Lecciones 2018 en materia de Prevención de Lavado de Dinero en el Mundo: aún hay mucho por hacer.
A menor velocidad que a la que evoluciona el crimen organizado, las regulaciones, los reguladores y los sujetos obligados también lo están haciendo. Nuevos y cada vez más robustos requerimientos en materia de prevención de lavado de dinero (PLD) salen a la luz y con ello, el costo y las presiones regulatorias se incrementan rápidamente.
Cuando se habla de prevenir el lavado de dinero, es imperativo no caer en la corriente conformista y pensar que «con el cumplimiento a la regulación es más que suficiente». Prevenir este delito financiero debe considerar esfuerzos más allá del cumplimiento regulatorio. De esta manera, los programas se diseñan cumpliendo con la regulación y adicionado valor que verdaderamente permita a las Entidades adoptar un enfoque preventivo.
2018 estuvo marcado por casos de multas y sanciones a diversas Instituciones, derivadas de fallas en sus programas de prevención. Lo anterior, pone en evidencia la necesidad de fortalecer la cultura de la prevención al interior de las organizaciones.
Aquellos programas que son diseñados para cumplir, tienden efectivamente a considerar los puntos mínimos establecidos en las regulaciones aplicables; sin embargo, se dejan a un lado mayores esfuerzos de prevención y por consecuencia, el programa falla, permitiendo graves fallas y, en el peor escenario, el ingreso de flujos ilícitos a las organizaciones.
If you think compliance is expensive, try non-compliance – Former U.S. Deputy Attorney General Paul McNulty
Caso 1: UBS Financial Services
El pasado 17 de diciembre, fue publicado en la página de FinCEN, un comunicado sobre la posible multa de 14.5 millones de dólares hacia esta Institución por fallas en materia de PLD.
¿Qué sucedió?
FinCEN determinó que de 2004 a abril de 2017, UBS incumplió con los requerimientos de un programa de PLD y violó la sección 312 de la Ley Patriota para los procesos de debida diligencia en cuentas corresponsales de Instituciones Financieras Extranjeras.
Según el documento publicado por FinCEN, las principales fallas que tuvo UBS fueron:
- Políticas y procedimientos ineficientes para detectar transacciones sospechosas
UBS falló en desarrollar e implementar un apropiado programa AML basado en riesgo, que adecuadamente midiera los riesgos relacionados con cuentas que ofrecían ciertos servicios bancarios. Asimismo, la Institución no monitoreó adecuadamente transferencias denominadas en divisas y ejecutadas a través cuentas de commodities y de corretaje.
«El adecuado conocimiento del cliente en las transacciones es fundamental para la efectividad de un programa de cumplimiento» y según FinCEN, UBS falló en entender este principio para el tratamiento de compañías shell.
La actividad encontrada en algunas cuentas de clientes de UBS, exhibió algunos indicadores que han sido identificados por FinCEN como «banderas rojas» de potencial lavado de dinero.
La falla en UBS también incluyó el desarrollo de políticas y procedimientos adecuados para medir los riesgos de lavado de dinero asociados con el uso de cuentas de corretaje utilizado por clientes extranjeros.
- Fallas en el sistema de monitoreo
El sistema de monitoreo PLD de UBS falló en capturar información crítica sobre transferencias denominadas en divisa extranjera, como por ejemplo: información del remitente y destinatario y el país de origen y destino.
El documento menciona que si bien los analistas accedían a la información antes mencionada, caso por caso, a través de otro sistema de la Institución, esto no era suficiente para monitorear grandes volúmenes de transacciones por posible actividad sospechosa en cumplimiento con la Ley del Secreto Bancario (BSA, por sus siglas en inglés).
Sobre las cuentas de corretaje, se menciona que el sistema también presentó fallas ya que únicamente capturaba el monto y la fecha de la transacción y no la identidad o la ubicación geográfica del remitente o beneficiario, lo que impidió que se pudiera identificar e investigar potenciales transacciones sospechosas, basado en la presencia de factores de riesgo como jurisdicciones y PEPs.
- UBS no brindó los recursos necesarios al Oficial de Cumplimiento
FinCEN establece que la Institución, en algunas temporadas, carecía del personal necesario para revisar las alertas generadas y vinculadas con una potencial actividad sospechosa, lo que se tradujo en que UBS mantuviera un gran rezago de alertas y en un decremento en la habilidad para emitir un Reporte de Operación Sospechosa (ROS) en tiempo.
- Debida Diligencia fallida de cuentas corresponsales en Instituciones Financieras Extranjeras
UBS falló en implementar un procedimiento razonablemente diseñado para conducir periódicamente revisiones de la actividad de las cuentas corresponsales y determinar si ésta era consistente con el tipo y propósito de la cuenta.
