Un nuevo marco regulatorio en la prevención del blanqueo de capitales

Risk Alert 0108-2015

EQUIPO EY FSO Administración de Riesgos para Servicios Financieros Bismark Rodríguez CIA CFSA CCSA CRMA CPC PAG Socio – Servicios Financieros Región Norte LATAM

En días recientes dos nuevas regulaciones han sido emitidas como producto de la entrada en Vigencia de La Ley 23 que adopta medidas para la prevención del blanqueo de capitales, financiamiento del terrorismo y proliferación de armas de destrucción masiva y que es de cumplimiento obligatorio, no sólo al sector de servicios financieros del país, sino también a un número de empresas y sectores no financieros de Panamá.

En efecto, el 27 de julio de 2015 la Superintendencia de Bancos de Panamá (SBP) emitió el Acuerdo 10-2015 que establece normas para la prevención del uso indebido de los servicios bancarios y fiduciarios. Así mismo, el 13 de agosto de 2015 con el auspicio del Ministerio de Economía y Finanzas, fue promulgada la reglamentación de la Ley 23 a través del Decreto Ejecutivo 363.

En las siguientes páginas, resumimos de manera general los aspectos que han llamado la atención de nuestro equipo de Riesgos y Regulaciones de EY de su División de Consultoría para Organizaciones de Servicios Financieros.

Hay retos y oportunidades. Hay un cambio que debe administrarse no sólo en las entidades financieras, sino también en otros sectores de la economía y las mismas estructuras de control y supervisión del estado panameño. Contagiarse de transparencia siempre resultará en una reputación sana.

Esperamos que esta publicación sea de su interés, genere debate entre sus grupos de trabajo y les de ideas sobre las inmensas oportunidades de mejora que en este campo existen.

En EY continuamos analizando el nuevo marco normativo.

Muy atentamente,

Un nuevo marco regulatorio en la prevención del blanqueo de capitales

The better the question The better the answer. The better the world works

Contenido editorial

1. Aspectos relevantes del nuevo marco regulatorio en materia de prevención del Blanqueo de capitales

i. Decreto Ejecutivo 363 del 13 de agosto de 2015: Reglamentación de la Ley 23 para la prevención del Blanqueo de Capitales

ii. Acuerdo 10-2015 de la Superintendencia de Bancos de Panamá: Prevención del uso indebido de los servicios bancarios y fiduciarios - Aplicable a Instituciones Bancarias y Fiduciarias

2. La perspectiva de la oficina de Servicios Financieros (FSO) de EY

3. Conclusiones

Contactos

Página

2

4

6

11

13

14 Página 1

1. Aspectos relevantes del nuevo marco regulatorio en materia de prevención del blanqueo de capitales

Para fines de esta publicación utilizaremos la frase “Prevención del Blanqueo de Capitales” para resumir la frase “prevención del blanqueo de capitales, financiamiento del terrorismo y proliferación de armas de destrucción masiva” establecida en la Ley 23 y el Decreto Ejecutivo 363.

• Procesos y enfoques de gestión de riesgos de blanqueo de capitales: Como ya lo viene ejecutando el sector financiero, los Artículos 2 y 3 hacen énfasis en el requerimiento de contar con procesos de prevención de los ilícitos de blanqueo de capitales y la necesidad de contar con estrategias que identifiquen, analicen, respondan y monitoreen los riesgos asociados a este flagelo que impacta en lo político, social y económico a las naciones. El requerimiento es extensivo a las Entidades No Financieras (ENF).

• Medidas de debida diligencia y perfiles de riesgos: Los Artículos 4 al 7 en general proveen lineamientos para el análisis de relaciones con clientes (personas naturales o jurídicas), las operaciones que éstos realizan, así como instruyen la necesidad del perfilamiento financiero y transaccional de los clientes. Resalta el requerimiento para que las ENF atiendan, bajo criterios de importancia relativa, la documentación y gestión de estos requerimientos o ejecuten estas actividades según instruya la recién creada Intendencia de Supervisión y Regulación de Sujetos No Financieros con base en un Análisis Nacional de Riesgo, elemento que también fue incorporado en la Ley 23 antes referida.

