En el desarrollo del 14º Congreso Panamericano de Riesgo de Lavado de Activos y Financiación del Terrorismo que se realizó en Cartagena entre el 24 y 25 de julio, se llevó a cabo un conversatorio sobre el rol de la auditoria interna en relación con la prevención del lavado de activos. En este artículo Infolaft presenta las principales opiniones de los participantes sobre este asunto, así como las conclusiones a las que se llegaron.
Las mejoras en los sistemas de gestión de riesgo
La primera persona en participar fue Ignacio Cortés, socio de la firma de auditoría Kpmg, quien señaló que los tres temas en los que se han evidenciado mejoras en los sistemas de gestión de riesgo son, en primer lugar, la sofisticación generada en los modelos de administración del riesgo como consecuencia de los avances tecnológicos. Cortes agregó que hoy en día existen empresas especializadas en ofrecer dispositivos tecnológicos que ayudan a las empresas a administrar los riesgos a los cuales se ven expuestos, razón por la cual las empresas deberían pasa de modelos de gestión de riesgo estáticos a modelos más dinámicos en donde lo importante no sea lo que ya pasó sino lo que está por venir.
De la misma forma señaló que esta situación también debería generar un mejoramiento en los análisis que realicen los expertos ya que para dicho análisis se deberían apalancar en modelos más sofisticados como los estadísticos, con lo cual se podrían evitar falsos positivos. Cortes indicó que otro tema en el que ha habido mejoras es en las pruebas que realizan los auditores en las variables de entrada, las etapas de la ejecución y la salida o resultado del modelo.
Otro de los avances que mencionó el experto es que se ha evidenciado mucha más formación académica en materia de gestión del riesgo de LA/FT y señaló que en los cursos que se dictan en esta materia ya no solamente asisten oficiales de cumplimiento o personal del área de compliance, sino también directivos y personas de las áreas ejecutivas de las compañías.
¿Qué explica la diferencia entre los hallazgos en las auditorias del supervisor y de los órganos de control?
La segunda intervención del conversatorio estuvo a cargo de Gerardo Sotelo, socio de Bdo Consulting. Sotelo señaló que no se puede generalizar en cuanto a que el regulador encuentra en todas las entidades vigiladas, de una u otra forma, falencias en los sistemas de administración de riesgos de LA/FT, así como tampoco se puede generalizar en cuanto a que los auditores en general realizan su trabajo de manera superficial.
Indicó que la forma de ver los sistemas de administración del riesgo al interior de las firmas de auditoría ha cambiado en la medida en que tales sistemas hacen parte de la rutina del auditor y han involucrando a expertos multidisciplinarios en la auditorías que realizan. Sotelo también mencionó que las grandes firmas de auditoria cuentan con programas de revisión hechas a la medida del Sarlaft para cada uno de los tipos de entidades financiera, volviéndose un tema rutinario.
Para complementar la respuesta anterior, el moderador le preguntó a Sotelo cuál ha sido el cambio que diferencia la metodología de auditoria entre la que se realizaba en el 2008 y la que actualmente se lleva a cabo. La respuesta fue que uno de los temas más importantes es que se están involucrando expertos en temas de prevención de LA/FT en estas auditorias y debido a este involucramiento se han especializado los procedimientos de auditoría de acuerdo con la entidad, lo que implica que los auditores se están involucrando cada vez más en los modelos de gestión de riesgo de las entidades.
Por su parte, Ignacio Cortes señaló que cada vez hay una exigencia técnica y profesional de cada una de las personas que están realizando este tipo de auditorías y, al igual que Sotelo, señaló que dentro de las auditorías cada vez se están involucrando más especialistas en bases de datos, asuntos legales y cuando hay modelos avanzados se incorporan especialistas en lavado de activos.
¿Cuál ha sido la retroalimentación que reciben las áreas de cumplimiento?
La siguiente intervención estuvo a cargo de Carlos Fernando Díaz, oficial de cumplimiento del banco Itaú. Díaz expresó que cuando se reciben los informes de auditoría hay hallazgos sobre los cuales el oficial de cumplimiento no es el directo responsable y se ven en la obligación de trasladar dichas observaciones a las áreas responsables. Recordó que el oficial de cumplimiento es el encargado de promover las normas y los correctivos del Sarlaft, los cuales deben ser informados a la junta directiva de la entidad.
En complemento de lo anterior, el moderador le preguntó a Díaz si dentro de los informes que presenta la auditoría se evidencias fallas que podrían hacer parte del riesgo operativo, a lo cual contestó que la mayoría de las fallas que se identifican en los controles sobre los procesos impacta en el riesgo operativo, pero desafortunadamente como el oficial de cumplimiento es el centralizador de todo lo que tiene que ver con el proceso de conocimiento del cliente es quien se está apersonando de responderlo.
En relación con este tema Sotelo opinó que la junta directiva está viendo al oficial de cumplimiento como el responsable de ‘‘absolutamente todo’’ lo que sucede al interior de la entidad que tenga alguna relación con la prevención del lavado de activos.
¿Los oficiales de cumplimiento son escuchados por las altas gerencias?
El primero en responder fue Ignacio Cortés quien mencionó que lo importante es establecer un buen sistema de gobierno corporativo donde haya funciones y responsabilidades claras por parte de los intervinientes en la gestión del riesgo de LA/FT. De igual manera señaló que según su experiencia las juntas directivas cada vez están escuchando más a los oficiales de cumplimiento debido a que tienen un rol fundamental en un riesgo que es crítico para la compañía: el riesgo de lavado de activos. También mencionó que muchas juntas directivas se están capacitando a través de cursos en temas de lavado de activos debido a que el tema les importa y les preocupa.
Punto seguido el moderador preguntó si la alta gerencia está poniendo como prioridad los temas de prevención de LA/FT porque hay realmente hay una conciencia o por las múltiples sanciones de sujetos obligados. En este sentido Cortés mencionó que se han hecho encuestas a las juntas directivas que permiten determinar que una de sus prioridades es el tema de ética y cumplimiento y riesgo porque lo importante para las organizaciones es el crecimiento sostenible y rentable, así como el cumplimiento de la norma.
El experto complementó su respuesta al manifestar que no se puede permitir que la gente crezca sin orden, sin gobierno y sin estructura, y las juntas directivas tienen claro que se debe crecer con tres tópicos principales: ética, cumplimiento y orden, y control.
Recomendaciones para una eventual actualización del Sarlaft
Carlos Díaz señaló que deberían estudiarse asuntos relacionados con el diligenciamiento del formulario de vinculación para autorizados en el sentido de replantear el contenido mínimo. También hizo referencia a la actualización anual de datos del cliente para que las entidades tengan autonomía para definir los segmentos más y menos riesgosos para llevar a cabo la actualización, poder tener una gobernabilidad de excepciones por nivel de riesgo y replantear –conforme a las recomendaciones del Gafi- el porcentaje de conocimiento de accionistas que de conformidad con el Sarlaft está en el 5%.
Como conclusiones del conversatorio, el moderador planteó entre otras, las siguientes conclusiones principales:
- Se debe privilegiar la ética.
- Debe haber un salto de lo operativo a lo estratégico, pues el oficial de cumplimiento es vital en el devenir del sector financiero y del sector real no solo porque es el encargado de los controles formales, sino que se encarga de la administración del riesgo de LA/FT.
- Se debe armonizar un sistema integral de administración del riesgo.
- Se deben encontrar sinergias entre Saro y Sarlaft, sobre todo en el tema de metodología de las etapas de gestión del riesgo.
