Entérese de las Últimas Noticias

21 May, 2018

Actualidad - últimas noticias

LA EVALUACION DEL GAFI SOBRE EL DESEMPEÑO DE COLOMBIA EN MATERIA DE LAVADO DE ACTIVOS Y FINANCIACION DEL TERRORISMO  

22 Sep, 2017

Actualidad

Artículo de RICS sobre segmentación que se va a utilizar en el taller del congreso en Cartagena.  

22 Sep, 2017

Actualidad

COSO 2013: Velocidad y persistencia del riesgo  

LECCIONES APRENDIDAS DEL ESCÁNDALO DE LAVADO DE DINERO DEL SWEDBANK EN ESTONIA

regresar a publicaciones

27/03/2020

*Juan Pablo Rodríguez C

**René M. Castro V

 

El Swedbank fue multado por $363 millones de Euros por la Autoridad de Supervisión Financiera de Suecia.

El pasado 19 de Marzo de 2020, la Autoridad de Supervisión Financiera de Suecia, Finansinspektionen (FI, por sus siglas en sueco) multaron al banco sueco Swedbank AB con 363 millones de euros[1], (el equivalente a 4.000 millones de coronas suecas), por su participación en un escándalo de lavado de dinero en Estonia en el que están involucradas varias entidades bancarias nórdicas y determinar que Swedbank ha tenido “deficiencias graves” en su tarea de combatir los riesgos de lavado de dinero en su actividad en los países bálticos, tras realizar dos investigaciones paralelas de la matriz del banco Swedbank AB y la filial estonia del banco, investigación en la que participaron Swedish Finansinspektionen (FI) y la Autoridad Supervisora Financiera de Estonia (Estonian Finantsinspektsioon).

Las investigaciones muestran que el Swedbank tenía conocimiento de las sospechas de lavado de dinero, pero pese a varios informes internos y externos que advertían de ello, no tomó medidas “adecuadas y suficientes”, además de ocultar información a las autoridades suecas y estonias. La investigación sueca concluye que Swedbank AB ha tenido grandes deficiencias de su gobierno corporativo en las medidas contra el lavado de dinero en sus filiales bálticas. La conciencia del banco sobre el riesgo de lavado de dinero y sus procesos, rutinas y sistemas de control eran insuficientes. Las operaciones bálticas también carecían de recursos adecuados para combatir el lavado de dinero.

Según una investigación de la televisión pública sueca SVT en Febrero de 2019[2], 50 clientes del Swedbank que exhibieron “claras señales de advertencia” de que podrían estar involucrados en el lavado de dinero realizaron transacciones sospechosas por valor de 40.000 millones de coronas suecas (unos 3.627 millones de euros) a cuentas del Danske Bank, el principal banco danés, en los países bálticos entre 2007 y 2015. El Danske Bank está en el centro del escándalo, ya que se cree que fue usado para operaciones sospechosas en Estonia por valor de unos 200.000 millones de euros en esos mismos años, en uno de los mayores escándalos bancarios de la historia.

La Autoridad de Supervisión Financiera de Suecia (FI) emitió una orden para que el banco adopte medidas para mejorar su sistema de lucha contra el lavado de dinero y calificó de “preocupante” la ocultación de datos, así como las deficiencias en la clasificación de riesgo de los clientes y la vigilancia de las transacciones. El Swedbank AS también deberá revisar y modificar su estructura organizacional para gestionar los riesgos de manera más efectiva. El banco necesita cambiar sus prácticas para comprender las actividades de sus clientes y revisar las prácticas para reportar transacciones sospechosas a la Unidad de Inteligencia Financiera y en sus reportes sobre el riesgo operativo a la Autoridad de Supervisión Financiera de Suecia (FI).

Las presuntas irregularidades del Swedbank ya le costaron el puesto en marzo de 2019 a la entonces directora ejecutiva, Birgitte Bonnesen, y se produjo un cambio en la presidencia, ocupada ahora por el exprimer ministro sueco Göran Persson. El caso está siendo investigado por las autoridades de varios países, entre ellos, Estonia, Suecia y Estados Unidos.

Al mismo tiempo, el Swedbank encargó a la consultora Clifford Chance una investigación independiente[3], cuyos resultados se conocieron el 23 de Marzo de 2020. El Informe concluye que las filiales bálticas del banco sueco Swedbank realizaron transacciones sospechosas por 36.700 millones de euros, entre 2014 y 2019 (por pagos a cuentas por 17.800 millones de euros y pagos desde cuentas por 18.900 millones de euros) y aunque no se puede concluir que hubo lavado de dinero, estas filiales bálticas buscaron de forma activa clientes de alto riesgo y se les permitió abrir cuentas en áreas de negocio en Suecia, mientras la Dirección del banco no supo determinar el peligro que representaban los clientes de alto riesgo que habían sido rechazados por otra entidad estonia y tampoco estableció líneas claras de responsabilidad entre sus áreas.

El Swedbank decidió cancelar unilateralmente el acuerdo de indemnización con la antigua consejera delegada, Birgitte Bonnesen, destituida hace un año, pero no emprenderá acciones legales contra ella; y no recurrirá tampoco la multa de 4.000 millones de coronas (363 millones de euros) dictada por la Autoridad de Supervisión Financiera de Suecia.

