Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Bridging the Gap between IT and AML - an audit perspective
Cerrando la brecha entre TI y AML: una perspectiva de auditoría
Cerrando la brecha entre TI y AML: una perspectiva de auditoría
Agenda
❑ ¿Por qué es importante?
❑ Caso Danske Bank
❑ Identificación de fallas en los controles internos
❑ Marco de Colaboración - TI y AML
Tamaño del Problema
• Según la Oficina de las Naciones Unidas contra la Droga y el Delito, se calcula
que se lavan hasta $ 2 billones en activos anualmente.
• Si bien los gobiernos y los bancos han desarrollado una nueva tecnología para rastrear el dinero sucio, los lavadores de dinero también se están aprovechando de la tecnología.
Source: https://www.cbsnews.com/news/5-things-to-know-about-money-laundering/
Tamaño del Problema
❑ No solo involucra a organizaciones sospechosas de lavado de dinero.
❑ Impacta a grandes bancos y corporaciones.
▪ Wachovia Bank - $ 150 millones en 2010
▪ El banco admitió un "fracaso para identificar, detectar y reportar transacciones sospechosas".
• Otros bancos acusados incluyen HSBC, Bank of China, Credit Suisse y Danske Bank entre otros.
Source: https://www.cbsnews.com/news/5-things-to-know-about-money-laundering/
Tamaño del Problema
Danske Bank: “It could be the biggest money-laundering scheme in history, with suspicious money flowing from Russia and former Soviet republics.”
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/Source: https://www.acams.org/
Caso Danske Bank
https://www.youtube.com/watch?v=XYb5UUopLrA
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/https://www.youtube.com/watch?v=XYb5UUopLrA
Cómo la sucursal de Danske Bank en Estonia se convirtió en facilitador para el dinero sucio
Caso Danske Bank
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/
▪ Deutsche Bank
▪ JP Morgan▪ Bank of
America
▪ No-residentes▪ PEPs▪ Shell
Companies
▪ Estructuras complejas
▪ Off-shore
▪ Velocidad▪ “Clearing”▪ Transacciones en
dólares▪ Mercado de Valores▪ Bancos
Corresponsales
▪ Jurisdicciones de Alto Riesgo
Tipos de Clientes Tipos de TransaccionesMúltiples FIs
Caso Danske Bank
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/https://www.reuters.com/article/us-deutsche-bank-moneylaundering-exclusi/exclusive-deutsche-bank-took-years-to-flag-suspect-danske-money-flows-source-idUSKBN1WT28F
Caso Danske Bank
❑ Empresa del Reino Unido con domicilio social en el norte de Londres
❑ Cuenta en un Banco estonio
❑ Dirigida por rusos y los socios, los propietarios, son de las Islas Seychelles y Marshall
❑ Movimiento de fondos $20MM diarios
❑ Cuenta “dormant” o inactiva en el registro publico
❑ Dirección postal
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/
Otras Banderas Rojas:
❑ Clientes no residentes❑ Empresas fantasma❑ Jurisdicciones de alto riesgo: origen y destino❑ Información en los mensajes de pago (SWIFT)❑ Volumen de flujo de fondos❑ Conexiones con personas políticamente expuestas PEP❑ Partes conectadas - estructura❑ Propiedad y conexiones comunes❑ Los fondos fluyen durante 12 a 36 meses
Caso Danske Bank
Caso Danske Bank
“Danske Bank itself admits to a complete breakdown of
every single internal control.”
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/
Rol de AuditoriaTecnología y AML
Fallas en Controles Internos
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/
Vinculación
CIP/CDD
• Información incompleta (dirección física)
• Falta de información de beneficiarios finales
• Origen de los fondos
• Objetivo de la cuenta (¿porque en otra jurisdicción?)
