Embed Size (px)
Citation preview
AUDITORÍA DE CUMPLIMIENTOProcesos matriciales de
análisis de la Auditoría de Cumplimiento en Prevención de Lavado de Dinero basado
en Riesgos
Franco Roja Sagá[email protected]
¿Qué busca analizar la Auditoría de Cumplimiento
basada en Riesgos?La Auditoría de Cumplimiento, tal y como su nombre lo indica, busca analizar el adecuado cumplimiento de los procesos y políticas de Prevención de Lavado de Dinero y Financiamiento del terrorismo al interior de la Entidad Financiera. No busca dar una opinión razonable, sino mas bien mostrar hechos factibles para retroalimentar la Gestión de la Entidad en función al Análisis de riesgos.
¿Qué implica retroalimentar la Gestión basada en Riesgos?
Son pocas las entidades que han incursionado en la medición efectiva de la gestión de riesgos y en especial en la prevención de lavado de dinero y financiamiento del terrorismo.Este tipo de Auditoría, permite ejecutar programas que califican los procesos, políticas, clientes, zonas geográficas y todo tipo de variables que refuercen el accionar de la Unidad de Cumplimiento al interior de la Entidad Financiera.
¿Qué pasos entonces se deben seguir para realizar una
Auditoría de Cumplimiento?
1. Comprender los lineamientos legales y exigencias debidas para la prevención del lavado de Activos en el siguiente orden:- Leyes, reglamentos, resoluciones y otros de origen nacional.- Recomendaciones Internacionales que se apliquen a la entidad en función a las variables de riesgo de la misma.- Reglamentos, políticas y procesos internos de la Entidad.
¿Qué pasos entonces se deben seguir para realizar una Auditoría
de Cumplimiento?
2. Análisis del Sistema de Prevención de lavado de dinero y financiamiento del Terrorismo adoptado por la Entidad Financiera, lo cual implica entre otros aspectos:- Revisión del Acta de posesión del Oficial de Cumplimiento.- Revisión del Manual de Prevención de la Entidad.- Revisión del Programa anual y el alcance del mismo.
…cont.
Estos 2 primeros pasos, permiten construir la Matriz de Control de Riesgos de Procesos y establecer parámetros de calificación, los cuales a la postre repercutirán sobre el accionar de la propia entidad para definir sistemas de retroalimentación y control.Esta matriz es cualitativa, sin embargo puede ser cuantificada para determinar ponderaciones de riesgo.
¿Qué pasos entonces se deben seguir para realizar una Auditoría
de Cumplimiento?3. Analizar el sistema de Reportes de transacciones usuales de la Entidad Financiera, lo cual permitirá identificar los riesgos sobre variables como:- Región geográfica- Productos y Servicios de la Entidad- Montos- Frecuencias- Clientes-Actividad Económica
¿Qué pasos entonces se deben seguir para realizar una Auditoría
de Cumplimiento?Cada una de las variables anteriores, es parte del Sistema de Matrices de Riesgo de la Entidad Financiera y por lo tanto su correspondencia es básica para fijar mitigadores y establecer nuevos parámetros de control que disminuyan o afecten el riesgo residual.El análisis, consiste en el establecimiento de una muestra de operaciones corrientes en un período determinado para evidenciar si las matrices de riesgo están adecuadamente construidas, girando operaciones por tipo de producto por ejemplo:
…cont.
