Herramientas de control para prevención de lavado de activos y financiación del terrorismo
En la actualidad es importante que diferentes sectores de la economía cuenten con la revisión de un sistema de prevención de riesgo de lavado de activos y financiación del terrorismo.
Introducción
Las organizaciones pertenecientes al sector financiero y sector real están obligadas a cumplir con la regulación de lavado de activos y financiación contra el terrorismo, para ello deben contar con un sistema de control de riesgos que los ayude a seguir la norma establecida, muchas de estas metodologías vienen de estándares internacionales que son dados por entidades y organismos a nivel mundial y regional.
Se debe tener en cuenta que este tipo de riesgos pueden afectar de manera directa las finanzas de las organizaciones provocando pérdidas económicas y humanas, pues ninguna compañía está exenta de sufrir amenazas internas o externas, errores en los procesos, fallas en los sistemas y eventos coyunturales que pueden afectar la imagen y reputación.
Por eso es importante contar con una solución tecnológica como Pirani Riskment Sute que ayude a prevenir y gestionar estos riesgos.
En el siguiente documento encontrarás un listado de herramientas de control que te serán de gran ayuda al momento de implementar la gestión de riesgos del sistema de lavado de dinero y financiación del terrorismo, para evitar que se presenten acciones delictivas dentro de la compañía.
¿Qué es Sarlaft y cuál es su alcance?
También conocido como sistema de gestión de lavado de activos y financiación del terrorismo (Sarlaft) se refiere a un método que permite identificar, analizar, evaluar, tratar, monitorear y dar a conocer los riesgos que se encuentren relacionados con las actividades del negocio, es decir es un proceso o herramienta que da la posibilidad de que a la organización no entren dineros o activos que provengan de actividades ilícitas y en caso tal de que esto suceda se puedan detectar a tiempo para ser reportados a los entes de control y evitar sanciones futuras.
"Para el caso del lavado de activos y financiación del terrorismo, el proceso de administrar el riesgo asociado con estos delitos, consiste en prevenirlo y detectarlo oportuna y eficazmente y no en asumirlo o trasladarlo en el mismo sentido en que se asumen los riesgos típicamente financieros", afirma Alexander Devia, Miembro de la asociación de especialistas en FIBA como Anti Money Laundering Certified Associate y especialista en administración de riesgo de lavado de activos y financiación del terrorismo.
El Sarlaft es un compendio de exigencias de parte de la Superintendencia Financiera de Colombia que modificó lo que a principios del 2007 se conocía como SIPLA (Sistema Integral Para La Prevención Del Lavado De Activos).
La obligación de aplicar el SARLAFT por parte de las entidades financieras se da con la Circular Básica Jurídica en su Parte I Título IV, Capitulo IV.
Es importante resaltar que no existe un único modelo, sino es cuestión de que cada una de las organizaciones desarrolle su propio sistema, el que mejor se ajuste a sus necesidades, eso sí, siguiendo la normativa que indica cada uno de los países en donde se aplique.
Importancia de la aplicación de Sarlaft
Las empresas pertenecientes al sector financiero y real deben tener en cuenta que trabajan en pro de unos beneficios que le ofrecen a sus clientes como el de cuidar, administrar, monitorear y brindar servicios que satisfagan sus necesidades financieras, es por esto que deben cuidar su imagen y reputación, pues en caso de verse envueltos en escándalos solo provocará que reciban sanciones por partes del ente de control, cambios negativos en las relaciones comerciales y pérdidas notorias.
"Lo que se pretende es que los riesgos asociados al lavado de activos y financiación del terrorismo tales como riesgo reputacional, legal, operativo y de contagio, sean mitigados a través de los diferentes mecanismos y buenas prácticas que la entidad logre llevar a cabo al interior de sus procesos", explica Alexander Devia.
La gestión de los riesgos de lavado de activos y financiación del terrorismo, debe contar con una dinámica distinta de ejecución. Implementar una gestión adecuada para mitigar los riesgos que se establecen en esta línea de operación, requiere del concurso de toda la organización y de una aceptación de cambio sobre la 'cultura organizacional'.
- Aceptar: reconocer que los riesgos hacen parte de la organización y pueden ocurrir en cualquier momento.
- Trasladar: otorgarles responsables quienes estarán en constante monitoreo de los riegos.
- Prevenir: crear un plan de acción que ayude a mitigarlos.
- Resiliencia: adaptarse de manera positiva a los escenarios que se puedan presentar.