La consultora Clifford Chance cuestiona las prácticas aplicadas en la lucha contra el blanqueo de capitales por el banco, y afirma que entre 2007 y 2019, la alta dirección del banco no supo establecer líneas claras en la lucha contra el lavado de dinero y que los consejeros delegados de Swedbank en este periodo no valoraron adecuadamente los peligros que los Clientes No Residentes de Alto Riesgo suponían para la entidad, y además, que la información proporcionada al Consejo por la Dirección de la entidad era incompleta y que por eso Clifford Chance considera determinadas declaraciones del banco respecto del lavado de dinero entre octubre de 2018 y febrero de 2019 como “inexactas o presentadas sin el contexto necesario”. “Es obvio que ha habido formas inaceptables de hacer las cosas en el banco. Esto es grave. He comenzado una revisión que busca identificar las medidas necesarias”, declaró el presidente y consejero delegado de Swedbank’, Jens Henriksson.

El informe de Clifford Chance determinó que si bien Swedbank Estonia creó un comité especial para revisar la incorporación y el mantenimiento de los Clientes No Residentes de Alto Riesgo (High Risk No Resident -HRNR[4]), la investigación ha identificado que este comité aprobó clientes de alto riesgo sin tener la documentación completa sobre los beneficiarios finales, ni probar el origen de los fondos y sin la explicación del propósito comercial legítimo de los clientes, y tampoco consideró las señales de alerta que surgieron de la información entregada por los clientes. Algunas de las compañías tenían estructuras de propiedad complejas y opacas que involucraban a entidades off-shore organizadas en jurisdicciones de bajos impuestos, así como la propiedad a través de fideicomisos extranjeros y vehículos similares para los cuales los beneficiarios finales eran difíciles de verificar. Swedbank Estonia también aceptó clientes a pesar de la conciencia entre los empleados, incluidos los gerentes comerciales, de que los propietarios beneficiarios enumerados no eran los beneficiarios reales, y también aceptó abrir cuentas a clientes en las que el posible cliente se negó a proporcionar información verificable del beneficiario real de la entidad.

Otro de los hallazgos de la investigación, mostró que los empleados de Swedbank Estonia, involucrados en el negocio de Clientes No Residentes de Alto Riesgo mantuvieron cierta información sobre los beneficiarios finales para algunos clientes fuera de las bases de datos de los clientes habituales de Swedbank y retuvieron la información en una copia impresa en un cajón seguro de un escritorio para calmar la preocupación del cliente de que los verdaderos beneficiarios finales puede ser conocido por terceros. Los empleados de Swedbank Estonia también aceptaron estructuras corporativas de los clientes sabiendo que fueron diseñados para ocultar los verdaderos beneficiarios finales de las autoridades fiscales del país de origen. Por último, los empleados de Swedbank Estonia también pasaron por alto o ignoraron las indicaciones de transacciones potencialmente sospechosas.

Clifford Chance también revisó los pagos de la red de la Sociedad Mundial de Telecomunicaciones Financieras Interbancarias (SWIFT, por sus siglas en inglés) procesados por las subsidiarias del Swedbank durante el período de cinco años desde el 22 de marzo de 2014 hasta el 22 de marzo de 2019 para identificar si alguno de esos pagos pudo no haber cumplido con la normativa de la Oficina de Control de Activos Extranjeros de Estados Unidos (OFAC, por sus siglas en inglés), o por embargos a países, y encontró que algunas de las transacciones analizadas parecían involucrar a personas en Irán, Cuba o Crimea, y otras transacciones que involucraron a tres clientes de envío domiciliados en jurisdicciones extranjeras que tenían cuentas en Swedbank Letonia pero cuyo dueño parecía operar estas compañías desde Crimea. Ninguna de estas transacciones involucró a personas incluidas en la Lista OFAC.

En cuanto al Gobierno Corporativo, el Informe de Clifford Chance estableció que, aunque desde 2016, Swedbank inició mejoras en sus sistemas de control de cumplimiento y gestión de riesgos en las subsidiarias del Báltico, estos esfuerzos se vieron obstaculizados por una serie de fallas de gobierno corporativo. Por ejemplo, la Alta Gerencia de Swedbank históricamente no había logrado establecer líneas claras de responsabilidades relacionadas con las medidas antilavado, particularmente entre el área comercial (la primera línea de defensa) y el área de Cumplimiento (la segunda línea de defensa).

Además, durante todo el período de investigación, los Chief Executive Oficer (CEOs, por sus siglas en inglés) de Swedbank parecían carecer de una apreciación adecuada por el grave riesgo que el negocio de Clientes No Residentes de Alto Riesgo (HRNR) representaba para la institución en la banca Báltica, dados los controles antilavado consistentemente ineficaces. Esta falta de apreciación por el grado de riesgo se evidenció por la incapacidad del Banco de adoptar una declaración de apetito por el riesgo de lavado de dinero a nivel de grupo hasta 2017, o de tomar medidas para garantizar la coherencia del enfoque para calificar a los clientes en todas las líneas de negocio.

