En ediciones anteriores Infolaft ha explicado su recomendación del esquema de herramientas tecnológicas que deben tener las entidades reguladas con el fin de apoyar el desarrollo de sus actividades en la prevención del lavado de activos. En esta ocasión infolaft hace una descripción de las características de dichas herramientas a partir de estudios independientes y revisión de literatura.
Esquema de herramientas tecnológicas
El siguiente gráfico ha sido expuesto por infolaft en varios escenarios como un referente de las herramientas tecnológicas mínimas que debe tener una entidad para apoyar las labores y actividades relacionadas con la prevención del lavado de activos y la financiación del terrorismo.
Es importante mencionar que la mayoría de las herramientas que se listan a continuación no son exclusivas para el cumplimiento de las actividades de lucha contra el LA/FT, pues cumplen o tienen el potencial de cumplir con otro tipo de funciones dentro de la entidad:
Las contrapartes
En primer lugar se encuentran los sistemas que comúnmente emplea una entidad para administrar la información y las transacciones realizadas con sus contrapartes (empleados, clientes, proveedores, socios y accionistas). Muchas veces dichas herramientas están vinculadas con el sistema transaccional de la entidad o ERP, o también hacen parte de este último.
El CRM
El CRM (Customer Relationship Management en inglés) es definido por Horacio Croxatto en su libro Creando valor en su relación con sus clientes como “la administración de la interacción de los clientes y la empresa, a través del soporte de las personas y los procesos involucrados, a lo largo de todo el ciclo de vida del cliente”. En otras palabras y según el mismo autor, la herramienta pone al cliente como el centro de la organización integrando los procesos de servicio al cliente, suministro, marketing y ventas.
Pero antes de establecer relaciones comerciales con los clientes el CRM debe permitir a la entidad tener un buen conocimiento del cliente (KYC o Know Your Customer en inglés). En algunas entidades el software CRM se maneja aparte del software de vinculación pues el primero se enfoca en darle un manejo comercial al cliente mientras que el segundo tiene la finalidad de minimizar su riesgo de LA/FT a través de una vinculación.
Los estudios de la firma de investigación Chartis son un buen referente para conocer las características que deben tener los CRM y/o el software de vinculación en términos de cumplimiento. En particular, infolaft revisó el estudio titulado ‘Financial Crime Risk Management Systems KYC & client on-boarding solutions’, el cual muestra la metodología empleada para clasificar el software de esta naturaleza y del que se pueden extraer las características empleadas para evaluar dichas herramientas:
- Administración de alertas: el estudio analiza si el software puede administrar sus alertas a través de flujos de trabajo, detección de fraude y predicciones.
- Administración de casos: la herramienta debe poder hacer análisis, creación e ingreso de casos; elaborar flujos de trabajo y ofrecer la posibilidad de tener un repositorio de casos.
- Controles de seguridad: el software debe tener controles, reglas de usuarios, monitoreo del sistema y auditoría.
- Listas de cautela y monitoreo de sanciones: debe contar con reglas de negocio, reducción de falsos positivos y manejo de listas negras.
- Análisis de información registrada: debe hacer análisis de la información de identificación del cliente y realizar puntajes de riesgo basados en la información de KYC, cumplimiento interno y registro de eventos.
- Herramientas para generar informes: debe contar con cuadros de mando y monitoreo, indicar capacidad de detalle y tener la posibilidad de exportar.
- Análisis avanzado: debe permitir la inclusión de inteligencia artificial, aprendizaje automático, tratamiento del lenguaje natural y análisis de datos no estructurados.
- Administración del modelo de riesgo: debe contar con un modelo de identificación de riesgos y de evaluación, medición y monitoreo del desempeño del sistema.
- Soporte de datos y un marco de metadatos: el documento indica que las anteriores características tienen que ser respaldadas por una infraestructura de datos y metadatos escalable y flexible.
El SRM
Para el caso del manejo de los proveedores se tiene un software denominado SRM (Supplier Relationship Management en inglés) el cual, según Wendy Tate en su libro ‘The definitive guide to supply management and procurement’ “ayuda a las organizaciones a automatizar, simplificar y acelerar el abastecimiento de los negocios (…)”. Adicionalmente, según Tate, los SRM fueron desarrollados para favorecer el cumplimiento de la entidad con sus políticas de abastecimiento.
En la revisión realizada por Infolaft se pudo observar que los SRM no están enfocados en labores de prevención del riesgo LA/FT, lo cual es comprensible pues muchas veces las entidades optan por verificar a sus contrapartes potenciales en sistemas independientes. No obstante, sería bueno que dichos sistemas adopten controles básicos de los sistemas de KYC tales como la verificación en listas y el soporte de la debida diligencia según lo dispone el numeral 5.2 literal c. de la Circular 100-000005 de 2014 de la Supersociedades.
El Hrms
Según el portal HrPayrollSystems, los Hrms o Sistemas de Administración de Recursos Humanos son una combinación de sistemas y procesos que conectan la administración del recurso humano y las tecnologías de información a través de un software.
