El propósito e índole de la relación de negocios, tercera medida normal de diligencia debida, está regulada en el Artículo 5 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y dice así:
“Los sujetos obligados obtendrán información sobre el propósito e índole prevista de la relación de negocios. En particular, los sujetos obligados recabarán de sus clientes información a fin de conocer la naturaleza de su actividad profesional o empresarial y adoptarán medidas dirigidas a comprobar razonablemente la veracidad de dicha información.
Tales medidas consistirán en el establecimiento y aplicación de procedimientos de verificación de las actividades declaradas por los clientes. Dichos procedimientos tendrán en cuenta el diferente nivel de riesgo y se basarán en la obtención de los clientes de documentos que guarden relación con la actividad declarada o en la obtención de información sobre ella ajena al propio cliente.”
Con esta tercera medida, la empresa - sujeto obligado -, añade una segunda pieza a la INFORMACIÓN KYC (Conoce a tu cliente).
La primera pieza es la IDENTIFICACIÓN FORMAL de las personas físicas en todos los casos, y de las personas jurídicas en función del riesgo.
- La identificación formal de las personas físicas se realiza mediante la VERIFICACIÓN DE LA IDENTIDAD, a través de los documentos fehacientes exhibidos ante el sujeto obligado por el titular de los mismos.
- Igualmente en el proceso de verificación se han de controlar las listas de sanciones, y en función del riesgo, las listas PRP (Personas con Responsabilidad Pública).
- La VERIFICACIÓN DE LA IDENTIDAD resulta más complicada en las OPERACIONES NO PRESENCIALES, puesto que hay que aplicar algunas medidas reforzadas de diligencia debida.
Esta tercera medida completa el CONOCIMIENTO PASIVO DEL CLIENTE antes de su aceptación, o posteriormente cuando aparece una situación de riesgo. Para poder realizar este trabajo, cada empresa deberá tener definida previamente su política de riesgos, y tener instaurados los mecanismos tecnológicos necesarios para detectar los riesgos definidos.
Según el Artículo 5 de la Ley 10/2010, las medidas que debe tomar el sujeto obligados para el conocimiento del cliente son las siguientes:
- Obtención de información sobre el propósito e índole prevista de la relación de negocios.
- Obtención de información a fin de conocer la naturaleza de su actividad profesional y empresarial.
- Comprobación razonable de la veracidad de la información aportada por el cliente.
- Establecimiento y aplicación de procedimientos de verificación de la actividad declarada por el cliente.
- Obtención del cliente de los documentos que guarden relación con la actividad declarada.
- Obtención de información ajena al propio cliente sobre la actividad declarada
Para trabajar esta tercera medida, cada empresa habrá de diseñar algún MODELO. En lo que sigue, voy tratar de concretar operativamente esta medida, mediante criterios empresariales, y no sólo bajo criterios AML.
PLANTEAMIENTO OPERATIVO
En las fichas anteriores dedicadas a las “medidas normales de diligencia debida”, utilicé un criterio que trascendía el simple cumplimiento de la legislación AML, buscando también en las mismas una rentabilidad empresarial, puesto que a nadie se le escapa que las medidas afectan a la calidad de la información de la cartera de clientes.
Consecuencias que tiene en la cartera de clientes la calidad de la información:
- La calidad de la información en la cartera de clientes tiene repercusiones positivas en AML y en otras materias de cumplimiento, como por ejemplo, en la prevención del fraude, en Basilea II, o en la información financiera que las entidades tienen que presentar de forma ordinaria a los Reguladores.
- También tiene repercusiones positivas en la actividad comercial, al mejorar la segmentación de los clientes para las actividades de marketing y ventas, evitando promociones inapropiadas.
- La calidad de la información de la cartera de clientes, obliga a toda la empresa a depurar la información, evitando así duplicidades, o la permanencia de cuentas inactivas que podrían ser utilizadas, interna o externamente, para actividades delictivas, como por ejemplo, el blanqueo de capitales, el fraude, etc.
Bajo este criterio, resulta razonable pensar que las “medidas normales de diligencia debida”, que son de obligado cumplimiento por la legislación AML, sean también los criterios que utilice la empresa para el control de la veracidad y exactitud de la cartera de clientes, simplificando de esta manera los sistemas operativos existentes, y ahorrando costes.
Para desarrollar este MODELO, partimos de la hipótesis de que las “medidas de diligencia debida” son los criterios generales que va a utilizar la empresa para lograr la calidad KYC. La información de clientes resultante, será utilizada por cada área o departamento para el desarrollo de sus funciones específicas en relación con los clientes.
Para que estos criterios puedan ser operativos en una empresa mínimamente compleja, su funcionamiento debe ser controlado mediante alguna herramienta tecnológica. Esta herramienta podría ser la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN de la que hablaré seguidamente, que tendrá diversos niveles de acceso para sus usuarios, además de la identificación de sus fuentes de datos. Esta PLATAFORMA cumplirá con la legislación española de protección de datos, en relación con el origen de los mismos y con la necesidad o no del consentimiento para su cesión.
