El rol de Auditoría Interna como tercera línea de defensa

El rol de Auditoría Interna  como tercera línea de defensa

La importancia de la auditoría de la gestión de cumplimiento se convierte más relevante para los reguladores a nivel internacional

Young manager listening to his colleague explanations

Este es un tema relevante y de una tendencia creciente en la importancia regulatoria al interior de las empresas, por ello consideramos importante presentar algunos de los aspectos más importantes en la gestión de esta tercera línea de defensa:

¿Qué son las tres líneas de defensa?

Línea 1 (El Negocio): Estos son los que tienen el contacto principal con los clientes, son los que piden y reciben toda la información de debida diligencia necesaria. Estas personas tienen que estar bien capacitadas para entender no solo lo que tienen que solicitar, sino también por qué; con esto, una vez se cuente con esta información, se pueda identificar al cliente, conocer su fuente de fondos y entender su riesgo.

Línea 2 (Cumplimiento): Para lograr que suceda lo anterior, existe la segunda línea de defensa que es el Oficial de Cumplimiento. Su responsabilidad comprende la implementación de políticas, procedimientos y controles que mitiguen el riesgo del uso indebido de los productos y servicios que ofrece la institución. Dichas tareas deben ir reforzadas con constantes adiestramientos, una estructura robusta y herramientas que ayuden a automatizar el control y monitoreo de las relaciones.

Línea 3 (Auditoría): Esta línea de defensa es la encargada de auditar las labores que realizan las dos primeras líneas de defensa. Para su buen funcionamiento, debe mantenerse como un ente independiente del negocio el cual debe revisar el buen funcionamiento del departamento de cumplimiento y la aplicación por parte del negocio.

Es importante entender que para que el departamento de auditoría pueda realizar un trabajo correcto, se debe contar con dos insumos principales:

1. Plan anual de cumplimiento debidamente aprobado por la Junta Directiva: El plan de Cumplimiento es la guía de las acciones que este departamento tomará en el año. No solo debe especificar las tareas diarias dentro del perfil del departamento, sino también debe contemplar revisiones de documentos y expedientes.

2. El plan también debe contar con un presupuesto anual que debe cubrir capacitaciones, inversión en herramientas y consultorías, proyectos especiales, entre otros. Lo anterior debe estar sustentado con fechas específicas de acción para que el departamento de auditoría pueda revisar que se están cumplimiento los objetivos y existe la necesidad de redefinirlos.

Un manual de cumplimiento que mantenga procedimientos específicos:

Es fundamental que para poder auditar un proceso este debe estar definido por las diferentes acciones y pasos que requiere, en caso de que los manuales no especifiquen temas como:

a. Tareas adicionales de debida diligencia ampliada

b. El tiempo de respuesta para atender una alerta y qué pasos se deben tomar si no se cumple el tiempo

c. Detectar si un perfil debe ser revisado y cuáles son las acciones para aprobar un cambio.

d.Una excepción en los documentos de debida diligencia, como monitorear que se obtenga el mismo y en un tiempo prudente y qué pasos se deben tener en cuenta si no se obtiene.

Estos son ejemplos de casos en el cual no existe un proceso definido, por lo que auditoría no puede verificar el cumplimiento y al hacer la revisión de un expediente, se puede ver que existen fallas que se han dado por la falta de definición.

Programa de Auditoría

Los reguladores ahora exigen que dentro de un plan anual de auditoría, se tenga específicamente un plan que audite al departamento de cumplimiento.

Dicho plan debe contemplar los siguientes aspectos:

Gobierno Corporativo: Se debe contemplar que exista un comité de cumplimiento el cual se reúna como establece el manual, se encuentre conformado por las personas idóneas, se mantenga un orden del día, se redacten actas las cuales son informadas a la Junta Directiva, se le dé seguimiento a las decisiones, inversiones y proyectos aprobados, y por último, se tomen acciones al momento de establecerse fallas dentro de los procesos.

