Las estructuras de auditoría y control de riesgos son una pieza importante para fortalecer los procesos antilavado de dinero, contra el financiamiento del terrorismo y antifraude en las instituciones financieras, a juicio del experto Carlos Valdivieso*, quien tiene más de 20 años de experiencia en materia de contraloría bancaria en Chile.

En una entrevista realizada por Fernando Martínez, Valdivieso destacó las ventajas de la norma ISO 31.000 y la comparó con otras estructuras de control de riesgos como COSO y AS/NZS4360. Valdivieso reconoció el desafío que existe en las instituciones financieras desde el punto de vista presupuestario y también explicó la forma como estas normas de control de riesgos pueden ser adoptadas por empresas reguladas medianas y pequeñas.

Presentamos este material, que es un adelanto de la exposición que realizará Carlos Valdivieso en el XVI Congreso Latinoamericano de Auditoría Interna y Control de Riesgos (CLAIN 2012), que se realizará en la ciudad de Buenos Aires desde el 31 de mayo hasta el 02 de junio, y que es patrocinado por Lavadodinero.com.

-FM: ¿Dónde se ubica el tema del cumplimiento antilavado de dinero en el ámbito de Auditoría Interna de las instituciones financieras?

CV: En el ámbito del Gobierno Corporativo, en el cual Auditoría Interna debe ayudar en un doble rol: revisando su existencia y funcionamiento y aportando sugerencias para su enriquecimiento. El lavado de dinero es uno de los riesgos junto a otros que enfrentan los bancos, tales como crédito, mercado, gestión de capital, etc. y como tal debe especificarse, normarse, deben existir políticas aprobadas por el Directorio, asignar su revisión mediante un régimen que no corresponda a auditoría interna, tener las actividades de control para monitorearse y capacitar permanentemente al personal. En este ámbito, la ISO 31.000 sobre riesgos es la única norma ISO existente sobre riesgos y proporciona una buena guía.

-En función de los riesgos de lavado de dinero, financiamiento del terrorismo y fraude que enfrentan las empresas del sector financiero, ¿cuáles beneficios puntualmente ofrece ISO 31.000 –que fue aprobada en 2009- comparada a otras estructuras de control interno más antiguas, como COSO yAS/NZS 4360-2004?

Los tres documentos mencionados (ISO 31.000, COSO y AS/NZS4360) tienen enfoques que incluyen la administración y control de riesgos, son complementarios y no excluyentes. Hay que agregar COSO ERM del año 2004, porque todos ellos proporcionan pautas generales y no recetas… y cada empresa debe desarrollar cómo los implementa según su realidad.

ISO 31.000 entrega un marco general desde el Directorio, el que debe fijar el contexto para administración y control de riesgos, incluyendo mediciones, tratamiento, monitoreo y revisión, como sistemas de comunicaciones.

COSO publicado en 1992, tiene su énfasis en el control interno; este documento ha sido actualizado, sin grandes cambios, sistematizándolo ahora con 17 principios y se espera su publicación para fines del año 2012.

COSO ERM, incluye a COSO en lo relativo a control interno, pero es más amplio incluyendo la parte estratégica, que COSO no la tiene, así como las respuestas a los riesgos.

AS/NZS4360, que es de origen australiano-neozelandés, provee una guía genérica para el establecimiento e implementación el proceso de administración de riesgos, involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos. ISO 31.000 se basó principalmente en este modelo, de ahí sus similitudes. Cabe mencionar que el comité que formulaAS/NZS4360 con posterioridad a la publicación de ISO 31.000 decidió que no había que gastar esfuerzos en su actualización, sino en la implementación de la ISO 31.000… así de similares son, con algunas diferencias sólo en los énfasis principales de cada uno.

