El Riesgo en la prevención del blanqueo de capitales

La normativa española de prevención del blanqueo de capitales y de la financiación del terrorismo establece un marco de cumplimiento general, que ha de ser adaptado por cada sujeto obligado a su riesgo específico.

Para ello ha de seleccionar, de entre las obligaciones establecidas en el marco general de la normativa, aquellas que le corresponde cumplir, para lo que necesitará  conocer  en primer lugar los riesgos objetivos de blanqueo de capitales y de financiación del terrorismo a los que están expuestas sus actividades, sus productos y sus clientes,  y en segundo lugar las obligaciones derivadas de estos riesgos, atendidos  los umbrales cualitativos y cuantitativos que acompañan a cada una de las obligaciones en la normativa vigente: Ley y Reglamento.

Las áreas de conocimiento del riesgo, a adquirir por cada sujeto obligado para poder cumplir con la Ley y el Reglamento, son las siguientes:

• La referida a los riesgos objetivos de blanqueo de capitales y de financiación del terrorismo en sus actividades económicas, en sus operaciones y en sus clientes.
• La referida a la adaptación de las obligaciones establecidas en la Ley y en el Reglamento, al cumplimiento que le corresponde como sujeto obligado atendiendo al marco existente de umbrales cualitativos y cuantitativos.

Con estos dos tipos de conocimientos, el sujeto obligado puede construir y optimizar sus estructuras internas de cumplimiento PBC/FT con el mínimo coste, siguiendo para ello el criterio del Real Decreto 304/2014:

 “Teniendo en cuenta los medios limitados de que disponen los sujetos obligados, se impone adoptar aquellas medidas que permitan incrementar la eficacia y eficiencia en el uso de los recursos, haciendo más hincapié en aquellas situaciones, productos y clientes que presentan un nivel de riesgo superior”

Los Riesgos objetivados de blanqueo de capitales y de financiación del terrorismo

Al estar incluida la actividad de cada sujeto obligado en uno de los grupos enumerados en el  Art. 2 de la Ley 10/2010, ya tiene definidos externamente y con carácter general, unos riesgos objetivos para su actividad, sus productos y sus clientes.

Esos “riesgos objetivados” con carácter general para las distintas categorías de sujetos obligados, están descritos en diversas fuentes, por lo que cada sujeto obligado ha de saber beber en las mismas antes de proceder a subjetivarlos, racionalizados y hacerlos medibles internamente.

La conversión de los riesgos objetivados externamente, en riesgos subjetivados, racionalizados y medibles  se ha de efectuar mediante un proceso interno de análisis comparativo entre:

• Los riesgos teóricos BC/FT que están definidos  por los especialistas nacionales e internacionales para el tipo genérico de negocio, de productos y de clientes, en su categoría específica de  sujeto obligado y,
• Los riesgos  reales que se derivan de la actividad económica concreta que realiza el  sujeto obligado, de los productos que comercializa y de los clientes con los que contrata.

Para este análisis,  el sujeto obligado ha de partir de una documentación que ya existe en el ámbito nacional o internacional, y  que ha de encontrar  por sí mismo, o con la ayuda de sus asesores, o mediante la colaboración sectorial.

La Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, ha aprobado actualizaciones de los Catálogos Ejemplificativos de Operaciones de Riesgo del Blanqueo de Capitales y Financiación del Terrorismo (Catalogos COR’s), así como varias guías de orientación, algunos de los cuales están publicados en la propia Web del Tesoro, mientras que otros, la Secretaría de la Comisión los ha hecho llegar directamente a sectores de actividad para que sean  distribuidos entre los asociados.

Los catálogos COR tienen como objeto principal, orientar en el cumplimiento del deber de examen especial que impone el Art. 17 de la Ley 10/2010, y contienen una serie de conductas o pautas de comportamiento que han de ser tenidas en cuenta por los sujetos obligados en la recopilación de sus operaciones de riesgo. Estos catálogos oficiales  han sido confeccionados por los especialistas institucionales en la materia, con la colaboración de los propios sujetos obligados afectados, normalmente a través de sus asociaciones representativas.

