InfoLAFT y Lozano Consultores realizaron durante el pasado mes de marzo un interesante foro sobre prevención del lavado de activos y la financiación del terrorismo. Las conclusiones de la XIII Conferencia de FIBA, el monitoreo del SARLAFT, la nueva metodología de evaluación del GAFI y algunas recomendaciones de la Fiscalía para administrar el riesgo fueron los temas más destacados.
Monitoreo InfoLAFT para administrar riesgo
El director de InfoLAFT, Alberto Lozano Vila, inició su charla sobre Monitoreo del SARLAFT haciendo referencia a los dos monitoreos de medios de comunicación que ofrece InfoLAFT: el resumen semanal y el servicio Plus.
Resumen semanal
Es un compilado de las noticias más importantes de cada semana, el cual, según Lozano, ‘‘tiene poco análisis, precisamente para que el usuario sea quien analice la información, pero está organizado para que dicho análisis sea más fácil de realizar’’.
El servicio semanal tiene las siguientes secciones:
- Listas: actualizaciones de lista OFAC.
- Casos: información de capturas, denuncias y/o condenas por casos de lavado de activos o sus delitos fuente. Esta información sirve para diseñar eventos de riesgo, armar listas de negativos y realizar la medición del riesgo.
- Tipologías: información sobre las modalidades más utilizadas para LA/FT.
- Autoridades: registro actualizado de reformas normativas, cambios de funcionarios y anuncios en temas LA/FT.
- Eventos: datos sobre las reuniones plenarias de GAFI y GAFISUD, además de congresos y seminarios nacionales e internacionales de prevención LA/FT.
Servicio Plus
A su turno, el servicio Plus es una base de datos que se actualiza diariamente en la que se incluyen nombres de personas naturales y jurídicas presuntamente vinculadas y/o condenadas por lavado de activos y/o sus delitos fuente.
Viene en formato Excel para facilitar el ingreso de los presuntos vinculados en delitos a las bases de datos de las entidades financieras y del sector real de la economía.
El monitoreo del SARLAFT
Lozano recordó que si bien la norma exige hacerle seguimiento al SARLAFT para detectar fallas, esa es una tarea difícil de cumplir porque muchas entidades ‘‘no saben qué medir, no saben cómo medir y en ocasiones ni siquiera tienen las herramientas necesarias’’. Es preciso señalar que el mencionado seguimiento debe hacerse al riesgo inherente, riesgo residual, niveles de riesgo y factores de riesgo.
Según el Director de InfoLAFT ‘‘todos los riesgos deben tener controles y éstos (controles) deben funcionar adecuadamente. Además, el monitoreo debe ser oportuno, eficiente y eficaz’’. De igual manera, señaló que cuando una autoridad llega a una entidad que tiene fallas en su SARLAFT, lo primero que pregunta es por qué no se dio cuenta de las fallas en el sistema si ese es uno de sus deberes.
Es claro que un sistema de monitoreo parte de la base de tener información. ¿Pero dónde se puede conseguir? A este respecto, Lozano respondió que las unidades de cumplimiento deben hacer uso de la información que ya poseen las entidades. Por ejemplo, una buena estrategia sería la de mirar el sistema de metas comerciales, toda vez que allí se puede establecer a qué clientes visitaron los asesores comerciales, cuando lo hicieron y si el cliente presentó todos los documentos, entre otras.
Por otra parte, la norma pide analizar el nivel de riesgo, es decir, el riesgo desagregado. Para eso se debe hacer el análisis de los factores de riesgo y de los controles con los atributos que pide la norma, ya que un control puede ser perfecto en el papel, pero inútil si no se implementa en la realidad y si no se cumple. ‘‘El control se debe mirar más allá de lo teórico para llegar al alcance’’.