Las principales diferencias entre ISO 31.000 y AS/NZC es que ISO recoge la incertidumbre en los objetivos y entrega principios que la organización debe seguir en todos sus niveles, como parte integral del proceso de organización y no algo separado, debiendo hacerse en forma sistemática según sea la realidad de cada empresa, recogiendo su realidad cultural y proveyendo continuas mejoras

-ISO 31.000 se conoce como una pauta que puede ser implementada en cualquier tipo de empresa, institución, incluso por individuos. ¿Cree usted que realmente es viable su adopción por entidades de mediano tamaño (casas de cambio, remesadoras, etc.) o profesionales regulados (contadores, abogados, notarios, etc.) que enfrentan riesgos de lavado de dinero y financiamiento del terrorismo?

Se puede. No se trata de cumplir todo el documento ni hacer algo costoso, sino los principales aspectos, por ejemplo, lineamiento de los dueños, definición de los riesgos en forma práctica y cómo se controlan; y la capacitación y entusiasmo de todo el personal, aunque sean diez personas.

-Uno de los problemas más frecuentes que enfrenta la lucha ALD / CFT es el presupuestario. En la mayoría de las empresas reguladas el ALD se maneja como un costo y muchas directivas aún no entienden la necesidad de asignar los recursos necesarios para tener una estructura de defensa sólida.¿Cuáles argumentos pueden usar los auditores y los departamentos de cumplimiento para justificar la implementación de ISO 31.000, considerando que esto sería una buena práctica de adopción “voluntaria”, como todas las ISO?

Esta es una antigua inquietud. Ciertamente no hacer nada es más económico, hasta que pasa algo y se afecta el riesgo de imagen y ahí lo barato cuesta caro. También es cierto que a veces esto se hace sólo porque obliga la ley/y o el regulador. El tema es que los cuidados del sacristán no deben terminar matando al cura y que el asunto bien tratado y a costos razonables, no como burocracia, fortalece la imagen y el desarrollo de negocios, lo cual es apreciado por la comunidad. Si una empresa se ve afectada por lavado de dinero y financiamiento del terrorismo puede costarle mucho recuperarse. Hoy la sociedad en temas como este, la contaminación y otros está mucho más sensible e informada.

-¿Aquellas entidades que se decidan a implementar ISO 31.000 deben esperar la revisión de la norma que está prevista para el año 2013?

No hay que esperar, hay que empezar desde ya gradualmente. Esta ISO es voluntaria y demoró varios años en llegar a ser publicada y por ahora no es certificable como otras ISO. El asunto es: “¿Creo yo en ella? ¿Me dice algo que de los 165 países que pertenecen a esta organización ISO, uno sólo la haya rechazado y dos se hayan abstenido?”

-¿Qué recomendaciones puede darle al personal de cumplimiento para elaborar una adecuada matriz de riesgos?

Ser realistas y fijar una diferencia entre riesgos primarios y secundarios y hacer un trabajo consensuado en toda la empresa partiendo con un ensayo muy pero muy simple hasta habituarse al ejercicio. Cuando me han preguntado esto mismo yo digo: hagan un ejercicio corto. Imaginen al interior de la empresa los procesos de recepción y entrega de correspondencia, cuáles son los riesgos primarios: ¿extravío?, ¿entrega tardía?, ¿entrega a otro destinatario?, ¿no dejar constancia?, etc.

No se pongan demasiados imaginativos. En una ocasión conocí un banco que tenía 9.946 eventos de riesgos; esto es inmanejable. Reitero: los riesgos primarios para la matriz suelen ser unos diez y luego en cada uno los desagregan. Esto no es un trabajo de Auditoría Interna, usualmente debe liderarlo la Unidad de Riesgos.

-¿Cómo se compatibiliza la existencia de la abundante normativa y las recomendaciones internacionales con las operaciones diarias de una entidad regulada?

Es difícil y no hay soluciones perfectas, por algo el problema lleva tantos años y además el lavado se moderniza en un mundo global. El pensar hoy que el lavador es un señor con un puro y un maletín con dinero es una caricatura. Además, los bancos en Latinoamérica son de distinto porte: tienes bancos que hacen unas 100 millones de transacciones diarias y muchos que hacen más de un millón; agréguese a ello las operaciones con filiales (corredoras de bolsa, leasing, fondos mutuos, etc.) y se verá lo amplio del espectro.

