Seis Mejores Prácticas Para Optimizar las Pruebas del Programa de Cumplimiento en Su Banco

0
29

Dentro de la industria bancaria las pruebas de cumplimiento implican la evaluación de los procesos y/o controles relacionados con el cumplimiento que pueden determinar si el programa de cumplimiento del banco está diseñado y funcionando adecuadamente.1

La función del sistema de pruebas en el programa de cumplimiento incluye actividades centradas en las pruebas de cumplimiento para la prevención de los delitos financieros.2 A menudo, las pruebas de cumplimiento para la prevención de los delitos financieros son realizadas por un equipo de pruebas con el objetivo de asegurar que los controles internos estén razonablemente diseñados y funcionen como se pretende, para gestionar el riesgo3 de delitos financieros. Al igual que la función de auditoría interna (la tercera línea de defensa), la prueba de cumplimiento para la prevención de los delitos financieros (la segunda línea de defensa), puede evaluar las unidades de negocios y otras funciones de cumplimiento. Es importante para permitir que las instituciones comprendan lo que funciona y lo que no funciona, incluida la capacidad de medir la eficacia de los controles internos.

No es de extrañar que los programas de pruebas de cumplimiento sean ahora un punto focal para los reguladores, como lo demuestran las multas y sanciones dirigidas a los bancos que se desvían de mantener un marco sólido de controles internos. Como tal, los bancos están reconociendo la necesidad de aumentar y/o mejorar sus funciones de pruebas de cumplimiento, a la vez que se aseguran de que estos programas se alinean con los estándares esperados, tanto internos como externos.

Las siguientes son seis consideraciones útiles para los sistemas de pruebas de cumplimiento para la prevención de los delitos financieros que buscan mejorar su programa y mantenerse a la vanguardia.

1. Establecer un Esfuerzo de Coordinación Formal Con la Auditoría Interna

El hecho de tener una fuerte asociación con la auditoría interna puede conducir a pruebas más eficaces y a una cobertura más amplia de los riesgos en toda una institución. Esto consiste en compartir información de manera regular, así como en tener líneas de comunicación abiertas, manteniendo así la independencia. Este tipo de transparencia y colaboración también es importante para prevenir pruebas redundantes y minimizar la interrupción de las primeras y segundas líneas de defensa en la realización a las actividades diarias. Los siguientes son ejemplos de cómo coordinar con la auditoría interna:

  • Involucrar a la auditoría interna en el desarrollo inicial del plan anual de ensayos, prestando atención a la identificación de la superposición de tiempos.
  • Programar puntos de contacto mensuales/trimestrales continuos para discutir el estado de los planes de evaluación, incluyendo cambios y actualizaciones relevantes.
  • Incluirse mutuamente en las listas de distribución de los informes publicados, cuando sea pertinente.
  • Establecer prácticas sólidas para documentar las reuniones con la auditoría interna y supervisar las medidas correctivas que surjan de los exámenes de la auditoría interna.
  • Utilizar la documentación de la reunión para la planificación futura y la revisión de las pruebas de conformidad.

Para mantener la independencia, las pruebas de conformidad deberían centrarse en su coordinación en el momento de la prueba. Esto significa que, si bien podría ser aceptable modificar el calendario de las pruebas, no es apropiado eliminarlas debido a la cobertura de las auditorías internas.

2. Establecer Protocolos de Control y Garantía de Calidad

Además de la supervisión gerencial de los examinadores (p. ej., tener un gerente de exámenes que revise el trabajo del equipo), los programas de pruebas deben tener protocolos para verificar y promover la consistencia, la calidad y el aprendizaje continuo de todos los aspectos de las actividades de las pruebas a lo largo del ciclo de vida de un escrutinio de pruebas y posteriormente. Esta función la realizan mejor los individuos o equipos que son independientes de los que realizan o gestionan las actividades de las pruebas. El hecho de contar con procesos formales y exhaustivos de control y garantía de calidad en varias etapas, ayuda a elevar la calidad de las pruebas y a educar al equipo de pruebas.

