Tu entidad esta por crecer y tu base de clientes y empleados está por expandirse, lo cual es clave para sobrevivir y competir, pero si eres el Oficial de Cumplimiento vigilando la aplicación de las políticas y procedimientos de prevención de lavado de dinero y financiamiento al terrorismo (prevención), el crecimiento viene mezclado con riesgos.
Las entidades y sujetos obligados a la regulación de prevención que se constituyen y piensan en iniciar operaciones tienden a empezar a usar hojas de cálculo para registrar, evaluar y reportar operaciones, pero debido a que contar con un sistema automatizado (propio o con proveedores) se especifica en las Disposiciones de Prevención, el no operar con un sistema automatizado puede resultar en riesgos legales.
Si logran llevar todo en hojas de cálculo, usualmente los archivos no se conectan a las bases de datos o a otras herramientas, lo que hace que el personal de la entidad salga y se conecte manualmente, transfiera datos de un sistema a otro y pierda tiempo en administrar y evaluar la información, lo que es tedioso e ineficiente; la atención y entrevista al Cliente, las alertas tempranas las automáticas sobre consulta de nombres de solicitantes en listas negras y listas de personas políticamente expuestas no puede ni debe llevarse a cabo de esta manera.
¿Que Buscan los Auditores y Verificadores?
Idoneidad del Sistema Automatizado.
Si tu entidad cuenta con un área de sistemas que desarrolle todas las funciones que se indican en las Disposiciones de Prevención, o si cuentan con un proveedor de sistema, este debe ser idóneo para tu entidad; para esto en la visita que realice la Comisión supervisora verificará que los Clientes o Usuarios, productos y servicios, áreas geográficas, canales de envío y transacciones con los que operes, estén dados de alta en el sistema.
Los verificadores y auditores querrán saber que, los montos-umbrales de seguimiento tienen concordancia con las disposiciones de prevención, que existe una generación efectiva de alertas en el sistema. Lo que harán será realizar pruebas de generación de alertas y harán escenarios de pagos con diferentes montos para probar la efectividad operacional de las alertas del sistema.
Concordancia con Disposiciones de Prevención.
Tu entidad debe tener implementadas (1) las políticas y procedimientos de las Disposiciones de Prevención, (2) las políticas y procedimientos de la entidad y (3) los pasos o procedimientos del sistema automatizado.
Al contratar con algún proveedor o al solicitar a tu área de sistemas el desarrollo, se debe asegurar que cumpla con siguientes funciones:
Conservar y actualizar, así como permitir la consulta de los datos.
Mantener esquemas de seguridad de la información.
Generar y transmitir de forma segura a la SHCP, por conducto de la CNBV, la información relativa a los reportes de Operaciones Relevantes, Operaciones Inusuales y Operaciones Internas Preocupantes.
Clasificar los tipos de Operaciones o productos financieros.
Detectar y monitorear las Operaciones realizadas por un mismo Cliente, para dar seguimiento y en su caso, reportar las operaciones correspondientes.
Ejecutar un sistema de alertas sobre: i) cambios en el comportamiento transaccional de los Clientes, ii) sobre operaciones en países de alto riesgo, iii) países con regímenes fiscales preferentes, iv) países con deficiencias en su régimen de prevención, v) personas políticamente expuestas y vi) clientes identificados en la Lista de Personas Bloqueadas.
Contribuir a la detección, seguimiento y análisis de las posibles Operaciones inusuales e internas preocupantes.
Agrupar diferentes contratos de un mismo cliente.
Conservar registros históricos de posibles operaciones inusuales e internas preocupantes.
Servir como medio para que el personal reporte de forma segura, confidencial y auditable, las posibles operaciones inusuales e internas preocupantes.
Facilitar la verificación de los datos y documentos proporcionados de forma no presencial por el Cliente.
El Personal Está Capacitado y Cumple Eficazmente el Procedimiento.
En caso de una visita, no solo es necesario un módulo de prueba para los verificadores o auditores, éstos también comprobarán que el personal de tu entidad se encuentra capacitado respecto de sus funciones y que realicen los procedimientos documentados en el Manual de Cumplimiento de manera eficaz.
La comprobación de los procesos que llevan a cabo el personal debe también estar documentada en tu informe de auditoria, es decir, el auditor debe comprobar que cada obligación de la entidad, sea de conocimiento del personal que corresponda y que sepa cómo realizarlo en el sistema automatizado.
Un Enfoque Basado en Riesgo.
Desde el inicio de operaciones, las entidades necesitan tener un enfoque basado en riesgos para administrar los riesgos de la misma y para evaluar a los Clientes; la entrevista de una solicitud de producto financiero debe ser rápida y en esta se deben recabar todos los datos y documentos que se indican en las Disposiciones de Prevención, para que anterior a la firma del contrato, se tenga conocimiento del riesgo que representa el Cliente.
Los auditores y el personal de la Comisión verificarán los valores de probabilidad e impacto asignados a cada indicador de riesgo y que éstos estén directamente relacionados a los elementos de riesgo identificados por la entidad. El resultado debe ser como mínimo:
Clientes o Usuarios personas físicas: alto o bajo riesgo.
Clientes o Usuarios personas morales: alto, medio o bajo riesgo.
Conocimiento del grado de exposición al riesgo de la entidad.
Toda la información relativa a la matriz de riesgos y a la metodología de enfoque basado en riesgos implementada, debe poder consultarse, a efecto de que los verificadores cuenten con la información que se documentó sobre la administración de riesgos.
Conclusión.
El sistema es el medio con el cual daremos cumplimiento a la mayoría de las obligaciones de PLD/FT, en donde se ingresará toda la información y desde donde se emitirán todos los reportes que se necesiten; dado esto, el sistema es la base sobre la cual la entidad crecerá.
Comments