Así mismo, la investigación también encontró que debido a que la Alta Gerencia no pudo apreciar el grado de riesgo legal y reputacional para Swedbank, no siempre se relacionó con la Junta de una manera consistente con la importancia de estos temas. Por ejemplo, durante todo el período de investigación, la Auditoria Interna identificó y reportó repetidamente serias deficiencias de control del riesgo de lavado de dinero que se plantearon al Comité de Auditoría de la Junta y, a menudo, se resumieron a toda la Junta, particularmente durante el período de 2016 a 2019. El CEO y otros ejecutivos senior de la Junta durante este período concluyeron que, si bien había problemas, estaban bajo control.

Del mismo modo, durante este período, el área de Cumplimiento con la asistencia de expertos externos como el bufete de abogados Erling Grimstad AS (“Grimstad AS”), habían identificado serias deficiencias de control del riesgo de lavado de dinero y un riesgo legal potencialmente grave para Swedbank derivado de esas deficiencias. En algunos casos, los hallazgos más serios no se transmitieron de manera oportuna a la Junta, ni se compartieron con la Auditoria Interna ni con la administración de la filial báltica pertinente.

Además, Clifford Chance revisó las solicitudes de los reguladores recibidas por Swedbank y sus subsidiarias del Báltico con respecto a temas relacionados con lavado de dinero y las respuestas de Swedbank a esas solicitudes, para evaluar la transparencia de Swedbank al tratar con sus reguladores con respecto a tales asuntos. La investigación descubrió que, en ciertos casos, Swedbank no siempre adoptó una postura activamente transparente con los reguladores con respecto a cuestiones relacionadas con el lavado de dinero, desestimó la información negativa y ocasionalmente empleó una lectura limitada o literal de ciertas solicitudes de las autoridades.

Clifford Chance consideró la integridad y precisión de las divulgaciones públicas de Swedbank desde enero de 2014 hasta marzo de 2019, sobre el cumplimiento del sistema antilavado y cuestiones relacionadas, que incluye, por ejemplo, informes provisionales y anuales emitidos por Swedbank y materiales asociados, otras declaraciones y presentaciones en comunicaciones con inversionistas, analistas y la comunidad financiera, documentos de oferta de deuda corporativa, etc. y encontró que ciertas declaraciones con respecto al cumplimiento histórico del sistema antilavado de Swedbank, y la exposición a ciertos tipos de riesgo de lavado de dinero, eran inexactas o fueron presentadas sin suficiente contexto.

El Informe de Clifford Chance también consideró qué individuos fueron responsables por la existencia y perpetuación de las deficiencias en los controles antilavado y por qué estas deficiencias identificadas por Auditoria Interna, Cumplimiento y en cierta medida por los auditores externos de Swedbank, continuaron sin mejoras materiales durante muchos años y el Informe determinó que los tres ex CEOs que sirvieron durante el período de investigación, la Junta y ciertos empleados contribuyeron en mayor o menor grado a la falla de Swedbank de reconocer y administrar el riesgo legal y reputacional significativo que representaba para su cartera los negocios de Clientes No Residentes de Alto Riesgo (HRNR)  en las filiales del Báltico.

En cuanto a los CEOs, el Informe encontró que el CEO que trabajó de 2009 a 2016 no se enfocó en las deficiencias del sistema antilavado en las subsidiarias del Báltico durante este tiempo a pesar de los informes recurrentes de Auditoria Interna que indican tales deficiencias, y a pesar de una inspección de la Autoridad de Supervisión Financiera de Suecia que encontró deficiencias significativas del sistema antilavado en LC&I y la banca sueca.

Con respecto al CEO que trabajó desde 2016 hasta 2019, el Informe concluyó que, dentro de las medidas del CEO, se incluían pasos significativos para eliminar el riesgo del negocio de Clientes No Residentes de Alto Riesgo (HRNR) en las subsidiarias del Báltico y para lanzar investigaciones internas de la posible exposición al lavado de dinero en respuesta a informes de los medios de lavado de dinero. escándalos, solicitudes de reguladores y otros indicadores. Sin embargo, el CEO no dirigió suficientes recursos, atención o urgencia a la solución de los problemas identificados, y no se aseguró de que la información sobre estos problemas se compartiera entre las funciones de control relevantes de Swedbank o con los Consejos de Administración de las subsidiarias Bálticas relevantes. Este CEO tampoco se aseguró de que la Junta estuviera adecuadamente informada sobre el importante riesgo legal y reputacional que estas deficiencias del sistema antilavado, representaba para Swedbank a la luz de la base histórica de clientes de alto riesgo en las Subsidiarias del Báltico.

En cuanto a la Junta, el Informe determinó que, si bien la Junta no fue informada del alcance total del riesgo legal y de reputación planteado por los problemas del sistema antilavado en los países bálticos, la Junta fue informada a través de informes regulares de Auditoria Interna de los problemas recurrentes en los controles del sistema antilavado en las filiales bálticas. Las entrevistas a los miembros de la Junta indicaron que la Junta generalmente entendió, con base a declaraciones de la gerencia de Swedbank, que estos asuntos estaban bajo control. Aunque las actas del Comité de Auditoría reflejan discusiones relevantes sobre estos temas, el registro completo de la Junta no refleja un desafío significativo de la Junta a la Administración sobre los asuntos del sistema antilavado que se les presentaron.