De igual manera, Lozano advirtió que para este propósito se debe tener en cuenta el nivel de riesgo aceptado. ‘‘Ese nivel no se lo inventan los oficiales de cumplimiento, eso lo establece la Junta Directiva de la entidad. Inclusive, esa información se encuentra en la metodología de calificación de niveles de riesgo’’.
Indicadores prospectivos
Lozano Vila comenzó esta parte de su intervención señalando que ‘‘cualquier cosa que nos interese en el SARLAFT puede ser objeto de indicador’’. En ese orden de ideas, un indicador prospectivo es aquel que permite tener un evento que permita adelantarse a otro evento. ‘‘No es fácil diseñar indicadores y es menos fácil diseñar indicadores prospectivos, pero es algo que se debería hacer’’.
Ejemplos concretos de indicadores
Lozano indicó que unos buenos indicadores prospectivos serían el tiempo que se demoró la entrevista con el cliente o el tiempo transcurrido entre la radicación de la solicitud y la aprobación del servicio o producto. ‘‘Si la vinculación fue aprobada en tres minutos, posiblemente el SARLAFT no sea el mejor’’.
Otra forma práctica de saber si se cumplen con los criterios de vinculación de la entidad es mirar el inventario de formularios. ‘‘Si en las sucursales no hay formularios o hay muy pocos, eso indica posibles fallas a futuro, porque ese cliente podría ser vinculado sin ese requisito’’.
Para el caso de un cliente que presta sus productos financieros, se puede ir al registro de firmas y preguntarle a la persona autorizada a utilizar los productos del cliente ya vinculado, por qué va a hacer uso de la entidad. Otro buen indicador sería el uso de un producto en varias jurisdicciones en un corto lapso de tiempo.
No obstante, Lozano recordó que los indicadores no van a funcionar si los oficiales de cumplimiento no ‘‘levantan la mano’’ y le transmiten la información encontrada a la Junta Directiva. ‘‘El sistema de indicadores debería sintetizarse en el informe a la Junta’’.
Finalmente, Lozano afirmó que ‘‘parte de la gestión del Oficial de Cumplimiento ante eventuales inconsistencias es tomar correctivos, tales como cambiar el manual o parametrizar el sistema. No tienen que ir a cada oficina a solucionar los problemas, sino hacer ajustes’’.
Recomendación para la capacitación
Según Alberto Lozano, ‘‘las unidades de cumplimiento no deben comenzar sus capacitaciones en aquellas sedes donde mejor los atienden, sino donde hay más riesgo’’.
Además, ‘‘no les deben enseñar a los funcionarios las 40 recomendaciones modificadas del GAFI, sino mostrarles los controles que no se están cumpliendo. Para ello, la matriz de riesgo les puede dar el contenido de la capacitación que se debe hacer’’.
Nueva Metodología de Evaluación
El oficial de cumplimiento de Citibank, Ernesto López Villegas, explicó con base en su experiencia –también se desempeñó como secretario ejecutivo del Grupo de Acción Financiera del Caribe GAFIC– que en las anteriores rondas de evaluación se observó que muchos estados crearon entidades o sacaron leyes para cumplir con algunas recomendaciones, pero en términos reales no había cumplimiento.
Según López Villegas, la nueva metodología de evaluación del Grupo de Acción Financiera Internacional (GAFI) pondrá mayor énfasis en el cumplimiento efectivo de las 40 recomendaciones modificadas y no tanto en la emisión normativa.
Por otra parte, indicó que ‘‘el GAFI evalúa directamente a sus estados miembros, mientras que los demás países son evaluados por los organismos regionales tipo GAFI a los que están adscritos’’. Colombia, por ejemplo, hace parte del Grupo de Acción Financiera de Sudamérica (GAFISUD).
Ernesto López, oficial de cumplimiento Citibank. Foto por InfoLAFT
El papel de los privados
Por otra parte, López indicó que si bien las recomendaciones del GAFI están dirigidas a los gobiernos, no por ello dejan de ser importantes para las entidades privadas. ‘‘Un ejemplo de lo anterior es que, por lo general, las autoridades aumentan sus visitas de supervisión un año antes de la evaluación de GAFISUD porque buscan poner la casa en orden’’.
