Archivo Adjunto
Download
Report
Transcript Archivo Adjunto
La Auditoría de TI aplicada al proceso de
Prevención de Lavado de Dinero
Eduardo Ritegno
BNA
Mayo de 2009
La Auditoría de TI aplicada al proceso de PLD
1
Temario
►
Definición del Lavado de Activos / Mecanismos /Características.
►Categorías de
Riesgos (enfoque Basilea II) y su relación con PLD y TI.
►El
Marco de Gobierno Corporativo y Gobierno de la TI – COSO/COBIT.
►El
Marco de Control Interno para PLD y TI.
►Evaluación de
►Tipos
de Sistemas de PLD y modelo de Controles.
►Alertas
y tipología de Reglas y Perfiles del Sistema.
►Módulos
del Sistema de PLD y esquema general de Procesamiento.
►Practicas de
►
Riesgo – Mejores Prácticas.
control para la Auditoria de TI – Mejores Practicas.
Mitos y Conclusiones.
La Auditoría de TI aplicada al proceso de PLD
2
Definición de Lavado de Dinero y Etapas del Proceso
“El lavado de dinero puede ser definido generalmente como el proceso de
ocultamiento de la existencia, fuente ilegal, o aplicación de ingresos derivados de
una actividad delictiva, y el consecuente ocultamiento de la fuente de ese ingreso
para hacerla aparecer legitimo”
La Auditoría de TI aplicada al proceso de PLD
3
Definición de Lavado de Dinero y Etapas del Proceso
Tiene tres etapas definidas
►
La colocación de fondos de origen
ilícito en el mercado financiero
legítimo
►
La estratificación de esos fondos de
manera de disfrazar su origen, o
pertenencia con sucesivas
transacciones financieras (Ej. Cheques
de Viajero, transferencias, etc.)
Banco A
Banco B
Banco D
Banco E
Banco C
Banco F
Banco G
►
La integración de los fondos utilizando
transacciones aparentemente licitas
(Ej. Recompra de cheques, uso de
fondos de tarjetas previamente
depositados, recepción de
transferencias etc.)
La Auditoría de TI aplicada al proceso de PLD
Banco H
Empresa Legítima
4
Características del Lavado de Dinero
►
Ser un delito de cuello blanco.
►
Ser un conjunto de operaciones complejas y de difícil detección especialmente
cuando se realiza en el ámbito internacional.
►
Crear la apariencia de que los fondos ilícitos tienen un origen legal.
►
Ser un fenómeno globalizado y de dimensiones internacionales.
►
Servirse de los instrumentos del sector financiero y de sus avances tecnológicos.
La Auditoría de TI aplicada al proceso de PLD
5
Riesgos Primarios del Lavado de Activos – Comité de Basilea
Cumplimiento
►
Riesgo de sanciones normativas, perdida financiera material, pérdida de reputación que
un Banco puede sufrir a causa del no cumplimiento de las leyes y códigos de conducta
aplicables a sus actividades bancarias (Basilea Abr 2005)
El lavado de activos representa un riesgo desde el punto de vista del cumplimiento. El
panorama es complejo debido a que:
1.
En el marco nacional/internacional hay muchas leyes, reglamentaciones y principios
que tienen cierto grado de superposición. (FATF/GAFI, UIF/FINCEN, FFIEC,
A”4459”, Ley Patriota, SOX, Principios Wolfsberg)
2.
Comúnmente es necesario tener una correspondencia para ciertos aspectos que son
cubiertos por mas de una reglamentación/ley.
3.
Resulta difícil reconciliar estos problemas con las observaciones de los reguladores y
de los defensores del gobierno corporativo acerca de la necesidad de una supervisión
continua y el valor de las acciones de cumplimiento.
La Auditoría de TI aplicada al proceso de PLD
6
Riesgos Primarios del Lavado de Activos – Comité de Basilea
Operativo/Tecnológico
►
El riesgo operativo se define como el riesgo de pérdida debido a la inadecuación o a
fallos de los procesos, el personal y los sistemas internos o bien a causa de
acontecimientos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo
estratégico y el de reputación. (Jun 2004) Res A”4793”
De todos los riesgos este es el mas extendido, particularmente en operaciones
complejas como es el tema de Lavado de Dinero.
Se logra un mejor control:
1.
Documentando los procesos de evaluación de riesgos, supervisión y proceso de
gobernabilidad relacionado.
2.
Realizando un análisis de brecha para identificar proceso por proceso cuales son los
riesgos inherentes y los controles que se especifican y requieran algún tipo de
remediación
3.
Trabajando con estándares internacionales de TI y con las regulaciones locales de TI.
La Auditoría de TI aplicada al proceso de PLD
7
Riesgos Derivados del Lavado de Activos – Comité de Basilea
Reputacional
►
Si bien el Comité reconoce la dificultad de estimar este riesgo, básicamente se
puede dar como una falla de control que convierta al Banco en vehículo de una
acción dolosa o víctima de un crimen financiero. Lo que daría lugar a una
observación o una acción/sanción de cumplimiento por parte de los reguladores o
entes de contralor.
►
Este riesgo es un derivado del de Cumplimiento. Lo establece como un riesgo
secundario.
Estratégico
►
Es un riesgo inherente a cualquier proceso de negocio. Ser vulnerable al Lavado de
Dinero se convierte en riesgo estratégico en si mismo cuando la empresa pierda su
habilidad para planear o implementar cambios efectivamente y simplemente evalúe
que es riesgoso continuar con ese tipo de operaciones y deba discontinuarla.
