Por Colby Adams.
Aunque su principal objetivo es garantizar la implementación efectiva de los programas antilavado, las auditorías de cumplimiento pueden tener una consecuencia inesperada para los sujetos obligados: hacer que tengan problemas regulatorios, especialmente cuando no se realizan de forma adecuada.
En recientes informes del Congreso, en sanciones reglamentarias y en documentos judiciales en Estados Unidos se han denunciado pobres controles de auditorías internas y externas en varios casos de investigaciones regulatorias adelantadas por las autoridades, tales como el del HSBC Holdings Plc, Standard Chartered Bank y Banamex EE.UU., que son algunas de las acciones más relevantes por deficiencias antilavado de dinero adelantadas hasta ahora.
Ese mismo espíritu de transparencia y cooperación debería ser evidente en la documentación. En los últimos años, los examinadores bancarios han estado revisando más estrechamente no sólo cómo los auditores han llegado a sus conclusiones, sino además cómo los altos ejecutivos han solicitado que la información perjudicial sea removida de los informes finales, dijo Ross Delston, un consultor independiente de Washington, D.C.
En agosto de este año, las autoridades de Nueva York acusaron a la firma Deloitte & Touche LLP de omitir intencionadamente “información crítica” en una auditoría realizada al Standard Chartered Bank, ya que el banco así lo había. Las autoridades de Nueva York mencionaron un correo electrónico de un socio de Deloitte que hablaba de un informe “suavizado” para evitar problemas políticos para el banco.
Standard Chartered pagó al estado US$ 340 millones ese mes para resolver las denuncias relacionadas a irregularidades de cumplimiento. La firma Deloitte negó esa versión mediante un comunicado.
También han surgido problemas acerca de la independencia de los auditores internos, en particular los relacionados a bancos no estadounidenses, de acuerdo con Halagos Thomas, un antiguo examinador de la Reserva Federal que asesora a los bancos. “Ese fue un gran problema en HSBC, porque la auditoría fue cambiada”.
De rivales a aliados
Para muchos miembros del personal de cumplimiento, las auditorías pueden ser proyectos difíciles y estresantes. A veces, puede haber una “rivalidad institucional, incluso puede existir hostilidad”, entre oficiales ALD y los colegas que evalúen su trabajo. “Mucha gente de cumplimiento ALD los ve [a los auditores] como el enemigo, porque los auditores tienen una gran cantidad de poder y saben que no tienen que llevarse bien con la gente, porque auditoría de cumplimiento tiene líneas de presentación de informes separados e independientes”, explicó el consultor.
Pero siendo honestos con los auditores y revelarles cualquier problema puede ayudar a proteger a la empresa de sanciones regulatorias. Es más, si los auditores están de acuerdo en que algunas deficiencias deben atenderse, podrían ser aliados para los oficiales de cumplimiento tratando de aumentar el personal del departamento, adquiriendo actualizaciones de software y reuniendo los fondos necesarios para los cambios, precisó Delston.
La alta demanda
El incremento de las exigencias regulatorias ha empujado a los bancos a contratar auditores internos en lugar de depender de terceros, afirmó un oficial de cumplimiento de un gran banco de EE.UU. con sede en Nueva York, quien explicó que su empresa cuenta con un equipo de auditoría enfocado en efectuar revisiones globales de las jurisdicciones, los productos y los controles de cumplimiento.
“Hay una gran demanda de auditores ALD experimentados”, Más bancos van por esa vía, buscando auditores dedicados al área antilavado, porque eso es lo que esperan los reguladores”, indicó el empleado bancario, quien pidió mantener su nombre en reserva.
El equipo “ideal” de auditores debe ser rápido y creativo, y deben hacer uso de los resultados de las auditorías realizadas en otra parte. En general, los auditores no deben tener sólo una estrecha especialización que les impide escribir informes útiles, dijo un auditor que trabaja para un banco con sede en Nueva York.
Uno de los requisitos para tener un cumplimiento sólido es contar con auditores y oficiales ALD que entrenan juntos, no sólo sobre las recientes tendencias de lavado de dinero, sino en el cambio de las expectativas regulatorias, señaló el auditor anónimo.
Para acelerar las evaluaciones, algunos departamentos ALD han estado probando sus propios controles para facilitar el trabajo de los auditores internos y externos. “Las pruebas son distintas a las auditorías. Ahora, técnicamente, estas pruebas no son independientes, pero pueden proveer información a las auditorías y dar una buena opinión acerca de cómo ciertos elementos del programa o líneas de negocio están trabajando. El personal de cumplimiento también puede solicitar que los gerentes de ciertas líneas de negocios realicen auto-evaluaciones para detectar potenciales problemas”, recomendó el auditor.
Perfeccionar su auditoría
Para muchas instituciones financieras de gran tamaño es simplemente imposible controlar eficazmente todo un programa de cumplimiento ALD cada 18 meses, que es un estándar establecido en Estados Unidos –y seguido en muchas jurisdicciones- en el manual de examen interinstitucional.
