Resumen de 2015: las medidas y tendencias que marcaron el área de cumplimiento

by  Publicado porACFCS -

Por Brian Monroe
5 de diciembre de 2015

Si los oficiales de cumplimiento repasan el año pasado, hay varios temas clave que se pueden descubrir en varias acciones de ley y declaraciones informales por parte de los reguladores y los organismos de aplicación. Desde sanciones antilavado a medidas contra el fraude, sanciones por temas relacionados con la seguridad cibernética, 2015 sin lugar a dudas trajo una mayor presión para los equipos de cumplimiento.

Las habilidades necesarias de un profesional de cumplimiento, también se expandieron al mundo de la estadística cuantitativa y análisis predictivo.

Por ejemplo, en la conferencia de ACFCS 2015 en Nueva York en abril, los líderes de los equipos de cumplimiento señalaron que preferían oficiales de cumplimiento con conocimiento de informática y programación, un cierto grado de comprensión matemática y estadística, y conocimiento de finanzas.

Entendiendo cabalmente el poder de esos datos, las instituciones financieras pueden combinar elementos dispares, como los nombres que aparecen en artículos periodísticos, historial de las transacción y otros datos estructurados y no estructurados para hacer algo más que tomar la decisión de si a una persona se le debe negar una cuenta o la posibilidad de realizar un giro, sino también enviar información clave e inteligencia a las autoridades incluso antes que éstas sepan a qué instituciones pedir ayuda.

A continuación un resumen de DelitosFinancieros.org de algunas de las principales medidas y tendencias que tuvieron lugar durante el año; un panorama más amplio provee un matiz y contexto crítico  a complejos temas de cumplimiento.

Antilavado de dinero

Fue un año de primeras medidas ALD para FinCEN, la unidad de inteligencia financiera de EE.UU. –Financial Crimes Enforcement Network. La agencia emitió su primera penalidad en el sector de las monedas virtuales, su primera sanción contra un gran casino y su primera sanción contra un banco por no darse cuenta que ciertas transacciones estaban vinculadas a la corrupción judicial.

Hace muy poco, FinCEN emitió una sanción civil de US$ 200.000 contra un negocio de metales preciosos de Los Angeles, y contra su propietario y oficial de cumplimiento. La primera multa de la agencia en el sector de los metales preciosos, sin contar una pequeña penalización hace casi una década contra una pequeña joyería.

La agencia también se volvió más agresiva usando sus poderes en torno a las órdenes de focalización o ubicación geográfica para incrementar el escrutinio y presentación de informes en los ámbitos del comercio, la moda y automóviles blindados en estados como California y Florida.

Durante el año, FinCEN también dio a conocer nuevas propuestas, regulaciones finales y otras resucitadas, incluyendo una propuesta para exigir a las entidades financieras captar información sobre el beneficiario final, volver a poner sobre la mesa una iniciativa para exigir a los bancos y los remitentes de dinero obtener más información en los giros transfronterizos, y el bosquejo de obligaciones antilavado para varios actores en el sector de las inversiones, entre otras medidas.

Este año también se publicaron dos informes interinstitucionales clave sobre la delincuencia financiera que puso de relieve los riesgos y vulnerabilidades globales de EE.UU. frente al lavado de dinero y la financiación del terrorismo: US National Money Laundering Risk Assessment y su publicación allegada, US National Terrorist Financing Risk Assessment.

Corrupción

En agosto, The Bank of New York Mellon pagó casi US$ 15 millones para desestimar las acusaciones presentadas por la Comisión de Bolsa y Valores de EE.UU. (SEC) de que el bancó violó leyes federales antisoborno al conceder pasantías a familiares de funcionarios con lazos a un fondo soberano de Medio Oriente con más de US$ 50 millones en activos.

El regulador dijo que el banco no evaluó adecuadamente los miembros de la familia para su programa de pasantías, que por lo general es un proceso altamente competitivo y exigente. El banco, en cambio, optó por familiares para influir de manera corrupta a funcionarios del gobierno para obtener o mantener contratos asociados al fondo.

Tendencia: por el lado de los servicios financieros, los bancos llevan advertidos desde hace más de una década que deben estar atentos a una mayor presión por parte de la ley anticorrupción de EE.UU. (FCPA), pero han tenido poco que temer durante este período.

Eso cambió con la multa de casi US$ 15 millones en noviembre contra el banco BNY Mellon, que es tan solo la primera señal tangible de una incursión mucho más importante por parte de las fuerzas de ley en los servicios financieros y posibles actos de corrupción. JPMorgan Chase y cerca de una decena de otras instituciones financieras están siendo investigadas por posibles violaciones de la FCPA, señala un experto.