La investigación también identificó una cantidad de empleados cuyas acciones y/o omisión causaron o contribuyeron a la perpetuación de los problemas del sistema antilavado en las Subsidiarias del Báltico. Estos empleados iban desde gerentes senior en Swedbank y las subsidiarias del Báltico, hasta gerentes comerciales que prestaron servicios a algunos de los Clientes No Residentes de Alto Riesgo (HRNR) más problemáticos, e incluyeron miembros del comité de aprobación de clientes en Swedbank Estonia, que aprobaron la apertura de cuentas a pesar de las aparentes señales de alerta. Clifford Chance le informó a Swedbank los hechos relacionados con estos empleados, y Swedbank canceló el contrato de trabajo a varios de estos empleados.

Dentro de las medidas tomadas por el Swedbank, desde el 2019, se encuentra la designación de un nuevo CEO y un equipo administrativo en su mayoría nuevo, incluido un nuevo Director de Cumplimiento (Chief Compliance Officer) y el CEO de Swedbank Estonia, y, además, Swedbank tiene un nuevo Presidente de la Junta, y la Junta ahora está compuesta en su mayoría por miembros nuevos.

Bajo este nuevo equipo de liderazgo, Swedbank se ha centrado en transformar su enfoque antilavado y contra la financiación del terrorismo y emitir políticas y procedimientos, crear nuevos roles, nombrar nuevo personal, aumentar los recursos, revisar y fortalecer las políticas y procedimientos.

Así mismo, ha considerado un enfoque mucho más integral y un plan de respuesta para abordar y fortalecer los marcos antilavado y contra la financiación del terrorismo y de sanciones, ha realizado una revisión del gobierno corporativo de Swedbank, contrató consultores externos para ayudar en los esfuerzos para solucionar los problemas encontrados en la investigación, aumentó los recursos para el sistema antilavado y contra la financiación del terrorismo y excluir a los clientes que no satisfacen el apetito de riesgo de Swedbank.

En una respuesta[5] al Informe de Clifford Chance, el presidente y CEO de Swedbank, Jens Henriksson dijo: “Es obvio que ha habido culturas en el banco que no son aceptables. Esto es serio. He iniciado una revisión que tiene como objetivo examinar la cultura e identificar las acciones necesarias. Este trabajo está en marcha”. Desde el año pasado, se han tomado una serie de medidas para remediar las deficiencias y garantizar un gobierno corporativo sostenible en Swedbank. El banco está implementando un programa de acción que al final del año consistía en 152 iniciativas. Se han designado nuevos ejecutivos para varios puestos centrales, incluido el nuevo Presidente del Consejo del banco, un nuevo Vicepresidente, un nuevo CEO y un nuevo Director de Cumplimiento. También se ha reclutado un nuevo jefe de comunicaciones del grupo y un nuevo director de riesgos.

Lecciones Aprendidas

De acuerdo con los pormenores del caso explicados anteriormente es importante ahora considerar las lecciones aprendidas en este caso, para que no nos suceda en nuestras instituciones y esto incluye no solo a las entidades financieras sino a todas las empresas del sector real, porque recordemos que los principios generales del sistema antilavado y contra la financiación del terrorismo son similares para todos los sujetos obligados.

  1. Definición y Alcance del Programa de Cumplimiento

Dentro de los primeros puntos que se deben considerar, es determinar si las empresas han identificado plenamente los requisitos y compromisos que significa el Cumplimiento (Compliance). Muchas empresas solo lo definen como las leyes y regulaciones que deben cumplir, es decir, solo lo obligatorio y legal pero como lo muestra el siguiente cuadro, existen otras obligaciones de Cumplimiento (Compliance), tanto internas como externas, y voluntarias y obligatorias.

Regularmente las empresas siempre tratan de cumplir con lo establecido por la ley o las regulaciones y se olvidan de que existen otros compromisos de cumplimiento. Por eso, es muy usual escuchar de la Alta Gerencia preguntando a sus áreas legales y de cumplimiento, si realmente la norma sometida a consideración para implementar dentro de la compañía está contenida en una ley o en una regulación. Si la respuesta es afirmativa, se implementará en la compañía. Si la respuesta es negativa, no se implementará porque en opinión de la Alta Gerencia para qué implementar algo a lo que no estamos obligados por la ley o la regulación, desconociendo el valor agregado que le generaría a la compañía el implementar voluntariamente medidas que involucren el cumplimiento de estándares de la industria, políticas internas, acuerdos contractuales con clientes, etc. Muchas organizaciones consideran el Cumplimiento (Compliance), como un gasto innecesario y no como una inversión en reputación y en valor agregado a sus operaciones.

Por lo anterior, es que el estándar internacional ISO19600:2014[6] sobre Gestión de Cumplimiento, establece lo siguiente en relación con este tema de obligaciones y compromisos de cumplimiento:

“Identificación de los requisitos legales y otros requisitos

La organización debería identificar sistemáticamente sus requisitos legales y otros requisitos y las implicaciones que éstas tienen para sus actividades, productos y servicios.

La organización debería considerar estos requisitos al establecer, desarrollar, implementar, evaluar, mantener y mejorar su sistema de gestión de cumplimiento.

La organización debería documentar sus requisitos legales y otros requisitos de forma adecuada a su tamaño, complejidad, estructura y operaciones.

Las fuentes de los requisitos legales y otros requisitos deberían incluir requisitos de cumplimiento y pueden incluir compromisos de cumplimiento.