La Auditoría de TI aplicada al proceso de PLD
8
PLD – Dos grandes pasos
Para lograr un programa efectivo de Prevención de Lavado
de Dinero básicamente se debe lograr un balance
enfocándose en:
Desempeño
►
►
Las políticas y procesos con buenos estándares de
cumplimiento de las legislaciones y reglamentaciones
Cumplimiento
Complementar estos esfuerzos con el soporte de la TI.
Esto se logra con una adecuada solución tecnológica y funcional dentro de un marco
de Gobierno de la TI y las buenas practicas.
La Auditoría de TI aplicada al proceso de PLD
9
PLD – Dos grandes pasos
“Es Clave la Alineación Estratégica de la TI con la necesidad operativa”
►
Los Recursos de TI y Procesos de TI -> brindan la información para
►
Los Procesos de Negocio -> que responden a
►
Los Objetivos del Negocio.
i
para
Información
Procesos de
Negocio
para
lograr
Objetivos de
Negocio
proveen
Recursos
de TI y
Procesos
La Auditoría de TI aplicada al proceso de PLD
10
Enfoque COSO – Marco de Control Interno
El modelo COSO no trata específicamente todo lo
referido a la administración de la información y la
tecnología de la información. Sin embargo la TI es
una parte implícita dentro de cualquier marco de
Control Interno independientemente del tipo de
riesgo que se trate:
►
Reporte Financiero
►
Cumplimiento
►
Operacional
Consecuentemente el riesgo tecnológico es un factor importante en el enfoque de
riesgo operacional de la organización.
La Auditoría de TI aplicada al proceso de PLD
11
Enfoque COBIT – Marco de Control Interno
El modelo COBIT brinda un marco de trabajo
para todos los procesos de TI, los objetivos de
control y las actividades que en definitiva se
adaptan al tratamiento de riesgo de TI
COBIT acorta la brecha entre la administración
de riesgos de alto nivel y los riesgos
específicos de la TI.
Los recursos de TI son administrados por los procesos de TI. parar lograr los
objetivos/metas de TI que responden a los requerimientos del negocio.
Este es el principio básico del marco de trabajo COBIT, como se ilustra en el cubo.
La Auditoría de TI aplicada al proceso de PLD
12
El Marco de Trabajo COBIT
OBJETIVOS DEL NEGOCIO Y
OBJETIVOS DE GOBIERNO
ME1 Monitorear y Evaluar el desempeño de
TI
MARCO DE TRABAJO
C
O B I
T
ME2 Monitorear y evaluar el control interno
PO1
PO2
INFORMACION
ME3 Garantizar el cumplimiento regulatorio
Integridad
Eficiencia
ME4 Proporcionar Gobierno de TI
Efectividad
Cumplimiento
Disponibilidad
Confidencialidad
Confiabilidad
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
Definir y administrar niveles de
servicio.
Administrar los servicios de terceros.
Administrar el desempeño y la
capacidad.
Garantizar la continuidad de servicio.
Garantizar la seguridad de los
sistemas.
Identifica y asignar costos.
Educar y entrenar usarlos.
Administrar la mesa de servicios
Administrar la configuración.
Administrar problemas.
Administrar datos.
Administrar el entorno físico.
Administrar operaciones.
PLANEAR
Y
ORGANIZAR
MONITOREO
Y
EVALUACION
RECURSOS
DE TI
Aplicaciones
Información
Infraestructura
Gente
ENTREGAR
Y DAR
SOPORTE
Definir un plan estratégico de TI
Definir la arquitectura de la
información.
PO3 Determinar dirección
tecnológica.
PO4 Definir los procesos,
organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y
dirección de la gerencia.
PO7 Administrar los recursos
humanos de TI.
PO8 Administrar la calidad.
PO9 Evaluar y administrar los riesgos
de TI.
PO10 Administra proyectos.
AI1
ADQUIRIR
E
IMPLANTAR
AI2
AI3
AI4
AI5
AI6
AI7
La Auditoría de TI aplicada al proceso de PLD
Identificar soluciones
automatizadas.
Adquirir y mantener software
aplicativo.
Adquirir y mantener
infraestructura tecnológica.
Facilitar la operación y el uso
Adquirir recursos de TI
.
Administrar cambios
Instalar y acreditar soluciones y
cambios.
13
Relación COSO - COBIT
COSO divide el control interno en cinco componentes
los cuales deben cumplirse para lograr los objetivos
de un programa de control integrado.
COBIT provee similares directrices para la TI a través
de sus controles generales en sus cuatro dominios.
El cubo compuesto establece que existe mas de una
relación de cada dominio de COBIT con los
componentes COSO. Esto es esperable dado que la
naturaleza de los controles generales de la TI
establecen la base de respaldo para los controles de
las aplicaciones.
MONITOREO
INFORMACION Y COMUNICACION
ACTIVIDADES DE CONTROL
EVALUACION DE RIESGO
AMBIENTE DE CONTROL
En la práctica, esta relación demuestra que los controles de TI son la base para otros
controles y establecen el basamento de un programa de control interno confiable.
COBIT se corresponde en un 100% con COSO
La Auditoría de TI aplicada al proceso de PLD
14
Marco de Control Interno para PLD y TI
►
Ambiente de Control: Antes de que el auditor se adentre en los
procesos de negocio relevantes que dan origen a los procesos de
TI y sus controles, conviene evaluar el esquema de control interno
y como se relaciona con el cumplimiento de los reportes
reglamentarios y de Actividad Sospechosa (SAR/STR).
Es clave para el ambiente de control de PLD:
1.
El involucramiento de los gerentes en las políticas aprobadas por el directorio.
2.
El mensaje y la postura que se transmite al nivel de la organización respecto de la
problemática.
3.
