auditoria al sarlaft

Report
María del Pilar Mejía Sánchez
Laura Carolina Cardona Mesa
Septiembre 2012
NORMAS DE ATRIBUTO
Propósito, autoridad y responsabilidad
Independencia y objetividad
Aptitud y cuidado profesional
Programa y aseguramiento y mejora de de
calidad
NORMAS DE DESEMPEÑO
Administración de la actividad de auditoría
interna
Naturaleza del trabajo
Planificación del trabajo
Desempeño del trabajo
Comunicación de resultados
Seguimiento de progreso
Decisión y aceptación del riesgo por parte de la
administración

Cumplimiento

Tributaria

Operativa y/o procesos

Financiera

Tecnología

Ambiental

Observación

Inspección

Confirmación

Comparación

Análisis

Cálculo

P.E.D (procesamiento electrónico de datos)
Documento donde el auditor plasma los
objetivos y alcance del trabajo, como mínimo
este debe contener los siguientes aspectos:

Objetivo general y específicos de auditoría

Alcance (delimitación en tiempo, recurso, proceso)

Antecedentes (razones para desarrollar la auditoria)

Aspectos a evaluar
(da respuesta al que hacer para
cumplir con los objetivos trazados)
Los objetivos de éstos documentos son:


Facilitan la preparación del informe
Comprueba y explica el detalle de las opiniones y
conclusiones del auditor.

