Reflexiones operativas sobre las Unidades Técnicas para el Tratamiento y Análisis de la Información, exigidas por la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo (parte primera)

(Exigencias matizadas por el  Art. 35.3 del Reglamento de la Ley 10/2010)

Las reflexiones  que seguidamente expongo, nacen de la conferencia organizada por ASNEF e impartida el pasado día 1 de julio de 2014 en el Colegio de Economistas de Madrid por Dña. Sonia Gogova, especialista en “Inteligencia Competitiva Aplicada”, que habló sobre las características mínimas que debían de tener las Unidades Técnicas para el Tratamiento y Análisis de la Información exigidas por la Ley 10/2010 y matizadas por el  Art. 35.3 del Reglamento en los siguientes términos:

“Los sujetos obligados, cuyo volumen de negocios anual exceda de 50 millones de euros o cuyo balance general exceda de 43 millones de euros, contarán con una unidad técnica para el tratamiento y análisis de la información.

La unidad técnica deberá contar con personal especializado, en dedicación exclusiva y con formación adecuada en materia de análisis”

Para centrar debidamente estas reflexiones hemos de partir del hecho de que los sujetos obligados que sean entidades de crédito, entidades aseguradoras,  empresas de servicios de inversión, sociedades gestoras de instituciones de inversión colectiva y  sociedades de inversión cuya gestión no esté encomendada a una sociedad gestora,  entidades gestoras de fondos de pensiones,  sociedades gestoras de entidades de capital riesgo y sociedades de capital-riesgo cuya gestión no esté encomendada a una sociedad gestora, sociedades de garantía recíproca, entidades de pago y  entidades de dinero electrónico, así como  el resto de sujetos obligados no especificados arriba, que con inclusión de los agentes ocupen a más de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual supere los 10 millones de euros,  deberán contar con los siguientes órganos de control interno, según el Art. 26 de la Ley 10/2010 y según el Art. 35 del Reglamento:

• Un representante ante el Servicio Ejecutivo de la Comisión
• Un órgano de control Interno (OCI)

Los sujetos obligados referenciados anteriormente, si su volumen de negocio anual excediera de los 50 millones de euros o su balance general anual excediera de 43 millones de euros, habrían de añadir a sus órganos de control interno un tercer componente:

• Una unidad técnica para el tratamiento y análisis de la información

El Reglamento ha venido a clarificar definitivamente una práctica común en muchos  sujetos obligados que, con anterioridad a la publicación de la Ley 10/2010, tenían ya creados:

• Departamentos de prevención del blanqueo de capitales a cuyo frente estaban normalmente  los representantes ante el SEPBLAC.
• Órganos de control interno y comunicación (OCIC’s).

La mayoría de estos sujetos obligados, tras la publicación de la Ley 10/2010, continuaron con la anterior estructura  de prevención del blanqueo de capitales, limitándose a añadir a las funciones de los  OCIC’s  que ya existían dentro de las empresas, las obligaciones AML que la Ley exigía a los Órganos de Control Interno (OCI’s), con lo que en apariencia se cumplía formalmente con la nueva Ley a la espera del futuro Reglamento.

Si analizamos también la actual operatividad de los departamentos de prevención del blanqueo de capitales, veremos que en su estructura existe el embrión de las unidades técnicas para el tratamiento y análisis de la información, puesto que en estos departamentos recae la obligación del examen especial del Art. 17 de la Ley, al mismo tiempo que las labores de “control tecnológico” de la diligencia debida, que como sabemos es una obligación a la que están sujetos todos los departamentos de la empresa que tengan competencia sobre clientes y operaciones.

Con el nuevo Reglamento  habrá que reconfigurar la estructura de los actuales departamentos de prevención del blanqueo, delimitando mucho mejor su parte de “unidad técnica” y su parte de “representación ante el SEPBLAC en la figura de su Director”.

Esta diferenciación resulta muy clara en el Art. 25.2 del Reglamento que trata del examen especial y que dice así:

“Concluido el análisis técnico, el representante ante el Servicio Ejecutivo de la Comisión adoptará, motivadamente y sin demora, la decisión sobre si procede o no la comunicación al Servicio Ejecutivo de la Comisión, en función de la concurrencia en la operativa de indicios o certeza de relación con el blanqueo de capitales o la financiación del terrorismo. (…)”

Como puede observarse, el Reglamento diferencia expresamente la parte de análisis técnico,  de la función primordial del responsable ante el SEPBLAC que viene determinada en el Art. 26.2 de la Ley 10/2010: “El representante ante el Servicio Ejecutivo de la Comisión será responsable del cumplimiento de las obligaciones de información establecidas en la presente Ley, para lo que tendrá acceso sin limitación alguna a cualquier información obrante en el sujeto obligado. (…)”