LA PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN
La PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, tiene como núcleo principal un REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA.
A este RESPOSITORIO se ensamblarán varias soluciones tecnológicas con usos diferentes que iremos analizando en este trabajo. El conjunto, REPOSITORIO + SOLUCIONES TECNOLÓGICAS ESPECÍFICAS, constituirá la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, o herramienta tecnológica capaz de ofrecer a la empresa el CONOCIMIENTO PASIVO DEL CLIENTE, con la calidad necesaria para el cumplimiento AML, y para las restantes actividades de cumplimiento, productivas y comerciales.
LA INFORMACIÓN KYC
La información KYC se compone de:
- CONOCIMIENTO PASIVO DEL CLIENTE
- CONOCIMIENTO ACTIVO DEL CLIENTE
El CONOCIMIENTO PASIVO DEL CLIENTE se obtiene durante el proceso de aceptación del cliente, y en las ampliaciones de información realizadas en función del riesgo.
El CONOCIMIENTO ACTIVO DEL CLIENTE se consigue controlando su actividad operativa dentro de la empresa. El resultado de esta información pasará a formar parte del REPOSITORIO CENTRALIZADO DE INFORMACIÓN ACTIVA, núcleo principal de la PLATAFORMA DE MONITOREO DE OPERACIONES.
Las dos PLATAFORMAS estarán interrelacionadas, por lo que los factores de riesgo definidos en cada una de ellas se afectarán mutuamente.
LA ALIMENTACIÓN DE LAS PLATAFORMAS
- La PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, estará alimentada por el “front-office” de la empresa.
- La PLATAFORMA DE MONITOREO DE OPERACIONES estará alimentada por las áreas y departamentos productivos de la empresa.
Ambas PLATAFORMAS estarán a disposición de toda la Organización, y el acceso a las mismas será discriminado para cada área, departamento, o empleado.
Los núcleos centrales de ambas PLATAFORMAS serán sus respectivos REPOSITORIOS de información:
- Un repositorio histórico de información pasiva de clientes para la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, y
- Un repositorio histórico de la información operacional de los clientes para la PLATAFORMA DE MONITOREO DE OPERACIONES.
EL RESPONSABLE DE CALIDAD DE LA INFORMACIÓN KYC
Aunque la obtención de la INFORMACIÓN KYC PASIVA se hace normalmente a través del “front office” de la empresa, y la obtención de la INFORMACIÓN KYC ACTIVA por el entramado operativo, conviene aclarar quién debe ser el RESPONSABLE DE CALIDAD DE LA INFORMACIÓN KYC.
Las PLATAFORMAS son estructuras informáticas, y por tanto su funcionamiento operativo y su seguridad estarán a cargo del DEPARTAMENTO DE SEGURIDAD INFORMÁTICA, pero no así su contenido.
Las “medidas normales de diligencia debida”, aunque constituyen una materia específica de la prevención del blanqueo de capitales, afectan a toda la empresa, por lo que el responsable de la INFORMACIÓN KYC debiera ser el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE.
Cuando la empresa tiene una cierta complejidad, este Departamento, al igual que el de Blanqueo, debiera contar con una UNIDAD TÉCNICA, que en alguna ficha anterior he denominado UNIDAD DE INVESTIGACIÓN DE LOS DELITOS FINANCIEROS.
Por esta UNIDAD TÉCNICA deberían pasar durante algún tiempo y de forma rotatoria, gran parte de los analistas de la empresa, no sólo para compartir la experiencia y técnicas de investigación de la UNIDAD, sino también para compartir con los analistas de la UNIDAD su propia experiencia y técnicas de análisis.
Aquellas empresas que no quieran constituir esta UNIDAD TÉCNICA, porque les resulta más rentable encargar gran parte de sus investigaciones a empresas especializadas, deberían tener, con todo, un pequeño equipo de analistas que podrían trabajar de forma conjunta para el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE y para el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO.
Las investigaciones de esta UNIDAD, en materia de “medidas normales de diligencia debida”, normalmente tendrán como origen las alertas que le lleguen del DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO, que a su vez, las recibirá de la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN o desde la PLATAFORMA DE MONITOREO DE OPERACIONES, cuyos filtros de control estarán definidos mediante los factores de riesgo de blanqueo.
Será el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO el que, como veremos posteriormente, determinará la remisión de la alerta a esta UNIDAD cuando el interés del tema así lo exija. No olvidemos que este DEPARTAMENTO tiene directamente a su cargo las obligaciones de información del Capítulo III de la Ley 10/2010, por lo que no puede colapsarse con las investigaciones derivadas de las “medidas normales de diligencia debida”.
COMPOSICIÓN DE LAS PLATAFORMAS
Cada entidad irá completando sus PLATAFORMAS, a partir de los RESPOSITORIOS, mediante las herramientas tecnológicas que considere necesarias para configurar su propio sistema de información de clientes. Estas herramientas las llamaré FILTROS DE CONTROL.
