Blog del SISO

Le doy la bienvenida al Blog del SISO, editado por el SERVICIO DE INFORMACIÓN DE LOS SUJETOS OBLIGADOS de ASNEF


C/ Velázquez, 64-66, 2ª planta

28001 Madrid

e-mail: asnef@asnef.com

Teléfono: 91.781.44.00

Fax: 91.431.46.48



lunes, 26 de marzo de 2012

TERCERA MEDIDA: PROPÓSITO E ÍNDOLE DE LA RELACIÓN DE NEGOCIOS




El propósito e índole de la relación de negocios, tercera medida normal de diligencia debida, está regulada en el Artículo 5 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, y  dice así:

“Los sujetos obligados obtendrán información sobre el propósito e índole prevista de la relación de negocios. En particular, los sujetos obligados recabarán de sus clientes información a fin de conocer la naturaleza de su actividad profesional o empresarial y adoptarán medidas dirigidas a comprobar razonablemente la veracidad de dicha información.

Tales medidas consistirán en el establecimiento y aplicación de procedimientos de verificación de las actividades declaradas por los clientes. Dichos procedimientos tendrán en cuenta el diferente nivel de riesgo y se basarán en la obtención de los clientes de documentos que guarden relación con la actividad declarada o en la obtención de información sobre ella ajena al propio cliente.”

Con esta tercera medida, la empresa - sujeto obligado -, añade  una segunda pieza a la INFORMACIÓN KYC (Conoce a tu cliente).

La primera pieza es la IDENTIFICACIÓN FORMAL de las personas físicas en todos los casos,  y de las personas jurídicas en función del riesgo.
  • La identificación formal de las personas físicas se realiza mediante la VERIFICACIÓN DE LA IDENTIDAD, a través de  los documentos fehacientes exhibidos ante el  sujeto obligado por el titular de los mismos.
  • Igualmente en el proceso de verificación se han de controlar las listas de sanciones, y en función del riesgo, las listas PRP (Personas con Responsabilidad Pública).
  • La VERIFICACIÓN DE LA IDENTIDAD resulta más complicada en las OPERACIONES NO PRESENCIALES, puesto que hay que aplicar algunas medidas reforzadas de diligencia debida.


Esta tercera medida completa el CONOCIMIENTO PASIVO DEL CLIENTE antes de su aceptación, o posteriormente cuando aparece una situación de riesgo.  Para poder realizar este trabajo, cada empresa deberá tener definida  previamente su política de riesgos, y  tener instaurados los mecanismos tecnológicos necesarios para detectar los riesgos definidos.

Según el Artículo 5 de la Ley 10/2010, las medidas que debe tomar el sujeto obligados para el conocimiento del cliente  son las siguientes:
  • Obtención de información sobre el propósito e índole prevista de la relación de negocios.
  • Obtención de información a fin de conocer la naturaleza de su actividad profesional y empresarial.
  • Comprobación razonable de la veracidad de la información aportada por el cliente.
  • Establecimiento y aplicación de procedimientos de verificación de la actividad declarada por el cliente.
  • Obtención del cliente de los documentos que guarden relación con la actividad declarada.
  •  Obtención de información ajena al propio cliente sobre la actividad declarada

Para  trabajar esta tercera medida, cada empresa habrá de diseñar algún MODELO. En lo que sigue, voy  tratar de  concretar operativamente esta medida, mediante criterios empresariales, y no sólo bajo criterios AML.


PLANTEAMIENTO OPERATIVO

En las fichas anteriores dedicadas a las “medidas normales de diligencia debida”, utilicé un criterio que trascendía el simple cumplimiento de la legislación AML,  buscando también en las mismas una rentabilidad empresarial, puesto que a nadie se le escapa que las medidas  afectan a la calidad de la información de la cartera de clientes.

Consecuencias que tiene en la cartera de clientes la calidad de la información:
  1. La calidad de la información en la cartera de clientes tiene repercusiones positivas en AML y en otras materias de cumplimiento, como por ejemplo,  en la prevención del fraude, en Basilea II, o en la información financiera que las entidades tienen que presentar de forma ordinaria a los Reguladores.
  2. También tiene repercusiones positivas en la actividad comercial, al mejorar la segmentación de los clientes para las actividades de marketing y ventas, evitando promociones inapropiadas.
  3. La calidad de la información de la cartera de clientes, obliga a toda la empresa a depurar la información,  evitando así duplicidades, o la permanencia de cuentas inactivas que podrían ser utilizadas, interna o externamente, para actividades delictivas, como por ejemplo, el blanqueo de capitales, el fraude, etc.


Bajo este criterio, resulta razonable pensar que las “medidas normales de diligencia debida”, que son de obligado cumplimiento por la legislación AML, sean también  los criterios que utilice la empresa para el control de la veracidad y exactitud de la cartera de clientes, simplificando de esta manera los sistemas operativos existentes, y ahorrando costes.

Para desarrollar este MODELO, partimos de la hipótesis de que las “medidas de diligencia debida” son los criterios generales que va a utilizar la empresa para lograr la calidad KYC. La información de clientes resultante, será utilizada por cada área o departamento para el desarrollo de sus  funciones  específicas en relación con los clientes.

Para que estos criterios puedan ser operativos en una empresa mínimamente compleja, su funcionamiento debe ser controlado mediante alguna herramienta tecnológica. Esta herramienta podría ser la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN de la que hablaré seguidamente, que tendrá diversos niveles de acceso para sus usuarios, además de la identificación de sus fuentes de datos. Esta PLATAFORMA cumplirá con la legislación española de protección de datos, en relación con el origen de los mismos y con la necesidad o no del consentimiento para su cesión.


LA PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN

La PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, tiene como núcleo principal un REPOSITORIO CENTRALIZADO DE INFORMACIÓN PASIVA.

A este RESPOSITORIO se ensamblarán  varias soluciones tecnológicas con usos diferentes que iremos analizando en este trabajo. El conjunto, REPOSITORIO + SOLUCIONES TECNOLÓGICAS ESPECÍFICAS,  constituirá la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, o herramienta tecnológica capaz de ofrecer a la empresa el CONOCIMIENTO PASIVO DEL CLIENTE, con la calidad necesaria para el cumplimiento AML, y para las restantes actividades de cumplimiento, productivas y comerciales.  

LA INFORMACIÓN KYC

La información KYC se compone de:
  • CONOCIMIENTO PASIVO DEL CLIENTE
  • CONOCIMIENTO ACTIVO DEL CLIENTE


El CONOCIMIENTO PASIVO DEL CLIENTE se obtiene durante el proceso de aceptación del cliente, y en las ampliaciones de información realizadas en función del riesgo.

El CONOCIMIENTO ACTIVO DEL CLIENTE se consigue controlando su actividad operativa dentro de la empresa. El resultado de esta información pasará a formar parte del REPOSITORIO CENTRALIZADO DE INFORMACIÓN ACTIVA, núcleo principal de la PLATAFORMA DE MONITOREO DE OPERACIONES.

Las dos PLATAFORMAS estarán interrelacionadas, por lo que los factores de riesgo definidos en cada una de ellas se afectarán mutuamente.

LA ALIMENTACIÓN DE LAS PLATAFORMAS
  • La PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, estará  alimentada por el “front-office” de la empresa.
  • La PLATAFORMA DE MONITOREO DE OPERACIONES estará alimentada por las áreas y departamentos productivos de la empresa.


Ambas PLATAFORMAS estarán a disposición de toda la Organización, y el acceso a las mismas será discriminado para cada área, departamento, o empleado.

Los núcleos centrales de ambas PLATAFORMAS serán sus respectivos REPOSITORIOS de información:
  1. Un repositorio histórico de información pasiva de clientes para la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, y
  2. Un repositorio histórico de la información operacional de los clientes para la PLATAFORMA DE MONITOREO DE OPERACIONES.