Los siguientes son ejemplos de prácticas sólidas de control y garantía de calidad:

  • Existe un enfoque y una metodología documentados para llevar a cabo las actividades de control y garantía de calidad (p. ej., frecuencia, funciones y responsabilidades, muestreo, pasos específicos/criterios de evaluación utilizados).
  • Las revisiones están alineadas y son consistentes con los procedimientos y procesos realizados por los probadores.
  • Las revisiones cubren a cada miembro del equipo de pruebas, incluyendo a los gerentes.
  • Las revisiones son realizadas por personas calificadas con experiencia relevante (p. ej., personas que han realizado pruebas anteriormente o que han servido en capacidad gerencial o de supervisión y tienen antecedentes de cumplimiento para la prevención de delitos financieros).
  • La ejecución de las revisiones, incluyendo los hallazgos, es evidente (p, ej., documentada y recuperable).
  • Los resultados se registran de manera que se identifican las tendencias y las lecciones aprendidas que pueden ser comunicadas al personal directivo superior.
  • La retroalimentación de los exámenes se comunica oportunamente y de manera que se facilite el aprendizaje.4

Observe que en el caso de los equipos de pruebas más pequeñas, o de los bancos con presupuestos más ajustados, se puede obtener una ganancia rápida a corto plazo ya sea reasignando el personal existente a esta función o contratando a un subcontratista o consultor experimentado como solución provisional hasta que se pueda seguir desarrollando la función.

3. Formalizar el Proceso Para Determinar (y Mantener) el Tamaño del Personal

A veces la determinación del número apropiado de profesionales de pruebas está dictada por el presupuesto disponible. Aunque esto es comprensible, puede no ser una estrategia eficaz y puede ser cuestionada por los reguladores. Una táctica más fuerte es trabajar en la dirección opuesta. Por ejemplo, realizar un análisis cuidadoso de las actividades y tareas clave de las que es responsable el equipo de pruebas de conformidad. Esto se suele esbozar en el documento del programa o en las políticas y procedimientos del grupo y puede utilizarse luego para informar al número apropiado de recursos. Una vez establecido esto, es importante asegurar que el tamaño del personal se mantenga alineado con lo que se necesita. Los siguientes son ejemplos de acciones útiles:

  • Elaboración de un análisis de la capacidad: El ejercicio de evaluar y determinar las necesidades de personal para ejecutar las actividades de análisis es importante, incluso en equipos más pequeños o con presupuestos ajustados. Algunas preguntas clave que hay que tener en cuenta:
    • ¿Cuáles son las actividades de prueba necesarias que se deben realizar?
    • ¿Cuánto tiempo lleva cada actividad?
    • ¿Cuál es la capacidad actual del equipo (en términos de tiempo disponible)?
    • ¿Es el número actual de recursos suficiente para satisfacer las actividades de prueba de antilavado de dinero (ALD) requeridas?

Una forma eficaz de realizar este ejercicio es desglosar las actividades en horas y estimar aproximadamente cuánto tiempo lleva cada actividad. Esto puede basarse en métricas y datos históricos (si están disponibles) o en un recorrido piloto único de las actividades. A continuación, desglose cuántas horas de trabajo tiene cada recurso disponible para dedicar a estas actividades. Al determinar la capacidad, considere factores como las actividades de vacaciones. Es útil documentar esta evaluación en una hoja de cálculo o en una herramienta que pueda ser fácilmente supervisada y ajustada.

  • Aplicación de un plan de contingencia o de sucesión: La capacidad de asegurar y mantener el tamaño del personal es tan importante como el acto de conseguir el personal. Esto significa contar con un plan de contingencia o de sucesión que proteja contra la posibilidad de que inesperadamente queden vacantes los puestos o funciones críticas. El plan debe detallar la forma en que se mantendrá la continuidad en esos casos, como las personas o funciones designadas que podrían ocupar determinados puestos cuando sea necesario. Documentar esto con antelación ayudará a asegurar que las actividades continúen con normalidad. Esto es particularmente importante para las funciones de prueba de conformidad, ya que las actividades de prueba son sensibles al tiempo y se ejecutan en horarios y plazos establecidos.

4. Invertir en el Fortalecimiento del Personal Existente

Un personal experimentado y capaz es fundamental para garantizar que las funciones de prueba se ejecuten correctamente. La mezcla de habilidades necesarias para realizar las pruebas de cumplimiento para la prevención de los delitos financieros es diversa y no siempre se complementa. Por ejemplo, la etapa de planificación de una prueba, se puede requerir habilidades analíticas y de gestión de proyectos para determinar el alcance y asegurar que la prueba cubra los riesgos clave, a la vez que se cumplen los plazos. La etapa de trabajo de campo puede requerir atención a los detalles y la minuciosidad de la labor de ensayo de los documentos de manera que pueda ser comprendida por un tercero. Por último, la etapa de presentación de informes puede requerir una sólida capacidad de comunicación e interpersonal para coordinar con las partes interesadas a fin de redactar y publicar el informe final y elaborar suficientes planes de acción correctiva.

