Bridging the Gap between IT and AML - an audit perspective

Cerrando la brecha entre TI y AML: una perspectiva de auditoría

Cerrando la brecha entre TI y AML: una perspectiva de auditoría

Agenda

❑ ¿Por qué es importante?

❑ Caso Danske Bank

❑ Identificación de fallas en los controles internos

❑ Marco de Colaboración - TI y AML

Tamaño del Problema

• Según la Oficina de las Naciones Unidas contra la Droga y el Delito, se calcula

que se lavan hasta $ 2 billones en activos anualmente.

• Si bien los gobiernos y los bancos han desarrollado una nueva tecnología para rastrear el dinero sucio, los lavadores de dinero también se están aprovechando de la tecnología.

Source: https://www.cbsnews.com/news/5-things-to-know-about-money-laundering/

Tamaño del Problema

❑ No solo involucra a organizaciones sospechosas de lavado de dinero.

❑ Impacta a grandes bancos y corporaciones.

▪ Wachovia Bank - $ 150 millones en 2010

▪ El banco admitió un "fracaso para identificar, detectar y reportar transacciones sospechosas".

• Otros bancos acusados incluyen HSBC, Bank of China, Credit Suisse y Danske Bank entre otros.

Source: https://www.cbsnews.com/news/5-things-to-know-about-money-laundering/

Tamaño del Problema

Danske Bank: “It could be the biggest money-laundering scheme in history, with suspicious money flowing from Russia and former Soviet republics.”

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/Source: https://www.acams.org/

Caso Danske Bank

https://www.youtube.com/watch?v=XYb5UUopLrA

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/https://www.youtube.com/watch?v=XYb5UUopLrA

Cómo la sucursal de Danske Bank en Estonia se convirtió en facilitador para el dinero sucio

Caso Danske Bank

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/

▪ Deutsche Bank

▪ JP Morgan▪ Bank of

America

▪ No-residentes▪ PEPs▪ Shell

Companies

▪ Estructuras complejas

▪ Off-shore

▪ Velocidad▪ “Clearing”▪ Transacciones en

dólares▪ Mercado de Valores▪ Bancos

Corresponsales

▪ Jurisdicciones de Alto Riesgo

Tipos de Clientes Tipos de TransaccionesMúltiples FIs

Caso Danske Bank

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/https://www.reuters.com/article/us-deutsche-bank-moneylaundering-exclusi/exclusive-deutsche-bank-took-years-to-flag-suspect-danske-money-flows-source-idUSKBN1WT28F

Caso Danske Bank

❑ Empresa del Reino Unido con domicilio social en el norte de Londres

❑ Cuenta en un Banco estonio

❑ Dirigida por rusos y los socios, los propietarios, son de las Islas Seychelles y Marshall

❑ Movimiento de fondos $20MM diarios

❑ Cuenta “dormant” o inactiva en el registro publico

❑ Dirección postal

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/

Otras Banderas Rojas:

❑ Clientes no residentes❑ Empresas fantasma❑ Jurisdicciones de alto riesgo: origen y destino❑ Información en los mensajes de pago (SWIFT)❑ Volumen de flujo de fondos❑ Conexiones con personas políticamente expuestas PEP❑ Partes conectadas - estructura❑ Propiedad y conexiones comunes❑ Los fondos fluyen durante 12 a 36 meses

Caso Danske Bank

Caso Danske Bank

“Danske Bank itself admits to a complete breakdown of

every single internal control.”

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/

Rol de AuditoriaTecnología y AML

Fallas en Controles Internos

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/

Vinculación

CIP/CDD

• Información incompleta (dirección física)

• Falta de información de beneficiarios finales

• Origen de los fondos

• Objetivo de la cuenta (¿porque en otra jurisdicción?)

Debida Diligencia

EDD

• Movimiento de fondos no considerada en la revisión anual

• Nivel de riesgo

• PEPs

• Conexión con países sancionados

Monitoreo / Sanciones

• Noticias negativas

• Identificación de PEPs

• Monitoreo a nivel de alerta y no de cliente

• Poco o ningún enfoque en la red del cliente

Desvinculación

• Falta de política para clientes con múltiples SARs

• Proceso de desvinculación extenso

Cultura de ventas, poco respeto por las funciones de control, falta de gobierno corporativo, recursos insuficientes / poca inversión en funciones de control

Fallas en Controles Internos

Cultura de ventas, poco respeto por las funciones de control, falta de gobierno corporativo, recursos insuficientes / poca inversión en funciones de control