Un hecho también importante es la existencia de empresas legalmente establecidas que operan y en el fondo son fachadas; así, por ejemplo, pueden existir algunos restaurantes que pagan impuestos, tienen balances contables, etc., salvo un detalle: el público que va es poco. Por lo tanto, las ventas y los balances no son reales. Lo mismo se puede aplicar a otras empresas mayores, como constructoras, manufactureras, etc. Si a esto le agregamos un estatuto de inversiones extranjeras con dueños en el exterior, acciones al portador y la posibilidad de remesar utilidades, se verá lo difícil del tema. Si además agregamos los vasos comunicantes con el terrorismo, se puede tener una idea de la complejidad de la lucha ALD/CFT.

En este contexto, lo real es tratar de reducir el riesgo y no evitarlo, esto último es una utopía.

Es abundante la normativa, las recomendaciones (por ejemplo las del GAFI), las legislaciones de los países, las unidades gubernamentales, la variada capacitación, boletines -como el que publica Lavadodinero.com-, entonces cabe preguntarse: ¿Cómo apoya Auditoría Interna? Aquí van algunos tópicos para pensar:

  • Ver la ISO 31000 y aplicarla específicamente al riesgo de lavado de dinero, levantar los “gaps” y hacer planes de acción revisando su cumplimiento.
  • Contar con un software especializado, el que debe parametrizarse a cada realidad. No existe una solución“llave en mano”y hay que seguir siempre mejorándolo.
  • Revisar si las unidades de riesgo validan la información generada y su lógica.
  • Revisando también la existencia, dotación y calidad de los recursos humanos de las unidades de revisión de lavado y rotar al personal.
  • Usar las redes de información sobre el tema.
  • Capacitar a todo el personal del banco anualmente y certificarlo por medio de plataformas e-learning. Se trata de tener socios para la causa y no empleados pasivos.
  • Contar con auditores especializados y que (el área de) Auditoría Interna tenga un programa y software de monitoreo.

De lo que he leído por años, me impresionaron las preguntas que debe contestar cada ejecutivo de cuentas en bancos en el extranjero: ¿Conoce a su cliente? ¿Lo ha visitado y conoce su negocio? ¿Recomendaría se le revise reservadamente por posible lavado de dinero?

Estamos tan preocupados del día a día y sumergidos en las oficinas, que nos limitamos en conocer la realidad.

-¿Cómo aprecia que está evolucionando el tema del lavado y de los controles internos?

Está dinámico y de difícil pronóstico. No obstante, el auditor interno debe seguir aportando constantemente para mitigar el riesgo y mantenerse informado de lo que hace FELABAN en este tema, así como el congreso CLAIN 2012 y lo que sucede en otros ámbitos.

Aprecio que gradualmente este tema ya es parte del Gobierno Corporativo y la capacitación es cada vez mayor; portales como el vuestro son una gran ayuda.

 


*Carlos Valdivieso Valenzuela – Ingeniero Comercial y Contador Auditor de la Universidad de Chile

Se desempeñó por más de 20 años como Contralor General de Bancos en Chile y de holding de bancos en el exterior. En los últimos años ha sido consultor en Chile y en el exterior, en materias de control, incluyendo riesgos, su relación con procesos y gobiernos corporativos en empresas chilenas y extranjeras. Su relación con COSO data desde antes de su publicación en 1992. Ha aplicado también COSO ERM, acumulando 19 años de experiencia en el tema. Ha sido presidente por dos períodos del Comité Latinoamericano de Auditoría Interna y Evaluación de Riesgos (CLAIN) y es miembro actual de su comité consultivo, habiendo participado en diversos trabajos gremiales, como también los derivados de haber sido presidente por varios años del Comité de Contraloría de la Asociación de Bancos e Instituciones Financieras en Chile.