Como resultado de lo anterior, algunas cuentas no fueron revisadas para asegurar que la información de cliente era confiable, vigente y adecuada para el nivel de riesgo.
El costo de la remediación
El documento menciona que UBS, del 1º de enero de 2016 al 1º de marzo de 2018, ha invertido más de 22 millones de dólares en el diseño e implementación de un sistema automatizado de monitoreo para todas las transacciones globales realizadas por la Institución y sus afiliadas. Asimismo, UBS ha incrementado su equipo de analistas a 20 individuos y su equipo de investigaciones a 15 personas.
Caso 2: Rabobank
El pasado 7 de febrero, el Departamento de Justicia de los EE.UU (DOJ, por sus siglas en inglés), publicó que Rabobank había acordado pagar más de 360 millones de dólares por incumplimiento de la BSA y por fallas en su programa Anti-Lavado.
¿Qué sucedió?
En el documento publicado en la página del DOJ, se indica que en 2013, Rabobank operaba no menos de 100 sucursales en California, incluyendo el Condado de Imperial y considerando su cercanía con la frontera México – EE.UU, estas sucursales y las cuentas abiertas y operadas por éstas, estaban expuestas a un mayor riesgo de ser utilizadas e involucradas en recibir, trasmitir y lavar fondos relacionados con la venta de drogas y otras actividades ilegales.
Según este documento, tanto Rabobank como algunos de sus ejecutivos y empleados, sabían que la OCC había sancionado al Banco por deficiencias en su programa PLD en 2006 y 2008 y estas deficiencias continuaron durante el 2012.
Las fallas presentadas en el programa de PLD entre 2009 y 2013 fueron las siguientes:
- Impedimentos para la Unidad de Monitoreo e Investigación
Rabobank implementó políticas y procedimientos que impedían y suprimían investigaciones sobre potenciales transacciones sospechas realizadas por sus clientes o por personas que actuaban a nombre de éstos y que pudieron haber estado involucradas en lavado de dinero.
Este impedimento resultó en que la Unidad de Monitoreo e Investigación no pudiera monitorear, investigar y reportar potenciales transacciones sospechosas que eran identificas por el sistema de monitoreo.
Según el documento, para 2010, Rabobank era consciente de que la actividad en algunas cuentas de alto riesgo, incluyendo las transacciones en efectivo y la actividad de transferencias, presentaba indicadores de tráfico internacional de drogas, crimen organizado y lavado de dinero.
- Conflicto de interés de empleados y personal no competente
Las responsabilidades del «ejecutivo A» incluían la administración de programa de cumplimiento en materia de prevención de lavado de dinero; sin embargo, antes de ingresar a Rabobank, este ejecutivo fue examinador de la OCC y estuvo relacionado con la investigación en contra del Banco.
Asimismo, Rabobank contrató a un ejecutivo como responsable del Departamento de Monitoreo e Investigación, sin importar que esta persona no había tenido experiencia previa en materia de prevención de lavado de dinero.
- Poco personal para el departamento de cumplimiento y para la Unidad de Monitoreo e Investigación
Durante algunos periodos de 2011, la Unidad de Investigación y Monitoreo tenía únicamente a 2 personas para administrar las investigaciones y 3 analistas para monitorear miles de alertas mensuales.
En esos periodos, el equipo de 3 personas debía revisar aproximadamente 2,300 alertas mensuales y los 2 investigadores debían realizar más de 100 investigaciones al mes, incluyendo aproximadamente 75 clientes a los que se debía redactar Reportes de Operaciones Sospechosas.
- Aceptación de negocios de alto uso de efectivo y clientes de alto riesgo sin establecer mitigantes
En Junio de 2010, el Gobierno de México anunció nuevas metidas anti-lavado que incluyeron la restricción para el uso de dólares en efectivo.
Esta situación puso en alerta a varios ejecutivos de Rabobank, ya que las sucursales en la frontera México – EE.UU, incluyendo aquellas ubicadas en Calexico y Tecate, dependían de manera considerable de los depósitos de efectivo realizados en México.
Algunas comunicaciones entre el departamento de cumplimiento y las sucursales indicaron que Rabobank sabía que estos depósitos estaban fuertemente vinculados a tráfico de drogas y crimen organizado; sin embargo, el Banco continuó la práctica de solicitar clientes con alto uso de efectivo en Mexico, fallando así en implementar apropiadamente la políticas y procedimientos destinados a mitigar los altos riesgos.