EL RESPONSABLE DE CALIDAD DE LA INFORMACIÓN KYC

Aunque la obtención de la INFORMACIÓN KYC  PASIVA se hace normalmente a través del “front office” de la empresa, y la obtención de la INFORMACIÓN KYC ACTIVA por el entramado operativo, conviene aclarar quién debe ser el RESPONSABLE DE CALIDAD DE LA INFORMACIÓN KYC.

Las PLATAFORMAS son estructuras informáticas, y por tanto su funcionamiento operativo y su seguridad estarán a cargo del DEPARTAMENTO DE SEGURIDAD INFORMÁTICA, pero no así su contenido.

Las “medidas normales de diligencia debida”, aunque constituyen una materia específica de la prevención del blanqueo de capitales, afectan a toda la empresa, por lo que el responsable de la INFORMACIÓN KYC debiera ser el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE.

Cuando la empresa tiene una cierta complejidad, este Departamento, al igual que el de Blanqueo, debiera contar con una UNIDAD TÉCNICA, que en alguna ficha anterior he denominado UNIDAD DE INVESTIGACIÓN DE LOS DELITOS FINANCIEROS.

Por esta UNIDAD TÉCNICA deberían pasar durante algún tiempo y de forma rotatoria, gran parte de los analistas de la empresa, no sólo para compartir la experiencia y técnicas de investigación de la UNIDAD, sino también para compartir con los analistas de la UNIDAD su propia experiencia y técnicas de análisis.

Aquellas empresas que no quieran constituir esta UNIDAD TÉCNICA, porque les resulta más rentable encargar gran parte de sus investigaciones a empresas especializadas, deberían tener, con todo,  un pequeño equipo de analistas que podrían trabajar de forma conjunta para el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE y para el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO.

Las investigaciones de esta UNIDAD, en materia de “medidas normales de diligencia debida”,   normalmente tendrán como origen las alertas que le lleguen del DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO, que a su vez, las recibirá de la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN o desde la PLATAFORMA DE MONITOREO DE OPERACIONES, cuyos filtros de control estarán definidos mediante los factores de riesgo de blanqueo.

Será el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO el que, como veremos posteriormente, determinará la remisión de la alerta a esta UNIDAD cuando el interés del tema así lo exija. No olvidemos que este DEPARTAMENTO tiene directamente a su cargo  las obligaciones de información del Capítulo III de la Ley 10/2010, por lo que no puede colapsarse con las investigaciones derivadas de las “medidas normales de diligencia debida”.


COMPOSICIÓN DE LAS PLATAFORMAS

Cada entidad irá completando sus PLATAFORMAS, a partir de los RESPOSITORIOS, mediante las herramientas tecnológicas que considere necesarias para configurar su propio sistema de información de clientes. Estas herramientas las llamaré FILTROS DE CONTROL.

Una vez configurado el sistema tecnológico de ambas PLATAFORMAS mediante los filtros de control, habrá que definir en cada uno de ellos la política de riesgos establecida por la empresa.

Como las PLATAFORMAS son de uso general y discriminado dentro de la empresa, cada área de la entidad que quiera utilizarlas deberá definir, en su filtro de control,  los FACTORES DE RIESGO o estudio, que serán los que den origen a las alertas.

Defino como filtros de control aquellas herramientas tecnológicas que han de ser ensambladas a los REPOSITORIOS DE INFORMACIÓN, en base a las necesidades operativas de los departamentos o áreas que deban utilizarlas, y que formarán parte de las PLATAFORMAS.

Estas herramientas pueden ser,  o simples programas informáticos tipo “scoring” para la evaluación automática de solicitudes de operaciones de crédito, o bien sofisticadas herramientas tecnológicas, como las que existen para la prevención del blanqueo o la prevención del fraude, y que se basan en redes neuronales que aprenden con la experiencia.

A este efecto, existe un amplio mercado tecnológico muy especializado, o bien,  soluciones creadas “ad hoc” por las propias empresas en colaboración con los tecnólogos.

Pero para que funcionen estos filtros de control y cumplan con lo que se espera de ellos, resulta necesaria una información operativa que no  puede comprarse  en el mercado y que ha de ser generada dentro de la empresa en base a sus conocimientos y experiencias. Me refiero a los factores de riesgo necesarios para producir alertas,  y que estarán relacionados con las diferentes materias de cumplimiento, o de riesgo operativo que se pretenda controlar.

Esa información constituye la ciencia operativa de cada área o departamento, y su ausencia o falta de concreción, ha originado en ocasiones el fracaso tecnológico de alguna empresa. No se deben hacer inversiones en herramientas diseñadas externamente, si no pueden ser controladas por los que conocen el negocio, porque nunca cumplirán con los objetivos que se esperan de ellas. Las herramientas tecnológicas han de estar al servicio de la organización, y no la organización al servicio de las herramientas.

Los factores de riesgo, una vez implementados en los filtros de control, generarán las alertas necesarias para mejorar la INFORMACIÓN KYC. Esta mejora será posible mediante las investigaciones que se hagan y que tendrán diversos enfoques operativos, como por ejemplo, la prevención del blanqueo de capitales, la prevención del fraude, el análisis de riesgos económicos, la política de marketing, la política de ventas, etc.

Cuando un área o departamento introduce o modifica los datos u operativa de un cliente,  puede dar origen a una nueva alerta en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, o en la PLATAFORMA DE MONITOREO DE OPERACIONES que tendrá que ver con otro determinado grupo de factores de riesgo (blanqueo, fraude, solvencia, etc.). Esta nueva alerta llegará al área o departamento interesando, que  pondrá en funcionamiento su protocolo de actuación, para verificar o contrastar la información recibida del cliente en atención al riesgo específico identificado.

El proceso, por tanto, sería el siguiente:
  1. Los departamentos de cumplimiento, en sus diversas especialidades, así como los departamentos de análisis de riesgos económicos, recuperaciones, marketing, ventas, etc., deberán seleccionar sus respectivos filtros de control o herramientas tecnológicas, en base a sus necesidades operativas, y definirán en los mismos sus factores de riesgo o estudio.
  2. Estos filtros de control, con sus factores de riesgo definidos, serán los que originen posteriormente las alertas que obliguen a una investigación especializada. (blanqueo, fraude, análisis de riesgos, etc.)
  3. Los resultados de estas investigaciones servirán para alimentar posteriormente la información existente en ambos REPOSITORIOS.


El trabajo de alimentación de los REPOSITORIOS, PASIVO Y ACTIVO, en base a los informes de investigación, no debería hacerse por el área o departamento afectados, sino por los analistas del Departamento de Prevención del Fraude, al ser éstos  lo que deben controlar el cumplimiento dentro de la empresa, de las “medidas normales de diligencia debida”.

Se evita con este procedimiento lógico, que la información estratégica de los clientes esté difuminada entre diferentes áreas o departamentos, al mismo tiempo que se pone a disposición de toda la organización  con el necesario control.


FUNCIONAMIENTO DEL MODELO EN LA PREVENCIÓN DEL BLANQUEO DE CAPITALES Y DE LA FINANCIACIÓN DEL TERRORISMO

Las alertas sobre blanqueo de capitales y/o  financiación del terrorismo, procedentes de las PLATAFORMAS DE INFORMACIÓN KYC, tendrán que ver con las “medidas normales de diligencia debida, y por tanto, le llegarán al DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO.

La investigación, por tratarse de una materia aún no sujeta a las obligaciones de información del Capítulo III de la Ley 10/2010, podrá ser realizada por:
  1. El propio DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO que recibe la alerta, o en su caso, derivada por éste para que sea investigada.
  2. Por el “front office” específico que obtuvo los datos.
  3. Por el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, que usará su UNIDAD TÉCNICA DE ANÁLISIS si la tuviere, o
  4. Por una empresa externa especializada.

El resultado de la investigación pasará a formar parte de la información existente en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN o en la PLATAFORMA DE MONITOREO DE OPERACIONES, lo que mejorará la INFORMACIÓN KYC de toda la empresa.

