LA VERIFICACIÓN DE LA IDENTIDAD

PRIMERA MEDIDA: LA IDENTIFICACIÓN FORMAL (I)

LA VERIFICACIÓN DE LA IDENTIDAD

La primera medida normal de Diligencia Debida se establece en el Artículo 3 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y se refiere a la IDENTIFICACIÓN FORMAL  de cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera obligaciones.

Constituye ésta una medida ineludible y no sujeta al riesgo, como podrían ser las restantes medidas normales de diligencia debida, que ha de ser aplicada en el mismo momento en que se pretenda establecer una relación de negocio, o intervenir en cualquier operación con un sujeto obligado, y que obliga a éste a inhibirse de establecer la relación de negocio o de intervenir en la operación pretendida, si no puede identificar debidamente al pretendiente.

La norma establece una fórmula operativa justificativa de la identificación formal, que consiste en que el sujeto obligado pueda verificar la identidad a través de un documento fehaciente, es decir, de un documento que permita dar fe de la identidad, lo que tiene evidentes efectos formativos, organizativos y tecnológicos para el sujeto obligado, como veremos posteriormente.

En la verificación de la identidad existen dos momentos operativos:

1. El establecimiento de la relación de negocio.
2. La intervención posterior del “ya cliente”, en cualquier operación derivada de la relación de negocio previamente contratada.

En el establecimiento de la relación de negocio, la medida normal de identificación formal exige la presencia física ante el sujeto obligado de la persona que pretenda establecer la relación de negocio, ya sea por sí  misma o como representante de una persona jurídica, para lo que deberá presentar ante el sujeto obligado un documento fehaciente de identificación.

Existen dos excepciones a esta primera medida normal de diligencia debida.

1. Cuando el que pretende establecer la relación de negocio no puede justificar su identidad mediante un documento fehaciente, pero se presenta físicamente ante el sujeto obligado. (Artículo 3.2)
2. Cuando las  relaciones de negocio  no son presenciales y se contratan a través de medios telefónicos, electrónicos y telemáticos. (Artículo 12)

En ambas excepciones, al no poder ser verificada la identidad directamente por el sujeto obligado, el establecimiento de la relación de negocio será sometida  posteriormente a las medidas reforzadas de diligencia debida que se especifican en el Artículo 12, y que se explicaron en una ficha anterior que lleva por título: LA IDENTIFICACIÓN EN LAS OPERACIONES NO PRESENCIALES.

En las operaciones derivadas de la relación de negocio, cuando se realizan mediante la  presencia física del cliente ante el sujeto obligado, éste procederá a la verificación de la identidad del cliente a través del documento fehaciente de identificación que éste le presente, y cuando estas operaciones se realicen mediante medios telefónicos, electrónicos y telemáticos, la verificación se hará a través de la firma electrónica reconocida, o mediante las claves de seguridad proporcionadas al cliente por el propio sujeto obligado, y que estarán conexionadas ineludiblemente a la identificación formal del cliente según el Artículo 3, o el Artículo 12.

Como podemos observar, la verificación de la identidad es responsabilidad del sujeto obligado, que normalmente es una persona jurídica. Por ello se hace necesario establecer dentro de la empresa,   medidas formativas, organizativas y tecnológicas, que permitan a los empleados efectuar la verificación de la identidad con las necesarias garantías de seguridad.

METODOLOGÍA: 

COORDINACIÓN OPERATIVA ENTRE EL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE Y EL DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO DE CAPITALES

La identificación formal es un caso claro en el que resulta necesaria la coordinación y corresponsabilización de diversos departamentos dentro de la empresa, puesto que no sólo afecta al cumplimiento de la legislación sobre prevención del blanqueo de capitales, sino también a la prevención del fraude, y a seguridad operativa de las restantes líneas productivas, vg.: comercial, riesgos, recuperaciones, etc.