Además, aseguró que si bien los evaluadores se entrevistarán con muchas autoridades, también lo harán con algunas entidades para preguntarles cómo se implementan los controles en la práctica. López aclaró que GAFISUD no evaluará a los privados, sino que buscará identificar si las recomendaciones están aterrizadas.
Otro aspecto relevante para tener en cuenta, aseguró, es que las entidades privadas deben diseñar sus controles de prevención LA/FT y de proliferación de armas teniendo como base la evaluación de riesgo que realizan los propios países.
¿Cómo se hacían antes las evaluaciones?
López recordó que en las anteriores rondas de evaluaciones mutuas, varios países de la región prestaban a sus funcionarios expertos en prevención del LA/FT, quienes eran coordinados por la Secretaria Ejecutiva de GAFISUD para realizar la evaluación de otro país. Antes de la visita, los evaluadores tenían acceso a las respuestas que el respectivo país daba a un cuestionario.
Después de eso GAFISUD enviaba varios borradores al país evaluado para conocer sus observaciones. Al final, se publicaba el Informe de Evaluación Mútua.
Algunas inquietudes
A pesar de que López afirmó que esta nueva metodología ‘‘realmente es una mejora porque hace la evaluación más aterrizada y digerible para las entidades privadas’’, se mostró preocupado porque se desconoce el origen de los evaluadores y de los expertos de los Gobiernos que participarán en los debates implícitos de la evaluación. De igual manera, observó que todavía no está listo el método.
Al finalizar su participación en el Foro, planteó las siguientes preguntas:
- ¿Con cuánta anticipación se envía el cuestionario al país?
- ¿Cómo se van a conformar equipos de evaluación?
- ¿Cuantos días durara el equipo en el país?
- ¿Cómo se van a revisar los informes?
Panel de Oficiales de Cumplimiento
El panel estuvo conformado por Carmen Alicia Pérez, jefe de seguimiento de operaciones de Davivienda; Luís Bernardo Quevedo, oficial de cumplimiento del Banco de Bogotá; Carlos Díaz, oficial de cumplimiento de Itaú; y estuvo moderado por Alberto Lozano Vila, director de InfoLAFT y gerente de Lozano Consultores.
El tema abordado por los conferencistas fue la XIII Conferencia Anual de FIBA contra el Lavado de Activos, que se realiza a comienzos de cada año en Miami, EE.UU., y donde se tratan temas relevantes para la administración del riesgo en la región.
Lo más importante
Carmen Alicia Pérez:
Nacimiento de un nuevo auditor: los bancos extranjeros se han vuelto auditores de los sistemas de los bancos corresponsales. Se les está exigiendo establecer si las entidades financieras y las autoridades, en este caso de Colombia, cumplen con adecuados programas de prevención LA/FT.
Rol del Oficial de Cumplimiento: dentro de la organización debe tener jerarquía, porque si no tiene acceso a la Junta Directiva tiene que renunciar. Deben hacerse ver ante otras instancias de la entidad como aliados para hacer buenos negocios. Es necesario que logre adecuada interacción con el área comercial.
Más participación del oficial: el oficial de cumplimiento debe participar en los comités gubernamentales de la entidad. Por ejemplo, en los comités de Presidencia y en aquellos donde se define la creación de nuevos productos o la apertura de nuevas oficinas.
Cumplimiento no es prioritario: algunas entidades no le dan la importancia que tiene la prevención del lavado de activos y/o la financiación del terrorismo. Ese es un grave problema a resolver.
Actualizar los sistemas: hay que buscar la manera de renovar los sistemas, muchos de ellos datan de hace varios años y son estáticos.
