Oficiales de cumplimiento se muestran renuentes a la obligación de “certificar” la eficacia de los controles

Por Brian Monroe
8 de Diciembre de 2015

Es probable que se arme una resistencia en Nueva York contra la implementación de una nueva propuesta que requiere que los oficiales de cumplimiento senior o en las altas esferas en las instituciones financieras certifiquen por escrito que los sistemas complejos que utilizan para detectar el lavado de dinero, el terrorismo y otros delitos son eficaces y suficientes.

Los cambios propuestos fueron dados a conocer la semana pasada por el gobernador Andrew Cuomo, donde las instituciones financieras cuentan con un período de 45 días para presentar sus observaciones. Si la propuesta se convierten en ley, algunos profesionales de cumplimiento de delitos financieros están preocupados de que estas nuevas obligaciones creen redundancias en los programas, afecten aún más los bajos presupuestos y eleven los costos ya que algunas de las iniciativas estatales parecen ir más allá de las normas y directrices federales contra el lavado de dinero.

También es cierto que las normas propuestas pueden eliminar algunas de las conjeturas sobre los sistemas de monitoreo y filtro, debido en gran parte a su particularidad prescriptiva.

En términos generales, las nuevas reglas pondrían mayor escrutinio sobre los sistemas de filtro y monitoreo de transacciones que los bancos utilizan para detectar delitos financieros, personas sancionadas y otros grupos que pueden encontrarse en listas negras. Las nuevas propuestas de normativa también hacen hincapié en una mayor atención regulatoria en el proceso de toma de decisiones de los profesionales que analizan alertas, y la calidad y exactitud de los datos subyacentes que fluyen a través de los programas. Para leer una copia de las normas propuestas por favor haga clic aquí.

Si se determina que la certificación por parte de un oficial de cumplimiento es falsa o inexacta, ese individuo podría enfrentar sanciones penales.

Dependiendo de cómo se aplican las reglas propuestas, podrían duplicar esfuerzos y sumar mucho tiempo de trabajo, señaló Nicole Bocra, directora de Infinity Investigative Solutions y ex investigadora especial de FINRA.

Las normas propuestas podrían «ser un gran problema y un costo añadido,» a escuálidos presupuestos de cumplimiento, dijo, y agregó que muchos detalles clave aún no están claros, lo que lleva a la incertidumbre.

Por ejemplo, no se sabe si estos métodos más rigurosos para probar los sistemas de transacción y pruebas se pueden realizar en forma conjunta o a la par de la auditorías estándar de los delitos financieros –  que en la actualidad es una de las cuatro patas del programa ALD – o si estas nuevas evaluaciones deben ser iniciativas independientes, que podrían demandar aún más recursos, dijo Bocra.

En relación con las sanciones, las nuevas normativas obligarían a contar con un programa de filtrado de lista de vigilancia para incluir la OFAC y otras listas de sanciones, listas de personas políticamente expuestas, y las listas de vigilancia interna. Bocra señala que el término «listas de otras sanciones» no es descriptivo y no está claro si un banco deberá incluir listas de sanciones emitidas por gobiernos extranjeros.

Firmar en la línea punteada

Algunos profesionales en el campo de los delitos financieros creen que sus directores de cumplimiento o CCO –Chief Compliance Officers—resistirán los cambios.

Incluso si se promulgan las nuevas normativas, «dudo que cualquier CCO quiera certificar algo por escrito», dijo un oficial de cumplimiento de un gran banco en Estados Unidos, que pidió no ser identificado. «Estoy seguro de que habrá mucha resistencia por parte del sector privado».

«No creo que ningún CCO quiera certificar voluntariamente que sus herramientas de monitoreo y filtración son perfectas».

La propuesta fue acelerada por los atentados de ISIS en París el mes pasado, donde murieron más de 120 personas, pero es principalmente una respuesta al Departamento de Servicios Financieros del Estado de Nueva York de (NYDFS) que encontró brechas significativas en los programas contra la financiación del terrorismo, sanciones y programas de cumplimiento ALD de los grandes bancos internacionales en los últimos cuatro años.

Como resultado de estas investigaciones, el regulador estatal ha «descubierto (entre otras cuestiones) graves deficiencias en los programas de filtrado y monitoreo de transacciones de estas instituciones y que la falta de una gobernanza sólida, supervisión y rendición de cuentas en los niveles superiores de estas instituciones ha contribuido a estas deficiencias», según el comunicado emitido por la oficina del gobernador Cuomo.

Normativa estatal más dura que la federal

Los inminentes requisitos para validar la integridad, exactitud y calidad de los datos en los sistemas a primera vista parecen ir «más allá de lo que los bancos ya están obligados a hacer», señala Bocra.