Por este motivo, el Departamento de Prevención del Blanqueo y el Departamento de Prevención del Fraude deberían diseñar conjuntamente el proceso de identificación formal dentro de la empresa y poner esta información a disposición del Órgano de Control Interno y Comunicación (OCIC).

El OCIC, de la misma forma que sucede para la prevención del blanqueo, debería ser también el Órgano que recibiera el mandato del Consejo de Administración, de elaborar primero para el Consejo,  y de aplicar posteriormente en la empresa, los principios de gobierno corporativo para la prevención del fraude.

Justifico mi criterio en  la interconexión operativa existente entre la  prevención del fraude y la prevención del blanqueo, por lo que estimo razonable que exista un solo órgano de regulación interna,  y de aplicación de las políticas y procedimientos sobre ambas materias.

El nombre es lo menos importante  y cada empresa podría denominar este órgano como quisiera. Yo le sigo dando el nombre de OCIC, puesto que este acrónimo está ya consolidado con fortuna en la prevención del blanqueo.

El OCIC, según la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo,  es  una estructura transversal de cumplimiento, en la está representada una gran parte de las direcciones generales implicadas en esta materia, y así debería ser también para la prevención del fraude.

Si aceptamos al OCIC como el órgano encargado de elaborar para el Consejo de Administración, los principios y normas de gobierno corporativo de la empresa, sobre prevención del fraude y sobre prevención del blanqueo de capitales, el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE y el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO DE CAPITALES, serían sus instrumentos operativos para este trabajo.

Expongo seguidamente algunas ideas sobre las medidas que ambos Departamentos deberían trabajar de forma conjunta.

Medidas formativas

La verificación de la identidad es un control que normalmente se realiza en el “front-office” de la empresa, es decir, en la estructura de la organización que está en contacto directo con el público.

Esta estructura está formada por personas y por tecnología, por lo que las medidas formativas en verificación de la identidad, tienen que estar dirigidas hacia las personas que en la empresa tienen a su cargo el establecimiento de las relaciones de negocio, o intervienen en cualesquiera operaciones con los clientes, y hacia los técnicos que dentro de la empresa están encargados de planificar y poner en funcionamiento,  aquellas plataformas que sean interactivas con el público y para las que se requiera la identificación.

Nunca está de más que la formación en esta materia también la reciba el resto del personal de la empresa, al margen de aquellos departamentos de análisis del “back office” para los que esta formación resulta imprescindible y por tanto obligatoria.

Al ser una exigencia legal que la identificación formal se haga mediante la verificación de documentos fehacientes (“comprobarán la identidad de los intervinientes mediante documentos fehacientes” – Art. 3.2), se deberá formar al personal sobre esta materia, es decir, sobre la naturaleza de estos documentos, las medidas de seguridad que contienen y las comprobaciones que tienen que hacerse para la verificación de los  mismos.

Aunque según la Ley 10/2010, deberemos esperar a lo que establezca el nuevo Reglamento sobre los documentos que deban reputarse fehacientes a efectos de identificación, lo que se publique no será muy diferente a lo que ya está establecido en el Real Decreto 925/1995, de 9 de junio, en el que se aprobó el Reglamento de la anterior Ley y que aún sigue en vigor en lo que no se oponga a la actual.

Según este Reglamento, en su Artículo 3, puntos 2 y 3:

“2.- Cuando el cliente sea persona  física deberá presentar documento nacional de identidad, permiso de residencia expedido por el Ministerio de Justicia e Interior, pasaporte o documento de identificación válido en el país de procedencia que incorpore fotografía de su titular, todo ello sin perjuicio de la obligación que proceda de comunicar el número de identificación fiscal (NIF) o el número de identificación de extranjeros (NIE), según los casos, de acuerdo con las disposiciones vigentes. Asimismo se deberán acreditar los poderes de las personas que actúen en su nombre.

3.  Las personas jurídicas deberán presentar documento fehaciente acreditativo de su denominación,  forma jurídica, domicilio y objeto social, sin perjuicio de la obligación que proceda de comunicar el número de identificación fiscal (NIF). Asimismo se deberán acreditar los poderes de las personas que actúen en su nombre.”