En puridad, las funciones del representante ante el SEPBLAC según el Art. 26 de la Ley serían las siguientes: la comunicación por indicio (Art. 18 de la Ley), la abstención de ejecución (Art. 19 de la Ley), la comunicación sistemática (Art. 20 de la Ley), la colaboración con la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias y con sus órganos de apoyo (Art. 21 de la Ley), la conservación de documentos (Art. 25 de la Ley), y en cuanto al examen especial del Art. 17 de la Ley, el Reglamento concreta su función en un segundo análisis decisorio, para el que se basará en un análisis técnico independiente. (Art. 25.2).

Dejando al margen lo que pudieran determinar puntualmente los procedimientos de control interno de cada sujeto obligado, en cuanto a la limitación de la capacidad de decisión del representante ante el SEPBLAC en sus funciones específicas de información,  si en estos procedimientos internos se obligara expresamente a que las decisiones de información sean  sometidas previamente a la consideración del órgano de control interno, y dejando al margen también el hecho de que para determinados umbrales mínimos en los que no sea preceptiva la constitución del OCI, el representante ante el SEPBLAC será el que ejerza sus funciones, resulta evidente que el representante ante el SEPBLAC, con el nuevo Reglamento,  no debería asumir, en esta nueva etapa del cumplimiento AML, la responsabilidad del control tecnológico del cumplimiento de la diligencia debida, ni la responsabilidad del examen especial técnico, puesto que si las asumiera sería  a la vez juez y parte, contraviniendo así la letra y el espíritu del Art. 25.2 del Reglamento que hemos analizado anteriormente.

Se haría preciso, por tanto, en donde fuera preciso, una reestructuración de los actuales departamentos de prevención del blanqueo de capitales, para que quedaran perfectamente diferenciadas:

• las funciones de información del representante ante el SEPBLAC, y
• las funciones  reservadas a los especialistas AML de la unidad técnica para el tratamiento y análisis de la información.

Entramos con esta última reflexión en la parte controvertida de mis reflexiones operativas sobre las Unidades Técnicas, y sobre una posible interpretación del Art. 35.3 del Reglamento.

Bajo mi criterio, ni la Ley 10/2010 en su Art. 26.2, ni el Reglamento en su Art. 35.3, determinan que los sujetos obligados que queden dentro del umbral, han de tener  en exclusiva  una unidad técnica para el tratamiento y análisis de la información, puesto que este tipo de unidades operativas  no pueden crearse  dentro de una burbuja departamental; es decir, estas unidades técnicas han de tener estructuras transversales dentro de las organizaciones, y en ellas deberán incluirse especialistas de diferentes  departamentos y hasta especialistas externos si fuera preciso.

Lo que exige realmente el Reglamento en su Art. 35.3 es que dentro de estas unidades técnicas exista personal AML con dedicación exclusiva, puesto que para la información AML existe la prohibición de revelación del Art. 24 de la Ley 10/2010, y porque el acceso sin consentimiento a  determinadas fuentes de información, sólo podrá  hacerse por los especialistas de las unidades técnicas,  puesto que forman  parte de los órganos de control interno  que ya tienen la autorización legal para ello. (Art. 33.4 de la Ley 10/2010)

Si esta reestructuración interna se hiciera de la forma que indico,  los sujetos obligados cumplirían perfectamente con la parte formal del Art. 35.3 del Reglamento que obliga a las empresas que superen el umbral  definido en el Reglamento a que cuenten con una unidad técnica para el tratamiento y análisis de la información con personal en dedicación exclusiva, porque este personal lo compondría la parte del departamento de prevención del blanqueo que no estuviese dedicado específicamente a las labores  derivadas de las obligaciones de información, y todo ello se haría sin incremento de costes.

Tras esta reestructuración, el departamento de prevención del blanqueo, aun conservando este nombre dentro del organigrama empresarial, contendría dos secciones independientes y con direcciones diferenciadas:

• la oficina del representante ante el SEPBLAC  dedicada exclusivamente a las labores de información que es lo que constituyen la responsabilidad fundamental del representante, y
• la unidad técnica AML para el tratamiento y análisis de la información, que se encargaría del control tecnológico del cumplimiento de la diligencia debida por la empresa, y también de la obtención, tratamiento y análisis de la información necesaria para el primer examen especial (análisis técnico), a partir de las alertas abiertas en la plataforma tecnológica de control AML. También se encargaría de aquellas investigaciones preventivas AML que se consideraran necesarias.

