Transcript auditoria al sarlaft
María del Pilar Mejía Sánchez Laura Carolina Cardona Mesa Septiembre 2012
NORMAS DE ATRIBUTO
Propósito, autoridad y responsabilidad Independencia y objetividad Aptitud y cuidado profesional Programa y aseguramiento y mejora de de calidad
NORMAS DE DESEMPEÑO
Administración de la actividad de auditoría interna Naturaleza del trabajo Planificación del trabajo Desempeño del trabajo Comunicación de resultados Seguimiento de progreso Decisión y aceptación del riesgo por parte de la administración
Cumplimiento
Tributaria
Operativa y/o procesos
Financiera
Tecnología
Ambiental
Observación Inspección Confirmación Comparación Análisis Cálculo P.E.D (procesamiento electrónico de datos)
Documento donde el auditor plasma los objetivos y alcance del trabajo, como mínimo este debe contener los siguientes aspectos:
Objetivo general y específicos de auditoría
Alcance
(delimitación en tiempo, recurso, proceso)
Antecedentes
( razones para desarrollar la auditoria)
Aspectos a evaluar
(da respuesta al que hacer para cumplir con los objetivos trazados)
Los objetivos de éstos documentos son: Facilitan la preparación del informe Comprueba y explica el detalle de las opiniones y conclusiones del auditor.
Sirve como evidencia ante la Ley Es guía para los trabajos siguientes Requisito para el desarrollo de nuestra labor como auditores tanto a nivel nacional como internacional .
Existen diferentes tipos de papeles de trabajo, como son: Programa de trabajo, cuestionarios, encuestas, hojas de cálculo, Listas de chequeo, documento soporte (factura, comprobante, recibo de caja, etc), extractos de actas, entre otros.
De quien es la propiedad de los papeles de trabajo?
Los papeles de trabajo preparados durante la auditoria, incluyendo aquellos que preparó el cliente para el auditor, son propiedad del auditor. La única vez en que otra persona , incluyendo el cliente, tienen derechos legales de examinar los papeles es cuando los requiere un tribunal como evidencia legal.
Al término de la auditoria los papeles de trabajo se conservan en las oficinas o despacho de contadores para referencia futura.
“ Deberá evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT, con el fin de determinar las deficiencias y sus Posibles soluciones. Así mismo, deberá informar los resultados de la evaluación al oficial de cumplimiento y a la junta directiva.
La auditoría interna, o quien ejecute funciones similares o haga sus veces, deberá realizar una revisión periódica de los procesos relacionados con las exoneraciones y parametrizaciones de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico ”.
CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
CONFORMACIÓN DE UN SISTEMA DE ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO Etapas Identificar Medir Controlar Monitorear Riesgo INSTRUMENTACION DEL SARLAFT Políticas Elementos Procedimientos Documentación Órganos Control Estructura Organizacional
Infraestructura Tecnológica
MECANISMOS DE CONTROL
CONOCIMIENTO DEL MERCADO DETECCIÓN Y ANÁLISIS DE OPERACIONES INUSUALES DETERMINACIÓN Y REPORTE DE OPERACIONES SOSPECHOSAS
INSTRUMENTOS DE CONTROL
SEÑALES DE ALERTA SEGMENTACIÓN DE LOS FACTORES DE RIESGO
SEGUIMIENTO DE OPERACIONES CONSOLIDACIÓN ELECTRONICA DE OPERACIONES
Etapas del SARLAFT Identificación, Medición o evaluación, Control, y Monitoreo
“
Auditoría Interna o quien ejecute funciones similares o haga sus veces
La auditoría interna, o quien ejecute funciones similares o haga sus veces, deberá realizar una revisión periódica de los procesos relacionados con las exoneraciones y parametrizaciones de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico”
Identificación (…) Esta etapa debe realizarse previamente al lanzamiento de cualquier producto, la modificación de sus características, la incursión en un nuevo mercado, la apertura de operaciones en nuevas jurisdicciones y el lanzamiento o modificación de los canales de distribución.
Para identificar el riesgo de LA/FT las entidades vigiladas deben como mínimo: Establecer las metodologías para la segmentación de los factores de riesgo.
Con base en las metodologías establecidas en desarrollo del literal anterior, segmentar los factores de riesgo.