Ejemplos de requisitos de cumplimiento incluyen:

    • Normas legales;
    • Permisos, licencias u otras formas de autorización;
    • Ordenes, reglas o guías emitidas por agencias regulatorias;
    • Sentencias de juzgados o de tribunales administrativos;
    • Tratados, convenciones y protocolos.

Ejemplos de compromisos de cumplimiento incluyen:

    • Acuerdos con grupos de la comunidad u organizaciones no gubernamentales;
    • Requisitos organizacionales, tales como políticas y procedimientos;
    • Principios voluntarios o códigos de prácticas;
    • Etiquetado voluntario o compromisos ambientales;
    • Obligaciones derivadas de acuerdos contractuales con la organización;
    • Normas y estándares pertinentes para las organizaciones y la industria.” (el subrayado es nuestro)

Como se puede observar en la definición anterior, la Gestión de Cumplimiento no sólo incluye el requisito de cumplimiento de leyes y regulaciones sino también el cumplimiento de permisos, licencias, orientaciones, sentencias judiciales, tratados, etc. Así mismo, y más complejo aún, el estándar incluye el compromiso de cumplimiento de acuerdos, políticas, procedimientos, obligaciones contractuales, estándares de la industria, etc. La gran diferencia es que mientras el requisito de cumplimiento es el requisito que una organización debe cumplir (obligatorio), el compromiso de cumplimiento es el requisito que una organización elige cumplir (voluntario).

Por lo anterior, el Programa de Cumplimiento (Compliance) debe abarcar no sólo el cumplimiento regulatorio sino el compromiso voluntario de su Código de Buen Gobierno, su Código de Conducta y Ética, sus políticas, sus procedimientos, los estándares de la industria, los acuerdos con grupos comunitarios u organizaciones no gubernamentales, los acuerdos con autoridades públicas y clientes, etc.

2. Cultura de Cumplimiento

En nuestra opinión, uno de los principales problemas en las organizaciones es la falta de cultura: cultura ética, cultura de cumplimiento, cultura de riesgos, etc. El mismo presidente y CEO de Swedbank, Jens Henriksson lo confirma cuando dice: “Es obvio que ha habido culturas en el banco que no son aceptables. Esto es serio. He iniciado una revisión que tiene como objetivo examinar la cultura e identificar las acciones necesarias. Este trabajo está en marcha” (el subrayado es nuestro)

Es importante tener en cuenta lo que establece el estándar internacional ISO19600: 2014 sobre Gestión de Cumplimiento sobre este tema:

Cultura de Cumplimiento

El desarrollo de una cultura de cumplimiento exige que el Órgano de Gobierno, la Alta Dirección y la Administración tengan un compromiso visible, coherente y sostenido con un estándar común y publicado de comportamiento que se requiere en todas y cada una de las áreas de la organización.” (el subrayado es nuestro)

Muchas organizaciones no definen la cultura de cumplimiento en sus programas de Cumplimiento, o en ocasiones si la definen, pero no se aseguran de que la cultura de cumplimiento se cumpla en todas y cada una de las áreas, funcionarios y procesos de las organizaciones.

La pobre cultura puede causar o ha causado fracasos en las organizaciones, por eso, el principal énfasis en muchas áreas debería ser la conducta y la cultura de los funcionarios empezando por la Alta Gerencia y la Junta Directiva, quienes deben dar el ejemplo de la cultura de cumplimiento. (Tone of the Top[7]).

Muchas veces, las organizaciones que supuestamente están cumpliendo con los requisitos regulatorios, al mismo tiempo están presionando a sus funcionarios a cumplir con las metas comerciales sin importar cómo lo tengan que hacer y eso incluye ocultar información, sobornar a los clientes, obtener información privilegiada, aplastar a sus competidores, etc., incumpliendo los compromisos de cumplimiento establecidos por la propia organización.

En el caso del Swedbank, se evidenció lo anterior cuando los gerentes comerciales hicieron que predominara el cumplimiento de las metas comerciales sobre el cumplimiento de las políticas y procedimientos antilavado del banco.

3. Apetito del Riesgo

Es muy común que las organizaciones no definan claramente su apetito de riesgo y el caso del Swedbank no fue la excepción. El banco no tenia la visión adecuada por el grave riesgo que el negocio de Clientes No Residentes de Alto Riesgo (HRNR) representaba para el banco porque sus controles antilavado eran ineficaces y eso evidenció la incapacidad del Banco de adoptar una declaración de apetito por el riesgo de lavado de dinero a nivel de grupo hasta 2017, o al menos para tomar medidas para garantizar la coherencia del enfoque para calificar a los clientes en todas las líneas de negocio adecuadamente.

Aunque el estándar internacional ISO31000:2018 sobre Gestión de Riesgos no define el apetito de riesgo, si define la actitud hacia el riesgo, así: 

Actitud hacia el riesgo

Enfoque de la organización para evaluar y eventualmente buscar, retener, tomar o alejarse del riesgo.” (el subrayado es nuestro)

Esto quiere decir que las empresas deben definir muy claramente el apetito de riesgo y que todos y cada uno de los funcionarios de la empresa, la Alta Gerencia y la Junta Directiva conocen y comprenden lo que significa el establecimiento del apetito de riesgo al interior de la empresa y con base a esa comprensión, conocen los límites de sus actuaciones y operaciones.

