Nuevas tecnologias disponibles para el Compliance Officer como modelado de procesos de negocio, flujos de trabajo automatizados, robotics, robotic process automation, machine learning, business intelligence, eDiscovery y analitics de textos.
1. Tecnología y Compliance
What´s next?
IE LAW SCHOOL
Programa Superior en Compliance
16 de Diciembre de 2019
Prof. Hernan Huwyler
Prof. Andrew Douglas
8. Aumento de la complejidad
Senior Management
1 LoD
Gerencias
operativas
Control interno
2LoD
Compliance
3LoD
Auditoria
Interna
Consejo y Comité de Auditoria
9. Aumento de la complejidad
Senior Management
1 LoD
Gerencias
operativas
Control interno
2LoD
Compliance
3LoD
Auditoria
Interna
Consejo y Comité de Auditoria
17. Flujos de trabajo automatizados
¿Qué?
Solución para realizar automáticamente una cadena de
eventos predefinidos de acuerdo con desencadenantes
Los eventos son acciones y controles
¿Para qué?
Cumplimiento obligatorio > sin excepción, consistencia
Enfocar la función de compliance > liberar tiempo
Reducir errores humanos > evitar revisiones manuales
Reducir costos y tiempo > productividad
Mejorar estadísticas sobre procesos > tasas de rechazo
Falta de trabajadores
18. Flujos de trabajo automatizados
¿Cuándo?
Numerosas tareas manuales y repetibles
• solicitudes de actualización, procesamiento de reclamos,
diligencia debida, informes de gastos, reclutamiento, KYC
Aprobaciones
• delegación de autoridad por umbrales
• escalada a través de la jerarquía organizacional
• asignación de tareas y planes de acción
Gestión de back office de documentos
• formularios y documentación de respaldo
Comunicaciones
• notificaciones por email, vencimientos
Recuperar un proceso subcontratado previamente
20. Ejemplo Flujos automatizados
Grupo de
acciones
- Operaciones y
lógica
Actividad
- Enviar una notificación
Decisión
- Asignar una tarea para
aprobar o rechazar una
transacción
21. Robotic Process Automation
¿Qué?
Solución de automatización de procesos
empresariales que realiza una cadena de actividades
aprendidas de un ser humano para que un robot repita
con inteligencia artificial + machine learning, speech
recognition, natural language processing, chat bots, unstructured data
capture technologies
¿Cuándo?
Procesando transacciones
Manipulando datos
Activando respuestas
Interfaceando con otros sistemas
23. Robotic Process Automation
OCR scan
of
shipment
notices to
customers
Match
account
with sales
order
Calculate
applicable
tax
Post sales
invoice
Email to
customer
attaching
PDF
invoice
Clerk
compiles
and
controls
documents
Billing
analyst
updates
sales
order
Billing
analyst
issues
invoice
with taxes
Accounting
clerk
books
invoice
A/R
analyst
mails the
invoice to
customer
24. Compliance y robotics
Procesos rutinarios que requieren efectuar
cálculos y acciones sobre el movimiento de
documentación y siguiendo un procedimiento
interno > otorgar un crédito, ejecutar un SAR
Generación de reportes que requieren
agregar datos manipulados desde múltiples
fuentes con diferentes formatos > KCIs,
reporte no-financiero
Automatizar testeos de controles de
cumplimiento > SOX, regulaciones
financieras, auditorias de sistemas, mejora
de calidad de datos
26. Compliance y business intelligence
Usar big data
reporting
dashboards
consultar datos
inferencias estadísticas y
tendencias
alarmas
Machine learning
reducir falsos positivos
“also look for "
aprendizaje profundo no
supervisado
Beneficios
monitoreo en
tiempo real
investigación
completa e
interactiva
visualización
pistas de
auditoría
menos falsos
positivos
(enumerados
OFAC, KYC)
Data
warehouse
Reports
Alarms
other
files
27. Compliance y business intelligence
Cumplir con las regulaciones
estadounidenses contra el boicot para una
compañía petrolera
Monitorear operaciones sobre cartas de
créditos para asegurarse de que no
tengan lenguaje de boicot con
transacciones en la Liga Árabe que
involucren a una persona estadounidense
28. Reglas de Business Intelligence
Riesgos de compliance > Enmienda 1977 US Export Admin Act
