Si bien es cierto que la norma exige que como mínimo el área de auditoría interna realice anualmente una evaluación de todos y cada uno de los elementos y las etapas del Sarlaft, no sobra que las entidades se planteen la posibilidad de realizar una evaluación independiente que arroje resultados complementarios para la corrección y mejora del sistema.
La evaluación independiente de un sistema de administración del riesgo, en términos generales y de acuerdo con la definición del modelo Enterprise Risk Management - Integrated Framework of Committee of Sponsoring Organizations of the Treadway Commission (Coso), consiste en un proceso de valoración realizado por un agente imparcial que busca medir el rendimiento del sistema con el fin de identificar sus deficiencias para proceder a estructurar y aplicar las acciones pertinentes para corregirlas.
La importancia de este tipo de evaluaciones está dada no solo porque la norma obliga a que los Sarlaft de las entidades sean examinados y mejorados periódicamente, sino porque realizar este tipo de valoraciones independientes permanentes permite señalar las vulnerabilidades, las oportunidades, las fortalezas y las amenazas del sistema de administración del riesgo de LA/FT en su totalidad desde una perspectiva neutral y sin ningún tipo de contaminación proveniente de los actores involucrados en el giro ordinario de la operación del sistema.
Así, la importancia de que este tipo de examen sea independiente no solo se evidencia en que la neutralidad del evaluador le permite emitir juicios sin temor a alguna consecuencia negativa de parte de directivas o pares, sino que funciona también como un complemento de otros procesos de control interno y de autoevaluación al interior de la organización.
En este escenario resulta notorio que la fase de evaluación del Sarlaft (que incluye este tipo de valoración independiente) podría ser inclusive tan importante como la etapa de implementación, toda vez que a partir de ella se abre la puerta para robustecer todos los elementos y etapas que componen el sistema para así disminuir la probabilidad de ocurrencia de errores tecnológicos o humanos que puedan generar, más adelante, impactos legales, reputacionales, operativos o de contagio.
El proceso, a grandes rasgos
Resulta casi obvio advertir que cada proceso de evaluación independiente depende del tipo de organización, el giro ordinario de su negocio, su tamaño, su concentración o desconcentración geográfica, el número de personal involucrado en el manejo del sistema, el volumen de clientes y la cuantía de sus transacciones, entre otros factores. No obstante, existen ciertos parámetros comunes a estos procesos que bien se deben tener en cuenta a la hora de optar por iniciarlo.
Para que una evaluación independiente sea realmente útil es necesario que sea panorámica, es decir, que cubra todo el sistema en términos de efectividad y eficiencia de la operación (factores de los que depende su confiabilidad). Asimismo, es necesario que cada uno de sus componentes sea examinado respecto a las exigencias del marco normativo aplicable y de las políticas internas, mientras que se contrasta con las mejores prácticas aceptadas para la materia.
El primer paso, que de nuevo parece obvio pero es determinante para el éxito del examen, es que se establezca, de común acuerdo entre la empresa y el evaluador, un alcance realista del estudio que dará las pautas para todas las fases que siguen: recolección de información, diagnóstico inicial y primeros hallazgos.
Según el modelo Enterprise Risk Management - Integrated Framework (Coso), una iniciativa privada que reúne a cinco organizaciones que promueven la correcta gestión del riesgo corporativo, el control interno y la reducción del fraude), las fuentes de información que debe utilizar un evaluador independiente son, de una parte, todos los soportes documentales que se hayan generado en la operación del sistema de control interno (en este caso el Sarlaft), así como entrevistas directas o cuestionarios con los responsables o involucrados en el funcionamiento del sistema.
Estos datos se cotejan y corroboran entre sí, mientras que en paralelo se contrastan con el manual de prevención de lavado, otros manuales corporativos y las leyes y normas aplicables. A partir de esta recolección, depuración y sistematización inicial de información es posible obtener unos primeros hallazgos materiales y tangibles de vulnerabilidades, fortalezas y oportunidades de optimización del sistema.