LA EVALUACIÓN DE LOS FACTORES DE RIESGO

Cada área o departamento que quiera trabajar con el REPOSITORIO PASIVO ubicado en la PLATAFORMA TECNOLÓGICA DE IDENTIFICACIÓN, o con el REPOSITORIO ACTIVO ubicado en la PLATAFORMA DE MONITOREO DE OPERACIONES, tendrá que determinar previamente los  factores de riesgo o estudio,  atendiendo a la finalidad de su análisis.

Para cada área o departamento de la empresa hay un determinado RIESGO KYC, que tiene que ver con el CONOCIMIENTO PASIVO DE LOS CLIENTES, o con el ACTIVO, es decir, que afecta a lo que la empresa conoce de los clientes, o a la forma  en que los clientes se comportan dentro de la  organización.

Como esta ficha está dedicada a la prevención del blanqueo de capitales y de la financiación del terrorismo, voy a analizar cómo se definen los FACTORES DE RIESGO  en esta materia,  mediante un MODELO similar al que expuse en su día cuando traté el riesgo de fraude interno.

La metodología para este proceso se basa en el “Marco de Control” formulado por el informe COSO (Committee of Sponsoring Organizations – COSO – de la Treadway Commisión), versiones 1992 y 2004.

Si analizamos desde el punto de vista operativo, tanto las Directivas sobre prevención del blanqueo de capitales, como la Ley 10/2010, comprobaremos que están diseñadas bajo criterios COSO. Según estos criterios, la prevención del blanqueo constituye un proceso más dentro del CONTROL INTERNO de la empresa, en el que deberá estar involucrado todo el personal de la organización (Consejo de Administración, Dirección y resto del personal).

Como sucede con cualquier otra materia de control interno, para poder desarrollar el proceso de control del blanqueo de capitales y de la financiación del terrorismo, previamente la empresa deberá establecer un ENTORNO DE CONTROL (primer principio COSO), que no es más que implantar la cultura empresarial necesaria para la prevención en esta materia.

El primer elemento para esta cultura será la formación de los empleados exigida por el Artículo 29 de la Ley 10/2010, al que acompañarán los restantes elementos especificados en las medidas de control interno del Artículo 26. Todas estas medidas pasarán   a formar parte de la filosofía de gestión de la empresa, y serán asumidas por el Consejo de Administración y por la Alta Dirección.

Según el Artículo 26, las medidas de control interno tendrán que sustanciarse  por escrito y se aplicarán a través de las políticas y procedimientos adecuados en materia de, diligencia debida (objeto de esta ficha), información, conservación de documentos, control interno,  evaluación y gestión de riesgos (objeto de esta ficha),  garantía de cumplimiento de las disposiciones pertinentes y  comunicación.

También obligarán a la aprobación  por escrito y a la aplicación, de una política expresa de admisión de clientes, que lógicamente estará basada en la previa definición de los factores de riesgo que afectan a la “cartera de clientes” y a la “operativa de clientes”.

LA EVALUACIÓN DE LOS FACTORES DE RIESGO

La evaluación del riesgo de blanqueo y de financiación del terrorismo, respecto a los clientes y a los productos u operaciones, forma  parte del segundo criterio COSO.

Esta evaluación, como las restantes evaluaciones de riesgo dentro de la empresa,  ha de realizarse de forma continuada, con el fin de identificar a tiempo las potenciales amenazas y las debilidades que tiene la organización en esta materia. Se harán mediante la estructura operativa y el procedimiento  establecidos por la  Ley 10/2010.

En el Artículo 26, se especifica la estructura operativa que los sujetos obligados deben establecer, que constará de un órgano adecuado de control interno responsable de la aplicación de las políticas y procedimientos, que contará, en su caso, con representación de las distintas áreas de negocio, y que se reunirá levantando acta expresa de los acuerdos adoptados, con la periodicidad que se determine en el procedimiento de control interno. Igualmente tendrá que designarse  un representante ante el SEPBLAC, que será responsable del cumplimiento de las obligaciones de información establecidas en la Ley 10/2010.

Dentro del sector financiero esta estructura se ha consolidado en la práctica mediante el:
  • Órgano de Control Interno y Comunicación (OCIC), y el
  • Departamento de Prevención del Blanqueo de Capitales, bajo el control del Representante ante el SEPBLAC.


El OCIC es una figura de gobierno corporativo, que ha de actuar como cabeza política de la prevención, y que tiene al Departamento de Prevención del Blanqueo como el instrumento operativo de ese gobierno corporativo.

Será por tanto el OCIC el que prepare a la Alta Dirección, que representa legalmente al sujeto obligado, las políticas y procedimientos adecuados en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía de cumplimiento de las disposiciones pertinentes y comunicación, así como la política expresa de admisión de clientes.

La Ley 10/2010 establece que el OCIC será una estructura transversal de cumplimiento en la que estarán representadas las direcciones generales con estructura vertical (producción, comercialización, etc.) que resulten afectadas por la norma.

La razón de que en esta estructura de gobierno corporativo estén los máximos directivos, radica en que no podrá establecerse el necesario entorno de control del blanqueo de capitales dentro de la empresa, si los directores generales que han de aplicar las NORMAS dentro de sus respectivas áreas de decisión, no comprenden su necesidad y tienen al mismo tiempo una visión trasversal de toda la actividad de cumplimiento.

Como los Miembros oficiales del OCIC tienen que atender fundamentalmente a su trabajo de gestión y producción, soy de la opinión que dentro de cada dirección general exista un RESPONSABLE DE CUMPLIMIENTO, o persona de confianza que estará integrada en su equipo directivo. El conjunto de los Responsables de Cumplimiento constituirá el OCIC DELEGADO, y que será el que trabaje de forma coordinada con el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO,  esta materia específica.

El DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO, dirigido por el Responsable ante el SEPBLAC, es el órgano especializado que tiene que preparar la base argumental para las diferentes políticas que debe diseñar y aplicar el OCIC.

Este Departamento tendrá la ayuda del OCIC DELEGADO, que como he indicado, estará constituido por los profesionales de cumplimiento que trabajan dentro de los departamentos en los que han de aplicarse estas políticas, y que, por tanto,  son lo que mejor pueden identificar dentro de sus respectivos departamentos, los potenciales factores de riesgo de blanqueo o de financiación del terrorismo,  inherentes a las actividades de negocio.

Ciñéndonos a la definición de la política expresa de admisión de clientes, el MODELO tendría como objetivos:
  •  la formalización del cumplimiento de  las obligaciones de diligencia debida
  •  la conservación de documentos, y
  •  la evaluación y gestión del riesgo de los clientes, para lo que será necesario determinar primero  sus  factores de riesgo.


Para la consecución del primer objetivo de los señalados arriba, el OCIC debería valorar la conveniencia de la  centralización de toda la información de los clientes en un sólo REPOSITORIO, que estaría dentro de la  PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN.

En las fichas anteriores hemos analizado una forma óptima de cumplimiento de las  dos primeras obligaciones normales de diligencia debida, (identificación formal, identificación del titular real). En ésta estamos analizando la forma de generar alertas para obtener la información necesaria sobre el propósito e índole de la relación de negocios. Para ello, resulta necesario establecer primero un filtro de control, puesto que esta obligación se basa en el riesgo, y posteriormente definir en el mismo los factores de riesgo capaces de producir alertas.

La cuarta obligación normal de diligencia debida, (el seguimiento continuo de la relación de negocios),  servirá para controlar el funcionamiento de la PLATAFORMA DE MONITOREO DE OPERACIONES, y será objeto de estudio en una próxima ficha.

Formalizado el cumplimiento de las obligaciones de diligencia debida, así como la conservación de los documentos  justificativos, tanto de la identificación formal como del propósito e índole de la relación de negocios, se pasaría a la evaluación y gestión del riesgo de los clientes, para lo que la empresa deberá determinar previamente sus FACTORES DE RIESGO, atendiendo a su política de riesgos.