Sirve como evidencia ante la Ley

Es guía para los trabajos siguientes

Requisito para el desarrollo de nuestra labor como
auditores tanto a nivel nacional como internacional.
Existen diferentes tipos de papeles de trabajo, como son:
Programa de trabajo, cuestionarios, encuestas, hojas de cálculo,
Listas de chequeo, documento soporte (factura, comprobante,
recibo de caja, etc), extractos de actas, entre otros.
De quien es la propiedad de los papeles de trabajo?
Los papeles de trabajo preparados durante la auditoria,
incluyendo aquellos que preparó el cliente para el auditor, son
propiedad del auditor. La única vez en que otra persona,
incluyendo el cliente, tienen derechos legales de examinar los
papeles es cuando los requiere un tribunal como evidencia legal.
Al término de la auditoria los papeles de trabajo se conservan en
las oficinas o despacho de contadores para referencia futura.
“Deberá evaluar anualmente la efectividad y cumplimiento
de todas y cada una de las etapas y los elementos del
SARLAFT, con el fin de determinar las deficiencias y sus
Posibles soluciones. Así mismo, deberá informar los
resultados de la evaluación al oficial de cumplimiento y a
la junta directiva.
La auditoría interna, o quien ejecute funciones similares o
haga sus veces, deberá realizar una revisión periódica de
los procesos relacionados con las exoneraciones y
parametrizaciones de las metodologías, modelos e
indicadores cualitativos y/o cuantitativos de reconocido
valor técnico”.
CAPITULO DÉCIMO PRIMERO. Circular Externa 053 de 2009. SFC
CONFORMACIÓN DE UN SISTEMA DE ADMINISTRACIÓN DEL RIESGO
DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO
INSTRUMENTACION DEL SARLAFT
Etapas
Identificar
Medir
Controlar
Monitorear
Elementos
Riesgo
Políticas
Procedimientos
Documentación
Órganos
Control
Estructura
Organizacional
Infraestructura
Tecnológica
Divulgación de información
Capacitación
MECANISMOS DE CONTROL
MECANISMOS DE CONTROL
CONOCIMIENTO DEL CLIENTE
CONOCIMIENTO DEL MERCADO
DETECCIÓN Y ANÁLISIS DE
OPERACIONES INUSUALES
DETERMINACIÓN Y REPORTE DE
OPERACIONES SOSPECHOSAS
INSTRUMENTOS DE CONTROL
INSTRUMENTOS DE CONTROL
SEÑALES DE ALERTA
SEGMENTACIÓN DE LOS FACTORES
DE RIESGO
SEGUIMIENTO DE OPERACIONES
CONSOLIDACIÓN ELECTRONICA DE
OPERACIONES
Etapas del SARLAFT
 Identificación,
 Medición o evaluación,
 Control, y
 Monitoreo
“Auditoría
Interna o quien ejecute funciones
similares o haga sus veces
La auditoría interna, o quien ejecute funciones
similares o haga sus veces, deberá realizar una
revisión periódica de los procesos relacionados con
las exoneraciones y parametrizaciones de las
metodologías, modelos e indicadores cualitativos y/o
cuantitativos de reconocido valor técnico”
Identificación
(…) Esta etapa debe realizarse previamente al lanzamiento de cualquier
producto, la modificación de sus características, la incursión en un nuevo
mercado, la apertura de operaciones en nuevas jurisdicciones y el lanzamiento o
modificación de los canales de distribución.
Para identificar el riesgo de LA/FT las entidades vigiladas deben como
mínimo:
 Establecer las metodologías para la segmentación de los factores de riesgo.
 Con base en las metodologías establecidas en desarrollo del literal anterior,
segmentar los factores de riesgo.
 Establecer las metodologías para la identificación del riesgo de LA/FT y sus
riesgos asociados respecto de cada uno de los factores de riesgo
segmentados.
 Con base en las metodologías establecidas en desarrollo del literal anterior,
identificar las formas a través de las cuales se puede presentar el riesgo de
LA/FT.
CAPITULO DÉCIMO PRIMERO. Circular
Externa 053 de 2009. SFC
“Factores de riesgo
Son los agentes generadores del riesgo de LA/FT. Para efectos
del SARLAFT las entidades vigiladas deben tener en cuenta como
mínimo los siguientes:
Clientes/usuarios,
Productos,
Canales de distribución y
Jurisdicciones.”
“Segmentación
Es el proceso por medio del cual se lleva a cabo la separación de
elementos en grupos homogéneos al interior de ellos y
heterogéneos entre ellos. La separación se fundamenta en el
reconocimiento de diferencias significativas en sus
características (variables de segmentación).“
CAPITULO DÉCIMO PRIMERO. Circular
Externa 053 de 2009. SFC
“Segmentación de los factores de riesgo
(…)
Clientes: actividad económica, volumen o frecuencia de sus
transacciones y monto de ingresos, egresos y patrimonio.
Productos: naturaleza, características y nicho de mercado o
destinatarios.
Canales de distribución: naturaleza y características.
Jurisdicciones: ubicación, características y naturaleza de las
transacciones.
A través de la segmentación las entidades deben determinar
las características usuales de las transacciones que se
desarrollan y compararlas con aquellas que realicen los
clientes, a efectos de detectar las operaciones inusuales.”
CAPITULO DÉCIMO PRIMERO. Circular
Externa 053 de 2009. SFC






Relación con el cliente
Montos- nivel de activos
Propósito de la relación comercial
Nivel de regulación del cliente/producto
Complejidad
Uso de intermediarios
Monitoreo

Esta etapa debe permitir a las entidades
vigiladas hacer seguimiento del perfil de
riesgo y, en general, del SARLAFT, así como
llevar a cabo la detección de operaciones
inusuales y/o sospechosas.
CAPITULO DÉCIMO PRIMERO. Circular
Externa 053 de 2009. SFC
“Para monitorear el riesgo de LA/FT las entidades
deben como mínimo:



Desarrollar un proceso de seguimiento efectivo que
facilite la rápida detección y corrección de las
deficiencias del SARLAFT. Dicho seguimiento debe
tener una periodicidad acorde con el perfil de riesgo
residual de LA/FT de la entidad, pero en todo caso
debe realizarse con una periodicidad mínima
semestral.
Establecer indicadores descriptivos y/o prospectivos
que evidencien potenciales fuentes de riesgo de
LA/FT.
Asegurar que los riesgos residuales se encuentren en
los niveles de aceptación establecidos por la entidad.”
CAPITULO DÉCIMO PRIMERO. Circular
Externa 053 de 2009. SFC