Valor ponderado de Riesgo Asunción Ciudad del Este Encarnación
1. PRODUCTOS 40% 0,00 0,00 0,001.1. Banca Personal 40% 0 0 0
Ventanilla 20% 15.000,00 12.000,00 8.000,00 Depósitos a plazo 20% 2.200,00 500,00 1.000,00 Bonos y otros instrumentos
20% 1.500,00 400,00 300,00
Créditos 20% 150,00 280,00 140,00 Otros 20% 20,00 590,00 40,00
1.2. Banca Corporativa 60% 0,0 0,0 0,0 Cuentas a la Vista 14,29% 390,00 690,00 100,00
Depósitos a plazo 14,29% 75,00 87,00 65,00 Crédito 14,29% 50,00 250,00 60,00 Leasing /Factoraje
14,29% 40,00 100,00 40,00 Garantías Financieras
(Contingentes)14,29% 200,00 160,00 130,00
Fianzas 14,29% 200,00 100,00 100,00 Otros 14,29% 20,00 20,00 25,00
Cantidad de Reportes por ciudad y tipo de producto para el mes de enero de 2009
…cont
El cuadro anterior, nos plantea la necesidad de verificar si la ponderación prevista de riesgo se adecua a todas las ciudades donde se tiene sucursales o únicamente a las tres ciudades reportantes. Esto significa que el auditor debe establecer nuevos parámetros de riesgo en función a la cantidad de transacciones y regiones geográficas, más aún cuando exista una matriz de regiones geográficas que califique el riesgo de operar en ciertas áreas geográficas, por ejemplo:
…cont.
1. ZONA GEOGRÁFICA Valor ponderado de Riesgo
Valores abonados
Valores transferidos
Nacional 40%Asunción 30% 700000 300000
Ciudad del Este 30% 500000 800000Encarnación 15% 190000 400000
Pedro Juan Caballero 20% 390000 300000Mariscal Estigarribia 5% 800000 249000
Internacional 60%Argentina 8% 5490 65400
Brasil 8% 800000 48000Uruguay 10% 230000 800000Bolivia 8% 67000 80000
Panamá 15% 1700000 543000Isla de Man 15% 500000 300000
Gibraltar 10% 90000 643000Estados Unidos 10% 450000 68000
Alemania 3% 8700 75400Venezuela 10% 900000 500000
Perú 3% 54000 8790
Monto de transacciones registradas en y desde las zonas de riesgo (dólares)
…cont
La matriz de operaciones geográficas establece ponderaciones de riesgo a ciertas jurisdicciones locales e internacionales, lo cual permite verificar el comportamiento de las operaciones para adecuar un proceso de monitoreo más adecuado. Este tipo de análisis es muy importante sobre operaciones y montos, actividad económica y regiones las cuales nos permitirán seguir el ciclo de control para aterrizar en adecuados procesos de control de clientes.
¿Qué pasos entonces se deben seguir para realizar una Auditoría
de Cumplimiento?4. El cuarto punto es establecer un adecuado triángulo de conocimiento del cliente:a)Información física que entrega el clienteb)Información magnética del sistema de registros de transacciones de la entidad financierac)Información del Sistema Informático de Reportes de operación sospechosa de la entidad.
a) Información física del cliente
Para verificar la información física del cliente, existen diferentes metodologías, como la muestraria y observación manual.Efectivamente, esta útil metodología in situ, permite a su vez construir mecanismos de calificación y ponderación matricial muy útil para el control de operaciones, como por ejemplo el método de matriz binomial: Este método, se basa en el cumplimiento o no de los requisitos exigidos tanto por el Supervisor Financiero como por la propia entidad. El mismo varía según el tipo de producto o servicio, segmento de mercado y tipo de cliente, sin embargo, la metodología de análisis es la misma. Por ejemplo, si se cuenta con una muestra de 10 carpetas de clientes y se cuenta al mismo tiempo con una cantidad de 7 requisitos obligatorios, se tiene:
…cont.