• Beneficiario final: El Artículo 8 del Decreto Ejecutivo establece hasta dónde debe llegar el análisis y documentación del beneficiario final de una transacción o relación que mantengan los sujetos obligados a esta reglamentación con sus clientes que sean personas jurídicas (PJ). Para las Entidades Financieras se ha definido documentar la relación con cualquier PJ que incluya accionistas significativos que posean 10% o más de participación patrimonial en esas entidades. En tanto que el requerimiento para las ENF quedó fijado en el 25%.

• Verificación de la debida diligencia: En especial, para las ENF y firmas de servicios profesionales, se insta a que los análisis de verificación se efectúen, luego de establecer la relación comercial con los clientes, de la forma más oportuna y razonable posible. El requerimiento resalta que esto no debería interrumpir el desarrollo normal de la operación y que se pretende tener a los riesgos asociados “efectivamente bajo control”.

I. Decreto Ejecutivo 363 – Aplicable a Entidades Financieras y No Financieras

A continuación listamos los aspectos más relevantes que con base en la experiencia de EY como consultores en materia de riesgos regulatorios especializados en el sector financiero:

Página 2

• Aplicación de medidas de debida diligencia por terceros: Siguiendo los lineamientos de la Ley 23, el Decreto Ejecutivo permite a los sujetos obligados a recurrir a proveedores de servicios que sean autorizados por los diferentes órganos de supervisión establecidos por la Ley y el mismo Decreto Ejecutivo. Estos proveedores deben cumplir con una serie de requisitos que serán evaluados por los organismos de supervisión establecidos en la Ley y antes citados. El reporte a la Unidad de Análisis Financiero de las actividades inusuales o sospechosas que se identifiquen serán responsabilidad de los sujetos obligados y no de los proveedores de servicios que éstas contraten. (Artículos 13 y 14)

• Operaciones inusuales o sospechosas: Como ya lo había adelantado la Ley 23, el término “operación inusual” se incorpora en el marco de referencia de prevención de blanqueo que establece tanto la Ley como la reglamentación dispuesta en el Decreto Ejecutivo que rige la materia. En el Artículo 16 se ilustran algunas variables que son valiosas para identificar lo “inusual” en una transacción o grupo de transacciones. En tanto, el Artículo 17 establece que las operaciones “sospechosas” son las que se deben reportar a la Unidad de Análisis Financiero. Las entidades sujetas a la reglamentación deberán crear o mantener bases de datos y registros de estas operaciones sospechosas identificadas.

• Retención de información y organismos de supervisión: La Ley 23 estableció una nueva estructura de supervisión en materia de prevención del blanqueo que alcanza a las Entidades Financieras (Superintendencia de Bancos, Superintendencia de Seguros y Reaseguros , Superintendencia del Mercado de Valores, IPACOOP) y a las Entidades No Financieras. En relación con esto, el Decreto Ejecutivo autoriza a los organismos de supervisión a verificar el debido cumplimiento de

los mecanismos de prevención y control del riesgo de blanqueo de capitales (Articulo 20). Esto implica que los sujetos obligados deben ser muy cuidadosos en el mantenimiento y custodia de registros históricos de toda la información de clientes y transacciones, así como de las actividades de debida diligencia y monitoreo respectivos. El periodo de retención de información, registros y documentación se ha establecido en cinco (5) años (Artículo 19).

• Sanciones y criterios de imposición: El importe de las sanciones ha sido establecido en la misma Ley 23. El Decreto Ejecutivo en los Artículos 21 al 25 aporta los criterios para imponer sanciones, las cuales pueden llegar a ser administrativas sobre personas naturales o jurídicas. Estas sanciones, que serán aplicadas por los organismos de supervisión establecidas en la Ley 23, podrían derivar en responsabilidades civiles o penales. Los principios de derecho administrativo regirán el proceso de imposición de sanciones administrativas. Los criterios de imposición consideran aspectos tales como gravedad de la infracción, amenaza o magnitud, perjuicios causados a terceros, indicios de dolo y las reincidencias del infractor. Los incumplimientos serán clasificados en tres categorías: 1) gravedad máxima; 2) gravedad media; y 3) gravedad leve. Cada categoría incluye las tipologías, escenarios o condiciones que permiten clasificar una infracción en cada una de estas categorías. Estas sanciones podrán ser no sólo administrativas, sino también pecuniarias.