Ser autocrítico: es necesario que las unidades de cumplimiento evalúen la eficacia de sus sistemas y no esperar a hacerlo cuando exista la amenaza de una sanción de la Superintendencia Financiera.
Crear conciencia: se debe concienciar a todas las unidades de negocio de las entidades sobre la exposición al riesgo LA/FT. Las fuerzas de negocio deben ver el cumplimiento como un aliado que les ayuda a hacer buenos negocios.
¿Cómo se hace? No se habló de cómo hacer la tarea del oficial. Fue un chaparrón de tareas.
Experiencias propias: es recomendable invitar a las áreas que más problemas generan al interior de la entidad en torno al riesgo LA/FT para darles a conocer a profundidad las bondades del cumplimiento. Las experiencias propias son muy útiles.
Luís Bernardo Quevedo
FATCA: se debe estar a la expectativa de las nuevas reglamentaciones en la materia, pero mientras tanto hay que implementar mecanismos que permitan identificar personas que puedan tener obligaciones tributarias con Estados Unidos. Se prevé que se deberán reelaborar formatos de vinculación y adecuar bases de datos de las entidades, entre otros.
Buen trabajo de la matríz: las grandes compañías que tienen varias filiales en distintos negocios (bancos, fiducias, comisionistas y demás) tendrán que garantizar el cumplimiento integral de las normas de prevención LA/FT. Si la fiduciaria incumple, afecta al banco.
Definir roles: el sistema de prevención LA/FT de una entidad falla porque los roles no se definen adecuadamente.
Todo no es tarea del oficial: desde el punto de vista de la gestión de riesgo, muchos piensan que la prevención del LA/FT es tarea única del oficial de cumplimiento. El principal responsable de cumplir con el SARLAFT es la junta directiva y desde allí deben partir las estrategias.
Carlos Díaz
Control interno: Se debería medir el riesgo del oficial de cumplimiento por todos los frentes que tiene y, al mismo tiempo, debe tener la capacidad de delegar responsabilidades. Para ello sirve la Circular Externa 038 de 2009 que habla de la autogestión, autocontrol y autorregulación del control interno.
El Oficial no debe acaparar: el oficial de cumplimiento se volvió el acaparador de todas las solicitudes externas. Es necesario que no le asignen más tareas.
Claridad: hasta el momento no se sabe a ciencia cierta cómo se deben detectar los casos de lavado de activos y/o financiación del terrorismo en temas relacionados con la evasión fiscal o las armas de destrucción masiva.
Al finalizar el interesante panel, los participantes coincidieron en que fue relevante el hecho de que en la XIII Conferencia Anual de FIBA no se pusiera a Colombia como ejemplo de todos los males y riesgos LA/FT. La mirada ahora se está dirigiendo a países como México, Uruguay y Argentina.
Ir más allá: Fiscalía
La intervención de Gilmar Santander, fiscal especializado de la Unidad Nacional para la Extinción de Dominio y contra el Lavado de Activos, giró en torno a la efectividad del sistema colombiano de lucha contra el lavado de activos y la financiación del terrorismo. De allí que iniciara su charla preguntándole a los asistentes al Infoevento si realmente existe en Colombia un sistema contra el LA/FT. La conclusión a la que llegaron tanto él como el público fue que ‘‘está en construcción’’.
Santander explicó que en muchas ocasiones las entidades obligadas cumplen objetivamente con el SARLAFT, pero la información que suministran no es suficiente, ‘‘esto ocurre, por ejemplo, con un formulario mal diligenciado’’. El Fiscal expuso, a modo ilustrativo, una situación narrada en un libro de Eduardo Galeano, según la cual durante muchos años el Ejército le prestó vigilancia a la entidad bancaria de un pueblo, y cuando un alto mando revisó la orden original, detalló que la misma decía: favor cuidar este banco para que nadie se siente, porque está recién pintado. Con el ejemplo, Santander evidenció que algunas veces ‘‘las cosas se hacen por costumbre, porque así se hacen y siempre se han hecho. Al automatizar las funciones a uno se le olvida su razón de ser. En el caso de la prevención del LA/FT debemos tener claros cuáles son los fines del sistema de prevención’’.