Conozca a su Cliente: El departamento de auditoría debe realizar una revisión independiente de una muestra representativa de expedientes para evidenciar que los procesos de Conozca a su Cliente están siendo llevados a cabo. Es importante no solo ver que la información del cliente se ha plasmado en los formularios y los documentos de sustento están debidamente adjuntados, sino que también hay que analizar si la información es coherente y mantiene una razonabilidad económica.

Verificación en listas especiales: Las auditorías realizadas deben revisar que todos los clientes pasen por un proceso de revisión contra listados especiales internacionales, que determinen si el cliente puede tener algún riesgo legal o reputacional importante; este riesgo se debe tomar en cuenta antes de ser aceptado. Una vez el cliente inicia una relación, de igual forma se deben mantener los controles necesarios para hacer revisiones periódicas de la base de datos de clientes, para asegurar que los mismos no hayan ingresado a algún listado después de haber iniciado la relación.

Matriz de riesgo: Una de las tendencias más importantes en el tema de Prevención de Lavado de Capitales, es el manejo de clientes basado en su riesgo. Para hacer estas determinaciones, se deben implementar matrices de riesgo según geografía, cliente y producto y que también se realice una ponderación de riesgo de cada cliente. Una vez se determine el riesgo, deben de existir procesos que determinen cómo se manejará la relación. Es importante que se hagan revisiones anuales de la metodología de ponderación de estas matrices, asegurando que actualicen la información utilizada para el cálculo. De igual forma, la revisión de la matriz debe evidenciar que se encuentra bien calibrada para determinar el real riesgo del cliente y que los clientes de alto riesgo sean la excepción a la regla, no un porcentaje importante de clientes.

Monitoreo de Clientes: Una de las tareas más sensibles del departamento de Cumplimiento es el monitoreo transaccional del cliente. Al momento de adjudicar un perfil transaccional, debe haber un debido sustento y análisis del oficial de la cuenta, el cual debe ser revisado y cuestionado. Si los perfiles no están bien designados, el trabajo de monitoreo se vuelve ineficiente y la institución cae en un riesgo importante. El departamento de auditoría debe determinar que los reportes utilizados son los necesarios para mitigar riesgos del uso indebido de los productos y servicios bancarios, así como también que mantienen la debida periodicidad y respuestas en tiempos oportunos. Es vital que al auditar este proceso, no solo se evidencie que existe una respuesta, sino que también atiende la operación inusual. En caso de evidenciar alertas repetitivas o clientes con operaciones por debajo de su perfil, hay que exigir una revisión.

Capacitaciones: Para exigir la correcta aplicación de los controles designados por Cumplimiento, se debe asegurar que el personal tenga la capacitación necesaria para entender sus responsabilidades. Es por esto que se deben tener claros los registros de las capacitaciones realizadas y asistencia. Auditoría debe asegurar que no solo se estén dando las capacitaciones, sino que también sean relevantes y actualizadas.

Plan de Cumplimiento: Adicional a las tareas periódicas, se debe revisar que se mantenga un seguimiento al plan anual de cumplimiento, teniendo en cuenta lo siguiente: subsanar observaciones del regulador, actualizaciones de expediente según riesgo, revisiones anuales de programa, manuales y políticas, seguimiento a proyectos especiales o implementaciones y el cumplimiento de objetivos anuales.

La importancia de la auditoría de la gestión de cumplimiento se convierte más relevante para los reguladores a nivel internacional, siendo un punto específico dentro de un proceso de revisión por parte de estos. Para no encontrar observaciones, se debe tener en cuenta que los auditores deben estar debidamente capacitados en las tareas de cumplimiento, debe haber un plan específico para esta área y debe existir una debida documentación de sustento que evidencie que los controles han sido testeados, se han identificado las oportunidades de mejora y hay un proceso de subsanación. Mantener estos principios mitiga riesgos importantes de los cuales su empresa puede estar sujeta, ya que integra un segundo nivel de control que monitorea que la gestión del departamento de Cumplimiento se esté llevando a cabo de manera correcta y que cuentan con los recursos necesarios para ser efectivos.

Roberto Sayavedra
Senior Director del Segmento de Consultoría Forense y de Litigios
FTI Consulting

Más informaciones

Comente la noticia