• Invitamos a leer de forma detallada e integral el Decreto Ejecutivo 363 para conocer todos sus aspectos críticos y de aplicación mandatoria por los sujetos obligados definidos en la Ley 23 y en el mismo Decreto Ejecutivo.

Página 3

II. Acuerdo 10-2015 – Aplicable a Instituciones Bancarias y Fiduciarias (Superintendencia de Bancos de Panamá)

Financiera Internacional (GAFI), entre otros. Para estas operaciones se establecen rigurosas medidas de debida diligencia. (Artículos 7 y 8)

• Metodología para la clasificación de riesgos de los clientes y evaluación de riesgos del Banco y Empresa Fiduciaria: El Artículo 11 requiere el diseño y adopción de una metodología para la clasificación de riesgo de los clientes, que según el Acuerdo debe ser aprobada por el Comité de Prevención de Blanqueo y remitido con base anual a la SBP.

• Categorías de riesgos y perfil de riesgos del cliente: Se mantienen las prácticas de asignar una categoría o “ranking” de riesgos a cada cliente con base en criterios que contemplan las metodologías de riesgos implementadas o por implementarse, así como los procedimientos y políticas “Conozca a su cliente” (Artículo 12). Los criterios y variables para el análisis se incluyen en el Artículo 13, el cual enfatiza que los mismos deben estar descritos en la metodología de riesgos establecida por la entidad financiera. Los Artículos 14 y 15 dan mayor detalle y guía en la forma como se debe documentar el perfil de riesgo de clientes personas naturales o jurídicas. El Artículo 19 prevé la realización de los análisis de riesgo que deben ser documentados al menos cada doce (12) meses.

• Conformación del Comité de Prevención de Blanqueo en las entidades bancarias: El Articulo 4 del Acuerdo instruye la constitución de este comité a nivel de la Junta Directiva y ya no lo contempla sólo a nivel de la Administración de la institución. Establece también que el mismo debe estar integrado como mínimo por dos (2) miembros de la Junta Directiva, el gerente general, el principal ejecutivo de las áreas de riesgo, de cumplimiento, de negocios, de operaciones y de auditoria interna. Además, define que la función del comité consiste en aprobar la planificación y coordinación de las actividades de prevención de blanqueo de capitales, así como tener conocimiento de la labor desarrollada y operaciones analizadas por el oficial de cumplimiento,

• Operaciones interbancarias: Las transacciones y servicios que brinden las entidades con licencia de operación otorgada por la SBP a bancos extranjeros estarán sometidas a las medidas de debida diligencia acorde con el nivel de riesgo identificado. Se resalta la prohibición de establecer relaciones interbancarias o de corresponsalía con bancos que, ya sean ellos mismos o su casa matriz, no tengan presencia física en su jurisdicción de origen o no estén afiliados con un grupo financiero sujeto a supervisión consolidada. Esto implica tener especial atención sobre contrapartes financieras ubicadas en jurisdicciones con débiles o deficientes marcos de regulación del blanqueo de capitales o incluidas en las listas especiales emitidas por organismos internacionales como el Grupo de Acción

Página 4

• Responsabilidad de la auditoría interna: El Artículo 37 indica que la Unidad de Auditoría Interna es responsable de la evaluación y seguimiento permanente del sistema de control interno y del cumplimiento de las políticas de manejo de riesgo de Blanqueo de Capitales.

• Grupos bancarios: En el Artículo 38 del Acuerdo 10-2015 se mantiene la alineación con Acuerdo 7-2014 sobre la supervisión de conglomerado de grupos financieros. En este sentido, se requiere a los grupos bancarios regulados por la SBP a ejercer supervisión en la gestión global del riesgo de blanqueo de capitales a nivel del grupo financiero, así como evaluar los posibles riesgos relacionados con las actividades notificadas por sus sucursales, filiales y subsidiarias, cuando esto proceda.

• Esquema sancionatorio: Se mantienen los umbrales mínimos y máximos establecidos en la Ley 23, entre US$5,000 y US$1,000,000 acorde con la gravedad de la falta o grado de incidencia.

