Blog del SISO

Le doy la bienvenida al Blog del SISO, editado por el SERVICIO DE INFORMACIÓN DE LOS SUJETOS OBLIGADOS de ASNEF


C/ Velázquez, 64-66, 2ª planta

28001 Madrid

e-mail: asnef@asnef.com

Teléfono: 91.781.44.00

Fax: 91.431.46.48



lunes, 23 de abril de 2012

CUARTA MEDIDA: SEGUIMIENTO CONTINUO DE LA RELACIÓN DE NEGOCIOS





El seguimiento continuo de la relación de negocios, constituye la cuarta medida normal de diligencia debida, y está regulada en el Artículo 6 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y dice así:

“Los sujetos obligados aplicarán medidas de seguimiento continuo a la relación de negocios, incluido el escrutinio de las operaciones efectuadas a lo largo de dicha relación a fin de garantizar que coincidan con el conocimiento que tenga el sujeto obligado del cliente y de su perfil empresarial y de riesgo, incluido el origen de los fondos y garantizar que los documentos, datos e información de que se disponga estén actualizados.”


PLANTEAMIENTO OPERATIVO

Aunque las “medidas normales de diligencia debida” proceden de la legislación AML, para este planteamiento operativo partimos de la hipótesis convencionalmente aceptada, de que estos criterios son los que van a ser  utilizados dentro de la empresa para lograr la máxima calidad de la INFORMACIÓN KYC.

Dentro de las medidas normales de diligencia debida, el “seguimiento continuo de la relación de negocios” forma parte de CONOCIMIENTO ACTIVO DE CLIENTE; es decir, de cómo el cliente se comporta dentro de la empresa.

La INFORMACIÓN ACTIVA KYC la obtiene la empresa a través de la PLATAFORMA DE MONITOREO DE OPERACIONES,  que como sabemos, es una herramienta operativa compuesta por un REPOSITORIO CENTRALIZADO DE INFORMACIÓN ACTIVA, al que estarán conectadas diversas aplicaciones informáticas capaces de generar alertas,  para cada  área o departamento que pretenda trabajar con la INFORMACIÓN ACTIVA KYC.

A esas aplicaciones informáticas especializadas las definimos  en un trabajo anterior como FILTROS DE CONTROL. Cada Filtro de Control tendrá definidos sus FACTORES DE RIESGO o ESTUDIO específicos.


INFORMACIÓN KYC (PASIVA + ACTIVA):

La INFORMACIÓN KYC es el conocimiento que la empresa tiene de sus clientes a partir de los datos verificados que estos entregan para el establecimiento de la relación de negocios y  los que la empresa obtiene de los propios clientes y de fuentes internas y externas, en el  momento en que aparecen factores de riesgo. Y de los datos generados durante las transacciones operacionales de estos mismos clientes.

La calidad de la INFORMACIÓN KYC se obtiene:
  1. Aplicando un programa de DUE DILIGENCE que permita la segmentación de los clientes en función de los riesgos, para lo que la empresa tiene que definir previamente una política de aceptación y control de los clientes.
  2. Estableciendo  unos mecanismos proactivos de monitorización de operaciones, capaces de descubrir actividades sospechosas.
  3. Instaurando en la empresa un sistema de formación adecuado, que permita a su personal efectuar controles manuales en sus puestos de trabajo.


Aunque la FORMACIÓN resulta esencial para que los empleados puedan hacer el  seguimiento continuo de la relación de negocios, puesto que el seguimiento manual es casi más importante que el automático, en este trabajo me centraré  en la automatización tecnológica, dejando para otro momento  el tema específico de la FORMACIÓN, que será objeto de un monográfico posterior.


SEGUIMIENTO CONTINUO AUTOMATIZADO DE LA RELACIÓN DE NEGOCIOS

El seguimiento continuo de la relación de negocios se puede estudiar desde la POLÍTICA GLOBAL DE ACEPTACIÓN DE CLIENTES EN LA EMPRESA, en donde se han de tener en cuenta al mismo tiempo todos los riesgos, o desde la POLÍTICA ESPECÍFICA DE ACEPTACIÓN DE CLIENTES  para cada grupo de riesgos, ya sean éstos económicos, de cumplimiento, o reputacionales.

En este trabajo voy a dar unas pinceladas sobre la POLÍTICA GLOBAL, para seguidamente centrarme  en la parcela de cumplimiento relativa a  la prevención del blanqueo de capitales y de la financiación del terrorismo.


LA POLÍTICA GLOBAL DE ACEPTACIÓN DE CLIENTES

La política global de aceptación y control de los clientes ha de tener cuenta todos los riesgos de la empresa: económicos, reputacionales, y de cumplimiento legal o administrativo.

Su concreción operativa se realiza integrando en el sistema de control cada uno de los riesgos:
  • Los de cumplimiento de determinadas obligaciones legales, como el blanqueo de capitales, la prevención del fraude, Basilea II,  Banco de España, etc.
  • Y los que resultan de la valoración de los intereses económicos o políticos de la propia empresa, como son el  análisis de riesgos de solvencia, los  derivados  de los problemas de producción y ventas,  o los riesgos reputacionales, entre otros.

Cualquiera que sea la política global de aceptación de clientes, siempre resulta aconsejable trabajar con un REPOSITORIO CENTRALIZADO DE INFORMACIÓN (ACTIVA+PASIVA), al que la empresa irá acoplando los  filtros de control necesarios para cada uno de los enfoques o parcelas de interés.

El REPOSITORIO CENTRALIZADO DE INFORMACIÓN, en estos trabajos  divulgativos lo he dividido dos, por razones didácticas: El REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA, y el REPOSITORIO CENTRALIZADO DE INFORMACIÓN ACTIVA.

