Un banco italiano deberá pagar en EE.UU. US$240 millones por fallas en su programa de cumplimiento ALD
El regulador de servicios financieros de Nueva York sancionó a la filial en EE.UU. de uno de los bancos más grandes de Italia con US$235 millones por graves y perenes fallas en su programa de cumplimiento de delitos financieros, principalmente relacionadas con el seguimiento y administración de las alertas del sistema automatizado de monitoreo de transacciones.
La medida por parte del Departamento de Servicios Financieros del Departamento de Nueva York (NYDFS) contra Banca Intesa Sanpaolo SpA y su sucursal de Nueva York destaca una serie de cuestiones abordadas por las autoridades estatales y federales a lo largo de 2016 y da una idea de los puntos clave en los que los examinadores harán hincapié durante el 2017.
Los examinadores observaron que debido a las importantes falencias humanas y de sistemas, Banca Intesa le dio a algunas de las regiones y entidades más riesgosas del mundo una puerta de ingreso al sistema financiero internacional, incluyendo a personas expuestas políticamente (PEPs, por sus siglas en inglés), compañías pantalla –shell companies—con complejas y turbias estructuras de control y países en la lista negra de Estados Unidos, incluyendo Irán y Sudán.
El informe también critica al oficial de cumplimiento, que mantiene en el anonimato, en el momento de las violaciones.
La persona permitió e incluso fomentó que se blanquearan las alertas para mejorar la «eficiencia», y dejó al personal subalterno analizar y borrar alertas sin la documentación necesaria para la toma de decisiones o incluso un rastro auditable, debido en parte a un sistema de gestión de casos segmentado que requería el ingreso manual de alertas, de acuerdo con la orden DFS.
La orden subraya aun más las cuestiones clave planteadas en las últimas medidas gubernamentales, que abarca todo el arco del programa de lucha contra el lavado de dinero (ALD), incluyendo la profundidad y la precisión de la debida diligencia inicial del cliente y la correcta calificación de riesgo, la puesta a punto del sistema de monitoreo de transacciones y cualquier manipulación posterior para mejorar la precisión de las alertas y reducir los falsos positivos y, por último, el número y la calidad de los informes de actividad sospechosos.
Al mismo tiempo, la medida contra Banca Intesa –en donde se señala que las deficiencias de cumplimiento se extendieron hasta principios de los años 2000 y que incluían una medida formal—es otro ejemplo, casi una advertencia, de cómo una orden escrita puede convertirse en una sanción monetaria si los problemas no se abordan rápida y completamente para satisfacer las expectativas de los examinadores.
Los examinadores de la NYDFS encontraron que el personal de cumplimiento del banco «administró incorrectamente su sistema de monitoreo de transacciones y repetidamente falló en identificar apropiadamente transacciones sospechosas» hasta que fueron descubiertos por un nuevo consultor independiente designado por DFS en 2014.
El regulador designó al consultor, que asumió por un tiempo, debido a que la sucursal tenía “serias falencias” relacionadas con su programa antilavado general, situación que fue identificada por los examinadores en 2002.
El banco fue blanco de los reguladores debido a su tamaño. Cuenta con activos por US$761.000 millones a nivel mundial y es uno de los mayores bancos en Italia. En Nueva York cuenta con US$18.000 millones, pero a través de la sucursal realiza compensaciones de US$ 4 billones al año para las relaciones de corresponsalía.
Pequeños errores de monitoreo conducen a un gran caos
La larga y detallada orden de 31 páginas también brinda información sobre los errores que pueden ocurrir en sistemas automatizados de monitoreo de transacciones complejos y altamente técnicos, incluyendo algo tan simple como que un programador agregue un espacio extra a una palabra o accidentalmente requiera que el sistema busque «Federación de Rusia» (Russian Federation) en lugar de simplemente la palabra Rusia.