Similar al caso de los SRM, los Hrms no se caracterizan por incluir componentes o elementos para prevenir el riesgo LA/FT dentro de las organizaciones; es decir, que un Hrms no se podría entender como un software de ‘conozca a su empleado’. Lo anterior indica que dichos sistemas tienen un potencial de expansión en términos de cumplimiento y sus funciones básicas sirven para dar cumplimiento a ciertas disposiciones de la Circular 100-000005 de 2014, como por ejemplo soportar la evidencia de la capacitación de los empleados (ver numeral 4.6).
Aparte de la capacitación, el numeral 5.3 literal e. de la misma norma indica que “la empresa debe verificar los antecedentes de sus trabajadores o empleados tanto vinculados como por vincular y realizar por lo menos una actualización anual de sus datos”. Por lo tanto, el Hrms debe estar en capacidad de almacenar la información de la verificación y alertar cuando esta haya excedido el año.
Socios y accionistas y contratos no misionales
Para el caso de las contrapartes restantes, la información de estas se puede llevar en el sistema administrativo y contable de la entidad y, similar al caso de los sistemas SRM y Hrms, existe la posibilidad de aplicar controles básicos de listas.
El sistema transaccional y el ERP
Los ERP o Sistemas de Planificación de Recursos de la Empresa, según Kenneth Laudon y Jane Laudon en su libro ‘Sistemas de información gerencial’, son aquellos que “integran los procesos de negocio de producción y manufactura, finanzas y contabilidad, ventas y mercadeo y recursos humanos dentro de un solo software”.
Con respecto a los ERP, existe la posibilidad de que los sistemas empleados para administrar a las contrapartes se traslapen con los ERP, y que se utilice únicamente el ERP y que de paso se adopten algunos de los controles de conocimiento de las contrapartes.
En términos de cumplimiento lo más importante es que el ERP esté conectado con los otros sistemas especializados para el riesgo LA/FT que se mencionan en los próximos párrafos pues la información contenida en el ERP es su insumo principal para realizar la gestión de dicho riesgo.
Para obtener mayor información de los sistemas ERP se puede consultar el informe preparado en noviembre del 2014 por la firma de consultoría Gartner denominado ‘Magic Quadrant for SingleInstance ERP for Product Centric Midmarket Companies’.
Sistema de generación de conocimiento
En la edición 67 infolaft mencionó en su artículo ‘Herramientas de bajo costo’ que este sistema busca la realización de un análisis estratégico, estadístico y técnico de las bases de datos de las contrapartes con el objetivo de encontrar perfiles, pautas, relaciones y patrones que permitan determinar los parámetros para calificar una operación o un tercero como usuales.
Con el objetivo de ilustrar el tipo de herramientas dedicadas a esta labor más sobresalientes en el mercado, infolaft consultó el informe titulado ‘Magic Quadrant for Advanced Analytics Platforms’, el cual evalúa a 16 proveedores líderes de plataformas de análisis avanzado. El término Advanced Analytics Platforms o Plataformas de Análisis Avanzado es definido por Gartner como “el análisis de todo tipo de datos empleando métodos cuantitativos sofisticados (por ejemplo, estadística, minería de datos descriptiva y predictiva, simulación y optimización) que generan un entendimiento profundo, el cual es improbable obtener a través de los enfoques tradicionales de inteligencia de negocios –como consulta y generación de informes-’’.
El informe clasifica a los proveedores de dichas herramientas en cuatro cuadrantes: líderes, visionarios, retadores y operadores especializados. La siguiente es la clasificación propuesta:
Sistema de gestión del riesgo
En la edición 67 infolaft describió este sistema como el encargado de soportar la gestión de riesgo realizada por las entidades; es decir, que el software utilizado para este fin debe estar en la capacidad de registrar las actividades realizadas y las decisiones tomadas en cada una de las etapas de la gestión del riesgo LA/FT.
Para el caso del sistema de generación de riesgo, infolaft realizó una búsqueda de estudios independientes de software especializados en la administración de riesgo de LA/FT, pero dicha búsqueda fue infructuosa y el informe más cercano corresponde al de la administración de riesgo operativo realizado también por Gartner, el cual hace una revisión de los proveedores que ofrecen soluciones para la administración de dicho riesgo.
Es importante mencionar que la administración del riesgo operativo y el riesgo LA/FT tienen tanto diferencias como similitudes en términos metodológicos y conceptuales; sin embargo, infolaft considera útil realizar una breve exposición del informe. Según dicho informe, el riesgo operativo se define como aquel que “se refiere a la incertidumbre de las actividades tácticas diarias de negocio, así como a los eventos de riesgo resultantes de inadecuados o fallidos procesos internos, personas o sistemas, o de sucesos externos”.
Más allá de que el software permita a las empresas administrar las cuatro etapas de la administración de riesgos, es necesario que dichos sistemas tengan las siguientes características:
- Evaluación/documentación del riesgo y los controles: esto incluye una taxonomía o librería de riesgos, un catálogo de indicadores clave de riesgo, actualizaciones en cumplimiento regulatorio y metodología para la evaluación de los riesgos.