El expositor agregó que los fiscales e investigadores encuentran ‘‘una riqueza grande de información’’ cuando un formulario fue bien diligenciado por un cliente, por lo que las entidades deben entender que cumplen un papel fundamental en el sistema de prevención LA/FT. ‘‘Cuando hablamos de concepción sistémica, yo hago la comparación con un reloj por dentro. Todas las piezas tienen que estar engranadas, ya que si alguna funciona mal, falla el sistema’’.
Sugerencias prácticas
No cumplir por cumplir
‘‘Quiero que sepan que la información que permite obtener el trabajo bien hecho de una entidad es supremamente importante para nosotros’’, aseveró el Fiscal. Sobre este respecto indicó que hay una diferencia entre la lógica formal y la sustancial, toda vez que la primera se asimila a realizar las tareas simplemente por cumplir con una norma, mientras que la segunda se hace con el propósito de complementar y aportarle más al sistema.
Una buena forma de aplicar la lógica sustancial al interior de una entidad –por citar un ejemplo– es que en el formulario de vinculación la actividad de un cliente no aparezca simplemente como ‘comerciante’, porque hay muchas clases de comerciantes. Es importante que la información sea más explícita. Otra forma práctica, que también tiene que ver con el formulario, es buscar que los clientes no se registren únicamente como empleados, sino que se especifique el cargo y el sector. ‘‘Todos somos empleados de algo’’, indicó Santander.
También recomendó a las entidades luchar contra la permisividad ante las pequeñas infracciones. ‘‘Si detectan un caso de falsedad en un documento y lo reportan, eso nos sirve en el futuro para saber quién es la persona. La invitación es a que pasemos de la lógica formal a la sustancial’’.
El Fiscal Especializado también instó a las entidades a preguntarse si cuentan con un control de calidad de su sistema de prevención LA/FT.
Diferencia entre posibilidad y probabilidad
Para explicar este interesante concepto, Santander citó un ejemplo de los profesores Jairo Parra y Miguel Córdoba de la Universidad Externado: si una persona dispara un arma al aire, es posible que mate a un paracaidista que está cayendo desde el cielo, esa posibilidad existe. Pero si la misma persona hace el disparo al interior de una exhibición aérea la posibilidad aumenta y se convierte en probable. ‘‘Una de las objetividades que me dicen que podría darse ese resultado, para el caso expuesto, es que efectivamente hay paracaidistas en el cielo’’, indicó.
‘‘Esas objetividades me sirven como fiscal para convencer a un juez de un caso de lavado de activos. Muchas veces las objetividades las sacamos de los SARLAFT y los SIPLA, por lo que la información que ustedes nos suministran nos sirve mucho para determinar el grado de probabilidad’’.
Cuatro palabras
Según Santander, el sistema de prevención del lavado de activos y la financiación del terrorismo debe generar transparencia, confianza, seguridad y efectividad.
- Transparencia: cuando una entidad no cumple con sus deberes puede generar sospechas en el investigador a través de una hipótesis de caso. Si el trabajo se hace bien, proyecta transparencia.
- Confianza: un trabajo mal hecho siempre genera desconfianza.
- Seguridad: se debe tener conciencia de que el sistema debe apuntar a tener una sociedad más segura.
- Efectividad: el sistema debe ser efectivo para que los casos que sean detectados se puedan llevar ante tribunales o a la aplicación de extinciones de dominio.
Antes de cerrar su conferencia, Santander reconoció que persisten las deficiencias de comunicación entre las partes del sistema y que ese problema se debe resolver. ‘‘Se debe mejorar la retroalimentación. Sería muy útil que las entidades sepan en qué terminó su trabajo, en qué acabó el ROS que enviaron’’.