• Beneficiario final: Aún cuando La Ley 23 y el Decreto Ejecutivo 363 dan cuenta de este asunto, el Artículo 16 del Acuerdo 10 – 2015 es núcleo más preciso en la guía y escenarios que ayudaría a las organizaciones a un análisis y monitoreo más robusto.

• Invitamos a leer de forma detallada e integral el Acuerdo 10-2015 para conocer todos sus aspectos críticos y de aplicación mandatoria por los sujetos financieros obligados en el sector bancario y fiduciario.

• Transferencias electrónicas y herramientas de monitoreo automatizado: El Artículo 18 da cuenta de las variables sujetas al análisis de cada transacción a través de medios de transferencia electrónica que refuerzan el nivel de seguridad que cada entidad debe dotar en sus diferentes modelos operativos para este tipo de operación. Por otra parte, en el Artículo 21 se establece el requerimiento de contar con herramientas de monitoreo eficaces para la generación, identificación, análisis y escalamiento de alertas que represente desviaciones o riesgos a comportamientos o representen tipologías de riesgo transaccional que ameriten seguimiento especial.

• Personas expuestas políticamente (PEP): Lo novedoso en este aspecto se refiere al periodo de “Cool Off” para que un PEP identificado deje de ser considerado bajo tal condición, y en consecuencia, los procedimientos de documentación y seguimiento sobre este tipo de personas sean ajustados a su nivel de riesgo luego de la separación del cargo público que poseía. El Artículo 22 establece que un PEP es clasificado bajo esa condición desde el inicio de su nombramiento público y hasta dos años transcurridos después del cese de sus funciones.

• Operaciones inusuales, sospechosas y reporte a la UAF: En general se mantiene el requerimiento de prácticas de gestión en uso de forma general por las entidades de la plaza según se observa en los Artículos 28 al 36. Sin embargo, se recogen los aspectos relacionados a la protección de empleados, directivos y agentes que comuniquen operaciones sospechosas a la UAF, así como también incluye el concepto de responsabilidad corporativa ante el cumplimiento de leyes, reglamentaciones y acuerdos sobre la prevención del blanqueo. Estos últimos dos temas se encuentran en los Artículos 35 y 36 del Acuerdo y están alineados a los contenidos de la Ley 23 y el Decreto Ejecutivo 363.

Página 5

2. La perspectiva de la Oficina de Servicios Financieros (FSO) de EY

En EY FSO, en nuestra condición de consultores de entidades bancarias, de seguros y de inversiones en valores, entendemos los retos que se desprenden de la entrada en vigencia en abril de la Ley 23 del 27 de abril de 2015, el Decreto Ejecutivo 363 de agosto 2015 y el Acuerdo 10-2015 de la Superintendencia de Bancos de Panamá. Reconocemos que no sólo el sector financiero, sino las entidades de varios sectores no financieros y firmas de servicios profesionales (abogados y contadores públicos) enfrentan en los venideros meses una misión en conjunto con algunas de las instituciones del estados panameño como el Ministerio de Economía y Finanzas (MEF), para implementar esta Ley y su reglamentación, educar al mercado y ayudar al estado panameño a salir de las listas restrictivas de GAFI y otros organismos internacionales. No es una tarea sencilla, sin embargo no es imposible.

En este sentido, hemos efectuado en nuestro equipo de Riesgos y Regulaciones la formulación de algunas consideraciones que podrían orientar a algunas entidades financieras y no financieras en el despliegue de sus programas de cumplimiento para la adecuación o implementación de los diversos elementos que el nuevo marco regulatorio requiere a los sujetos obligados e instituciones supervisoras.

A continuación, presentamos nuestras siete (7) consideraciones para abordar las exigencias del nuevo marco regulatorio:

1. Involucramiento de la Junta Directiva y la Administración Superior de las Entidades Financieras

Las expectativas del regulador bancario con la conformación del Comité de Prevención de Blanqueo a nivel de la Junta Directiva envían un mensaje claro. La reportería que viene desde la Unidad de Cumplimiento y la Administración debe ser un habilitador del rol de supervisión que se consagra a las Juntas Directivas y, a la vez, un medio para educar ejecutando la función. Los programas de educación continua deben incluir a los Directores, tienen que estar actualizados y también adaptados al perfil de riesgo de la institución. Por otra parte, los reglamentos de gobierno corporativo deben asegurar que los roles y responsabilidades estén claramente expresados, que la comunicación de sus disposiciones se haga a todo nivel, y que además, la presencia de la gerencia no genere un conflicto de interés en las funciones del Comité de Prevención de Blanqueo.

