920 likes | 2.36k Views
¿Cómo auditar SARLAFT?. María del Pilar Mejía Sánchez Laura Carolina Cardona Mesa Septiembre 2012. Módulo 2: Generalidades de Auditoría. ESTANDARES INTERNACIONALES DE AUDITORIA. TIPOS DE AUDITORÍA. Cumplimiento Tributaria Operativa y/o procesos Financiera Tecnología Ambiental.
E N D
¿Cómo auditar SARLAFT? María del Pilar Mejía Sánchez Laura Carolina Cardona Mesa Septiembre 2012
TIPOS DE AUDITORÍA • Cumplimiento • Tributaria • Operativa y/o procesos • Financiera • Tecnología • Ambiental
TÉCNICAS DE AUDITORÍA • Observación • Inspección • Confirmación • Comparación • Análisis • Cálculo • P.E.D (procesamiento electrónico de datos)
PROGRAMA DE TRABAJO Documento donde el auditor plasma los objetivos y alcance del trabajo, como mínimo este debe contener los siguientes aspectos: • Objetivo general y específicos de auditoría • Alcance (delimitación en tiempo, recurso, proceso) • Antecedentes (razones para desarrollar la auditoria) • Aspectos a evaluar (da respuesta al que hacer para cumplir con los objetivos trazados)
PAPELES DE TRABAJO EN AUDITORÍA Los objetivos de éstos documentos son: • Facilitan la preparación del informe • Comprueba y explica el detalle de las opiniones y conclusiones del auditor. • Sirve como evidencia ante la Ley • Es guía para los trabajos siguientes • Requisito para el desarrollo de nuestra labor como auditores tanto a nivel nacional como internacional.
PAPELES DE TRABAJO EN AUDITORÍA Existen diferentes tipos de papeles de trabajo, como son: Programa de trabajo, cuestionarios, encuestas, hojas de cálculo, Listas de chequeo, documento soporte (factura, comprobante, recibo de caja, etc), extractos de actas, entre otros. De quien es la propiedad de los papeles de trabajo? Los papeles de trabajo preparados durante la auditoria, incluyendo aquellos que preparó el cliente para el auditor, son propiedad del auditor. La única vez en que otra persona, incluyendo el cliente, tienen derechos legales de examinar los papeles es cuando los requiere un tribunal como evidencia legal. Al término de la auditoria los papeles de trabajo se conservan en las oficinas o despacho de contadores para referencia futura.
RESPONSABILIDAD DEL AUDITOR INTERNO EN SARLAFT? “Deberá evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT, con el fin de determinar las deficiencias y sus Posibles soluciones. Así mismo, deberá informar los resultados de la evaluación al oficial de cumplimiento y a la junta directiva. La auditoría interna, o quien ejecute funciones similares o haga sus veces, deberá realizar una revisión periódica de los procesos relacionados con las exoneraciones y parametrizaciones de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico”. CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
Etapas Identificar Medir Controlar Monitorear Riesgo CONFORMACIÓN DE UN SISTEMA DE ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO INSTRUMENTACION DEL SARLAFT Procedimientos Documentación Políticas Elementos Divulgación de información Estructura Organizacional Infraestructura Tecnológica Órganos Control Capacitación
MECANISMOS DE CONTROL MECANISMOS DE CONTROL CONOCIMIENTO DEL CLIENTE CONOCIMIENTO DEL MERCADO DETECCIÓN Y ANÁLISIS DE OPERACIONES INUSUALES DETERMINACIÓN Y REPORTE DE OPERACIONES SOSPECHOSAS
INSTRUMENTOS DE CONTROL SEÑALES DE ALERTA INSTRUMENTOS DE CONTROL SEGMENTACIÓN DE LOS FACTORES DE RIESGO SEGUIMIENTO DE OPERACIONES CONSOLIDACIÓN ELECTRONICA DE OPERACIONES
Etapas Etapas del SARLAFT • Identificación, • Medición o evaluación, • Control, y • Monitoreo
Qué auditar “Auditoría Interna o quien ejecute funciones similares o haga sus veces La auditoría interna, o quien ejecute funciones similares o haga sus veces, deberá realizar una revisión periódica de los procesos relacionados con las exoneraciones y parametrizaciones de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico”
¿Qué dice la norma? Identificación (…) Esta etapa debe realizarse previamente al lanzamiento de cualquier producto, la modificación de sus características, la incursión en un nuevo mercado, la apertura de operaciones en nuevas jurisdicciones y el lanzamiento o modificación de los canales de distribución. Para identificar el riesgo de LA/FT las entidades vigiladas deben como mínimo: • Establecer las metodologías para la segmentación de los factores de riesgo. • Con base en las metodologías establecidas en desarrollo del literal anterior, segmentar los factores de riesgo. • Establecer las metodologías para la identificación del riesgo de LA/FT y sus riesgos asociados respecto de cada uno de los factores de riesgo segmentados. • Con base en las metodologías establecidas en desarrollo del literal anterior, identificar las formas a través de las cuales se puede presentar el riesgo de LA/FT. CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
¿Qué dice la norma? “Factores de riesgo Son los agentes generadores del riesgo de LA/FT. Para efectos del SARLAFT las entidades vigiladas deben tener en cuenta como mínimo los siguientes: • Clientes/usuarios, • Productos, • Canales de distribución y • Jurisdicciones.” “Segmentación Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).“ CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
