Por David Caruso
Con todas las acciones de cumplimiento realizadas en los últimos tres años relacionados a los informes de actividad sospechosa (IASs) que fueron presentados tarde, incompletos, o que ni siquiera fueron presentados, parece cierto que toda institución financiera debería contar ahora con formas seguras y efectivas para identificar cualquier actividad sospechosa. Pero, ¿es esto así? ¿Y cómo se aseguran que sus procedimientos son adecuados?
Los reguladores actúan cuando encuentran serias evidencias de que una institución financiera no puede identificar, investigar y reportar cualquier actividad sospechosa de manera consistente y sistemática. El cumplimiento de estos requisitos procede de un programa IAS con seis componentes clave.
1. Captar incidentes sospechosos
La información sobre una posible actividad sospechosa puede ser obtenida de diversas formas: software de monitoreo de transacciones, información del empleado, informes periodísticos, citaciones judiciales y otros pedidos gubernamentales, datos provenientes de otras instituciones. Lo que es vital es cómo estos incidentes son obtenidos y priorizados.
Los sistemas manuales y tecnológicos bien diseñados para obtener y examinar cuidadosamente las numerosas alertas son esenciales para asegurar que la institución conozca los indicadores de que sus clientes o empleados están involucrados en alguna actividad sospechosa.
Los sistemas de administración de casos son necesarios para captar y rastrear estos datos. Sin los sistemas de ingreso y rastreo de casos, las instituciones pueden fallar en la obtención y revisión de actividad sospechosa. Las instituciones más grandes pueden reunir la información en varias sedes, pero si no coordinan las investigaciones, estarán malgastando recursos.
2. El proceso de investigación
Las instituciones financieras se basan en procesos eficientes. Sus investigaciones internas deben realizarse de la misma forma.
La investigación de cualquier actividad sospechosa normalmente se encuentra fuera de las prácticas principales de las instituciones financieras, y aquellos que realizan las investigaciones son ex funcionarios de cumplimiento legal con conocimiento limitado de la banca y finanzas, o auditores que pueden tratar de aplicar las técnicas de auditoria a las investigaciones. Generalmente, los grupos de investigación son un poco un misterio para el resto de la institución.
Sin perjuicio de sus antecedentes, los investigadores deben enfocar su trabajo de una forma sistemática y consistente. La investigación de cualquier actividad sospechosa debería estar diseñada como un proceso comercial como cualquier otro. Debería tener estándares documentados que sean aplicados consistentemente por un grupo de individuos con conocimientos y capacitados que utilicen la tecnología y otros sistemas para ayudarlos.
El proceso incluye como mínimo cinco pasos:
1. Análisis de excepciones: La cantidad de excepciones e incidentes reportados por los sistemas de monitoreo es por demás inclusivo, captando con frecuencia actividades que no son sospechosas. Por ello, debe analizarse cada excepción para determinar si amerita una investigación completa.
2. Investigación: La investigación debe incluir las revisiones del historial de cuentas y transacciones, la identificación del cliente y la información de “conozca a su cliente” relacionadas con el cliente y las contrapartes.
3. Revisión gerencial: La gerencia debería asegurarse que el informe de la investigación siga los estándares establecidos, incluya explicaciones convincentes que respalden la decisión de presentar o no un IAS, y sea de calidad suficiente para resistir el escrutinio de un auditor, examinador o fiscal.
4. Asegurar la calidad: Antes de presentar un IAS, asegúrese de que sea completado en forma total y exacta. Los casos en que los espacios son dejados en blanco o contienen información errónea son considerados errores técnicos que serán criticados por un auditor y pueden ser considerados una violación legal por los reguladores.
5. Reporte: Muchas instituciones todavía hacen las presentaciones por correo, y eligen no utilizar la opción electrónica ofrecida por la Red de Control de Crímenes Financieros de EE.UU. Pero los métodos desactualizados como el sistema postal son proclives al error humano. Con la presentación electrónica, la institución puede recibir la confirmación de que el IAS fue recibido.
3. Estándares escritos
Las investigaciones son tan eficientes como los estándares escritos que rigen el modo en que son realizadas.