La orden será de lectura obligatoria para los oficiales de cumplimiento antilavado de dinero, tanto en Nueva York como en el resto de las regiones, ya que es brinda un panorama general de lo que los examinadores estarán buscando en el nuevo año. Durante el año 2016 se promulgó una nueva ley estatal en Nueva York que obliga a las instituciones a que los altos ejecutivos de cumplimiento o miembros de la junta directiva revisen y aprueben los sistemas de transacciones y de filtro de sanciones. Esta ley entra en efecto el 1 de enero.
Las deficiencias de Banca Intesa «en general se atribuyen a la falta de una sólida gobernabilidad, supervisión y rendición de cuentas de los niveles superiores», según el orden. «El departamento considera que los sistemas eficientes de monitoreo de transacciones son una herramienta esencial en la batalla contra las transacciones ilícitas y el financiamiento del terrorismo en esta era de alto riesgo».
En busca de asegurarse de que cualquier actividad sospechosa que pueda haber pasado desapercibida reciba un vistazo, Banca Intesa debe realizar una revisión de transacciones a partir de 2014 tanto desde el frente ALD como de monitoreo de sanciones. El consultor independiente realizará una auditoría de esos esfuerzos y emitirá un informe de auditoría a DFS.
La sanción también mantiene el impulso y la dirección de Ben Lawsky, ex jefe de la agencia gubernamental, que impuso sanciones por cientos de millones de dólares a los bancos extranjeros bajo la amenaza de retirarles sus licencias bancarias si no cumplían y fortalecían sus sistemas ALD.
En unos algunos casos, Lawsky también se les adelantó a sus contrapartes federales, dejándolos parecer menos agresivos y reduciendo las cifras de multas que podrían solicitar a los bancos que ya están bajo investigación.
Nuevo líder, pero sigue la tendencia
Desde que ocupó el cargo en junio, la superintendente de la NYDFS, Maria Vullo, ha llevado a cabo medidas de cumplimiento de DFS por violaciones de las leyes de ALD contra el Mega Bank of Taiwan, que fue multado por US$185 millones y Agricultural Bank of China.
«Las instituciones financieras mundiales deben ser la primera línea de defensa en la guerra contra el terrorismo internacional, la ciberdelincuencia y la evasión fiscal», dijo en un comunicado. «Los sistemas de monitoreo de transacciones eficaces y responsables son una herramienta esencial en la batalla contra las transacciones ilícitas y el financiamiento del terrorismo en esta era de riesgo».
La medida trajo a la luz importantes violaciones de la sucursal de Nueva York, incluyendo:
—Despreocupada y displicente actitud ALD: cuando se le preguntó a un oficial de cumplimiento de Intesa acerca de prácticas de compensación no autorizadas, dijo que las transacciones estaban siendo aprobadas de una manera que iba por fuera de los procedimientos escritos prescritos por el banco porque era más eficiente. El sistema de ALD del banco, según él, había generado un gran número de «falsos positivos». El proceso no autorizado era aceptable, dijo, porque una política basada en el riesgo significaba (al menos para él) que «si se falla en uno, se falla en uno».
—Alertas y sistemas de gestión de casos independientes: al banco se le escaparon miles de alertas generadas por el sistema automatizado, que emplea palabras clave y algoritmos para identificar transacciones sospechosas. Se supone que la transacción luego es examinada por el sistema de gestión de casos independiente así puede ser revisada en mayor detalle. Las alertas tenían que introducirse manualmente en el segundo sistema.
—Falsedad en los falsos positivos: sólo en el 2014, aproximadamente el 41% de las alertas que se cerraron indebidamente a través del proceso no autorizado y ad hoc no eran «falsos positivos», sino alertas apropiadas que requerían investigación adicional.
—En manos de los individuos: en otra situación, el oficial de cumplimiento ALD en la sucursal de Nueva York dejó a los revisores individuales decidir por sí mismos cómo revisar las transacciones basándose en lo que «funciona mejor» para ellos – en contra de las directrices escritas del banco y en contra de las prácticas establecidas del banco.