Les recomendamos un documento muy interesante de la Fábrica de Pensamiento del Instituto de Auditores Internos de España, titulado “Definición e Implantación del Apetito de Riesgo[8] que presenta un trabajo esquemático y detallado sobre el proceso de definición e implantación del Apetito de Riesgo por parte de la Alta Gerencia que les ayudará mucho a revisar y evaluar como está definido el Apetito de Riesgo en sus organizaciones.

4. Asignación de Recursos

El Informe de Clifford Chance también concluyó que el CEO que estuvo a cargo del 2016 a 2019 en el Swedbank no dirigió suficientes recursos, atención o urgencia a la solución de los problemas identificados, y no se aseguró de que la información sobre estos problemas se compartiera entre las funciones de control relevantes de Swedbank o con los Consejos de Administración de las subsidiarias Bálticas relevantes.

Es importante tener en cuenta en todas nuestras empresas, el nivel de compromiso y responsabilidad de la Alta Gerencia y la Junta Directiva con el Oficial de Cumplimiento, y si realmente le van a dar todo el apoyo, la autonomía, la independencia, y los recursos necesarios (económicos, tecnológicos, humanos, etc.) o simplemente va a ser tolerado como una figura necesaria porque así lo indica la ley. Esta definición hará la diferencia en el ejercicio de las funciones del Oficial de Cumplimiento.

El estándar internacional ISO19600: 2014 sobre Gestión de Cumplimiento, establece lo siguiente con relación a este tema:

“Rol y responsabilidad del Órgano de Gobierno y de la Alta Dirección

La Alta Dirección debería:

  • Asignar recursos adecuados y apropiados para establecer, desarrollar, implementar, evaluar, mantener y mejorar el sistema de gestión de cumplimiento y los resultados del desempeño;
  • Asegurar que se asignan las responsabilidades y autoridades para los roles pertinentes y que son comunicadas a toda la organización;
  • Asegurar que existan sistemas de reporte eficaces y oportunos;
  • Medirse contra resultados o mediciones de desempeño clave de cumplimiento;
  • Asignar la responsabilidad de informar sobre el desempeño del sistema de gestión de cumplimiento al Órgano de Gobierno y a la Alta Dirección.” (el subrayado es nuestro)

Así mismo, la Nota Interpretativa de la Recomendación No. 1[9] (Evaluación de Riesgos y Aplicación de un Enfoque Basado en Riesgo) de las 40 Recomendaciones del Grupo de Acción Financiera Internacional – GAFI, establece:

“…Mediante la adopción de un enfoque basado en riesgo, las autoridades competentes, instituciones financieras y APNFD deben ser capaces de asegurar que las medidas dirigidas a prevenir o mitigar el lavado de activos y el financiamiento del terrorismo correspondan con los riesgos identificados, y que les permita tomar decisiones sobre cómo asignar sus propios recursos del modo más eficaz. 2. Al implementar un EBR, las instituciones financieras y las APNFD deben tener establecidos procesos para identificar, evaluar, monitorear, administrar y mitigar los riesgos de lavado de activos y financiamiento del terrorismo.” (el subrayado es nuestro)

Por lo anterior, es importante garantizar que la organización va a asignar el presupuesto necesario y suficiente para la implementación, monitoreo y seguimiento del sistema antilavado y contra la financiación del terrorismo. Construir un sistema de cumplimiento corporativo adecuado y vigoroso exige contar con los recursos económicos, tecnológicos, y humanos suficientes para desarrollarlo.

5. Transacciones Sospechosas y Jurisdicciones de Alto Riesgo

El Informe de Clifford Chance concluyó que las filiales bálticas del Swedbank realizaron transacciones sospechosas por 36.700 millones de euros, entre 2014 y 2019 (por pagos a cuentas por 17.800 millones de euros y pagos desde cuentas por 18.900 millones de euros) lo que demuestra que el banco no verificó efectivamente el riesgo de efectuar transacciones con jurisdicciones de alto riesgo en materia de lavado de activos y financiación del terrorismo, así como tampoco verificó el riesgo que significaba hacer giros a través del sistema SWIFT, a jurisdicciones sancionadas o con embargo (Irán, Cuba y Crimea) y haberse expuesto a multas y sanciones de la Oficina de Control de Activos Extranjeros de Estados Unidos (OFAC).

Esto nos demuestra que muchas veces, las empresas no revisan oportuna y adecuadamente las transacciones efectuadas por sus clientes, lo que podría generarles un riesgo de multas y sanciones y un problema de reputación.

Por lo anterior, se hace necesario que las compañías asignen los recursos necesarios para monitorear en línea las operaciones de sus clientes con jurisdicciones (nacionales e internacionales) consideradas de alto riesgo en materia de lavado de activos y financiación del terrorismo.

6. Gestión Documental

Otro hallazgo del informe de Clifford Chance determinó que se aprobaron clientes de alto riesgo sin tener la documentación completa sobre los beneficiarios finales, ni probar el origen de los fondos y sin la explicación del propósito comercial legítimo de los clientes, y tampoco consideró las señales de alerta que surgieron de la información entregada por los clientes. Así mismo, se encontró información de los clientes fuera de la base de datos del banco y documentos ocultos del cliente en escritorios de los asesores comerciales del banco. Esto demuestra que muchas veces, las empresas solo se preocupan por solicitar y archivar documentos en el archivo del cliente, pero no se verifica la información recibida del cliente, lo que generará en el futuro problemas de orden legal y penal.