Los FACTORES DE RIESGO que queden definidos para la cartera de clientes, la empresa los introduciría en el filtro tecnológico de control de la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, que trabajará  con los datos del REPOSITORIO PASIVO produciendo alertas. De la misma forma, los FACTORES DE RIESGO que queden definidos para la operativa de clientes, serán introducidos en el filtro tecnológico de control de la PLATAFORMA DE MONITOREO DE OPERACIONES, para que trabaje con los datos del REPOSITORIO ACTIVO, produciendo alertas.

Con este trabajo,  el OCIC  tendría completada la evaluación y gestión del riesgo de los clientes, y pasaría a redactar en formato electrónico,  la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, una parte de la cual será visible para toda la organización, y otra parte sólo para los órganos de dirección y control, y para las autoridades reguladoras.

En la materia de blanqueo, cada empresa trabaja   con dos tipos de factores de riesgo, los que  averigüe y pondere internamente a través del proceso de evaluación del riesgo, y los que le vienen impuestos externamente a través de las autoridades y organismos internacionales.

Algunas entidades se limitan a considerar como factores de riesgo sólo los que le  vienen impuestos externamente, sin tener en cuenta que estos listados son simples históricos obtenidos del análisis internacional de casos de blanqueo de capitales o de financiación del terrorismo, por lo que su sola aplicación no constituye  garantía de cumplimiento. No se debería olvidar que el blanqueo de capitales es un riesgo vivo y en continua evolución, que se va modificando a través de las características de los clientes que se van integrando  en el sector financiero, y especialmente,  por la creación de productos o por la autorización de nuevos tipos de operaciones, lo que obliga a un trabajo continuo de evaluación del riesgo.

Las evaluaciones continuas del riesgo de blanqueo permitirán crear,  y posteriormente hacer evolucionar el MAPA GENERAL DE RIESGO DE BLANQUEO Y DE FINANCIACIÓN DEL TERRORISMO, que tendrá que ser trabajado por el Departamento de Prevención del Blanqueo, en colaboración con el OCIC DELEGADO.

El MAPA GENERAL, se irá construyendo con la  integración de los MAPAS PARTICULARES que se vayan generando en cada área operativa de la empresa, bajo la coordinación del Representante de Cumplimiento, mediante un proceso de participación operativa del  personal de cada área.  Esta investigación resultará posible si se ofrece a los empleados la formación adecuada en materia de blanqueo, puesto que quienes mejor pueden  avisar sobre los riesgos de blanqueo en las operaciones, son los que tienen estas mismas operaciones bajo su responsabilidad directa.

En cada una de las áreas, una vez identificados los riesgos propios de blanqueo,  se hará, junto con el Departamento de Blanqueo de Capitales, :
  1. Una estimación de la importancia de cada riesgo identificado.
  2. Una evaluación de la probabilidad de que el riesgo se materialice dentro del departamento o área.
  3. Una definición de las medidas que deben ser adoptadas para la prevención y para la reacción, si el riesgo llegara a materializarse.


De este trabajo conjunto, una vez ponderado,  se obtendrían los factores de riesgo identificados internamente, a los que habría que sumar los factores de riesgo aconsejados por los organismos nacionales e internacionales.

Habrá factores que tengan que ver con los clientes, y otros que afecten a las operaciones, por lo que los primeros se definirán  en el filtro de control de blanqueo de la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, y los segundos en el filtro de control de blanqueo de la PLATAFORMA DE MONITOREO DE OPERACIONES.

Llegados a este punto, quiero hacer una reflexión acerca de la política de inversiones en tecnología. Sólo cuando la empresa conoce sus factores de riesgo, es  cuando tiene la capacidad necesaria para poder construir y ensamblar tecnológicamente ambas PLATAFORMAS. Para ello podrá contratar, si conoce en profundidad sus necesidades, alguna de las soluciones tecnológicas que ya están comercializadas en el mercado, o podrá diseñar soluciones exclusivas en coordinación con sus informáticos, o podrá decidirse a utilizar herramientas tecnológicas externas, que permitan un uso independiente y una financiación compartida.

Referencia a algunos factores de riesgo aconsejados internacionalmente:

  1. Naturaleza del negocio del cliente.
  2. País en el que vive u opera el cliente.
  3. El volumen anticipado y/o valor de las transacciones del cliente.
  4. Tipo de cuenta o producto financiero solicitado por el cliente.
  5. Si el cliente es una persona con responsabilidad pública (PEP)


Estos riesgos son fundamentalmente bancarios y han surgido de las reflexiones del Grupo Wolfssberg, que reúne al sector bancario mundial, y del Grupo Edmont, compuesto por las Unidades de Inteligencia Financiera (UIF).

Cada uno de los factores de riesgo señalados tiene su propia complejidad.

En relación con la naturaleza del negocio del cliente existe una extensa literatura que tiene que ver con determinados tipos de negocios, y en la propia Ley aparecen algunos de ellos.

En relación con el país que vive u opera el cliente,  cada cierto tiempo se publican listados de países de riesgo que deben ser tenidos en cuenta para segmentar a los clientes. Este es un procedimiento que ayuda a homogeneizar el tema en el ámbito internacional.

Los restantes factores de riesgo aconsejados internacionalmente, deben ser trabajados por cada sujeto obligado de forma interna, en base a su particular política de riesgos, con lo que establecerá su propia segmentación de clientes. (Volumen anticipado y/o valor de las transacciones del cliente, y tipo de cuenta o producto financiero solicitado por el cliente)

En relación con el control PEP, según la Ley 10/2010 estará basado en el riesgo, por lo que será la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN la que, cuando salte una alerta de riesgo, pondrá en funcionamiento de forma automática este control y por tanto,  accederá a los listados PEP propios o contratados.

Tanto para los riesgos definidos internamente, como para los aconsejados en el ámbito internacional, las entidades deben establecer procedimientos objetivos, claros e inequívocos, que permitan orientar al personal sobre la forma en la que tienen que programarse los filtros de control para cada factor de riesgo identificado.


Referencia al programa correctivo de la información sobre clientes antiguos

Según la Ley 10/2010 en su Disposición transitoria séptima, la fecha límite para la remediación de la INFORMACIÓN KYC de la cartera  de clientes anteriores a la aplicación de la Ley,  será el 29 de abril de 2015.

Esta fecha no será problema para las empresas que tengan una cartera limitada de clientes, pero el proceso podría complicarse en aquellas empresas  que tengan un número elevado de clientes antiguos.

La solución a este problema la aporta la propia Ley, al introducir en este control los factores de riesgo.
En las “medidas normales de diligencia debida”, la empresa trabajará de forma simultánea en dos procesos operativos:
  • Con los nuevos clientes que se vayan incorporando, a los que aplicará las medidas de diligencia debida desde el inicio de la relación de negocios, y en base a los  factores de riesgo definidos.
  • Con los clientes antiguos, que ya estarán también  integrados en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN.


Como en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN estarán  incluidos los factores de riesgo en el filtro de control de blanqueo, la base histórica de clientes se segmentará automáticamente en el sistema, en base a los riesgos detectados.

A partir de ese momento hay que iniciar el trabajo de remediación de la información de los clientes antiguos, partiendo de los clientes de más riesgo a los de menos riesgo.

En este trabajo  de remediación de la información, se debería comenzar solucionando  los problemas derivados de la identificación formal.

En el proceso de remediación han de equilibrarse las amenazas reales, con los costes necesarios, y los trastornos que el programa puede causar al negocio  o a los clientes.

Este equilibrio puede conseguirse mediante estos dos criterios:
  1. Criterio proactivo, que la empresa utilizará con aquellos clientes antiguos en los que se detecten factores de alto riesgo.
  2. Criterio reactivo, que la empresa utilizará para aquellos otros clientes en los que los factores detectados sean de bajo riesgo, y por tanto,  se puede esperar a que sean los propios clientes los que inicien el proceso, abriendo una nueva cuenta, realizando una operación de riesgo,  o iniciando un nuevo negocio.


En los clientes de alto riesgo, la empresa no ha de tener miedo en comunicarse con ellos para completar la INFORMACIÓN KYC, puesto que existen motivos de seguridad interna, que son superiores a las molestias que pudiera causar esta gestión a los clientes afectados.

