Las instituciones financieras que buscan reducir costos tercerizando el cumplimiento de sus obligaciones antilavado de dinero deberían prestar atención antes de firmar contratos con esos proveedores, expertos de cumplimiento.

Cada vez más los bancos estadounidenses y europeos han buscado fuera de sus organizaciones fuerzas laborales más económicas para reducir los costos de analizar detalladamente los datos provenientes del software de monitoreo de transacciones, según expresó Rajesh Menon, experto de la división de cumplimiento de la empresa Infosys Consulting de India.

Pero la forma como operan estas herramientas offshore de los bancos y los proveedores se ha vuelto una pregunta más apremiante para los examinadores bancarios a la luz del escándalo contable de US$1.000 millones ocurrido en la empresa Satyam Computer Services Limited, de Nueva Delhi, la cuarta consultora más importante de India que era cliente de varias compañías integrantes de la lista de 500 compañías de la revista Fortune, comentaron ex funcionarios gubernamentales a Fortent Inform este mes.

En última instancia, los bancos deben recordar que aún cuando tercericen sus tareas de cumplimento, no están tercerizando sus responsabilidades, dijo John MacKessy, presidente de la consultora Prism Risk Advisors, en Nueva York. “Si [el proveedor] comete equivocaciones, ¿quién está en problemas? El banco, es el responsable de todo el riesgo”, dijo.

Teniendo presente eso, las instituciones financieras deberían seguir siendo cautas al analizar qué tareas podrían ser realizadas por el proveedor que contraten, según Kenn Kurtz, presidente de la consultora de administración de riesgo The Steel Foundation, en San Francisco.

“Si solo se considera la cantidad de personal en una empresa del exterior para acceder a una cantidad predeterminada de información y solo se hace eso, es aceptable”, dijo Kurtz. “El riesgo aumenta de manera significativa, especialmente para las instituciones financieras, cuando le asignan la tarea a estas empresas y se basan en las mismas para realizar una investigación”.

Debido a estos riesgos, las instituciones financieras deberían limitar la clase de monitoreo antilavado de dinero (ALD) que tercerizan a aquellas “tareas simples, estándares”, como las referidas a Conozca a Su Cliente y el monitoreo de transacciones para detectar positivos falsos, dijo Matt Schriner, director del grupo consultor RSM McGladrey en Austin, Texas.

“Si se trata de una simple decisión jerárquica, entonces no hay ningún problema”, indicó Schriner. “Pero si hay que tomar decisiones y hay que analizar un tema específico, es mucho más difícil el trasladar esa decisión fuera de la organización”.

En algunos casos cuando la institución financiera estadounidense realiza operaciones en el exterior, conocidas como sucursales cautivas, los esfuerzos de cumplimiento pueden enfrentar importante, con empleados que no tienen por delante posibilidades de ascender en sus tareas y que dejan la institución, dijo Menon, agregando que el alto índice de rotación podría afectar el control de calidad.

“Una de las razones por las cuales los individuos son atraídos a esta línea de trabajo es el deseo de llegar a ser un investigador, pero cuando terminan haciendo un trabajo común, tienden a dejar la institución, expresó Menon. Los proveedores han estado en mejor posición para mantener en bajo nivel ese desgaste, expresó.

Pies en la Tierra

Sea que un banco esté operando con una sucursal cautiva o con un proveedor, los departamentos de cumplimiento no deberían realizar su tarea basándose solo en promesas, sino que deberían asegurarse la realización de inspecciones en los lugares donde se realizan las actividades en el exterior, según Ross Delston, fundador de la consultora GlobalAML.com en Washington, D.C.

“Hay que ir al lugar y visitar al proveedor para estar seguros que la seguridad física que ofrecen es así efectivamente”, dijo Delston. “Uno quiere hablar con sus empleados para asegurarse que están capacitados y pueden cumplir las funciones de acuerdo con el contrato”.

La realización de esa investigación implicaría el traslado de varios oficiales de seguridad y cumplimiento para revisar las prácticas de protección de la información en el exterior, así también como personal contable que pueda auditor la contabilidad de las operaciones, dijo expresó MacKessy. Los bancos también deberían pedirle a su sector de seguridad corporativa que investigue la reputación de la compañía, señaló.

El solo hecho de estar conforme con el programa de seguridad de la información del proveedor es un proceso de diligencia debida que consta de varios pasos, dijo Michael Zeldin, ejecutivo de Deloitte Financial Advisory Services en Washington D.C., quien agregó que el primer paso es una revisión exhaustiva de los antecedentes de la entidad.

“Los bancos deberían preguntar “¿con cuáles otras instituciones financieras similares a la mía usted realiza operaciones comerciales?”. Si dicen, “la suya es la primera, “entonces, se podría decir “no, gracias”, dijo Zeldin.

Si la empresa superó el primer paso el banco debería concentrar su diligencia debida en los ejecutivos de la compañía, sus antecedentes comerciales y experiencia en la actividad bancaria, dijo Zeldin. En tercer lugar, el banco debería analizar “qué hace la empresa para vigilar a sus empleados y estar segura de que, en la medida de lo posible, está contratando gente confiable”, expresó.

Y finalmente, el banco debería inspeccionar la seguridad física y tecnológica del proveedor, incluidas las capacidades informáticas de firewall y de protección en caso de violación de la protección de la información. “Uno puede estar tratando con gente honesta con empleados honestos, pero si no tienen dinero suficiente para proteger lo suficientemente bien todo el ámbito, podrían ser hackeados y llegar a acceder a información privada de sus clientes que actualmente esté en Internet”, dijo Zeldin.

En una guía publicada en 2002, la Oficina de Contralor de la Moneda urgió a los bancos nacionales a que contrataran proveedores para evaluar sus procesos de diligencia debida y procesos de monitoreo, así también como a utilizar disposiciones contractuales que los protegieran. La FDIC emitió recomendaciones similares en junio, pidiendo a las instituciones financieras que también revisen los estados financieros y controles internos de los proveedores.

Siguiendo la línea de puntos

Una vez que el consultor externo pasó la prueba, los bancos deberían asegurarse que sus contratos con las empresas tengan un lenguaje claro mediante el cual se fije un conjunto de pautas para lograr el objetivo, incluidas las medidas para solucionar las falencias si no llegan a cumplirse los objetivos, indicó MacKessy.

“Pueden tenerse cláusulas en el contrato en donde se establezca que debe asignarse más capital, o que la contraparte entregue un reembolso al banco en caso de no cumplirse los objetivos, o en ciertos casos, dar por rescindido el contrato”, señaló MacKessy.

Y después de firmar un contrato, es vital hacer controles sobre el proveedor mediante auditorías periódicas realizadas por una firma reconocida, dijo Delston.

La auditoría asegurará que el banco esté informado sobre cualquier cambio material producido en la compañía que pudiera afectar potencialmente la tarea contratada, dijo Delston. “Los CEOs, la gerencia y los proveedores de seguros, todos esos elementos cambian así también como la clase de servicios brindados por el proveedor”.

Pero los bancos no deberían basarse demasiado en los informes de los auditores, y deberán actualizar su diligencia debida anualmente, indicó MacKessy. Además, deberían incluir una cláusula contractual detallando las causales de rescisión del contrato, agregó.

“En los documentos del contrato, hay que dejar establecidos ciertos derechos claramente estipulados, incluidos los derechos de revisión, inspección o auditoría del proveedor”, dijo Zeldin. “Uno quiere estar seguro de tener un derecho indudable a cancelar el contrato si se presentan determinadas circunstancias”.

Clic para ver nuestra propuesta del programa del Curso Práctico de SAR LA/FT.