Página 6

Adoptar un marco de referencia de riesgos y controles universal como COSO, como el Marco Integrado de Control Interno (COSO 2013) y el Marco de Referencia para Gestión de Riesgos Empresariales (COSO ERM), es esencial para lograr una homologación en las prácticas de gestión de riesgos de blanqueo alineada a las políticas de administración de riesgos institucionales que ya han sido aprobadas por el Comité de Riesgos de la Junta Directiva en muchas entidades.

Reiteramos la relevancia de unificar visiones entre las Unidades de Cumplimiento y de Administración de Riesgos para ser exitoso en el uso de un enfoque de riesgos que sea efectivo en la prevención de las amenazas del blanqueo de capitales en las operaciones.

Es muy importante también, hacer coincidir la experticia de la Unidad de Administración de Riesgos en el despliegue y ejecución de su metodología de análisis de riesgos y el conocimiento de la Unidad de Cumplimiento de los escenarios de riesgos y tipologías de desviaciones y amenazas de blanqueo en clientes, transacciones, productos y servicios bancarios y fiduciarios. Es por ello, que el involucramiento como facilitador de la Unidad de Riesgos debe interpretar el conocimiento y juicio experto de la Unidad de Cumplimiento para replantear o definir una metodología apropiada que responda y trate los riesgos de blanqueo de forma eficaz y, además, sea esta iniciativa conocida y avalada por el Comité de Riesgos.

Es importante preservar, que la participación de unidades de aseguramiento y control en el Comité de Prevención, tales como Auditoría Interna y Administración de Riesgos se enmarque dentro de parámetros que aseguren su independencia y objetividad establecidos en los Acuerdos 5-2011 y 8-2010 sobre gobierno corporativo y administración integral de riesgos, respectivamente.

2. Uso de criterios de gestión de riesgos en la definición de metodologías y configuración de perfiles de riesgos de clientes, transacciones y servicios bancarios y fiduciarios.

El Acuerdo 8-2010, antes mencionado, establece en los Artículos 10 y 13 las responsabilidades del Comité de Riesgos y de la función Administración Integral de Riesgos, las cuales incluyen, entre otras;

i. Comité de Riesgos: Desarrollar y proponer procedimientos y metodologías para la administración de los riesgos.

ii. Unidad de Administración de Riesgos: a) Contar con modelos y sistemas de medición de riesgos congruentes con el grado de complejidad y volumen de sus operaciones, que reflejen en forma precisa el valor de las posiciones y su sensibilidad a diversos factores de riesgo y b) Analizar y evaluar permanentemente los supuestos y parámetros utilizados en los análisis requeridos

Página 7

3. Calibración de las alertas de riesgos de blanqueo y balance de cargas de trabajo y apalancamiento en la tecnología.

Estos tres elementos no los unimos de forma casual en este tercer aspecto de consideración. Es muy común que las parametrizaciones que se diseñan en la programación de las aplicaciones tecnológicas que analizan transacciones estén afectadas por la capacidad de la Unidad de Cumplimiento para procesar ciento volumen de alertas que generalmente son filtradas con base en criterios de riesgo. Pero hay algo que la Junta Directiva y Alta Administración parecen haber ignorado por un buen tiempo. El filtrado de alertas de operaciones inusuales o sospechosas puede ser procesado de forma apropiada y eficaz si se cuenta con el numero apropiado de personal para atenderlas, analizarlas, investigarlas, documentarlas, escalarlas y reportarlas a las instancias internas o externas de los entes o unidades que correspondan. De nada sirve tener el mejor sistema de monitoreo de indicios y alertas de operaciones inusuales o sospechosas sino se cuentan con los recursos que las gestionen a través de un proceso de investigación completo y robusto, y una parametrización que responda al perfil de riesgo institucional.