El programa correctivo, además de su utilidad para el control AML,  beneficiará a los procesos que pudieran hacerse con la cartera de clientes, como por ejemplo aquellos que pretenden alcanzar  una mayor eficacia y diferenciación de las actividades de marketing y ventas, o aquellos otros que tratan de depurar la información eliminando duplicaciones y cuentas durmientes.

El proceso se irá desarrollando teniendo en cuenta el volumen de las cuentas de clientes a analizar, las prioridades por riesgo alto, y las limitaciones tecnológicas y de personal.

Con los clientes antiguos de mayor riesgo, un buen trabajo que podría hacer el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO sería la comprobación de su histórico de operaciones, por si fueran detectables operaciones sospechosas o inusuales que aconsejaran un EXAMEN ESPECIAL, adelantándose así a posibles situaciones de riesgo no previstas en su día, que serían comunicadas al SEPBLAC justificando la forma en que se han encontrado. Podrían conseguirse así el conocimiento de nuevas operaciones de riesgo.


LA INVESTIGACIÓN DEL PROPÓSITO E ÍNDOLE DE LA RELACIÓN DE NEGOCIOS

Cuando se produce una alerta de blanqueo en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, es porque la empresa ya la tiene programada con su particular política de riesgos, y por tanto se procederá a su resolución, o a  la investigación del propósito e índole de la relación de negocios.

Según el Artículo 7. 1, párrafo segundo: “Los sujetos obligados deberán estar en condiciones de demostrar a las autoridades competentes que las medidas adoptadas tienen el alcance adecuado en vista del riesgo de blanqueo de capitales o de financiación del terrorismo mediante un previo análisis de riesgo que en todo caso deberá constar por escrito.”

Esta alerta habrá llegado al DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO DE CAPITALES, que será el que valore el factor de riesgo causante de la misma.

Los datos que habrán originado la alerta tendrán que ver con alguno de los siguientes  procesos generados en el “front-office”:
  • La obtención de información sobre el propósito e índole prevista de la relación de negocios.
  • La obtención de información a fin de conocer la naturaleza de su actividad profesional y empresarial.
  • La comprobación razonable de la veracidad de la información aportada por el cliente.


Valorando el interés operativo de la alerta y su gravedad, el DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO decidirá lo siguiente:
  1. Remitir al Responsable de Cumplimiento del área o departamento que hubiera introducido los datos, la gestión precisa que debiera ser completada, o,
  2. Asumirá la investigación que deba hacerse a través de su Unidad Técnica, o,
  3. Remitirá la alerta  al DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, o,
  4. Contratará la investigación a una empresa externa, si tiene capacidad para ello.


Ya he indicado que para algunas empresas podrá ser rentable montar en el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE una UNIDAD TÉCNICA DE ANÁLISIS, para las investigaciones que tienen que ver con las “medidas normales de diligencia debida”, reservando la UNIDAD TÉCNICA que se indica en el Artículo 26, sólo para las investigaciones que tienen que ver con el EXAMEN ESPECIAL del Artículo 17, porque si esta  última UNIDAD TÉCNICA se dedicara también a las “medidas normales de diligencia debida” fácilmente podría quedar  colapsada en breve tiempo.

También podría resultar de interés para este tipo de investigaciones, la contratación de empresas externas especializadas en base al Artículo 8 de la Ley 10/2010, con lo que la empresa reduciría  los costes de mantener en el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, una UNIDAD TÉCNICA DE ANÁLISIS.

En cualquiera de los dos supuestos, las UNIDADES TECNICAS INTERNAS, o las EMPRESAS EXTERNAS ESPECIALIZADAS, deberán contar con analistas y con la tecnología adecuada para:
  • Aplicar  procedimientos de verificación de la actividad declarada por el cliente.
  • Obtener información ajena al propio cliente sobre la actividad declarada
  • Informar al DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO, de los documentos que guarden relación con la actividad declarada,  para que sean solicitados al cliente a través del “front-office”, y poder seguir profundizando en la investigación.



CONSIDERACIONES FINALES

En las fichas anteriores  expliqué la forma de  verificar, por parte del “front-office” de la empresa, los documentos fehacientes de identificación, y de recabar los restantes documentos justificativos de la relación de negocios.

En esta ficha estoy estudiando la parte de INFORMACIÓN KYC que sirve para completar la INFORMACIÓN PASIVA de los clientes, a través del conocimiento del propósito e índole de la relación de negocios.

El conocimiento del cliente es algo más que los datos recabados para la apertura de una cuenta o para el establecimiento de un negocio, o la operativa adecuada para controlar el registro de sus operaciones.

El conocimiento del cliente obliga a la definición de una política de aceptación de los clientes, que ha de tener estas dos características:
  1. Establecimiento de un programa de DUE DILIGENCE que permita la segmentación de los clientes en función del riesgo.
  2. Establecimiento de mecanismos proactivos de monitorización de operaciones, que sean capaces de descubrir actividades sospechosas.


Es necesario hacer hincapié en que la calidad de estos datos resulta imprescindible para el cumplimiento de las obligaciones legales, pero también para el funcionamiento productivo y comercial de cualquier organización, y para el éxito de cualquier tecnología de verificación o de monitoreo que se quiera aplicar. Por ello resulta necesario establecer un MODELO de la forma en que puede organizarse operativamente esta información.

La INFORMACIÓN KYC tiene que ser tratada  como una cuestión de negocio y no simplemente como una cuestión de cumplimiento, aunque el procedimiento que se utilice para mejorar su calidad sea el que se establece en  la Ley 10/2010 para las medidas normales de diligencia debida.

Para el amejoramiento de la calidad, teniendo en cuenta la limitación de los recursos, la empresa tiene que basarse en criterios de riesgo. Sólo así podrá utilizar estos recursos limitados para encontrar las amenazas más graves que pueden afectar a la organización.

Resulta razonable utilizar el procedimiento AML para mejorar la calidad de la  INFORMACIÓN KYC de toda la empresa, puesto que este procedimiento es más exigente que el que existe en otros  procesos de cumplimiento, y adoptándolo, la empresa evita duplicaciones y concentra esfuerzos y recursos de una forma mucho más eficaz, al mismo tiempo que se preserva  de graves riesgos económicos y reputacionales.

El enfoque basado en el riesgo no es una opción económica, puesto que exige elevadas inversiones en tecnología, la contratación de personal muy cualificado, y un buen sistema de formación de los empleados, por lo que resulta necesario rentabilizarlo.

Para un buen tratamiento de la INFORMACIÓN KYC, es aconsejable la centralización de toda la información KYC en un solo REPOSITORIO, que en este trabajo está diferenciado en sus dos partes, de INFORMACIÓN PASIVA y de INFORMACIÓN ACTIVA, que podrá ser explotado por toda la organización siempre que se respeten determinadas garantías de seguridad y confidencialidad.

Pero también resulta necesario conocer muy bien el funcionamiento de la empresa para saber establecer los perfiles de clientes y de operaciones que se consideran “normales”, para así saber diferenciar con rapidez los perfiles de riesgo y las operaciones sospechosas.

La calidad de la INFORMACIÓN KYC constituye una exigencia internacional, especialmente para el sector financiero, porque cuando una entidad perteneciente a este sector acepta a un cliente, le está abriendo las puertas para que pueda operar en el ámbito nacional e internacional. Es por ello por lo que resulta obligado que, especialmente la entidades financieras,  identifiquen adecuadamente a sus clientes y conozcan el propósito e índole de la relación de los negocios que van a asumir con ellos, para preservar así el riesgo de blanqueo de capitales y de la financiación del terrorismo,  y su propia reputación.

Algunos de estos factores de riesgo han sido impuestos por los organismos internacionales, aunque otros deberán ser obtenidos del análisis de la actividad operativa y del perfil de los clientes de la propia empresa. Para este trabajo de investigación interna, que debe ser realizado por el OCIC con la colaboración de DEPARTAMENTO DE PREVENCIÓN DEL BLANQUEO, puede ser de mucha utilidad un trabajo previo de homogeneización de factores, que podría realizarse dentro de los grupos que componen la COMISIÓN AML.