Debida Diligencia
EDD
• Movimiento de fondos no considerada en la revisión anual
• Nivel de riesgo
• PEPs
• Conexión con países sancionados
Monitoreo / Sanciones
• Noticias negativas
• Identificación de PEPs
• Monitoreo a nivel de alerta y no de cliente
• Poco o ningún enfoque en la red del cliente
Desvinculación
• Falta de política para clientes con múltiples SARs
• Proceso de desvinculación extenso
Cultura de ventas, poco respeto por las funciones de control, falta de gobierno corporativo, recursos insuficientes / poca inversión en funciones de control
Fallas en Controles Internos
Cultura de ventas, poco respeto por las funciones de control, falta de gobierno corporativo, recursos insuficientes / poca inversión en funciones de control
❑ Falta de Gobierno Corporativo
❑ Comité dedicados al análisis y toma de decisiones sobre riesgo de AML y Tecnología
❑ Políticas y Procedimientos alineadas a los requisitos regulatorios / aprobadas por la Junta Directiva
❑ Apetito de Riesgo (data que sustenta los parámetros utilizados para definir el apetito de riesgo)
❑ Matriz de Riesgos (metodología y datos que sustentan el marco de riesgo asignado)
Tecnología & AML – rol del auditor
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/
❑ Completitud de los documentos y los datos en carpeta y en el sistema (1 a 1)
❑ Acceso y rol asignado en el sistema
❑ Interface con el sistema de escaneo (sanciones)
▪ Completitud de los récords
▪ Exactitud de los datos
▪ Validar los campos (caracteres, en blanco, espacio en los campos del sistema / “truncation”)
❑ Análisis de datos: dirección, beneficiarios finales
Existen múltiples clientes con la misma información? (9/11)
Fallas en Controles Internos
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/
❑ Actualización de los documentos y los datos en carpeta y en el sistema (1 a 1)
▪ Compañía
▪ Beneficiarios finales
❑ Cambios en el nivel de riesgo del cliente
❑ Quien tiene acceso a cambio de nivel de riesgo en el sistema – impacto al monitoreo
❑ Noticias negativas
▪ Compañía
▪ Beneficiarios finales
Fallas en Controles Internos
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/
Monitoreo de Transacciones
❑ Controles diseñados para garantizar la integridad y precisión de las reglas y modelos.
❑ Controles diseñados para cambiar (gestión de cambios) las reglas / parámetros de modelos / perfiles.
❑ Completitud e integridad de los datos
❑ Validación de las reglas
❑ Efectividad de las reglas
❑ Todas las reglas capturadas en el modelo fueron acordadas y aprobadas por la administración del usuario.
Fallas en Controles Internos
Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/
Sanciones
❑ Controles diseñados para garantizar la integridad y precisión de los parámetros del modelo.
❑ Controles diseñados para cambiar (gestión de cambios) a los parámetros.
❑ Validar que los cambios fueron probados, aprobados, implementados correctamente y registrados.
❑ Reducción de falsos positivos
Fallas en Controles Internos
❑ Políticas y Procedimientos alineadas a los requisitos regulatorios
❑ Política aprobada por la Junta Directiva
❑ Monitoreo de clientes con múltiples SARs (análisis de datos: cliente con múltiples productos / cuentas / cuentas asociadas)
❑ Cumplimiento con el termino establecido en la política
❑ Oficial de Cumplimiento designado para toma de decisiones
Marco de Colaboración – TI & AML
Recursos Capacitación Roles yResponsabilidades
Planeación Anual
Matriz de Riesgos
Unificada
Procedimientos de auditoria
Comunicación
Organizar un grupo de enfoque que incluya auditores de TI, AML y Análisis de Datos para trabajar en el marco de colaboración.
Riesgo Emergente y el Rol del Auditor
Búsqueda de palabras clave o nombres en la base de datos –
❑ Clientes❑ Transferencias “wires”❑ Depósitos en efectivo❑ Instrumentos monetarios❑ Revisiones retrospectivas❑ MSBs o casas de cambio para
criptomoneda no registradas
▪ Análisis de Datos
▪ Existencia de controles para identificar transacciones que el Sistema de monitoreo o las reglas existentes no detectan
Riesgo Emergente y el Rol del Auditor
Banderas Rojas - Trata de Humanos
❑ Depósitos de alto volumen a través de cuentas en embudo y retiros inmediatos de ciudades fronterizas
❑ Transacciones en curso con tarjeta de crédito / cajero automático en cantidades pares entre las 10 p.m.
❑ Cambios repentinos de actividad en cuentas comerciales fuera del perfil esperado del cliente
❑ Uso de instrumentos monetarios anónimos para pagar facturas en lugar de cheques personales
❑ Depósitos en efectivo estructurados en múltiples sucursales bancarias
Source: https://www.acams.org/aml-resources/human-trafficking/
La clave para el éxito será la estrecha cooperación entre los equipos de Tecnología y AML tomando en consideración la importancia de establecer un marco adecuado de colaboración.