Puede ampliarse esta información a través de varios documentos que publiqué en su día desde el OBSERVATORIO DE LA FALSIFICACIÓN DOCUMENTAL:

• EXAMENBÁSICO DE DOCUMENTOS DE IDENTIFICACIÓN
• VALIDACIÓNDEL DOCUMENTO FÍSICO DEL DNI ELECTRÓNICO
• VALIDACIÓNDEL PERMISO DE RESIDENCIA UNIFORME PARA NACIONALES DE PAÍSES TERCEROS
• VALIDACIÓNDEL DOCUMENTO FÍSICO DE LA ANTERIOR TARJETA DE EXTRANJERO
• LO QUEDEBE CONOCER PARA LA VALIDACIÓN DE LA TARJETA DE EXTRANJERO
• LO QUEDEBE CONOCER SOBRE LOS CIUDADANOS DE LOS ESTADOS MIEMBROS DE LA UNIÓN EUROPEA YDE OTROS ESTADOS PARTE EN EL ACUERDO SOBRE EL ESPACIO ECONÓMICO EUROPEO.

Será necesario, por tanto, que ambos Departamentos, en colaboración con el Departamento de Recursos Humanos, preparen el material necesario para una formación básica en esta materia, ya sea en forma virtual o presencial, por personal de la empresa o por personal docente externo, identificando previamente todos los departamentos de la empresa que están en contacto directo con el público, y por tanto  intervienen en el establecimiento de relaciones de negocio o en operaciones con los clientes.

El Departamento de Recursos Humanos debería llevar el control sobre la formación recibida en esta materia por cada empleado, siendo ésta formación un requisito básico y necesario para poder ocupar estos puestos de responsabilidad, en los que la empresa puede quedar comprometida como sujeto obligado.

La formación en esta materia no solo debe basarse en las técnicas necesarias para hacer una buena verificación de documentos de identificación, sino que debería profundizar en la importancia que tiene la identificación formal, no sólo para el cumplimiento de la legislación sobre prevención del blanqueo de capitales, sino para la prevención del fraude y para el funcionamiento económico y comercial de la propia empresa.

El personal también debería conocer el proceso organizativo que exige la identificación formal y que será analizado en el siguiente punto, así como  que la identificación formal quedará conexionada a su trabajo profesional, de tal forma que la empresa conocerá en todo momento el empleado que realizó la verificación.

Medidas organizativas

El objetivo a alcanzar mediante el trabajo conjunto del Departamento de Prevención del Blanqueo y el Departamento de Prevención del Fraude, bajo la coordinación del OCIC, es convertir el proceso de diligencia debida exigido por la Ley 10/2010, en la herramienta fundamental de la actividad KYC de la empresa (Know your Customer), necesaria no sólo para el cumplimiento de la legislación sobre prevención del blanqueo de capitales y de la financiación del terrorismo, sino para su propio funcionamiento económico, especialmente en relación con la cartera de clientes y gestión de riesgos.

Concretamente para el tema de la verificación de la identidad, definirán el proceso de control de identificación que deberán cumplir todos los empleados, cuando intervengan en el establecimiento de  relaciones de negocio y en operaciones, quedando este proceso  posteriormente recogido en la política expresa de admisión de clientes.

En este proceso se ha de tener muy en cuenta el cumplimiento del Artículo 25 de la Ley, relativo a la conservación durante un período mínimo de diez años, de los documentos en los que se formalice el cumplimiento de las obligaciones establecidas en la Ley y que se refieren fundamentalmente a la Diligencia Debida, así como las copias de los documentos de identificación formal, en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.

Para ello aconsejo crear dentro de la empresa el EXPEDIENTE DE IDENTIFICACIÓN, que quedaría archivado de forma centralizada y en formato electrónico, con la información de todos los intervinientes ligados a una operación, incluyendo las copias digitalizadas de los documentos de identificación, identificación del titular real, así como otros documentos de interés para cada Sujeto Obligado.