¿Qué dice la norma? “Segmentación de los factores de riesgo (…) • Clientes: actividad económica, volumen o frecuencia de sus transacciones y monto de ingresos, egresos y patrimonio. • Productos: naturaleza, características y nicho de mercado o destinatarios. • Canales de distribución: naturaleza y características. • Jurisdicciones: ubicación, características y naturaleza de las transacciones. A través de la segmentación las entidades deben determinar las características usuales de las transacciones que se desarrollan y compararlas con aquellas que realicen los clientes, a efectos de detectar las operaciones inusuales.” CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
Productos • Relación con el cliente • Montos- nivel de activos • Propósito de la relación comercial • Nivel de regulación del cliente/producto • Complejidad • Uso de intermediarios
Monitoreo del riesgo Monitoreo • Esta etapa debe permitir a las entidades vigiladas hacer seguimiento del perfil de riesgo y, en general, del SARLAFT, así como llevar a cabo la detección de operaciones inusuales y/o sospechosas. CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
Monitoreo del sistema “Para monitorear el riesgo de LA/FT las entidades deben como mínimo: • Desarrollar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias del SARLAFT. Dicho seguimiento debe tener una periodicidad acorde con el perfil de riesgo residual de LA/FT de la entidad, pero en todo caso debe realizarse con una periodicidad mínima semestral. • Establecer indicadores descriptivos y/o prospectivos que evidencien potenciales fuentes de riesgo de LA/FT. • Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.” CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
Indicadores del sistema • Combinar indicadores descriptivos, indicadores prospectivos e indirectos (qué y cómo) • Herramienta de gestión: permite evaluar la gestión de forma integrada (todo el Sistema) • Se pueden determinar rangos de niveles de riesgo: monitorear y mantener esas metas • Se tiene en cuenta la historia de los indicadores para evaluar la evolución del Sistema • Se puede alinear al Sistema con la estrategia de la organización
Indicadoresdescriptivos: fuentes • Indicadores básico • Conozca a su cliente • Matrices de riesgo LAFT • Controles internos • Sistema de monitoreo • Investigaciones internas
Indicadores descriptivos: áreas de la organización • Oficina de cumplimiento • Área de riesgos • Área de fraudes y seguridad • Área de control interno • Auditoría interna o externa • Área de productos y canales • Área de mercadeo • Área comercial • Área de procesos • Área de formación y capacitación • Área jurídica
Indicadores descriptivos: ¿qué son? • Nivel actual, Meta, Nivel de aceptación, Historia • Factores de riesgo • Perfil de riesgo • Conocimiento cliente • Otros
Indicadores descriptivos: ejemplos Factores de riesgo (clientes, productos, jurisdicciones, canales) • Nivel de exposición • Distribución de los elementos en niveles de riesgo • Incremento en niveles de riesgo alto-muy alto
Indicadores descriptivos: ejemplos Perfil de riesgo • Indicadores de evolución del perfil de riesgo por proceso y por categoría de riesgo Basilea • Controles • Calificación del diseño de grupo de controles de LAFT por factor de riesgo • Efectividad de los controles • Eventos de pérdida de LAFT • Mapas de calor de subprocesos impactados por LAFT • KRI para Antilavado
Indicadores descriptivos: ejemplos Conocimiento cliente • Reportes actividad sospechosa, alertas y casos • Gestión señales de alerta • Decisión de clientes con operaciones inusuales • Cantidad de clientes desvinculados/cantidad de clientes reportados en terminar relación • Número de clientes en lista de control-acción de bloqueo- con productos de colocación activos • Número de clientes en lista de control-acción de bloqueo- con productos de captación activos • Vinculación de clientes • Clientes con actualización de datos en el último año/clientes activos • Número de clientes de alto riesgo vinculados
Indicadores descriptivos: ejemplos Otros • Número de establecimientos afiliados de alto riesgo • Número de proveedores en lista de control • Ejecución capacitación
Indicadores indirectos: ¿qué son? Monitorean los orígenes del LAFT: el crimen, según la legislación de cada país: • Narcotráfico • Cultivos ilícitos • Grupos al margen de la ley • Nuevos mercados, nuevas drogas • Contrabando • Trata de personas • Evasión fiscal • Corrupción • Fraude • …
Indicadores indirectos: ejemplos • Indicadores de Ilegalidad y crímenes: • Tasa de homicidio • Hectáreas de cultivos ilícitos • Consumo de sustancia ilegales • Contrabando por tipo de producto
Prospectiva • “El futuro no sucede ciegamente o dependiente exclusivamente del pasado sino que dependen también de la acción del hombre” • Articula expertos, actores y la probabilidad para establecer escenarios probables y deseables del futuro • Reducir la incertidumbre del futuro • Decisiones con mayor seguridad en el presente La Prospectiva. Técnicas para visualizar el futuro. Francisco MojicaSastoque. Fondo Editorial Legis.