El conocimiento de los empleados sobre la letra y el espíritu del tema y la
frecuencia de las comunicaciones internas.
4.
Las directrices de la política de conozca a su cliente (KYC).
5.
El impacto de esta política en los controles de las aplicaciones de TI.
La Auditoría de TI aplicada al proceso de PLD
15
Marco de Control Interno para PLD y TI
►
Evaluación de Riesgos: Básicamente la institución debe
estar protegida de los cuatro tipos de riesgos ya
mencionados (según Basilea). La evaluación de estos
riesgos dará la base para desarrollar las actividades de
control.
1.
Es clave saber como se tratan estos temas en el comité de PLD encabezado por el
oficial de cumplimiento con la presencia de los representantes de diferentes
unidades de negocio.
2.
Los miembros del comité deben participar de evaluaciones periódicas del riesgo
con resultados elevados al directorio, enmarcado en un programa de mejora
continua de los programas internos.
3.
Se deben considerar además los riesgos inherentes de la TI, al nivel de seguridad de
datos, integridad y controles de cambio.
4.
Es importante contar con indicadores de los SAR/STR emitidos y compararlo
contra empresas de similar envergadura o actividad.
La Auditoría de TI aplicada al proceso de PLD
16
Marco de Control Interno para PLD y TI
►
Actividades de Control: Los auditores deben revisar las minutas a
fin de identificar si se efectúan las acciones correctas o si hay
alguna intención de modificar las políticas. Evaluar como se define
en las mismas, el apetito de Riesgo de la Organización. Validar si
las políticas y procedimientos están correctamente aplicados y
como se relacionan con la TI.
Desde el punto de vista de TI es imposible que se genere información confiable si no
existen controles de TI efectivos (COBIT).
Se deben revisar los controles referidos a:
1.
Operaciones del Centro de Datos
2.
Controles en el Software Aplicativo
3.
Seguridad de las aplicaciones
4.
Desarrollo y mantenimiento
La Auditoría de TI aplicada al proceso de PLD
17
Marco de Control Interno para PLD y TI
►
Información y Comunicación: Se debe evaluar la información
estratégica que impulsan los procesos SAR / STR / ROS de PLD
en cuanto a su calidad, oportunidad, precisión. Determinar que
información es necesaria para lograr los objetivos de control del
proceso de PLD y que a su vez la misma se comunique en un
marco de tiempo adecuado para permitir que se lleven a cabo las
tareas del proceso.
La auditoria de TI se debe focalizar en los procesos automáticos, las herramientas y los
reportes utilizados tanto para el monitoreo, como el escalamiento de la
investigación y el soporte de la actividad sospechosa.
►
Se deben evaluar los esquemas de reporte que requieren para comunicarse con los
entes de control UIF/FIU y el entrenamiento en los mismos.
►
Se deben verificar los diferentes tipo de accesos Web (BSA e-filing) Interfases
automáticas, formularios (FINCEN u otras UIF/FIU) Encriptación de datos
necesarios para el reporte.
La Auditoría de TI aplicada al proceso de PLD
18
Marco de Control Interno para PLD y TI
►
Cumplimiento y monitoreo: Tanto de las reglamentaciones como
las funciones automáticas soportadas por el sistema de PLD en
función de los requerimientos del negocio, y el monitoreo de
transacciones sospechosas.
Con cada vez mas frecuencia el desempeño y la efectividad de la
TI son monitoreadas con indicadores y métricas que evidencian si
las actividades de control están funcionando efectivamente. En el
marco COBIT se proveen indicadores de desempeño y metas en
las directrices gerenciales al nivel de cada Objetivo de Control.
En el caso de PLD esto es fundamental para establecer la calidad y la eficiencia de los
sistemas implantados que dan soporte al monitoreo.
Esto no debe ser confundido con una prueba independiente de las transacciones o de la
efectividad del programa de PLD, tal como lo establecen las “buenas practicas”.
La Auditoría de TI aplicada al proceso de PLD
19
Mejores practicas – Evaluación del riesgo
El foco primario para la demostración de una “mejor practica”, es que el enfoque de
prevención de lavado de dinero sea basado en riesgo, y proporcional al riesgo.
Lo que significa que primero se debe analizar e identificar el nivel de riesgo que debe ser
administrado por cada cliente, lo cual implica:
►
Una tipificación del cliente.
►
Una estratificación de los mismos en función de su actividad financiera esperada.
Esto también se relaciona con la dimensión de los sistemas a implementar descartando
aquellos que no puedan brindar un nivel de servicio requerido para esta temática.
Concretamente en lo que se refiere a los sistemas automáticos de detección, que servirán
para la generación de las alertas de la actividad sospechosa y el tratamiento de las
investigaciones.
La Auditoría de TI aplicada al proceso de PLD
20
Evaluación del Riesgo – Lecciones aprendidas
►
Considerar a todos los clientes como iguales, básicamente sabotea el propósito de la
evaluación de riesgo. Aun mas, lo que aparentemente se presenta como una solución
fácil, luego resulta “difícil de poner en practica”.
►
La evaluación del riesgo de PLD es un arte y no una ciencia. Se necesita poner en
práctica el esquema de “prueba y error” probando la metodología con la participación y
la revisión de los resultados por parte de todos los departamentos afectados por el
proceso de negocio. (Cumplimiento, Líneas de negocio, Oficiales de cuenta y
Operaciones como así también la Gerencia superior).
►
Se deben revisar los resultados de las pruebas y
trabajar en forma colaborativa para refinar la
metodología hasta tenerla estabilizada.
►
Una vez lista la metodología, se debe considerar
el entrenamiento en la misma.