Sin embargo, todo el conjunto de información debe ser analizado integralmente por el examinador quien, con base en su experiencia y los estándares y mejores prácticas aplicables, plantea las recomendaciones que considere prioritarias para corregir los errores más apremiantes para luego incorporar sugerencias de mejoramiento de lo existente que puedan ser introducidas a mediano plazo.
Es importante recordar que en este proceso las personas autorizadas por el evaluador o firma evaluadora deben estar facultados para acceder a los soportes documentales, lo que no debe suponer ningún problema puesto que está establecido por la autoridad que todo Sarlaft debe contemplar requisitos de respaldo y de seguridad documental, además exigir que este archivo se conserve en su forma original como mínimo por 5 años (que pueden extenderse hasta 10) luego de los cuales pueden ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.
Respecto a las encuestas, es recomendable que se realicen sobre todos los responsables de todas las áreas y procesos que tengan conocimiento fiable de las operaciones del sistema y que cuenten con algún grado de antigüedad que les permita tener parámetros de comparación. Incluso en entidades desconcentradas geográficamente es posible aplicar estas encuestas siempre que se seleccionen, como mínimo, las regionales más relevantes dentro de la estructura corporativa con fines de repetir el proceso de recolección de datos.
Freepik
Informe final
La evaluación culmina con unos hallazgos que deben ser traducidos en recomendaciones prácticas que el evaluador independiente hace llegar a los responsables del sistema (el oficial de cumplimiento, el representante legal o la junta directiva) para delinear un plan que permita, además de corregir los errores, optimizarlo y robustecerlo.
Suele ocurrir que entre la empresa y el evaluador medie un contrato en virtud del cual el examinador continúe con su papel de consultor externo en la siguiente etapa de ejecución de las recomendaciones, a modo de acompañamiento.
Un buen informe de evaluación independiente del sistema antilavado debe incorporar la metodología utilizada en todo el proceso pues resulta relevante poder conocer cómo se integró la información, además de que debe mostrar una clasificación de los grados de riesgo identificados con el fin de solucionar primero los boquetes que más probabilidad tienen de materializarse o que mayor impacto generarían. Este ejercicio de priorización es la base para canalizar adecuadamente los recursos económicos, humanos y tecnológicos de la organización.
Adicionalmente, a través del informe de evaluación independiente una entidad puede conocer de manera precisa la génesis de los problemas identificados así como otros datos necesarios para su corrección: cómo fue detectado, cómo se soporta dicha detección, cuál es su causa o posible causa, cómo impacta el sistema o la organización, y cuál es su posible solución.
Conocer los datos completos de los resultados obtenidos; es decir, tener una radiografía integral de los hallazgos es relevante porque de no conocerse el origen o causa de la vulnerabilidad, se limita la capacidad de maniobra y es probable que la recomendación final sea incompleta o no sea estructural, lo que finalmente terminaría por generar que no exista una mejora material del sistema.
Hay que tener en cuenta que, si bien el Sarlaft está conformado por una serie de procesos y herramientas tecnológicas, el informe no puede omitir que su operación depende de personas ubicadas en todos los niveles jerárquicos de la entidad, por lo que es necesario que esté consignada la escala de eficiencia según el nivel o área en la que se valora el sistema.
En todo caso, no sobra advertir que a pesar de que estos informes de evaluación independiente y externa tienen una base de experticia técnica, un marco normativo que lo rige y un catálogo de mejores prácticas estandarizadas, su naturaleza es la de un documento consultivo de un profesional determinado que debe ser contrastado con otros estudios de evaluación del sistema, específicamente con los informes internos anuales de evaluación del Sarlaft que debe realizar la auditoría interna y que también incluye la valoración de la efectividad y cumplimiento de todas y cada una de sus etapas y sus elementos.
¿Una o varias evaluaciones independientes?