Cada uno de estos dos REPOSITORIOS CENTRALIZADOS DE INFORMACIÓN, acompañados de sus correspondientes FILTROS DE CONTROL, darían lugar a:
  • La PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, que fue objeto de un trabajo anterior.
  • La PLATAFORMA DE MONITOREO DE OPERACIONES, que será objeto especial de este trabajo.



EL REPOSITORIO CENTRALIZADO DE INFORMACIÓN

Con la centralización de la INFORMACIÓN KYC (Conoce a tu Cliente),  se evita que cada  área o departamento vaya por libre, y duplique de esta manera la información de los clientes en repositorios particulares e inconexos.

Los dos compartimentos o botes de información que componen el REPOSITORIO CENTRALIZADO DE INFORMACIÓN KYC, deberán estar  interconectados para que funcionen  de forma coordinada.
  1. El REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA (BOTE UNO), contendrá  los datos relativos a la identificación formal, identificación del titular real y el conocimiento que tiene la empresa sobre el propósito e índole de la relación de negocios.
  2. El REPOSITORIO CENTRALIZADO DE INFORMACIÓN ACTIVA (BOTE DOS), contendrá los datos de las operaciones de los clientes, relacionadas con los negocios, productos y operaciones previamente contratadas.

Cada área o departamento de la empresa operará en ambos REPOSITORIOS  con sus  herramientas especializadas (FILTROS DE CONTROL), que producirán alertas, y éstas, a su vez generarán investigaciones especializadas que mejorarán progresivamente la INFORMACIÓN KYC.

La INFORMACIÓN PASIVA la obtiene la empresa a través del  “front office”, que es el  que está en relación directa con los clientes,
  1. Verificando  la identidad de los mismos para evitar el fraude en la identificación.
  2. Obteniendo los documentos justificativos de su solvencia.
  3. Obteniendo los datos sobre el propósito e índole de la relación de negocios que los clientes pretenden establecer con la empresa, vg.: solicitudes y contratos.
  4. Ampliando aquella información que les pueda ser solicitada por las áreas o departamentos en los que se originen alertas, para lo que contactarán con los clientes afectados.

La INFORMACIÓN ACTIVA la obtiene la empresa a través de los movimientos transaccionales de los clientes en las plataformas tecnológicas existentes para esta finalidad, ya estén operadas por ellos mismos o por el “front office” de la empresa.


LA PLATAFORMA TECNOLÓGICA CENTRALIZADA DE INFORMACIÓN KYC

Entendemos como PLATAFORMA TECNOLÓGICA CENTRALIZADA DE INFORMACIÓN KYC, al REPOSITORIO CENTRALIZADO DE INFORMACIÓN KYC + los FILTROS DE CONTROL.

Puesto que trabajamos con dos botes o compartimentos de información dentro del REPOSITORIO DE INFORMACIÓN CENTRALIZADA KYC, la PLATAFORMA TECNOLÓGICA CENTRALIZADA KYC, por razones didácticas podría ser analizada  en dos partes:
  • Una PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, que estará formada por el REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA + LOS FILTROS DE CONTROL PARA LA INFORMACIÓN PASIVA.
  • Una PLATAFORMA DE MONITOREO DE OPERACIONES, que estará formada por el REPOSITORIO CENTRALIZADO DE INFORMACIÓN ACTIVA + LOS FILTROS DE CONTROL PARA LA INFORMACIÓN ACTIVA.


Los FILTROS DE CONTROL  son herramientas tecnológicas creadas por la empresa,  o compradas en el mercado,  o contratadas externamente, que permiten  obtener  de forma automática determinadas alertas sobre la INFORMACIÓN KYC. Cada tipo de alerta  tendrá que ver con el trabajo especializado de las áreas de negocio y/o los departamentos de los que dependen los correspondientes filtros de control.

Normalmente los FILTROS DE CONTROL trabajan de forma simultánea con ambos REPOSITORIOS, por lo que formarán parte al mismo tiempo, de la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN y de la PLATAFORMA DE MONITOREO DE OPERACIONES.


EJEMPLO EXPLICATICO DEL FUNCIONAMIENTO DE LA PLATAFORMA TECNOLÓGICA CENTRALIZADA DE INFORMACIÓN KYC

Analicemos el siguiente ejemplo, en el que se verán afectadas simultáneamente tres áreas o departamentos, a partir de la información cedida al REPOSITORIO KYC por el “front office” a través de la PLATAFORMA DE CONTRATACIÓN.

Si tenemos en cuenta que la calidad de la información de los clientes debe basarse en las medidas normales de diligencia debida establecidas en la Ley 10/2010, el REPOSITORIO CENTRALIZADO DE INFORMACIÓN  deberá estar dotado de un primer filtro de control, que tiene que ver con la seguridad de la identificación formal, y que será manual y/o tecnológico.

Tras la identificación formal el SISTEMA pasará el filtro de  sanciones, imprescindible para poder operar con los clientes.

Estos dos filtros preliminares permitirán la entrada de la información de clientes al REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA, donde de forma automática  será  tratada con los siguientes FILTROS DE CONTROL especializados:
  1. El filtro del departamento de análisis de riesgos económicos, que es un programa de “scoring”, y que será el que determine si la operación está conforme con los riesgos económicos que está dispuesta a asumir la empresa, en relación con el propósito e índole de la relación de negocios que quiere establecer el cliente.
  2. El filtro del departamento de prevención del fraude,  que será el que determine  si el cliente o la operación superan los factores de riesgo de fraude previamente definidos en la plataforma tecnológica especializada que constituye el filtro.
  3. El filtro del departamento de prevención del blanqueo, que será otra plataforma tecnológica especializada, que segmentará a los clientes según los factores de riesgo previamente definidos en base a la política de riesgos de blanqueo de la empresa.


Cualquiera de los tres filtros del REPOSITORIO puede producir alertas que serán derivadas a los departamentos especializados para su investigación. Los resultados de estas investigaciones se cederán al REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA para la mejora de la calidad de los datos.