La Auditoría de TI aplicada al proceso de PLD
21
Evaluación del Riesgo – Esquema practico
Cuando se efectúa una evaluación de riesgo, el foco debe estar centrado en el riesgo
inherente mas que en el riesgo residual
Riesgo Geográfico
Respuesta
Impacto y
Cantidad
Riesgo de Cliente
Probabilidad
Análisis
Riesgo
Respuesta
Residual
Acciones
al Riesgo
de Riesgo (Controles)
Productos y
Servicios
Identificar los Factores de Riesgo
Evaluar la cantidad de Riesgo
Evaluar la Calidad del Riesgo
Plan de Acción/Táctico
Como se materializa el RIESGO en el sistema Con los patrones inusuales de transacciones
La Auditoría de TI aplicada al proceso de PLD
22
Características de los sistemas de PLD
Una clasificación primaria de los tipos de
sistemas se basa en la calidad y
eficiencia de sus motores de búsqueda.
Sistemas Manuales: Filtran únicamente por
una regla como por Ejemplo
transacciones mayores a $ 10.000,-
SISTEMAS PLD
MANUALES
AUTOMATICOS
Sistemas Automáticos:
►
►
Basados en Reglas : Filtran en función
de múltiples reglas y perfiles de
Clientes/KYC.
BASADOS EN REGLAS
INTELIGENTES
Inteligentes: Con las mismas
características, mas búsqueda de
tendencias.
La Auditoría de TI aplicada al proceso de PLD
23
Características de los sistemas Automáticos de PLD
►
Identifican transacciones individuales o patrones de actividad inusual o
desviaciones de la actividad esperada.
►
Estos sistemas pueden capturar un amplio rango de actividad en cuentas como
depósitos y extracciones transferencias, Clearing, transacciones de Cajeros
Automáticos directamente de los sistemas CORE de las instituciones financieras.
►
La carga de los datos provenientes de las aplicaciones CORE o LEGACY de los
bancos se realizan a través de mecanismos de ETL, de extracción transformación y
carga (Requiere una correspondencia de datos – “Mapping”).
►
Almacenan toda la información extraída en una Base de Datos específica, que
reserva la información histórica por largos períodos de tiempo.
Todos los bancos que tienen gran cantidad de cuentas o que operan en diferentes
locaciones, tienen este tipo de sistemas (típicamente).
La Auditoría de TI aplicada al proceso de PLD
24
Sistema Automático Basado en reglas de PLD
►
Detectan las transacciones inusuales que no cumplan las reglas establecidas por la
gerencia.
►
Los esquemas consisten en pocas o muchas reglas dependiendo de la complejidad
del sistema y de la organización.
►
Las reglas se aplican tomando una serie de filtros transaccionales o motor de reglas.
►
Son mas sofisticados que aquellos sistemas manuales que solamente filtran por una
regla.
►
Pueden aplicar filtros múltiples o complejos. Por ejemplo primero a todas las
cuentas y luego a un subset de las mismas, dependiendo de la categoría de riesgo
(Determinado tipo de cliente).
►
Pueden filtrar por perfiles individuales asignado a una cuenta en particular y
realizar consultas del tipo Ad-Hoc en función de una investigación que no
respondan a una regla definida.
La Auditoría de TI aplicada al proceso de PLD
25
Sistema Automático Inteligente de PLD
►
Son sistemas adaptativos que pueden cambiar su análisis a lo largo del tiempo
basados en varios factores como patrones de actividad, tendencias recientes,
cambios en la base de clientes u otros factores trabajan a lo largo de la organización
en función de la actividad de los clientes y transacciones históricas.
►
Cargan los datos transaccionales y la información de clientes en una Base de Datos
con un motor multidimensional del tipo OLAP (“On line Analytical Processing”),
pueden detectar actividades sospechosas que no responden a una regla específica.
►
Estos sistemas transforman dinámicamente el riesgo complejo en una modelización
de riesgo de manera que los algoritmos puedan ser usados para detectar la actividad
sospechosa con una mejor precisión y eficiencia.
►
Usan cubos de Base de Datos similares a los de un sistema de “Data Warehousing”
o “Data Mining”.
►
Presentan gráficos de relaciones entre cuentas, flujos de fondos y Tableros de
Control.
La Auditoría de TI aplicada al proceso de PLD
26
Esquemas de controles – manuales o automaticos
El costo de prueba y documentación de controles se incrementa para los controles
manuales debido a que los mismos requieren mayor cantidad de horas de pruebas.
COSTO DE IMPLEMENTACION Y
PRUEBAS DE LOS CONTROLES
Los controles automáticos cuando trabajan en un ambiente confiable de controles
generales de la TI (Desarrollo, Control de Cambios, Seguridad de programas y
datos y Operaciones) requieren menor cantidad de horas de prueba una vez
implementados.
CONTROLES
MANUALES
CONTROLES DE
APLICACION
TAMAÑO Y COMPLEJIDAD DE LA ORGANIZACIÓN
La Auditoría de TI aplicada al proceso de PLD
27
Capas de controles en sistemas de PLD
Tendencias inusuales / Consultas AD HOC
Detección de relaciones ocultas
Cuentas
Efectividad
Detección en función de reglas- Escenarios
Cruzamiento listas OFAC/FinCen/PEP
Evaluación de Riesgo - Cuentas
La Auditoría de TI aplicada al proceso de PLD
28
Escalera de Controles de PLD en la Organización
INDEPENDENCIA
Cumplimiento / Crimen
financiero
EVALUACIONES
INDEPENDIENTES
MEJORAS EN CONTROLES
NUEVAS EVALUACIONES
DE RIESGO
PRUEBAS REGULARES EN
LA EFECTIVIDAD DE
CONTROLES
Operaciones /Front
Office
TRATO CON EL CLIENTE
MONITOREO DIARIO PLD
Regularidad en la revisión
Auditoría Interna o
Externa
NEGOCIO
La Auditoría de TI aplicada al proceso de PLD
29
Alertas del sistema de PLD – Tipos de Error
Las alertas se generan cuando se rompe una regla establecida
►
Falsos Positivos: Estadísticamente Error del Tipo I que implica detectar una
operación como sospechosa cuando en realidad no lo es.