❑ Falta de Gobierno Corporativo

❑ Comité dedicados al análisis y toma de decisiones sobre riesgo de AML y Tecnología

❑ Políticas y Procedimientos alineadas a los requisitos regulatorios / aprobadas por la Junta Directiva

❑ Apetito de Riesgo (data que sustenta los parámetros utilizados para definir el apetito de riesgo)

❑ Matriz de Riesgos (metodología y datos que sustentan el marco de riesgo asignado)

Tecnología & AML – rol del auditor

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/

❑ Completitud de los documentos y los datos en carpeta y en el sistema (1 a 1)

❑ Acceso y rol asignado en el sistema

❑ Interface con el sistema de escaneo (sanciones)

▪ Completitud de los récords

▪ Exactitud de los datos

▪ Validar los campos (caracteres, en blanco, espacio en los campos del sistema / “truncation”)

❑ Análisis de datos: dirección, beneficiarios finales

Existen múltiples clientes con la misma información? (9/11)

Fallas en Controles Internos

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/

❑ Actualización de los documentos y los datos en carpeta y en el sistema (1 a 1)

▪ Compañía

▪ Beneficiarios finales

❑ Cambios en el nivel de riesgo del cliente

❑ Quien tiene acceso a cambio de nivel de riesgo en el sistema – impacto al monitoreo

❑ Noticias negativas

▪ Compañía

▪ Beneficiarios finales

Fallas en Controles Internos

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/

Monitoreo de Transacciones

❑ Controles diseñados para garantizar la integridad y precisión de las reglas y modelos.

❑ Controles diseñados para cambiar (gestión de cambios) las reglas / parámetros de modelos / perfiles.

❑ Completitud e integridad de los datos

❑ Validación de las reglas

❑ Efectividad de las reglas

❑ Todas las reglas capturadas en el modelo fueron acordadas y aprobadas por la administración del usuario.

Fallas en Controles Internos

Source: https://www.cbsnews.com/news/how-the-danske-bank-money-laundering-scheme-involving-230-billion-unraveled-60-minutes-2019-05-19/

Sanciones

❑ Controles diseñados para garantizar la integridad y precisión de los parámetros del modelo.

❑ Controles diseñados para cambiar (gestión de cambios) a los parámetros.

❑ Validar que los cambios fueron probados, aprobados, implementados correctamente y registrados.

❑ Reducción de falsos positivos

Fallas en Controles Internos

❑ Políticas y Procedimientos alineadas a los requisitos regulatorios

❑ Política aprobada por la Junta Directiva

❑ Monitoreo de clientes con múltiples SARs (análisis de datos: cliente con múltiples productos / cuentas / cuentas asociadas)

❑ Cumplimiento con el termino establecido en la política

❑ Oficial de Cumplimiento designado para toma de decisiones

Marco de Colaboración – TI & AML

Recursos Capacitación Roles yResponsabilidades

Planeación Anual

Matriz de Riesgos

Unificada

Procedimientos de auditoria

Comunicación

Organizar un grupo de enfoque que incluya auditores de TI, AML y Análisis de Datos para trabajar en el marco de colaboración.

Riesgo Emergente y el Rol del Auditor

Búsqueda de palabras clave o nombres en la base de datos –

❑ Clientes❑ Transferencias “wires”❑ Depósitos en efectivo❑ Instrumentos monetarios❑ Revisiones retrospectivas❑ MSBs o casas de cambio para

criptomoneda no registradas

▪ Análisis de Datos

▪ Existencia de controles para identificar transacciones que el Sistema de monitoreo o las reglas existentes no detectan

Riesgo Emergente y el Rol del Auditor

Banderas Rojas - Trata de Humanos

❑ Depósitos de alto volumen a través de cuentas en embudo y retiros inmediatos de ciudades fronterizas

❑ Transacciones en curso con tarjeta de crédito / cajero automático en cantidades pares entre las 10 p.m.

❑ Cambios repentinos de actividad en cuentas comerciales fuera del perfil esperado del cliente

❑ Uso de instrumentos monetarios anónimos para pagar facturas en lugar de cheques personales

❑ Depósitos en efectivo estructurados en múltiples sucursales bancarias

Source: https://www.acams.org/aml-resources/human-trafficking/

La clave para el éxito será la estrecha cooperación entre los equipos de Tecnología y AML tomando en consideración la importancia de establecer un marco adecuado de colaboración.