El concepto de evaluación independiente es un pilar fundamental y se considera uno de los eslabones de mayor relevancia al momento de poner a prueba todo sistema de control interno dentro de una Organización, independientemente que la misma sea regulada por un organismo de supervisión. Lo anterior, debido a que este ejercicio, bien enfocado y realizado objetivamente, permite brindar un aseguramiento razonable sobre la efectividad y el buen funcionamiento de los mecanismos de control y prevención de toda entidad, ya sea desde una perspectiva regulatoria como también desde una perspectiva de normativa interna como sana práctica de gobierno corporativo en el caso de aquellas empresas que buscan escalar su nivel de madurez. Reconocidos estándares internacionales como el Marco Integrado de Control Interno (ICIF-COSO) han venido desde hace varias décadas haciendo énfasis en las actividades de supervisión, que incorporan a la evaluación independiente como último pilar en la cadena de valor de los sistemas de control interno. Se suman a esta línea otros estándares, como lo son las Normas ISO, entre otros actores clave que también incorporan actividades de evaluación independiente o evaluación externa como sanas prácticas de gobierno corporativo. En materia de cumplimiento y prevención del blanqueo de capitales, algunas leyes y disposiciones regulatorias establecen en distintas jurisdicciones la obligatoriedad de realizar evaluaciones independientes sobre la efectividad y el buen funcionamiento de los programas de cumplimiento, lo cual requiere que los profesionales y responsables de esta función cuenten con las suficientes habilidades y experiencias para realizar un ejercicio idóneo, independiente, objetivo, con debido cuidado profesional y apegado a normas, principalmente en entornos disruptivos donde la automatización y la transformación han tenido un papel predominante en la gestión del cumplimiento. A continuación, 8 atributos clave de un evaluador independiente frente a la automatización y transformación de las actividades de cumplimiento para la prevención del blanqueo de capitales que debes conocer:
1. Estándares y respaldo en Normas
Un evaluador independiente debe respaldarse en estándares y normas aceptables, principalmente de auditoría que aseguren sus conocimientos, competencias y capacidades, así como también sus criterios de independencia, objetividad y debido cuidado profesional en el análisis de los hechos como resultado de una evaluación. Enmarcarse en estándares y normas, permiten al evaluador independiente conducir de manera sistemática y disciplinada las fases de planificación, ejecución y comunicación de resultados que forman parte de un proceso estándar de auditoría, incluyendo en algunos casos y dependiendo su alcance, el seguimiento a la implementación de recomendaciones y planes de acción. Los estándares y normas aportan al auditor requisitos formales para realizar, documentar y salvaguardar los resultados (evidencias y papeles de trabajo) de cada procedimiento realizado, incluyendo los resultados y pruebas satisfactorias, como también las que requieren mejoras. Para propósitos, percepción y satisfacción de un buen gobierno corporativo, un evaluador independiente enmarcado en estándares y normas siempre proveerá mayor confianza y credibilidad frente a los distintos interesados clave de la organización (accionistas, casas matrices, junta directiva, reguladores, corresponsales, calificadores de riesgos, entre otros).
2. Comprensión del Gobierno Corporativo
Comprender ampliamente los requisitos y estándares de gobernanza corporativa son fundamentales y prioritarios en la evaluación de un programa de cumplimiento; esto debido a las distintas responsabilidades asignadas al más alto nivel, que involucran tareas y funciones de la junta directiva, de los comités y de la alta gerencia, entre otros actores de primera, segunda y tercera línea de defensa en las organizaciones. Dependiendo de cada organismo de supervisión y el tipo de sector regulado (financiero o no financiero), el evaluador independiente deberá contrastar las prácticas de gobierno corporativo adoptadas por la organización contra las disposiciones regulatorias emitidas y en otros casos recomendar la adopción de sanas prácticas de gobernanza (incluyendo las de gobierno de TI) para fortalecer el diseño, implementación y vigilancia de los programas de cumplimiento para la prevención del blanqueo de capitales.