Un exceso de transacciones falsos positivos que sean detectadas como sospechosas por
sistemas automáticos que luego resulten ser no problemáticas en la práctica es otro
problema común. De no encontrarse un balance adecuado en los limites de
detección se pueden llegar a cuadruplicar los costos de revisión de las áreas de
cumplimiento (EDD) cuando la tasa de falsos positivos es demasiada alta.
►
Falsos Negativos: Estadísticamente Error del Tipo II que implica no detectar una
operación como sospechosa cuando en realidad lo es.
Por otra parte no tendríamos sobrecarga operativa por un falso negativo, aunque las
consecuencias de este tipo de error estaría directamente relacionada con un mal
enfoque de riesgo cuando se establecieron las reglas.
La Auditoría de TI aplicada al proceso de PLD
30
Tasas de Investigación de alertas en función del tipo de sistema
Los sistemas basados en reglas tienen
normalmente una tasa del 1% de
investigaciones reales en función de
las alertas que se presentan como
pasibles de ser investigadas
Porcentaje s/total de alertas
Investigados
No investigados
Los sistemas que analizan tendencias y
presentan las mismas en combinación
con las reglas establecidas, tienen
normalmente una tasa del 15% de
investigaciones reales en función de
las alertas que se presentan como
pasibles de ser investigadas
Porcentaje s/total de alertas
Investigados
No investigados
La Auditoría de TI aplicada al proceso de PLD
31
Tasas de Investigación de alertas en función del tipo de sistema
En ambos casos los porcentajes de alertas e investigaciones se reducen drásticamente
en función de las siguientes alternativas:
►Una
baja rotación de la cartera de Clientes
►Repetición de
tendencias que como resultado de investigaciones anteriores fueran
desestimadas por el investigador
►Incorporación
a las reglas del sistema de las alertas por tendencias que se dan en
forma reiterativa
Recordar la siguiente relación
ALERTAS > INVESTIGACIONES/CASOS > REPORTES (SAR/STR)
La Auditoría de TI aplicada al proceso de PLD
32
Esquema básico del “Workflow” de análisis de casos
Investigador de
Debida
Diligencia
NIVEL 1
NO
Aprobación de la
investigación
NIVEL 2
SUFICIENTE
SI
NO
Intervención del
Of.
SUFICIENTE
Cumplimiento
NIVEL 3
SI
DESESTIMACIÓN DEL
CASO
NO
SAR
SI
Emisión del
SAR/STR
La Auditoría de TI aplicada al proceso de PLD
33
Tipología de los perfiles de un sistema PLD
►
Perfiles Globales o Generales (Afectan a todo el sistema)
►
Universales por Tipo de Cliente (Afectan a la tipificación del cliente)
►
Perfiles Estándar
►
►
Perfiles personas Jurídicas (Bancos/Compañía Seguros/Agencia de
Viajes/Particulares)
►
Perfiles personas Físicas
Perfiles estratificados por el conocimiento del Cliente (KYC) “Mejor práctica”
Ejemplo: No es lo mismo.
►
$10.000 para un Empleado de Comercio que para un
Gerente de una Empresa
►
$100.000 para una PYME que para una Corporación.
La Auditoría de TI aplicada al proceso de PLD
34
Tipología de Reglas de detección de un Sistema de PLD
►Todos
los cables o transferencias en los cuales el beneficiario y el ordenante son la
misma persona
►Todos
los cables o transferencias en los cuales la dirección del beneficiario es la
misma que la dirección del ordenante
►Criterios opcionales
►Cheques
número de transacciones > 3 y monto mayor a $50000
de viajero buscando por Originante persona/Banco, Moneda, Cantidad.
►Transferencias
de cliente mayores a cierto monto
►Criterios opcionales
►Transferencias
fechas desde/hasta.
ordenadas por el mismo ordenante con el mismo beneficiario
►Criterios opcionales
mayor a 10 transacciones o la Suma de transacciones
superior a determinado monto.
La Auditoría de TI aplicada al proceso de PLD
35
Tipología de Reglas de detección de un Sistema de PLD – Cont.
►
Cheques depositados para el mismo beneficiario
►
►
Criterio opcional mayor a 2 operaciones y la suma de importes mayor a
$10000
Cheques depositados del mismo librador o cuenta.
►
Criterio opcional mayor a “x” cheques o suma mayor a “x” importe.
►
Múltiples depósitos en Cajeros Automáticos en diferentes locaciones para una
misma cuenta o cliente.
►
Cheques recibidos del clearing con el mismo beneficiario
►
►
Criterio opcional mayor a 1 transacción y monto mayor a cierto importe
Cheques por cifras mínimamente inferiores a los criterios de reporte por ejemplo
si es $10000 –> Cheques por $ 8999 o $ 9999
La Auditoría de TI aplicada al proceso de PLD
36
Tipología de Reglas de detección de un Sistema de PLD – Cont.