Lógicamente para la formalización del concepto de EXPEDIENTE DE IDENTIFICACIÓN, será necesario revisar el funcionamiento de las distintas plataformas tecnológicas de la empresa que sirven para el establecimiento de relaciones de negocio o para la formalización de operaciones, con el fin de que queden adaptadas técnicamente a la política KYC, y permitan cumplir con todas las exigencias de la DUE DILIGENCE, y por tanto, remitan también de forma automatizada una copia de los documentos controlados en el proceso de verificación, a la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, que será la que contenga los EXPEDIENTES DE IDENTIFICACIÓN.

El objetivo a alcanzar será que exista en la empresa un sólo  archivo centralizado de clientes, y que cualquiera otro que pudiera existir dentro de las distintas divisiones administrativas, esté  subordinado al central.

No debemos tener miedo a la centralización de esta información, puesto que el conocimiento de su contenido estará limitado técnicamente para cada tipo de usuario dentro de la empresa: prevención del blanqueo, prevención del fraude, gestión de riesgos, comercialización, etc.

Sin la centralización de toda esta información no podrían tecnificarse de forma adecuada los procesos de DILIGENCIA DEBIDA.

Será también la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN la que controle el proceso de aplicación de las medidas de diligencia debida a los clientes existentes (Disposición transitoria séptima de la Ley 10/2010), que los sujetos obligados han de tener finalizado el 29 de abril de 2015, a través de un programa correctivo que permita solucionar las deficiencias en los datos KYC de sus clientes anteriores a 29 de abril de 2010.

Como puede observarse, existe un trabajo organizativo complejo para la aplicación de la Diligencia Debida, que tiene como una de sus fases principales la verificación de la identidad de cuantas personas físicas o jurídicas pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones.

Este proceso debería ser abordado por el OCIC, con la colaboración operativa del Departamento de Prevención del Blanqueo y el Departamento de Prevención del Fraude.

Medidas tecnológicas

Sin entrar a fondo en la tecnificación de los procesos de DILIGENCIA DEBIDA puesto que este tema es competencia de cada sujeto obligado, ya he apuntado a su necesidad al tratar de las medidas organizativas relacionadas con la verificación de la identidad.

Si para cualquier sujeto obligado, la identificación formal constituye la primera medida ineludible que ha de tomar, en el caso de las entidades financieras es la de mayor responsabilidad, puesto que supone el filtro necesario que permite a las personas físicas y jurídicas,  operar o no,  dentro del sector financiero nacional e internacional. Hay que tener en cuenta que en este sector, cada entidad representa un eslabón dentro de la cadena de seguridad total, por lo que una ruptura de cualquier eslabón constituye un atentado contra la seguridad del sistema financiero nacional e internacional, merecedor del correspondiente  efecto negativo reputacional, y en su caso, de las responsabilidades administrativas y judiciales que pudieran derivarse.

Al estar encomendada la identificación formal  al personal que trabaja en el “front-office” de la empresa y no en los departamentos especializados de control, resulta fundamental una adecuada política formativa y una organización del sistema de cumplimiento bajo criterios operativos, en un trabajo que debería estar coordinado por los departamentos de cumplimiento que tienen bajo su responsabilidad directa la prevención del blanqueo y la prevención del fraude, tal como he indicado anteriormente.

Pero al mismo tiempo han de ser diseñadas por estos Departamentos una serie de medidas tecnológicas que permitan al “front-office” proceder con seguridad a la verificación de la identidad, y a la empresa controlar la totalidad de la actividad KYC. Este diseño, una vez aprobado por la Alta Dirección, deberá ser desarrollado por los informáticos de la empresa o por empresas especializadas, bajo el control del OCIC. Algunas de las herramientas pueden ser compradas directamente en el mercado tecnológico, puesto que ya están creadas.