Una vez configurado el sistema tecnológico de ambas PLATAFORMAS mediante los filtros de control, habrá que definir en cada uno de ellos la política de riesgos establecida por la empresa.
Como las PLATAFORMAS son de uso general y discriminado dentro de la empresa, cada área de la entidad que quiera utilizarlas deberá definir, en su filtro de control, los FACTORES DE RIESGO o estudio, que serán los que den origen a las alertas.
Defino como filtros de control aquellas herramientas tecnológicas que han de ser ensambladas a los REPOSITORIOS DE INFORMACIÓN, en base a las necesidades operativas de los departamentos o áreas que deban utilizarlas, y que formarán parte de las PLATAFORMAS.
Estas herramientas pueden ser, o simples programas informáticos tipo “scoring” para la evaluación automática de solicitudes de operaciones de crédito, o bien sofisticadas herramientas tecnológicas, como las que existen para la prevención del blanqueo o la prevención del fraude, y que se basan en redes neuronales que aprenden con la experiencia.
A este efecto, existe un amplio mercado tecnológico muy especializado, o bien, soluciones creadas “ad hoc” por las propias empresas en colaboración con los tecnólogos.
Pero para que funcionen estos filtros de control y cumplan con lo que se espera de ellos, resulta necesaria una información operativa que no puede comprarse en el mercado y que ha de ser generada dentro de la empresa en base a sus conocimientos y experiencias. Me refiero a los factores de riesgo necesarios para producir alertas, y que estarán relacionados con las diferentes materias de cumplimiento, o de riesgo operativo que se pretenda controlar.
Esa información constituye la ciencia operativa de cada área o departamento, y su ausencia o falta de concreción, ha originado en ocasiones el fracaso tecnológico de alguna empresa. No se deben hacer inversiones en herramientas diseñadas externamente, si no pueden ser controladas por los que conocen el negocio, porque nunca cumplirán con los objetivos que se esperan de ellas. Las herramientas tecnológicas han de estar al servicio de la organización, y no la organización al servicio de las herramientas.
Los factores de riesgo, una vez implementados en los filtros de control, generarán las alertas necesarias para mejorar la INFORMACIÓN KYC. Esta mejora será posible mediante las investigaciones que se hagan y que tendrán diversos enfoques operativos, como por ejemplo, la prevención del blanqueo de capitales, la prevención del fraude, el análisis de riesgos económicos, la política de marketing, la política de ventas, etc.
Cuando un área o departamento introduce o modifica los datos u operativa de un cliente, puede dar origen a una nueva alerta en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, o en la PLATAFORMA DE MONITOREO DE OPERACIONES que tendrá que ver con otro determinado grupo de factores de riesgo (blanqueo, fraude, solvencia, etc.). Esta nueva alerta llegará al área o departamento interesando, que pondrá en funcionamiento su protocolo de actuación, para verificar o contrastar la información recibida del cliente en atención al riesgo específico identificado.
El proceso, por tanto, sería el siguiente:
- Los departamentos de cumplimiento, en sus diversas especialidades, así como los departamentos de análisis de riesgos económicos, recuperaciones, marketing, ventas, etc., deberán seleccionar sus respectivos filtros de control o herramientas tecnológicas, en base a sus necesidades operativas, y definirán en los mismos sus factores de riesgo o estudio.
- Estos filtros de control, con sus factores de riesgo definidos, serán los que originen posteriormente las alertas que obliguen a una investigación especializada. (blanqueo, fraude, análisis de riesgos, etc.)
- Los resultados de estas investigaciones servirán para alimentar posteriormente la información existente en ambos REPOSITORIOS.
El trabajo de alimentación de los REPOSITORIOS, PASIVO Y ACTIVO, en base a los informes de investigación, no debería hacerse por el área o departamento afectados, sino por los analistas del Departamento de Prevención del Fraude, al ser éstos lo que deben controlar el cumplimiento dentro de la empresa, de las “medidas normales de diligencia debida”.
Se evita con este procedimiento lógico, que la información estratégica de los clientes esté difuminada entre diferentes áreas o departamentos, al mismo tiempo que se pone a disposición de toda la organización con el necesario control.
FUNCIONAMIENTO DEL MODELO EN LA PREVENCIÓN DEL BLANQUEO DE CAPITALES Y DE LA FINANCIACIÓN DEL TERRORISMO
Las alertas sobre blanqueo de capitales y/o financiación del terrorismo, procedentes de las PLATAFORMAS DE INFORMACIÓN KYC, tendrán que ver con las “medidas normales de diligencia debida, y por tanto, le llegarán al DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO.
La investigación, por tratarse de una materia aún no sujeta a las obligaciones de información del Capítulo III de la Ley 10/2010, podrá ser realizada por:
- El propio DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO que recibe la alerta, o en su caso, derivada por éste para que sea investigada.