Una vez que la empresa tiene en su REPOSITORIO  la INFORMACIÓN PASIVA KYC, autorizará al cliente a operar con los productos que tiene contratados, controlando este movimiento a través de la PLATAFORMA DE MONITOREO DE OPERACIONES.

En la PLATAFORMA DE MONITOREO DE OPERACIONES funcionarán de forma automática los siguientes filtros de control:
  1. El filtro específico de monitoreo de operaciones correspondiente al  departamento de análisis de riesgos, que tendrá definidos aquellos factores de riesgo relacionados con la solvencia, alertando sobre nuevas operaciones que superen el límite de la capacidad financiera del cliente o lo modifiquen. Para ello, este filtro de control o plataforma tecnológica irá analizando la capacidad de solvencia del cliente, mediante información interna y aquella otra información externa que sea accesible para la empresa, como por ejemplo, información positiva, información negativa, Cirbe, etc.
  2. El filtro de monitoreo de operaciones del departamento de prevención del fraude, que confrontará cada nueva operación del cliente con los datos ACTIVOS y PASIVOS existentes en los repositorios centralizados, para así actualizarlos con la nueva información, y confrontarlos con los de fraude existentes en el propio FILTRO o plataforma tecnológica especializada.
  3. El filtro de monitoreo de operaciones del departamento de prevención del blanqueo de capitales, que confrontará cada operación en base a los factores de riesgo de blanqueo y de financiación del terrorismo previamente definidos en el filtro o plataforma tecnológica especializada. Las alertas en este caso se producirán cuando la PLATAFORMA AML detecte desviaciones graves de los datos que conforman el perfil de los clientes o la naturaleza de las empresas, o cuando los clientes contratan productos de riesgo AML u operan de forma arriesgada en cuanto al destino u origen de los fondos que mueven, o cuando sin causa justificada modifican  el volumen y/o valor de las operaciones.   



CONCRECIÓN DEL MODELO EN LA PREVENCIÓN DEL BLANQUEO DE CAPITALES

Según el Artículo 6 de la Ley 10/2010, el “seguimiento continuo de la relación de negocios”, consiste en el escrutinio de las operaciones efectuadas por cada cliente a lo largo de su relación de negocios para:
  1. Garantizar que coinciden con el conocimiento que se tiene de su perfil personal, empresarial y de riesgo.  Este objetivo se consigue interrelacionando operativamente la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN y la PLATAFORMA DE MONITOREO DE OPERACIONES, mediante el FILTRO DE CONTROL AML del que hablaremos posteriormente,
  2. Conocer el origen de los fondos.  Este objetivo se consigue con las investigaciones derivadas de las alertas generadas por el FILTRO DE CONTROL AML en la  PLATAFORMA DE MONITOREO DE OPERACIONES.
  3. Garantizar que los documentos, datos e información pasiva estén actualizados.  Este objetivo se consigue resolviendo las incongruencias detectadas por el FILTRO DE CONTROL AML, tras contrastar automáticamente la información existente en el REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA, con la generada con el monitoreo de operaciones.


EL REPOSITORIO CENTRALIZADO DE INFORMACIÓN (pasiva + activa) Y LA PREVENCIÓN DEL BLANQUEO

Las medidas normales de diligencia debida establecidas en la Ley 10/2010, permitirán a la empresa crear para cada cliente un perfil personal, empresarial y de riesgo, que quedará  archivado en el REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA, y que contendrá los siguientes datos:
  1. Los de la identificación formal que aparecen en los documentos fehacientes de identificación que el cliente ha utilizado en el momento de establecer las relaciones de negocio con la empresa. Una copia de los mismos estará archivada en soporte óptico, magnético o electrónico en cumplimiento del Artículo 25 de la Ley 10/2010.
  2. La justificación documental de que el cliente, en la fecha de su aceptación, no estaba en las listas de sanciones.
  3. Aquellos datos y justificantes documentales que el cliente haya utilizado para informar a la empresa sobre  el propósito e índole de su relación de negocios, vg.: Solicitudes,  contratos, y justificantes documentales.
  4. Aquellas ampliaciones de información obtenidas por la empresa, tras la aparición de alguna situación de riesgo.

Las distintas operaciones efectuadas por el cliente  se archivarán en el REPOSITORIO CENTRALIZADO DE INFORMACIÓN ACTIVA.


EL FILTRO DE CONTROL AML:
  1. Justificación legal de la necesidad de tecnificación AML
  2. Comentarios sobre la justificación legal de esta necesidad


1.- JUSTIFICACIÓN LEGAL DE LA NECESIDAD DE TECNIFICACIÓN AML

Para el ejercicio de sus funciones, el Representante ante el Servicio Ejecutivo de la Comisión y el órgano de control interno deberán contar con los recursos materiales, humanos y técnicos necesarios. (Artículo 26.2, parágrafo 3, de la Ley 10/2010).

Al establecer las medidas de control interno a que se refiere el Artículo 26, los sujetos obligados concretarán el modo en que se dará cumplimiento a este deber de examen especial, que incluirá la elaboración y difusión entre sus directivos, empleados y agentes de una relación de operaciones susceptibles de estar relacionadas con el blanqueo de capitales o la financiación del terrorismo, la periódica revisión de tal relación y la utilización de aplicaciones informáticas apropiadas, teniendo en cuenta el tipo de operaciones, sector de negocio, ámbito geográfico y volumen de la información. (Artículo 17, parágrafo 2)

La comunicación por indicio se efectuará por los sujetos obligados en el soporte y con el formato que determine el Servicio Ejecutivo de la Comisión. (Artículo 18.3)

La comunicación sistemática de operaciones se efectuará por los sujetos obligados en el soporte y con el formato que determine el Servicio Ejecutivo de la Comisión. (Artículo 20.2)

Los sujetos obligados establecerán, en el marco de las medidas de control interno a que se refiere el artículo 26, sistemas que les permitan responder de forma completa y diligente a las solicitudes de información que les curse la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, sus órganos de apoyo u otras autoridades legales competentes sobre si mantienen o han mantenido a lo largo de los diez años anteriores relaciones de negocios con determinadas personas físicas o jurídicas y sobre la naturaleza de dichas relaciones. (Artículo 21.2)

Los sujetos obligados, con las excepciones que se determinen reglamentariamente, almacenarán las copias de los documentos de identificación a que se refiere el artículo 3.2 en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.