En relación con el personal encargado de las verificaciones de identidad, en las fichas ampliatorias referenciadas en este documento, aparecen algunas de las herramientas tecnológicas que a mi juicio son necesarias, junto a la formación, y que van, desde unos sencillos instrumentos técnicos como serían lupas o cuentahílos, fuentes luminosas de sobremesa de espectro visible y ultravioleta, que permitan realizar el primer examen de los documentos fehacientes de identificación, y un escáner, hasta alguno de los equipos automatizados de verificación de los documentos fehacientes de identificación que ya existen en el mercado, y que permiten adjuntar al EXPEDIENTE DE IDENTIFICACIÓN un dictamen automático con umbrales de confianza parametrizables, lo que quedaría archivado junto con las copias electrónicas de los documentos identificativos como un justificante más de la identificación.

También al hablar de las medidas organizativas he hecho mención a la centralización de los EXPEDIENTES DE IDENTIFICACIÓN en una plataforma tecnológica, a la que deberán estar conectadas las restantes plataformas departamentales que se utilicen para el establecimiento de relaciones de negocio y operaciones.

Esta PLATAFORMA DE IDENTIFICACIÓN centralizaría  la administración y gestión de los expedientes creados a través de cualquiera de las plataformas operativas de la empresa, y tendría un único acceso común y automatizado de consulta para todos los usuarios del Sujeto Obligado, con unos límites de acceso al contenido, que estarían definidos en relación al puesto de trabajo que ocupan, y con un sistema de control de acceso dotado de seguimiento auditable de los rastros dejados por el usuario.

A través de la plataforma se posibilitaría la rápida localización de un expediente mediante diversos criterios de búsqueda, ajustados a las necesidades de cada usuario.

Esta plataforma tendría que contar también con una herramienta de gestión para la inclusión de información procedente de los departamentos de análisis de la información, o de la investigación realizada por los departamentos de producción, comercialización y recuperación.

Permitiría  igualmente el acceso al histórico de expedientes, segmentando sus datos en base a un sistema de niveles se confidencialidad acordes con el uso que deba darse a los mismos.

Esta plataforma custodiaría los expedientes creados durante el plazo legal fijado de diez años, garantizando la integridad de los datos, así como una ágil recuperación y acceso a los mismos. Para ello tendría habilitado un sistema automatizado de archivo con las medidas de seguridad adecuadas, que permitieran la conservación de la información impidiendo su manipulación.

La Plataforma facilitaría informes con los datos del expediente para su envío o exportación, adaptados al nivel de seguridad y confidencialidad autorizado para cada usuario.

A este núcleo central de información de clientes, y de operaciones, en relación con los clientes, se acoplarán posteriormente las plataformas tecnológicas que permiten convertir en inteligencia esta información, para su uso para la actividad económica de la empresa, como por ejemplo, la gestión de riesgos, la prevención del fraude, la política comercial mediante la segmentación de la cartera de clientes, etc., y para el cumplimiento de las restantes medidas normales, simplificadas y reforzadas de diligencia debida, como la averiguación del propósito e índole de la relación de negocios y el seguimiento continuo de la relación de negocios.

Estas plataformas de investigación y alerta, estarán a cago de sus correspondientes Mesas de Análisis, dotadas del personal especializado necesario, teniendo presente que no todas los sujetos obligados tienen la necesidad de crearlas y mantenerlas operativas, puesto que muchos de estos trabajos pueden ser contratados externamente a través de empresas especializadas subcontratadas (sistema outsourcing o tercerización).

La propia PLATAFORMA CENTRAL DE IDENTIFICACIÓN podría operar también a través de una empresa externa subcontratada, si el sujeto obligado no quiere incurrir en este momento en costes de inversión, manteniendo una copia centralizada de sus EXPEDIENTES DE IDENTIFICACIÓN.

Un ejemplo de esta posibilidad operativa lo tenemos en la PLATAFORMAID-CONFIRMA, de la empresa creada por la Asociación para dotar a nuestras entidades de herramientas tecnológicas para un mejor cumplimiento de la Ley 10/2010, denominada SOLUCIONES CONFIRMAASNEF-SIGNE, S.L.

