Por David Schiffer*
El manejo de las alertas es un dilema constante para las instituciones financieras, incluso para las más sofisticadas. Tener demasiadas Personas Expuestas Políticamente (PEPs) y entidades de alto riesgo, con muchos nombres comunes, generará demasiadas alertas. Cómo reducir el volumen y mejorar la calidad de las alertas es el enigma de toda institución ¿Qué medidas pueden tomarse para separar las alertas de mayor riesgo y realizar más investigaciones? ¿Cómo se pueden limitar los falsos positivos? ¿Cómo se pueden generar y priorizar las alertas más importantes? ¿Cómo hacer que el proceso de revisión sea manejable y defendible ante los reguladores?
La elaboración de una estrategia defendible y la implementación de procesos operativos eficientes en un escenario regulatorio dinámico requieren un enfoque basado en el riesgo. El escaneo efectivo de los PEPs asegurará que las instituciones financieras puedan:
• Identificar el potencial riesgo del cliente
• Cumplir todas las obligaciones impuestas por las regulaciones
• Maximizar la eficiencia de sus recursos
• Obtener un retorno óptimo sobre su inversión tecnológica
• Unir las sinergias con otras administraciones de riesgo a nivel de la empresa u otros programas de prevención del fraude
Es difícil, sino imposible, resolver estos temas sin una inversión en tecnología adecuada. Sin embargo, con bastante frecuencia veremos que se utilizarán modelos tradicionales para determinar el retorno a la inversión (ROI, por sus siglas en inglés) y el costo cuando se evalúan compras de tecnología ALD y de cumplimiento. Los intentos por calcular el ROI para determinar si se invierte en un sistema, por lo general no tienen en cuenta las maneras en que la mitigación del riesgo y el evitar las posibles pérdidas pueden crear un valor ROI. Las instituciones financieras deberían tener en cuenta los beneficios más extendidos del ROI al evaluar las opciones tecnológicas.
Las instituciones que incorporaron filtros de PEPs conocen el perjuicio que demasiados falsos positivos y alertas irrelevantes pueden causar a la asignación de recursos y la productividad. Eso se ha transformado en una queja muy conocida. Además, entienden que la coincidencia de nombres de los PEPs es solo uno de los componentes de una estrategia ALD eficiente.
Teniendo presente eso, a continuación se detallan cinco estrategias operativas clave que las instituciones deberían evaluar para enfrentar el desafío de filtración de los PEPs:
1) Determinar cómo se aplica la definición de PEP al perfil de riesgo de su institución.
El Grupo de Acción Financiera Internacional (GAFI) es una entidad intergubernamental que elabora y promueve las políticas nacionales e internacionales para combatir el lavado de dinero y el financiamiento del terrorismo. Más de 130 países han implementado las 40 Recomendaciones del GAFI como el principal estándar ALD internacional. Al reconocer la ausencia de una definición clara de PEP, el GAFI elaboró unas guías que definen el término. Varios pronunciamientos gubernamentales, como el de la Ley USA PATRIOT y la Directiva de la Unión Europea, ofrecen definiciones similares de los PEPs, que incluyen:
• Un ex funcionario o actual funcionario, elegido o designado, en el poder ejecutivo, legislativo, administrativo, militar o judicial de un gobierno extranjero.
• Un funcionario de un importante partido político extranjero.
• Un ejecutivo de una empresa comercial estatal extranjera como una corporación o un negocio.
• Un familiar inmediato de ese individuo, entendiéndose por ello al cónyuge, padres, hermanos, hijos y padres o hermanos del cónyuge.
• Cualquier individuo respecto del cual se conozca públicamente que sea un asociado personal o profesional cercano a una figura política extranjera.
Las interpretaciones de esta definición varían de país en país y de institución en institución. Algunos se concentran solo en las figuras políticas extranjeras, mientras que otros pueden limitar la definición a nivel nacional o regional. A pesar de las múltiples interpretaciones, una cosa está clara: los PEPs presentan un mayor riesgo.
Para mitigar este riesgo, las instituciones primero deben evaluar su tolerancia al riesgo vis-à-vis [frente a frente] con las consideraciones del negocio, como el ingreso que generan y las consideraciones prácticas, como la protección de la reputación del banco. Aunque los individuos prominentes o con patrimonios importantes pueden ser considerados deseables como clientes privados, cuando son identificados como PEPs y puestos en el contexto de sus cargos de influencia y redes de relaciones, posiblemente conlleven un mayor riesgo de daño a la reputación de la institución financiera. Además, las entidades legales asociadas con ellos no pueden estar exentas del escrutinio, dado que el lavado de dinero frecuentemente involucra la participación de compañías privadas, fideicomisos, entidades caritativas y fundaciones.