En todo caso, el sistema de archivo de los sujetos obligados deberá asegurar la adecuada gestión y disponibilidad de la documentación, tanto a efectos de control interno, como de atención en tiempo y forma a los requerimientos de las Autoridades. (Artículo 25.2)

La información obtenida como resultado de la obligación de declaración deberá remitirse al Servicio Ejecutivo de la Comisión mediante la utilización de medios electrónicos, informáticos o telemáticos con uso del soporte informático normalizado que determine el Servicio Ejecutivo de la Comisión. (Artículo 36, parágrafo 1)

Constituye infracción grave, el incumplimiento de la obligación de dotar al representante ante el Servicio Ejecutivo de la Comisión y al órgano de control interno de los recursos materiales, humanos y técnicos necesarios para el ejercicio de sus funciones. (Artículo 52, letra o)


2.- COMENTARIOS A ESTA JUSTIFICACIÓN LEGAL

Para el debido cumplimiento de la Ley 10/2010, se establece en varios de sus artículos la necesidad de contar con herramientas tecnológicas, teniendo en cuenta el tipo de operaciones, el sector de negocio, el ámbito geográfico y el volumen de información que se tiene que manejar, pudiendo constituir una infracción grave el hecho de que la “empresa-sujeto obligado”, no se dote internamente de los recursos técnicos necesarios para esta finalidad.

Para determinar este mínimo tecnológico podría ser de utilidad que cada sector de actividad intercambiase información  a través de la Comisión AML, teniendo en cuenta el tipo de operaciones de riesgo que debe afrontar, el ámbito geográfico de su actividad, y el volumen de información que debe manejar.

En cualquier caso, la mayor parte de los sujetos obligados necesitarán utilizar alguna herramienta tecnológica generalista o especializada, por mínima que sea,  para poder cumplir con la Ley.

Aquellas empresas que comenzaron primero en la prevención AML, como son las bancarias, están constatando año a año un incremento en sus costes en tecnificación AML, hasta que se completen los sistemas.

Por esta razón, creo que los costes AML deben ser rentabilizados convenientemente por las empresas desde el inicio de la tecnificación, puesto que muchas de las herramientas utilizadas sirven también para mejorar la información sobre clientes, y por tanto inciden en la mejora de la productividad de las empresas.

En relación con la distribución de los costes, resulta  conveniente saber diferenciar aquellos que corresponden específicamente al OCIC y al Departamento de Prevención del Blanqueo, de los que deben repercutirse entre toda la empresa, porque intervienen en la mejora de la calidad de la cartera de clientes, aunque esta mejora sea consecuencia de la legislación AML.

Gran parte de los costes tecnológicos referidos al cumplimiento de la DILIGENCIA DEBIDA (Capítulo II de la Ley 10/2010), corresponden al funcionamiento general de la empresa, puesto que tienen como objeto mejorar la calidad de la cartera de clientes y el control de las operaciones que efectúan esos mismos clientes.

En el  MODELO AML  sobre el que estamos trabajando, la construcción de los REPOSITORIOS DE INFORMACIÓN KYC, debe ser también considerada como un coste general de la empresa.

Entre los FILTROS DE CONTROL habrá que diferenciar  aquellos que trabajan para la calidad de la INFORMACIÓN KYC, de aquellos otros que trabajan para un área o departamento específicos. Los costes de los primeros deben repercutirse entre toda la empresa, y los de los segundos los asumirá el área o departamento que trabaja la INFORMACIÓN KYC mediante su respectiva herramienta tecnológica.

Bajo este criterio, si nos centramos en el área de prevención del blanqueo de capitales el resultado sería el siguiente:
  • Los costes de los FILTROS DE CONTROL que permiten la identificación formal de los clientes y el acceso a listas,  de sanciones o PRP,  deberían repercutirse entre toda la empresa, puesto que estos datos complementan la INFORMACIÓN KYC.
  • Los costes de los FILTROS DE CONTROL que tienen que ver con la segmentación de los clientes en grupos de riesgo AML, o con el monitoreo de las operaciones para que produzcan alertas AML, deberán repercutirse al Departamento de Prevención del Blanqueo.



EL MONITOREO DE OPERACIONES Y LA SUPERVISIÓN, EN LA PREVENCIÓN DEL BLANQUEO

El monitoreo de actividades, junto con la supervisión, constituyen el quinto elemento de control interno especificado en el informe COSO, que ya analizamos en las fichas relativas al FRAUDE INTERNO.

Según he indicado en trabajos anteriores, los  criterios COSO imbuyen el contenido de las Directivas y de la propia Ley 10/2010, por lo que esta materia es una más dentro del control interno.

En la prevención del blanqueo de capitales y la financiación del terrorismo, la responsabilidad del monitoreo de actividades recae directamente en el Departamento de Prevención del Blanqueo, pero la supervisión tendría dos responsables, Auditoría Interna por las razones que seguidamente expondré, y el EXPERTO EXTERNO en la parte de supervisión explicitada en el  Artículo 28 de la Ley 10/2010.