La primera medida de Diligencia Debida (La Identificación formal), no termina con lo explicado hasta el momento, puesto que resulta obligado completarla mediante dos filtros complementarios que serán analizados en la siguiente ficha:

• El filtro de la LISTA DE SANCIONES, que es obligatorio en todos los supuestos. (Artículo 51.2)
• El filtro de las Personas con Responsabilidad Pública (PRP), conocidas internacionalmente como PEP (Personas Políticamente Expuestas en su traducción inglesa), que es de obligado cumplimiento en todas las operaciones de riesgo. (Artículo 14).

Igualmente resulta necesario hacer el correspondiente análisis, sobre lo que debe hacerse con aquella información obtenida de las personas físicas o jurídicas que pretendan establecer con el sujeto obligado relaciones de negocio, y tras el correspondiente análisis de riesgos no sean admitidas, y tampoco existan los indicios necesarios para la comunicación prevista en el Artículo 18.

Bajo mi criterio, si la denegación del establecimiento de la relación de negocio se debiera a que, tras el análisis de riesgos, se hubieran encontrado datos incongruentes que pudieran haber servido para intentar  operaciones presuntamente fraudulentas, debería abrirse en la PLATAFORMA CENTRAL DE IDENTIFICACIÓN el correspondiente EXPEDIENTE  DE IDENTIFICACIÓN DEL NO CLIENTE, con los documentos justificativos de la investigación.

Fabián Zambrano Viedma

Responsable del Servicio de Información de los Sujetos Obligados (SISO)

ASPECTOS GENERALES DE LA DILIGENCIA DEBIDA (DUE DILIGENCE)

Según la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, la aplicación de las medidas de diligencia debida podrá hacerse por los sujetos obligados mediante un enfoque basado en el riesgo, a excepción de la identificación formal de los clientes que deberá realizarse en todos los supuestos, con carácter previo al establecimiento de la relación de negocio o a la ejecución de cualesquiera operaciones. (Artículo 7.1) y (Artículo 3.1.)

Pero este enfoque basado en el riesgo, que podrá ser diferente para cada sujeto obligado, deberá estar recogido en la política expresa de admisión de clientes que tenga la entidad, que incluirá una descripción de aquellos tipos de clientes que presenten un riesgo superior al riesgo promedio, en función de los factores que determine el sujeto obligado y de acuerdo con los estándares internacionales aplicables en cada caso. (Artículo 26.1)

Hay, por tanto,  una relativa libertad en cuanto al enfoque que cada sujeto obligado puede dar a sus medidas de diligencia debida, puesto que la Ley  permite una cierta elasticidad en la tolerancia al riesgo, siempre que no se traspasen los límites que están enmarcados por los acuerdos internacionales aplicables en cada caso, y que deberán ser interpretados dependiendo del tipo de cliente, de la relación de negocio, y del producto u operación.

Como vemos, para poder conjugar en cada empresa todos estos factores, resulta necesario conocer la exposición al riesgo que está dispuesta a asumir, y que vendrá determinada por la Alta Dirección a través del OCIC, pero también, el marco nacional e internacional que delimita la actividad concreta que se está analizando y los perfiles de clientes que operan en la misma, lo que vendrá determinado por la preparación que en esta materia tengan los departamentos de cumplimiento y especialmente el de Prevención del Blanqueo de Capitales, el asesoramiento externo, y el trabajo de cooperación sectorial que puede hacerse, a través, por ejemplo, de la Comisión AML y sus Grupos de Trabajo.

Serán por tanto los sujetos obligados los que tendrán que demostrar a las Autoridades competentes, que las medidas de diligencia debida adoptadas tienen el alcance adecuado en vista del riesgo detectado de blanqueo de capitales o de financiación del terrorismo. El análisis justificativo de las mismas, según el Artículo 7.1,  deberá constar por escrito.

