(Nota del editor: el siguiente análisis y guía sobre cómo conducir auditorias internas es parte del libro próximo a publicarse de Lavadodinero.com:“Guía del Manual Interagencias de la Ley de Secreto Bancario/Manual de Examen ALD”. Esta sección ofrece una pequeña mirada al conocimiento práctico del autor, David Caruso, director de Dominion Advisory Group, una firma consultora antilavado para instituciones financieras. Para más detalles sobre el libro próximo a salir, lea Lavadodinero.com)
La falta de una adecuada auditoria ALD/LSB por parte de una institución puede llevar a serias críticas regulatorias. Una auditoria inefectiva o incompleta puede ser el primer factor que un examinador considere cuando esté pensando en imponer una multa sobre la institución.
Cada una de las mayores multas que se impusieron en los últimos años requerían que la institución que la recibía aumente su desempeño en el testeo independiente o de auditorias internas. En algunos casos, los reguladores tenían tan poca fe en las capacidades de las instituciones sancionadas para realizar una auditoria, que ordenaban a la institución que una firma externa la realice.
Por ejemplo, la orden de consentimiento contra el Banco Riggs firmada con la Oficina del Contralor de la Moneda de EE.UU. en mayo de 2004 decía que el banco debía implementar un programa de auditoria interna independiente y detectar el nivel de cumplimiento. También establecía que el reporte de auditoria debía ser evaluado por la Junta Directiva de Riggs.
Los ocho factores fundamentales para auditorias efectivas
Las auditorias internas efectivas son esenciales para el éxito de un programa ALD por varias razones. En primer lugar, los reguladores las utilizan para sus examinaciones. En segundo lugar, es la única manera en que los directores de las instituciones reciben información sobre la efectividad del programa de cumplimiento.
1. Evaluar el riesgo
Una planificación efectiva para las auditorias debe comenzar con una revisión de la evaluación de riesgo ALD. Evaluaciones efectivas identifican y documentan productos, servicios, clientes y locaciones geográficas u operaciones bancarias que presentan un riesgo mayor al lavado de dinero y financiación del terrorismo. Esta evaluación es la base de un plan de auditoria sólido y basado en el riesgo.
2. Plan de auditoria
Los auditores deben usar la evaluación de riesgo para determinar el alcance de su revisión, enfocándose en esos productos, servicios, clientes y geografías que presentan un riesgo de lavado de dinero mayor – esto es lo que harán los examinadores cuando preparan su trabajo y lo que esperan de un grupo de auditoria interna. Los auditores deben preparar un borrador por escrito del plan de auditoria, definiendo las políticas, procedimientos y procesos operacionales que se auditarán y las razones que justifican esas decisiones. Ellos no deberían moverse de un grupo de negocios al otro haciendo entrevistas con los empleados y realizando revisiones de políticas en forma general.
Un plan definido y por escrito es necesario y debe ser presentado a un comité de manejo de riesgo para su revisión y a un comité de auditoria compuesto por la junta directiva para su aprobación.
3. Políticas/Procedimientos LSB
Las auditorias internas deben revisar la política ALD/LSB de todo el banco, cada unidad de negocio, y procedimiento operacional para asegurarse de que cada una esté personalizada a la institución y no tan general que no pueda ser luego testeada en una auditoria.
Es importante también revisar los procedimientos para asegurarse de que cada uno tiene un lenguaje descriptivo que enumera la serie de pasos detallados o acciones que son seguidos para que la política ALD/LSB sea ejecutada. Se debe entender que las políticas y los procedimientos ALD/LSB sirven dos propósitos diferentes.
Políticas son principios establecidos o guías que implican un compromiso por parte de la institución. Es una declaración de valores o intenciones que proveen una base para tomar decisiones consistentes y asignar recursos. La fundación de cada una de las políticas ALD son las regulaciones. Las políticas tienen aplicación extendida, no cambian frecuentemente y contienen declaraciones que responden a las preguntas de “qué” y/o “por qué” de un programa de cumplimiento. Por ejemplo, una política de alto riesgo puede decir, “los negocios de servicios monetarios son de alto riesgo porque frecuentemente realizan actividades de remesas internacionales a países en la lista de países y Territorios no Cooperantes del Grupo de Acción Financiera Internacional”.
Por otro lado, los procedimientos tienen una aplicación más limitada y son propensos a cambiar más frecuentemente, tienen declaraciones más detalladas que responden el “cómo”, “cuándo”, y “quién” de un programa de cumplimiento.
Los procedimientos deben ser considerados documentos que estarían en el escritorio de alguien responsable de implementar la función de cumplimiento ALD, como una unidad de monitoreo a cargo de identificar NSMs. Los procedimientos deben ser instrucciones para decirle al usuario específicamente cómo hacer algo, como, en este caso, revisar los archivos de transferencias de fondos para identificar transferencias entrantes o salientes a países en la lista de GAFI.
Los procedimientos también pueden proveer pasos específicos a seguir para identificar NSMs a través del análisis de la extracción de efectivo (por ejemplo, un procedimiento puede decirle al analista que examine actividad de extracción de efectivo de más de US$10.000 cada jueves como un modo de identificar la conversión de cheques a efectivo que el banco no conoce).
