El riesgo de cumplimiento ALD es alto debido a la tecnología, los desafíos criptográficos, la defensa cibernética y la resiliencia, según la OCC

Facebooktwittergoogle_plusredditlinkedinmail

El riesgo de delitos financieros sigue siendo alto, ya que los delincuentes, los lavadores y los terroristas continúan explotando brechas en las defensas internacionales, mientras que al mismo tiempo los reguladores también ven una debilidad persistente relacionada con las evaluaciones de riesgo de cumplimiento, el monitoreo de transacciones y la toma de decisiones, la precisión y la profundidad de reportes relacionados con actividades sospechosas.

Estos son solo algunos de los hallazgos de la última Perspectiva de Riesgo Semestral de la Oficina del Contralor de la Moneda (OCC) del Tesoro de EE.UU., que abarca el segundo trimestre de 2019. Los reguladores han aprobado las mejoras relacionadas con la tecnología contra lavado de dinero realizadas por los bandos y el hecho ser más hábiles y proactivos para ajustar los recursos a fin de contrarrestar mejor las áreas de mayor riesgo.

Algunos de los resultados:

Actualización de cumplimiento ALD: el riesgo de cumplimiento relacionado con la Ley de Secreto Bancario / ALD (BSA / AML) sigue siendo alto. Los bancos tienen el reto de gestionar eficazmente los riesgos de lavado de dinero en un entorno operativo y regulatorio global complejo y dinámico.

  • La gerencia de los bancos deben reevaluar periódicamente y ajustar los sistemas de administración de riesgos de cumplimiento BSA / AML de acuerdo con el riesgo asociado con sus productos, servicios, clientes y presencia geográfica.
  • La actividad de transacciones ilícitas ya no se asocia solo con productos y servicios financieros tradicionales. Las monedas virtuales y los activos criptográficos presentan nuevas vulnerabilidades que los delincuentes también pueden explotar.
  • La OCC ha identificado mejoras en los sistemas de gestión de riesgos BSA / AML de los bancos, incluidas las evaluaciones de riesgos, políticas y procedimientos, y los controles asociados.
  • Las mejoras identificadas son generalmente proporcionales a los cambios en los perfiles de riesgo asociados con el crecimiento (orgánico y mediante fusiones y adquisiciones), la introducción de nuevos productos y servicios, cambios sustanciales en el volumen o tipos de clientes y aumentos significativos en el volumen de transacciones.
  • Si bien las tendencias generales han sido positivas, las deficiencias relacionadas con BSA / AML identificadas por la OCC se derivan de tres causas principales: la debida diligencia inadecuada de los clientes, la insuficiente identificación de riesgos de los clientes y los procesos ineficaces relacionados con el monitoreo y reporte de actividades sospechosas, incluyendo la precisión de las presentaciones de reportes de actividades sospechosas.
  • La adquisición de talento y la retención de personal para administrar los programas de cumplimiento BSA / AML y las operaciones asociadas presentan continuos desafíos, particularmente en bancos regionales más pequeños.

Actualización de sanciones: La OCC revisa los sistemas de los bancos para administrar los riesgos relacionados con el cumplimiento de los programas de sanciones económicas y comerciales de EE.UU. administrados y ejecutados por la Oficina de Control de Activos Extranjeros (OFAC), y algunas instituciones encuentran que este es un gran desafío.

  • La complejidad de los requisitos subyacentes a estos programas plantea desafíos para algunos bancos.
  • Es importante que los bancos mantengan políticas y procedimientos efectivos para evaluar la Lista de Nacionales y Personas Bloqueadas Especialmente Designadas de la OFAC y otras listas de sanciones.
  • Las gerencias de los bancos deben tener procesos para revisar y monitorear con diligencia las prohibiciones integrales en los programas de sanciones sectoriales y geográficos, así como los basados en listas, para administrar de manera efectiva el cumplimiento asociado y los riesgos operativos.

Actualización cibernética: las amenazas cibernéticas continúan apuntando a las vulnerabilidades en los sistemas bancarios y de terceros.

  • Dependiendo de sus objetivos, los actores malintencionados pueden tratar de exponer u obtener grandes cantidades de información de identificación personal y propiedad intelectual, facilitar la apropiación indebida de fondos y datos, información corrupta e interrumpir las actividades comerciales.
  • Si no se mantienen los controles adecuados de ciberseguridad, tanto a nivel interno como para los proveedores de servicios externos, se pueden producir impactos adversos importantes en un banco o en un grupo de bancos, con actividades interdependientes que afectan al sector financiero en general, si los ataques tienen éxito.
  • Los bancos generalmente responden bien a eventos cibernéticos comunes, pero los actores criminales continúan mejorando sus herramientas y tácticas, lo que requiere que los bancos reevalúen y validen continuamente sus controles de seguridad cibernética.
  • La ingeniería social, como el spearphishing, es el método principal para atacar a los bancos, y los actores refinan continuamente las tácticas para apuntar al personal clave con acceso a información altamente sensible.
  • La capacitación y las pruebas de concientización del usuario son esenciales para reducir el riesgo de acceso no autorizado y prevenir violaciones/filtraciones. La implementación de mecanismos de autenticación sólidos para evitar que los actores maliciosos obtengan acceso a sistemas bancarios o información es otro control clave.
  • Acceso al sistema por personal con acceso privilegiado, como los administradores de sistemas y de bases de datos; aquellos con acceso a información confidencial de clientes y corporativos, como personal de cumplimiento y recursos humanos; y el personal con la capacidad de mover fondos deben estar cubierto por controles robustos, incluida una autenticación sólida.
  • El uso de software y hardware desactualizados o sin respaldo por parte de los bancos y sus terceros es otra vulnerabilidad común que puede ser explotada.
  • Un proceso sólido para administrar los sistemas e inventarios de software y un ciclo de vida de desarrollo de sistemas sólido que requiera mantenimiento regular, actualizaciones oportunas y disposición para el final de la vida útil son importantes para protegerse contra esta vulnerabilidad.
  • Además, la identificación de los proveedores que pueden tener acceso a los sistemas de control y datos y que realizan operaciones clave es importante para proteger a toda la empresa.

Este reciente informe de la OCC se hace eco de muchos de los problemas, desafíos y tendencias destacados en misivas anteriores, incluidos los bancos con enormes desafíos para determinar la calificación de riesgo de los clientes, el monitoreo y el reporte sobre comportamientos sospechosos, junto con el creciente flagelo de las incursiones cibernéticas.

Algunas de las actualizaciones clave en la última perspectiva de riesgo incluyen un cambio general en el tono de la OCC, instando a los bancos a dirigir un llamado a la innovación de la industria y prepararse para una revisión más rigurosa de las nuevas obligaciones para captar mejor los detalles de propiedad beneficiosa para ciertas empresas.