Combinar indicadores descriptivos,
indicadores prospectivos e indirectos
(qué y cómo)
Herramienta de gestión: permite
evaluar la gestión de forma integrada
(todo el Sistema)
Se pueden determinar rangos de
niveles de riesgo: monitorear y
mantener esas metas
Se tiene en cuenta la historia de los
indicadores para evaluar la evolución
del Sistema
Se puede alinear al Sistema con la
estrategia de la organización
Indicadores descriptivos:
fuentes






Indicadores básico
Conozca a su cliente
Matrices de riesgo LAFT
Controles internos
Sistema de monitoreo
Investigaciones internas
Indicadores descriptivos:
áreas de la organización











Oficina de cumplimiento
Área de riesgos
Área de fraudes y seguridad
Área de control interno
Auditoría interna o externa
Área de productos y canales
Área de mercadeo
Área comercial
Área de procesos
Área de formación y capacitación
Área jurídica
Indicadores descriptivos: ¿qué
son?





Nivel actual, Meta, Nivel de aceptación,
Historia
Factores de riesgo
Perfil de riesgo
Conocimiento cliente
Otros
Indicadores descriptivos:
ejemplos
Factores de riesgo (clientes, productos,
jurisdicciones, canales)
 Nivel de exposición
 Distribución de los elementos en
niveles de riesgo
 Incremento en niveles de riesgo altomuy alto
Indicadores descriptivos:
ejemplos
Perfil de riesgo
 Indicadores de evolución del perfil
de riesgo por proceso y por
categoría de riesgo Basilea
 Controles
◦ Calificación del diseño de grupo
de controles de LAFT por factor de
riesgo
◦ Efectividad de los controles
 Eventos de pérdida de LAFT
 Mapas de calor de subprocesos
impactados por LAFT
 KRI para Antilavado
Indicadores descriptivos:
ejemplos
Conocimiento cliente
 Reportes actividad sospechosa, alertas y casos
 Gestión señales de alerta
 Decisión de clientes con operaciones inusuales
◦ Cantidad de clientes desvinculados/cantidad de
clientes reportados en terminar relación
◦ Número de clientes en lista de control-acción de
bloqueo- con productos de colocación activos
◦ Número de clientes en lista de control-acción de
bloqueo- con productos de captación activos
 Vinculación de clientes
◦ Clientes con actualización de datos en el último
año/clientes activos
◦ Número de clientes de alto riesgo vinculados
Indicadores descriptivos:
ejemplos
Otros
 Número de establecimientos afiliados
de alto riesgo
 Número de proveedores en lista de
control
 Ejecución capacitación
Indicadores indirectos: ¿qué
son?
Monitorean los orígenes del LAFT: el crimen, según
la legislación de cada país:
 Narcotráfico
 Cultivos ilícitos
 Grupos al margen de la ley
 Nuevos mercados, nuevas drogas
 Contrabando
 Trata de personas
 Evasión fiscal
 Corrupción
 Fraude
 …
Indicadores indirectos:
ejemplos

Indicadores de Ilegalidad y crímenes:




Tasa de homicidio
Hectáreas de cultivos ilícitos
Consumo de sustancia ilegales
Contrabando por tipo de producto
Prospectiva




“El futuro no sucede ciegamente o
dependiente exclusivamente del
pasado sino que dependen también de
la acción del hombre”
Articula expertos, actores y la
probabilidad para establecer
escenarios probables y deseables del
futuro
Reducir la incertidumbre del futuro
Decisiones con mayor seguridad en el
presente
La Prospectiva. Técnicas para visualizar el futuro. Francisco Mojica Sastoque. Fondo
Editorial Legis.
Indicadores prospectivos


Sin historia
◦ Selección indicadores críticos
◦ Creación y descripción de escenarios
◦ Plan de acción o acciones propuestas
Con historia
◦ Predicción
◦ Creación y descripción de escenarios
◦ Plan de acción o acciones propuestas
Indicadores prospectivos





Escenario estable
Escenario positivo
Escenario negativo
El peor escenario
El mejor escenario
Ejemplo

Calidad de las fuentes de datos
◦ Captura de información: completa, veraz, suficiente
(KYC)
◦ Aplicativos y sistemas de información: Integridad,
Unicidad
◦ Manipulación, actualización
◦ Capacidad de Procesamiento y análisis

