El máximo regulador financiero de Nueva York presenta obligaciones sobre monitoreo de transacciones, pero da marcha atrás con la certificación del OC

by  Publicado porACFCS -

Por Brian Monroe
12 de julio de 2016

El regulador de servicios financieros de Nueva York publicó nuevas regulaciones relacionadas con la creación, pruebas y actualización de los sistemas para el monitoreo transaccional y de screening –o seguimiento– de sanciones, pero dio marcha atrás en una propuesta para obligar a los oficiales de cumplimiento a certificar por escrito la eficacia de estos sistemas para la detección de delitos financieros.

La versión final de las regulaciones, emitidas por el Departamento de Servicios Financieros de Nueva York (NYDFS, por sus siglas en inglés) llama a los bancos regulados a adoptar un enfoque basado en el riesgo dentro de sus sistemas de lavado de dinero y contra el financiamiento al terrorismo, que les permita monitorear transacciones sospechosas, crear alertas para futuras investigaciones por el equipo de cumplimiento y hacer filtrados de individuos y entidades sancionadas, entre otros objetivos.

En términos generales, las nuevas reglas ponen un mayor escrutinio en los sistemas de monitoreo transaccional y del filtrado que se utilizan para detectar delitos financieros, personas sancionadas y otros grupos dentro de las “listas negras”. Las reglas evidencian un mayor enfoque regulatorio en los procesos de tomas de decisión de los ejecutivos encargados de analizar las aletas, y la calidad y veracidad de la información y datos que fluyen a través de los programas.

“El requisito de certificación, así como la eficacia del mapeo de las obligaciones específicas que las instituciones deberán de verificar, son pasos que nos llevan desde el cumplimiento general hacia métricas de cumplimiento cuantificables, a la que una creciente lista de agentes, no solo las entidades, tendrá que rendir cuentas” dijo Jorge Guerrero, CEO de Optima Compass Group, una consultoría de cumplimiento en delitos financieros con sede en Austin, Texas.

“Esto cambiará drásticamente el enfoque de cumplimiento de varias instituciones y requerirá que el cumplimiento ALD sea un componente integral del proceso de toma de decisiones de la administración, no solo una reflexión”, mencionó Guerrero.

El regulador expuso que, en los últimos cuatro años, examinadores e investigadores habían participado en un amplio análisis de los sistemas ALD y que encontraron grandes deficiencias, al mismo tiempo que dejaron algunas de las sanciones relacionadas con el cumplimiento de delitos financieros más grandes en la historia, cerca de los cientos de millones de dólares.

Como resultado de estas investigaciones, la NYDFS relevó “graves deficiencias en los programas de monitoreo transaccional y de filtrado y atribuyó estas deficiencias a la falta de un gobierno corporativo sólido, supervisión y de transparencia en los niveles superiores”.

“Las instituciones financieras que hagan negocios en Nueva York deberán hacer todo lo posible para ayudar a contener la marea de transacciones financieras ilegales que financian actividades terroristas” dijo la encargada de la Superintendencia de Servicios Financieros, Maria Vullo en un comunicado que acompañó la publicación de las reglas finales.

La regulación final sigue una estructura muy similar a la propuesta en diciembre– tomando como modelo la ley Sarbanes-Oxley- que habría requerido que el CCO (Chief Compliance Officer) o un funcionario equivalente, certificara anualmente que su institución contaba con “sistemas suficientes para detectar y evitar transacciones ilícitas”. Para leer una copia de las reglas propuestas, haga clic aquí.

Si más tarde se encontraba que los sistemas certificados eran inadecuados, el CCO se habría expuesto a responsabilidades civiles y podría quedar expuesto a sanciones penales.

Los profesionales de cumplimiento en todos los niveles y en todas las tendencias criticaron rotundamente la propuesta por diversos motivos. El hecho de que un empleado o analista de menor rango tome una decisión equivocada, o que algún proveedor de sistema no instale correctamente algo o que falle en validar alguna pieza del código tecnológico podría provocar la persecución penal de CCO.

Por ejemplo, la Asociación de Banqueros Americanos (ABA, por sus siglas en inglés), un poderoso grupo de presión bancario, escribió en marzo un comentario en una carta de 12 páginas a la NYDFS en donde exponía que la iniciativa podría causar “confusión” y que los requerimientos eran inconsistentes y que en algunos casos podrían generar “conflicto” con los requerimientos ALD existentes.