Las siguientes son consideraciones importantes a la hora de invertir en personal:

  • Evaluación de las aptitudes: Como destaca la Oficina del Contralor de la Moneda en su manual,5 es importante evaluar las calificaciones y la experiencia del personal que realiza las pruebas para determinar las diferencias entre las aptitudes necesarias para realizar las actividades requeridas y las aptitudes que poseen los examinadores. Se puede utilizar un modelo de evaluación de aptitudes o competencias para fundamentar las decisiones de capacitación y ayudar a ajustar los recursos a los exámenes de las pruebas de cumplimiento. La información obtenida de un análisis de la capacidad (descrito anteriormente) es un buen indicador de las actividades de prueba requeridas y, por lo tanto, señala las aptitudes necesarias para realizar esas actividades. Las especificaciones iniciales de selección y de contratación (como las indicadas en el anuncio de empleo o las utilizadas en el proceso de entrevistas realizado por el banco) también pueden sugerir las aptitudes necesarias. Entre los ejemplos de esferas pertinentes para evaluar la experiencia y los conocimientos del personal figuran los siguientes:
  • Capacidades de auditoría/pruebas: investigación, redacción, muestreo, análisis de riesgos, técnicas de evaluación de control, las diversas etapas de un examen de pruebas
  • Conocimientos técnicos: análisis de datos, aplicaciones de sistemas
  • Habilidades de comunicación: capacidad de comunicarse bien en todos los niveles de una organización en diferentes formatos como la redacción de informes, correos electrónicos, teléfono, en persona
  • Conocimiento de ALD/sanciones: conozca a su cliente (KYC, por sus siglas en ingles), sanciones, monitoreo de transacciones, reglas, regulaciones y mejores prácticas
  • Credenciales/certificaciones: Especialista Certificado en Antilavado de Dinero (CAMS, por sus siglas en inglés), Examinador de Fraude Certificado (CFE, por sus siglas en ingles), Auditor Interno Certificado (CIA, por sus siglas en ingles)
  • Años de experiencia: ALD, auditoría/pruebas
  • Entrenamiento: En el entorno regulador de hoy en día, tener un programa de entrenamiento es lo mínimo. Se espera que la capacitación se adapte y se vincule a un plan y se imparta de manera metódica y específica. El ex gobernador de la Junta de la Reserva Federal, Mark W. Olson, lo resume bien al señalar lo siguiente:
  • «La capacitación en materia de políticas, procedimientos y controles asociados es un componente de la gestión del riesgo de cumplimiento que no debe pasarse por alto. Los examinadores determinarán si el programa de capacitación de la organización bancaria garantiza que las políticas, procedimientos y controles de cumplimiento se entiendan bien y se comuniquen adecuadamente en toda la organización.

    Si bien la profundidad y amplitud de la capacitación que recibe un empleado depende de la función y las responsabilidades de ese empleado, los examinadores generalmente evalúan si el personal de todos los niveles comprende la cultura de cumplimiento de la organización, los problemas generales de riesgo de cumplimiento y las políticas y procedimientos de cumplimiento de alto nivel»6

    En cuanto a las funciones de pruebas de conformidad, entre los ejemplos de las consideraciones pertinentes del programa de capacitación se incluyen:

    • Vincular la evaluación de habilidades: Como mínimo, el contenido de la capacitación debe abarcar los temas y competencias señalados en la evaluación de aptitudes (descrita anteriormente) teniendo en cuenta las lagunas identificadas. Esto incluye la capacitación especializada para cada etapa de un examen de prueba (planificación, trabajo de campo, presentación de informes, medidas correctivas) y la capacitación específica de los riesgos, tendencias y reglamentos específicos del ALD, con atención a los productos, servicios, negocios y tipos de clientes de mayor riesgo.
    • Vinculación de los resultados del control de calidad y las observaciones del gerente: Los resultados del control de calidad y las observaciones de los gerentes proporcionan una valiosa retroalimentación sobre los aspectos en los que los probadores pueden tener un rendimiento inferior. Si se diseñan correctamente, estas funciones ponen de relieve las tendencias y las «lecciones aprendidas». Cualquier debilidad material o áreas señaladas como áreas problemáticas clave deben ser abordadas mediante la capacitación para fortalecer el desempeño del personal.
    • Vincular las funciones y responsabilidades dentro del equipo (por ejemplo, gerente, examinador): Para asegurar que la capacitación sea eficaz y eficiente, los examinadores deben recibir una formación específica que se ajuste a sus funciones, responsabilidades y áreas de concentración. Por ejemplo, los gerentes deben recibir una capacitación diferente a la que reciben los examinadores. Los examinadores que son expertos en determinados temas de la lucha contra el lavado de dinero (como el KYC) deberían recibir una capacitación adicional en KYC en relación con un examinador que realiza revisiones del monitoreo de transacciones y viceversa.
    • Métodos y canales de entrega: En un plan de capacitación sólido se considerará una mezcla diversa de métodos y canales, incluida la capacitación impartida por otras partes de la organización.
    • Frecuencia:La capacitación debe impartirse tanto en forma continua como ad hoc, según se especifique en el plan de pruebas. La frecuencia de la capacitación depende de lo que tenga sentido para el tema en el contexto del banco y el entorno reglamentario. Por ejemplo, en el caso de temas de capacitación más amplios y generales del plan que no es probable que cambien en el curso de un período de 12 meses, puede ser apropiado impartir una capacitación anual (como mínimo). Se puede impartir una capacitación ad hoc cuando se produzcan cambios en las políticas, procedimientos o procesos de un banco.
    • Seguimiento de la asistencia y la puntualidad: Deberán establecerse mecanismos para hacer un seguimiento y demostrar que los miembros del equipo de prueba están recibiendo la capacitación de manera oportuna.