Establecer las metodologías para la identificación del riesgo de LA/FT y sus riesgos asociados respecto de cada uno de los factores de riesgo segmentados.
Con base en las metodologías establecidas en desarrollo del literal anterior, identificar las formas a través de las cuales se puede presentar el riesgo de LA/FT.
CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
“Factores de riesgo Son los agentes generadores del riesgo de LA/FT. Para efectos del SARLAFT las entidades vigiladas deben tener en cuenta como mínimo los siguientes: Clientes/usuarios, Productos, Canales de distribución y Jurisdicciones.” “ Segmentación Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).“ CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
“Segmentación de los factores de riesgo (…) Clientes: actividad económica, volumen o frecuencia de sus transacciones y monto de ingresos, egresos y patrimonio.
Productos: naturaleza, características y nicho de mercado o destinatarios.
Canales de distribución: naturaleza y características.
Jurisdicciones: ubicación, características y naturaleza de las transacciones.
A través de la segmentación las entidades deben determinar las características usuales de las transacciones que se desarrollan y compararlas con aquellas que realicen los clientes, a efectos de detectar las operaciones inusuales.” CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
Relación con el cliente Montos- nivel de activos Propósito de la relación comercial Nivel de regulación del cliente/producto Complejidad Uso de intermediarios
Monitoreo
Esta etapa debe permitir a las entidades vigiladas hacer seguimiento del perfil de riesgo y, en general, del SARLAFT, así como llevar a cabo la detección de operaciones inusuales y/o sospechosas.
CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
“Para monitorear el riesgo de LA/FT las entidades deben como mínimo: Desarrollar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias del SARLAFT. Dicho seguimiento debe tener una periodicidad acorde con el perfil de riesgo residual de LA/FT de la entidad, pero en todo caso debe realizarse con una periodicidad mínima semestral.
Establecer indicadores descriptivos y/o prospectivos que evidencien potenciales fuentes de riesgo de LA/FT.
Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.” CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
Combinar indicadores descriptivos, indicadores prospectivos e indirectos (qué y cómo) Herramienta de gestión: permite evaluar la gestión de forma integrada (todo el Sistema) Se pueden determinar rangos de niveles de riesgo: monitorear y mantener esas metas Se tiene en cuenta la historia de los indicadores para evaluar la evolución del Sistema Se puede alinear al Sistema con la estrategia de la organización
Indicadores descriptivos: fuentes
Indicadores básico Conozca a su cliente Matrices de riesgo LAFT Controles internos Sistema de monitoreo Investigaciones internas
Indicadores descriptivos: áreas de la organización
Oficina de cumplimiento Área de riesgos Área de fraudes y seguridad Área de control interno Auditoría interna o externa Área de productos y canales Área de mercadeo Área comercial Área de procesos Área de formación y capacitación Área jurídica
Indicadores descriptivos: ¿qué son?
Nivel actual, Meta, Nivel de aceptación, Historia Factores de riesgo Perfil de riesgo Conocimiento cliente Otros
Indicadores descriptivos: ejemplos
Factores de riesgo (clientes, productos, jurisdicciones, canales) Nivel de exposición Distribución de los elementos en niveles de riesgo Incremento en niveles de riesgo alto muy alto
Indicadores descriptivos: ejemplos
Perfil de riesgo Indicadores de evolución del perfil de riesgo por proceso y por categoría de riesgo Basilea Controles ◦ Calificación del diseño de grupo de controles de LAFT por factor de riesgo ◦ Efectividad de los controles Eventos de pérdida de LAFT Mapas de calor de subprocesos impactados por LAFT KRI para Antilavado
Indicadores descriptivos: ejemplos
Conocimiento cliente Reportes actividad sospechosa, alertas y casos Gestión señales de alerta Decisión de clientes con operaciones inusuales ◦ Cantidad de clientes desvinculados/cantidad de clientes reportados en terminar relación ◦ ◦ Número de clientes en lista de control-acción de bloqueo- con productos de colocación activos Número de clientes en lista de control-acción de bloqueo- con productos de captación activos Vinculación de clientes ◦ Clientes con actualización de datos en el último año/clientes activos ◦ Número de clientes de alto riesgo vinculados
Indicadores descriptivos: ejemplos
Otros Número de establecimientos afiliados de alto riesgo Número de proveedores en lista de control Ejecución capacitación
Indicadores indirectos: ¿qué son?