Indicadores prospectivos • Sin historia • Selección indicadores críticos • Creación y descripción de escenarios • Plan de acción o acciones propuestas • Con historia • Predicción • Creación y descripción de escenarios • Plan de acción o acciones propuestas
Indicadores prospectivos • Escenario estable • Escenario positivo • Escenario negativo • El peor escenario • El mejor escenario Ejemplo
Datos e información • Calidad de las fuentes de datos • Captura de información: completa, veraz, suficiente (KYC) • Aplicativos y sistemas de información: Integridad, Unicidad • Manipulación, actualización • Capacidad de Procesamiento y análisis • Si entra “basura”, sale “basura”
ELEMENTOS DEL SISTEMA • . Exista un Manual de políticas y procedimientos del SARLAFT previamente aprobado por la Junta Directiva. • El manual se encuentre actualizado y tenga constancia de que fue publicado a toda la organización. • Dentro del Manual se encuentre de forma clara las respuesta a: QUÉ?, COMO?, PORQUÉ?, CUANDO?, QUIÉN?. • Comprobar que las políticas y procedimientos se cumplan. MECANISMOS DE CONTROL POLITICAS Y PROCEDIMIENTOS La entidad tiene definido claramente su mercado objetivo? Los productos o servicios se desarrollan acorde con la segmentación del mercado? Los clientes son segmentados acorde con su perfil? Con que herramientas cuentas para obtener información del mercado ? La fuerza comercial tiene conocimiento del comportamiento del sector en el que se mueve o dinamiza el mercado? • El formato de vinculación de cliente contiene como mínimo los campos obligatorios por ley. • En el maestro de clientes exista integridad y se garantice como mínimo los campos requeridos por ley. • En los clientes activos con productos activos tengan información actualizada. • Evidenciar que las políticas del conocimiento cliente interno (accionista, empleados) y externo se apliquen. • Al momento de vincular el cliente se consulte las listas de control o alto riesgo. • Que el cliente se encuentre calificado por nivel de riesgo al momento de la vinculación y durante la relación comercial. • Tienen o se puede estructurar las relaciones de los clientes?, es decir una mismas persona es accionista de cuantas empresas?, es beneficiario, codeudor o aval? Es PEPS? CONOCIMIENTO DEL CLIENTE CONOCIMIENTO DEL MERCADO
ELEMENTOS DEL SISTEMA • . Exista políticas y procedimientos claros para la detección de operaciones inusuales acorde con los productos y servicios que ofrece la entidad. • Tienen definido la forma en que deben ser reportadas las OI, tiempo, documentos soporte, el canal de información. • Existe una escala de responsabilidad o especialidad para el análisis de OI?, tiempos, donde queda registrado el flujo de trabajo? • Existen estadísticas por áreas o departamentos de los OI reportadas?, de la calidad de éstas?. MECANISMOS DE CONTROL DETECCIÓN Y ANÁLISIS DE OPERACIONES INUSUALES • . Exista políticas y procedimientos claros para la determinación ROS? • Que controles existen entre la cantidad de alertas reportadas y la decisión de éstas frente a los ROS enviados a la UIAF?. • Qué tiempos tienen definidos para la determinación de ROS y el envió de éste?. • Quienes participan de la decisión de enviar ROS? • Existen estadísticas de los ROS por tipología, áreas? • Revisar algunos ROS para validar el cumplimiento de los requisitos del la UIAF DETERMINACIÓN Y REPORTE DE OPERACIONES SOSPECHOSAS
ELEMENTOS DEL SISTEMA • - Conocer el inventario de herramientas con que cuenta el oficial de cumplimiento para el desarrollo de su actividad. • - Validar la administración de las herramientas o aplicativos que tiene la entidad para administrar y monitorear el SARLAFT. • - Verificar si existe la bitácora de incidentes o problemas generados en los diferentes aplicativos que pueda afectar el SARLAFT. • - Controles de acceso y administración de usuarios para las diferentes herramientas?. • Analizar la seguridad y rendimiento de los servidores. INFRAESTRUCTURA TECONOLOGICA • Verificar y validar si la compañía se encuentra en capacidad de generar consolidación electrónica de sus clientes mínimo una vez x mes y contenga las siguientes características: • Todas las operaciones según su naturaleza • Todos los productos, canales de distribución y jurisdicciones utilizados por los clientes. CONSOLIDACIÓN ELECTRONICA DE DATOS