Sanciones penales y civiles por parte de la DoC y DoT
Multas de hasta USD 250k o transacciones * 2
Encarcelamiento hasta 20 años
Denegación de privilegios de exportación
Denegación de beneficios fiscales
Controles internos
Los gerentes de exportación controlan que las cartas de
crédito de los países de la Liga Árabe, Malasia y Bangladesh
no contengan solicitudes de boicot
30. Reglas
Reglas de negocio
AKKP-AKART = LoC (Document type of Letter of Credit)
KNA1-LAND1 = AE, BH, DZ, EG, JO, KM, JW, LB, LY, MA, MR, OM, PK, QA,
SO, SY, TN, YE (Arab League client)
AKKB-LAND1 = US (Banco norteamericano) o
T001-LAND1 = US (Subsidiaria norteamericana)
AKKP-LORESTER = Letter conditions contains “Israel”*, “blacklist”*,
“boycott”*, “are not of”, “are not acceptable”, “Arab ports”, “Arab”*
Acciones disparadoras
Detener las transacción
Enviar un email al jefe de exportación y compliance officer
31. Monitoreo de cumplimiento > CAATs
Acceso a datos de casi todos los fuentes
Independiente del tipo o naturaleza del sistema a auditar
Cobertura del 100% de las transacciones y sin limite de
tamaño de fichero
Acceso de “solo lectura” a datos para asegurar su
integridad
Gran selección de “rutinas” de auditoría
Duplicados, clasificaciones, edad y tiempos, muestra,
resúmenes etc.…
“Logging” automático para preservar el “audit trail”
Capacidad para “scripts, batches, procedimientos” para
grabar la lógica.
33. Informe mensual
Crecimiento de gastos de taxi
Control adhoc con muestra
Ruta comienza después de las
21:00
7 positivos de 300, pero por
muy poquito.
Control adhoc con mini -muestra
?
34. Empleado Numero Concepto Importe Fecha
ABC 123 Taxi - Tarde 16,20€ 18/03/2010
DEF 456 Taxi - Tarde 21,25€ 18/03/2010
Empleado Numero Movimiento Hora Fecha
ABC 123 Entrada 19:50 18/03/2010
ABC 123 Salida 21:10 18/03/2010
Gastos
Accesos gimnasio
La clave está en la llave
y el compliance en los datos
35. La clave está en la llave
y el compliance en los datos
Empleado Numero Concepto Importe Fecha
ABC 123 Taxi - Tarde 16,20€ 18/03/2010
DEF 456 Taxi - Tarde 21,25€ 18/03/2010
Empleado Numero Movimiento Hora Fecha
ABC 123 Entrada 19:50 18/03/2010
ABC 123 Salida 21:10 18/03/2010
Gastos
Accesos gimnasio
Casi el 50% de los gastos reclamados por taxis, se debían a que iban los empleados al gimnasio
después de la jornada de trabajo, aunque habían terminado su jornada regular en plazo.
36. Lecciones aprendidas
Quizás el importe es pequeño, pero si que nos aporta un insight
muy útil acerca de la ética de algunos empleados.
Se empieza quitando material de oficina
Alguno empezará a falsificar gastos
Alguno empezará a falsificar cifras
Alguno empezará a operar por su cuenta
Alguno empezará pagar sobornos
37. Cuentas a pagar
Cruzar empleados y proveedores
- Dirección (Proveedores
sospechosos)
Cruzar empleados y proveedores
– Nombre (Proveedores
sospechosos)
Pagos vs Facturas (Cruce
bidireccional)
Pagos Duplicados (mismo
proveedor, mismo importe)
Pagos Similares (Mismo
vendedor, importe similar)
Pedidos fraccionados (Limites)
Comprador no autorizado
(Autorización pedidos)
Pedidos vencidos (Madurez)
Pedidos retroactivos (Tiempos)
Secuencias en Facturas
(Facturas sospechosas)
Riesgos Analíticas
38. Nomina
Empleado duplicado- Misma CC o
número de identificación
Empleado duplicado – Dirección
similar
Nómina no válida – Contrato
rescindido
Pago de SS, pero sin nómina
Números de nóminas duplicados
Remuneración no correcta
Horas extraordinarias
Comisiones no autorizadas
Empleados fantasma (Pagos
sospechosos)
Riesgos Analíticas
39. Libro mayor
Misma cuenta (apuntes
duplicados)
Apuntes fraccionados (por encima
de los limites de autorización)
Crear apunte vs. aprobar apunte
(SOD)
Cuentas de
devengo/periodificación (apuntes
no conciliados)
Apunte no autorizado
Cuentas sin actividad (cuentas
mayor sospechosas)
Pablaras clave apuntes
(descripciones sospechosas)
Cercanía al cierre (justo antes o
después del cierre)
Cancelación frecuente de
apuntes
Riesgos Analíticas
40. Compliance y eDiscovery
¿Qué?