Monitorean los orígenes del LAFT: el crimen, según la legislación de cada país: Narcotráfico Cultivos ilícitos Grupos al margen de la ley Nuevos mercados, nuevas drogas Contrabando Trata de personas Evasión fiscal Corrupción Fraude …
Indicadores indirectos: ejemplos
Indicadores de Ilegalidad y crímenes: Tasa de homicidio Hectáreas de cultivos ilícitos Consumo de sustancia ilegales Contrabando por tipo de producto
Prospectiva
“El futuro no sucede ciegamente o dependiente exclusivamente del pasado sino que dependen también de la acción del hombre” Articula expertos, actores y la probabilidad para establecer escenarios probables y deseables del futuro Reducir la incertidumbre del futuro Decisiones con mayor seguridad en el presente La Prospectiva. Técnicas para visualizar el futuro. Francisco Mojica Sastoque. Fondo Editorial Legis.
Indicadores prospectivos
Sin historia ◦ Selección indicadores críticos ◦ Creación y descripción de escenarios ◦ Plan de acción o acciones propuestas Con historia ◦ Predicción ◦ Creación y descripción de escenarios ◦ Plan de acción o acciones propuestas
Indicadores prospectivos
Escenario estable Escenario positivo Escenario negativo El peor escenario El mejor escenario Ejemplo
Calidad de las fuentes de datos
◦ ◦ ◦ ◦ Captura de información: completa, veraz, suficiente (KYC) Aplicativos y sistemas de información: Integridad, Unicidad Manipulación, actualización Capacidad de Procesamiento y análisis
Si entra “basura”, sale “basura”
ELEMENTOS DEL SISTEMA
La claramente su mercado objetivo?
Los entidad productos tiene o definido servicios se desarrollan acorde con CONOCIMIENTO DEL CLIENTE Los clientes son la segmentados acorde con su perfil?
Con que herramientas cuentas para obtener información del mercado ?
La fuerza comercial tiene conocimiento del comportamiento del sector en el que se mueve o dinamiza el mercado?
CONOCIMIENTO DEL MERCADO • ley.
• . Exista un Manual de políticas y procedimientos Directiva.
del SARLAFT previamente aprobado por la Junta • El manual se encuentre actualizado y tenga constancia de que fue publicado a toda la organización.
• Dentro del Manual se encuentre de forma clara las respuesta a: QUÉ?, COMO?, PORQUÉ?, CUANDO?, QUIÉN?.
Comprobar que las procedimientos se cumplan.
políticas y • • En el maestro de clientes exista integridad y se garantice como mínimo los campos requeridos por ley.
En los clientes activos con productos activos tengan información actualizada.
• Evidenciar que las políticas del conocimiento cliente interno (accionista, empleados) y externo se apliquen.
• Al momento de vincular el cliente se consulte las listas de control o alto riesgo.
• Que el cliente se encuentre calificado por nivel de riesgo al momento de la vinculación y durante la relación comercial.
• Tienen o se puede estructurar las relaciones de los clientes?, es decir una mismas persona es accionista de cuantas empresas?, es beneficiario, codeudor o aval? Es PEPS?
ELEMENTOS DEL SISTEMA DETECCIÓN Y ANÁLISIS DE OPERACIONES INUSUALES DETERMINACIÓN Y REPORTE DE OPERACIONES SOSPECHOSAS . Exista políticas y procedimientos claros para la detección de operaciones inusuales acorde con los productos y servicios que ofrece la entidad.
• Tienen definido la forma en que deben ser reportadas las OI, tiempo, documentos soporte, el canal de información.
• Existe una escala de responsabilidad o especialidad para el análisis de OI?, tiempos, donde queda registrado el flujo de trabajo?
• Existen estadísticas departamentos de los OI reportadas?, de la calidad de éstas?.
por áreas o . Exista políticas y procedimientos claros para la determinación ROS?
• Que controles existen entre la cantidad de alertas reportadas y la decisión de éstas frente a los ROS enviados a la UIAF?.
• Qué tiempos tienen definidos para la determinación de ROS y el envió de éste?.
• Quienes participan de la decisión de enviar ROS?
• Existen estadísticas de los ROS por tipología, áreas?