ELEMENTOS DEL SISTEMA • -Gestión frente a la generación, revisión y oportunidad de entrega a las áreas impactadas. • Gestión frente a la generación, revisión y oportunidad de entrega a los entes externos de control. • Retroalimentación de las comunicaciones compartidas con los entes de control externo (Super o UIAF) • Seguridad en la generación de los reportes y envió de estos. • Optimización de los recursos para la generación de alertas y monitoreos. • - Cuales son las fuentes de información y la integridad de esta para la generación de reportes • ROI • ROS • Reporte etapa de monitoreo • ROS • Transacciones en efectivo • Clientes exonerados de transacciones en efectivo • Operaciones de transferencias, compra y venta de divisas. • Transacciones realizadas en Colombia con tarjetas débito o crédito expedidas en el exterior. • Reporte sobre productos ofrecidos por las entidades vigiladas. • Reporte etapa de monitoreo REPORTES INTERNOS REPORTES EXTERNOS
ELEMENTOS DEL SISTEMA • Verificar que existan políticas y procedimientos para el proceso de capacitación y entrenamiento en tema LA/FT. • Obtener evidencia de la planeación y ejecución del programa de capacitación del La entidad. • Obtener la evidencia del entrenamiento que han recibido los instructores frente al tema • Comprobar que exista un programa de capacitación definido, de acuerdo con en el nivel de riesgo Lavado de Activos y la Financiación del Terrorismo (SARLAF) de los diferentes cargos o puestos de trabajo. CAPACITACIÓN
LISTAS DE CONTROL • FRAUDE (suplantación o información falsa) • Listados de fallecidos (Registraduría) • PEP´S (empleados oficiales que administren recursos públicos • Listado judiciales • OFAC – CLINTON • ONU • OEA • Lista del Departamento de Estado de USA (Majormoneylaunderingcountries): http://www.state.gov • Países y territorios no cooperadores del Grupo de Acción Financiera Internacional; http://www.fatf-gafi.org • Transparencia Internacional www.transparency.org • Organización para la Cooperación y el Desarrollo Económico OCDE (Lista de Paraísos Fiscales No cooperadores http://www.oecd.org/ • Lista del Departamento de USA de los “Países que Apoyan el Terrorismo” http://www.state.gov/s/ct/c14151.htm • Países listados por el Consejo de Seguridad de la ONU • Países señalados por ONU por producción, tráfico o consumo de drogas • Centros financieros offshore INTERNAS EXTERNAS
OFICINA DE CUMPLIMIENTO • Ubicación del área dentro del organigrama del Banco, • Estructura del área • Características del personal que conforman el área, • Funciones que realiza el área (monitoreo, investigación y cumplimiento) • Documentación de los procesos • Nombramiento (aceptación al cargo y postulación ante la Superintendencia Bancaria) • Funciones • Responsabilidades • Plan de trabajo para el año en curso • Evaluación a la ejecución del plan de trabajo del segundo semestre del año XXXX • Soportes o papeles de trabajo del desarrollo de sus funciones. • Presupuestos • Informes presentados a la alta dirección UNIDAD DE CUMPLIMIENTO OFICIAL DE CUMPLIMIENTO
OFICINA DE CUMPLIMIENTO • Los resultados de la gestión desarrollada. • El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades. • La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgos asociados. • La efectividad de los mecanismos e instrumentos establecidos en el presente capítulo, así como de las medidas adoptadas para corregir las fallas en el SARLAFT. • Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces. • Los documentos y pronunciamientos emanados de las entidades de control y de la Unidad Administrativa Especial de Información y Análisis Financiero – UIAF. INFORME OF. CUMPLIMIENTO