En una revisión antilavado crítica de un banco de mediano tamaño, los examinadores admitieron haber tenido dificultades para entender cómo funcionaba el sistema de monitoreo de transacciones.
Virtualmente ninguna de la información necesaria para su revisión –los tipos de cuentas y transacciones a ser analizadas, los borradores de minutas, las falencias identificadas en la revisión—estaba disponible. Los documentos referidos a decisiones reposaban en los estantes de la Oficina de Administración de Proyectos (OAP).
Y se habían tomado decisiones desastrosas. El sistema de monitoreo de transacciones era alimentado con los datos de las transacciones del sistema de depósitos, y no podía ser más efectivo que la información que había sido enviada al mismo. Era posible establecer el sistema de manera que la totalidad de algunas cuentas – por ejemplo, empleados, – estuviera completamente excluida del monitoreo.
Facilidad para eludir la detección
Algunas cuentas individuales habían sido asignadas a su propio tipo de cuenta único, lo que facilitaba pasar por alto específicas cuentas de gente de altos ingresos y de embajadas. Algunas decisiones críticas que fueron tomadas durante el curso de la implementación no eran totalmente comprendida por aquellos que debían realizar la supervisión interna y externa, y de hecho, algunos clientes estaban volando por debajo del radar de supervisión y control.
Para agregar confusión a la situación, el sistema de monitoreo, considerado la piedra fundamental del programa de cumplimiento del banco, no estaba relacionado de manera efectiva con el plan de administración de riesgo.
Cualquiera que estuviere observando desde afuera se vería en apuros al tratar de comprender cómo se relacionaban las políticas y procedimientos de la Ley de Secreto Bancario y “Conozca su Cliente” con el sistema automático de monitoreo de transacciones, porque no se habían actualizado los manuales para reflejar la realidad del nuevo sistema.
Necesidad de una “arquitectura” esquemática
Este banco no contaba con el panorama global sobre qué era cumplir con las regulaciones antilavado. Lo que necesitaba era una interpretación “arquitectónica” de todos los componentes de un programa de cumplimiento –desde los elementos más básicos- que vincularan al examinador fácilmente y de manera efectiva con la realidad de la acción realizada por la institución.
Hoy en muchas organizaciones, la biblioteca de la OAP ha sido reemplazada por un sistema de administración de contenido de la empresa (ACE). En los sistemas ACE, el conocimiento es administrado a través del uso compartido de la información institucional mediante el uso de tecnología con capacidad para operar en la red. Las redes Intranet –los sitios seguros y privados de una compañía— pueden ser utilizadas por empleados y examinadores para acceder a la información corporativa, por ejemplo, podría accederse al plan de administración de riesgo como un documento electrónico con nexos incluidos que permiten llegar a los detalles del mismo.
Buscando claridad del sistema
Un plan de administración de riesgo bien preparado, uno creado con el objetivo de lograr transparencia de la organización y del sistema, define no solamente qué pasos deben tomarse para cumplir con las regulaciones, sino también cómo y quién en cada nivel, asegurando la claridad y responsabilidad de cada uno en cada nivel.
Los documentos electrónicos contienen nexos incluidos relacionados con otros sitios o documentos y son muy útiles para comprender de manera rápida todo el panorama referido al cumplimiento.
Cuando usted presiona en el nexo a IT (información tecnológica), va a aparecer una leyenda describiendo el rol de IT en el cumplimiento de la Ley de Secreto Bancario, y un diagrama de los sistemas que son parte de la actividad de monitoreo.
La leyenda explicará cómo funciona el sistema de monitoreo de transacciones, y si presiona más veces, se encontrará con otros documentos que tendrán nexos incluidos al nudo central de cómo se implementó el sistema.
Nexos a explicaciones claves
Las opciones pueden incluir desde tipos de cuentas monitoreadas y tipos de cuentas no monitoreadas. Al presionar sobre éstas, el examinador tendrá acceso a una lista completa de los tipos de cuentas que el banco ha elegido monitorear y a otra lista referida a aquellas cuentas sobre las que se ha decidido no hacerlo. Los documentos Intranet sirven como una herramienta de auditoría y permiten a los examinadores conocer a fondo las funciones de la organización, los sistemas manuales y automáticos, incluso los elementos de la información, llevando así a la creación de escenarios de pruebas del sistema. La implementación de un programa antilavado es un proceso cuidadoso y estudiado para definir los elementos – sistemas, datos, procesos y gente – que son los elementos del cumplimiento.
Un enfoque arquitectónico, aquél que resiste las demandas de los auditores externos, se traducirá en objetivos de cumplimiento definidos claramente y en sistemas de auditoría de fácil aplicación. Dado que mucho del cumplimiento se basa en sistemas automatizados, es de suma importancia que los gerentes de riesgo y los examinadores conozcan cómo fueron configurados los sistemas. Los documentos OPA o ACE tienen la llave del cumplimiento. Ellos definen cuáles cuentas y transacciones son monitoreadas, quién toma las decisiones, y cómo funciona el proceso.
Marie Kerr, [email protected], es Asesora Principal de The Shamrock Consulting Group, compañía de consultoría sobre antilavado e IT. También fue co-fundadora de Shamrock Systems Corp. y ha desempeñado tareas en el Banco Riggs y en ACI Worldwide.