- Fallas en la investigación y reporte de actividad sospechosa
Derivado de las fallas anteriores, los ejecutivos encargados del departamento de cumplimiento, dieron la instrucción a la Unidad de Investigación y Monitoreo de no mantener alertas en «backlog», aunque derivado de la falta de personal, era una tarea imposible.
Para hacer frente a esta situación, Rabobank creó e implementó algunas políticas y procedimientos que impidieron que las investigaciones de potenciales actividades sospechosas se realizaran adecuadamente. Entre estas medidas se encontraban: (1) la creación de una «lista verificada» y (2) «la política de seguridad CMIR (Reporte 10,000 USD)».
La implementación de la «lista verificada» se dio junto a la instrucción de que si algún cliente aparecía en esta lista, no se necesitaba una revisión adicional por parte del equipo de Monitoreo e Investigación, incluso si la actividad del cliente había cambiado.
En 2009, Rabobank mantenía menos de 10 clientes en esta lista y como resultado de esta política agresiva, para 2012 más de 1,000 clientes habían ingresado como verificados.
Como resultado, los clientes de alto riesgo, incluyendo uno de los más grandes depositantes de la sucursal en Calexico, movilizaron más de 100 millones de dólares en transacciones sospechas sin que ningún Reporte de Operación Sospechosa fuera emitido.
Rabobank utilizó la Política de Seguridad CMIR para justificar su deliberada falla en investigar y emitir Reportes de Operaciones Sospechosas de movimientos tras-fronterizos de algunos de sus clientes o agentes.
Por ejemplo, algunos clientes «explicaban» cientos de miles de dólares en retiros estructurados como una manera de transportar efectivo en la frontera México – EE.UU sin representar el Reporte CMIR y esto era utilizado por el Banco como una «justificación» para no presentar el ROS.
Como otro ejemplo, el documento menciona que un cliente corporativo de Banco, basado en Tecate, estuvo inculcado en actividades sospechosas que incluyeron múltiples retiros estructurados de dólares. Desde 2009 hasta 2012, varias personas retiraron más de 1 millón de dólares en efectivo, generalmente por debajo del umbral designado de 10,000 USD.
A pesar de que Rabobank estaba consciente de la naturaleza sospechosa de estos movimientos, el cliente en total retiró más de 7.3 millones de dólares hasta 2013, año en que fue cerrada la cuenta.
El costo de la remediación
Si bien el documento no menciona la inversión que Rabobank ha hecho en materia de remediación de las fallas identificadas, sí declara que el Banco ha tomado las medidas suficientes para corregirlas, por lo que no se recomienda alguna medida adicional dictada por la Corte.
Caso 3: U.S. Bancorp
El pasado 12 de febrero, se publicó en la página del DOJ, el Acuerdo de Procesamiento Diferido (DPA, por sus siglas en inglés), en donde US Bancorp acepta la culpabilidad de los cargos imputados y accede a pagar una multa de 528 millones de dólares por fallas en el programa PLD y violaciones a la Ley del Secreto Bancario.
¿Qué sucedió?
Según el texto publicado, desde 2009 y hasta 2014, U.S. Bancorp, a través de su subsidiara U.S. Bank National Association, deliberadamente falló en establecer, implementar y mantener un adecuado programa de PLD.
- Personal insuficiente y no competente para las funciones de PLD
En 2007, USB nombró como Oficial de Cumplimiento a un abogado que no tenía experiencia previa en materia de prevención de lavado de dinero.
Asimismo, USB mantenía únicamente entre 25 y 30 investigadores en PLD, independientemente de los investigadores que ingresaron como resultado de la compra de otros bancos, USB no incrementó sustancialmente el número de éstos. En 2012, cuando los activos de USB alcanzaron los 340 mil millones de dólares, el banco contaba únicamente con 32 investigadores.
De igual manera, USB falló en incrementar los sueldos de ciertos empleados del departamento de PLD, aún y cuando los departamentos de Recursos Humanos y de cumplimiento presentaron quejas al Director de Riesgos sobre los sueldos por debajo del mercado que estaban recibiendo los investigadores.
- Límites en el número de alertas y fallas en el sistema de monitoreo.
Según el texto publicado, en abril de 2004 USB comenzó a utilizar un software comercial para el monitoreo de transacciones. Las herramientas automatizadas que se utilizaban en este sistema eran principalmente «queries» y «security blankets».
Las «security blankets» examinaban las transacciones que se encontraban en el sistema de manera mensual y asignaban a cada una un puntaje que reflejaba «qué tan inusual o inesperada» era para el cliente.
El Banco comenzó a implementar «queries» en 2005. Estos «queries» eran reglas que se ejecutaban en las transacciones de sistema para identificar potenciales indicios de actividad sospechosa.