- Por el “front office” específico que obtuvo los datos.
- Por el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, que usará su UNIDAD TÉCNICA DE ANÁLISIS si la tuviere, o
- Por una empresa externa especializada.
El resultado de la investigación pasará a formar parte de la información existente en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN o en la PLATAFORMA DE MONITOREO DE OPERACIONES, lo que mejorará la INFORMACIÓN KYC de toda la empresa.
LA EVALUACIÓN DE LOS FACTORES DE RIESGO
Cada área o departamento que quiera trabajar con el REPOSITORIO PASIVO ubicado en la PLATAFORMA TECNOLÓGICA DE IDENTIFICACIÓN, o con el REPOSITORIO ACTIVO ubicado en la PLATAFORMA DE MONITOREO DE OPERACIONES, tendrá que determinar previamente los factores de riesgo o estudio, atendiendo a la finalidad de su análisis.
Para cada área o departamento de la empresa hay un determinado RIESGO KYC, que tiene que ver con el CONOCIMIENTO PASIVO DE LOS CLIENTES, o con el ACTIVO, es decir, que afecta a lo que la empresa conoce de los clientes, o a la forma en que los clientes se comportan dentro de la organización.
Como esta ficha está dedicada a la prevención del blanqueo de capitales y de la financiación del terrorismo, voy a analizar cómo se definen los FACTORES DE RIESGO en esta materia, mediante un MODELO similar al que expuse en su día cuando traté el riesgo de fraude interno.
La metodología para este proceso se basa en el “Marco de Control” formulado por el informe COSO (Committee of Sponsoring Organizations – COSO – de la Treadway Commisión), versiones 1992 y 2004.
Si analizamos desde el punto de vista operativo, tanto las Directivas sobre prevención del blanqueo de capitales, como la Ley 10/2010, comprobaremos que están diseñadas bajo criterios COSO. Según estos criterios, la prevención del blanqueo constituye un proceso más dentro del CONTROL INTERNO de la empresa, en el que deberá estar involucrado todo el personal de la organización (Consejo de Administración, Dirección y resto del personal).
Como sucede con cualquier otra materia de control interno, para poder desarrollar el proceso de control del blanqueo de capitales y de la financiación del terrorismo, previamente la empresa deberá establecer un ENTORNO DE CONTROL (primer principio COSO), que no es más que implantar la cultura empresarial necesaria para la prevención en esta materia.
El primer elemento para esta cultura será la formación de los empleados exigida por el Artículo 29 de la Ley 10/2010, al que acompañarán los restantes elementos especificados en las medidas de control interno del Artículo 26. Todas estas medidas pasarán a formar parte de la filosofía de gestión de la empresa, y serán asumidas por el Consejo de Administración y por la Alta Dirección.
Según el Artículo 26, las medidas de control interno tendrán que sustanciarse por escrito y se aplicarán a través de las políticas y procedimientos adecuados en materia de, diligencia debida (objeto de esta ficha), información, conservación de documentos, control interno, evaluación y gestión de riesgos (objeto de esta ficha), garantía de cumplimiento de las disposiciones pertinentes y comunicación.
También obligarán a la aprobación por escrito y a la aplicación, de una política expresa de admisión de clientes, que lógicamente estará basada en la previa definición de los factores de riesgo que afectan a la “cartera de clientes” y a la “operativa de clientes”.
LA EVALUACIÓN DE LOS FACTORES DE RIESGO
La evaluación del riesgo de blanqueo y de financiación del terrorismo, respecto a los clientes y a los productos u operaciones, forma parte del segundo criterio COSO.
Esta evaluación, como las restantes evaluaciones de riesgo dentro de la empresa, ha de realizarse de forma continuada, con el fin de identificar a tiempo las potenciales amenazas y las debilidades que tiene la organización en esta materia. Se harán mediante la estructura operativa y el procedimiento establecidos por la Ley 10/2010.
En el Artículo 26, se especifica la estructura operativa que los sujetos obligados deben establecer, que constará de un órgano adecuado de control interno responsable de la aplicación de las políticas y procedimientos, que contará, en su caso, con representación de las distintas áreas de negocio, y que se reunirá levantando acta expresa de los acuerdos adoptados, con la periodicidad que se determine en el procedimiento de control interno. Igualmente tendrá que designarse un representante ante el SEPBLAC, que será responsable del cumplimiento de las obligaciones de información establecidas en la Ley 10/2010.
Dentro del sector financiero esta estructura se ha consolidado en la práctica mediante el:
- Órgano de Control Interno y Comunicación (OCIC), y el
- Departamento de Prevención del Blanqueo de Capitales, bajo el control del Representante ante el SEPBLAC.
El OCIC es una figura de gobierno corporativo, que ha de actuar como cabeza política de la prevención, y que tiene al Departamento de Prevención del Blanqueo como el instrumento operativo de ese gobierno corporativo.