Si entra “basura”, sale “basura”
ELEMENTOS DEL SISTEMA
MECANISMOS DE CONTROL
POLITICAS Y PROCEDIMIENTOS
La
entidad
tiene
definido
claramente su mercado objetivo?
Los productos o servicios se
desarrollan
acorde
con
la
CONOCIMIENTO
DEL
CLIENTE
segmentación del mercado?
Los clientes son segmentados
acorde con su perfil?
Con que herramientas cuentas para
obtener información del mercado ?
La
fuerza
comercial
tiene
conocimiento del comportamiento
del sector en el que se mueve o
dinamiza el mercado?
CONOCIMIENTO DEL MERCADO
. Exista un Manual de políticas y
procedimientos
del
SARLAFT
previamente aprobado por la Junta
Directiva.
•El manual se encuentre actualizado y
tenga constancia de que fue publicado
a toda la organización.
•Dentro del Manual se encuentre de
forma clara las respuesta a: QUÉ?,
COMO?, PORQUÉ?, CUANDO?, QUIÉN?.
•El formato
de vinculación
de cliente
contiene
•Comprobar
que las
políticas
y
como
mínimo los se
campos
obligatorios por
procedimientos
cumplan.
ley.
•En el maestro de clientes exista integridad y
se garantice como mínimo los campos
requeridos por ley.
•En los
clientes activos con productos
activos tengan información actualizada.
•Evidenciar que las políticas del conocimiento
cliente interno (accionista, empleados) y
externo se apliquen.
•Al momento de vincular el cliente se
consulte las listas de control o alto riesgo.
•Que el cliente se encuentre calificado por
nivel de riesgo al momento de la vinculación
y durante la relación comercial.
•Tienen o se puede estructurar las relaciones
de los clientes?, es decir una mismas persona
es accionista de cuantas empresas?, es
beneficiario, codeudor o aval? Es PEPS?
ELEMENTOS DEL SISTEMA
DETECCIÓN Y ANÁLISIS DE
OPERACIONES INUSUALES
. Exista políticas y procedimientos claros
para la detección de operaciones inusuales
acorde con los productos y servicios que
ofrece la entidad.
MECANISMOS DE CONTROL
• Tienen definido la forma en que deben
ser reportadas las OI, tiempo, documentos
soporte, el canal de información.
• Existe una escala de responsabilidad o
especialidad para el análisis de OI?,
tiempos, donde queda registrado el flujo
de trabajo?
•Existen
estadísticas
por
áreas
o
departamentos de los OI reportadas?, de la
calidad de éstas?.
. Exista políticas y procedimientos claros
para la determinación ROS?
• Que controles existen entre la cantidad
de alertas reportadas y la decisión de
éstas frente a los ROS enviados a la UIAF?.
DETERMINACIÓN Y REPORTE DE
OPERACIONES SOSPECHOSAS
•Qué tiempos tienen definidos para la
determinación de ROS y el envió de éste?.
•Quienes participan de la decisión de
enviar ROS?
•Existen estadísticas de los ROS por
tipología, áreas?
•Revisar algunos ROS para validar el
cumplimiento de los requisitos del la UIAF
ELEMENTOS DEL SISTEMA
- Conocer el inventario de herramientas con que
cuenta el oficial de cumplimiento para el desarrollo
de su actividad.
INFRAESTRUCTURA
TECONOLOGICA
- Validar la administración de las herramientas o
aplicativos que tiene la entidad para administrar y
monitorear el SARLAFT.
- Verificar si existe la bitácora de incidentes o
problemas generados en los diferentes aplicativos
que pueda afectar el SARLAFT.
- Controles de acceso y administración de usuarios
para las diferentes herramientas?.
-Analizar la seguridad y rendimiento de los
servidores.
CONSOLIDACIÓN ELECTRONICA
DE DATOS
Verificar y validar si la compañía se encuentra en
capacidad de generar consolidación electrónica de
sus clientes mínimo una vez x mes y contenga las
siguientes características:
-Todas las operaciones según su naturaleza
- Todos los productos, canales de distribución y
jurisdicciones utilizados por los clientes.
ELEMENTOS DEL SISTEMA
-Gestión frente a la generación, revisión y oportunidad de
entrega a las áreas impactadas.