Un análisis de los modelos operacionales, los criterios de riesgos en las parametrizaciones y una revisión del balance de cargas de trabajos versus los recursos e infraestructura disponibles, permitirá en algunos casos efectuar ajustes en su estructura organizacional, identificar necesidades de mejoras en los sistemas y oportunidades de optimización de los procesos operativos. En algunas Unidades de Cumplimiento más madura el uso de modelos predictivos podría contribuir a ser más eficientes en la gestión de los riesgos de clientes, transacciones y productos.

4. Tercerización de funciones de documentación de debida diligencia, perfiles de riesgos de clientes y transacciones e investigaciones.

En el sector no financiero, los retos son mayores a los retos del sector financiero. Con la premisa inicial que los riesgos que enfrentan pueden ser diferentes, la Ley 23 y el Decreto Ejecutivo 363 le asignan a las ENF responsabilidades que ya hoy son un requerimiento por atender. La contratación de firmas especializadas en la prestación de servicios que aseguren el cumplimiento con el marco legal en materia de prevención, sobra decir, es necesaria en el sector no financiero. En este sentido, las ENF deben evaluar la selección de proveedores de reconocida solvencia y trayectoria en el mercado para que los apoyen en la gestión de nuevos procesos y funciones que no existen hoy en muchas de sus estructuras organizacionales. Por otro lado, las firmas especializadas proveedoras de servicios en materia de gestión de los riesgos para prevenir el blanqueo de capitales deben proveer personal técnico calificado, procesos operacionales eficientes y programas de educación y concienciación a sus clientes del sector no financiero. Es de especial relevancia, el aspecto referido a educación del cliente no financiero, muy particularmente porque a las ENF se les ha asignado responsabilidad final en el reporte al órgano de supervisión de cualquier operación sospechosa.

Página 8

5. Revisión de operaciones inusuales o sospechosas y la necesidad de su oportuno reporte.

En los últimos meses, en el entorno financiero se han presentado situaciones que han dado lugar a una serie de medidas en las entidades financieras orientadas a mitigar y analizar operaciones que resulten o contengan algún indicio para ser investigada más rigurosamente. El Decreto Ejecutivo 363 hace énfasis sobre las sujetos obligados no financieros y financieros, para reportar operaciones que resulten sospechosas, por medio de diligencias para conocer el curso de las actividades y calificar las operaciones que no puedan ser justificadas o sustentadas. El Acuerdo 5-2015, hace referencia a las directrices que la Superintendencia de Bancos establecerá para el reconocimiento de dichas operaciones a través de ejemplos para la realización de observaciones, a fin de identificar elementos que constituyan o se relacionen con operaciones sospechosas.

Las Unidades de Prevención de Blanqueo - Unidades de Cumplimiento como comúnmente han sido definidas en la industria - tienen el reto, de cara al nuevo marco normativo, de evaluar sus procesos de investigación sobre los indicadores de riesgos definidos en las tipologías anti-blanqueo que se activen y que sean detectados por sus rutinas internas de monitoreo, las cuales en la mayoría de los casos son identificadas a través de herramientas automatizadas. Evaluar el proceso de investigación con el fin de identificar riesgos latentes y comportamientos inusuales es de inusitada relevancia, no sólo para determinar si un comportamiento inusual deba o no clasificarse como sospechoso, sino también para decidir cuándo escalar una alerta, cómo y hasta dónde investigarla diligentemente y cuándo y por qué reportarla a la UAF, si ese fuera el caso.

Optimizar este proceso, analizar si la infraestructura tecnología está en capacidad para cubrir la naturaleza de las tipologías y escenarios de riesgos, así como tener claro las necesidades en materia de recursos humanos para atender la demanda que pueda generar implementar el nuevo marco normativo anti-blanqueo; forman parte de los aspectos a considerar para optimizar los procesos de gestión de alertas que implican en relación con las mismas; i) identificar; ii) analizar; iii) Investigar; iv) Filtrar y escalar; y v) Reportar a la autoridad competente.