Será por tanto el OCIC el que prepare a la Alta Dirección, que representa legalmente al sujeto obligado, las políticas y procedimientos adecuados en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía de cumplimiento de las disposiciones pertinentes y comunicación, así como la política expresa de admisión de clientes.
La Ley 10/2010 establece que el OCIC será una estructura transversal de cumplimiento en la que estarán representadas las direcciones generales con estructura vertical (producción, comercialización, etc.) que resulten afectadas por la norma.
La razón de que en esta estructura de gobierno corporativo estén los máximos directivos, radica en que no podrá establecerse el necesario entorno de control del blanqueo de capitales dentro de la empresa, si los directores generales que han de aplicar las NORMAS dentro de sus respectivas áreas de decisión, no comprenden su necesidad y tienen al mismo tiempo una visión trasversal de toda la actividad de cumplimiento.
Como los Miembros oficiales del OCIC tienen que atender fundamentalmente a su trabajo de gestión y producción, soy de la opinión que dentro de cada dirección general exista un RESPONSABLE DE CUMPLIMIENTO, o persona de confianza que estará integrada en su equipo directivo. El conjunto de los Responsables de Cumplimiento constituirá el OCIC DELEGADO, y que será el que trabaje de forma coordinada con el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO, esta materia específica.
El DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO, dirigido por el Responsable ante el SEPBLAC, es el órgano especializado que tiene que preparar la base argumental para las diferentes políticas que debe diseñar y aplicar el OCIC.
Este Departamento tendrá la ayuda del OCIC DELEGADO, que como he indicado, estará constituido por los profesionales de cumplimiento que trabajan dentro de los departamentos en los que han de aplicarse estas políticas, y que, por tanto, son lo que mejor pueden identificar dentro de sus respectivos departamentos, los potenciales factores de riesgo de blanqueo o de financiación del terrorismo, inherentes a las actividades de negocio.
Ciñéndonos a la definición de la política expresa de admisión de clientes, el MODELO tendría como objetivos:
- la formalización del cumplimiento de las obligaciones de diligencia debida
- la conservación de documentos, y
- la evaluación y gestión del riesgo de los clientes, para lo que será necesario determinar primero sus factores de riesgo.
Para la consecución del primer objetivo de los señalados arriba, el OCIC debería valorar la conveniencia de la centralización de toda la información de los clientes en un sólo REPOSITORIO, que estaría dentro de la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN.
En las fichas anteriores hemos analizado una forma óptima de cumplimiento de las dos primeras obligaciones normales de diligencia debida, (identificación formal, identificación del titular real). En ésta estamos analizando la forma de generar alertas para obtener la información necesaria sobre el propósito e índole de la relación de negocios. Para ello, resulta necesario establecer primero un filtro de control, puesto que esta obligación se basa en el riesgo, y posteriormente definir en el mismo los factores de riesgo capaces de producir alertas.
La cuarta obligación normal de diligencia debida, (el seguimiento continuo de la relación de negocios), servirá para controlar el funcionamiento de la PLATAFORMA DE MONITOREO DE OPERACIONES, y será objeto de estudio en una próxima ficha.
Formalizado el cumplimiento de las obligaciones de diligencia debida, así como la conservación de los documentos justificativos, tanto de la identificación formal como del propósito e índole de la relación de negocios, se pasaría a la evaluación y gestión del riesgo de los clientes, para lo que la empresa deberá determinar previamente sus FACTORES DE RIESGO, atendiendo a su política de riesgos.
Los FACTORES DE RIESGO que queden definidos para la cartera de clientes, la empresa los introduciría en el filtro tecnológico de control de la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, que trabajará con los datos del REPOSITORIO PASIVO produciendo alertas. De la misma forma, los FACTORES DE RIESGO que queden definidos para la operativa de clientes, serán introducidos en el filtro tecnológico de control de la PLATAFORMA DE MONITOREO DE OPERACIONES, para que trabaje con los datos del REPOSITORIO ACTIVO, produciendo alertas.
Con este trabajo, el OCIC tendría completada la evaluación y gestión del riesgo de los clientes, y pasaría a redactar en formato electrónico, la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, una parte de la cual será visible para toda la organización, y otra parte sólo para los órganos de dirección y control, y para las autoridades reguladoras.
En la materia de blanqueo, cada empresa trabaja con dos tipos de factores de riesgo, los que averigüe y pondere internamente a través del proceso de evaluación del riesgo, y los que le vienen impuestos externamente a través de las autoridades y organismos internacionales.
Algunas entidades se limitan a considerar como factores de riesgo sólo los que le vienen impuestos externamente, sin tener en cuenta que estos listados son simples históricos obtenidos del análisis internacional de casos de blanqueo de capitales o de financiación del terrorismo, por lo que su sola aplicación no constituye garantía de cumplimiento. No se debería olvidar que el blanqueo de capitales es un riesgo vivo y en continua evolución, que se va modificando a través de las características de los clientes que se van integrando en el sector financiero, y especialmente, por la creación de productos o por la autorización de nuevos tipos de operaciones, lo que obliga a un trabajo continuo de evaluación del riesgo.