Fabián Zambrano Viedma
Responsable del Servicio de Información de los Sujetos Obligados (SISO)






jueves, 8 de marzo de 2012

LA IDENTIFICACIÓN DEL TITULAR REAL




PLANTEAMIENTO PREVIO

Las medidas normales de diligencia debida deberían ser abordadas dentro de la empresa,  bajo criterios de negocio y no sólo bajo criterios de cumplimiento,  porque  incrementan la calidad de la información sobre la cartera de clientes, beneficiando así el funcionamiento general de la empresa. Estas medidas, por tanto, son muy rentables.

Al tratar en las fichas anteriores el tema de la identificación formal, no me centré en la función económica que tiene dentro del contexto operativo-empresarial de negocio. Sí hice referencia a que esta primera medida normal de diligencia debida, constituye la piedra angular sobre la que la empresa ha de construir el edificio de la DUE DILIGENCE, y a que es la medida básica de seguridad,  sobre  la que tiene que fundamentar su política de riesgos con los clientes y de prevención del fraude. Igualmente resulta imprescindible  para el buen funcionamiento   de la política comercial.

La identificación formal no admite excepciones y deberá ser cumplida por todos los sujetos obligados. La Ley 10/2010 sólo deja abierto un resquicio de no obligatoriedad en el Artículo 10.3, párrafo segundo, aunque las posibles excepciones deberán ser especificadas de forma taxativa por el nuevo Reglamento,  y que dice así: “Asimismo, reglamentariamente podrá autorizarse la no aplicación de todas o algunas de las medidas de diligencia debida en relación con aquellas operaciones que no excedan un umbral cuantitativo, bien singular, bien acumulado por períodos temporales, que, con carácter general, no superará los 1.000 euros.”


A partir de  esta ficha inicio el análisis del resto de las medidas normales de diligencia debida, y lo haré bajo el doble criterio señalado de cumplimiento y de negocio, para lo que considero interesante desarrollar el concepto de:

INFORMACIÓN KYC (Know Your Customer – Conoce a tu cliente)

Para  obtener información de los clientes con la calidad KYC, resulta necesario estructurar la empresa para que funcione mediante PROCESOS KYC, tanto en el establecimiento de la relación de negocio (1), como durante los dos siguientes momentos en los que la información de los clientes  puede ser modificada (2 y 3):
  1. En el momento de la apertura de las cuentas de los clientes.
  2. En el momento en que los clientes quedan segmentados en base al riesgo,  y se procede a la remediación de la información existente de cada uno de ellos.
  3. En el momento en que los clientes cambian su perfil de riesgos, mediante la apertura de nuevas cuentas o la realización de nuevos negocios, o a través del control de su operativa.

En las tres fichas anteriores he analizado  la forma de  realizar la identificación formal para que tenga calidad KYC, apuntando en las mismas  a la necesidad de la centralización operativa de dicha información, que es el concepto que ampliaré seguidamente.

Centralización operativa de la información de los clientes

Para poder funcionar mediante procesos KYC, será conveniente la CENTRALIZACIÓN DE TODA LA INFORMACIÓN DE LOS CLIENTES en  una plataforma tecnológica que contenga todos los EXPEDIENTES DE IDENTIFICACIÓN definidos  en una ficha anterior.

Esta base de datos estará alimentada por todos los repositorios que pudieran existir dispersos entre las distintas divisiones administrativas, y especialmente entre los departamentos pertenecientes al “front-office” de la empresa.

La PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, debería ser considerada por la empresa como una herramienta de negocio y nunca sólo como una herramienta de cumplimiento. Esta concepción permite la existencia de un proceso de ida y vuelta (feedback) en la información,  que termina realimentando con información verificada,  al nivel de detalle que se considere necesario,  cualquier base de datos interna que previamente alimente a la Plataforma.

Con todo, yo soy partidario de que cualquier departamento de la empresa tenga acceso directo a ésta base de datos de clientes KYC centralizada, obteniendo de la misma de forma selectiva, sólo aquella información necesaria para su actividad profesional, lo que evitaría la existencia de repositorios particulares de datos.

Al ser alimentada la plataforma centralizada KYC por toda la estructura empresarial, cualquier dato de clientes que se introdujera a través del “front-office” y que fuera incongruente con el existente en la base de datos, produciría una alerta que tendría que ser comprobada por el departamento que introdujo la última información, siempre que esa información por su interés, no tuviera que ser valorada directamente por el ÁREA DE INVESTIGACIÓN INTERNA DE LOS DELITOS FINANCIEROS, que como vimos en una ficha anterior, estaría coordinada por el Departamento de Prevención del Blanqueo de Capitales y el Departamento de Prevención del Fraude.

Como la centralización de la información dará lugar previsiblemente a numerosas incongruencias en la información de los clientes, la empresa ha de tener previsto un PROGRAMA DE REMEDIACIÓN DE LA INFORMACIÓN KYC, con el objetivo de que los datos de los clientes sean completos, exactos y actualizados. Este programa se pondría en funcionamiento a partir de los clientes de mayor riesgo, que conoceremos por la segmentación de los mismos efectuada por la propia  plataforma.

La Ley 10/2010, en su Disposición transitoria séptima, pone fecha límite para la remediación de la información KYC, al establecer en cinco años el plazo máximo para la aplicación de las medidas de diligencia debida a los clientes existentes, plazo que terminará el 29 de abril de 2015. No hemos de olvidar tampoco que una parte de esas medidas de diligencia debida, como es la obligación de almacenar las copias de los documentos de identificación en soportes ópticos, magnéticos o electrónicos, establecida en el Artículo 25.2., ha tenido como plazo límite el 29 de abril de 2012, según lo establecido en la Disposición final séptima de la Ley.

Muchas empresas ya llevan tiempo en el proceso de aplicación de las medidas de diligencia debida a su cartera de clientes, por lo que el Modelo que expongo no les será  aplicable en todas sus fases.

Partimos para el análisis,  de una empresa que empieza  en este momento a aplicar el Modelo.

Se encontraría conque, una vez centralizada su información sobre clientes, la Plataforma le segmentaría su cartera en base al riesgo total (con ponderación de negocio y cumplimiento), con lo que procedería a poner en funcionamiento su programa de amejoramiento KYC, empezando por los clientes de más riesgo. Para ello verificaría todas las incongruencias existentes en los datos, ya sea de forma descentralizada a través de los departamentos pertenecientes al “front-office” y especialmente por el área comercial, o mediante el área de investigación interna de los delitos financieros, en los casos que sean más delicados.

Teniendo en cuenta la legislación sobre prevención del blanqueo, las entidades llevarían de forma paralela dos procesos de REMEDIACIÓN KYC: 
  • El primero tiene que ver con el archivo de las copias de los documentos de identificación en soportes ópticos, magnéticos y electrónicos (que debería ya estar finalizado desde el 29 de abril de 2012)
  • El segundo se refiere a la aplicación de las medidas de diligencia debida a los clientes existentes (que finalizará el 29 de abril de 2015)

Con ocasión del archivo en soportes ópticos magnéticos y electrónicos de las copias de los documentos de identificación, las empresas deberían haber puesto en marcha la aplicación de la primera medida normal de diligencia debida a toda su cartera de clientes, y que se refiere a la verificación de la identificación formal.

El objetivo será evitar que existan incongruencias en los datos de identificación y localización de los clientes, informatizando para ello el EXPEDIENTE DE IDENTIFICACIÓN si aún se encontrara en papel.

Al informatizar el EXPEDIENTE DE IDENTIFICACIÓN, la propia plataforma tecnológica de identificación recabará de los ficheros de texto que pasen a formar parte del EXPEDIENTE, aquellos datos de interés para el proceso KYC y que servirán para el conocimiento de los clientes.