Antes de eso, en mayo, el FBI y el IRS presentaron cargos contra más de una docena de personas ligadas al órgano de gobierno del fútbol mundial, la FIFA, por fraude electrónico, asociación delictiva y lavado de dinero vinculados a la colusión con los ejecutivos de marketing deportivo. En marzo, el Departamento de Justicia de Estados Unidos anunció un acuerdo y confiscación por US$ 1,2 millones vinculados a los ingresos de corrupción del ex presidente coreano Chun Doo Hwan.

El año terminó con otra medida, esta vez en el Reino Unido.

En noviembre, ICBC Standard Bank, con sede en Londres, llegó al primer acuerdo de enjuiciamiento diferido en el país con la Oficina de Fraudes Graves (SFO) del Reino Unido por no haber impedido que una antigua compañía afiliada pagara sobornos por US$ 6 millones a funcionarios de Tanzania para obtener negocios de parte de un banco estatal.

La sanción multi-jurisdiccional y que involucró a varias agencias se tradujo en US$ 32,5 millones para la SFO, US$ 4,2 millones para la SEC de Estados Unidos y otros US$ 7 millones para el gobierno estadounidense. La acción pone de relieve los riesgos que representan empleados y otras personas con acceso a los sistemas e información interna y cómo éstos pueden evadir los controles de cumplimiento y la cuestión más amplia de cómo diseñar un programa transfronterizo para toda la empresa.

Sanciones

En marzo, Commerzbank, de Alemania, pagó US$ 1.500 millones por graves violaciones a los regímenes de sanciones. Una medida muy ilustrativa no solo por el alto costo monetario, la medida fue muy importante porque mostró la profunda desconfianza en el liderazgo de la institución, haciendo responsable a la alta cúpula.

El DPA, deferred prosecution agreement o acuerdo de enjuiciamiento diferido, de US$ 1.450 millones entre los reguladores estatales y federales, investigadores y el Commerzbank con sede en Frankfurt, se centra en la decisión de la institución de hacer negocios con entidades y regímenes incluidos la lista negra y una gran empresa óptica japonesa, Olympus, que estaba involucrada en un gran fraude contable.

El banco, en muchos casos, optó por seguir haciendo negocios con esas entidades potencialmente ilícitas, incluso después de que personal interno señalara que estas prácticas podría ser ilegales e investigadores externos afirmaran que el banco podría estar violando las normativas del Departamento del Tesoro de EE.UU. por eliminar («stripping») información incriminatoria de los giros relacionados con Irán y Sudán para que pudieran pasar a través de filtros de sanciones en la sucursal de Nueva York.

Como parte del acuerdo, el gobierno nombró una persona (llamada monitor corporativo) para que informe cada 90 días sobre los progresos de la institución para adherirse al DPA. Los funcionarios estadounidenses también requieren que el presidente ejecutivo firme que las mejoras obligatorias estén en marcha y según el acuerdo.

Tendencia: el acuerdo con Commerzbank es la más reciente medida penal contra un gran banco extranjero por violaciones relacionadas con «stripping» desde 2009, que suman ahora más de media docena y que incluye las operaciones de instituciones muy reconocidas en los principales centros financieros del mundo.

En junio de 2014, el mayor banco de Francia, BNP Paribas, pagó una multa récord de casi US$ 9.000 millones y tuvo que declararse culpable, una medida extrema, por eliminar –o stripping—a sabienda información de los giros relacionada con ciertos regímenes como Irán y Sudán, incluso después de que los investigadores de que los investigadores advirtieran que la institución estaba siendo investigada formalmente por tales prácticas.

La sanción contra el banco fue tan grande porque despreocupadamente continuó sus actividades cuando los investigadores requirieron que cesara tales prácticas, y no fue sincero al responder a las solicitudes de información. Otros bancos que han sido sancionados por errores similares incluyen ING Bank, Barclays, Royal Bank of Scotland, Standard Chartered y Lloyds. Una sanción de US$ 1.900 millones contra HSBC también incluyó este tipo de actividades.

En respuesta a tales infracciones exasperantes, a principios de diciembre, el gobernador de Nueva York, Andrew Cuomo, dio a conocer una propuesta de regulaciones estatales con expectativas más estrictas en materia ALD y de monitoreo de sanciones, incluyendo una certificación anual por parte de un «ejecutivo financiero senior», que se estima que puede ser un presidente ejecutivo (CEO) o de rango equivalente.