Las evaluaciones continuas del riesgo de blanqueo permitirán crear, y posteriormente hacer evolucionar el MAPA GENERAL DE RIESGO DE BLANQUEO Y DE FINANCIACIÓN DEL TERRORISMO, que tendrá que ser trabajado por el Departamento de Prevención del Blanqueo, en colaboración con el OCIC DELEGADO.
El MAPA GENERAL, se irá construyendo con la integración de los MAPAS PARTICULARES que se vayan generando en cada área operativa de la empresa, bajo la coordinación del Representante de Cumplimiento, mediante un proceso de participación operativa del personal de cada área. Esta investigación resultará posible si se ofrece a los empleados la formación adecuada en materia de blanqueo, puesto que quienes mejor pueden avisar sobre los riesgos de blanqueo en las operaciones, son los que tienen estas mismas operaciones bajo su responsabilidad directa.
En cada una de las áreas, una vez identificados los riesgos propios de blanqueo, se hará, junto con el Departamento de Blanqueo de Capitales, :
- Una estimación de la importancia de cada riesgo identificado.
- Una evaluación de la probabilidad de que el riesgo se materialice dentro del departamento o área.
- Una definición de las medidas que deben ser adoptadas para la prevención y para la reacción, si el riesgo llegara a materializarse.
De este trabajo conjunto, una vez ponderado, se obtendrían los factores de riesgo identificados internamente, a los que habría que sumar los factores de riesgo aconsejados por los organismos nacionales e internacionales.
Habrá factores que tengan que ver con los clientes, y otros que afecten a las operaciones, por lo que los primeros se definirán en el filtro de control de blanqueo de la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, y los segundos en el filtro de control de blanqueo de la PLATAFORMA DE MONITOREO DE OPERACIONES.
Llegados a este punto, quiero hacer una reflexión acerca de la política de inversiones en tecnología. Sólo cuando la empresa conoce sus factores de riesgo, es cuando tiene la capacidad necesaria para poder construir y ensamblar tecnológicamente ambas PLATAFORMAS. Para ello podrá contratar, si conoce en profundidad sus necesidades, alguna de las soluciones tecnológicas que ya están comercializadas en el mercado, o podrá diseñar soluciones exclusivas en coordinación con sus informáticos, o podrá decidirse a utilizar herramientas tecnológicas externas, que permitan un uso independiente y una financiación compartida.
Referencia a algunos factores de riesgo aconsejados internacionalmente:
- Naturaleza del negocio del cliente.
- País en el que vive u opera el cliente.
- El volumen anticipado y/o valor de las transacciones del cliente.
- Tipo de cuenta o producto financiero solicitado por el cliente.
- Si el cliente es una persona con responsabilidad pública (PEP)
Estos riesgos son fundamentalmente bancarios y han surgido de las reflexiones del Grupo Wolfssberg, que reúne al sector bancario mundial, y del Grupo Edmont, compuesto por las Unidades de Inteligencia Financiera (UIF).
Cada uno de los factores de riesgo señalados tiene su propia complejidad.
En relación con la naturaleza del negocio del cliente existe una extensa literatura que tiene que ver con determinados tipos de negocios, y en la propia Ley aparecen algunos de ellos.
En relación con el país que vive u opera el cliente, cada cierto tiempo se publican listados de países de riesgo que deben ser tenidos en cuenta para segmentar a los clientes. Este es un procedimiento que ayuda a homogeneizar el tema en el ámbito internacional.
Los restantes factores de riesgo aconsejados internacionalmente, deben ser trabajados por cada sujeto obligado de forma interna, en base a su particular política de riesgos, con lo que establecerá su propia segmentación de clientes. (Volumen anticipado y/o valor de las transacciones del cliente, y tipo de cuenta o producto financiero solicitado por el cliente)
En relación con el control PEP, según la Ley 10/2010 estará basado en el riesgo, por lo que será la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN la que, cuando salte una alerta de riesgo, pondrá en funcionamiento de forma automática este control y por tanto, accederá a los listados PEP propios o contratados.
Tanto para los riesgos definidos internamente, como para los aconsejados en el ámbito internacional, las entidades deben establecer procedimientos objetivos, claros e inequívocos, que permitan orientar al personal sobre la forma en la que tienen que programarse los filtros de control para cada factor de riesgo identificado.
Referencia al programa correctivo de la información sobre clientes antiguos
Según la Ley 10/2010 en su Disposición transitoria séptima, la fecha límite para la remediación de la INFORMACIÓN KYC de la cartera de clientes anteriores a la aplicación de la Ley, será el 29 de abril de 2015.
Esta fecha no será problema para las empresas que tengan una cartera limitada de clientes, pero el proceso podría complicarse en aquellas empresas que tengan un número elevado de clientes antiguos.
La solución a este problema la aporta la propia Ley, al introducir en este control los factores de riesgo.
