Blog del SISO

Le doy la bienvenida al Blog del SISO, editado por el SERVICIO DE INFORMACIÓN DE LOS SUJETOS OBLIGADOS de ASNEF


C/ Velázquez, 64-66, 2ª planta

28001 Madrid

e-mail: asnef@asnef.com

Teléfono: 91.781.44.00

Fax: 91.431.46.48



jueves, 8 de marzo de 2012

LA IDENTIFICACIÓN DEL TITULAR REAL




PLANTEAMIENTO PREVIO

Las medidas normales de diligencia debida deberían ser abordadas dentro de la empresa,  bajo criterios de negocio y no sólo bajo criterios de cumplimiento,  porque  incrementan la calidad de la información sobre la cartera de clientes, beneficiando así el funcionamiento general de la empresa. Estas medidas, por tanto, son muy rentables.

Al tratar en las fichas anteriores el tema de la identificación formal, no me centré en la función económica que tiene dentro del contexto operativo-empresarial de negocio. Sí hice referencia a que esta primera medida normal de diligencia debida, constituye la piedra angular sobre la que la empresa ha de construir el edificio de la DUE DILIGENCE, y a que es la medida básica de seguridad,  sobre  la que tiene que fundamentar su política de riesgos con los clientes y de prevención del fraude. Igualmente resulta imprescindible  para el buen funcionamiento   de la política comercial.

La identificación formal no admite excepciones y deberá ser cumplida por todos los sujetos obligados. La Ley 10/2010 sólo deja abierto un resquicio de no obligatoriedad en el Artículo 10.3, párrafo segundo, aunque las posibles excepciones deberán ser especificadas de forma taxativa por el nuevo Reglamento,  y que dice así: “Asimismo, reglamentariamente podrá autorizarse la no aplicación de todas o algunas de las medidas de diligencia debida en relación con aquellas operaciones que no excedan un umbral cuantitativo, bien singular, bien acumulado por períodos temporales, que, con carácter general, no superará los 1.000 euros.”


A partir de  esta ficha inicio el análisis del resto de las medidas normales de diligencia debida, y lo haré bajo el doble criterio señalado de cumplimiento y de negocio, para lo que considero interesante desarrollar el concepto de:

INFORMACIÓN KYC (Know Your Customer – Conoce a tu cliente)

Para  obtener información de los clientes con la calidad KYC, resulta necesario estructurar la empresa para que funcione mediante PROCESOS KYC, tanto en el establecimiento de la relación de negocio (1), como durante los dos siguientes momentos en los que la información de los clientes  puede ser modificada (2 y 3):
  1. En el momento de la apertura de las cuentas de los clientes.
  2. En el momento en que los clientes quedan segmentados en base al riesgo,  y se procede a la remediación de la información existente de cada uno de ellos.
  3. En el momento en que los clientes cambian su perfil de riesgos, mediante la apertura de nuevas cuentas o la realización de nuevos negocios, o a través del control de su operativa.

En las tres fichas anteriores he analizado  la forma de  realizar la identificación formal para que tenga calidad KYC, apuntando en las mismas  a la necesidad de la centralización operativa de dicha información, que es el concepto que ampliaré seguidamente.

Centralización operativa de la información de los clientes

Para poder funcionar mediante procesos KYC, será conveniente la CENTRALIZACIÓN DE TODA LA INFORMACIÓN DE LOS CLIENTES en  una plataforma tecnológica que contenga todos los EXPEDIENTES DE IDENTIFICACIÓN definidos  en una ficha anterior.

Esta base de datos estará alimentada por todos los repositorios que pudieran existir dispersos entre las distintas divisiones administrativas, y especialmente entre los departamentos pertenecientes al “front-office” de la empresa.

La PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, debería ser considerada por la empresa como una herramienta de negocio y nunca sólo como una herramienta de cumplimiento. Esta concepción permite la existencia de un proceso de ida y vuelta (feedback) en la información,  que termina realimentando con información verificada,  al nivel de detalle que se considere necesario,  cualquier base de datos interna que previamente alimente a la Plataforma.

