El término “Know Your Customer” (Conoce
a tu cliente) se generalizó dentro de la prevención del blanqueo de capitales y
de la financiación del terrorismo a partir del informe que en octubre de 2011
publicó el Comité de Supervisión Bancaria de Basilea, tras confrontar las
cuarenta recomendaciones del GAFI, que en ese año habían incorporado las 8
recomendaciones especiales sobre financiamiento del terrorismo, con las mejores
prácticas bancarias internacionales, dando lugar a un interesante análisis
sobre la diligencia debida que los bancos debían realizar sobre la
clientela nueva y antigua, y que fue difundido en nuestro País por el Banco de
España en el número 2 de sus“Notas de Estabilidad Financiera”.
El “Know Your Customer” (KYC) está consolidado como
término de calidad en el ámbito financiero internacional, estando incluido el
número 18, de los “Principios Básicos para una Supervisión Bancaria Eficaz”
(Los Principios Básicos de Basilea), del Comité de Supervisión Bancaria
de Basilea de octubre de 2006, que dice lo siguiente: “Utilización
abusiva de servicios financieros: los supervisores deben tener constancia
de que los bancos cuentan con políticas y procesos adecuados, incluyendo normas
estrictas sobre el conocimiento de la clientela (“know-your-customer” o KYC),
que promuevan normas éticas y profesionales de alto nivel en el sector
financiero e impidan que el banco sea utilizado, intencionalmente o no, con
fines delictivos.”
Si confrontamos el documento de 2001 del Comité de
Supervisión Bancaria de Basilea referenciado anteriormente, con las
medidas preventivas de las actuales cuarenta recomendaciones del GAFI; con la
diligencia debida con respecto al cliente de la Cuarta Directiva; con los
Capítulos II y IV de la Ley 10/2010 (De la Diligencia Debida y del Control
Interno, respectivamente); y con los Capítulos II y IV del Reglamento (Real
Decreto 304/2014, de 5 de mayo), comprobaremos que el documento del
Comité de Supervisión Bancaria de Basilea tiene plena actualidad operativa,
y se adapta como un guante a la calidad que se requiere en la cumplimentación
de la diligencia debida, para una buena prevención del blanqueo de capitales y
de la financiación del terrorismo (PBCFT), según la normativa internacional,
europea y española.
El documento del Comité incluye dos concepciones de la
diligencia debida que son complementarias, la jurídica y la económica, la
primera esencialmente defensiva para evitar la negligencia en el cumplimiento
de las normas externas, y la segunda, más proactiva, entendida como un conjunto
de procesos necesarios, para adoptar decisiones suficientemente informadas con
relación al negocio.
En un moderno “compliance”, ambas concepciones
operativas deben seguir unidas, puesto que al planificar los sujetos
obligados las medidas de diligencia debida bajo esta doble visión, no sólo
evitarán negligencias en relación con el cumplimiento de las normas jurídicas
sobre prevención del blanqueo de capitales y de la financiación del terrorismo,
sino que también reforzarán sus sistemas internos de prevención de riesgos
económicos.
Creo que todos estaremos de acuerdo en que las
“medidas de diligencia debida” de la Ley 10/2010, que son también las de la
Cuarta Directiva y las de las Recomendaciones del GAFI, trascienden el simple
cumplimiento de la legislación sobre prevención del blanqueo de capitales y de
la financiación del terrorismo, puesto que igualmente afectan a la calidad de
la información de la cartera de clientes y por tanto a la seguridad del
negocio, por lo que su aplicación práctica por los sujetos obligados en la
forma adecuada, terminará siendo rentabilizada internamente, al
margen del cumplimiento.
La información KYC tiene consecuencias en la cartera
de clientes, porque:
- La calidad
de la información en la cartera de clientes tiene repercusiones positivas
tanto en la PBCFT como en otras materias de cumplimiento, como
por ejemplo, en la prevención del fraude, en Basilea II, o en
la información financiera que las entidades tienen que presentar de forma
ordinaria a los Reguladores.