Reglas menos estrictas, pero aun así cambia el escenario

El regulador de Nueva York, aparentemente prestó atención a las llamadas hechas por el sector bancario en busca de reglas más moderadas, haciendo cambios grandes y pequeños a la propuesta de la regla final. El mayor de estos cambios fue hacer opcional la certificación del CCO. La iniciativa también puede ser aprobada por el consejo de administración o junta directiva y cambió el nombre de “certificación” a “hallazgo de cumplimiento”.

A pesar de las modificaciones, serán difícil de implementar las nuevas reglas y pueden incrementar la responsabilidad del oficial de cumplimiento y su exposición a sanciones, dijo Guerrero.

“A pesar de que la certificación se diluyó un poco, está en línea con la sanción contra el ex oficial de cumplimiento de MoneyGram,” expuso Guerrero. “Es otro paso hacia la responsabilidad de las funciones oficiales que existen en algunas otras industrias. Es un cambio de juego”.

Las reglas basadas en riesgo adoptadas por el NYDFS toman en consideración las observaciones que fueron presentadas por la industria de servicios financieros y otras durante el período de comentarios extendido sobre el reglamento, que terminó el 31 de marzo de 2016.

Bajo las nuevas reglas, que serán efectivas a partir del primero de enero de 2017, las instituciones reguladas “están obligadas a revistar sus programas de monitoreo transaccional y de filtración y asegurarse de que han sido diseñados para cumplir con los principios basados en riesgo”, de acuerdo con la regla.

Las instituciones también deben, ahora a través de cualquiera de estas opciones, adoptar una resolución del consejo de administración o junta directiva o del oficial de cumplimiento para certificar el cumplimiento con la regulación del DFS a partir del 15 de abril de 2018.

La resolución o hallazgo “deberá indicar que los documentos, reportes y certificaciones y opiniones de los oficiales y otras partes relevantes han sido revisadas por el consejo o por un funcionario de alto nivel para certificar el cumplimiento de la regulación”, según el regulador.

Por otra parte, los bancos regulados deben “mantener para su revisión por el DFS todos los registros, programas y datos que soporten la adopción de la resolución del consejo o del hallazgo del oficial de cumplimiento por un período de 5 años”.

“Es hora de cerrar las brechas de cumplimiento en el marco de regulación financiera para acabar con las transacciones de lavado de dinero y eliminar los canales potenciales que pueden ser explotados por redes terroristas globales” dijo Vullo.

A continuación se muestra una comparación de los principios clave en la regla final y en qué se diferencian, en la mayoría de los casos siendo más moderada y menos estricta, con la regla propuesta, Los cambios, actualizaciones o supresiones están en negrillas y en cursiva.

Manteniendo un Programa de Monitoreo Transaccional

  • Cada Institución Regulada deberá de mantener un programa de monitoreo transaccional que razonablemente esté diseñado con el propósito de monitorear transacciones por potenciales violaciones ALD/CFT y reportes de actividades sospechosas, este sistema puede ser manual o automatizado y deberá incluir los siguientes atributos, en la medida en que sean aplicables:
    1. Debe de estar basado en la evaluación de riesgos de la institución. Sin cambios
    2. Revisarse y actualizarte periódicamente con intervalos considerando el riesgo y reflejar los cambios en las leyes ALD/CFT aplicables, los reglamentos y los avisos reglamentarios, así como cualquier otra información determinada por la institución que sea relevante desde sus programas e iniciativas. La propuesta original exponía que “reflejen todas las leyes ALD/CFT aplicables, regulaciones y alertas, así como cualquier información relevante disponible para el programa e iniciativas de la institución”,
    3. Hacer coincidir de manera apropiada los riesgos ALD/CFT con los negocios, productos, servicios, clientes y contrapartes de la institución. La propuesta original comenzaba con “un mapa de riesgos ALD/CFT”
    4. Detectar escenarios ALD/CFT con umbrales prestablecidos y montos designados para detectar posibles actividades de lavado de dinero o actividades sospechosas. Sin cambios.
    5. Realizar pruebas del programa de extremo a extremo, antes y después de su aplicación, incluyendo, en su caso, una revisión del gobierno corporativo, de la asignación de datos, de la codificación de las transacciones, de la lógica para detectar escenarios y la validación del modelo de entrada y salida de datos. La propuesta original no contenía las palabras “en su caso”.
    6. La documentación que articule los escenarios actuales de detección y los parámetros, así como los umbrales. La propuesta original exponía “incluir documentación fácil de entender”
    7. Los protocolos que establecen cómo las alertas generadas por el programa serán investigadas, el proceso para decidir qué alertas darán lugar a la presentación de un reporte u otra acción, las áreas y las personas responsables de tomar tal decisión y cómo el proceso de investigación y de toma de decisiones será documentado. Sin cambios
    8. Ser sujeto a un análisis continuo para medir la relevancia de la detección de escenarios, los montos de los umbrales, los parámetros y los supuestos. Sin cambios.