• Revisar algunos ROS para validar el cumplimiento de los requisitos del la UIAF
ELEMENTOS DEL SISTEMA - Conocer el inventario de herramientas con que cuenta el oficial de cumplimiento para el desarrollo de su actividad.
INFRAESTRUCTURA TECONOLOGICA - Validar la administración de las herramientas o aplicativos que tiene la entidad para administrar y monitorear el SARLAFT.
- Verificar si existe la bitácora de incidentes o problemas generados en los diferentes aplicativos que pueda afectar el SARLAFT.
- Controles de acceso y administración de usuarios para las diferentes herramientas?.
-Analizar la seguridad y rendimiento de los servidores.
CONSOLIDACIÓN ELECTRONICA DE DATOS Verificar y validar si la compañía se encuentra en capacidad de generar consolidación electrónica de sus clientes mínimo una vez x mes y contenga las siguientes características: -Todas las operaciones según su naturaleza - Todos los productos, canales de distribución y jurisdicciones utilizados por los clientes.
ELEMENTOS DEL SISTEMA -Gestión frente a la generación, revisión y oportunidad de entrega a las áreas impactadas.
ROI REPORTES INTERNOS ROS Reporte etapa de monitoreo -Retroalimentación de las comunicaciones compartidas con los entes de control externo (Super o UIAF) - Seguridad en la generación de los reportes y envió de estos.
-Optimización de los recursos para la generación de alertas y monitoreos.
para la generación de reportes REPORTES EXTERNOS ROS Transacciones en efectivo Clientes exonerados de transacciones en efectivo Operaciones de transferencias, compra y venta de divisas.
Transacciones realizadas en Colombia con tarjetas débito o crédito expedidas en el exterior.
Reporte sobre productos ofrecidos por las entidades vigiladas.
Reporte etapa de monitoreo
ELEMENTOS DEL SISTEMA CAPACITACIÓN Verificar que existan políticas y procedimientos para el proceso de capacitación y entrenamiento en tema LA/FT.
Obtener evidencia de la planeación y ejecución del programa de capacitación del La entidad.
Obtener la evidencia del entrenamiento que han recibido los instructores frente al tema Comprobar que exista un programa de capacitación definido, de acuerdo con en el nivel de riesgo Lavado de Activos y la Financiación del Terrorismo (SARLAF) de los diferentes cargos o puestos de trabajo.
INTERNAS EXTERNAS LISTAS DE CONTROL Listados de fallecidos (Registraduría) PEP´S (empleados oficiales que administren recursos públicos Listado judiciales OFAC – CLINTON ONU OEA Lista del Departamento de Estado de USA (Major money laundering countries): http://www.state.gov
Países y territorios no cooperadores del Grupo de Acción Financiera Internacional; http://www.fatf-gafi.org
Transparencia Internacional www.transparency.org
Organización para la Cooperación y el Desarrollo Económico OCDE (Lista de Paraísos Fiscales No cooperadores http://www.oecd.org/ Lista del Departamento de USA de los “Países que Apoyan el Terrorismo” http://www.state.gov/s/ct/c14151.htm
Países listados por el Consejo de Seguridad de la ONU Países señalados por ONU por producción, tráfico o consumo de drogas Centros financieros offshore
OFICINA DE CUMPLIMIENTO UNIDAD DE CUMPLIMIENTO OFICIAL DE CUMPLIMIENTO Ubicación del área dentro del organigrama del Banco, Estructura del área Características del personal que conforman el área, Funciones que realiza el área (monitoreo, investigación y cumplimiento) Documentación de los procesos Nombramiento (aceptación al cargo y postulación ante la Superintendencia Bancaria) Funciones Responsabilidades Plan de trabajo para el año en curso Evaluación a la ejecución del plan de trabajo del segundo semestre del año XXXX Soportes o papeles de trabajo del desarrollo de sus funciones.
Presupuestos Informes presentados a la alta dirección
OFICINA DE CUMPLIMIENTO INFORME OF. CUMPLIMIENTO ◦ ◦ ◦ ◦ ◦ ◦ Los resultados de la gestión desarrollada. El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades.
La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgos asociados. La efectividad de los mecanismos e instrumentos establecidos en el presente capítulo, así como de las medidas adoptadas para corregir las fallas en el SARLAFT.
Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces. Los documentos y pronunciamientos emanados de las entidades de control y de la Unidad Administrativa Especial de Información y Análisis Financiero – UIAF.