- También
tiene repercusiones positivas en la actividad comercial, al mejorar la
segmentación de los clientes para las actividades de marketing y ventas,
evitando promociones inapropiadas.
- La calidad
de la información de la cartera de clientes, obliga a toda la empresa a
depurar la información, evitando así duplicidades, o la
permanencia de cuentas inactivas que podrían ser utilizadas, interna o
externamente, para actividades delictivas, como por ejemplo, el blanqueo
de capitales, el fraude, etc.
Resulta razonable, por tanto, que
aunque las “medidas de diligencia debida” sean de obligado cumplimiento para la
prevención del blanqueo de capitales y de la financiación del terrorismo, sus criterios
se utilicen también por los sujetos obligados para el control de la veracidad y
exactitud de sus carteras de clientes, lo que terminará simplificando sus
sistemas operativos y ahorrando costes.
El Capítulo II de la Ley 10/2010, en sus artículos, 3,
4, 5 y 6, establece las medidas normales de diligencia debida para los
clientes, que serán simplificadas o reforzadas atendiendo a los riesgos que
presenten los mismos, a saber:
- La
identificación formal
- La
identificación del titular real
- El
propósito e índole de la relación de negocios, y
- El
seguimiento continuo de la relación de negocios
Estas cuatro medidas constituyen el [“Know Your
Customer” (Conoce a tu cliente)] de la prevención del blanqueo de
capitales y de la financiación del terrorismo, junto con el Art. 26 de la misma
Ley, que trata de las medidas de control interno, en las que se exigen a los
sujetos obligados, con las excepciones que ya se han determinado
reglamentariamente, a aprobar por escrito y aplicar políticas y procedimientos
adecuados en materia de diligencia debida, y una política expresa de admisión
de clientes.
Pero ni la Ley, ni el Reglamento, ni la Directiva, ni
el propio GAFI, especifican la forma práctica en que los sujetos obligados
tienen que planificar sus medidas de diligencia debida y su política expresa de
admisión de clientes, limitándose las normativas a imponer algunas directrices
de obligado cumplimiento en esta planificación. Es por ello por lo que una gran
parte de los sujetos obligados, especialmente los que pertenecen al sector
financiero, han adoptado el “modelo” KYC del Comité de Basilea, que como he
indicado, no solo es una herramienta para combatir el lavado de dinero, sino
también para gestionar de forma eficaz riesgos económicos bancarios.
Este modelo exige a los bancos procedimientos KYC
sólidos y seguros, en la aplicación de las políticas de aceptación de clientes,
en la planificación de programas con diferentes niveles en la identificación de
los mismos, atendiendo a sus riesgos, y obliga a un seguimiento proactivo de las
operativas de las cuentas que tengan que ver con actividades sospechosas.
Para la generalidad de los sujetos obligados no
bancarios, también el objetivo de la diligencia debida ha de
ser el de obtener información de los clientes con la calidad KYC, por lo que
deberán planificarla en base a su particular nivel de riesgos para que funcione
mediante “Procesos KYC”, tanto en el establecimiento de las relaciones de
negocios, como durante los siguientes momentos en los que la información de los
clientes podría ser modificada, es decir:
- En los
momentos de las aperturas de las cuentas de los clientes.
- En los
momentos en que los clientes quedan segmentados en base al riesgo, y
se procede a la remediación de la información existente de cada uno de
ellos.
- En los
momentos en que los clientes cambian su perfil de riesgos, mediante la
apertura de nuevas cuentas o la realización de nuevos negocios
- En los
momentos en los que cambian su operativa.
Como podemos observar analizando el esquema anterior,
la información KYC se compone de dos tipos de conocimientos:
- El
conocimiento pasivo del cliente, y
- El
conocimiento activo del cliente
El conocimiento pasivo del cliente se
irá consiguiendo mediante las tres primeras medidas de diligencia debida:
identificación formal, identificación del titular real y conocimiento del
propósito e índole de la relación de negocios, ya sea durante el proceso de
aceptación del cliente, o durante las ampliaciones de información realizadas en
función del riesgo.