6. Evaluaciones independientes realizadas por auditores internos y firmas especializadas.

La Ley 23 prevé la realización anual de evaluaciones independientes de los controles y procesos de prevención del blanqueo de capitales. Esta práctica, aunque solicitadas por algunos bancos corresponsales a algunos Bancos, no era hasta ahora una práctica de uso generalizado. Al respecto, la Junta Directiva y el Comité de Auditoría de cada institución deberían asegurar que la Unidad de Auditoría Interna cuente con personal capacitado y una metodología integral formulada con base en criterios de riesgos para efectuar sus revisiones al programa de cumplimiento. Igualmente, las evaluaciones independientes que realicen firmas especializadas con base en el requerimiento actual de la Ley 23, deben ser contextualizadas dentro de un marco de referencia que tendrá que ser definido por el regulador bancario a través de un nuevo Acuerdo, y que será necesario también para los otros segmentos del sector de servicios financieros (reguladores de valores y seguros).

En este particular, se hace imperiosa la necesidad de definir un marco general de evaluación por parte del regulador del sector financiero, que permita por un lado que los evaluadores independientes ejerzan un criterio amplio de revisión basado en la regulación y mejores prácticas internacionales para efectuar el diagnostico, y que, por otro lado, el regulador proporcione los criterios de efectividad que se esperan en la ejecución de los controles que mitigan los riesgos de blanqueo de capitales en las instituciones financieras. Estos elementos, desde un punto de vista constructivo y proactivo en los primeros años de implementación del nuevo marco regulatorio, podrá crear mayor confianza en la obtención de los resultados esperados con la implementación de la Ley, el Decreto Ejecutivo y la normativa del órgano de supervisión (Acuerdo 10-2015), esfuerzo todo que debe orientarse a la promoción y elevación del nivel de cumplimiento del nuevo marco anti-blanqueo para que se pueda demostrar a las diferentes partes interesadas – nacionales e internacionales - el avance y penetración de las provisiones del marco legal en todos los sectores y que, de esta forma, se contribuya a uno de los objetivos principales de todo este proceso de trasformación normativo que es salir de las listas restrictivas de GAFI y otros organismos internacionales.

Página 9

y a mantener un grado de confianza y reputación que trasmita la imagen de un Centro Bancario y Hub de Servicios Financieros que se gestiona de forma trasparente e intachable.

Por último, resalta la no inclusión en las disposiciones del Decreto Ejecutivo 363 de la realización de evaluaciones independientes sobre el marco de control para la prevención de blanqueo en los sujetos obligados. Podría interpretarse que los reguladores del sector financiero, así como la Intendencia de Supervisión del MEF para entidades no financieras, estarán trabajando en definir los alcances y detalles requeridos para que estas evaluaciones independientes se ejecuten dentro de un marco de referencia.

7. La adopción del Modelo de Tres Líneas de Defensa para fortalecer el ambiente y cultura de control.

No es casualidad que los Comités de Basilea y COSO, The Institute of Internal Auditors (The IIA) y GAFI hayan publicado, cada uno por su lado y COSO

junto con The IIA, publicaciones sobre la adopción del modelo de tres líneas de defensa en la concepción del sistema de administración de riesgos y controles internos de las organizaciones.

Todos - Junta Directiva, Alta Administración, Unidades de Control y Prevención y los Dueños de los Procesos - tienen roles y responsabilidades a cumplir para preservar el valor de la marca, apoyar en el logro de los objetivos empresariales y manejarse en un marco de transparencia, responsabilidad, equidad y de rendición de cuentas.

En el campo de la prevención del blanqueo de capitales, adaptar el marco de gestión al Modelo de Tres Líneas de Defensa es una necesidad inmensa. Especialmente, para motivar la alineación de Unidades de Cumplimiento, Riesgos y Auditoría Interna y en la constitución de una sólida cultura de Riesgo y Control Institucional que proteja a las partes interesadas y que rete constructiva y continuamente los criterios de gestión empresarial.

Página 10

3. Conclusiones Es importante que la Alta Administración y la Unidad de Cumplimiento trabajen en conjunto construir una base de entendimiento claro de las expectativas de los reguladores, de la Junta Directivas y de otras partes interesadas. Por ello, se vuelve crucial contar con las capacidades necesarias para afrontar los retos del nuevo marco regulatorio para la prevención del blanqueo de capitales. Esto debe conducir a refinar o definir una metodología estructurada, sólida y eficaz para investigar indicios y alertas sobre clientes y transacciones inusuales o sospechosas.

