Auditoría de estrés en PLD y FT: clave antes de la auditoría de cierre

En consecuencia, un informe emitido en estas condiciones puede ser insuficiente para prevenir riesgos regulatorios y mitigar posibles incumplimientos; por lo tanto, vale la pena dar un aspecto técnico y sólido, alineado a la práctica profesional en PLD y Financiamiento al Terrorismo (FT) en México.

Importancia de realizar una auditoría de estrés al sistema de PLD y FT

Esta auditoría de estrés evalúa la capacidad operativa, tecnológica y los procedimientos del sistema de PLD y FT bajo situaciones extremas, mientras que la auditoría de cierre de ejercicio evalúa el cumplimiento normativo real del periodo.

Si el sistema no cumple con la normativa bajo estrés, los resultados del cierre estarán distorsionados, incompletos o soportados en información no fidedigna. En otras palabras, esta auditoría de estrés valida la viabilidad del sistema, mientras que la auditoría de cierre de ejercicio valida el cumplimiento normativo del sujeto obligado.

Auditoría de estrés

Se define como una evaluación técnica desarrollada que prueba el sistema tecnológico de PLD y FT en escenarios extremos, observando si soporta, procesa y responde a las exigencias operativas y regulatorias del sujeto obligado. No evalúa el cumplimiento normativo, sino la capacidad, la resiliencia y la confiabilidad.

De tal manera que la auditoría de estrés al sistema evalúa:

• Desempeño, es decir, la rapidez de respuesta y la calidad en el procesamiento de información.
• Integridad de datos, o sea, si en pruebas de estrés se corrompe o se pierde la información.
• Continuidad operativa, es decir, la resiliencia del sistema ante fallas.
• Capacidad del monitoreo transaccional.
• Rapidez de emitir las alertas en escenarios de estrés.
• Capacidad de respuesta ante fallas de infraestructura, bases de datos o de red.

La auditoría de estrés prueba la resistencia del sistema PLD y FT para saber si soporta la operación real y situaciones de riesgo. Esta revisión no tiene una norma oficial específica para efectuarla, sino que se fundamenta en la regulación nacional y estándares internacionales.

La auditoría de estrés en PLD y FT valida la confiabilidad del sistema antes de evaluar el cumplimiento normativo del sujeto obligado.

Regulación en México

• Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI).
• Reglas de carácter general de cada supervisor: Comisión Nacional Bancaria y de Valores (CNBV), Comisión Nacional de Seguros y Fianzas (CNSF), Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) y el Servicio de Administración Tributaria (SAT) para actividades vulnerables.
• Lineamientos de auditoría interna y externa en materia de PLD y FT.
• Disposiciones de continuidad operativa y seguridad de la información (CNBV).

Estándares internacionales

• Recomendaciones 1, 10, 11, 12, 15, 18 y 19 del Grupo de Acción Financiera Internacional (GAFI).
• ISO 27001 – Seguridad de la información.
• ISO 22301 – Continuidad del negocio.
• Gobierno de Tecnologías de la Información (TI) de los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT).
• Guía de planificación de contingencias para sistemas de TI (NIST SP 800-34) del National Institute of Standards and Technology (NIST).

¿Cómo se planea?

La planeación incluye la definición del alcance, el diseño de escenarios de estrés, la determinación de métricas, un plan de pruebas, una aprobación del compliance officer y el departamento de TI. En esta planeación se definen las etapas de la auditoría de estrés:

• Diagnóstico: del sistema, arquitectura, capacidades y riesgos.
• Escenarios: definición, fallas y condiciones extremas.
• Pruebas: de estrés, simulación de escenarios y carga de información riesgosa.
• Monitoreo y registro: métricas, fallos, errores y tiempos.
• Análisis de resultados: resiliencia, continuidad e integridad.
• Informe técnico: hallazgos, riesgos, desviaciones y recomendaciones.
• Plan de remediación: realinear al sistema.

¿Qué se obtiene como resultado?

• Riesgos tecnológicos del sistema de PLD y FT.
• Brechas de capacidad y desempeño.
• Identificación de desviaciones en el sistema.
• Recomendaciones y observaciones de mejora.
• Fuente de información para la auditoría de cierre.
• Viabilidad de los datos generados por el sistema.

Cabe destacar que la auditoría de estrés sirve para desarrollar la de cierre de ejercicio porque confirma la confiabilidad de la información, detecta fallas que afectan el cumplimiento, asegura la validación de cada operación, minimiza el riesgo de observación de la autoridad supervisora y permite correcciones previas al cierre.

Cabe destacar que, sin esta revisión, la auditoría de cierre de ejercicio puede basarse en información inconsistente, corrupta o no procesada correctamente.

Auditoría de cierre de ejercicio

En materia de PLD, es la auditoría formal, anual o periódica, que evalúa el cumplimiento integral del sujeto obligado respecto a sus obligaciones durante el ejercicio bajo el siguiente marco regulatorio mexicano: LFPIORPI, reglas de carácter general, guías de auditoría de PLD (CNBV, CNSF, Condusef y SAT), manual de cumplimiento del sujeto obligado, así como lineamientos de identificación, monitoreo y reporte. De manera internacional, se tienen las recomendaciones del GAFI (enfoque basado en riesgo), los Principios Básicos de Basilea y el marco COSO.

La planeación de la auditoría de cierre de ejercicio se desarrolla en siete etapas: alcance, revisión del enfoque basado en riesgo, evaluación del manual de PLD, revisión de matrices de riesgo, selección de muestras, revisión de alertas, expedientes y reportes regulatorios, así como la coordinación con áreas operativas.

Sin una auditoría de estrés, la auditoría de cierre puede basarse en información incompleta o poco confiable del sistema de PLD.

Con la planeación se definen las etapas de la auditoría:

• Planeación: alcance, riesgos, muestras y cronograma.
• Revisión documental: manual, políticas, matrices y reportes.
• Pruebas sustantivas: expedientes, alertas, listas y monitoreo.
• Pruebas de cumplimiento: obligaciones regulatorias y operativas.
• Evaluación del sistema de PLD: funcionalidad, integridad y trazabilidad.
• Entrevistas: compliance officer, TI y operaciones.
• Informe final: hallazgos, calificación y recomendaciones.
• Plan de remediación: acciones correctivas y fechas.

¿Qué documentos se obtienen como resultado?

• Dictamen de cumplimiento en PLD y FT.
• Informe de hallazgos y observaciones.
• Resumen de evaluación del riesgo residual.
• Lista de recomendaciones y plan de acción.
• Evidencia para el supervisor.
• Documento de calificación del sistema de PLD.

Asimismo, se observa que, al conjuntar estas auditorías, se pueden identificar dos tipos de resultados:

Conclusiones

La auditoría de estrés garantiza la confiabilidad del sistema, es decir, que, al ser sometido a pruebas de estrés plausibles de operaciones de PLD y FT, se generan las alertas en tiempo real por las amenazas, lo que permite a la entidad minimizar el riesgo de ser vulnerable ante operaciones de este tipo y, en su caso, tener mitigantes para controlar los riesgos.

Ahora bien, la auditoría de cierre de ejercicio garantiza el cumplimiento normativo del sujeto obligado, por lo que se puede emitir un informe que cumpla con la normatividad aplicable a dicho sujeto, metodología, planeación, trazabilidad de las operaciones, evidencia documental, sustento técnico, mejoras al enfoque basado en riesgo y realineación del manual del cumplimiento; es decir, en la auditoría de PLD y FT, un informe sin estas características no tiene valor técnico ni legal.