El conocimiento activo del cliente se
irá consiguiendo mediante el control de su actividad operativa, es decir,
mediante el seguimiento continuo de la relación de negocios.
En el conocimiento pasivo, la primera pieza será la
identificación formal del cliente como persona física o jurídica:
- La
identificación formal del cliente como persona física se realiza mediante
la comprobación y verificación de su identidad, a través de los
documentos fehacientes exhibidos ante el sujeto obligado por el
titular de los mismos.
- Igualmente
en el proceso de comprobación y verificación de la identidad se han de
controlar las listas de sanciones, y en función del riesgo, las listas PRP
(Personas con Responsabilidad Pública).
- La comprobación
y verificación de la identidad resulta más complicada en las operaciones
no presenciales, puesto que habrá que aplicar algunas medidas
reforzadas de diligencia debida.
- En la
identificación formal del cliente persona jurídica, se aplicará la segunda
medida de diligencia debida siempre que sea necesaria, mediante la
identificación de los titulares reales.
La segunda pieza, en el conocimiento pasivo del
cliente, será la tercera medida de diligencia debida: El
conocimiento del propósito e índole de la relación de negocios que el cliente pretende
establecer con el sujeto obligado; medida que está regulada en el
Artículo 5 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de
capitales y de la financiación del terrorismo, y que dice así:
“Los sujetos obligados obtendrán información sobre el
propósito e índole prevista de la relación de negocios. En particular, los
sujetos obligados recabarán de sus clientes información a fin de conocer la
naturaleza de su actividad profesional o empresarial y adoptarán medidas
dirigidas a comprobar razonablemente la veracidad de dicha información.
Tales medidas consistirán en el establecimiento y
aplicación de procedimientos de verificación de las actividades declaradas por
los clientes. Dichos procedimientos tendrán en cuenta el diferente nivel de
riesgo y se basarán en la obtención de los clientes de documentos que guarden
relación con la actividad declarada o en la obtención de información sobre ella
ajena al propio cliente.”
Es decir:
- Obtención
de información sobre el propósito e índole prevista de la relación de
negocios.
- Obtención
de información a fin de conocer la naturaleza de su actividad profesional
y empresarial.
- Comprobación
razonable de la veracidad de la información aportada por el cliente.
- Establecimiento
y aplicación de procedimientos de verificación de la actividad declarada
por el cliente.
- Obtención
del cliente de los documentos que guarden relación con la actividad
declarada.
- Obtención
de información ajena al propio cliente sobre la actividad declarada
El Art. 10 del Reglamento (Real Decreto 304/2014, de 5
de mayo), matiza la aplicación práctica de la anterior escala
de procesos legales, necesarios para la comprobación del propósito e índole de
la relación de negocios.
La aplicación por los sujetos obligados de las tres
medidas de diligencia debida referenciadas hasta ahora, generarán información
sobre los clientes, que para que sea operativa tendría que ser centralizada.
Para ello resultará necesaria la existencia de alguna
plataforma tecnológica que contenga los expedientes de identificación que
se vayan creando para cumplir con el Art. 25 de la Ley 10/2010, relativo a la
conservación durante un período mínimo de diez años, de los documentos en los
que se formalice el cumplimiento de las obligaciones de Diligencia Debida, así
como las copias de los documentos de identificación formal, en soportes
ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura
de los datos, la imposibilidad de manipulación y su adecuada conservación y
localización.
Porque la concreción práctica del cumplimiento del
Art. 25 en cada cliente debería realizarse mediante su “Expediente de
Identificación”, que quedaría archivado de forma centralizada y
en formato electrónico en los sujetos obligados que tengan una organización
mínimamente compleja. Este expediente tendría la información de todos los
intervinientes ligados al mismo, incluyendo las copias digitalizadas de los
documentos de identificación, la identificación de los titulares reales, así
como otros documentos de interés para cada sujeto obligado.