Elementos que se deben tener en cuenta al momento de hacer su aplicación:
- Políticas: son aquellas que establecen los organismos de control y que deben cumplir las organizaciones vigiladas en cada una de las etapas del sistema.
- Procedimientos: son los procesos que van a llevar a cabo durante la implementación del sistema de lavado de activos y financiación del terrorismo en cada una de las etapas.
- Documentación: toda la información debe quedar registrada y condensada en documentos con el fin de garantizar la control en cada uno de los procesos y disponibilidad de datos.
- Órganos de control: se deben definir los responsables de las evaluaciones para que estos puedan identificar fallas o amenazas que se puedan presentar.
- Infraestructura y tecnología: es importante contar con herramientas eficaces y efectivas que permitan la correcta administración de los riesgos.
- Divulgación de información: la generación de reportes internos y externos es fundamental, ya que gracias a esto se podrá revisar el funcionamiento de los procedimientos que se están implementando.
- Capacitación: Todos los responsables de los riesgos deben estar en constante capacitación para identificar de qué manera se va actuar para prevenir los riesgos que se puedan generar.
¿Cómo aplicar este sistema?
Estos requerimientos, deben permitir combinar recursos de tipo administrativo, tecnológico y humano para administrar los riesgos asociados a los eventos de riesgo relacionados al lavado de activos, la financiación del terrorismo y la proliferación de armas de destrucción masiva; la interacción oportuna de estas acciones, permite que la Entidad mitigue el riesgo a ser usado de manera directa o indirectamente a través de la canalización de recursos y/o activos provenientes de actividades delictivas.
¿Qué es una herramienta?
Es un recurso que se usa para llevar a cabo un proceso o una actividad. Este instrumento permite ejercer control sobre una situación en específico
Dentro del sistema de gestión de riesgos son utilizadas debido a su eficacia, pues ayudan a determinar si los métodos y procesos planteados están funcionando.
Se convierte en el aliado fundamental de los gestores de riesgos, ya que los ayuda a tomar mejores decisiones, a que evalúen y prioricen los riesgos con el fin de evitar que se presenten interna o externamente y en caso de no poder evitarlo contar con un plan de acción efectivo que ayude a que su impacto no traiga grandes consecuencias.
¿Qué es un control?
Es el elemento fundamental para garantizar el buen funcionamiento de una entidad, aquí se plasma todos los procesos que se van a llevar a cabo con el fin de proteger a la empresa de los riesgos que se puedan presentar afectando los recursos humano, financiero y de infraestructura.
Sin embargo, es importante tener en cuenta que el control siempre se debe ejecutar en compañía de una herramienta que se encargue de brindar indicadores que permitan tomar las medidas necesarias para prevenir los riesgos y en caso de que no se puedan prevenir un plan de acción que mitigue el impacto que este puede causar.
La unión entre herramienta y control se define como la actividad o procedimientos para la validación de la información en un sistema de gestión de lavado de dinero y financiación del terrorismo.
Herramientas de control para prevenir el lavado de activos y la financiación del terrorismo
Menciona la circular básica jurídica que “las entidades vigiladas deben tomar las medidas conducentes a controlar el riesgo inherente al que se ven expuestas, en razón de los factores de riesgo y de los riesgos asociados”, esto es prever sistemas de control que le permitan mitigar los riesgos a los que se ven expuesto. Es aquí donde surgen las herramientas para facilitar el seguimiento y análisis del comportamiento transaccional de los clientes versus su información financiera, hábitos de consumo, histórico transaccional, el uso de ciertos canales de operación, la conexión con otras personas, otras cuentas y beneficiarios, etc”, cuenta Alexander Devia.
Monitoreo
Cumple con el papel de identificación, aquí es posible reconocer las transacciones sospechosas que se puedan presentar y a su vez emitir alertas que anuncien lo que está ocurriendo con el fin de que puedan ser analizadas, una vez esto se haga ya cada organización determinará si se reporta ante los entes de control.
La efectividad de la gestión de riesgos en la prevención de lavado de activos y financiación del terrorismo muchas veces depende de como se este poniendo en práctica esta herramienta, por ende es importante estar actualizando este sistema y hacerle mejoras que permitan cumplir a cabalidad con los objetivos propuestos.
Otra de las cosas que se deben tener en cuenta es que los sistemas de monitoreo siempre deben ser evaluados, esto hace parte de las revisiones de cumplimiento que los organismos de control establecen.