La Auditoría interna, bajo mi criterio, ha de tener a su cargo la supervisión general del funcionamiento de la estructura anti-blanqueo de la empresa, mientras que el EXAMINADOR EXTERNO exigido por el Artículo 28, sólo tendrá a su cargo la supervisión de que las medidas de control interno sean conformes con las disposiciones legales.

El Departamento de Prevención del Blanqueo tendrá a su cargo el FILTRO DE CONTROL AML. Esta plataforma tecnológica  será la que establezca la segmentación de  los clientes en base a los factores de riesgo AML previamente definidos por la empresa, y monitoreará las operaciones de los clientes para confrontarlas con los perfiles de riesgo de operaciones y clientes.


PASOS ORGANIZATIVOS PARA LA TECNIFICACIÓN AML

Paso primero:

Creación de la PLATAFORMA TECNOLÓGICA PARA ASEGURAR LA IDENTIFICACIÓN FORMAL

Según hemos estudiado en fichas anteriores, el primer filtro AML lo constituye la identificación formal de los clientes y de aquellos otros que solicitan establecer con la empresa relaciones de negocio, lo que se consigue a través de la VERIFICACIÓN DE LA IDENTIDAD a partir de documentos fehacientes.

En muchos casos esta VERIFICACIÓN DE LA IDENTIDAD la podrá hacer el “front office” de la empresa mediante un buen programa formativo, al que se debe acompañar con unas mínimas herramientas de verificación de las características de seguridad de los documentos identificativos.

Pero en otros casos en los que la empresa no tiene  la presencia directa del cliente o del solicitante de la relación de negocio, resultará conveniente establecer alguna plataforma tecnológica que permita a la empresa efectuar a distancia esa VERIFICACIÓN DE LA IDENTIDAD.

Como ejemplo de esta tecnología, está la PLATAFORMA ID-CONFIRMA desarrollada por la Asociación a través de la empresa Soluciones Confirma Asnef-Signe, S.L.

Paso segundo:

El OCIC tiene que involucrar a toda la empresa en la responsabilidad de la prevención y detección del blanqueo de capitales y la financiación del terrorismo.

Para ello establecerá  dentro de la empresa el adecuado ENTORNO o AMBIENTE  de control AML, que conseguirá poniendo en práctica las medidas de control interno establecidas en el Capítulo IV de la Ley 10/2010.

Este ambiente de control tendrá su anclaje documental en las políticas y procedimientos adecuados en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía del cumplimiento de las disposiciones pertinentes y comunicación, y en la política expresa de admisión de clientes, establecidas en el Artículo 26 y que deberán constar por escrito.

Paso tercero:

Sobre la base de estas políticas, el OCIC, auxiliado por el Departamento de Prevención del Blanqueo, iniciará un proceso de evaluación de los riesgos AML, con el objetivo de confeccionar el MAPA GENERAL DE RIESGOS AML, tal como analizamos en la ficha anterior.

Paso cuarto:

Una vez establecido el MAPA GENERAL DE RIESGOS AML, que estará constituido por los factores de riesgo operacional identificados internamente en cada departamento o área de negocios, y los factores de riesgo aconsejados por los organismos nacionales e internacionales, el OCIC, auxiliado por el Departamento de Prevención del Blanqueo, procederán al diseño e implementación dentro de cada área o departamento afectados,  de aquellas actividades de control anti-blanqueo que se consideren adecuadas, y  que podrán ser tanto organizativas como tecnológicas. Una de las actividades más importantes a diseñar e implementar por el OCIC tendrá que ver con la FORMACIÓN del Artículo 29.

Los factores de riesgo AML son los datos imprescindibles para poder definir la automatización tecnológica AML

Paso quinto:

Creación de la PLATAFORMA DE COMUNICACIÓN E INFORMACIÓN

Simultáneamente al PASO TERCERO, la empresa ha de poner en funcionamiento un sistema tecnológico que permita la COMUNICACIÓN de los directivos y empleados con el OCIC y con el Departamento de Prevención del Blanqueo,  para hacerles llegar  las operaciones de que tuvieran conocimiento estos directivos y empleados, y respecto de las cuales estimasen que concurren indicios o certeza de estar relacionadas con el blanqueo de capitales o con la financiación del terrorismo. Este canal podría servir también para que el Departamento de Prevención del Blanqueo pueda informar a los directivos y empleados del curso dado a sus comunicaciones, según se establece en el Artículo 18. 4 de la Ley 10/2010.

Igualmente  este canal de COMUNICACIÓN podría tener instaurados los mecanismos de confidencialidad necesarios para permitir hacer llegar a la Alta Dirección, las informaciones  anónimas de directivos y empleados sobre incumplimientos relativos a las  políticas AML, y especialmente la política expresa de admisión de clientes, establecidas en base al Artículo 26.

La PLATADORMA TECNOLÓGICA, además de servir  para la COMUNICACIÓN, podría utilizarse también como PLATAFROMA DE INFORMACIÓN sobre las políticas de transparencia de la empresa, y podría ser utilizada por el OCIC y el Departamento de Prevención del Blanqueo como canal de INFORMACIÓN AML de directivos y empleados.

El canal de INFORMACIÓN Y COMUNICACIÓN estará dotado de las  medidas necesarias que permitan mantener la confidencialidad sobre la identidad de los empleados, directivos o agentes que realicen las comunicaciones a los órganos de control interno, tal como se establece en el Artículo 30 de la Ley 10/2010.

Podría ser la misma herramienta tecnológica que se utiliza para esta misma finalidad en el control del FRAUDE INTERNO, siempre que permita discriminar en el envío de las comunicaciones, y que cumpla con las garantías de confidencialidad y seguridad.

Paso sexto:

DISEÑO Y PUESTA EN FUNCIONAMIENTO DEL FILTRO DE CONTROL AML

Ya he indicado anteriormente, que el  Departamento de Prevención del Blanqueo tendrá  a su cargo el FILTRO DE CONTROL AML, o plataforma tecnológica  especializada en la segmentación de  los clientes.