Con todo, yo soy partidario de que cualquier departamento de la empresa tenga acceso directo a ésta base de datos de clientes KYC centralizada, obteniendo de la misma de forma selectiva, sólo aquella información necesaria para su actividad profesional, lo que evitaría la existencia de repositorios particulares de datos.

Al ser alimentada la plataforma centralizada KYC por toda la estructura empresarial, cualquier dato de clientes que se introdujera a través del “front-office” y que fuera incongruente con el existente en la base de datos, produciría una alerta que tendría que ser comprobada por el departamento que introdujo la última información, siempre que esa información por su interés, no tuviera que ser valorada directamente por el ÁREA DE INVESTIGACIÓN INTERNA DE LOS DELITOS FINANCIEROS, que como vimos en una ficha anterior, estaría coordinada por el Departamento de Prevención del Blanqueo de Capitales y el Departamento de Prevención del Fraude.

Como la centralización de la información dará lugar previsiblemente a numerosas incongruencias en la información de los clientes, la empresa ha de tener previsto un PROGRAMA DE REMEDIACIÓN DE LA INFORMACIÓN KYC, con el objetivo de que los datos de los clientes sean completos, exactos y actualizados. Este programa se pondría en funcionamiento a partir de los clientes de mayor riesgo, que conoceremos por la segmentación de los mismos efectuada por la propia  plataforma.

La Ley 10/2010, en su Disposición transitoria séptima, pone fecha límite para la remediación de la información KYC, al establecer en cinco años el plazo máximo para la aplicación de las medidas de diligencia debida a los clientes existentes, plazo que terminará el 29 de abril de 2015. No hemos de olvidar tampoco que una parte de esas medidas de diligencia debida, como es la obligación de almacenar las copias de los documentos de identificación en soportes ópticos, magnéticos o electrónicos, establecida en el Artículo 25.2., ha tenido como plazo límite el 29 de abril de 2012, según lo establecido en la Disposición final séptima de la Ley.

Muchas empresas ya llevan tiempo en el proceso de aplicación de las medidas de diligencia debida a su cartera de clientes, por lo que el Modelo que expongo no les será  aplicable en todas sus fases.

Partimos para el análisis,  de una empresa que empieza  en este momento a aplicar el Modelo.

Se encontraría conque, una vez centralizada su información sobre clientes, la Plataforma le segmentaría su cartera en base al riesgo total (con ponderación de negocio y cumplimiento), con lo que procedería a poner en funcionamiento su programa de amejoramiento KYC, empezando por los clientes de más riesgo. Para ello verificaría todas las incongruencias existentes en los datos, ya sea de forma descentralizada a través de los departamentos pertenecientes al “front-office” y especialmente por el área comercial, o mediante el área de investigación interna de los delitos financieros, en los casos que sean más delicados.

Teniendo en cuenta la legislación sobre prevención del blanqueo, las entidades llevarían de forma paralela dos procesos de REMEDIACIÓN KYC: 
  • El primero tiene que ver con el archivo de las copias de los documentos de identificación en soportes ópticos, magnéticos y electrónicos (que debería ya estar finalizado desde el 29 de abril de 2012)
  • El segundo se refiere a la aplicación de las medidas de diligencia debida a los clientes existentes (que finalizará el 29 de abril de 2015)

Con ocasión del archivo en soportes ópticos magnéticos y electrónicos de las copias de los documentos de identificación, las empresas deberían haber puesto en marcha la aplicación de la primera medida normal de diligencia debida a toda su cartera de clientes, y que se refiere a la verificación de la identificación formal.

El objetivo será evitar que existan incongruencias en los datos de identificación y localización de los clientes, informatizando para ello el EXPEDIENTE DE IDENTIFICACIÓN si aún se encontrara en papel.

Al informatizar el EXPEDIENTE DE IDENTIFICACIÓN, la propia plataforma tecnológica de identificación recabará de los ficheros de texto que pasen a formar parte del EXPEDIENTE, aquellos datos de interés para el proceso KYC y que servirán para el conocimiento de los clientes.