Por una recomendación del vendedor, el Banco configuró el sistema para que las «securituy blankets» únicamente generaran un número preestablecido de alertas al mes, en lugar de mantener una configuración basada en riesgos que permitiera la generación de alertas correspondiente.
Con el paso del tiempo, aunque el Banco aumentó su tamaño, el número de alertas que eran revisadas cada mes fue reduciendo: en 2004, se alertaron 1,500 transacciones y para 2009, únicamente fueron 500. Las desiciones para reducir el número de alertas generadas por las «security blankets» fueron tomadas por un Comité, aunque las minutas no fueron resguardadas.
El racional de esta decisión, según los registros encontrados, fue el migrar la atención a las alertas generadas por los «queries», que eran más propensos a dictar actividades sospechosas.
No obstante, USB únicamente mantenía 22 reglas diferentes y limitó el numero de alertas arrojadas por las 6 principales reglas que normalmente generan la mayor cantidad de alertas.
Documentación adicional mostró que los límites en las alertas estaban en línea con los niveles de staff. Peticiones para contratar investigadores adicionales fueron realizadas, aunque no resultados en un incremento significativo.
- Suspensión de pruebas por falta de personal
Desde 2007, el Banco realizaba análisis «por debajo de umbral» de ciertas reglas para determinar si la limitación de las alertas estaba causando que se dejaran investigar un gran número de operaciones que potencialmente podrían derivar en un ROS.
Este procedimiento involucraba la selección de una muestra de alertas que ocurrían en rangos cercanos al umbral establecido y que no eran ordinariamente investigadas.
En noviembre de 2011, el empleado responsable de estos análisis informó al Oficial de Cumplimiento que «a lo largo del año pasado, los porcentajes de ROS para las pruebas por debajo del umbral promediaron entre 30% y 80% para las 4 reglas sometidas a análisis». Un porcentaje del 80% indica que el Banco presentaría los ROS en cuatro de cada cinco alertas adicionales que eligió investigar.
En lugar de incrementar los recursos y ajustar el umbral para asegurar que el volumen apropiado de transacciones estaba siendo investigado, en abril de 2012, el Banco dejó de realizar estos análisis.
La razón principal para esta decisión fue que los análisis mostraban que un alto porcentaje de potenciales alertas que derivaban en un ROS no estaba siendo monitoreado debido a las limitaciones.
- Falla en monitorear las transacciones de Western Union
En mayo de 2009, USB comenzó a ofrecer a clientes y usuarios, el poder realizar transacciones de Western Union, en las sucursales de USB. Para 2012, el Banco ejecutó 1.1 millones de transacciones de W.U, totalizando 582 millones de dólares.
El Banco reconoció en documentos internos que este producto era de alto riesgo y de acuerdo a un resumen de estas transacciones, en 2013 el 40% de las transferencias de WU fueron realizada a través de USB y más del 50% incluían países de alto riesgo.
Al el inicio de la relación, el Banco no realizó una medición inicial de riesgo o una revisión sistemática del total de las transacciones sospechosas que involucraban a WU para determinar si éste debía considerarse como cliente de alto riesgo.
USB era consciente de que aquellas transacciones realizadas por usuarios de WU no serán monitoreadas a través de los sistemas del banco. No obstante, USB decidió seguir procesando este tipo de transferencias.
- Falla en reportar de manera adecuada la actividad sospechosa de Scott Tucker
En octubre de 2017, Scott Tucker y su abogado fueron condenados por la Corte del Distrito de Nueva York por fraude, lavado de dinero y crimen organizado, derivado de su participación en un esquema de fraude de préstamos.
Tucker comenzó su relación con el Banco en 1997 y continuó operando sus cuentas hasta 2013. Tucker abrió y mantuvo numerosas cuentas a nombre de Compañías de las Tribus originarias de EE.UU, así como a nombre de otras compañías que él operaba.
Las compañías que prestaban dinero y que Tucker mantenía, utilizaban cuentas en USB para enviar transferencias diarias y recibir el pago de los prestamos.
Aunque USB tenía políticas para la apertura de nuevas cuentas y recabar la información correspondiente, el Banco no hizo mayor esfuerzo para conocer las actividades de las empresas de Tucker o su estructura corporativa.
Asimismo, aunque el Banco realizó algunas visitas domiciliarias que, según su política, incluyen el llenado de un cuestionario, USB aceptó repetidamente como «cuestionarios completos» aquellos que omitían información sobre las direcciones y oficinas de las empresas.