Esta segmentación se llevaría a cabo a partir de los factores de riesgo AML previamente definidos en base a la política de riesgos.

Seguidamente voy a esquematizar los elementos básicos que debe contener esta PLATAFORMA TECNOLÓGICA, que podrá ser diseñada por la empresa, comprada en el mercado, o contratada externamente a una empresa especializada en prevención del blanqueo de capitales, para su uso mediante la fórmula “outsourcing” o subcontratación.

Atendiendo a las dificultades del tipo de operaciones, del sector de negocio, del ámbito geográfico y del volumen de información que se tiene que manejar, cada empresa decidirá la mayor o menor complejidad de esta herramienta.

Normalmente estas herramientas se ofrecen en el mercado mediante una estructura modular, por lo que las entidades pueden adquirir o contratar la totalidad o alguno de los módulos, teniendo en cuenta sus necesidades y su compatibilidad con otras herramientas internas ya existentes.

MÓDULOS:
  • CONSULTA A LISTAS
  • ESTRATIFICACIÓN DE CLIENTES Y OPERACIONES
  • MONITORIZACIÓN DE OPERACIONES
  • COMUNICACIÓN DE OPERACIONES
  • GESTIÓN Y CUSTODIA DE EXPEDIENTES DE INVESTIGACIÓN



MODULO DE CONSULTA A LISTAS

Este módulo será un aplicativo que facilite y automatice las consultas a las Listas de Sancionados y Listas PRPs,  las primeras necesarias para validar los datos de identificación frente a la obligación de abstención de ejecución del Artículo 19 de la Ley 10/2010, y las segundas por la obligación de imponer medidas reforzadas de diligencia debida a las personas con responsabilidad pública del Artículo 14.

El módulo ha de contener algún  software de normalización que permita optimizar y acotar las búsquedas para reducir de forma significativa la detección de falsos positivos.

Permitirá incorporar el resultado de la consulta al EXPEDIENTE DE IDENTIFICACIÓN que contiene, dentro del REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA,  toda la información electrónica-documental relativa al procedimiento de identificación de los clientes.

Este MÓDULO deberá también permitir de forma periódica el filtrado del REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA por las listas de sanciones.

En el mercado existe una gran oferta de este MÓDULO,  a través de empresas especializadas en prevención AML o de consultoras.

La Asociación también tiene este módulo comercializado a través de la empresa Soluciones Confirma Asnef-Signe, S.L.


MÓDULO DE ESTRATIFICACIÓN DE CLIENTES Y OPERACIONES

Este MÓDULO es un aplicativo que permite la clasificación automática de los clientes y operaciones  en base a los factores de riesgo AML, por lo que en el mismo se han de poder definir:
  • Las políticas de admisión de clientes, o descripción de los tipos de clientes que podrían presentar un riesgo superior al riesgo promedio, en función de los factores que determine el sujeto obligado de acuerdo con los estándares internacionales aplicables a cada caso.
  • El MAPA GENERAL DE RIESGO AML, previamente definido para cada tipo de operaciones  y volumen de actividad que pueden ser contratadas por los clientes en la empresa.


Este módulo permitirá estratificar a los clientes en función del riesgo, dentro del REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA, en clientes de riesgo alto, medio y bajo, lo que dará lugar a determinadas alertas que obligarán a:
  • La aplicación de MEDIDAS REFORZADAS DE DILIGENCIA DEBIDA, a los clientes clasificados como de riesgo alto, además de las MEDIDAS NORMALES DE DILIGENCIA DEBIDA.
  • La aplicación sólo de las MEDIDAS NORMALES DE DILIGENCIA DEBIDA, a los clientes de riesgo medio.
  • La aplicación de las MEDIDAS SIMPLIFICADAS DE DILIGENCIA DEBIDA, a los clientes de riesgo bajo.


Con este MÓDULO se controla la DILIGENCIA DEBIDA, (DUE DILIGENCE), sobre la INFORMACIÓN PASIVA KYC.

Cada sujeto obligado, en base a su sector de actividad, tendrá sus propios factores de riesgo de clientes y operaciones, aunque la propia Ley 10/2010 ya establece algunos sectores de actividad como de alto riesgo, como sucede con la banca privada, los servicios de envío de dinero, y las operaciones de cambio de moneda.

Igualmente la Ley considera como de alto riesgo,
  • Las relaciones de negocio y operaciones no presenciales.
  • La corresponsalía bancaria transfronteriza. 
  • Las Personas con Responsabilidad Pública.


También la Ley 10/2010, autoriza a los sujetos obligados a no aplicar determinadas medidas normales de diligencia debida a aquellos clientes y operaciones que sean considerados de riesgo bajo por la empresa. En el Artículo 9 se relacionan algunos clientes a los que se les puede aplicar medidas simplificadas de diligencia debida, y en el Artículo 10, algunos productos y operaciones a los que también se les puede aplicar medidas simplificadas de diligencia debida.

En las aplicaciones informáticas más avanzadas que se comercializan en el Mercado, este MÓDULO funciona de forma conjunta con el siguiente MÓDULO DE MONITORIZACIÓN DE OPERACIONES.


MÓDULO DE MONITORIZACIÓN DE OPERACIONES

Es un aplicativo cuya función principal es la de rastrear y detectar actividades sospechosas de blanqueo de capitales y de financiación del terrorismo dentro de las operaciones que realizan los clientes, y de confrontar el funcionamiento operacional con el perfil de riesgo de los clientes, generando las correspondientes alertas.

Con este MÓDULO se controla la DILIGENCIA DEBIDA, (DUE DILIGENCE), sobre la INFORMACIÓN ACTIVA KYC.

El MÓDULO DE ESTRATIFICACIÓN y el MÓDULO DE MONITORIZACIÓN constituyen el núcleo central del FILTRO DE CONTROL AML, y por tanto, la PLATAFORMA TECNOLÓGICA más costosa de crear y mantener.