La gestión documental del riesgo de lavado de activos y financiación del terrorismo debe ser adecuada y suficiente de acuerdo con la complejidad del negocio y las características del cliente analizado y aceptado por la entidad.

7. Roles y Responsabilidades de las Áreas y Reportes entre ellas

Uno de los hallazgos más importantes de la investigación fueron los problemas con los reportes internos y externos y la deficiente comunicación entre las diferentes áreas del Banco, la Junta Directiva, la Alta Gerencia, la Auditoria Interna y el Oficial de Cumplimiento.

El Informe de Clifford Chance determinó que los hallazgos más serios del riesgo de lavado de dinero no se transmitieron de manera oportuna a la Junta, ni se compartieron con la Auditoria Interna ni con la administración de la filial báltica pertinente. Swedbank no siempre adoptó una postura activamente transparente con los reguladores con respecto a cuestiones relacionadas con el lavado de dinero, desestimó la información negativa y ocasionalmente empleó una lectura limitada o literal de ciertas solicitudes de las autoridades y además, ciertas declaraciones con respecto al cumplimiento histórico del sistema antilavado de Swedbank, y la exposición a ciertos tipos de riesgo de lavado de dinero, fueron inexactas o fueron presentadas sin suficiente contexto. A pesar de que la Junta del Swedbank fue informada de los problemas del lavado de dinero entendió que estos asuntos estaban bajo control.

En este punto es importante resaltar que, dentro de la política, los procedimientos, y los manuales del riesgo de lavado de activos y financiación del terrorismo, se deben determinar claramente los roles y responsabilidades de cada uno de los actores que intervienen en la implementación, control, monitoreo y seguimiento del sistema de administración de riesgo de lavado de activos y financiación del terrorismo: Junta Directiva, Alta Gerencia, Auditoría Interna, Auditoría Externa y Oficial de Cumplimiento.

Así mismo, las comunicaciones y los informes entre ellos (comunicaciones internas), así como las comunicaciones a los reguladores y otros usuarios de la información (comunicaciones externas), deben ser claras, precisas, concisas y se debe garantizar que el receptor de dichas comunicaciones o reportes comprendan efectivamente el sentido en que fueron hechas las comunicaciones, incluyendo el contexto, los antecedentes, los hechos presentados, las consecuencias y los riesgos que pueden acarrear dichos hechos en materia legal y reputacional. Si no se hace en esa forma, se podría generar la impresión de que se está tratando de ocultar información privilegiada o de engañar a la autoridad regulatoria o que se están minimizando los problemas encontrados.

Conclusiones

Teniendo en cuenta que ya dimos nuestras recomendaciones dentro de las lecciones aprendidas citadas anteriormente, en esta ocasión, queremos plantear algunos interrogantes (ustedes podrían completar este cuestionario) que deberían ser respondidos por cada uno de los lectores al interior de sus organizaciones y con base a las respuestas que ustedes den a este cuestionario, establezcan un plan de acción para mejorar su Programa de Cumplimiento (Compliance):

  1. ¿La compañía ha definido el alcance del Programa de Cumplimiento? ¿Esta definición incluye no solo las obligaciones de cumplimiento sino los compromisos de cumplimiento?
  2. ¿Existe en la compañía una definición clara y precisa del apetito de riesgo, tolerancia al riesgo y capacidad de riesgo?
  3. ¿Existe una cultura ética, una cultura de riesgo, una cultura de cumplimiento al interior de toda la compañía?
  4. ¿Se está informando completa, oportuna y claramente a la Junta Directiva, los problemas o situaciones de riesgo de lavado de activos y financiación del terrorismo y la Junta Directiva comprende efectivamente dichos riesgos y lo que ello representa para la empresa?
  5. ¿Su Oficial de Cumplimiento tiene inhabilidades o incompatibilidades, por ejemplo tambien es el Auditor Interno?
  6. ¿Su Oficial de Cumplimiento tiene autoridad e independencia, por ejemplo tiene recursos y sus decisiones son respetadas y respaldadas?
  7. ¿De quien depende realmente el Oficial de Cumplimiento y cual es su estatura dentro de la estructura organizacional?
  8. ¿La Junta ha discutido abiertamente los asuntos presentados por el Oficial de Cumplimiento o la Auditoria Interna o la Auditoria Externa y ha tomado decisiones oportunas sobre dichos asuntos?
  9. ¿Se ha efectuado una Auditoria de Cumplimiento a su Programa de Cumplimiento para identificar fallas y debilidades y oportunidades de mejora?
  10. ¿Su Programa de Cumplimiento considera las mejores prácticas de la industria, o sólo considera los requisitos legales y regulatorios?
  11. ¿El área de Cumplimiento cuenta con los recursos económicos, tecnológicos, y humanos para desarrollar su función adecuadamente?
  12. ¿Se han verificado efectivamente las transacciones con jurisdicciones (nacionales e internacionales) y clientes de alto riesgo?
  13. ¿Se han efectuado pruebas de recorrido para verificar si la documentación presentada por los clientes es real y se puede comprobar y si cumple con los estándares establecidos por la compañía?
  14. ¿Se ha verificado efectivamente si las áreas comerciales podrían estar ocultando o manipulando información de los clientes para aceptarlos y simplemente cumplir con las metas comerciales?
  15. ¿Están definidos claramente los roles y responsabilidades de cada una de las áreas involucradas con el sistema de administración de riesgo de lavado de activos y financiación del terrorismo?
  16. ¿Los reportes relacionados con el riesgo de lavado de activos y financiación del terrorismo son presentados en forma oportuna, son completos, son comprensibles, tienen contexto y se toman decisiones oportunas sobre ellos?
  17. ¿Los riesgos de lavado de activos y financiación del terrorismo son presentados a la Junta Directiva, y a la Alta Gerencia con toda la información disponible para determinar las consecuencias que podría tener con relación a los riesgos legal, operacional, reputacional, y de contagio y el efecto económico por multas y sanciones?
  18. ¿Se ha evaluado efectivamente lo que representa el Riesgo Reputacional y de Contagio para la compañía?