Investigar y obtener evidencia electrónica
Rastrear una gran cantidad de bases de datos y metadatos
Utilizada junto con text analytics para identificar con
precisión documentos potencialmente relevantes
¿Cuándo?
Investigaciones de correos electrónicos, bases de datos
financieras y audio
Preservar la información almacenada electrónicamente
Cumplimiento de LoPD para el RoPA, SARs y derechos a ser
olvidado
41. Ejemplo RoPA y eDiscovery
Búsqueda de bases de datos estructuradas
y no estructuradas
Tablas con información semejante a datos
personales o identificables
Actualización inmediata del RoPA
Panel de control con visualización de datos
Encuentra datos ocultos y duplicados en
computadores portátiles, formularios y
servidores
42. Compliance text analytics
¿Qué?
Extraer, relacionar e interpretar textos en correos
electrónicos, mensajes, chats, transacciones y otros
documentos para identificar comportamientos anómalos
¿Cuándo?
Identificar riesgos de fraude, corrupción y lavado de dinero.
Identificar actividades colusoria> regulaciones
antimonopolio, fraudes
Agrupación de documentos con cláusulas similares de
interés legal
Monitorear el daño reputacional sobre el sentimiento on-line
43. Ejemplo compliance text analytics
Delitos penales (sustantivos)
'soborno', 'fraude', 'evasión', 'lavado de dinero',
'malversación de fondos‘
Acciones penales (verbos)
'estafa', 'soborno', 'defraudación', 'evasión',
'bancarrota'
Verbos de acción
'hacer', 'comprometer', 'planificar', 'organizar', 'llevar
a cabo', 'implementar', 'articular', 'elaborar'
Verbos de acusación
'acusar', 'investigar', 'condenar', 'procesar', 'implicar',
'involucrar', 'sospechar', 'relacionar'
44. Ejemplo Reza Mozaffarinia Hosein
Listado por la OFAC
Ex viceministro de Defensa de Irán
Responsable de contribuciones significativas al programa de
misiles de Irán
Ortografías diferentes
Reza Mozaffari nia
Dr. Reza Mozafarnia
Reza Mozaffari-nia
Reza Mozaffari-niya
Reza Mozafarinia
Reza Mozafari-niya
Algoritmos basados en cómo se
traducen y cómo suenan las palabras
Evita agregar todas estas variaciones
para que coincidan con la OFAC
Evita el riesgo de omitir todas las
variaciones.
Menos falsos positivos
46. Compliance y blockchain
Seguridad de datos
transacciones y propiedad
legitimadas
comprobación de
plataformas con reglas
comerciales
confirmaciones
comerciales
liquidación
Mantenimiento registros
smart contracts
diarios distribuidos
Beneficios
cumplimiento
estandarizado
contrato,
impuestos,
cumplimiento
de privacidad
de datos
calidad de
datos
prueba de
auditoría
Cryptographic
verification
Blocks
Part of a chain
Token to proof
ownership
47. Smart contracts
¿Qué?
Perfeccionar un contrato con transacciones rastreables
mediante cláusulas autoejecutables sin un tercero
Basado en registros de activos y libros distribuidos badados
en blockchain
Bitcoins para transferir dinero, recibir productos o acciones
Evitar disputas y arbitraje > ¿el fin de abogados y notarios?
¿el el fin de los reguladores?
Las partes son anónimas, pero el contrato es público
48. Smart contracts
¿Cómo?
Las partes acuerdan los términos y los
codifican en cláusulas del smart contract
Las cláusulas se aplican automáticamente de
acuerdo con los términos acordados >
transferir derechos de uso, una fecha de
vencimiento, cumplimiento de una obligación,
un precio que excede cierto nivel
El contrato se liquida automáticamente
después de un tiempo o condiciones definidos