Esta plataforma tecnológica centralizada la llamaremos
de información KYC, y siguiendo los criterios KYC
debería ser considerada también por los sujetos obligados como una herramienta de negocio
y no sólo como una herramienta de cumplimiento. Esta concepción
operativa dual permitiría la existencia de un proceso de ida y vuelta (feedback)
en la información, que terminaría realimentando el repositorio de
información pasiva de la plataforma, con información verificada al
nivel de detalle que se considere necesario.
Según los criterios KYC, cualquier departamento del sujeto obligado tendría acceso a ésta base de datos de clientes centralizada,
obteniendo de la misma sólo aquella información necesaria para su actividad
profesional.
Se acabaría, por tanto, con todos los repositorios de
información de clientes que pudieran existir dispersos entre las distintas
divisiones administrativas, y especialmente entre los departamentos
pertenecientes al “front-office” del sujeto obligado.
Al ser alimentada la plataforma centralizada KYC por
toda la estructura empresarial, cualquier dato de clientes que se introdujera a
través del “front-office” o por otra vía, y que fuera incongruente con el
existente en la base de datos, produciría una alerta que tendría que ser
comprobada por el departamento que introdujo la última información, siempre que
la misma, por su interés, no tuviera que ser valorada directamente por un área
de investigación interna.
Como la centralización de la información
previsiblemente dará lugar a incongruencias en la información de los clientes,
los sujetos obligados han de tener previsto un programa de remediación de la
información KYC, con el objetivo de que los datos de los clientes sean
completos, exactos y estén actualizados. Este programa se pondría en
funcionamiento en primer lugar para los clientes de mayor riesgo, que se
conocerían porque estarían segmentados por la propia plataforma tecnológica, en
base a los criterios de riesgo definidos en la misma.
Para que la plataforma tecnológica pueda segmentar a
los clientes en base al riesgo, los factores de riesgo habrán tenido que ser
previamente definidos por el sujeto obligado, dependiendo del tipo de cliente,
de la relación de negocios, y del producto y operación. Este trabajo deberá
estar recogido en la política expresa de admisión de clientes referenciada en
el Artículo 26 de la Ley 10/2010, según se indica en el Artículo 7.1 de la
misma Ley, bajo la interpretación de los artículos 31 y 32 del Reglamento.
El conocimiento activo del cliente, constituye la
tercera pieza de la Información KYC y se consigue con la última de las medidas
de diligencia debida, el seguimiento continuo de la relación de negocios; esta medida tiene
que ver con el monitoreo de las operaciones que se realizará
a través de su plataforma específica.
Durante el proceso de monitoreo de las operaciones se producirán alertas que modificarán la situación de riesgo
de los clientes afectados, con lo que su análisis KYC podría verse modificado,
y cambiar por tanto su situación en la escala de riesgos.
La información KYC hace posible la “due diligence” o conocimiento
de la contraparte en el establecimiento de la relación de negocios y en
las operaciones, por lo que constituye una buena herramienta para el control de
los riesgos generales de la empresa al margen de sus beneficios en el
cumplimiento de la prevención del blanqueo de capitales y de la financiación
del terrorismo, por lo que debe ser rentabilizada al máximo, evitando así las
duplicaciones en los sistemas de control de riesgos, como sucedería si para
esta materia actuaran de forma independiente los departamentos de blanqueo de
capitales, prevención del fraude, análisis de riesgos, recuperaciones, etc.
La necesidad de tecnificación para el cumplimiento de
la diligencia debida aparece en el Art. 17 de la Ley 10/2010, cuando exige para
ello la utilización de aplicaciones informáticas apropiadas, teniendo en cuenta
el tipo de operaciones, el sector de negocio, el ámbito geográfico y el volumen
de la información, por lo que los sujetos obligados han de asumir
necesariamente este reto, atendiendo a las limitaciones propias y a los
requerimientos específicos de la Ley y del Reglamento.
No hay comentarios:
Publicar un comentario