—Despojo de sanciones: Intesa capacitó especialmente a ciertos empleados para manejar transacciones con Irán para embrollar actividades de procesamiento de dinero para que no pudieran ser fácilmente marcadas como transacciones vinculadas a una entidad sancionada. Entre 2002 y 2006 Intesa utilizó métodos y prácticas opacos para realizar más de 2.700 transacciones de compensación en dólares estadounidenses, por un monto de más de US$11.000 millones, a nombre de clientes iraníes y otras entidades posiblemente sujetas a sanciones económicas estadounidenses.
Fallas de cumplimiento históricas
Los examinadores indicaron que la sucursal de Banca Intesa en Nueva York tenía problemas de cumplimiento que se remontaban a 2002 y más problemas en 2005-2006, pero entre 2008 y 2012 abandonó lazos con unos 5.400 clientes para «remediar los fallos de cumplimiento».
Las medidas ayudaron, sin embargo resultó en un acuerdo escrito sobre ALD en 2007.
Entre 2002 y 2006, la sucursal se dedicó a métodos no transparentes relacionados con transacciones llamadas u-turn con iraníes, que estaban permitidas por la ley federal, pero se convertían en violaciones de las normativas de Nueva York cuando se alteraba la información, obstruyendo información para una correcta fiscalización de los reguladores.
Como resultado de sus problemas de cumplimiento, Banca Intesa pagó US$2,9 millones a la Oficina de Control de Activos Extranjeros de los Estados Unidos en 2013 por stripping violation (alterar información en las transacciones) para tratar con los regímenes de la lista negra de Irán, Sudán y Cuba.
Pero fue el acuerdo escrito de 2007 que condujo directamente a la última pena.
Como parte de esa orden, el banco tuvo que hacer un lookback de la transacción para los seis meses anteriores en 2006 debido a sus transacciones con compañías fantasmas, shell companies. Estos resultados fueron dados a Nueva York y la Reserva Federal en 2009.
Los examinadores de Nueva York luego ampliaron el lookback en 2013 para ver todas las transacciones desde 2005 y también hacer una revisión más amplia de los sistemas ALD en su momento. En tándem, un nuevo consultor también asumió el control en 2014.
Y lo que el consultor encontró le dio a los examinadores más herramientas para una sanción pecuniaria.
El consultor encontró problemas para el personal ALD del banco que recibía alertas del sistema de monitoreo de transacciones cargado en un sistema de administración de casos independiente.
Los analistas deben documentar la toma de decisiones a favor o en contra de la presentación de un Reporte de Operación Sospechosa. Pero como las alertas no se cargaban automáticamente desde el sistema de transacciones al sistema de gestión de casos, los empleados tenían que cargar manualmente una hoja de cálculo en el sistema de seguimiento de casos todos los meses.
Ello llevó a acciones «más flagrantes» por parte del personal de la sucursal en 2012, en las que el alto ejecutivo ALD del banco decidió permitir a los analistas ver y cerrar las alertas sin ponerlas en el sistema de gestión de casos.
Eso se hizo para miles de alertas y durante dos meses en 2014, no se migraron alertas al sistema de gestión. En 2014, unas 10.000 alertas, o más del 90% de todas las alertas generadas, nunca fueron cargadas en el sistema de gestión de casos. Las alertas que faltaban en 2014 representaron casi US$17.000 millones en transacciones.
El informe también señaló que, con tanta actividad perdida durante tanto tiempo, también hubo un desglose en la función de auditoría ALD, una de las cuatro claves principales del programa.
Un auditor encontró problemas en 2014, que la persona «anotó en un informe trimestral», los problemas nunca fueron transmitieron para ser abordados y no se hicieron cambios por otros dos años hasta que el segundo consultor se hizo cargo.
En uno de los episodios más cómicos de la orden, el sistema de monitoreo de transacciones motivó una alerta vinculada un posible PEP. Pero cuando un analista revisó la alerta, encontró que la persona posiblemente estaba vinculada a un grupo de delincuencia organizada. En lugar de presentar un ROS o tomar otros pasos de investigación, la persona simplemente borró la alerta y siguió adelante. ¿La razón? El sujeto no era un PEP.