En lo relativo al archivo de las copias de los documentos de identificación en soportes ópticos, magnéticos y electrónicos, bajo mi criterio se cumplirá con el  Artículo 25.2, si las fotocopias de los documentos que históricamente se utilizaron para la verificación de la identidad, quedan escaneadas,  y se archivan de forma que se pueda asegurar su adecuada gestión y disponibilidad, tanto a efectos de control interno, como de atención en tiempo y forma a los requerimientos de las autoridades.

En los casos en los que aparezcan incongruencias en los datos de identificación se deberá contactar con los clientes para proceder de nuevo a la identificación formal,  contrastando también los datos de los clientes con los ficheros centralizados de prevención del fraude, tal como lo posibilita el Artículo 33.3 de la Ley 10/2010.

Las siguientes MEDIDAS DE DILIGENCIA DEBIDA, (identificación del titular real, y el propósito e índole de la relación de negocios), constituye el segundo proceso de remediación KYC, que se irá cumplimentando progresivamente en base al riesgo detectado y a las posibilidades operativas de los equipos de trabajo que deban intervenir en el programa de amejoramiento KYC.

Para que la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN pueda segmentar a los clientes en base al riesgo, los factores de riesgo habrán tenido que ser previamente definidos por la empresa, dependiendo del tipo de cliente, de la relación de negocios, y del producto y operación. Este trabajo deberá estar recogido en la política expresa de admisión de clientes referenciada en el Artículo 26 de la Ley 10/2010, y según se indica en el Artículo 7.1 de la misma Ley.

Debo señalar también, que la última de las medidas de diligencia debida, el seguimiento continuo de la relación de negocios tiene que ver con el MONITOREO DE LAS OPERACIONES, y se realizará a través de su plataforma específica.

Durante el proceso de MONITOREO DE LAS OPERACIONES  se podrán producir   alertas que modificarán la situación de riesgo de los clientes afectados, con lo que su análisis KYC podría verse modificado, y cambiar por tanto su situación en la escala de prioridades.

Para la aplicación de las medidas normales de diligencia debida hemos de utilizar, por tanto, dos plataformas tecnológicas que se interrelacionan y de las que hablaremos con más detalle en las siguientes fichas:
  • LA PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN
  • LA PLATAFORMA DE MONITOREO DE LAS OPERACIONES

Ambas plataformas constituyen el sistema de prevención de riesgos de la empresa, que estará al servicio de los departamentos de prevención de riesgos y recuperaciones, y de los departamentos de cumplimiento, como pueden ser el Servicio de Prevención del Blanqueo y el Servicio de Prevención del Fraude.


Una vez planteadas las líneas generales referidas al  control de las operaciones de  diligencia debida, paso a analizar con más detalle el tema concreto de la:

LA IDENTIFICACIÓN DEL TITULAR REAL

La identificación del titular real, constituye la segunda medida normal de diligencia debida.

Esta medida la tenemos que analizar no sólo desde la óptica del cumplimiento AML, sino también desde el interés que tiene para controlar  el riesgo general de la empresa.

Es tanta su importancia para este último objetivo, que para algunas entidades financieras, la exigencia del conocimiento de las personas físicas que pudieran estar detrás de  las personas jurídicas, se controla en unos porcentajes  inferiores de participación accionarial a los que están establecidos en la Ley 10/2010.

Nosotros vamos a trabajar con los porcentajes legales de participación accionarial definidos por la Ley 10/2010.

Se considera titular real, según el Artículo 4.2 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, a las siguientes personas físicas:
  1. (a) La persona o personas físicas por cuya cuenta se pretenda establecer una relación de negocios o intervenir en cualesquiera operaciones.
  2. (b) La persona o personas físicas que en último término posean o controlen, directa o indirectamente, un porcentaje superior al 25 por 100 del capital o de los derechos de voto de una persona jurídica, o que por otros medios ejerzan el control, directo o indirecto, de la gestión de una persona jurídica. Se exceptúan las sociedades que coticen en un mercado regulado de la Unión Europea o de países terceros equivalentes.
  3. (c) La persona o personas físicas que sean titulares o ejerzan el control  del 25 por 100 o más de los bienes de un instrumento o persona jurídicos que administre o distribuya fondos, o, cuando los beneficiarios estén aún por designar, la categoría de personas en beneficio de la cual se ha creado o actúa principalmente la persona o instrumento jurídico.