Los negocios son dinámicos y el Programa de Cumplimiento puede haber sido efectivo y eficiente ayer y hoy haber quedado obsoleto por cambio en las condiciones del mercado, por cambios en la estructura de la empresa, por la nueva regulación emitida por los gobiernos o reguladores, etc. y eso amerita que el Programa de Cumplimiento sea revisado y mejorado continuamente.

El caso del Swedbank presentado y sus consecuencias económicas por las altas multas y sanciones impuestas por las autoridades regulatorias y los problemas de reputación presentados nos debería servir para no cometer los mismos errores del Swedbank, para mejorar nuestro grado de escepticismo con relación a nuestras actividades y a nuestros clientes en materia de lavado de activos y financiación del terrorismo. Hemos presentado unas lecciones aprendidas que deberíamos aprovechar para revisar nuestros procesos, políticas, procedimientos, manuales y mejorar nuestro sistema.

El peor error es considerar que su Programa de Cumplimiento, sus políticas, sus procedimientos, sus controles, su capacitación, etc., son perfectos, porque esa afirmación no le permitirá fortalecer su esfuerzo de cumplimiento; siempre existirán oportunidades de mejora y debemos aprovecharlas para mitigar efectivamente el riesgo de lavado de activos y financiación del terrorismo.

Por último, si luego de contestar el cuestionario considera que no tiene las herramientas o el conocimiento necesario para mejorar su Programa de Cumplimiento, debería contratar a un experto externo para que le ayude en esa función.

*Juan Pablo Rodríguez C.

Abogado Penalista

Escritor, conferencista y consultor internacional.

Certified Professional in Anti-Money Laundering – CPAML de FIBA (Florida International Bankers Association).

Certified on Governance, Risk Management and Compliance Professional (GRCP) y GRC Fundamentals de Open Compliance and Ethics Group (OCEG), 2016

Presidente y Socio de RICS Management.

www.ricsmanagement.com

jrodriguez@ricsmanagement.com

**René M. Castro V.

Contador Público con Magister en Contabilidad y Auditoría de Gestión de la Universidad de Santiago de Chile.

Escritor, conferencista y consultor internacional.

Certified on ISO 19600 Lead Compliance Manager, PECB, 2020

Certified on Financial Services and Market Regulation, London School of Economics, (LSE), 2016

Certified on Corporate Compliance and Ethics, New York University, 2015.

Vice-Presidente & Socio RICS Management

www.ricsmanagement.com

rcastro@ricsmanagement.com

[1] Ver noticia completa en: https://www.fi.se/en/published/press-releases/2020/swedbank-fined-for-serious-deficiencies-in-its-measures-to-combat-money-laundering/

[2] Ver noticia completa en: https://www.thelocal.se/20190220/billions-of-kronor-may-have-been-laundered-through-major-swedish-bank

[3] Ver Reporte Ejecutivo del Informe en: https://internetbank.swedbank.se/ConditionsEarchive/download?bankid=1111&id=WEBDOC-PRODE57526787

[4] Clientes No Residentes de Alto Riesgo (High Risk No Resident -HRNR): Los clientes de mayor riesgo son aquellos que se dedican a ciertas profesiones o hacen uso de los productos y servicios bancarios donde las posibilidades de lavado de dinero son altas. Las instituciones financieras realizan una Debida Diligencia Mejorada (DDM) y un monitoreo continuo para los clientes de mayor riesgo.

[5] Ver respuesta de Swedbank al Informe de Clifford Chance en: https://mb.cision.com/Main/67/3065830/1215810.pdf y https://www.swedbank.com/

[6] ISO: Sigla en inglés de la Organización de Estandarización Internacional. (International Organization for Standardization).

[7] Tone of the Top: El Tono en lo Alto, comúnmente referido en auditoría, se utiliza para definir la gestión de una empresa y el liderazgo del consejo de administración. El liderazgo desempeña una función importante en la gestión y su compromiso de ser honestos y éticos. El Tono en lo Alto, establece el entorno cultural y los valores corporativos de una empresa.

[8] Ver documento completo en: https://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-libro.original.pdf

[9] Ver las 40 Recomendaciones del GAFI en: https://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF-40-Rec-2012-Spanish.pdf

Utilizamos cookies para proveer un mejor servicio. Al utilizar nuestro sitio web, acepta el uso de cookies. Para conocer más, visite nuestra política de protección de datos