4. Probando procedimientos y controles
Las auditorias necesitan también enfocarse en los procesos operacionales y controles que son la base del programa ALD. Muchas veces las auditorias internas consisten en la revisión de políticas y procedimientos. Por supuesto que sigue siendo importante validar que las políticas y procedimientos por escrito son acordes a los riesgos presentados por los productos, servicios, clientes y locaciones de las operaciones de la institución, pero un testeo detallado es necesario para determinar el cumplimiento verdadero.
Por ejemplo, dentro del proceso de apertura de cuenta, una auditoria debe revisar y testear el cumplimiento con los requerimientos del programa de identificación del cliente, diligencia debida y diligencia debida mejorada, y de evaluación de riesgo. La única forma de hacer esto es tomar muestras de los archivos de clientes para determinar si los procesos requeridos por el programa ALD se siguieron. Sería prudente tomar muestras de los archivos de los clientes que presentan un riesgo mayor al lavado de dinero y financiación del terrorismo – una razón más por la cual es tan importante tener una evaluación de riesgo anterior al comienzo de una auditoria.
Otro ejemplo de testeo sería seleccionar archivos de investigaciones ALD para determinar si contienen explicaciones por escrito apoyando la decisión de la institución en cuanto a completar o no un IAS y para determinar si los archivos de la investigación proveen evidencia documentada para apoyar la decisión. Simplemente leer un procedimiento de cómo una institución debe conducir una investigación y compararlo con el manual de examen del Consejo Federal de Examinación de Instituciones Financieras (FFIEC por sus siglas en inglés) no es suficiente; se necesita realizar testeo.
El testeo de controles diseñados para asegurar el cumplimiento efectivo de procedimientos ALD/LSB es tan vital como el testeo de transacciones.
Procedimientos bien escritos y ejecutados debe tener controles para asegurar que las acciones que buscan los procedimientos son realizadas como se requiere. Por ejemplo, un procedimiento puede requerir los archivos de todas las sucursales de ventas de instrumentos monetarios mayores a US$3.000 y que se envíe todas las semanas a una unidad de monitoreo. Como parte de la auditoria interna, el auditor debe obtener del sistema del banco la lista de transacciones con instrumentos monetarios realizadas en un mes. Luego, puede seleccionar una muestra de aquellas mayores a US$3.000 y compararlas a los reportes de las sucursales para asegurarse que fueron archivadas como requería el procedimiento. Sin este nivel de testeo, el nivel de cumplimiento con las políticas y procedimientos de la institución será desconocido.
5. Documentación del trabajo
Es esencial que en cada una de las áreas de auditoria haya una adecuada documentación del trabajo, los hallazgos resultantes de esas tareas, y la evidencia necesaria para respaldar las conclusiones de un auditor.
Es esta documentación del trabajo la que un examinador revisará para determinar si la auditoria fue adecuada. Si la documentación está incompleta, o no está en orden, o cuestiona a la auditoria, es muy probable que el examinador encuentre que la culpa se encuentra en el proceso de revisión independiente.
Además de demostrar un trabajo malo, la documentación de una auditoria pueden llevar a un reporte de auditoria incompleto y no permitir a la dirección entender las deficiencias del programa de cumplimiento.
6. Reportaje a directivos
El reportaje de los resultados de una auditoria ALD a los directivos y Junta Directiva es absolutamente indispensable. Los reportes de auditorias deben revelar áreas débiles y proveer suficiente detalle respecto a porqué son débiles para que los directivos, líneas de negocios, cumplimiento y la junta directiva puedan tomar decisiones informadas sobre dónde enfocar su tiempo y esfuerzos.
Sin un reporte adecuado a estas partes, los problemas detectados en la auditoria no serán corregidos, seguramente empeorarán y por lo tanto expondrán a la institución a multas.
7. Seguimiento de temas
Proveer de resultados de auditorias honestos y a veces severos, requieren que los directivos ejecuten planes de acción correctiva para solucionar las deficiencias. El trabajo de un auditor no termina aquí. Los auditores deben asegurarse de que siguen el progreso de los directivos con el plan de acciones correctivas y testear los resultados del programa de mejora que se está implementando.
Este proceso de revisión continua va a hacer al programa ALD mucho más fuerte todo el año y sirve para poner el énfasis correspondiente en la importancia de un programa de mejora continua.
8. Auditores experimentados
Por último, nada de lo que es descrito aquí como necesario para conducir una auditoria interna efectiva es posible si los que realizan la revisión no tienen la experiencia necesaria.
A menudo los auditores son banqueros que pueden no tener el tipo de especialización necesaria para el ambiente regulatorio ALD de hoy.
Desafortunadamente, leer el Manual de examinación de FFIEC y guías regulatorias no es suficiente para que empleados y directivos de una empresa realicen una auditoria adecuada. Encontrar las personas indicadas con experiencia profunda en ALD/LSB necesita ser una prioridad de cada grupo de auditoria interna.
Si estos ocho elementos son incluidos en el programa de auditoria interna ALD/LSB de una institución es muy probable que su institución no vaya a caer en el mismo destino que tantas otras instituciones financieras han caído en los últimos tres años.