Al establecer estos estándares, la organización se asegura que el trabajo de sus analistas e investigadores sea de la misma calidad; de otra manera se dejaría que los individuos crearan sus propios estándares, con diversos niveles de efectividad. Asimismo, sin estándares escritos, se carecería de la evidencia necesaria para respaldar la decisión de presentar o no un IAS. Eso puede derivar en conclusiones regulatorias y acciones de cumplimiento adversas.
Las instituciones también necesitan estándares escritos sobre cómo documentar los casos. Los archivos de los casos deberían contener información similar de una investigación a la otra, dado que los archivos inconsistentes son el primer signo de problemas para un examinador.
4. La gente adecuada
Las instituciones necesitan individuos que tengan las cualidades y experiencia para realizar investigaciones financieras complejas y que puedan administrar al personal que realice investigaciones menos complejas, pero no menos importantes.
Los empleados necesitan una comprensión profunda del delito financiero, el lavado de dinero y la financiación del terrorismo. Es importante conocer las regulaciones y revisar las guías de los reguladores, pero los investigadores necesitan saber cómo los criminales manipulan las economías de mercado para realizar sus negocios.
Los investigadores también deben poder preparar informes escritos concisos y lógicos que ayudarán a las agencias de cumplimiento legal y por ende estarán menos expuestos a la crítica de los reguladores.
5. Administración de casos y reporte a gerencia
Las instituciones financieras investigan varios grupos de información muy importantes. La mayoría se focaliza en temas que generan ganancias, pero también debe revisarse la información relacionada con las investigaciones.
La administración de casos es una parte vital del cumplimiento antilavado de dinero (ALD), especialmente para las instituciones cuyo personal de investigación es escaso. El aspecto más importante de la administración de casos es rastrear el número de investigaciones en curso y su antigüedad.
La antigüedad es importante por los requisitos de presentación de los IAS, que obligan a las instituciones a presentar IASs dentro de los 30 días de detección de la actividad sospechosa. Si un gerente no sabe cuántos casos hay en curso, de qué se tratan y qué antigüedad tienen, cumplir con este requisito es casi imposible.
Los sistemas de administración de casos incluyen también la obtención de información importante que debería ser informada a la gerencia. Por ejemplo, los sistemas de administración de casos, en su nivel más básico, deberían rastrear la cantidad de casos, tanto abiertos como cerrados, y cuáles culminaron en la presentación de un IAS y cuáles no.
6. Utilización de las conclusiones de la investigación para mejorar un programa
A menudo, la investigación de actividades sospechosas y la presentación de IASs son consideradas la última parte del procedimiento de cumplimiento ALD/Ley de Secreto Bancario. Muchos consideran que una vez que la unidad de investigaciones finaliza su tarea, el asunto se terminó. Tal visión pasa por alto el valor de la información que brindan las investigaciones y los IASs.
Muchos aspectos del cumplimiento ALD/LSB se hacen en forma predictiva. Es decir, se basan menos en información real que en guías de los reguladores o información dada por los oficiales de cumplimiento. Por ejemplo, la calificación de riesgo del cliente es un ejercicio que trata de asignar un puntaje a ciertas características que una institución considera que presentan un mayor riesgo ALD. Los clientes de ciertos países posiblemente sean calificados como de mayor riesgo que otros. Los clientes que manifiestan que pueden realizar transferencias cablegráficas también pueden ser calificados como de mayor riesgo.
Es discutible si éstos son indicadores válidos.
Las investigaciones y los IASs, sin embargo, a menudos brindan hechos sólidos. La información que dan las investigaciones puede indicar si existen determinadas sucursales o gerentes de relaciones cuyos clientes tienen una mayor propensión a realizar actividades sospechosas. Los datos de las investigaciones también pueden informar a las instituciones qué productos y servicios presentan un mayor riesgo para ellas.
Pero muy pocas evaluaciones ALD/LSB utilizan la información de los archivos de investigación y los IASs, cuando de hecho deberían ser el lugar para comenzar una evaluación de riesgo. Y si son realizadas de manera adecuada, podrían ser la única fuente que es necesario aplicar para efectuar la evaluación de riesgo.
No existe un componente más importante del cumplimiento ALD/LSB que realizar investigaciones exhaustivas y oportunas. Un programa que carezca de esta capacidad casi seguramente tendrá puntos vulnerables que se presentarán para dañar a la institución, sus empleados y sus clientes.
David B. Caruso es Director Ejecutivo y Director Gerente de The Dominion Advisory Group, LLC, firma consultora de Virginia.