En las “medidas normales de diligencia debida”, la empresa trabajará de forma simultánea en dos procesos operativos:
- Con los nuevos clientes que se vayan incorporando, a los que aplicará las medidas de diligencia debida desde el inicio de la relación de negocios, y en base a los factores de riesgo definidos.
- Con los clientes antiguos, que ya estarán también integrados en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN.
Como en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN estarán incluidos los factores de riesgo en el filtro de control de blanqueo, la base histórica de clientes se segmentará automáticamente en el sistema, en base a los riesgos detectados.
A partir de ese momento hay que iniciar el trabajo de remediación de la información de los clientes antiguos, partiendo de los clientes de más riesgo a los de menos riesgo.
En este trabajo de remediación de la información, se debería comenzar solucionando los problemas derivados de la identificación formal.
En el proceso de remediación han de equilibrarse las amenazas reales, con los costes necesarios, y los trastornos que el programa puede causar al negocio o a los clientes.
Este equilibrio puede conseguirse mediante estos dos criterios:
- Criterio proactivo, que la empresa utilizará con aquellos clientes antiguos en los que se detecten factores de alto riesgo.
- Criterio reactivo, que la empresa utilizará para aquellos otros clientes en los que los factores detectados sean de bajo riesgo, y por tanto, se puede esperar a que sean los propios clientes los que inicien el proceso, abriendo una nueva cuenta, realizando una operación de riesgo, o iniciando un nuevo negocio.
En los clientes de alto riesgo, la empresa no ha de tener miedo en comunicarse con ellos para completar la INFORMACIÓN KYC, puesto que existen motivos de seguridad interna, que son superiores a las molestias que pudiera causar esta gestión a los clientes afectados.
El programa correctivo, además de su utilidad para el control AML, beneficiará a los procesos que pudieran hacerse con la cartera de clientes, como por ejemplo aquellos que pretenden alcanzar una mayor eficacia y diferenciación de las actividades de marketing y ventas, o aquellos otros que tratan de depurar la información eliminando duplicaciones y cuentas durmientes.
El proceso se irá desarrollando teniendo en cuenta el volumen de las cuentas de clientes a analizar, las prioridades por riesgo alto, y las limitaciones tecnológicas y de personal.
Con los clientes antiguos de mayor riesgo, un buen trabajo que podría hacer el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO sería la comprobación de su histórico de operaciones, por si fueran detectables operaciones sospechosas o inusuales que aconsejaran un EXAMEN ESPECIAL, adelantándose así a posibles situaciones de riesgo no previstas en su día, que serían comunicadas al SEPBLAC justificando la forma en que se han encontrado. Podrían conseguirse así el conocimiento de nuevas operaciones de riesgo.
LA INVESTIGACIÓN DEL PROPÓSITO E ÍNDOLE DE LA RELACIÓN DE NEGOCIOS
Cuando se produce una alerta de blanqueo en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, es porque la empresa ya la tiene programada con su particular política de riesgos, y por tanto se procederá a su resolución, o a la investigación del propósito e índole de la relación de negocios.
Según el Artículo 7. 1, párrafo segundo: “Los sujetos obligados deberán estar en condiciones de demostrar a las autoridades competentes que las medidas adoptadas tienen el alcance adecuado en vista del riesgo de blanqueo de capitales o de financiación del terrorismo mediante un previo análisis de riesgo que en todo caso deberá constar por escrito.”
Esta alerta habrá llegado al DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO DE CAPITALES, que será el que valore el factor de riesgo causante de la misma.
Los datos que habrán originado la alerta tendrán que ver con alguno de los siguientes procesos generados en el “front-office”:
- La obtención de información sobre el propósito e índole prevista de la relación de negocios.
- La obtención de información a fin de conocer la naturaleza de su actividad profesional y empresarial.
- La comprobación razonable de la veracidad de la información aportada por el cliente.
Valorando el interés operativo de la alerta y su gravedad, el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO decidirá lo siguiente:
- Remitir al Responsable de Cumplimiento del área o departamento que hubiera introducido los datos, la gestión precisa que debiera ser completada, o,
- Asumirá la investigación que deba hacerse a través de su Unidad Técnica, o,
- Remitirá la alerta al DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, o,
- Contratará la investigación a una empresa externa, si tiene capacidad para ello.
Ya he indicado que para algunas empresas podrá ser rentable montar en el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE una UNIDAD TÉCNICA DE ANÁLISIS, para las investigaciones que tienen que ver con las “medidas normales de diligencia debida”, reservando la UNIDAD TÉCNICA que se indica en el Artículo 26, sólo para las investigaciones que tienen que ver con el EXAMEN ESPECIAL del Artículo 17, porque si esta última UNIDAD TÉCNICA se dedicara también a las “medidas normales de diligencia debida” fácilmente podría quedar colapsada en breve tiempo.