►
Transferencias entrantes ordenadas por beneficiario y remitente común dentro de
los beneficiarios
►
Criterios adicionales número de transacciones mayor a 3 y suma mayor a
$25000
►
Transferencias mayores a determinado monto para clientes particulares
►
Pagos SWIFT no del país
►
Pagos salientes ordenado por un beneficiario en común dentro del ordenante
►
Transferencias salientes ordenadas por Ordenante con criterios de suma mayor a 5
o monto mayor a $50000
►
Velocidad para Corporaciones (Para todas las transacciones) Ejemplo: mas de tres
transacciones debito que sumen mas del 75% del monto de un crédito en cuenta
►
Velocidad para individuos: Ídem dentro de los 3 días de depositada
La Auditoría de TI aplicada al proceso de PLD
37
Módulos primarios de un sistema de PLD
CIP
Programa de Identificación y Aceptación de clientes (CIP)
CDD
MOTOR DE REGLAS
CALIFICAC. DE RIESGO
Monitoreo Automático de Transacciones, Calificación de
perfiles en función al riesgo (CDD)
KYC
COTROL DE
LISTAS
Cruzamiento de la Base de Datos contra filtros (Listas
OFAC/FINCEN/etc.)
EDD MANEJO
DE CASOS
GENERACION
DE REPORTES
La Auditoría de TI aplicada al proceso de PLD
(Manejo de Casos “WorkFlow” para investigación ampliada
EDD)
Reportes (SAR/CTR) – Impresión y generación de interfases
38
Esquema General de un sistema PLD
SISTEMAS CORE /
LEGACY
BANCO
REPORTES SAR / CTR
www
FRONT END / SEGURIDAD
CUENTAS
CORRIENTES
MODULOS / SERVIDOR
OF. CUMPLIMIENTO
CLIENTES
TRANSFER
ETL
SWIFT
ADM. SEGURIDAD
BASE DE
DATOS
MOTOR DE
REGLAS
SERVIDOR
HTTPS
CLEARING
ADM. SISTEMA
CONTROL
LISTAS
MODULO
CIP/KYC
ADMINISTADOR
DE CASOS
LISTAS OFAC / UIF
La Auditoría de TI aplicada al proceso de PLD
39
Practicas de Control - Evaluación Independiente de PLD
Cuando se evalúa un Sistema aplicado al proceso de PLD un auditor deberá preguntarse:
1)
¿Quién es el dueño y controla el sistema?
2)
¿Cómo se administran las interfases de entrada al sistema?
3)
¿Cómo se determinan los derechos de acceso lógicos al nivel de la aplicación y la Base de Datos? (SOX)
4)
¿Qué tipos de criterio de visualización o reglas utiliza el sistema y quien las establece?
5)
¿Han habido cambios o recalibraciones al sistema desde la ultima auditoría? Y si es así ¿están debidamente
justificados y documentados los cambios?
6)
¿Hay alguna excepción de clientes o productos o servicios que no sean capturados por el esquema de monitoreo?
¿Es válido el criterio que soporta tal decisión?
7)
¿Cómo se crean las alertas en el sistema? ¿Funcionan adecuadamente las reglas? (Prueba de transacciones)
8)
¿Cómo es el proceso de escalada de las alertas?
9)
¿Tiene el sistema características de auto cerrado de investigaciones o reportes? ¿quién las dispara?
10)
¿Esta el criterio y el mecanismo para cerrar alertas totalmente documentado?
11)
¿Cómo se generan los reportes de salida e informes del tipo SAR/STR/ROS o CTR/ROE?
La Auditoría de TI aplicada al proceso de PLD
40
Practicas de Control - Marco COBIT para la evaluación de PLD
1) ¿Quien es el dueño y controla al sistema?
PC2 Definir la pertenencia del sistema – PO4.9 Propiedad de Datos y de Sistemas
Asignar dueño para cada proceso de TI, definir claramente las responsabilidades del dueño. Como por
ejemplo su diseño e interacción con otros procesos, responsabilidad de rendir cuentas por los
resultados. Los propietarios toman decisiones sobre la clasificación de la información.
Riesgos:
►
Comportamiento del proceso poco confiable.
►
Mala interacción con otros procesos/ Información de negocio mal protegida.
►
Errores no solucionados.
Valor:
►
Procesos operando confiablemente / Reducción en las pérdidas financieras por perdida de la info.
►
Interacción efectiva con el entorno.
►
Problemas claramente identificados y resueltos.
►
Mejora Continua.
La Auditoría de TI aplicada al proceso de PLD
41
Practicas de Control - Marco COBIT para la evaluación de PLD
2) ¿Cómo se administran las interfases de entrada al sistema?
Enfocar el control en el módulo de ETL – Extracción, Transformación y carga.
AI7.5 Conversión de datos y sistemas
Planificar la conversión de datos y la infraestructura de migración como parte de los métodos de
Desarrollo incluyendo pistas de Auditoría, puntos de recupero de información, tratamiento de
excepciones de datos y resultados previos/posteriores de la conversión. Validar las transformaciones
(mapa) correspondencia de datos y Totales de Control.
Verificar especialmente si se aplican filtros que excluyan registros de clientes, productos o sucursales.
En el caso que existan verificar los documentos que soportan tal decisión
Riesgos:
►Falta
de integridad en los datos.
►Resultados
►Perdida
poco confiables en la conversión de datos.
de registros.
Valor:
►Nuevo
sistema operando como fue diseñado y soportando el proceso de negocio adecuadamente.
La Auditoría de TI aplicada al proceso de PLD
42
Practicas de Control - Marco COBIT para la evaluación de PLD
3) ¿Cómo se determinan los derechos de acceso al nivel de la aplicación y de la Base de Datos?
