Sistemas de monitoreo: el talón de Aquiles de los programas de Prevención LA/FT
Un componente elemental de los programas de Prevención de Lavado de Dinero y Financiamiento al Terrorismo (PLD/FT) es el sistema de monitoreo, ya que éste debe ser capaz de identificar las potenciales transacciones sospechosas y emitir las alertas correspondientes para ser analizadas y posteriormente, dictaminar si procede o no su reporte a las Autoridades. Al final del día, es difícil pensar en un programa de PLD/FT sin una herramienta automatizada que coadyuve a cumplir esta gran labor.
Derivado de lo anterior, la efectividad del programa de PLD/FT recae en buen medida en el sistema de monitoreo y muchas veces, éste no recibe la la importancia que merece. Como todo sistema, debe ser actualizado, mejorado y en si es necesario, se debe pensar en un cambio con el objetivo de encontrar la herramienta que permita a la organización mantener un eficaz programa de PLD/FT.
En el Reporte 2017 de Hallazgos de FINRA, el organismo menciona al monitoreo en materia de PLD como principal falla en las revisiones efectuadas y el año 2018, cerró con una multa por 10 millones de dólares a una importante Institución, derivada de fallas en sus sistemas de monitoreo, entre otros factores relacionados.
Todo esto evidencia la importancia de que los sistemas de monitoreo sean evaluados como parte de las revisiones integrales de cumplimiento que muchas legislaciones establecen; que sean sometidos a pruebas de estrés y que a través del uso de técnicas de analíticos de datos y otros «nuevos métodos», se realicen pruebas que permitan aseverar su correcto funcionamiento.
Si los sistemas de monitoreo son dejados de lado en las revisiones a los programas de PLD/FT, pueden ser el talón de Aquiles que provoque una falla no detectada a tiempo y con esto, las Instituciones pueden ser sujetas a grandes multas y daños reputacionales muy importantes.
Es cierto que no hay una única respuesta correcta para la interrogante ¿Qué se debe evaluar en el sistema de monitoreo?, pues cada Institución y cada Firma tendrá sus propios procedimientos y pruebas; sin embargo, existen factores clave a considerar y pueden ser útiles en todos los casos. Entre éstos, se encuentran:
Interconexión entre sistemas
Generalmente, las Entidades cuentan con un sistema «core» y un sistema de monitoreo. Dependerá del tamaño y tipo de Institución la cantidad de sistemas con los que pueda operar; sin embargo, todos éstos terminan enviando información al sistema de monitoreo.
Entre más sistemas «core» tenga la Entidad, más difícil se puede volver la validación de una correcta interconexión entre esos sistemas. Tener mapas de flujos que detallen cómo se interconectan es una tarea básica, que muchas veces no se cumple o no se tiene actualizada.
Es importante resaltar que, aunque esto pueda parecer una tarea del departamento de Tecnología, el área de Cumplimiento, como área usuaria, debe ser consciente de que es compartida. En la medida en que cumplimiento exija un mapa actualizado, sistemas se verá obligado a mantener esta tarea al día.
Integridad de los datos
Los sistemas, en su mayoría, cuentan con «candados» de ciertos caracteres permitidos, que facilitan la validación de integridad de la información que se está ingresado; sin embargo, ¿Qué pasa cuando el personal operativo logra violentar estos «candados» y no captura correctamente la información?, el sistema de monitoreo puede verse seriamente afectado.
Probar que los campos obligatorios tengan restricciones y que éstas no pueden ser violentadas por el personal operativo es una tarea que no se debe dejar de lado. Asimismo, la validación del flujo de información entre sistemas y que éste cumpla con los estándares de integridad establecidos, resulta aún más importante.
Utilizar cifras control es una tarea básica y elemental, que muchas veces no se considera, ni por el área de sistemas ni por el departamento de cumplimiento. ¿Cómo saber si están todas las transacciones que deben ser sujetas a monitoreo siendo efectivamente monitoreadas?, algunos casos han demostrado que, por error derivado de un carácter no permitido o una fecha mal capturada, se generó un error en todo el batch de transacciones a ser migrado al de monitoreo, impidiendo que éstas fueran enviadas y por consecuencia, nunca fueron monitoreadas.
La integridad de la información es elemental. Los sistemas deben ser capaces de emitir algún tipo de alerta o aviso que informe, tanto al área de sistemas como al área de cumplimiento si ha habido algún error en los datos y en general en el proceso, de lo contrario y generalmente, es algo que no se valida como parte de las «pruebas de auditoría» y cuando la Entidad se de cuenta de los errores, puede ser muy tarde.
Reglas de negocio efectivas
Todas las Instituciones cuentan con reglas de negocio que les permiten determinar qué transacciones son sujetas a ser monitoreadas y con base en éstas, se construye la base de monitoreo. Algunas reglas van desde ser predefinidas por las regulaciones, como el reporte de operaciones que superan algún umbral, hasta las que son diseñadas de acuerdo a las particularidades de cada Entidad.