Si bien la administración del riesgo y su proceso relacionado de evaluación del riesgo siguen siendo específicos de acuerdo con las políticas internas y el apetito por el riesgo de la institución financiera, es importante señalar que el enfoque basado en el riesgo no solamente está considerado entre las “mejores prácticas” en la industria, sino que también es recomendado a nivel internacional. Un proceso efectivo de evaluación del riesgo incluye:
• Procedimientos basados en el riesgo para establecer si un cliente es un PEP.
• Capacitación adecuada y elaboración de un proceso de aprobación gerencial para abrir una cuenta con un PEP.
• Revisión amplia para establecer la fuente de los fondos y/o bienes aplicados a las transacciones y movimientos en la cuentas de un PEP.
• Monitoreo constante y diligencia debida reforzada de la cuenta del PEP.
El riesgo puede ser mitigado sólamente mediante la identificación de los PEPs en su carpeta de información del cliente, determinando si el perfil de riesgo de su institución respalda la continuación de la relación con el cliente y estableciendo el monitoreo reforzado que cumpla con los estándares internacionales y las obligaciones regulatorias.
2) Optimizar las bases de datos de PEPs disponibles y otras entidades de mayor riesgo
Los proveedores de bases de datos con listas de vigilancia están en el negocio de la elaboración y actualización de la información para atender a una vasta comunidad de usuarios en todo el mundo. Ellos escanean cientos de miles de fuentes de información en todo el mundo para llenar sus sistemas con miles de perfiles de toda entidad/persona considerada de alto riesgo. Los defraudadores, terroristas, PEPs, lavadores de dinero y otros están disponibles en esas listas, junto con varios campos de identificación y categorías de riesgo.
El desafío para los oficiales de cumplimiento es maximizar el valor de este caudal de información y utilizarlo para reducir el riesgo. Con bastante frecuencia, las organizaciones pagan para comprar bases de datos completas, pero sólo usan una porción de la información disponible. La filtración realizada de una porción mayor de la base de datos para obtener un retorno sobre la inversión no tiene mucho sentido comercial a menos que se aplique un proceso para identificar, clasificar y administrar las alertas generadas.
No hay una única respuesta correcta cuando se trata de decidir qué listas usar, qué porcentaje de nombres se utiliza para analizar si existen coincidencias, qué campos y atributos buscar y cómo analizar la información para obtener resultados positivos. Estas decisiones variarán —y deberían variar— entre cada una de las instituciones. Conocer dónde se encuentra la mayor exposición de acuerdo con el perfil de riesgo de su organización debería ser la fuerza motora para decidir qué y cuánto filtrar. ¿Existen algunas regiones geográficas específicas que presentan una amenaza mayor? ¿Los funcionarios gubernamentales de alto rango del mundo son un motivo de preocupación? ¿O es importante estar atento a los políticos locales?
Una vez que la institución identifica a las áreas de interés, las mediciones ofrecen una herramienta útil para identificar las variables claves (p.e., geografía, nombres, cargo, ranking, etc.) y la asignación del riesgo que conllevan aquellas variables sobre los individuos para elaborar un perfil de riesgo. La filtración realizada sobre un fragmento bien seleccionado devolverá una cantidad manejable de alertas efectivos. La regla 80/20, conocida como regla general de los negocios, no es menos aplicable aquí: las instituciones financieras generalmente pueden esperar cubrir el 80 % de su exposición mediante la filtración del 20 % de una lista determinada. La regla 80/20 refleja la distribución del riesgo en una base de datos y destaca por qué es esencial identificar las fuentes del riesgo y analizarlas con relación a esos subconjuntos específicos, en lugar de realizar un escaneo global de naturaleza más amplia.
Las bases de datos son entidades vivas que crecen y cambian constantemente. Un enfoque proactivo para mitigar el riesgo requiere la vigilancia constante y la modificación ligera de los procesos de filtración y análisis. A medida que las instituciones adquieran más habilidades en la identificación de categorías de riesgos e implementan procesos mejorados para identificar y analizar las alertas, podrán ampliar la filtración a otros subconjuntos dentro de la base de datos, por ende generando un mayor valor de este a menudo subutilizado bien.
3) Establecer un criterio para automatizar los procesos y para las decisiones sobre alertas.