Es importante entender que no existe una única fórmula para realizar el monitoreo en la prevención de lavado de dinero y financiación del terrorismo, es decisión de cada empresa definir cuál será el procedimiento que va implementar. Sin embargo, hay elementos que son claves y que siempre deben ser tomados en cuenta.
- Interconexión entre sistemas: entre más sistemas de tipo “core” tenga la compañía hace que sea más complicada la interconexión de los mismos. Acá se aconseja utilizar mapas de flujo que contenga la información de cómo se relacionan.
- Integridad de los datos: cada uno de los campos obligatorios deben tener restricciones los cuales no deben ser alteradas por el personal operativo, validación en el flujo de información entre los sistemas y que se cumpla con los estándares definidos por la normativa.
- Reglas de negocio efectivas: la mayoría de organizaciones tienen establecido una serie de reglas en las que se destacan qué tipo de transacciones deben ser monitoreadas, algunas ya están definidas por los entes reguladores.
- Comunicación entre departamentos o áreas con el cumplimiento: es muy importante la relación directa que pueda existir entre estos dos, pues el departamento de cumplimiento será el encargado de monitorear si la información que se está generando por parte de las demás áreas es la correcta y veraz, con el fin de que se esté cumpliendo con la normativa.
Alertas de operaciones inusuales
Es de carácter esencial reconocer todas las operaciones inusuales o sospechosas que se puedan presentar dentro de la organización, es decir, aquellas transacciones o movimientos incompatibles con las actividades regulares de un cliente por medio de una herramienta de alertas que llame la atención de la organización para entrar a analizar situaciones anormales.
En las buenas prácticas se define como el proceso de detectar las acciones sospechosas teniendo en cuenta el registro de clientes y verificando si este es una persona expuesta, si se presentó un cambio en el nombre del titular, cuenta bancaria o si tiene una cuenta de locales de frontera.
Luego de generada la alerta el oficial de cumplimiento debe entrar a investigar en profundidad al cliente en donde deberá verificar los documentos, movimientos y datos que se encuentran en el sistema y los reales para mirar si hay alguna anomalía.
Ejemplos de operaciones inusuales:
- Transacciones cuyos valores sean incompatibles con la ocupación profesional y la situación financiera declarada.
- Movimientos inesperados en las operaciones y en el manejo de las cuentas.
- Operaciones que demuestren una oscilación significativa en relación con el volumen o la frecuencia de negocios del cliente.
- Depósitos y transferencias pequeños que de inmediato se transfieren a cuentas de otros países o regiones.
- Operaciones que evidencian un cambio repentino y objetivamente injustificado en comparación con el histórico del cliente.
- Operaciones cuyo grado de complejidad y de riesgo sea incompatible con la cualificación técnica del cliente.
Todos los miembros de la compañía directos e indirectos están en la obligación de reportar los casos sospechosos de lavado de activos a los organismos de cumplimiento para hacer pertinente la averiguación de datos.
Monitoreo y alertamiento transaccional
La mayoría de organizaciones usan los sistemas informáticos como una herramienta para monitorear y generar alertas en las transacciones que se realizan. El software o los programas en la nube facilitan el seguimiento de las transacciones y detectan aquellas que se salen de un patrón específico de comportamiento.
El parámetro más común en estos sistemas es la comparación entre límites preestablecidos y movimientos bancarios. Cuando se encuentra alguna inconsistencia de parámetros, el sistema envía una alerta a los gestores de riesgo para que analicen el caso y para que la actividad sospechosa, si se comprueba, sea reportada a las autoridades competentes.
Principales criterios que usa el sistema de monitoreo y de alertas:
- Ingresos y patrimonio del cliente incompatible con las operaciones que usualmente realiza.
- Aumento en la cantidad de operaciones realizadas por el cliente dentro de un periodo determinado.
- Contratación de nuevos productos y servicios que no concuerdan con el perfil del cliente.
- Cambios frecuentes en los datos del registro del cliente.
- Movimientos en especie por encima de determinado valor.
- Extralimitación de los límites concedidos.
- Reincidencia de alertas por movimientos atípicos.
- Denuncias registradas en el sistema interno.
- Gran volumen de transferencias a terceros.
- Muchas transacciones de pequeño valor.
- Recursos parados en cuenta corriente.