Es entendido que estas reglas, desde hace algunos años, siguen un patrón basado en riesgo y que, siguiendo la lógica de EBR, deben permitir enfocar mayores recursos a aquellas transacciones que representen un mayor riesgo de lavado de dinero y financiamiento al terrorismo.
Si estas reglas son mal diseñadas o parametrizadas dentro del sistema de monitoreo, tendremos algo inefectivo, y más que ayudar al equipo de analistas, dará más y más trabajo, hasta que el tamaño del equipo sea insuficiente y con ello, se comenzarán a acumular casos sin analizar.
Uno de los principales problemas en las estructuras de los equipos de análisis es que los sistemas de monitoreo los sobrepasan. Las reglas de alertamiento de las Instituciones muy pocas veces se actualizan o no representan el riesgo real, por lo que lo hay tamaño suficiente de analistas para atender en tiempo y forma las alertas.
Diversas sanciones han sido impuestas por los reguladores derivado de las fallas en el análisis oportuno de las alertas generadas. No se busca «diseñar» una estrategia para que el sistema reporte lo menos y con ello garantizar un oportuno cumplimiento, se deben diseñar reglas que reflejen la realidad de la Institución y contar con el personal suficiente para atender puntualmente estos casos.
Al tener estas reglas de negocio, es incorrecto pensar que el sistema será infalible. Es necesario replicar las reglas como parte de las revisiones de cumplimiento para evaluar la idoneidad de éstas y en todo caso, sugerir cambios que permitan maximizar tanto el potencial del equipo de analista como del sistema de monitoreo.
Comunicación entre el departamento de Tecnología y de Cumplimiento
Cuando se habla de fallas en el sistema de monitoreo, no es necesario buscar «algún culpable». Al final, la multa será para toda la Institución y no para un área en particular. Si bien es cierto que el departamento de Sistemas es el encargado de vigilar y salvaguardar la integridad de las herramientas informáticas con las que opera la Institución, no se debe dejar de lado la labor del área usuaria, que en este caso es cumplimiento.
El departamento de cumplimiento debe validar que información que está generando el sistema automatizado es íntegra, veraz y oportuna. Se debe analizar si se está cumpliendo con las reglas de monitoreo, si se tiene información de todos los sistemas que están interconectados. La comunicación entre estos dos departamentos es vital para el correcto funcionamiento de los sistemas de monitoreo.
Cliente Único y fuzzymatch correcto
Diversas instituciones ofrecen múltiples productos y cuentan con muchas sucursales a lo largo de diversos Estados o Países. Buscar que todos los clientes con los que se tienen relaciones tengan un número de cliente único puede parecer una tarea retadora, aunque puede ser la mejor opción para evitar duplicidades y mantener un monitoreo efectivo.
Si los sistemas de operación permiten asignar más de una clave al mismo cliente, el sistema de monitoreo deberá ser capaz de juntar todos éstos para monitorear al cliente de manera efectiva; sin embargo, muchas veces esta tarea de agrupar diversos clientes se complica y se dejan registros fuera del alance.
Establecer un nivel correcto de fuzzy match es también una tarea importante. Si la Entidad busca agrupar a los clientes utilizando como campo llave el nombre, el nivel de fuzzy match generará muchos problemas. Lo más recomendable es utilizar una combinación de campos clave como nombre completo y fecha de nacimiento o nombre completo y número de seguridad social o de contribuyentes para brindar un mayor nivel de confianza.
Algunas conclusiones
En nuestra época en donde la tecnología es parte de la vida cotidiana, nos hemos vuelto completamente dependientes de ella. Es muy probable pensar que no fallará y olvidamos la famosa frase que dice «nada es perfecto, todo es perfectible».
Los sistemas de monitoreo son la columna vertebral de los programas de PLD/FT. Es impensable dar seguimiento y monitorear a los clientes y productos, sin una herramienta diseñada para ello y es por esta razón que las Instituciones deben cobrar más conciencia de la importancia de éstos.
Múltiples casos han evidenciado que una falla en el sistema de monitoreo, comienza a generar problemas más graves al interior de las organizaciones, pudiendo derivar en autorizar o dejar pasar flujos ilícitos.
Con las nuevas técnicas de automatización robótica (RPA) o aprendizaje de computadoras (Machine Learning), comenzaremos a ver un cambio en cómo los sistemas aprenden a detectar comportamientos más complejos, patrones más difíciles y sin duda, presentaremos grandes avances en esta materia; sin embargo, no podemos pensar en avanzar a estas técnicas de inteligencia artificial cuando las reglas de negocio no están bien definidas.
El área de Cumplimiento debe conocer realmente a la Entidad. Las reglas de negocio deben ser revaluadas constantemente si es que no están siendo efectivas. Las revisiones por parte de los terceros independientes deben considerar el testing de los sistemas en su totalidad.
Al final, nunca será suficiente cuando se habla de prevenir el lavado de dinero y el financiamiento al terrorismo y todas las actividades adicionales que se puedan implementar, siempre sumarán valor para proteger la reputación de la Institución y lo más importante: efectivamente se sumarán esfuerzos en esta lucha que nos compete a todos.
Leave a reply