    5. Considerar la Co-contratación /Ayuda Para Llenar Temporalmente las Lagunas en las Habilidades Requeridas

    La co-contratación puede ser una gran manera de llenar las deficiencias en la dotación de personal y las competencias requeridas de manera rápida y eficiente. La contratación de contratistas o consultores temporales aporta conocimientos y experiencia específicos para que el equipo pueda gestionar de forma más estratégica las responsabilidades de las pruebas y garantizar que el personal esté debidamente alineado. Sobre la base de las investigaciones realizadas por PwC, cuando se trata de gestionar las limitaciones de recursos, hay ciertas actividades que son candidatas principales para la contratación conjunta, como las tareas no fundamentales (por ejemplo, la ejecución de pruebas de rutina) o las áreas que requieren aptitudes y conocimientos avanzados que no pueden ser satisfechos por el equipo actual.7 Los beneficios de la con-contratación incluyen:

    • La rapidez: La incorporación de personal temporal suele ser más rápida que la identificación y la contratación de empleados a tiempo completo. El personal temporal también puede ser cambiado más rápidamente que las contrataciones permanentes.
    • Habilidades especializadas: Los consultores (o equipos de consultores) pueden ser seleccionados específicamente en base a las habilidades y conocimientos específicos. A menudo, las consultorías más grandes identificarán a los candidatos con el conjunto de habilidades requeridas.
    • Oportunidades de capacitación y aprendizaje: Las empresas de consultoría, en particular las organizaciones de consultoría de primer nivel suelen estar al corriente de las mejores prácticas del sector y de las expectativas reglamentarias más recientes basadas en su trabajo con múltiples instituciones financieras y pueden ofrecer una visión fresca. Esta visión y perspectiva puede ser una valiosa adición.
    • Mejor alineación de los recursos: La utilización de recursos especializados para tareas y actividades específicas puede liberar al personal básico existente. Esto permite al equipo existente centrarse en acciones y actividades de mayor prioridad que requieren experiencia interna y pensamiento estratégico.

    Si bien la colaboración puede ofrecer valor, también es importante no depender excesivamente del personal no permanente. Vigile la proporción de personal permanente frente al no permanente y la duración del tiempo para el que se utiliza la co-fuente. Si se abusa de la co-fuente, puede haber resultados negativos. Como mejor práctica, establezca límites razonables a la utilización de recursos externos y tenga un plan que incluya plazos y objetivos específicos sobre la forma en que se utilizarán los recursos externos.

    6. Aprovechar la Tecnología y el Análisis de Datos

    Durante los últimos años, Protiviti (una empresa consultora mundial que ofrece soluciones en materia de auditoría interna, riesgo y cumplimiento) ha estudiado atentamente el panorama de las auditorías y los ensayos para determinar las oportunidades de mejorarlos. La empresa descubrió que las funciones de prueba deben innovar y adoptar la tecnología para seguir el ritmo de los rápidos cambios y avances en los negocios. La tecnología debe emplearse de manera que la función de ensayo esté equipada para identificar los riesgos emergentes y cambiantes con la suficiente rapidez para cubrirlos dentro de las actividades de ensayo.8 Entre los ejemplos de instrumentos tecnológicos que pueden aprovecharse cabe mencionar los siguientes:

    • Aprendizaje automático/inteligencia artificial
    • La minería de procesos
    • Automatización de procesos robóticos
    • Análisis avanzados