En lo relativo al archivo de las copias de los documentos de identificación en soportes ópticos, magnéticos y electrónicos, bajo mi criterio se cumplirá con el  Artículo 25.2, si las fotocopias de los documentos que históricamente se utilizaron para la verificación de la identidad, quedan escaneadas,  y se archivan de forma que se pueda asegurar su adecuada gestión y disponibilidad, tanto a efectos de control interno, como de atención en tiempo y forma a los requerimientos de las autoridades.

En los casos en los que aparezcan incongruencias en los datos de identificación se deberá contactar con los clientes para proceder de nuevo a la identificación formal,  contrastando también los datos de los clientes con los ficheros centralizados de prevención del fraude, tal como lo posibilita el Artículo 33.3 de la Ley 10/2010.

Las siguientes MEDIDAS DE DILIGENCIA DEBIDA, (identificación del titular real, y el propósito e índole de la relación de negocios), constituye el segundo proceso de remediación KYC, que se irá cumplimentando progresivamente en base al riesgo detectado y a las posibilidades operativas de los equipos de trabajo que deban intervenir en el programa de amejoramiento KYC.

Para que la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN pueda segmentar a los clientes en base al riesgo, los factores de riesgo habrán tenido que ser previamente definidos por la empresa, dependiendo del tipo de cliente, de la relación de negocios, y del producto y operación. Este trabajo deberá estar recogido en la política expresa de admisión de clientes referenciada en el Artículo 26 de la Ley 10/2010, y según se indica en el Artículo 7.1 de la misma Ley.

Debo señalar también, que la última de las medidas de diligencia debida, el seguimiento continuo de la relación de negocios tiene que ver con el MONITOREO DE LAS OPERACIONES, y se realizará a través de su plataforma específica.

Durante el proceso de MONITOREO DE LAS OPERACIONES  se podrán producir   alertas que modificarán la situación de riesgo de los clientes afectados, con lo que su análisis KYC podría verse modificado, y cambiar por tanto su situación en la escala de prioridades.

Para la aplicación de las medidas normales de diligencia debida hemos de utilizar, por tanto, dos plataformas tecnológicas que se interrelacionan y de las que hablaremos con más detalle en las siguientes fichas:
  • LA PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN
  • LA PLATAFORMA DE MONITOREO DE LAS OPERACIONES

Ambas plataformas constituyen el sistema de prevención de riesgos de la empresa, que estará al servicio de los departamentos de prevención de riesgos y recuperaciones, y de los departamentos de cumplimiento, como pueden ser el Servicio de Prevención del Blanqueo y el Servicio de Prevención del Fraude.


Una vez planteadas las líneas generales referidas al  control de las operaciones de  diligencia debida, paso a analizar con más detalle el tema concreto de la:

LA IDENTIFICACIÓN DEL TITULAR REAL

La identificación del titular real, constituye la segunda medida normal de diligencia debida.

Esta medida la tenemos que analizar no sólo desde la óptica del cumplimiento AML, sino también desde el interés que tiene para controlar  el riesgo general de la empresa.

Es tanta su importancia para este último objetivo, que para algunas entidades financieras, la exigencia del conocimiento de las personas físicas que pudieran estar detrás de  las personas jurídicas, se controla en unos porcentajes  inferiores de participación accionarial a los que están establecidos en la Ley 10/2010.

Nosotros vamos a trabajar con los porcentajes legales de participación accionarial definidos por la Ley 10/2010.

Se considera titular real, según el Artículo 4.2 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, a las siguientes personas físicas:
  1. (a) La persona o personas físicas por cuya cuenta se pretenda establecer una relación de negocios o intervenir en cualesquiera operaciones.
  2. (b) La persona o personas físicas que en último término posean o controlen, directa o indirectamente, un porcentaje superior al 25 por 100 del capital o de los derechos de voto de una persona jurídica, o que por otros medios ejerzan el control, directo o indirecto, de la gestión de una persona jurídica. Se exceptúan las sociedades que coticen en un mercado regulado de la Unión Europea o de países terceros equivalentes.
  3. (c) La persona o personas físicas que sean titulares o ejerzan el control  del 25 por 100 o más de los bienes de un instrumento o persona jurídicos que administre o distribuya fondos, o, cuando los beneficiarios estén aún por designar, la categoría de personas en beneficio de la cual se ha creado o actúa principalmente la persona o instrumento jurídico.

Según el Artículo 4.1 de la Ley 10/2010, y limitándonos al riesgo AML, éste sería el procedimiento operativo de control que tendría que ser realizado:
  • Los sujetos obligados identificarán al titular real, y
  • Adoptarán medidas adecuadas a fin de comprobar su identidad con carácter previo al establecimiento de relaciones de negocio o a la ejecución de cualesquiera operaciones.

Desde el punto de vista práctico, y ampliando esta obligación al riesgo general de la empresa, el carácter previo o no de la identificación del titular real, vendrá señalado al generarse una alerta en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN una vez se introduzcan en la misma desde el “front-office” los datos de la persona jurídica,  y éstos se filtren a través de los factores de riesgo establecidos para cada tipo de clientes, en este caso para las personas jurídicas, para la relación de negocio que se pretenda establecer, y para el producto u operación que se quiera contratar a través de  esta persona jurídica.

Si en el proceso automatizado saltara algún filtro, la alerta se derivaría hacia el departamento que lo hubiese introducido, que será el que ponga en marcha el proceso básico de identificación del titular real que estamos comentando.

En lo que sigue vamos a trabajar con la hipótesis de una alerta AML que llegará al Departamento de Prevención del Blanqueo. Este Departamento procederá a recabar  información para determinar la estructura accionarial o de control que hay detrás de la  persona jurídica que tiene que ser analizada.

El trabajo de investigación podría hacerse de dos formas:
  1.  Dentro de la empresa
  2. Mediante una empresa externa contratada al efecto.

En ambas formas, la investigación tiene como finalidad el levantamiento del velo en la identificación, que es una expresión muy utilizada en los medios jurídicos para explicar el objetivo al que se pretende llegar mediante la investigación de los delitos contra el patrimonio y el orden socioeconómico, entre los que se encuentra  el blanqueo de capitales y la financiación del terrorismo, pero que es perfectamente adecuado para evitar otros tipos de riesgos socioeconómicos que podrían afectar a la empresa.

Si la empresa fuera partidaria de realizar este tipo de investigaciones de forma interna, soy del criterio de que debería contar con un ÁREA DE INVESTIGACIÓN DE LOS DELITOS FINANCIEROS, y de que ésta debería estar coordinada por el Departamento de Prevención del Blanqueo y el Departamento de Prevención del Fraude, utilizándose   en beneficio de toda la empresa para una mejor rentabilización.

El hecho de que ésta Área esté bajo la coordinación operativa de los Departamentos de Prevención del Blanqueo y de Prevención del Fraude, tiene su justificación en que la información generada por la investigación, además de servir para el departamento que la haya necesitado, servirá en todos los casos para la prevención del blanqueo y para la prevención del fraude, por lo que resulta lógico que esta información esté centralizada en estos departamentos de cumplimiento.

La existencia de un ÁREA DE INVESTIGACIÓN DE LOS DELITOS FINANCIEROS como entidad independiente, tiene su sentido en la especialización de sus analistas y en los medios tecnológicos con los que deberá estar dotada, así como en la necesidad de que el Departamento de Prevención del Blanqueo y el Departamento de Prevención del Fraude, de los que depende,  queden liberados de este trabajo específico para dedicarse de forma exclusiva a sus materias de cumplimiento.

Igualmente, la rentabilización de esta Área  aconseja que se utilice para la confección de informes de investigación que sirvan para la toma de decisiones de la Alta Dirección y especialmente para los Departamentos de Análisis de Riesgos y/o de Recuperaciones, que así quedarán también liberados  de estos trabajos para centrarse  en su actividad específica.

Si, por el contrario,  la empresa se decidiera por un proceso de investigación externa contratada, los resultados deberían estar también controlados por los Departamentos de Prevención del Blanqueo y de Prevención del Fraude, sin perjuicio del conocimiento que deba tener del informe el departamento que propició la alerta.