- Administracion de incidentes y captura y análisis de eventos de pérdida: contar con un repositorio externo de riesgo, flujo de trabajo para la administración de incidentes (revisión, escalamiento, investigación, resolución, disputa) y su reporte y con un análisis de causa raíz.
- Planes de acción para la mitigación del riesgo: hacer seguimiento de las acciones para mitigar los riesgos empleando gestión de proyectos, levantamiento de los controles frente a los riesgos, procesos de negocio y los requerimientos normativos.
- Reporte y monitoreo de indicadores clave de riesgo: tener un cuadro de mando de riesgo y la posibilidad de vincular los indicadores de riesgo con medidas de desempeño.
- Medición del riesgo y análisis de información: tener la posibilidad de realizar análisis de escenarios, realizar modelos estadísticos (simulaciones de Montecarlo, Var, Inferencia estadística bayesiana), análisis predictivo y habilidad para detectar el fraude.
Sistema de consolidación y reporte
Retomando lo mencionado en la edición 67 de infolaft, en este sistema la entidad debe estar en capacidad de conservar, custodiar, consultar y reportar cuando sea necesario la información, las transacciones y movimientos que hubiesen sido originados durante la operación y que estén relacionados con el proceso de prevención LA/FT de la entidad.
Tomando nuevamente como referencia las investigaciones realizadas por Gartner, dicha empresa prepara un informe que trata sobre inteligencia de negocios y plataformas de análisis, el cual está muy relacionado con el sistema de consolidación y reporte. Es importante definir el concepto de inteligencia de negocio, el cual es definido por Josep Curto Díaz en su libro ‘Introducción al business intelligence’ como “el conjunto de metodologías, aplicaciones, prácticas y capacidades enfocadas en la creación y administración de información que permite tomar mejores decisiones a los usuarios de una organización”.
El informe de febrero de 2015 de Gartner indica que dichos sistemas deben tener varias características, entre las cuales están las siguientes:
- Creación de aplicaciones híbridas (mashups) por parte del usuario a partir de información del negocio y modelado: hacer combinación de distintas fuentes de datos orientadas al usuario con la creación de distintos modelos analíticos tales como mediciones creadas por los usuarios, conjuntos, grupos y jerarquías.
- Exploración interactiva libre de formatos: permite la exploración de los datos a través de la manipulación de imágenes y la generación de gráficos no convencionales tales como mapas de calor, geográficos y árboles.
- Estilos tradicionales de análisis: permite al usuario realizar consultas ad hoc sin tener que depender del área de tecnología y realizar modelos de escenarios de ‘que pasa si’.
- Colaboración e integración social: permite a los usuarios comparar y discutir información, analizar y tomar decisiones a través de discusiones y realizar anotaciones.
Sistema de seguimiento transaccional
En articulo ‘Sistema de información para el seguimiento transaccional’, publicado en la edición 2 de infolaft, se mencionó que el sistema de seguimiento transaccional debe automatizar el proceso de generación de alertas por operaciones inusuales a través de interfaces y módulos que faciliten la comunicación del sistema con los distintos sistemas de información en los cuales se registran las operaciones del negocio.
Para consultar un listado de proveedores de herramientas tecnológicas de seguimiento transaccional los lectores de infolaft pueden consultar el estudio publicado por la firma consultora Chartis, titulado ‘AML and transaction monitoring solutions’, el cual realiza una clasificación de dichos proveedores, según su propia metodología, en: líderes de la categoría, soluciones empresariales, soluciones puntuales y los mejores de su clase.
Actualmente, muchos sistemas de seguimiento transaccional emplean reglas con umbrales fijos dependiendo de distintos escenarios o situaciones que se puedan presentar para cada uno de los factores de riesgo. Por ejemplo, una regla puede ser: que el sistema genere la alerta si el monto de las operaciones de crédito de una persona natural perteneciente al segmento #1 son superiores a $5 000 000 de pesos. En este caso, el monto que ‘dispara’ la alerta es fijo. Dichos tipos de alertas, a pesar de tener cierto grado de efectividad, no están exentos de falencias, según lo señalan Shijia Gao y Dongming Xu en un documento académico titulado ‘Conceptual modeling and development of an intelligent agent-assisted decision support system for anti-money laundering’.
Como solución a lo anterior los autores proponen desarrollar un sistema de monitoreo llamado ‘sistema inteligente de antilavado de dinero’, el cual “provee la habilidad de monitorear cada una de las transacciones bancarias, descubrir comportamientos inusuales y separar aquellas transacciones que representan un verdadero riesgo para los bancos”. Básicamente, el software automatiza parte del proceso de toma de decisiones y resolución de problemas en las fases de inteligencia, diseño, selección y revisión.
Artículos relacionados: Señales de Alerta: Sector Real. Ed. 61. y Herramientas de bajo costo. Ed. 67.