Las empresas financieras deben llevar a cabo una investigación exhaustiva y aplicar de manera rigurosa las normativas correspondientes a nivel local e internacional, tanto para la expansión de la base de usuarios (adquirir nuevos clientes o abrir nuevas cuentas) como para prevenir posibles fraudes y evitar complicaciones legales.
En esta nota, te explicamos los detalles de un procedimiento clave en la seguridad de tu empresa financiera.
¿Qué es “compliance”?
El término “compliance” se refiere al cumplimiento de las leyes, normativas y estándares éticos. La adecuada aplicación de estándares fortalece la integridad de las transacciones comerciales y garantiza la conformidad con las regulaciones vigentes, promoviendo así la sostenibilidad y el crecimiento.
Para las empresas financieras, garantizar la autenticidad y legalidad de los clientes y transacciones representa una prioridad esencial. La amenaza constante de posibles estafas (historial de operaciones ilegales, o potencial conexión de nuevos usuarios con grupos terroristas o delictivos), no solo afectan la seguridad, sino también la salud financiera de cada compañía. Por eso, resulta fundamental una investigación previa tomando en cuenta las regulaciones, leyes y normas, que varían según el país.
Al cumplimiento de normativas internacionales, se suman las de carácter local, que pueden ser altamente específicas.
En Argentina, por ejemplo, la Comunicación A 7724 del BCRA requiere que las instituciones financieras establezcan un sistema de gestión de ciber incidentes que incluya indicadores automatizados, garantizando la integridad, trazabilidad, disponibilidad y confidencialidad de las evidencias.
En Brasil, la Resolución 4.658 del Banco central establece directrices para la implementación de políticas de seguridad cibernética en las instituciones financieras, enfocándose en la identificación y respuesta a incidentes, así como en la garantía de la confidencialidad y la integridad de la información.
En Colombia, la Superintendencia Financiera, a través de la Circular Externa 038, instruye a las entidades financieras a implementar sistemas de gestión de riesgos operativos, incluyendo la ciberseguridad, con el objetivo de preservar la confidencialidad y la disponibilidad de la información.
En algunos casos, desatender un sistema compliance puede llevar incluso a la quiebra. Uno de los ejemplos más conocidos sucedió durante la etapa conocida como la “crisis de los subprimes”: en 2008, el banco Lehman Brothers ignoró varias alertas internas sobre la eficacia de un sistema de gestión del riesgo crediticio que podría llevar su liquidez al colapso. Esto devino en pérdidas financieras significativas para empresas y el propio gobierno estadounidense, que debió intervenir para evitar más quiebras en el sector.
Requisitos básicos en una solución compliance
En una solución de cumplimiento normativo, resulta crucial implementar sistemas de análisis y generación de informes previamente validados de acuerdo a los requerimientos y auditorías de cada país, para garantizar la integridad y seguridad de las operaciones.
Uno de los aspectos fundamentales es el concepto conocido como KYB (conoce tu negocio) o KYC (conoce a tu cliente). Este término apareció con la llegada de la globalización digital a mediados de la década del 90, y se convirtió en un proceso obligado en la generación de operaciones financieras para empresas como fintechs y bancos a nivel mundial. En este sentido, las alertas desempeñan un papel esencial ya que facilitan la detección de comportamientos sospechosos, permitiendo una gestión proactiva y una respuesta rápida ante posibles riesgos.
Es importante el análisis y evaluación de nuevos clientes, con una revisión continua mediante el monitoreo de cartera y control proactivo en la prevención de fraudes transaccionales o por intervalos de tiempo, a través de corridas Batch. La gestión documental facilita la carga y acceso de documentación según perfiles, mientras que el registro -que incluye auditorías y registro detallado de análisis con acciones realizadas, comentarios y conclusiones- fortalece la transparencia y trazabilidad.
La gestión de conductas irregulares también resulta vital: proporciona los mecanismos necesarios para identificar y abordar comportamientos inusuales, actuando como un freno y una liberación efectiva de transacciones. La auditoría, que abarca la certificación periódica de carteras, la supervisión por parte de entidades reguladoras KYC/KYB, y la realización de procesos forenses de datos, asegura la conformidad continua y la capacidad de respuesta ante los estándares regulatorios, fortaleciendo así la robustez del sistema de cumplimiento. Por último, la generación de reportes debe ser integral y ofrecer un panorama completo: consultas e informes de gestión, reportes mensuales, ROS (Reporte de Operación Sospechosa) y reportes ad-hoc, para ofrecer una visión detallada que facilita el seguimiento y la toma de decisiones informadas.
Es siempre un punto a favor la posibilidad de navegar en tiempo real esta información para tomar decisiones informadas y cumplir con los estándares regulatorios de manera efectiva.
Flujo de compliance
Para dar respuesta a estas necesidades, un flujo de compliance debe abarcar diversos elementos.
En primer lugar, la definición de reglas establece un sólido marco de seguridad, determinando perfiles y estados que guían cada transacción. La parametría, que aborda umbrales y límites, asegura el cumplimiento normativo al tiempo que se adapta a las necesidades específicas del usuario. Esto implica funcionalidades específicas como la capacidad de administrar altas y configurar parámetros, así como la gestión de usuarios asociados a estas entidades. También reglas para la configuración de parámetros generales, el procesamiento y reprocesamiento de datos, y la asignación de informes necesarios.