El MÓDULO DE MONITORIZACIÓN DE OPERACIONES funciona en base a sus propios factores de riesgo operacional, pero al confrontar esta información con el perfil de los clientes, puede modificar la estratificación de los mismos, convirtiendo a clientes de riesgo normal y de bajo riesgo, en clientes de alto riesgo,  a los que se le aplicarían de forma automática las MEDIDAS REFORZADAS DE DILIGENCIA DEBIDA.

Estos dos módulos conforman la plataforma tecnológica más robusta y cara de la tecnificación AML. Las grandes empresas financieras suelen tener diseñadas sus propias herramientas para esta finalidad, o han comprado las soluciones que ya existen en el mercado directamente de las empresas tecnológicas nacionales o extranjeras que las comercializan en España.

Nuestra empresa tecnológica Soluciones Confirma Asnef-Signe S.L., podría poner a disposición de distintos sectores de actividad PLATAFORMAS TECNOLÓGICAS con estos dos módulos, que podrían ser utilizadas de forma independiente mediante la fórmula “outsourcing” o subcontratación por los sujetos obligados correspondiente a cada uno de los sectores, siempre que hubiese un grupo suficiente de empresas, medias o pequeñas, que quisieran ser usuarias de las mismas, permitiendo así la rentabilización de estos servicios.

Estas plataformas tecnológicas sectorizadas, y adaptadas a las características AML de cada sector de actividad que estuviera interesado, se basarían en la solución SIOPEIA AML de la empresa española y multinacional AIA, que está especializada en prevención del blanqueo de capitales. Las herramientas AML de esta empresa son utilizadas por una parte importante del sector financiero español.         


MÓDULO DE COMUNICACIÓN DE OPERACIONES

Ya vimos al analizar la justificación legal de la necesidad de tecnificación AML que:

La comunicación por indicio se efectuará por los sujetos obligados en el soporte y con el formato que determine el Servicio Ejecutivo de la Comisión. (Artículo 18.3)

La comunicación sistemática de operaciones se efectuará por los sujetos obligados en el soporte y con el formato que determine el Servicio Ejecutivo de la Comisión. (Artículo 20.2)

Para facilitar estas comunicaciones, el SEPBLAC construyó en su día unas plataformas tecnológicas que determinaban el soporte y el formato de la COMUNICACIÓN POR INDICIO del Artículo 18, y de la COMUNICACIÓN SISTEMÁTICA, del Artículo 20, que actualmente están en período de revisión y modernización por parte de este Órgano de Apoyo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.

Estas aplicaciones se denominan respectivamente CTL y DMO, y algunos sujetos obligados las utilizan directamente, pero otros las tienen integradas en un MÓDULO DE COMUNICACIÓN DE OPERACIONES propio, que opera de forma automatizada con los FILTROS DE CONTROL AML y con las herramientas tecnológicas que facilitan el EXAMEN ESPECIAL del Artículo 17.


MÓDULO DE GESTIÓN Y CUSTODIA DE EXPEDIENTES DE INVESTIGACIÓN

Hemos visto que en el FILTRO DE CONTROL AML, los tres primeros MÓDULOS generaban alertas de forma automatizada, que eran enviadas al Departamento de Prevención del Blanqueo para su información o análisis.
  • Aquellas alertas que simplemente afectan a los perfiles de riesgo de los clientes se denominan ALERTAS DE INFORMACIÓN, con el resultado automático en la PLATAFORMA, de la modificación de la estratificación de los clientes en  base a los nuevos perfiles de riesgo detectados,  y la consiguiente modificación automática de las MEDIDAS DE DILIGENCIA DEBIDA  para cada uno de los nuevos perfiles de riesgo modificados.
  • El resto de las alertas se denominan ALERTAS DE ANÁLISIS, y obligan al Departamento de Prevención del Blanqueo al EXAMEN ESPECIAL del Artículo 17.



Todo EXAMEN ESPECIAL exige crear un EXPEDIENTE DE INVESTIGACIÓN que terminará en comunicación o no al SEPBLAC, pero que deberá ser archivado por el Departamento de Prevención del Blanqueo, puesto que le servirá para justificar su trabajo ante la Alta Dirección, y  especialmente ante las AUTORIDADES REGULADORAS, puesto que las nuevas tendencias de la supervisión a los sujetos obligados por parte del SEPBLAC, se están dirigiendo a analizar el ARCHIVO DE EXPEDIENTES DE INVESTIGACIÓN, para valorar así las fundamentaciones en las que se basan la no comunicación. Esta forma de supervisión está permitiendo al SEPBLAC conocer con más profundidad y de forma práctica el funcionamiento del sistema de control interno AML que tienen las empresas.

El MÓDULO DE GESTIÓN Y CUSTODIA DE EXPEDIENTES DE INVESTIGACIÓN, contendrá, en formato electrónico, la documentación justificativa de los EXÁMENES ESPECIALES.


EL FILTRO DE CONTROL AML Y EL CUMPLIMIENTO DEL ARTÍCULO 21 DE LA LEY 10/2010

Los sujetos obligados establecerán, en el marco de las medidas de control interno a que se refiere el artículo 26, sistemas que les permitan responder de forma completa y diligente a las solicitudes de información que les curse la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, sus órganos de apoyo u otras autoridades legales competentes, sobre si mantienen o han mantenido a lo largo de los diez años anteriores relaciones de negocios con determinadas personas físicas o jurídicas y sobre la naturaleza de dichas relaciones. (Artículo 21.2)

El FILTRO DE CONTROL AML diseñado en el MODELO, cumple perfectamente la exigencia de colaboración especificada en el Artículo 21 de la Ley 10/2010, porque constituye un buen sistema para responder de forma completa y diligente a las solicitudes de información que procedan de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, sus órganos de apoyo u otras autoridades legales competentes sobre si el sujeto obligado mantiene o ha mantenido a lo largo de los diez años anteriores relaciones de negocios con determinadas personas físicas o jurídicas y sobre la naturaleza de dichas relaciones.