Con esta solución los sujetos obligados cumplirían con la exigencia reglamentaria de la dedicación exclusiva del personal perteneciente a las unidades técnicas.

Sólo quedaría por buscar la manera de cumplir con las dos exigencias restantes del Reglamento:

• Que el personal esté especializado, y
• Que tenga una formación adecuada en materia de análisis

Estas dos últimas exigencias son las que nos introducirán directamente en el objeto de la conferencia de Dña. Sonia Gogova y que comentaré  en la segunda parte de este trabajo.

Fabián Zambrano Viedma

La admisión de clientes en los procesos de negocio del Sector del Crédito al Consumo y su adecuación a la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo

En la actividad de la financiación del consumo, la admisión de los clientes se realiza  mediante los tres canales de negocio  que analizaremos seguidamente y,  en cada uno de ellos,  el Sector financiero utiliza unos procedimientos similares de contratación:

• a) CANAL PRESCRIPTOR
• b) CANAL PRESCRIPTOR – COMERCIO ELECTRÓNICO
• c) CANAL DIRECTO – COMERCIO ELECTRÓNICO

Denominamos canal prescriptor a aquella financiación de bienes y servicios que realizan las entidades financieras a través de establecimientos abiertos al público,  como tiendas, concesionarios de coches, grandes superficies, u otros  negocios de bienes o servicios a los que acuden físicamente los clientes. Estos puntos de venta clásicos no tienen relación de  dependencia con las entidades financieras que ofrecen los créditos.

Denominamos canal prescriptor – comercio electrónico a aquella financiación del crédito que realizan las entidades financieras a través de puntos de venta virtuales, sean para bienes o servicios y, sin que los puntos de venta virtuales tengan  relación de dependencia con las entidades financieras que ofrecen los créditos.

Denominamos canal directo – comercio electrónico, a aquella financiación del crédito que realizan directamente las propias entidades financieras a través de Internet, o a través de cualquier otro procedimiento electrónico, y sin la presencia física de los clientes.

Los procedimientos de contratación en estos tres canales son muy similares para todo el Sector financiero:

CANAL PRESCRIPTOR

1. El cliente que financia la compra de un bien o servicio, presenta físicamente su DNI o Tarjeta de Residencia al prescriptor, quien  procede a verificar que el  documento no está manipulado y a comprobar si alguno de  los datos identificativos que aparecen en el documento se corresponden con los que presenta físicamente el cliente, como la fotografía, la edad aparente, el sexo, o con los datos que ejecuta este cliente durante la operación, entre otros la firma.
2. El prescriptor obtiene una fotocopia del documento, en su anverso y reverso, negándose a aceptar la fotocopia que le pueda ofrecer el propio cliente.
3. El cliente, una vez aceptado el contenido del contrato, procede a su firma en papel o mediante algún  procedimiento de contratación electrónica.
4. El cliente también firma el mandato SEPA en papel o mediante el proceso de contratación electrónica, autorizando así el cargo de las cuotas para el reembolso del crédito.
5. El prescriptor remite a la entidad financiera el conjunto de la documentación exigida para el crédito: contrato en formato papel o electrónico, fotocopia del DNI, mandato SEPA, y cualquiera otra documentación de solvencia que fuera exigida por la entidad financiera.
6. La entidad financiera procede al análisis de riesgos y practica la diligencia debida, primero mediante los datos recibidos del prescriptor por medio de la plataforma electrónica de contratación o en la forma  que haya sido acordada entre las dos partes, y posteriormente mediante la verificación de la documentación justificativa de la identidad y solvencia. Finalizado este análisis,  autoriza  o  deniega la operación.
7. Si la operación quedara autorizada, la entidad financiera, por cuenta del cliente,  transferiría al prescriptor el importe facturado, como pago por el bien o servicio adquirido, haciéndolo  llegar a una cuenta del  prescriptor  abierta  en una entidad de crédito que opere en España. Esta cuenta estará perfectamente identificada en el contrato de colaboración firmado entre el prescriptor y la entidad financiera. Sobre el prescriptor, la entidad financiera habrá aplicado previamente  las correspondientes medidas de diligencia debida y de prevención de riesgos.
8. Durante el período de vida del crédito, la entidad financiera irá realizando los cargos de las cuotas establecidas en el contrato, en la cuenta autorizada por el mandato SEPA abierta por el cliente en una entidad de crédito domiciliada en España, en la Unión Europea, o en países terceros considerados equivalentes, según la normativa de prevención del blanqueo de capitales y de financiación del terrorismo.