Según el Artículo 4.1 de la Ley 10/2010, y limitándonos al riesgo AML, éste sería el procedimiento operativo de control que tendría que ser realizado:
  • Los sujetos obligados identificarán al titular real, y
  • Adoptarán medidas adecuadas a fin de comprobar su identidad con carácter previo al establecimiento de relaciones de negocio o a la ejecución de cualesquiera operaciones.

Desde el punto de vista práctico, y ampliando esta obligación al riesgo general de la empresa, el carácter previo o no de la identificación del titular real, vendrá señalado al generarse una alerta en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN una vez se introduzcan en la misma desde el “front-office” los datos de la persona jurídica,  y éstos se filtren a través de los factores de riesgo establecidos para cada tipo de clientes, en este caso para las personas jurídicas, para la relación de negocio que se pretenda establecer, y para el producto u operación que se quiera contratar a través de  esta persona jurídica.

Si en el proceso automatizado saltara algún filtro, la alerta se derivaría hacia el departamento que lo hubiese introducido, que será el que ponga en marcha el proceso básico de identificación del titular real que estamos comentando.

En lo que sigue vamos a trabajar con la hipótesis de una alerta AML que llegará al Departamento de Prevención del Blanqueo. Este Departamento procederá a recabar  información para determinar la estructura accionarial o de control que hay detrás de la  persona jurídica que tiene que ser analizada.

El trabajo de investigación podría hacerse de dos formas:
  1.  Dentro de la empresa
  2. Mediante una empresa externa contratada al efecto.

En ambas formas, la investigación tiene como finalidad el levantamiento del velo en la identificación, que es una expresión muy utilizada en los medios jurídicos para explicar el objetivo al que se pretende llegar mediante la investigación de los delitos contra el patrimonio y el orden socioeconómico, entre los que se encuentra  el blanqueo de capitales y la financiación del terrorismo, pero que es perfectamente adecuado para evitar otros tipos de riesgos socioeconómicos que podrían afectar a la empresa.

Si la empresa fuera partidaria de realizar este tipo de investigaciones de forma interna, soy del criterio de que debería contar con un ÁREA DE INVESTIGACIÓN DE LOS DELITOS FINANCIEROS, y de que ésta debería estar coordinada por el Departamento de Prevención del Blanqueo y el Departamento de Prevención del Fraude, utilizándose   en beneficio de toda la empresa para una mejor rentabilización.

El hecho de que ésta Área esté bajo la coordinación operativa de los Departamentos de Prevención del Blanqueo y de Prevención del Fraude, tiene su justificación en que la información generada por la investigación, además de servir para el departamento que la haya necesitado, servirá en todos los casos para la prevención del blanqueo y para la prevención del fraude, por lo que resulta lógico que esta información esté centralizada en estos departamentos de cumplimiento.

La existencia de un ÁREA DE INVESTIGACIÓN DE LOS DELITOS FINANCIEROS como entidad independiente, tiene su sentido en la especialización de sus analistas y en los medios tecnológicos con los que deberá estar dotada, así como en la necesidad de que el Departamento de Prevención del Blanqueo y el Departamento de Prevención del Fraude, de los que depende,  queden liberados de este trabajo específico para dedicarse de forma exclusiva a sus materias de cumplimiento.

Igualmente, la rentabilización de esta Área  aconseja que se utilice para la confección de informes de investigación que sirvan para la toma de decisiones de la Alta Dirección y especialmente para los Departamentos de Análisis de Riesgos y/o de Recuperaciones, que así quedarán también liberados  de estos trabajos para centrarse  en su actividad específica.

Si, por el contrario,  la empresa se decidiera por un proceso de investigación externa contratada, los resultados deberían estar también controlados por los Departamentos de Prevención del Blanqueo y de Prevención del Fraude, sin perjuicio del conocimiento que deba tener del informe el departamento que propició la alerta.