Las integraciones son clave, con la automatización de interfaces optimizando procesos y la gestión de alertas permitiendo una detección temprana de cualquier anomalía. La información se obtiene de diversas fuentes para garantizar la exhaustividad en la evaluación y seguimiento de las actividades financieras. En primer lugar, se integra directamente con listas clave, como las proporcionadas por la Oficina de Control de Activos Extranjeros (OFAC) y las listas internacionales de grupos terroristas, asegurando la identificación de posibles riesgos y sanciones. Además, obtiene datos significativos del Banco Central de cada país para obtener información macroeconómica y regulatoria esencial.
La asignación de análisis, que puede contar con disparadores periódicos, alertas y derivación, y la priorización de reglas (que puede ser customizable) deben garantizar un enfoque estratégico y ágil. Las alertas y legajos, entonces, proporcionan información actualizada sobre eventos relevantes relacionados con los clientes.
Para realizar el análisis, el histórico de transacciones es otra fuente vital para encontrar patrones financieros y la detección de cualquier actividad sospechosa. Por este motivo, según el diseño de la solución, los datos se almacenan tanto internamente para un acceso y control eficiente, como externamente, permitiendo la colaboración con otras entidades y asegurando una perspectiva integral en la gestión del cumplimiento normativo.
Finalmente están el registro de conclusiones, la gestión documental y el cierre de períodos procesados, que tendrán asociados notificaciones automáticas, la generación de reportes operativos y el acceso a auditorías e históricos: una trazabilidad detallada de los análisis realizados.
Posibles diferenciales para una solución compliance
Para dar un correcto cumplimiento de normas y estándares, el grado de configuración y automatización de las integraciones, alertas y reportes según las necesidades de cada empresa puede hacer la diferencia.
En este sentido, algunos puntos adicionales a considerar al evaluar una herramienta son:
- Priorizar soluciones desarrolladas y probadas utilizando los sistemas de trabajo más efectivos y eficientes disponibles en el mercado. De esta manera se incorporan las mejores prácticas del mercado para garantizar que la implementación y ejecución de las políticas de cumplimiento sean sólidas y eficaces.
- Actualización continua: las listas de sanciones internacionales y las actualizaciones del Office of Foreign Assets Control (OFAC) de Estados Unidos se modifican permanentemente. Actualizar automáticamente estas listasgarantiza que la empresa esté al tanto de cualquier cambio en las restricciones comerciales y sanciones.
- Visión multi negocios (Tarjetas, Seguros, Caudales, Remesas): el diseño de la solución debe ser versátil para adaptarse y ser aplicable a múltiples sectores de negocios, como tarjetas, seguros, caudales y remesas. Un núcleo integrado para diversos negocios facilita la implementación y adaptación a las necesidades específicas de diferentes industrias.
- Asesoramiento de Expertos: debe contar con una asesoría de profesionales especializados que puedan ofrecer orientación y asesoramiento personalizado. Esto puede incluir la interpretación de regulaciones específicas, la adaptación de la solución a casos particulares y la resolución de problemas complejos relacionados con el cumplimiento.
- Cloud & Full API: la implementación en la nube digital (Cloud) proporciona flexibilidad y escalabilidad, permitiendo que la solución de compliance se adapte a las necesidades cambiantes de la empresa. Además, la disponibilidad de una interfaz de programación de aplicaciones completa (Full API) facilita la integración con otros sistemas y aplicaciones empresariales, mejorando la interoperabilidad y la eficiencia en el intercambio de datos.
- Análisis: entre sus funcionalidades, debe incluir la información de gestión según cada rubro, una visión integral del cliente, información monetaria relevante, detalle de transacciones (período actual vs comparado) y un registro de acciones realizadas, comentarios y conclusiones.
- Workflow flexible: la carga de acciones sin depender de progresos específicos en otras partes del flujo de trabajo, avance de estados según el análisis realizado, derivación manual de tareas e información exportable pueden conllevar un gran impacto para el equipo responsable del análisis de las operaciones.
Implementación: ¿Batch u Online?
La implementación de un flujo de compliance puede implica dos enfoques principales: online y por lotes (batch).
En el caso online, la entidad invoca servicios de Interfaz de Programación de Aplicaciones (API) tanto para clientes nuevos como para cada transacción de débito o crédito, permitiendo una verificación en tiempo real.
En el enfoque por lotes, en cambio, la entidad genera archivos mensuales que contienen información sobre los clientes recién incorporados y las transacciones de débito y crédito; estos archivos se utilizan para realizar análisis y aplicar medidas de cumplimiento en lotes, ofreciendo una aproximación eficiente para gestionar grandes conjuntos de datos de manera periódica.
Conclusión:
La implementación efectiva de compliance es fundamental para empresas financieras, ya que aporta una serie de beneficios fundamentales, más allá de las obvias obligaciones normativas. Este enfoque proactivo fortalece la integridad y la reputación, mitiga riesgos significativos y posibles sanciones legales y financieras.
La gestión del riesgo debe tener siempre un enfoque integral. En este sentido, para aquellas compañías que abarcan distintos países o planean diversificarse a lo largo de distintos territorios es crucial pensar en adquirir un sistema multi-país.
Al adoptar prácticas transparentes y éticas, las compañías pueden generar confianza, construir relaciones sólidas con clientes y reguladores, y, en última instancia, garantizar una operación sostenible y orientada al éxito a largo plazo.
Ya conocés las claves para la gestión integral de compliance, ahora conoce COMPLIANCE by BeClever.