    De manera similar, un informe de PwC señaló lo siguiente,

    «Las organizaciones que han adoptado la tecnología y el análisis de datos pueden identificar más rápidamente la causa fundamental de las deficiencias en el cumplimiento y desplegar rápidamente recursos para corregir los problemas que presentan el mayor riesgo. La automatización de los procesos de prueba puede ayudar a las instituciones financieras a mejorar sus procesos generales de evaluación y prueba de riesgos, al tiempo que se libera al personal capacitado para centrarse en las áreas de mayor complejidad o riesgo».9

    Debido a que el programa de pruebas de cada organización puede estar en diferentes etapas de sofisticación, puede que no sea posible aprovechar al máximo la tecnología disponible. Sin embargo, un comienzo fuerte es alinear la cultura y el tono desde arriba con un ambiente que da la bienvenida al avance tecnológico. Esto incluye asegurar un recurso dedicado de datos y tecnología dentro de la función de pruebas que pueda comenzar a explorar las capacidades potenciales y realizar pruebas piloto. Esto requiere que la función de pruebas trabaje con sus socios e interesados dentro de la organización para obtener acceso a los sistemas de fuentes y datos del banco.

    A partir de aquí, el equipo de pruebas puede identificar revisiones o «candidatos» dentro de cada revisión de pruebas que podrían ser principales para las pruebas automatizadas (o las pruebas que se pueden realizar mediante el uso de la tecnología). Típicamente, los pasos de prueba que están estandarizados y son repetibles son adecuados para las pruebas automatizadas.

    Conclusión

    A medida que las pruebas de conformidad de cumplimiento para la prevención de los delitos financieros continúan ganando importancia, los bancos pueden considerar las siguientes seis áreas para mejorar y fortalecer su programa de pruebas:

    1. Establecer un esfuerzo de coordinación formal con la auditoría interna
    2. Establecer protocolos de QC/QA
    3. Formalizar el proceso para determinar (y mantener) el tamaño del personal
    4. Invertir en el fortalecimiento del personal existente
    5. Considerar la posibilidad de recurrir a la contratación conjunta o al aumento para cubrir temporalmente las lagunas en las competencias requeridas
    6. Aprovechar la tecnología y el análisis de datos

    Si bien cada programa de pruebas de cumplimiento puede variar en su naturaleza, la aplicación de la mayoría de estas prácticas sigue siendo pertinente en todos los bancos y es útil para posicionar a cada banco para mantener una función de pruebas sólida.

    Jonathan Estreich, CAMS-Audit, CFE, director, Société Générale, Nueva York, NY, EE.UU., editor@acams.org

    Las opiniones expresadas en el presente artículo son únicamente las del autor y no representan las opiniones o puntos de vista, directa o indirectamente, de su empleador o de cualquier persona u organización asociada con el autor.

    1. VéroniqueBesson, «How can your organisation perform effective and efficient compliance testing?» PwC, April 2018, https://www.pwc.ch/en/publications/2018/pwc_ch_white%20paper_can%20your%20organisation%20perform%20effective%20compliance%20testing.pdf
    2. Las pruebas de cumplimiento para la prevención de los delitos financieros, como se usan en este documento, se refieren a las pruebas relacionadas con los riesgos asociados con el lavado de dinero, la exposición a sanciones y el financiamiento del terrorismo.
    3. El término «delito financiero», como se usa en este documento, se refiere colectivamente al lavado de dinero, la exposición a sanciones y el financiamiento del terrorismo.
    4. «Internal and External Audits, Version 1.1, July 2019,» Office of the Comptroller of the Currency, https://www.occ.treas.gov/publications-and-resources/publications/comptrollers-handbook/files/internal-external-audits/pub-ch-audits.pdf
    5. Ib.
    6. Mark W. Olson, “What Are Examiners Looking for When They Examine Banks for Compliance?” Board of Governors of the Federal Reserve System, June 12, 2006, https://www.federalreserve.gov/newsevents/speech/olson20060612a.htm
    7. «Setting the pace: How financial institutions are staying ahead of changes in the compliance testing arena», PwC, July 2018, https://www.pwc.com/us/en/industries/financial-services/library/pdf/pwc-fs-compliance-testing.pdf
    8. «The Future Auditor Goes Digital», Protiviti, https://www.protiviti.com/US-en/insights/bulletin-vol7-issue3
    9. Setting the pace: How financial institutions are staying ahead of changes in the compliance testing arena,” PwC, July 2018, https://www.pwc.com/us/en/industries/financial-services/library/pdf/pwc-fs-compliance-testing.pdf

    The post Seis Mejores Prácticas Para Optimizar las Pruebas del Programa de Cumplimiento en Su Banco appeared first on ACAMS Today.