A través de la PLATAFORMA DE CONTROL AML o FILTRO DE CONTROL AML, se puede obtener de forma automática:
  1. Toda la INFORMACIÓN HISTÓRICA KYC, ACTIVA y PASIVA de las personas físicas o jurídicas objeto de información, a partir del REPOSITORIO CENTRALIZADO DE INFORMACIÓN KYC, que habrá sido previamente verificada y cualificada mediante los diferentes FILTROS DE CONTROL  que componen la PLATAFORMA TECNOLÓGICA CENTRALIZADA DE LA INFORMACIÓN KYC, que funciona para toda la empresa.
  2. En este REPOSITORIO CENTRALIZADO DE INFORMACIÓN KYC, estarán archivados los datos de identificación formal, los de identificación del titular real generados por alertas de riesgo AML o por cualquier otra causa, la información sobre el propósito e índole de la relación de negocios establecida con la empresa, y el histórico del proceso de seguimiento continuo de la relación de negocios, que es de  utilidad general para toda la empresa.
  3. En caso de necesidad, de este REPOSITORIO CENTRALIZADO se podrán obtener los EXPEDIENTES DE IDENTIFICACIÓN, con la copia escaneada de los documentos justificativos del cumplimiento de las obligaciones de diligencia debida establecidas en base al Artículo 25 de la Ley 10/2010 (Conservación de documentos), y en especial las copias electrónicas de los documentos que hayan sido utilizados para la justificación de la identificación formal de los clientes y de la identificación del titular real.
  4. Del histórico del MÓDULO DE CONSULTA DE LISTAS, se podrá obtener si fuera necesario, la justificación documental de los filtros realizados, tanto en las listas de sanciones para todos los clientes, como en los listados PRP para los clientes de riesgo.
  5. En el MÓDULO DE GESTIÓN Y CUSTODIA DE EXPEDIENTES DE INVESTIGACIÓN, el Departamento de Prevención del Blanqueo tendrá archivados los EXPEDIENTES DE INVESTIGACIÓN que pudieran hacer referencia a las personas físicas o jurídicas objeto de la colaboración exigida por el Artículo 21.



COMENTARIOS FINALES

El “seguimiento continuo de la relación de negocios”, debe ser considerado no sólo como una obligación de cumplimiento AML, sino como una oportunidad para la mejora del funcionamiento general de la empresa, junto con las restantes medidas de diligencia debida.

La tecnificación de esta medida obliga a la empresa a mejorar el software de los sistemas que afectan a la cartera de clientes, para que tengan una mayor funcionalidad y cobertura, integrándolos funcionalmente con el REPOSITORIO CENTRALIZADO DE INFORMACIÓN KYC, que es mucho más que una base de datos de clientes como hemos ido viendo a lo largo de este trabajo,  permitiendo así que todos los FILTROS DE CONTROL trabajen con una misma información, que por la operatividad de propio sistema, resultará mejorada de forma permanente.

La centralización de la INFORMACIÓN KYC, y la progresiva mejora de su calidad, además de permitir un riguroso cumplimiento de las obligaciones AML, servirá para mejorar las oportunidades de comercialización y marketing, y la gestión general de la cartera de clientes,  y al mismo tiempo establecerá las bases de datos necesarias para una buena prevención del fraude, a través de  plataformas tecnológicas especializadas.

Este modelo permite tener una visión global de los clientes, en la que se incluyen los perfiles de las personas físicas y jurídicas, los vínculos entre cuentas, activos y las transacciones,  incrementando de esta manera  la capacidad del sistema para poder identificar las diferencias existentes entre las actividades pasadas de los clientes, las actitudes esperadas, y para determinar si existen conductas inusuales y sospechosas.

No debemos olvidar, con todo, que por encima de la tecnificación, el principal activo que tiene la empresa para efectuar el seguimiento continuo de la relación de negocios sigue siendo  su PERSONAL, que ha de estar en constante formación especializada en las diferentes áreas de control.

Desde un punto de vista humano y técnico, el seguimiento continuo de las relaciones de negocio implica el monitoreo de todas las operaciones en las que participan los clientes para garantizar que están en línea con el entendimiento que tiene la empresa sobre los mismos, garantizando al mismo tiempo que toda la INFORMACIÓN KYC es adecuada, completa y que está actualizada.

Si tenemos en cuenta el volumen creciente de datos de clientes que se tienen  que manejar,   junto con un personal bien formado, la empresa debe contar también con un sistema centralizado de INFORMACIÓN KYC que pueda comunicarse con los restantes sistemas estándares operativos, y que sea capaz de analizar esta información para convertirla en “inteligencia empresarial”.

Ese objetivo puede conseguirse poniendo en funcionamiento dentro de la empresa una buena estructura de  “DUE DILIGENCE” o DILIGENCIA DEBIDA, que beneficiará a toda la empresa, al mismo tiempo que hará frente a los crecientes riesgos regulatorios, legales y de reputación corporativa.

Como arietes de la calidad de la INFORMACIÓN KYC deben destacar, tanto el Departamento de Prevención del Fraude como el Departamento de Prevención del Blanqueo, que deberán compartir muchos de los recursos tecnológicos de investigación, además de dotarse cada uno por su lado de aquellas herramientas especializadas que sean necesarias para controlar, en sus respectivas materias, el flujo de información pasiva y activa relacionada con los clientes.


Fabián Zambrano Viedma
Responsable del Servicio de Información de los Sujetos Obligados y
Responsable del Servicio de Prevención del Fraude





Publicado por
Etiquetas: