Regulador clave de EE.UU. preocupado por varias falencias en los controles ALD y de ciberseguridad de los bancos del país

by  Publicado pordlabori@acfcs.org -

Por Brian Monroe
29 de julio de 2015

El regulador federal de los bancos más grandes y complejos de EE.UU. le pondrá más atención el próximo año a áreas clave de los programas contra la delincuencia financiera, tales como la forma en que los bancos atraen, colocan y preparan a los profesionales en las áreas de cumplimiento; cómo identifican y evalúan los riesgo; y cómo se protegen de las amenazas de ciberataques.

La Oficina Contralor de la Moneda (OCC, por sus siglas en inglés), que depende del Departamento del Tesoro de EE.UU., presentó sus preocupaciones en torno a lucha contra el lavado de dinero, la ciberseguridad y una gama de otros programas para los bancos grandes y pequeños en su reporte titulado Semiannual Risk Perspective (Perspectiva de Riesgo Semestral) que fue publicado hace dos semanas.

El documento de 41 páginas le estaría indicando a toda la industria dónde los examinadores harán un escrutinio adicional debido a las preocupaciones de que algunos bancos – especialmente los más grandes y sofisticados que operan en múltiples jurisdicciones – no tienen estructuras de gobernanza y control del riesgo de delitos financieros adecuados para impedir la entrada de dinero de lavadores, estafadores o políticos corruptos.

El documento presenta fallas de alto calibre por parte de la agencia, como la multa de US$ 1.900 millones contra HSBC por la que la OCC debió presentarse ante el Congreso en 2012 y se comprometió rápidamente a realizar cambios, tales como no permitir que los bancos cuenten con muchos asuntos informales que requieren atención (informal matters requiring attention, MRAs), formalizar muchas de las medidas informales, y hacer de las infracciones por delitos financieros una violación que podría afectar las tasas de seguro de depósitos.

En general, el número de acciones formales ALD se ha «mantenido constante» en los últimos años, entre 10 y 16 desde 2010, mientras que las sanciones monetarias se han multiplicado, pasando de US$ 5,2 millones en 2010 a US$ 552 millones en 2013 y US$ 351 millones en 2014, y una caída a seis medidas y sanciones acumuladas en US$ 500.000 en lo que va de 2015.

El informe pone de relieve tendencias muy preocupante en los bancos, incluyendo el hecho de que algunos están «asumiendo riesgos adicionales por la expansión hacia nuevos productos, menos familiares, o de mayor riesgo sin la adecuada debida diligencia o gestión y control de riesgos».

Las falencias en los programas contra el crimen financiero que destaca el reporte de la OCC –tales como la captura y retención del empleados clave, la alineación del monitoreo con los riesgos y la reducción de los costos sin sacrificar los controles— son «cuestiones perennes, pero el regulador los está destacando porque se están volviendo cada vez más difíciles de resolver» señala Marie Kerr, una consultora en temas ALD y experta en sistemas.

En el entorno actual de muchos grandes bancos nacionales y extranjeros que se encuentran bajo medidas de aplicación de ley, los reguladores le están prestando especial atención a los profesionales que los bancos están contratando en el área antilavado de dinero y cuáles son sus calificaciones, agrega Kerr..

«En este momento, es difícil encontrar personas que sepan de temas ALD, fraude y sistemas», dice Kerr. «He hecho mucho trabajo con los grandes bancos, y éstos ubican a gente equivocada en ciertas áreas de los programas. Entiendo que todo el mundo tiene su lugar, pero para resolver un problema tan inmenso [como la delincuencia financiera], se necesita todo el talento disponible» y que se comprendan varias disciplinas.

Además, el regulador señala que debido a un «entorno operativo desafiante», algunas instituciones están eludiendo sus obligaciones ALD en un intento por aumentar las ganancias y no están buscando hacer frente a los riesgos de manera integral, lo que lleva a una falta de supervisión clave en las zonas de alto riesgo, incluyendo:

  • Algunos bancos están reduciendo los gastos mediante la reducción de las funciones de control, la salida de negocios menos rentables, el cierre de oficinas y la tercerización de funciones de control críticas sin establecer adecuados procesos de gestión de riesgos.
  • Como parte de su estrategia para hacer frente a la competencia y reducir los gastos, los bancos están aprovechando la tecnología como el uso de la nube y la banca móvil, que pueden aumentar la exposición al riesgo tecnológico y operacional.
  • Como resultado, por el lado de la seguridad cibernética, los examinadores revisarán los programas de los bancos para evaluar y mitigar la exposición y el riesgo al ciberdelito, incluyendo evaluaciones de la protección de datos y de la red, riesgos de proveedores y el cumplimiento de cualquier nueva guía o requisito normativo.
  • La planificación de la sucesión de la gerencia, atraer a los profesionales adecuados, y retener personal experimentado clave son crecientes preocupaciones para muchos bancos, sobre todo en las áreas de crédito, antilavado de dinero, cumplimiento, gestión de riesgos de la empresa, y auditoría interna.

Por el lado de la delincuencia financiera, la OCC quiere ver programas que «evolucionen continuamente para abordar el cambio de perfiles de clientes, esquemas avanzados de lavado de dinero, el rápido ritmo de la evolución tecnológica y el riesgo global del lavado de dinero y el financiamiento del terrorismo”.

No es ninguna sorpresa que la agencia se enfoque en el papel que juegan terceros en ciertas falencias y problemas ALD o de ciberseguridad.

Porque el hecho de que los bancos tercericen obligaciones ALD, servicios de atención al cliente o gestión de datos, puede facilitar a los delincuentes explotar debilidades y hackear  los sistemas a través de protocolos de seguridad laxos que no dependan del propio banco, pero que dan acceso a través de portales de terceros o sistemas endebles, señala Kerr.

«Algunos bancos no se dan cuenta que siguen siendo responsables de los riesgos que tercerizan, incluso si el error es hecho por el tercero», y agrega que los grupos criminales de piratería informática son cada vez más creativos, inteligentes y sofisticados y están buscando activamente vulnerabilidades en este tipo de relaciones para llegar a las cuentas bancarias y los datos del cliente.