Un punto de inicio, podría ser efectuar una revisión fría de alto nivel del modelo operativo, recursos, capacidades y herramientas actuales con el fin de establecer un plan de trabajo que de muestra de la intención y el convencimiento institucional para aplicar con inteligencia un enfoque de riesgos que haga sostenible cumplir los requerimientos del nuevo marco normativo.

Trabajar en mantener claras líneas de reporte sobre la gestión de los riesgos de blanqueo de capitales precisará involucrar no solo al Comité de Cumplimiento (ahora denominado de prevención de blanqueo de capitales), sino a la Junta Directiva, la Alta Administración, y áreas de prevención y control representadas en las Unidades de Administración de Riesgos y Auditoría Interna. Para esto, tener herramientas que todos las partes puedan gestionar y entender de forma conjunta y unificada, y sin poner en riesgo la marcha eficiente de los negocios, es un punto de consideración y análisis de la Administración y la Junta Directiva, cuya línea base debe ser aprovechar las sinergias, simplificar los procesos y ser más eficientes detectando y mitigando riesgos en toda la organización.

El activo más valioso de una institución financiera, y también de un centro bancario, es la reputación. Establecer un rápido, pero claramente orientado proceso de transformación en el programa de cumplimiento organizacional garantizará el retorno de la inversión preservando valor, evitando sanciones y manteniendo la reputación. Esto es un análisis obligatorio, si se toma en cuenta el tiempo y recursos que muchas instituciones han destinado hasta hoy en atender las contingencias derivadas de los alegatos que han conducido las numerosas y crecientes investigaciones ejecutadas por los tribunales y el ministerio público en los últimos meses.

Las Juntas Directivas tendrán, en última instancia, que solicitar el establecimiento de un estándar de calidad en las gestiones de la Administración y otras unidades de control y prevención para mitigar los riesgos de blanqueo, pero con la mira puesta en un Programa de Cumplimiento Institucional optimizado, eficiente y efectivo.

Página 11

Contactos

Risk Advisory- Financial Services Office (FSO) – Región Norte Rafael Sánchez- Managing Partner Consultoría de Servicios Financieros - Región Norte Rafael.Sanchez@pa.ey.com Bismark E. Rodríguez- Partner Líder de Administración de Riesgos para Servicios Financieros Bismark.Rodriguez@pa.ey.com Equipo ejecutivo de asesoría de riesgos para servicios financieros - Cesar Novo – Executive Director Cesar.Novo@do.ey.com Marelvys Hincapié – Senior Manager Marelvys.Hincapiepa@pa.ey.com Leonidas Rey – Senior Manager Leonidas.Rey@cr.ey.com Julio De La Espada– Senior Manager Julio.De-La-Espada@pa.ey.com Elimar Villarroel- Senior Manager Elimar.Villarroel@ve.ey.com Cesar Clavel- Manager Cesar. Clavel@pa.ey.com Suhhel Nuñez – Manager Suhhel.Nunez@pa.ey.com Jose D García - Manager Jose.D.Garcia@do.ey.com

Página 12

EY Assurance | Tax | Transactions | Consulting Acerca de EY EY es un líder global en servicios de auditoría, impuestos, transacciones y servicios de asesoramiento. En todo el mundo, los 190.000 colaboradores compartimos la firmeza en nuestros valores y un compromiso con la calidad. Hacemos la diferencia ayudando a nuestra gente, nuestros clientes y nuestras comunidades a alcanzar su potencial. Ernst & Young se refiere a la organización global de firmas miembro conocidas como Ernst & Young Global Limited, en la gue cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited, compañía del Reino Unido limitada por garantía, no provee servicios a clientes. Más información en www.ey.com. © 2015 EY Centro América Inc. Todos los derechos reservados. La información contenida en este documento es presentado para fines ilustrativos y académicos en el marco de divulgación de temas relacionados con la industria financiera y nuestra práctica de servicios financieros. Esta presentación no representa una consultoría o asesoría y no es suficiente para la toma de decisiones en una organización en las materias contenidas en esta publicación.