Actualmente los bancos están obligados a realizar una debida diligencia del cliente y obtener información del mismo –dentro del marco conozca su cliente—que se utiliza para realizar una evaluación de riesgo del cliente. Esta evaluación luego es incluida en el sistema de monitoreo de transacciones.

Las cifras por lo general se actualizan si la actividad transaccional para un cliente determinado desata protocolos de alerta, si el banco presenta un informe de actividad sospechosa de un cliente, si el cliente es nombrado en una acusación o una citación de comparendo o si los reguladores le piden al banco que revise y actualice la clasificación de riesgo de sus clientes en su totalidad o ciertos tramos, ponderados por riesgo.

Pero los bancos por lo general no están obligados a reconfirmar constantemente datos sobre clientes y transacciones. Tales actualizaciones se realizan desde un enfoque basado en el riesgo y podrían estar en diferentes ciclos de auditoría que se extienden desde unos pocos meses hasta varios años.

Además, podría haber algunos obstáculos logísticos como parte del cumplimiento de las nuevas obligaciones. No hay método infalible para atrapar y prever todos los errores que se podrían encontrar en la instalación de complejos sistemas que pueden tomar meses o años en completarse, dijo Bocra.

A continuación algunos detalles en la nueva propuesta que sería particularmente exigente para las instituciones o podría causar problemas en la aplicación:

Mantener un programa de monitoreo de transacciones. Cada institución regulada mantendrá con el propósito de monitorear transacciones después de su ejecución por posibles violaciones de las leyes antilavado de EE.UU. y el incumplimiento de los Informes de Actividad Sospechosa. El sistema puede ser manual o automático, y deberá contar, como mínimo, con los siguientes atributos:

–Incluir de punta a punta y de pre a post implementación pruebas del programa de monitoreo de transacciones, incluyendo gobernanza, mapeo de datos, codificación de transacciones, lógica de escenario de detección, validación de modelos, entrada y salida de datos del programa, así como las pruebas periódicas.

–Incluir protocolos de investigación que detallen cómo se investigarán las alertas generadas por el programa de monitoreo de transacciones, el proceso para decidir qué alertas se traducirá en una presentación u otro tipo de acción, quién es el responsable de tomar tal decisión, y cómo se documentará el proceso de investigación y de toma de decisiones.

–Quedar sujeto a un continuo análisis para evaluar la relevancia de los escenarios de detección, las reglas subyacentes, valores de los umbrales, parámetros y supuestos.

Mantener un Programa de Filtrado de Listas. Cada institución mantendrá un programa con la intención de prohibir transacciones antes de que ocurran, incluyendo listas de OFAC y otras sanciones, listas de las personas políticamente expuestas, y listas de vigilancia interna. El sistema puede ser manual o automático, y deberá contar, como mínimo, con los siguientes atributos:

–Incluir de punta a punta y de pre a post implementación pruebas del programa de filtro de listas de sanciones, incluyendo mapeo de datos, una evaluación sobre los riesgos para la institución de los parámetros de las listas de sanciones y umbrales, la lógica de la tecnología o herramientas de comparación, validación de modelos, entrada de datos salida del programa de listas.

–Utilizar listas que reflejen requisitos legales o regulatorios actualizados

–Quedar sujeto a un continuo análisis para evaluar la lógica y resultados de la tecnología o herramientas para encontrar nombres y cuentas, así como los parámetros de umbrales y listas para ver si van acorde con los riesgos de las instituciones.

Requerimientos adicionales. Cada programa de filtrado y monitoreo de transacciones deberá, como mínimo, requerir lo siguiente:

–La validación de la integridad, exactitud y calidad de los datos para asegurar que solo datos exactos y completos fluyen a través del programa de filtrado y monitoreo de transacciones.

–Fondos para designar, implementar y mantener un programa de filtrado y monitoreo de transacciones que cumpla con los requisitos de esta parte.

–Personal calificado o consultor externo responsables del diseño, planificación, ejecución, operación, pruebas, validación y análisis en curso, del programa de filtrado y monitoreo de transacciones, incluyendo los sistemas automatizados si procede, así como la gestión de casos, revisión y toma de decisiones con respecto a las alertas generadas.

Ninguna institución regulada puede realizar cambios o modificaciones en el programa de filtrado y monitoreo de transacciones para evitar o minimizar la presentación de informes de actividades sospechosas, o porque la institución no cuenta con los recursos para revisar la cantidad de alertas, o para evitar otra manera cumplir con los requisitos regulatorios.