Volviendo al tema específico de la necesidad de identificación del titular real, ya sabemos que en los procesos automatizados,  la obligación vendrá determinada por la política de riesgos que se haya introducido en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, que será la que ponga en funcionamiento el sistema de alertas.

Sólo si la alerta fuese por blanqueo de capitales o financiación del terrorismo, esa investigación del titular real se haría con carácter previo al establecimiento de la relación del negocio, tal como se establece por la Ley 10/2010. Pero podría suceder también, que para otros tipos de riesgos, la empresa decidiera establecer  la identificación del titular real con carácter previo a la relación de negocio.

Hay otro momento operativo que puede llevarnos a la necesidad de la identificación del titular real, aunque esta obligación no hubiese sido necesaria en el momento del establecimiento de la relación de negocio. Me refiero a la alerta que pudiera surgir  en el transcurso de la operativa de la persona jurídica. En este caso, sería  la PLATAFORMA DE MONITORIZACIÓN DE OPERACIONES, con su sistema de alertas, la que cambiaría el riesgo de la persona jurídica,  y por tanto, obligaría a la identificación del titular real.

Las plataformas tecnológicas y la planeación del riesgo

Una empresa que tenga un volumen notable de clientes, y operativas mínimamente complicadas, necesita tener informatizado el riesgo, para lo que deberá utilizar alguna PLATAFORMA TECNOLÓGICA DE CUMPLIMIENTO que le permita la automatización de los procesos.

Yo he apuntado como solución en el MODELO,  a dos plataformas tecnológicas independientes pero interconectadas, aunque las soluciones pueden ser variadas, atendiendo a lo que ya existe en el mercado o puede ser montado por los informáticos:
  •  LA PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN
  • LA PLATAFORMA DE MONITOREO DE LAS OPERACIONES

Según la ley 10/2010, la primera plataforma podría ser contratada externamente (Artículo 8 que habla de la aplicación por terceros de las medidas de diligencia debida), pero la segunda no, puesto que controla el seguimiento continuo de la relación de negocio, que no permite la tercerización.

La automatización del funcionamiento de ambas PLATAFORMAS ha de ser planificada previamente, sobre la base mínima establecida en el  art. 7 de la Ley 10/2010, que permite la aplicación de estas medidas de diligencia debida en base a los siguientes criterios:
  • en función del riesgo
  • dependiendo del tipo de cliente, y
  • de la relación de negocios, producto u operación.

Para ello se deberán cumplir las medidas de control interno especificadas en el Artículo 26 de la Ley 10/2010, aprobando por escrito y aplicando las políticas y procedimientos adecuando en materia de diligencia debida, que deberán estar recogidos en la política expresa  de admisión de clientes.

No es objeto de esta ficha el análisis de estas medidas de control interno, que serán la suma de las medidas de cumplimiento (control de prevención del blanqueo y control del fraude) y de las medidas de control del riesgo de negocio. Ambos tipos de medidas habrán sido definidas por el Órgano de Control Interno y comunicación (OCIC), mediante un proceso de investigación del que se tratará en fichas posteriores.

En lo que se refiere a las medidas de control interno que afectan a la prevención del blanqueo de capitales y de la financiación del terrorismo, debo indicar lo siguiente:

Hay clientes, productos y operaciones en los que no tiene aplicación esta segunda medida normal de diligencia debida. Estas excepciones están recogidas en la Sección 2ª del Capítulo II de la Ley 10/2010, que habla de las medidas simplificadas de diligencia debida. El nuevo Reglamento establecerá nuevas excepciones a esta obligación, en cuyo caso se aplicarán también las medidas simplificadas  de diligencia debida, por lo que no será necesaria la identificación del titular real.

El área de investigación de los delitos financieros

Una especial mención merece la MESA DE ANÁLISIS  que he denominado a lo largo de este trabajo como ÁREA DE INVESTIGACIÓN DE LOS DELITOS FINANCIEROS, y que tiene que llevar a cabo la investigación que permita la IDENTIFICACIÓN DEL TITULAR REAL.