Volviendo al tema específico de la necesidad de identificación del titular real, ya sabemos que en los procesos automatizados,  la obligación vendrá determinada por la política de riesgos que se haya introducido en la PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN, que será la que ponga en funcionamiento el sistema de alertas.

Sólo si la alerta fuese por blanqueo de capitales o financiación del terrorismo, esa investigación del titular real se haría con carácter previo al establecimiento de la relación del negocio, tal como se establece por la Ley 10/2010. Pero podría suceder también, que para otros tipos de riesgos, la empresa decidiera establecer  la identificación del titular real con carácter previo a la relación de negocio.

Hay otro momento operativo que puede llevarnos a la necesidad de la identificación del titular real, aunque esta obligación no hubiese sido necesaria en el momento del establecimiento de la relación de negocio. Me refiero a la alerta que pudiera surgir  en el transcurso de la operativa de la persona jurídica. En este caso, sería  la PLATAFORMA DE MONITORIZACIÓN DE OPERACIONES, con su sistema de alertas, la que cambiaría el riesgo de la persona jurídica,  y por tanto, obligaría a la identificación del titular real.

Las plataformas tecnológicas y la planeación del riesgo

Una empresa que tenga un volumen notable de clientes, y operativas mínimamente complicadas, necesita tener informatizado el riesgo, para lo que deberá utilizar alguna PLATAFORMA TECNOLÓGICA DE CUMPLIMIENTO que le permita la automatización de los procesos.

Yo he apuntado como solución en el MODELO,  a dos plataformas tecnológicas independientes pero interconectadas, aunque las soluciones pueden ser variadas, atendiendo a lo que ya existe en el mercado o puede ser montado por los informáticos:
  •  LA PLATAFORMA CENTRALIZADA DE IDENTIFICACIÓN
  • LA PLATAFORMA DE MONITOREO DE LAS OPERACIONES

Según la ley 10/2010, la primera plataforma podría ser contratada externamente (Artículo 8 que habla de la aplicación por terceros de las medidas de diligencia debida), pero la segunda no, puesto que controla el seguimiento continuo de la relación de negocio, que no permite la tercerización.

La automatización del funcionamiento de ambas PLATAFORMAS ha de ser planificada previamente, sobre la base mínima establecida en el  art. 7 de la Ley 10/2010, que permite la aplicación de estas medidas de diligencia debida en base a los siguientes criterios:
  • en función del riesgo
  • dependiendo del tipo de cliente, y
  • de la relación de negocios, producto u operación.

Para ello se deberán cumplir las medidas de control interno especificadas en el Artículo 26 de la Ley 10/2010, aprobando por escrito y aplicando las políticas y procedimientos adecuando en materia de diligencia debida, que deberán estar recogidos en la política expresa  de admisión de clientes.

No es objeto de esta ficha el análisis de estas medidas de control interno, que serán la suma de las medidas de cumplimiento (control de prevención del blanqueo y control del fraude) y de las medidas de control del riesgo de negocio. Ambos tipos de medidas habrán sido definidas por el Órgano de Control Interno y comunicación (OCIC), mediante un proceso de investigación del que se tratará en fichas posteriores.

En lo que se refiere a las medidas de control interno que afectan a la prevención del blanqueo de capitales y de la financiación del terrorismo, debo indicar lo siguiente:

Hay clientes, productos y operaciones en los que no tiene aplicación esta segunda medida normal de diligencia debida. Estas excepciones están recogidas en la Sección 2ª del Capítulo II de la Ley 10/2010, que habla de las medidas simplificadas de diligencia debida. El nuevo Reglamento establecerá nuevas excepciones a esta obligación, en cuyo caso se aplicarán también las medidas simplificadas  de diligencia debida, por lo que no será necesaria la identificación del titular real.

El área de investigación de los delitos financieros

Una especial mención merece la MESA DE ANÁLISIS  que he denominado a lo largo de este trabajo como ÁREA DE INVESTIGACIÓN DE LOS DELITOS FINANCIEROS, y que tiene que llevar a cabo la investigación que permita la IDENTIFICACIÓN DEL TITULAR REAL.

Mantener una MESA DE ANÁLISIS propia, puede ser rentable para un gran banco o una empresa multinacional, pero no para un banco mediano, entidad de financiación del consumo, o  pyme, porque exige mantener un equipo humano muy especializado y un equipo tecnológico de investigación económica,  así como el acceso a diferentes fuentes de información no todas gratuitas.

Ya he indicado anteriormente, que si una empresa se puede permitir tener una MESA DE ANÁLISIS, debería ponerla a disposición de toda la organización y especialmente de la Alta Dirección.

Por el contrario, cuando para una empresa no sea rentable mantener de forma permanente una MESA DE ANÁLISIS, este servicio podría contratarlo a alguna de las empresa existentes, especializadas en la INVESTIGACIÓN ECONÓMICA DEL FRAUDE.

Aún así, siempre resulta aconsejable que dentro de los departamentos de prevención del fraude y de prevención del blanqueo haya algún analista que se encargue de valorar los informes externos desde un punto de vista operativo, y de introducir los datos de interés en  las PLATAFORMAS DE CONTROL DE RIESGOS.

Proceso de investigación del titular real:

El proceso de identificación del titular real tiene diferentes fases cuya ejecución debe planificarse previamente, y contar con diversas herramientas tecnológicas y fuentes de información internas y externas.

Para la identificación del titular real, se deberían seguir, como mínimo, los siguientes pasos:

Primero: Una vez efectuada la DUE DILIGENCE sobre la persona que actúa en representación de la persona jurídica, se procederá a la validación de toda la documentación justificativa recibida, para comprobar que no haya sido falsificada.

Segundo: En base a esta información verificada y cualquiera otra que pueda ser solicitada a la persona que actúa en representación de la persona jurídica, así como con la obtenida de  fuentes internas y externas, se procederá a estructurar el organigrama informativo que nos permita conocer todo lo necesario sobre:
  1. (a) La persona o personas físicas por cuya cuenta se pretenda establecer una relación de negocios o intervenir en cualesquiera operaciones.
  2. (b) La persona o personas físicas que en último término posean o controlen, directa o indirectamente, un porcentaje superior al 25 por 100 del capital o de los derechos de voto de la persona jurídica, o que por otros medios ejerzan el control, directo o indirecto, de la gestión de una persona jurídica, exceptuando las sociedades que coticen en un mercado regulado de la Unión Europea o de países terceros equivalentes.
  3. (c) La persona o personas físicas que sean titulares o ejerzan el control  del 25 por 100 o más de los bienes de un instrumento o persona jurídicos que administre o distribuya fondos, o, cuando los beneficiarios estén aún por designar, la categoría de personas en beneficio de la cual se ha creado o actúa principalmente la persona o instrumento jurídico, para lo que habrá que identificar cada uno de los bienes o instrumentos.

Tercero: Esta información deberá ser preparada mediante herramientas de visualización y análisis que permitan la rápida identificación de conexiones, patrones y tendencias en conjuntos de datos complejos, y resumida en informes concisos que den solución a los objetivos señalados para la investigación.

Cuarta: El expediente de trabajo deberá ir acompañado de copia de toda la documentación justificativa de la investigación realizada.

Comentarios finales

La DUE DILIGENCE es una buena herramienta para el control de los riesgos generales de la empresa, por lo que debe ser rentabilizada al máximo, evitando así las duplicaciones en los sistemas de control de riesgos, como sucedería si para esta materia actuaran de forma independiente los departamentos de blanqueo de capitales, prevención del fraude, análisis de riesgos, recuperaciones, etc.

La necesidad de tecnificación para el cumplimiento de la diligencia aparece en el Art. 17 de de la Ley 10/2010, cuando exige para ello la utilización de aplicaciones informáticas apropiadas, teniendo en cuenta el tipo de operaciones, sector de negocio, ámbito geográfico y volumen de la información, por lo que las entidades han de asumir necesariamente este reto, ya sea en solitario o mediante la colaboración.


Fabián Zambrano Viedma
Responsable del Servicio de Información de los Sujetos Obligados (SISO)