación, responsables y fechas. Un mapa de calor sin un mapa de controles detrás no es una evaluación de riesgos — es una decoración.
El trabajo en esta práctica, nombrado.
- Evaluación de riesgo empresarial — Evaluación completa o focalizada en AML, operacional, cibernético, fraude y riesgo de modelos.
- Evaluación de riesgo AML — Inventario de tipologías, calificación de riesgo de clientes, calibración de monitoreo de transacciones, exposición SAR/CTR.
- Evaluación de riesgo operacional — Identificación de riesgos a nivel de proceso, análisis de eventos de pérdida, pruebas de efectividad de controles.
- Evaluación de riesgo cibernético y tecnológico — Revisión de riesgo TI alineada con FFIEC, riesgo de terceros/proveedores, postura de respuesta a incidentes.
- Evaluación de riesgo de fraude — Inventario de tipologías, análisis de pérdidas, segregación de funciones, gobierno de doble control, exposición a identidad sintética.
- Hoja de ruta de remediación — Secuenciación de brechas de control, responsables, fechas e informes para el comité.
Una evaluación de riesgo empresarial, de principio a fin.
| Fase | Entregable |
|---|---|
| Alcance | Universo de riesgos definido; evaluaciones previas, hallazgos de examinaciones y datos de pérdidas revisados. |
| Evaluación | Tipologías inventariadas; controles mapeados; riesgo inherente calificado en todas las dimensiones. |
| Riesgo residual | Riesgo inherente × efectividad de controles = residual; calibrado al apetito del comité. |
| Hoja de ruta | Plan de remediación de controles, secuenciación, responsables, fechas. |