En cambio, las empresas financieras deberían concentrarse auditando aspectos importantes de sus programas, como las personas expuestas políticamente (PEP) extranjeras y nacionales, las sucursales extranjeras y las relaciones de corresponsalía bancaria. Luego deben probar aspectos como la profundidad y la puntualidad de las evaluaciones de riesgo de los clientes y la precisión de datos de los clientes durante el próximo ciclo de 18 meses, de acuerdo con el auditor consultado.
“Si tratamos de probar todo, entonces no probamos nada bien. Estructurar la auditoría sobre la base de las líneas de negocio y productos que son de más alto riesgo nos permite hacer una inmersión más profunda” en el programa.
Sin embargo, cuando se efectúan las auditorías amplias, los bancos deben asegurarse de redactar un plan específico dejando claro cuándo serán revisados otros aspectos del programa ALD y por qué ciertos productos o jurisdicciones fueron examinadas en primer lugar, explicó Vasilios Chrisos, que supervisa la gestión ALD y de sanciones del Grupo Macquarie y sanciones programas, durante un seminario virtual de ACAMS realizado a principios de este mes.
Después de los ataques terroristas de 2001, por ejemplo, un banco cliente de Macquarie eligió para auditar las filiales extranjeras y la banca corresponsal privada para ver si encontraban cualquier evidencia de financiamiento del terrorismo.
Chrisos considera que “el auditor independiente debe decir que este año no está cubriendo los países X, Y y Z y las líneas de negocio A, B y C, pero lo vamos a cubrir el próximo año”, y recomendó a los auditores asegurarse de no esperar un año entero antes de comprobar si las recomendaciones hechas en el informe final de la auditoría han sido adoptadas.
Cuando se trabaja con un auditor externo, los bancos también deben tener cuidado de no limitar sus revisiones, de acuerdo con Arnie Scher, director ejecutivo de la firma consultora Jade Sistemas de Información.
“Los bancos están preocupados por los costos, por lo que no suelen mirarse algunos rincones oscuros”, dijo Scher, quien fue gerente de cumplimiento en el JPMorgan Chase. “Lo que [el personal del banco] presenta es muy controlado y cuando le pides ciertos documentos y transacciones te dicen que no, porque está fuera del alcance de la auditoría”.
Comprobación de alertas
Al evaluar si las alertas transaccionales funcionan correctamente, los auditores y el personal de cumplimiento con el que trabajan deben centrarse menos en si las alertas se atienden de manera oportuna y prestar más atención en si están siendo detectadas las operaciones correctas, sugirió el auditor.
Por ejemplo, un número relativamente bajo de las alertas generadas por una línea de negocio podría ser el resultado de umbrales de dinero excesivamente altos, dijo la persona. Sin embargo, un número relativamente alto de alertas que se traducen en unos pocos reportes de operaciones sospechosas (ROS) también puede indicar un problema con la configuración del software del banco. “Si hay muy pocos ROS, no vale la pena el tiempo que el banco está pasando revisando esas alertas y debe considerarse el ajuste de los umbrales y parámetros”.
Dado que las alertas de transacciones puede tener una tasa de falsos positivos de hasta el 90%, los auditores y el personal de cumplimiento deben evaluar primero las alertas relacionadas con clientes y líneas de negocio de alto riesgo, precisó Delston. En las auditorías, las alertas relacionadas con las personas políticamente expuestas, por ejemplo, se debe considerar una prioridad más alta que las otras alertas que se pueden analizar en cuestión de minutos.
Banks may also choose to team up auditors who may best be able to investigate complex alerts, allowing others to evaluate how software handles low-priority alerts, he said.
Los bancos también pueden optar por formar un equipo de auditores que puede ser capaz de investigar mejor las alertas complejas, permitiendo a otros auditores evaluar cómo el software se encarga de las alertas de baja prioridad.
Cómo obtener ayuda
Cuando se trabaja con terceros, los bancos quieren asegurarse de establecer parámetros claros pero flexibles para las auditorías, de acuerdo con un examinador federal, que habló bajo la condición del anonimato.
Por ejemplo, los bancos deben dar a los auditores una estimación aproximada del número de horas que deben dedicar a cada aspecto de una auditoría, mientras que les permite un tiempo adicional para preguntas de seguimiento y pruebas que sean necesarias. Un plazo claro para un informe final también debe establecerse, indicó el funcionario regulador.
Eso no quiere decir que los bancos siempre deben atenerse a sus planes originales. Por un lado, a los auditores externos no se les debe permitir que pasen demasiado tiempo evaluando productos de bajo riesgo o ciertas jurisdicciones, pero por el otro, los bancos no necesariamente deben rechazar las solicitudes de datos que estén fuera del alcance de la auditoría.