También podría resultar de interés para este tipo de investigaciones, la contratación de empresas externas especializadas en base al Artículo 8 de la Ley 10/2010, con lo que la empresa reduciría los costes de mantener en el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, una UNIDAD TÉCNICA DE ANÁLISIS.
En cualquiera de los dos supuestos, las UNIDADES TECNICAS INTERNAS, o las EMPRESAS EXTERNAS ESPECIALIZADAS, deberán contar con analistas y con la tecnología adecuada para:
- Aplicar procedimientos de verificación de la actividad declarada por el cliente.
- Obtener información ajena al propio cliente sobre la actividad declarada
- Informar al DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO, de los documentos que guarden relación con la actividad declarada, para que sean solicitados al cliente a través del “front-office”, y poder seguir profundizando en la investigación.
CONSIDERACIONES FINALES
En las fichas anteriores expliqué la forma de verificar, por parte del “front-office” de la empresa, los documentos fehacientes de identificación, y de recabar los restantes documentos justificativos de la relación de negocios.
En esta ficha estoy estudiando la parte de INFORMACIÓN KYC que sirve para completar la INFORMACIÓN PASIVA de los clientes, a través del conocimiento del propósito e índole de la relación de negocios.
El conocimiento del cliente es algo más que los datos recabados para la apertura de una cuenta o para el establecimiento de un negocio, o la operativa adecuada para controlar el registro de sus operaciones.
El conocimiento del cliente obliga a la definición de una política de aceptación de los clientes, que ha de tener estas dos características:
- Establecimiento de un programa de DUE DILIGENCE que permita la segmentación de los clientes en función del riesgo.
- Establecimiento de mecanismos proactivos de monitorización de operaciones, que sean capaces de descubrir actividades sospechosas.
Es necesario hacer hincapié en que la calidad de estos datos resulta imprescindible para el cumplimiento de las obligaciones legales, pero también para el funcionamiento productivo y comercial de cualquier organización, y para el éxito de cualquier tecnología de verificación o de monitoreo que se quiera aplicar. Por ello resulta necesario establecer un MODELO de la forma en que puede organizarse operativamente esta información.
La INFORMACIÓN KYC tiene que ser tratada como una cuestión de negocio y no simplemente como una cuestión de cumplimiento, aunque el procedimiento que se utilice para mejorar su calidad sea el que se establece en la Ley 10/2010 para las medidas normales de diligencia debida.
Para el amejoramiento de la calidad, teniendo en cuenta la limitación de los recursos, la empresa tiene que basarse en criterios de riesgo. Sólo así podrá utilizar estos recursos limitados para encontrar las amenazas más graves que pueden afectar a la organización.
Resulta razonable utilizar el procedimiento AML para mejorar la calidad de la INFORMACIÓN KYC de toda la empresa, puesto que este procedimiento es más exigente que el que existe en otros procesos de cumplimiento, y adoptándolo, la empresa evita duplicaciones y concentra esfuerzos y recursos de una forma mucho más eficaz, al mismo tiempo que se preserva de graves riesgos económicos y reputacionales.
El enfoque basado en el riesgo no es una opción económica, puesto que exige elevadas inversiones en tecnología, la contratación de personal muy cualificado, y un buen sistema de formación de los empleados, por lo que resulta necesario rentabilizarlo.
Para un buen tratamiento de la INFORMACIÓN KYC, es aconsejable la centralización de toda la información KYC en un solo REPOSITORIO, que en este trabajo está diferenciado en sus dos partes, de INFORMACIÓN PASIVA y de INFORMACIÓN ACTIVA, que podrá ser explotado por toda la organización siempre que se respeten determinadas garantías de seguridad y confidencialidad.
Pero también resulta necesario conocer muy bien el funcionamiento de la empresa para saber establecer los perfiles de clientes y de operaciones que se consideran “normales”, para así saber diferenciar con rapidez los perfiles de riesgo y las operaciones sospechosas.
La calidad de la INFORMACIÓN KYC constituye una exigencia internacional, especialmente para el sector financiero, porque cuando una entidad perteneciente a este sector acepta a un cliente, le está abriendo las puertas para que pueda operar en el ámbito nacional e internacional. Es por ello por lo que resulta obligado que, especialmente la entidades financieras, identifiquen adecuadamente a sus clientes y conozcan el propósito e índole de la relación de los negocios que van a asumir con ellos, para preservar así el riesgo de blanqueo de capitales y de la financiación del terrorismo, y su propia reputación.
Algunos de estos factores de riesgo han sido impuestos por los organismos internacionales, aunque otros deberán ser obtenidos del análisis de la actividad operativa y del perfil de los clientes de la propia empresa. Para este trabajo de investigación interna, que debe ser realizado por el OCIC con la colaboración de DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO, puede ser de mucha utilidad un trabajo previo de homogeneización de factores, que podría realizarse dentro de los grupos que componen la COMISIÓN AML.
Fabián Zambrano Viedma
Responsable del Servicio de Información de los Sujetos Obligados (SISO)