El rol del cumplimiento en la protección de la reputación de una institución financiera se ha vuelto esencial para sus operaciones comerciales centrales. Las políticas ALD deben estar totalmente integradas con las operaciones comerciales de rutina para prevenir y detectar actividades que podrían terminar en una publicidad negativa, un daño a la reputación y sanciones regulatorias.
Una vez que las instituciones entiendan la naturaleza de sus riesgos, requisitos regulatorios y políticas de protección del nombre de la institución, deberían evaluar cuidadosamente las posibles soluciones automáticas. La automatización se vuelve esencial cuando se priorizan las actividades de alto riesgo en todas las líneas de negocios, dado que los procesos manuales demandan mucho tiempo, son onerosos y no son efectivos, especialmente cuando se trabaja con grandes cantidades de información de los clientes y de transacciones.
La combinación de recursos humanos y tecnología es necesaria para adaptar los negocios a los cambios y a la vez generar eficiencias en el proceso. La mayoría de las instituciones financieras están interesadas en soluciones que:
• Mitiguen los riesgos identificados en sus evaluaciones del riesgo
• Puedan ser implementadas en meses en lugar de años
• Tengan menores costos de infraestructura y soporte
• Sean escalables para satisfacer las necesidades cambiantes
Un buen programa ALD estará adaptado al cliente para estar en consonancia con el conjunto de bienes, clientes, localidades geográficas, productos, servicios y tolerancia al riesgo de la institución. Existe, sin embargo, un conjunto común de criterios para elaborar procesos efectivos. Un buen programa ALD debe:
• Estar bien definido: el proceso aprueba la verificación de la información y es documentado correctamente.
• Ser defendible: estar sujeto a revisión y las decisiones pueden ser justificadas ante los auditores internos y los reguladores externos.
• Fiable e íntegro: asegura los resultados deseados basados en las políticas de mitigación del riesgo.
• Repetible: es interativo y soporta los “retoques” constantes.
• Flexible: puede ser adaptado a los cambios constantes de las obligaciones, regulaciones, el flujo de trabajo operativo y la evaluación del riesgo.
El establecimiento de “mejores prácticas” para el escaneo de la información del cliente significa la identificación de la información importante a ser detectada por un filtro automático, así también como cualquier dato que pudiera ser útil al personal que investiga las alertas generadas. Además, al seleccionar la configuración óptima para cumplir con los requisitos de flujo del proceso, las instituciones maximizarán el impacto de sus inversiones tecnológicas.
Sin tener en cuenta el software que el banco elija y el momento y el costo de su implementación, la clave para el éxito es si la institución ha elaborado procesos y procedimientos efectivos para resolver las excepciones generadas por los sistemas; y, lo que es más importante, si ha capacitado a profesionales expertos para ejecutar esos procedimientos.
4) Conocer cómo el software especializado ALD/cumplimiento puede regular el flujo de trabajo y facilitar la filtración.
Desde 2001, las instituciones grandes y pequeñas por igual se han subido al tren del software ALD. Sin poder seguir volando bajo el radar o para simplemente asumir que la exposición sea de bajo riesgo, las organizaciones ahora tienen la obligación de evaluar riesgos relativos. En un informe de diciembre de 2007, Celent, la firma mundial de investigaciones y asesoramiento, predijo que el riesgo global y el gasto en cumplimento superarían los US$14.000 en 2008. Una porción de estos gastos es sin dudas dirigida a soluciones que resuelven el ranking de exposición.
Para obtener lo máximo de su proveedor de software ALD hay que ir más allá que simplemente reducir los falsos positivos. Las instituciones enfrentan el desafío de optimizar el proceso de filtración identificando las alertas relevantes, priorizando las revisiones, reduciendo el tiempo dedicado al proceso, cuantificando el riesgo y elaborando un enfoque general manejable.
Aunque los sistemas se han vuelto más “inteligentes”, la naturaleza dinámica de la información de las bases de datos significa que ningún sistema identificará al 100% de los PEPs el 100 % del tiempo. Conocer dónde se encuentra su institución con relación a la constante exposición al riesgo le permitirá adaptar la filtración y la cobertura de los PEPs al apetito de riesgo específico de su institución. Prepárese con un análisis realista de la ecuación entre asegurar la cobertura amplia de los PEPs y mantener manejable la cantidad de alertas. La cobertura que sea demasiado amplia generará una cantidad gigantesca de alertas, dificultando la revisión adecuada, sino imposible. La cobertura que es demasiado limitada se arriesga a pasar por alto a los PEPs y otras entidades de mayor riesgo.