CANAL PRESCRIPTOR – COMERCIO ELECTRÓNICO Y CANAL DIRECTO – COMERCIO ELECTRÓNICO

En estos dos  canales, la práctica de contratación es similar en cuanto a las exigencias documentales, a la establecida para el canal prescriptor. Sólo existen las variaciones procedimentales lógicas, por tratarse de un negocio  que se realiza a través de Internet y sin la presencia física del cliente, como que:

• El cliente cumplimenta un formulario electrónico a través de la Web del prescriptor o de la entidad financiera en el supuesto del canal directo, aportando los datos necesarios para la contratación.
• El cliente firma  el contrato mediante un proceso de contratación electrónica desde  la propia Web del prescriptor, o la de la entidad financiera en el supuesto de la utilización de un canal directo; este proceso se realiza mediante conexión segura del cliente a la plataforma tecnológica  de la entidad financiera con la que  quiere contratar, directamente o a través de la Web del prescriptor-comercio electrónico. Esta plataforma no sólo facilita  la firma del contrato, sino también la aportación de los documentos de identidad y de solvencia que resultan necesarios para el análisis de riesgos y para la práctica de la diligencia debida.
• Conviene señalar que en determinados supuestos, o por decisión del propio cliente, el contrato no se formaliza hasta su  firma en papel, por lo que el cliente habría de esperar a que la entidad financiera le hiciera  llegar  el contrato en este formato.  Normalmente,  en estos supuestos el cliente devuelve a la entidad financiera un ejemplar del contrato y,  adjunta en papel, copia de los documentos de identidad y solvencia. La entidad financiera, una vez recibida esta documentación justificativa, completaría el análisis de riesgos y,  la diligencia debida reforzada en las relaciones de negocio y operaciones no presenciales.

Tras la publicación del nuevo Reglamento, algunos sujetos obligados han comenzado a valorar los efectos que sobre el funcionamiento de estos canales tiene la interpretación oficial de la Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo, planteándose estas dos cuestiones:

• a) ¿Sería aconsejable solicitar de la Administración una opinión sobre si los procedimientos de contratación utilizados por el Sector financiero en los canales de negocio señalados, se adecúan o no  a las exigencias de cumplimiento que se especifican  en el Reglamento para los contratos de crédito al consumo, y especialmente a aquellos a los que se les puedan aplicar medidas simplificadas de diligencia debida, aun cuando las relaciones de negocio que se establezcan mediante estos canales puedan ser consideradas no presenciales?
• b) Si esta solicitud de opinión no fuera aconsejable, ¿cómo podrían los sujetos obligados seguir utilizando sin problemas de cumplimiento estos tres canales  de negocio?, ¿qué modificaciones habría que establecer en los procesos?

Tanto la Ley 10/2010, como su Reglamento de desarrollo, dejan en manos de los sujetos obligados el diseño de sus respectivas políticas y procedimientos internos en relación con el cumplimiento de la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo.

Quedará igualmente bajo el criterio de estos sujetos obligados,  atendiendo a la normativa y al conocimiento de los perfiles de riesgo de cada cliente, de cada operación y de cada canal de comercialización, la moderación  en la intensidad de la aplicación de las medidas de diligencia debida.

Estas facultades de los sujetos obligados sólo se sustentan  en un profundo conocimiento de la normativa y en un análisis previo de los riesgos  derivados de su actividad.

Estas son las razones por las que ningún experto,  y mucho menos la Administración, pueden dar una opinión generalizable para todo el Sector, sobre si son adecuados a la normativa AML los procesos de negocio que actualmente utilizan las entidades para la admisión de clientes en los tres canales señalados, puesto que su adecuación o no,  depende:

1. de los riesgos a los que está expuesta la actividad concreta de cada sujeto obligado, es decir, de los riegos derivados de los productos financieros que comercialice y de los riesgos derivados del perfil de sus clientes.
2. de las obligaciones concretas  que se derivan para  cada uno de estos  riesgos, atendidos los umbrales cualitativos y cuantitativos que acompañan a cada una de estas obligaciones.

Rechazada como inconveniente una posible solicitud de opinión a la Administración, sólo queda que cada sujeto obligado compruebe, de forma individualizada,  si los procedimientos que sigue en la utilización de cada uno de estos tres canales de negocio, son los adecuados para el cumplimiento de la diligencia debida en relación con los riesgos derivados de su propia actividad.

Esta comprobación individualizada de riesgo ha de quedar documentada mediante el  INFORME DE EVALUACIÓN DEL RIESGO (IAR).

La obligación de efectuar este informe queda especificada en el Art. 32 del Reglamento (Análisis del riesgo), para lo que resulta aconsejable utilizar  las recomendaciones del SEPBLAC.