3. Amplio enfoque a Gestión de Riesgos
GAFI en su recomendación No. 1 sugiere la adopción del enfoque basado en riesgos para los países, organismos de supervisión y para las organizaciones. Los programas de cumplimiento que suscriban adecuadamente este enfoque orientan su gestión hacia la evaluación del riesgo de entidad (perfil de riesgo basado en los factores de clientes, productos-servicios, canales y ubicación geográfica), del riesgo para la segmentación de los clientes, del riesgo operativo (personas, procesos, modelos, TI, factores externos, otros) y del riesgo sobre nuevos productos, servicios o tecnologías. El evaluador independiente debe tener un alto nivel de conocimiento en administración de riesgos para comprender y hacer su propia opinión independiente sobre el perfil de riesgo de cada entidad, de esta forma poder precisar los objetivos y alcance de evaluación del programa de cumplimiento, así como también, contar con las suficientes capacidades técnicas para evaluar los modelos y metodologías automatizadas de gestión de riesgos, las cuales, en algunos casos suelen ser altamente técnicas, avanzadas y difíciles de auditar.
4. Dominio del Cumplimiento
Un amplio conocimiento en materia de cumplimiento (normativo y regulatorio) es imprescindible para poder realizar una evaluación independiente de la efectividad de los programas de cumplimiento para la prevención del blanqueo de capitales. Este nivel de conocimiento debe partir desde la base de una comprensión y dominio de las recomendaciones del GAFI, las leyes y reglamentaciones emitidas para la prevención del blanqueo de capitales (según jurisdicción y según organismo de supervisión), así como de las políticas, controles y mecanismos de prevención diseñados e implementados por las organizaciones para mitigar los riesgos del blanqueo de capitales, entre otros delitos afines, sobre todo y con especial atención a cuando los programas de cumplimiento han sido transformados y apoyados a través de herramientas automatizadas de gestión.
5. Tecnología, Gobierno de Datos, Seguridad y Ciberseguridad
Hoy día se hace imperativo comprender la tecnología, dominando distintas técnicas del gobierno de datos, así como también los riesgos inherentes (e inclusive emergentes) asociados a la seguridad y a la ciberseguridad de los programas de cumplimiento, principalmente cuando éstos se apoyan con herramientas automatizadas de gestión. El evaluador independiente (de manera individual o colectiva) debe contar con un amplio conocimiento técnico que permita incluir en su alcance de evaluación el gobierno de TI y sus controles generales, la seguridad de la información (física, lógica, operativa, entre otras) y también el funcionamiento efectivo de las herramientas-modelos automatizados para la gestión de cumplimiento, sin descartar nuevas habilidades para la identificación de riesgos de ciberseguridad. Si bien, los programas de cumplimiento se han ido automatizando y transformando a través de la tecnología, como mínimo el evaluador debe considerar como parte de su alcance los modelos automatizados de riesgos (entidad y clientes), las herramientas de monitoreo transaccional, las bases de datos, las herramientas y listas de sanciones (screening), entre otras tecnologías, las cuales deben ser evaluadas por especialistas con un amplio conocimiento en tecnología y seguridad.
6. Idoneidad ratificada
Los evaluadores independientes para demostrar y ratificar su idoneidad deben definir planes continuos de educación continua que abarquen temas de actualización sobre normativas, mecanismos de control y prevención del blanqueo de capitales, gestión de riesgos, tecnología-seguridad de la información, auditoría y gobierno corporativo, entre otros temas orientados o que tengan un impacto en la gestión de cumplimiento para la prevención del blanqueo de capitales. Hoy día, la idoneidad de un evaluador independiente se ratifica adicionalmente con certificaciones, diplomados y planes de educación continua con un estándar sugerido de 25 a 40 horas anuales, entre otras participaciones en distintos foros-congresos afines a cumplimiento que le permitan potenciar su conocimiento y experiencia.
7. Interacción con Reguladores
Interactuar continuamente con organismos de supervisión financiera y no financiera, le permiten al evaluador independiente capitalizar mayor conocimiento sobre las expectativas y apetito regulatorio que respalda una supervisión basada en riesgos, ampliando también su espectro de enfoque y experiencia para anticipar riesgos sectoriales, abordando recomendaciones de valor agregado a las organizaciones y otras sanas prácticas sugeridas por parte de los reguladores dentro del sector o mercado.
8. Aliado independiente
Ser evaluadores con una tónica y enfoque de aliado independiente permite dentro del marco de las normas, considerar expectativas de valor para las organizaciones, apoyando el logro de sus objetivos de cumplimiento frente a los diferentes interesados clave, así como con otros usuarios de sus informes. Sin perder o afectar la objetividad que caracteriza a un evaluador independiente, los resultados de una auditoría pueden ser utilizados por las organizaciones como una herramienta estratégica de valor agregado, debido a que en sus informes también deben reconocerse los aspectos destacables y fortalezas de los programas de cumplimiento, así como también las oportunidades de mejora para la mitigación de riesgos y adopción de sanas prácticas.