Es importante focalizarse en la integridad de la Base de Datos ya que ninguna transacción será
garantizada sin la apropiada seguridad y monitoreo. (SOX)
AI2.4 Seguridad y Disponibilidad de la Aplicación
Identificar la seguridad y los requerimientos de disponibilidad de la aplicación en respuesta a los riesgos
identificados alineados con la arquitectura de la información y la arquitectura de seguridad
Riesgos:
►Violaciones
►Controles
►Brechas
de Seguridad no detectadas.
compensatorios Costosos.
entre los controles de seguridad y las amenazas.
Valor
►Seguridad
preventiva y detectiva.
►Asegurar
la confidencialidad, integridad y disponibilidad de la información.
►Mantener
la disponibilidad del sistema para el procesamiento del negocio.
La Auditoría de TI aplicada al proceso de PLD
43
Practicas de Control - Marco COBIT para la evaluación de PLD
3) ¿Cómo se determinan los derechos de acceso al nivel de la aplicación y de la Base de Datos?
DS5.2 Plan de Seguridad de TI - DS5.3 Manejo de Identidad
Asegurarse que todos los usuarios internos externos y temporarios y su actividad en los sistemas sean
identificados unívocamente. Asegurarse que los derechos de accesos sean requeridos por la gerencia y
aprobados por el Dueño del Sistema e implementadas por el administrador de Seguridad
Mantener las identidades de acceso en un repositorio único.
Riesgo:
►Cambios
no autorizados al hardware y al software.
►Gerenciamiento
de los accesos no alineado con los requerimientos y comprometiendo al seguridad de
los sistemas críticos para el negocio.
►Violación
de la segregación de tareas.
Valor:
►Implementación
►Investigación
efectiva de los cambios.
adecuada de una actividad impropia de los usuarios.
►Comunicación
segura asegurando transacciones del negocio aprobadas.
La Auditoría de TI aplicada al proceso de PLD
44
Practicas de Control - Marco COBIT para la evaluación de PLD
4) ¿Qué tipos de criterios de visualización o reglas utiliza el sistema y quien las establece?
Las mismas deben ser establecidas por el Oficial de Cumplimiento en conjunto con la Gerencia y el
Directorio y con la supervisión de las Unidades Financieras o Reguladores de cada país.
AI2.5 Configuración e Implementación del Sistema Aplicativo para cumplir con los objetivos del
negocio. ME3.3 Evaluación del cumplimiento con requerimientos regulatorios.
Riesgos:
►Perdida
del foco del negocio.
► Perdidas
financieras y penalidades. Falta de identificación de la faltas al cumplimiento que impacten
en el desempeño y la reputación de la organización.
►Disponibilidad
e integridad del sistema reducidas.
Valores:
►Contar
con un sistema configurado para cumplir con los requerimientos del negocio.
►Buenas
prácticas para el tratamiento con las leyes y regulaciones, incorporadas a la Organización.
Es clave contar con la aprobación de los propietarios del proceso para llevar a cabo configuraciones de
este tipo de software aplicativo en cuanto a las reglas de proceso.
La Auditoría de TI aplicada al proceso de PLD
45
Practicas de Control - Marco COBIT para la evaluación de PLD
5) ¿Han habido cambios o recalibraciones al sistema desde la ultima auditoría? Y si es así ¿están
debidamente justificados y documentados los cambios?
AI6.2 Manejo de Cambios – Evaluación de Impacto. Prioridades y Autorización
Todo requerimiento de cambio debe ser evaluado en una forma estructurada para determinar el impacto
en el sistema y su funcionalidad. Asegurando su autorización.
Riesgos:
►
Problemas Colaterales No identificados.
►
Efectos adversos en la capacidad y el desempeño de la infraestructura.
Valores:
►
Análisis de impacto formalmente definidos basados en las expectativas y el riesgo del negocio y la
medida del desempeño.
►
Procedimientos de cambio consistentes. Nuevamente contar con la aprobación de los propietarios del
negocio.
La Auditoría de TI aplicada al proceso de PLD
46
Practicas de Control - Marco COBIT para la evaluación de PLD
5) ¿Han habido cambios o recalibraciones al sistema desde la ultima auditoría? Y si es así ¿están
debidamente justificados y documentados los cambios?
AI6.5 Cierre de los cambios y Documentación
Asegurarse que cuando los cambios estén implementados toda la documentación y procedimientos
relativos este debidamente actualizada
Someter la documentación al mismo nivel de pruebas que el cambio mismo.
Riesgos:
►
Incremento de la dependencia en individuos clave.
►
Falla en la documentación de configuración en reflejar el estado actual del sistema.
►
Falta de Documentación de los procesos de negocio.
Valores:
►
Procedimientos de cambio y documentación consistentes.
►
Expectativas Formalmente definidas.
La Auditoría de TI aplicada al proceso de PLD
47
Practicas de Control - Marco COBIT para la evaluación de PLD
6) ¿Hay alguna excepción de clientes o productos que no sean tomados por el monitoreo?¿Es valido el
criterio que soporta tal decisión?
ME3.1 Identificación de los requerimientos de cumplimientos legal, regualtorios y Contractuales
Asegurarse en una base de continuidad que las leyes locales e internacionales, las reglamentaciones y
cualquier otro requerimiento externo que deba ser cumplido, este incorporado en las políticas
estándares, procesos (y por consiguiente sistemas) de la Organización. Determinar el impacto que
esto tiene en los sistemas
Riesgos:
►
Posibles perdidas financieras.
►
Incrementar el riesgo de la continuidad del negocio debido a sanciones impuestas por los reguladores.
►
Riesgo de no cumplimiento debido a la ignorancia de ciertas leyes Identificación de las buenas
prácticas.
Valores:
►
Mejoramiento de la conciencia de los requerimientos legales.
►
Desempeño mejorado de la Corporación.