ROI
-Gestión
frente a la generación, revisión y oportunidad de
REPORTES
INTERNOS

ROS
entrega a los entes externos de control.
Reporte etapa de monitoreo

-Retroalimentación de las comunicaciones compartidas con
los entes de control externo (Super o UIAF)
- Seguridad en la generación de los reportes y envió de estos.
-Optimización de los recursos para la generación de alertas y
monitoreos.

ROS
- Cuales son las fuentes de información y la integridad de esta

Transacciones en efectivo
para la generación de reportes


REPORTES EXTERNOS



Clientes exonerados de transacciones en
efectivo
Operaciones de transferencias, compra y
venta de divisas.
Transacciones realizadas en Colombia con
tarjetas débito o crédito expedidas en el
exterior.
Reporte sobre productos ofrecidos por las
entidades vigiladas.
Reporte etapa de monitoreo
ELEMENTOS DEL SISTEMA



CAPACITACIÓN

Verificar que existan políticas y
procedimientos para el proceso de
capacitación y entrenamiento en tema
LA/FT.
Obtener evidencia de la planeación y
ejecución del programa de
capacitación del La entidad.
Obtener la evidencia del
entrenamiento que han recibido los
instructores frente al tema
Comprobar que exista un programa de
capacitación definido, de acuerdo con
en el nivel de riesgo Lavado de Activos
y la Financiación del Terrorismo
(SARLAF) de los diferentes cargos o
puestos de trabajo.
LISTAS DE CONTROL
INTERNAS

FRAUDE (suplantación o información
falsa)


Listados de fallecidos (Registraduría)
PEP´S (empleados oficiales que
administren recursos públicos

Listado judiciales







EXTERNAS




OFAC – CLINTON
ONU
OEA
Lista del Departamento de Estado de USA (Major money
laundering countries): http://www.state.gov
Países y territorios no cooperadores del Grupo de Acción
Financiera Internacional; http://www.fatf-gafi.org
Transparencia Internacional www.transparency.org
Organización para la Cooperación y el Desarrollo
Económico OCDE (Lista de Paraísos Fiscales No
cooperadores http://www.oecd.org/
Lista del Departamento de USA de los “Países que Apoyan
el Terrorismo” http://www.state.gov/s/ct/c14151.htm
Países listados por el Consejo de Seguridad de la ONU
Países señalados por ONU por producción, tráfico o
consumo de drogas
Centros financieros offshore
OFICINA DE CUMPLIMIENTO
Ubicación del área dentro del
organigrama del Banco,
Estructura del área
Características del personal que
conforman el área,
Funciones que realiza el área (monitoreo,
investigación y cumplimiento)
Documentación de los procesos

UNIDAD DE CUMPLIMIENTO








OFICIAL DE CUMPLIMIENTO





Nombramiento (aceptación al cargo y
postulación ante la Superintendencia
Bancaria)
Funciones
Responsabilidades
Plan de trabajo para el año en curso
Evaluación a la ejecución del plan de trabajo
del segundo semestre del año XXXX
Soportes o papeles de trabajo del desarrollo
de sus funciones.
Presupuestos
Informes presentados a la alta dirección
OFICINA DE CUMPLIMIENTO
INFORME OF. CUMPLIMIENTO
◦ Los resultados de la gestión desarrollada.
◦ El cumplimiento que se ha dado en relación
con el envío de los reportes a las diferentes
autoridades.
◦ La evolución individual y consolidada de los
perfiles de riesgo de los factores de riesgo
y los controles adoptados, así como de los
riesgos asociados.
◦ La efectividad de los mecanismos e
instrumentos establecidos en el presente
capítulo, así como de las medidas
adoptadas para corregir las fallas en el
SARLAFT.
◦ Los resultados de los correctivos ordenados
por la junta directiva u órgano que haga
sus veces.
◦ Los documentos y pronunciamientos
emanados de las entidades de control y de
la Unidad Administrativa Especial de
Información y Análisis Financiero – UIAF.

similar documents