Busque un sistema que filtre las distintas características de cada cliente o PEP (p.e., geografía, asociados comerciales, familiares, cargo, etc.), que identifique los puntos de correlación y conflicto, y califique la importancia de los resultados obtenidos. La calificación del riesgo, que eleva el perfil de las alertas importantes, crea un proceso de revisión más eficiente. Además esto le permite al personal de cumplimiento hacer un uso prudente del tiempo concentrando las investigaciones en una cantidad controlable de alertas de alta prioridad.
El sistema ALD y de cumplimiento correcto puede mejorar la filtración y el flujo de trabajo:
• Priorizando las alertas relevantes
• Eliminando los resultados irrelevantes
• Reduciendo los falsos positivos
• Calificando objetivamente la exposición política relativa de los PEPs
• Adaptando el nivel de filtración para adecuarse al perfil de riesgo de la institución
El resultado es un proceso más manejable que colabora en la revisión oportuna de las alertas, la toma decisiones sobre los alertas de manera más eficiente, hace un uso racional de los recursos, reduce costos y, en última instancia, disminuye la exposición de la institución.
5) Identificar las medidas preventivas que puedan tomarse para prepararse para las revisiones regulatorias.
Además de cumplir con los controles regulatorios internos, las instituciones financieras están sujetas a la revisión amplia de los reguladores de manera constante. Estas revisiones tienen por objeto:
• Evaluar la efectividad de los programas ALD y de cumplimiento de la institución
• Evaluar el cumplimiento de las obligaciones regulatorias establecidas por su jurisdicción
• Realizar una revisión de las prácticas de administración del riesgo.
La institución puede estar preparada sólo mediante el conocimiento del proceso de revisión y de qué clase de controles están buscando los reguladores. Para empezar, los procedimientos de revisión han cambiado. En el pasado, eran similares a una auditoría y estaban concentrados principalmente en el examen de las transacciones. Ahora, las revisiones analizan las políticas y procesos reales que han sido implementados. Los reguladores buscan la base en el riesgo y las políticas y procedimientos racionalizados, el manejo efectivo de la información y quieren empleados altamente capacitados.
La aplicación práctica de las políticas, procedimientos y procesos escritos de la institución es un primer paso para determinar la idoneidad general del programa de cumplimiento. Se espera que las instituciones demuestren que sus procesos están bien documentados y bien analizados y que las decisiones basadas en el riesgo estén justificadas. Un proceso defendible incluye un sistema de controles internos para asegurar el cumplimiento constante, la revisión independiente de esos controles y la conservación adecuada de la documentación.
El monitoreo constante basado en el riesgo de los PEPs y de otras entidades de alto riesgo está en el centro de un programa de cumplimiento firme y asegurará que la institución financiera este preparada para una revisión en cualquier momento.
Una estrategia basada en el riesgo puede ser justificada, tanto internamente como frente a los reguladores. Deberían analizarse la posibilidad de adoptar una visión más amplia al escanear a los PEPs y a otras entidades de alto riesgo. Esto significa no solo escanear por el cumplimiento, sino también para la prevención del fraude y el riesgo de daño a la reputación.
Una estrategia proactiva basada en el riesgo no solo incluirá autoauditorías, sino que también realizará análisis forenses periódicos de los archivos de información de los clientes. Esta medida preventiva prioriza la identificación de los riesgos más altos y de las alertas más relevantes, que frecuentemente se encuentran bajo enormes cantidades de falsos positivos pendientes de investigación. A medida que los reguladores requieren programas ALD más sólidos, el análisis forense puede ser una herramienta efectiva para prepararse para la revisión regulatoria, realizando una diligencia debida para los casos de fusiones/adquisiciones o implementando una línea de negocios nueva.
En síntesis
Los últimos 10 años han traído muchos cambios a las maneras en que las instituciones financieras atienden las demandas ALD y de cumplimiento. No existe más la oficina de apoyo, el ejercicio sobre las transacciones y el monitoreo del cumplimiento está actualmente más alineado con los objetivos estratégicos y operativos. La tecnología cada vez más sofisticada, la obtención de datos y las técnicas de análisis de la información seguirán influyendo sobre la filtración y el cumplimiento con relación a los PEPs. El conocimiento de los riesgos y las fuerzas del mercado que producen un impacto en su negocio, junto con la elaboración de un marco flexible que pueda ser adaptado fácilmente a estos elementos internos y externos, les dará a las instituciones la mejor defensa para ganar el desafío de los PEPs.
*David Schiffer, presidente, Safe Banking Systems, Mineola, NY, EE.UU.
