Diferentes circulares y normas, tanto para sector real como financiero, nos hablan de tener una arquitectura tecnológica para el cumplimiento LAFT y controles que permitan dar cumplimiento y blindar a las compañías contra el lavado de activos, la financiación del terrorismo y la proliferación de armas de destrucción masiva.
Cada norma hace referencia a los diferentes mecanismos de control y a lo que se espera del proceso, pero no está especificado en su totalidad como integrar e implementar tecnológicamente cada uno de los pasos que se deben seguir para cumplir de manera exitosa con esta labor.
Tener herramientas disponibles para cada proceso, que aporten valor y den flexibilidad para que el oficial de cumplimiento haga un trabajo de forma transparente y no se genere tanta dependencia de un equipo de tecnología, es posiblemente algo complejo pues muchos proveedores se especializan en temas específicos y no ofrecen soluciones que cumplan con todos los requisitos o necesidades, esto hace que sea muy importante hacerse algunas preguntas al momento de pensar en las soluciones que ayudarán a mantener un área de cumplimiento alineada, eficiente y eficaz.
Si te gustaría tener procesos más ágiles y efectivos inicia a probar una demo gratis de nuestras soluciones, contáctanos.
Recomendaciones de arquitectura tecnológica para el cumplimiento LAFT
Se debe contar en general con aplicaciones que permitan realizar una debida atención a la normatividad asociada a cada sector productivo, que mantengan trazabilidad de los procesos realizados, una buena comunicación entre los equipos de cumplimiento y las demás áreas de las compañías, especialmente la comercial. Además de mantener los medios verificables de todos los flujos de trabajo llevados a cabo.
Como mínimo se espera lo siguiente de una arquitectura tecnológica para el cumplimiento LAFT:
- Herramientas interoperables: Es muy importante la interoperabilidad de las aplicaciones usadas, se deben buscar proveedores que permitan conectar sus herramientas donde se tenga un API que permita conectarse para recibir y entregar información de manera segura, las integraciones no deben ser realizadas directamente sobre las bases de datos o tenerlo como última opción en caso de que no exista otro mecanismo diferente, pues esto lleva riesgos de pérdida de información o que no se apliquen de forma correcta reglas de negocio que controlen el flujo adecuado de la misma.
- Mantener un canal de información fluido con el comercial, de fácil acceso y con trazabilidad. La herramienta de gestión de alertas debe permitir una comunicación de dos vías con el comercial, donde este nos entregue información para la debida diligencia, pero también pueda reportar hallazgos encontrados en su proceso y generar alertas que sean gestionadas por el equipo de cumplimiento.
- Calificación de riesgo del potencial cliente: Se debe buscar la manera de implementar una calificación de riesgo que pueda ser consumida a nivel global por la compañía, que mantenga la trazabilidad y la evolución del cliente. Es decir, que pueda implementarse en todos los procesos en los que apliquen, de manera transversal. Para esto se pueden apoyar en herramientas de calificación de riesgo que existan en el mercado para acelerar la adopción, siguiendo los lineamientos en temas de seguridad.
- Fácil configuración por parte del usuario final: Existen en el mercado muchas herramientas que después de desplegadas implican una alta dependencia del proveedor a nivel de configuración para seguir extendiendo su funcionalidad. Se debe buscar soluciones que puedan ser configuradas por el equipo interno, al menos después de un setup inicial, esto sin descuidar el objetivo principal para lo cual se adquiere.
- Reportería y logs: Las herramientas de las cuales haga uso la entidad deben incluir los logs que permitan mantener la trazabilidad de los procesos y en las cuales también se pueda analizar información histórica para conocer el estado de los mismos y que estos sirvan también al momento de ser requeridos por entes de control y auditoría interna.
- Orientación a la seguridad: El activo más valioso de una compañía es su información, se debe procurar utilizar un software que no solamente funcione muy bien, sino también que este desarrollado de forma segura, en ese sentido deben existir métodos de encriptación en tránsito y en reposo para que la información siempre esté segura, contar con buenas prácticas de desarrollo, con marcos de trabajo como OWASP y teniendo en cuenta las mejores prácticas de estándares como ISO 27001 o NIST. Las aplicaciones contratadas deben, en general, seguir las políticas de seguridad de la entidad, utilizar contraseñas seguras y permitir la configuración de parámetros y roles de usuario donde solamente se tenga acceso a datos de acuerdo con la labor que desempeña, sin exponer información que no sea relevante.
- Software en la nube: La nube es una oportunidad para obtener nuevas capacidades, escalar rápido y tener funcionalidades que se adapten a las necesidades actuales y futuras de la organización https://aml.stradata.co/por-que-trasladar-la-informacion-de-servidores-locales-a-la-nube/ . Al elegir un proveedor de servicios en la nube se deben tener en cuenta al menos estos puntos:
o El proveedor debe tener buena reputación y credibilidad en el sector de la tecnología, aplicar estándares de seguridad como los mencionados anteriormente y contar con equipo técnico propio, debidamente capacitado para atender las incidencias y dar soporte de manera rápida y oportuna.
o La nube utilizada para procesar los datos debe contar con estrictos estándares de calidad y certificaciones internacionales en materia de seguridad, calidad y gestión de incidencias. Proveedores como Amazon Web Services, Microsoft Azure e IBM ofrecen este tipo de niveles de calidad en sus servicios IaaS, PaaS y SaaS, por lo cual los proveedores de software deben ejecutar las cargas de trabajo en este tipo de hospedaje.
o Adopción e implementación de buenas prácticas a nivel de seguridad física, ambiental y tecnológica.
- Utilizar todas las posibilidades de las herramientas contratadas: Es importante conversar con los proveedores para conocer a fondo el alcance de las licencias contratadas y las posibilidades que no se han explorado o activado, dado que en algunas ocasiones las herramientas se subutilizan en capacidad o funcionalidades. Es importante que los proveedores de herramientas tengan equipos de desarrollo interno, pues esto agiliza la solución de errores y asegura que las herramientas evolucionan en el tiempo.
Para tener una idea de una arquitectura tecnológica a alto nivel podemos ver el siguiente gráfico.
En primer lugar tenemos un software manejador de casos como eje central de la arquitectura, esto es importante porque permite centralizar alertas de cualquiera de los procesos realizados, convertirlas en casos y tener una vista general de cliente, por ejemplo si este genera alertas desde diferentes procesos. También tenemos un servicio de consulta en listas que incluye además acceso a otras fuentes de información en línea, como las entidades públicas que ofrecen información tanto para completitud de datos, como para el cumplimiento normativo. La segmentación hace parte fundamental de este ecosistema y permite generar a su vez alertas derivadas de la misma, que se llevarán a la aplicación de gestión de casos en el momento que se detecten. En el caso de la calificación de riesgo, esta se realiza en línea conectada al sistema de onboarding de la entidad en tiempo real, permitiendo generar alertas en caso de un score alto. Finalmente se recomienda tener tableros de control y reportería que permita tener información de los diferentes procesos y la matriz de riesgos donde pueda visualizarse la efectividad de los controles y el riesgo residual luego de aplicarlos.
Aunque cada entidad tiene necesidades y limitaciones de acuerdo al presupuesto, a sus procesos y el nivel de madurez tecnológica, una arquitectura tecnológica para el cumplimiento LAFT que permite una conexión básica como la detallada anteriormente ayuda a tener equipos de cumplimiento alineados con el negocio y con información suficiente para hacer su trabajo de manera efectiva y eficaz.
Autores: A. Pérez