Realizar evaluaciones independientes periódicas puede entrañar gran utilidad para una empresa, pero para que esto se materialice es necesario que todos estos procesos de examen se realicen con la misma metodología e indicadores y que valoren un lapso similar de tiempo, pues de lo contrario no será posible realizar comparaciones cronológicas que muestren el verdadero avance y mejora del Sarlaft.
En estos casos, y a pesar de que las evaluaciones cualitativas son importantes para temas específicos del sistema, sobre todo en sus etapas iniciales, es recomendable que cuando se seleccione a un profesional para realizar una evaluación independiente la propuesta incluya medidas cuantitativas y estandarizadas precisamente para maximizar el provecho.
Lo que se puede aprender del caso español
En países como España la legislación de prevención de blanqueo de capitales y contra el financiamiento del terrorismo dispone que todas las medidas de control interno de los sujetos obligados deben ser evaluadas anualmente por un experto externo para conocer el estado detallado de dichas medidas, su eficacia operativa y las posibles sugerencias de mejora.
Esta valoración externa en la legislación española tiene grandes repercusiones, pues está establecido en el Real Decreto 304 de 2014 que los órganos de administración del sujeto obligado adoptarán sin dilación las medidas necesarias para solventar las deficiencias identificadas en los informes del experto externo y que en el caso de deficiencias que no sean susceptibles de resolución inmediata, los órganos de administración adoptarán expresamente un plan de remedio que establecerá un cronograma de no más de un año.
Adicionalmente, y como ventaja adicional, se exige que todos los informes de valoración externa estén a disposición de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias por cinco años, lo que facilita el diagnóstico, control y sanción por parte de la autoridad.
De otra parte, y al tener un peso grande dentro del sistema antiblanqueo, según la Ley 10 de 2010 (España) no cualquiera puede realizar esta evaluación independiente y externa.
La norma es clara en señalar que este examen debe ser encomendado a personas “que reúnan condiciones académicas y de experiencia profesional que las hagan idóneas para el desempeño de la función” y que se encuentren registrados ante el Servicio Ejecutivo, autoridad a la que deben enviar un reporte semestral del número de evaluaciones externas realizadas y a qué sujetos obligados. Además, no debe haber tenido vínculo remunerado con la empresa dentro de los tres años anteriores o posteriores al informe.
ESPACIO COMERCIAL
El producto de Lozano Consultores
Lozano Consultores aplica una metodología propia que tiene como base de referencia las mejores prácticas y los estándares internacionales más reconocidos en gestión del riesgo y estructuración de sistemas corporativos, así como las exigencias de todos los cuerpos normativos colombianos, para realizar evaluaciones de sistemas de prevención del lavado de activos y la financiación del terrorismo.
Este procedimiento, que es llevado a cabo por un equipo multidisciplinario de profesionales y expertos en derecho, tecnología de la información, contabilidad y gestión del riesgo, entre otros, inicia con la recolección de todos los datos necesarios para hacer la evaluación.
Dentro de este acervo de información se encuentran los manuales y documentos internos aplicables, el soporte documental que dejó el funcionamiento del sistema, y entrevistas y cuestionarios a las personas involucradas en la operación del sistema.
Una vez se recolecta la información inicia la fase de análisis, que consiste en contrastar las etapas, los elementos, los mecanismos y los instrumentos existentes en el sistema con las exigencias normativas y las mejores prácticas. De este ejercicio se deriva un diagnóstico inicial en el que Lozano Consultores, con la ayuda de los colores del semáforo (rojo, amarillo y verde), muestra cada componente y su estado de cumplimiento:
Luego, y con base en los hallazgos, el equipo de Lozano Consultores presenta un desglose de cada uno de los componentes y señala cuál es el nivel de urgencia de atender las solicitudes. Asimismo, se realiza un estudio de la efectividad en el uso de listas por parte de la entidad evaluada y se hace una exposición pormenorizada del las situaciones de riesgo legal en la que se expone el evento de riesgo y su justificación.
Por último, Lozano Consultores estructura una propuesta de plan de trabajo para ajustar el sistema.