Mantener una MESA DE ANÁLISIS propia, puede ser rentable para un gran banco o una empresa multinacional, pero no para un banco mediano, entidad de financiación del consumo, o  pyme, porque exige mantener un equipo humano muy especializado y un equipo tecnológico de investigación económica,  así como el acceso a diferentes fuentes de información no todas gratuitas.

Ya he indicado anteriormente, que si una empresa se puede permitir tener una MESA DE ANÁLISIS, debería ponerla a disposición de toda la organización y especialmente de la Alta Dirección.

Por el contrario, cuando para una empresa no sea rentable mantener de forma permanente una MESA DE ANÁLISIS, este servicio podría contratarlo a alguna de las empresa existentes, especializadas en la INVESTIGACIÓN ECONÓMICA DEL FRAUDE.

Aún así, siempre resulta aconsejable que dentro de los departamentos de prevención del fraude y de prevención del blanqueo haya algún analista que se encargue de valorar los informes externos desde un punto de vista operativo, y de introducir los datos de interés en  las PLATAFORMAS DE CONTROL DE RIESGOS.

Proceso de investigación del titular real:

El proceso de identificación del titular real tiene diferentes fases cuya ejecución debe planificarse previamente, y contar con diversas herramientas tecnológicas y fuentes de información internas y externas.

Para la identificación del titular real, se deberían seguir, como mínimo, los siguientes pasos:

Primero: Una vez efectuada la DUE DILIGENCE sobre la persona que actúa en representación de la persona jurídica, se procederá a la validación de toda la documentación justificativa recibida, para comprobar que no haya sido falsificada.

Segundo: En base a esta información verificada y cualquiera otra que pueda ser solicitada a la persona que actúa en representación de la persona jurídica, así como con la obtenida de  fuentes internas y externas, se procederá a estructurar el organigrama informativo que nos permita conocer todo lo necesario sobre:
  1. (a) La persona o personas físicas por cuya cuenta se pretenda establecer una relación de negocios o intervenir en cualesquiera operaciones.
  2. (b) La persona o personas físicas que en último término posean o controlen, directa o indirectamente, un porcentaje superior al 25 por 100 del capital o de los derechos de voto de la persona jurídica, o que por otros medios ejerzan el control, directo o indirecto, de la gestión de una persona jurídica, exceptuando las sociedades que coticen en un mercado regulado de la Unión Europea o de países terceros equivalentes.
  3. (c) La persona o personas físicas que sean titulares o ejerzan el control  del 25 por 100 o más de los bienes de un instrumento o persona jurídicos que administre o distribuya fondos, o, cuando los beneficiarios estén aún por designar, la categoría de personas en beneficio de la cual se ha creado o actúa principalmente la persona o instrumento jurídico, para lo que habrá que identificar cada uno de los bienes o instrumentos.

Tercero: Esta información deberá ser preparada mediante herramientas de visualización y análisis que permitan la rápida identificación de conexiones, patrones y tendencias en conjuntos de datos complejos, y resumida en informes concisos que den solución a los objetivos señalados para la investigación.

Cuarta: El expediente de trabajo deberá ir acompañado de copia de toda la documentación justificativa de la investigación realizada.

Comentarios finales

La DUE DILIGENCE es una buena herramienta para el control de los riesgos generales de la empresa, por lo que debe ser rentabilizada al máximo, evitando así las duplicaciones en los sistemas de control de riesgos, como sucedería si para esta materia actuaran de forma independiente los departamentos de blanqueo de capitales, prevención del fraude, análisis de riesgos, recuperaciones, etc.

La necesidad de tecnificación para el cumplimiento de la diligencia aparece en el Art. 17 de de la Ley 10/2010, cuando exige para ello la utilización de aplicaciones informáticas apropiadas, teniendo en cuenta el tipo de operaciones, sector de negocio, ámbito geográfico y volumen de la información, por lo que las entidades han de asumir necesariamente este reto, ya sea en solitario o mediante la colaboración.


Fabián Zambrano Viedma
Responsable del Servicio de Información de los Sujetos Obligados (SISO)