En el IAR quedarán recogidos todos los elementos de riesgo BC/FT que puedan afectar al negocio y, el documento confeccionado servirá de fundamento para crear los procedimientos de control interno.

El informe será el resultado del análisis de riesgos, tras la identificación y evaluación de los riesgos del sujeto obligado por tipos de clientes, países o áreas geográficas, productos, servicios, operaciones y canales de distribución, tomando en consideración variables tales como el propósito de la relación de negocios, el nivel de activos del cliente, el volumen de las operaciones y la regularidad o duración de la relación de negocios. (Ver Art. 32.1 del Reglamento)

Este informe de análisis de riesgos será revisado periódicamente y, en todo caso, cuando se verifique un cambio significativo que pudiera influir en el perfil de riesgo del sujeto obligado. Asimismo será preceptiva la realización y documentación de un análisis de riesgo específico con carácter previo al lanzamiento de un nuevo producto, la prestación de un nuevo servicio, el empleo de un nuevo canal de distribución o el uso de una nueva tecnología por parte del sujeto obligado, debiendo aplicarse medidas adecuadas para gestionar y mitigar los riesgos identificados en el análisis. (Ver Art. 32.2 del Reglamento)

Para la  confección de este informe, resulta conveniente  tener en cuenta los aspectos que subraya  el SEPBLAC en sus recomendaciones y que han quedado sintetizados en el Art. 32 del Reglamento, entre los que señalo los que siguen con algunos comentarios propios que podrían facilitar  el trabajo de análisis:

• El grado de riesgo que conlleva la actividad; en la  financiación del consumo este grado de riesgo puede buscarse en los catálogos ejemplificativos de operaciones de riesgo del blanqueo de capitales y de financiación del terrorismo (catálogos COR), que publica la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, en la parte referida a la financiación del consumo; también puede buscarse en la información de riesgo que sobre esta actividad concreta existe en el GAFI y en el resto de las instituciones internacionales, y especialmente, en los trabajos aclarativos que puedan realizarse periódicamente, dentro de las asociaciones representativas, por sus respectivas Comisiones AML. Estos trabajos asociativos contribuirían a la mejora de los  futuros catálogos COR, para lo que se pondrían en conocimiento de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.
• El tamaño relativo que tiene la empresa dentro del sector de la financiación del consumo.
• La explicación de la forma de operar de la empresa en cada uno de los canales; al efecto, cada sujeto obligado tendrá que valorar los riesgos concretos de su política y de sus procedimientos en la admisión de los clientes, y en cada uno de los canales que utilice en sus actividades de negocio.
• La tipología de los clientes con los que opera, teniendo en cuenta los riesgos que conlleva cada uno de los perfiles definidos.
• Los productos financieros que comercializa, determinando para cada uno de ellos los riesgos BC/FT que pudieran afectarle; en estos estudios podrían utilizarse los informes que al efectos puedan realizarse dentro del sector, por especialistas y asesores.
• El área geográfica sobre la que opera el sujeto obligado.

CONCLUSIÓN:

Estando clara en  la normativa existente la forma en que cada sujeto obligado debe establecer su riesgo AML,  bajo mi criterio no procede una consulta oficial sobre la adecuación o no al nuevo Reglamento de los actuales canales de negocio y de los procedimientos que actualmente se utilizan de forma generalizada para la financiación del crédito al consumo, puesto que según la normativa  vigente,  esta valoración corresponde a cada sujeto obligado.

Como alternativa conveniente para el Sector, sugiero un trabajo de investigación colectiva sobre de aquellas cuestiones que pudieran ser generalizables como:

• La creación de un borrador de catálogo ejemplificativo de operaciones de riesgo de blanqueo dentro de la actividad la financiación del crédito al consumo,  que se haría  llegar al SEPBLAC para su valoración.
• La recopilación de la información que pudiera existir en organismos internacionales sobre los riesgos derivados de la financiación del consumo.
• La creación, de forma colaborativa,  de un Modelo de INFORME DE AUTOEVALUACIÓN DEL RIESGO (IAR), que facilite  el trabajo personalizado de cada entidad financiera. En este Modelo podrían aclararse aquellos  aspectos de la actividad en los que surjan  dudas, como por ejemplo,  la adecuación o no a la normativa de PBC/FT de los actuales procesos de admisión de clientes, para lo que se tendrían en cuenta uno a uno los productos financieros que  en cada momento comercialicen las entidades dedicadas a la financiación del consumo, valorando para cada uno de ellos sus umbrales cuantitativos.

Fabián Zambrano Viedma