Después de una investigación a nivel corporativo sobre Tucker y sus empresas, USB decidió cerrar las cuentas mantenidas a nombre las Tribus en abril de 2011, basados en que representaban un «riesgo reputacional» para el Banco. No obstante, USB mantuvo las cuentas de Tucker y de sus empresas abiertas y operando.
En noviembre de 2013, el banco recibió una petición de información sobre las cuentas relacionadas a las empresas de Tucker y en ese mismo periodo, decidió enviar su primer ROS relacionado a estas cuentas.
La investigación del Gobierno reveló que USB permitió a Tucker transferir aproximadamente 230 millones de dólares procedentes de ganancias por su actividad criminal, después de que el Banco decidiera cerrar las cuentas de las Tribus en 2011.
Algunas Reflexiones
Como los casos analizados muestran, la falla más común de los programas de prevención de lavado de dinero es el sistema automatizado.
No es posible justificar esta falla y culpar a las personas de departamento de tecnología, ya que el área de cumplimiento, como área usuaria de la información, debe estar siempre atenta a la integridad y correcto funcionamiento de los sistemas.
Las pruebas de eficacia de los sistemas son una parte fundamental, tanto de la revisión de auditoría interna como del auditor externo. Pruebas utilizando analíticos de datos deben ser ejecutadas como apoyo para probar la integridad de todo el flujo de monitoreo.
Una falla muy común es pensar que el control, al ser «automatizado», es infalible. Aún y cuando el control recae en una herramienta tecnológica, debe ser constantemente monitoreado y sometido a procesos de mejora continua.
Los departamentos de cumplimiento deben comenzar a realizar ejercicios de análisis de datos de la información disponible con la finalidad de encontrar potenciales «outliers» que pudieran dar lugar a una inusualidad y con ello, nuevas reglas de monitoreo.
De la misma manera, la cultura de prevención al interior de las organizaciones debe ser fortalecida. El área de PLD suele verse como un «costo», ya que además de no generar ganancias, resulta una de las más costosas. Sin embargo, el escatimar en recursos necesarios, tanto humanos como tecnológicos, puede traducirse en millonarias multas y sanciones de los reguladores.
Mantener personal con experiencia en PLD es fundamental, así como también lo es el mantener sueldos que sean concordantes con el nivel de especialización que estos puestos requieren. Muchas empresas, al igual que los casos, pagan incluso menos que otras áreas de la misma Institución al personal de cumplimiento.
Los 3 casos muestran la importancia de mantener mecanismos de denuncia anónimos al interior de las organizaciones que permitan reportar, de manera efectiva, cualquier situación anómala que se esté presentando.
La mayoría de los casos de lavado de dinero y fraude a presentan un patrón: empleados de nivel medio y bajo que están conscientes de que las cosas se están haciendo mal, pero que por temor a perder su trabajo deciden no hablar. La cultura de denuncia debe ser parte fundamental de la cultura corporativa.
Llegamos a la época en la que todo gira en torno a los riesgos. Las Instituciones y los colaboradores deben ser conscientes de esto y capacitarse para poder diseñar programas adecuados, basados en riesgo. Si bien es cierto que la información «cuantitativa» en materia de LD/FT es poca para el diseño de un modelo matemático, también lo es que se debe aprovechar todo lo disponible. Existe información «cualitativa» valiosa para el diseño de estos enfoques.
La alta gerencia debe ser consciente de la importancia de la prevención. En la mayoría de las ocasiones, se excluye a los altos ejecutivos de los cursos de capacitación, cuando debe de ser lo contrario. Una cultura de «tone-at-the-top» es fundamental para que el esquema funcione.
Se termina 2018 con grandes retos, especialmente en materia de sistemas automatizados. Las Entidades deben apostar a realizar reingenierías de sus sistemas, a buscar efectivamente fallas y a contratar especialistas que verdaderamente les apoyen en este proceso. Al final, hay un dicho que dice «más vale prevenir que lamentar» y en materia de PLD, no se deben escatimar recursos.
El lavado de dinero es un delito que nos afecta a todos por igual y únicamente con un serio compromiso para fomentar una cultura de prevención, la lucha podrá tomar un mejor rumbo.
Por: Daniel Ortíz de Montellano
Manager, Forensic at KPMG en México(CAMS, CFCS, PLD – CNBV y AMIB)
Vicepresidente y vocero de la Comisión de Prevención de Lavado de Dinero e Integrante de la Comisión de Tecnologías Financieras y Emergentes del Colegio de Contadores Públicos de México. Presidente del Capítulo México de la Asociación de Especialistas Certificados en Delitos Financieros (ACFCS). Licenciado en Finanzas y Banca y Maestrante en Dirección Financiera por la EBC y Estudiante de Psicología
Leave a reply