La iniciativa se basa en los requisitos de SOX (ley Sarbanes Oxley) para que CEO/CFO (directores financieros) certifiquen la contabilidad financiera y está diseñado para hacer frente a «graves deficiencias en la supervisión de transacciones y programas de filtrado de… instituciones y… la falta de una gobernanza sólida, la supervisión y la rendición de cuentas en los niveles superiores de las mismos instituciones».

Según las normas, que tienen un período de comentarios de 45 días, los bancos tendrían que involucrar una serie de pruebas para los sistemas de cumplimiento, incluyendo:

–Incluir de punta a punta y de pre a post implementación pruebas del programa de monitoreo de transacciones, incluyendo gobernanza, mapeo de datos, codificación de transacciones, lógica de escenario de detección, validación de modelos, entrada y salida de datos del programa, así como las pruebas periódicas.

–Incluir protocolos de investigación que detallen cómo se investigarán las alertas generadas por el programa de monitoreo de transacciones, el proceso para decidir qué alertas se traducirá en una presentación u otro tipo de acción, quién es el responsable de tomar tal decisión, y cómo se documentará el proceso de investigación y de toma de decisiones.

–Quedar sujeto a un continuo análisis para evaluar la relevancia de los escenarios de detección, las reglas subyacentes, valores de los umbrales, parámetros y supuestos.

Ciberseguridad

La medida más emblemática en el ámbito de la seguridad cibernética podría decirse que ocurrió en noviembre, con los cargos contra tres personas de nacionalidad israelíes que fueron acusados de planear un ardid masivo de piratería y fraude internacional generando cientos de millones de dólares en ganancias ilícitas, una iniciativa que fue posible con la ayuda de los banqueros corruptos e incluso una deshonesta cooperativa de crédito.

Los investigadores y analistas señalan que el caso no tiene precedentes, ni por su alcance, complejidad ni uso creativo de una infinidad de diferentes fuentes de financiación; tales como violaciones de datos, estafas bursátiles con acciones de centavos — penny stock scams–, juegos de azar en línea, firmas de procesamiento de pagos y uso de Bitcoin. Los esquemas de fraude apuntaron a muchas de las organizaciones de banca, comercio y medios de comunicación más importantes del país, entre ellos JPMorgan, TD Ameritrade y News Corp., propietaria de The Wall Street Journal.

En documentos de la corte, los fiscales acusaron a Gery Shalon, Josué Samuel Aaron y Ziv Orenstein en una acusación formal de 23 cargos de presuntos delitos que abarcan 12 empresas, entre ellas nueve empresas de servicios financieros y medios de comunicación, llevándose datos de más de 100 millones de personas, unos 80 millones de éstos provienen de la filtración de datos en JPMorgan.

Tendencia: En la primera conferencia sobre ciberseguridad de ACFCS, que se llevó a cabo en octubre, los asistentes y oradores confirmaron que los grupos criminales de hacking están atacando más agresivamente un universo más amplio de instituciones, que van desde bancos, a concentradores o agregadores de datos, a terceros subcontratados tales como servicios de recursos humanos y asistencia jurídica, e intercambian información activamente sobre qué herramientas funcionan y qué vulnerabilidades continúan pendiente.

Las decisiones relacionadas con los esfuerzos y recursos dedicados a frustrar los delincuentes cibernéticos han cobrado mayor importancia a medida que estos grupos en los últimos dos años se han infiltrado en algunos de los mayores bancos y tiendas muy importantes de ventas minoristas, entre ellos JPMorgan, Home Depot, Target y también en agencias gubernamentales.

Como resultado, los reguladores, incluyendo la Oficina del Contralor de la Moneda (OCC) del Tesoro de Estados Unidos, están poniendo el foco en la ciberseguridad, la resistencia y la «madurez» cibernética, mientras que otros organismos reguladores, incluyendo la Federal Trade Commission, ya han tomado medidas legales contra empresas que dicen a sus clientes que emplean robustas protecciones cibernéticas, pero no lo hacen.

A nivel estatal, el Departamento de Servicios Financieros del Estado de Nueva York también está planeando en incluir las evaluaciones de seguridad cibernética en sus exámenes generales de cumplimiento; donde muchas de las tareas de capacitación, evaluación de riesgos y auditoría del programa cibernético reflejarán los requisitos actuales de cumplimiento de delincuencia financiera.

El año pasado, la OCC también participó de un ejercicio para calificar los programas de seguridad cibernética de unas 500 instituciones, y para la creación, a principios de este año, de una herramienta de evaluación de la seguridad cibernética voluntaria que ayudará a los bancos a entender mejor sus riesgos cibernéticos, crear conciencia y un mayor «nivel de madurez general, «en áreas críticas.