Mantener un Programa de Screening / Filtración

  • Cada institución regulada deberá mantener un programa de filtración, que podrá ser manual o automatizado, razonablemente diseñado con el propósito de impedir transacciones que están prohibidas por la OFAC, y que deberá de contener los siguientes atributos, en la medida en que sean aplicables:
    1. Debe estar basado en la evaluación de riesgos de la institución. Sin cambios.
    2. Tener como base tecnología, procesos o herramientas para coincidir nombres y cuentas, en cada caso tomando como base los riesgos particulares de la institución, sus transacciones y perfiles de productos. Sin cambios.
    3. Pruebas de extremo a extremo, antes y después de su implementación, incluyendo, según sea relevante, una revisión del cruce de datos, una evaluación para determinar si la lista de sanciones de la OFAC y los umbrales se ajustan a los riesgos de la entidad, la lógica de la tecnología de búsqueda o herramientas y la validación de modelos, así como los datos de entrada y salida del programa. Sin cambios.
    4. Ser sujeto a una revisión periódica para medir el desempeño y la lógica de la tecnología o herramientas de búsqueda de nombres y cuentas, así como la lista de sanciones de la OFAC y los umbrales para verificar si se encuadran al mapa de riesgos de la institución; Sin cambios.
    5. Documentación que articule la intención y el diseño de las herramientas del programa de filtrado, procesos o tecnología. La propuesta decía que la documentación tenía que ser “fácil de entender”
    6. Esta línea fue eliminada de la regla final: “Utilizar listas que reflejen los requerimientos legales y regulatorios aplicables”.

Requerimientos Adicionales

  • Cada programa de monitoreo transaccional y filtrado, requerirá lo siguiente, en la medida en que sea aplicable:
    1. Identificación de todas las fuentes de información que contengan información relevante. Sin cambios.
    2. Validación de la integridad, veracidad y calidad de la información para asegurar flujos de información confiable y completa a través del programa de monitoreo transaccional. Sin cambios.
    3. Extracción de información y procesos de carga de datos para asegurar una transferencia de información completa y confiable desde su fuente hasta los programas de monitoreo y filtración, si se utilizan sistemas automatizados. Sin cambios.
    4. Gobierno corporativo y vigilancia de la administración, que incluya políticas y procedimientos para los cambios de los programas y asegurar que estos cambios sean definidos, administrados, reportados y auditados. Sin cambios.
    5. Un proceso de selección de vendedores si se utiliza una tercera parte para adquirir, instalar, implementar o probar programas de monitoreo y filtración. Sin cambios.
    6. Financiamiento para diseñar, implementar y mantener un sistema de monitoreo transaccional y de filtrado que cumpla con los requerimientos de esta sección. Sin cambios.
    7. Personal calificado o consultores externos, responsables del diseño, planeación, implementación, operación, pruebas, validación y análisis continuo de los programas, incluyendo los sistemas automatizados, si aplica, así como el manejo de casos, la revisión y la toma de decisiones con respecto de las alertas y los reportes potenciales. Sin cambios.
    8. Entrenamiento periódico a todas las partes interesadas con respecto al monitoreo transaccional y a los programas de filtración. La propuesta contenía “entrenamiento periódico de todos los interesados con respecto a …”
    9. La línea de la propuesta “Ninguna institución regulada podrá hacer cambios o alterar sus sistemas de monitoreo transaccional y de filtración para disminuir o evitar reportes de actividades sospechosas, o porque no cuenta con los recursos para revisar la cantidad de alertas, o para evitar el cumplimiento de los requisitos regulatorios”.

Resolución anual del consejo o hallazgos de cumplimiento

Para asegurar el cumplimiento de las obligaciones, cada institución regulada deberá aprobar y enviar a la superintendencia una resolución del consejo o un hallazgo de cumplimiento como el que se establece en el anexo A el día 15 de abril de cada año. Cada institución regulada deberá de mantener para su revisión todos los registros, cronogramas y datos que soporten la resolución o el hallazgo de cumplimiento por un periodo de 5 años.

El texto original de la propuesta decía “para asegurar el cumplimiento con los requerimientos, cada institución deberá de enviar al departamento, a más tardar el 1 de abril de cada año, las certificaciones realizadas por su oficial de cumplimiento o funcionario equivalente.