La Auditoría de TI aplicada al proceso de PLD
48
Practicas de Control - Marco COBIT para la evaluación de PLD
7) ¿Funcionan adecuadamente las reglas? Prueba de transacciones
ME2.5 Monitorear y Evaluar el control interno – Aseguramiento del Control Interno
►Los
Examinadores/Auditores deben realizar una prueba de las transacciones para evaluar la
conformidad del cumplimiento del Banco con los requerimientos regulatorios, determinar la
efectividad de sus políticas, procedimientos y procesos y evaluar los sistemas de monitoreo de la
actividad sospechosa.
►La
prueba de transacciones es un factor importante para formarse una conclusión de los
controles generales y los procesos de administración de riesgos.
►La
prueba de transacciones debe ser hecha en cada evaluación. La extensión de las pruebas y las
actividades involucradas se basa en varios factores como por ejemplo el juicio de valor del riesgo
que haga el auditor y el alcance esta directamente relacionado y puede abarcar todos los temas
identificados o las preocupaciones que surjan durante la evaluación.
►Los
auditores deben documentar su decisión en función de lo anteriormente expuesto.
SE DEBE REALIZAR AL MENOS UNA VEZ AL AÑO
La Auditoría de TI aplicada al proceso de PLD
49
Practicas de Control - Marco COBIT para la evaluación de PLD
10) ¿Esta el criterio y el mecanismo para cerrar alertas totalmente documentado?
AI2.3 Control y Auditabilidad de las Aplicaciones
Cuando se rompe un a regla se genera una alerta y se generan reportes. La auditoría de TI debe
evaluar el Workflow de EDD, realizando una investigación de los circuitos y las pistas de
auditoría del sistema.
El esquema de alertas debe responder a los siguientes criterios.
►
Básicamente de todas las alertas se deben tener dos estados:
►
Desestimadas
►
Investigación abierta
Solo se debe poder cerrar un reporte de alertas si las mismas se marcadas con alguno de los dos
estados mencionados.
Las investigaciones abiertas entran en otro circuito de las investigaciones como fue ejemplificado
anteriormente (Workflow).
En el caso de desestimarse una alerta luego de una investigación se debe justificar el porque se
desestima la misma para poder cerrarlo en el sistema.
La Auditoría de TI aplicada al proceso de PLD
50
Practicas de Control - Marco COBIT para la evaluación de PLD
11) ¿Cómo se generan los reportes de salida e informes del tipo SAR/STR/ROS o CTR/ROE?
El auditor deberá revisar el proceso de generación de los reportes identificando los procesos Manuales
(formularios PDF o manuales) o procesos Automáticos involucrados en las misma. En el caso de los
procesos Automáticos deberá evaluar que los mecanismos de reporte incluyan:
•
•
Interfases automáticas (Diseño estructurado).
Encriptación de Datos.
ME3.4 Aseguramiento positivo del cumplimiento. AC4 Validez e Integridad del procesamiento
Definir e implantar procedimientos para obtener y reportar un aseguramiento del cumplimiento.
Mantener la integridad a lo largo de todo el ciclo de vida del procesamiento.
Definir los procedimientos de manejo de errores durante la generación de los datos que aseguran de
forma razonable la detección, el reporte y la corrección de errores e irregularidades.
Riesgo:
Falta de evidencia en los errores producidos.
Errores de datos no detectados.
Valor:
Errores de procesamiento detectados oportunamente.
Posibilidad de investigar errores.
La Auditoría de TI aplicada al proceso de PLD
51
PLD y TI : Mitos
►
La tecnología es la solución para todos los problemas.
►La
solución estándar funcionará.
►Todos
los sistemas automáticos son iguales.
►Cuanto
mas sofisticado y caro sea un sistema será mejor.
►Los
departamentos de TI/SI no tendrán ningún inconveniente en implementar un
sistema nuevo de PLD.
►El
sistema de PLD capturará todos los clientes, transacciones y productos.
►El
manual del usuario del sistema es la política de PLD.
►Con
la implementación de un sistema se necesitarán menos personas para el
monitoreo.
La Auditoría de TI aplicada al proceso de PLD
52
PLD y TI : Conclusiones
►
Las instituciones financieras deben contar con la Tecnología PLD para:
►
Detección de comportamientos sospechosos.
►
Toma de decisiones.
►
Filtrado de bases de datos u otro tipo de archivos.
►
Monitoreo de transacciones.
►
La única manera de cumplir eficientemente con las obligaciones de cumplimiento de
PLD es con la ayuda de un Software que este alineado con este proceso de negocio.
►
No existe una solución fija que pueda ser implementada uniformemente en todos las
entidades Financieras.
►
La sistematización de los controles nunca eliminan el “Factor Humano”.
La Auditoría de TI aplicada al proceso de PLD
53
PLD y TI : Conclusiones - Final
►
El desarrollo y la capacitación de los recursos humanos tanto en áreas de
cumplimiento como tecnológicas es un factor critico para el éxito de los programas de
PLD.
►
Los desafíos técnicos que presenta esta infraestructura de detección deben ser
enfocados con adecuadas prácticas de Control (COBIT) para lograr que los sistemas se
conviertan en una herramienta invalorable y no en una carga para la Organización.
►
Los costos de implementar y mantener un esquema automatizado de PLD pueden ser
altos.
►
Los costos de no implementar y mantener un esquema automatizado de PLD pueden
ser MAS altos.
La Auditoría de TI aplicada al proceso de PLD
54
Preguntas
¡¡MUCHAS GRACIAS!!
EDUARDO OSCAR RITEGNO
[email protected]
¿PREGUNTAS?
La Auditoría de TI aplicada al proceso de PLD
55