Tenemos que reconocer que este enfoque basado en el riesgo y controlado por el propio sujeto obligado, resulta mucho más efectivo para los objetivos generales de la prevención del blanqueo, que si las Autoridades hubiesen adoptado un enfoque puramente normativo y burocrático, mucho más cómodo aunque también, a la larga, mucho más caro y distorsionador de la estructura productiva de la empresa, puesto que con este método se vería sometida a continuas adaptaciones  a nuevas reglas de control, con las consecuencias negativas de tener que ir modificando , cada vez, sus sistemas operativos de producción.

Por contra, con el enfoque basado en el riesgo,  los sujetos obligados han de documentar de una forma detallada, los procesos de análisis que han seguido internamente para establecer sus políticas de riesgo, con el fin de poder debatir y justificar ante el Regulador y otras Autoridades, como podrían ser la Judiciales, sus políticas expresas de admisión de clientes, así como los procesos internos de diligencia debida.

    

CONCRECIÓN DE ESTE  PROCESO

No resulta tan fácil en la práctica la concreción operativa de este proceso interno, aunque aparezca tan claramente definido en el Artículo 7 y en el Artículo 26.

Es cierto que cuando la actividad de negocio no es compleja, las medidas de diligencia debida serán más fáciles de establecer que cuando sí existe esa complejidad. En este último caso tendremos que seccionar la actividad del negocio en partes,  para analizar de forma independiente el riesgo existente en cada una de ellas.

Por poner un ejemplo, no es lo mismo una entidad financiera que se dedique exclusivamente a la financiación del consumo y que por tanto sólo tenga operaciones de activo, que un banco que tiene simultáneamente operaciones de activo y de pasivo, y que se concretan en diferentes modalidades operativas: cuentas, transferencias, clearing, corresponsalía, etc. Tampoco resulta igual de complicada la operativa directa o a través de prescriptor, de aquella otra que no es presencial.

Aunque no es bueno generalizar, voy a intentar dar una visión práctica acerca del proceso. Esta visión necesariamente tendría que ser enriquecida con las aportaciones de otras  consultoras, y sobre todo, con la experiencia práctica de los   sujetos obligados que quieran unirse al debate.

Pero antes, quisiera puntualizar algunas ideas que me van a permitir  delimitar mejor mis puntos de vista:

1. La DILIGENCIA DEBIDA (DUE DILIGENCE) es un proceso en el que tiene que estar involucrada toda la empresa, desde la Alta Dirección hasta el último de los empleados ingresados en la misma.
2. Al ser un proceso basado en el cumplimiento, debería estar asesorado por un Departamento especializado, como es el Departamento de Prevención del Blanqueo, que conozca la actividad de negocio de la empresa, y al mismo tiempo los límites que impone al riesgo la normativa nacional y los estándares internacionales aplicables a cada caso.
3. En este proceso, siempre que sea posible, resulta aconsejable acompañarse  de alguna Consultora, para la adaptación del procedimiento a los requerimientos derivados del EXAMEN EXTERNO (Artículo 28).
4. Puesto que la DILIGENCIA DEBIDA , al mismo tiempo que exigencia legal,  ofrece evidentes estándares de calidad operativa, debería ser rentabilizada dentro de la empresa con el fin de generar datos de calidad, que podrían ser utilizados en múltiples formas. De esta manera se convertiría  en una herramienta de gestión de riesgos, así como de conocimiento y  coordinación entre departamentos y oficinas.
5. Igualmente la DILIGENCIA DEBIDA debería ser reconocida como una herramienta que facilita a la empresa, y especialmente a la Alta Dirección, un mejor conocimiento de la cartera de clientes, por lo que, bien utilizada, podría suponer una ventaja competitiva comercial.
6. Una buena gestión de la DILIGENCIA DEBIDA, disminuye las rigideces de la empresa frente a su capacidad de tolerancia al riesgo, lo que permitirá  fijar mejor los objetivos y priorizar los gastos. Ayuda también a optimizar, dentro de la empresa, diversos procesos y controles, tanto interdepartamentales  como intradepartamentales, que tienen que ver con la cartera de clientes.
7. Al estar basada la DILIGENCIA DEBIDA  en la calidad de los datos de los clientes, puede ser utilizada para evitar la duplicación de los mismos en ficheros ubicados en diferentes departamentos, y conseguir de esta forma que sean completos, uniformes, exactos y que estén actualizados, con lo que la empresa ganará en efectividad y reducirá los costes derivados de  duplicaciones inútiles.
8. La mejora de la calidad de los datos de los clientes, y la centralización operativa de los mismos, además de servir como he indicado antes para reparar archivos y abordar las deficiencias identificativas que contienen, permitirá  optimizar el funcionamiento de las herramientas tecnológicas de verificación o de monitoreo de la información, lo que facilitará tanto la investigación del propósito e índole de la relación de los negocios de los clientes, como el seguimiento continuo de los mismos, en un circulo permanente de investigación basado en un proceso de acción-reacción, que además de cumplir de forma eficiente con la normativa anti-blanqueo, beneficiará la actividad económica de la empresa.
9. En el proceso de DILIGENCIA DEBIDA debería existir una buena coordinación entre todos los Departamentos, pero especialmente entre los Departamentos de Prevención del Blanqueo, de Prevención del Fraude y de Gestión de Riesgos,  lo que dará sus mejores frutos en la necesaria y conjunta colaboración con el OCIC.
10. La colaboración entre el Departamento de Prevención del blanqueo de capitales y el Departamento de Prevención del Fraude debiera también formalizarse en un Área común de Investigación interna de los Delitos Financieros, en la que se haría el seguimiento y el análisis de los hechos fraudulentos, de los hechos que están relacionados con el blanqueo de capitales y de las actividades que tienen que ver con el abuso de mercados, para lo que se utilizaría un sistema tecnológico común, así como un equipo de analistas especializado en la investigación de estas materias.
11. Como no todos los sujetos obligados necesitan incurrir en los costes crecientes que suponen unas estructuras tecnológicas cada vez más complejas y cambiantes, tanto para la investigación del blanqueo de capitales, como para la investigación del fraude y otras materias relacionadas con los delitos financieros, existe una tendencia internacional cada vez más amplia hacia la subcontratación o deslocalización de algunas funciones de investigación en empresas externas especializadas, con lo que los departamentos de cumplimiento podrían reducir sus costes,  sin renuncia a estar dotados de tecnologías de vanguardia permanentemente renovadas, y de pago por uso.
12. También habría que potenciar el trabajo cooperativo mediante Comisiones sectoriales de Responsables de Cumplimiento,  lo que ayudaría a plantear problemas y soluciones a los Organismos Reguladores.

En las siguientes fichas vamos a ir analizando una a una las medidas normales de diligencia debida establecidas por la legislación de prevención del blanqueo de capitales, teniendo en cuenta lo ya indicado, es decir, que junto a su finalidad específica de cumplimiento normativo, esta medidas han de ser consideradas también dentro de la empresa como principios rectores de la gestión de riesgos, por lo que los departamentos y herramientas creados para su control deberían estar perfectamente coordinados para esta función específica.

Bajo estos criterios, los costes de la Diligencia Debida no serían costes exclusivos del Departamento de Prevención del Blanqueo, sino que estarían distribuidos entre todos los  Departamentos que intervienen en la gestión de:

• La identificación formal de los clientes
• La identificación del titular real
• La investigación del propósito e índole de la relación de negocios
• El seguimiento continuo de la relación de negocios

De esta manera se aminorarían los presupuestos actuales de los Departamentos de Prevención del Blanqueo, en lo referente a la Diligencia Debida, al mismo tiempo que ésta quedaría rentabilizada, por la mejora que supondría para el funcionamiento operativo y comercial de la propia empresa.

Fabián Zambrano Viedma

Responsable del Servicio de Información de los Sujetos Obligados (SISO)