Políticas para la actualización de información de clientes
De acuerdo a reglamentaciones por los entes de control anualmente se debe realizar la actualización de la información de los clientes, cada compañía debe establecer cuál será el procedimiento que se va a aplicar para llevar a cabo esto.
Esto con el objetivo de conocer el comportamiento financiero, crediticio y comercial del cliente, de igual manera verificar el cumplimiento de sus obligaciones legales y realizar todas las gestiones pertinentes para confirmar si la información que se tiene es verídica, al igual que la identidad del cliente.
De igual manera cada entidad debe contar con formularios de clientes para persona natural, persona jurídica, conocimiento definiciones, peps persona natural y persona jurídica administraciones e informarle a sus clientes sobre la política de tratamiento de la información personal.
Esto permitirá tener un control sobre el origen de cada uno de los clientes y de sus actividades.
Normativa aplicable sobre protección de datos personales:
- Artículo 15 de la Constitución Política de Colombia.
- Ley Estatutaria 1266 de 2008.
- Ley 1273 de 2009.
- Ley Estatutaria 1581 de 2012.
- Decreto 1377 de 2013.
- Decreto 886 de 2014.
Listas restrictivas
De acuerdo con la ONU las listas restrictivas o listas vinculantes, “son aquellas bases de datos nacionales e internacionales que recogen información, reportes y antecedentes de diferentes organismos, tratándose de personas naturales y jurídicas, que pueden presentar actividades sospechosas, investigaciones, procesos o condenas por los delitos de Lavado de Activos y Financiación del terrorismo”.
En el caso de Colombia la única lista vinculante es la de la Onu, porque el país es miembro de las Naciones Unidas y es manejada por el Consejo de Seguridad de este organismo.
Lista permitida: existe otro tipo de lista que es la Ofac o también conocida como la lista Clinton, allí se encuentra la información de todas las personas que afectan las finanzas americanas por sus actividades ilícitas en el lavado de dinero y quienes también están acusadas de tener algún tipo de relación con el terrorismo, proliferación de armas de destrucción masiva y narcotráfico.
Las entidades financieras pueden no tener ningún tipo de relaciones con las personas que se encuentran allí, ya que este tipo de vinculación puede traer efectos negativos.
Lista de cautela: este tipo de lista son expedidas por entes reguladores nacionales o internacionales en las que relacionan a compañías o personas que hayan incurrido en actos delictivos relacionados al lavado de dinero, financiación del terrorismo o fraude fiscal.
Lista propias: cada organización es libre de contar con sus propias listas, sin embargo, es importante que estas cumplan con las normativas definidas en la ley 1581 de 2012 o más conocida como Ley de Habeas Data, la cual brinda parámetros para garantizar la protección de datos.
Otras listas
- Lista Pep: Personas expuestas políticamente
- Terroristas de Canadá
- Terroristas de la Unión Europea
- Sancionados financieros en Reino Unido
- Más buscados de Perú
- Colombianos presuntamente vinculados con LAFT
- Contratistas sancionados
- Fugitivos buscados por el Servicio Secreto
- Más buscados por el ICE
“Utilizar cuanta técnica de valoración estadística pueda usarse, no siempre es la mejor opción, es diferente asociar el resultado de un modelo de regresión hacia el comportamiento crediticio de un cliente al querer valorar un comportamiento para LAFT del mismo cliente, no se debe discriminar del todo iniciar de lo básico, valorar a su cliente bajo una escala de score de riesgo, es un inicio, pero siempre sustentado en lo que usted conoce del comportamiento típico de su operación, del tipo de servicio que ofrece su entidad y por sobre todo, tener claro cuál es el riego de su cliente frente a variables típicas como ocupación y/o actividad económica, disponibilidad de efectivo, nivel de ingresos, zona de influencia, naturaleza de sus operaciones y su capacidad financiera (activos y patrimonio), frente al comportamiento que se esté presentando”, sostiene el experto Alexander Devia.
Estructura del sistema LAFT
Identificación del riesgo: Reconocer los riesgos que se podrían presentar o manifestar de cualquier manera.
Medición de la probabilidad y el impacto del riesgo: verificar y medir la probabilidad de que el riesgo se pueda dar y si se llegara a manifestar que impactos causaría.
Control del riesgo: el plan que se pondrá en marcha debe brinda la posibilidad de controlar los riesgos clasificados.
Monitoreo del riesgo: revisión y seguimiento que se le hará al plan que se está ejecutando para identificar los riesgos que se puedan presentar y estar alerta de situaciones que puedan ser sospechosas.