Carpetas 1 2 3 4 5 6 7 Cumplimiento 1 1 1 1 1 1 0 1 6 2 1 1 1 1 1 0 1 6
3 1 1 1 1 0 0 1 5 4 1 1 1 1 0 0 1 5 5 1 1 1 1 1 1 1 7 6 1 1 0 1 1 1 1 6 7 1 1 1 1 1 1 1 7 8 1 1 1 1 1 1 1 7 9 1 1 1 1 1 1 1 7 10 1 1 1 1 0 0 1 5
Nota. En vertical se listan las 10 carpetas revisadas En horizontal el cumplimiento de los requisitos Si es 1, entonces cumple, si es 0, entonces no cumple
…cont.La anterior observación, plantea un resultado que pudiera ser discutido en función a la utilidad o no del requisito faltante, por lo cual, se sugiere ponderar el valor de cada requisito, a fin de determinar un impacto en el riesgo mayor o menor mucho más real:
Requisito Ponderación 1 20% 2 10% 3 10% 4 30% 5 10% 6 5% 7 15%
Total Ponderación 100%
b) Información magnética del sistema de registros de transacciones de la
entidad financieraPara verificar la información magnética, es necesario establecer controles similares al sistema informático de la entidad para verificar que la información de la muestra física es exactamente igual a la información del sistema.La calificación consecuente es la misma que en el paso previo, aunque se pueden tomar en cuenta modelos estadísticos más avanzados.
c) Información del Sistema Informático de Reportes de operación sospechosa de la
entidad.
Finalmente, para cerrar el ciclo de conocimiento del cliente, es necesario comparar en un tiempo prudencial el comportamiento demostrado por el cliente en función a los datos brindados versus las transacciones registradas en el sistema. Para tal efecto, es necesario descargar una muestra de las operaciones y filtrarlas en función a lo declarado por cada cliente escogido en la muestra. Con los datos obtenidos se establecerá una matriz de conocimiento del cliente que puede ser representada de diferente manera, sin embargo, siguiendo el sistema binomial se tiene:
…cont.Finalmente, una vez analizada la información física, magnética y de movimientos, correspondería una última revisión al registro del sistema de prevención, con lo cual, la valoración de información de conocimiento del cliente cierra su ciclo, expresando su ponderación y análisis así:
N° INFOP INFOL HOJAA HOJAV UCOB Total
1 1 0 0 0 0 1
2 0 0 0 0 0 0
3 1 0 0 0 1 2
4 0 0 0 0 0 0
5 0 0 0 0 0 0
6 1 0 0 0 1 2
7 1 0 1 0 0 2
8 1 0 0 0 1 2
9 1 0 1 0 0 2
10 1 0 1 0 0 2
7 0 3 0 3
Donde:
INFOP, significa información personal
INFOLAB, significa información laboral
HOJAA, significa hoja de actualización de información
HOJAV, significa hoja de verificación de información
UCOB, significa observación razonable de la Unidad de Cumplimiento o Ente Supervisor (apreciación subjetiva)
…cont
Los datos anteriores servirán para completar, construir, o reformular la matriz de conocimiento del cliente.
¿Qué pasos entonces se deben seguir para realizar una Auditoría de
Cumplimiento?5. El quinto punto a desarrollar es el análisis de los Reportes de Operación Inusual de la Entidad. Es decir todos aquellos reportes observados que llegaron o no a convertirse en sospechosos y que dependen en gran medida de las variables de riesgo asignadas por la propia entidad.El análisis matricial es resultado de la parametrización del sistema de prevención y de las banderas rojas resultantes, sin embargo, cuando la entidad no cuenta con un sistema informático de control, deberá basarse en las Matrices de Riesgo desarrolladas.
¿Qué pasos entonces se deben seguir para realizar una Auditoría
de Cumplimiento?
6. El sexto paso es la integración de resultados a través de la matriz de riesgo de cumplimiento al sistema de prevención. Dicha matriz se desarrollará en el curso y se complementa con la visita in situ y entrevista a diversos sectores y funcionarios de la Entidad Financiera.
Desarrollar una Auditoría de Cumplimiento no es cuestión de un simple “Check list” sobre el cumplimiento o no de la normativa, es un proceso de varias etapas técnicas que pueden ser fácilmente cuantificables a fin de poder ponderar y construir matrices de riesgo.La integración de resultados es el valor agregado que muy pocas entidades han llegado a desarrollar y que las firmas de auditoría aún no han desarrollado.
Afronte este nuevo desafío.
Franco Roja Sagá[email protected]
Conclusión