Pero todos estos trabajos orientativos institucionales tienen como fuentes documentales los estudios  realizados por Organismos Internacionales  como, entre otros, el GAFI, el Grupo Wolfsberg, el Comité de Supervisión Bancaria de Basilea, el Comité de Sistemas de Pagos y Liquidación del Banco Mundial, la Red Internacional IMOLIN en materia de Blanqueo de Capitales, así como numerosos Bancos Centrales de diferentes países, entre los que se encuentra el Banco de España.

Como fuentes de información externa, también se aconseja tener en cuenta los trabajos realizados por especialistas en PBC/FT, como economistas, juristas, estudiosos independientes y profesores universitarios de distintos  países que investigan esta materia bajo diferentes facetas de interés operativo, a los que habría que añadir las experiencias prácticas  acumuladas y publicadas en documentos policiales, atestados e informes, por las unidades policiales especializadas de los países y por  los servicios homónimos a nuestro Servicio Ejecutivo de la Comisión, o los documentos que en el futuro publique el Comité de Inteligencia Financiera creado por el Reglamento.

Como podemos deducir de las fuentes indicadas, estamos ante una materia de estudio en permanente evolución  que obliga a continuos cambios normativos, puesto que su desarrollo no depende de los especialistas que la trabajan desde la legalidad, sino  de la imaginación de los propios delincuentes y de sus colaboradores intelectuales, por lo que cualquier COR que se publique en el futuro quedará prontamente superado por la realidad, teniendo que ser adaptado a las recomendaciones que en el momento siguiente publique el Grupo de Acción Financiera Internacional (GAFI), que es la referencia fundamental en esta materia.

El seguimiento de esta masa de información y documentación no está al alcance de la mayoría de los sujetos obligados, puesto que  sólo las grandes entidades financieras y, las instituciones internacionales que las coordinan, pueden permitirse el lujo de mantener las infraestructuras  de tratamiento y análisis necesarias para este trabajo, por lo que resulta lógico que la gran mayoría de los sujetos obligados utilicen  los esquemas COR publicados por las Instituciones  públicas competentes, nacionales e internacionales, acerca de los riesgos existentes en sus respectivos sectores de actividad.

El Reglamento pretende armonizar en España este ingente material informativo,  a través del Comité de Inteligencia Financiera que  crea  en el Art. 65, con la misión de impulsar la actividad de análisis e inteligencia financieros del Servicio Ejecutivo de la Comisión, al mismo tiempo que lo responsabiliza del análisis de riesgo nacional en materia de blanqueo de capitales y de financiación del terrorismo.

Habrá que esperar, por tanto, al trabajo efectivo del Comité de Inteligencia Financiera, para que se produzca un cambio estratégico en la concepción y publicación de los próximos “Catálogos Ejemplificativos de Operaciones de Riesgo de Blanqueo de Capitales y Financiación del Terrorismo – Catálogos COR’s”.

Entre las funciones del Comité de Inteligencia Financiera está la especificada en la letra f) del Art. 65, consistente en “establecer los mecanismos adecuados para proporcionar información sobre los riesgos identificados a las autoridades competentes y a los sujetos obligados, directamente o por medio de sus asociaciones profesionales. (…)”

Se pretende evitar así el caos informativo existente en materia de riesgos, que exige a los sujetos obligados confrontar variadas fuentes de información, nacionales e internacionales, e interpretarlas no siempre de acuerdo con la realidad nacional.

Los Catálogos COR’s que se vayan publicando en lo sucesivo, serán el resultado de la adaptación práctica de los informes de inteligencia financiera intercambiados entre las distintas autoridades competentes en esta materia, en un trabajo de investigación que estará coordinado por el Comité de Inteligencia Financiera.

Pero mientras llega este futuro, los sujetos obligados han de seguir utilizando para su análisis operativo, el material objetivo de riesgos que existe en este momento, principalmente los Catálogos COR’s hasta ahora publicados.

Los Riesgos subjetivados de blanqueo de capitales y de financiación del terrorismo

La adaptación de los riesgos objetivados externamente, en riesgos subjetivados, racionalizados y medibles, se suele hacer mediante la elaboración de un “Informe de Autoevaluación del Riego – IAR”, como paso previo a la actualización del Manual de Prevención interno.

Se aconseja como manual para la confección del IAR, mientras  no se publique otro documento oficial a través de la Comisión, el que aparece en el documento de recomendaciones sobre medidas de control interno relacionadas con la prevención del blanqueo de capitales y la financiación del terrorismo, que fue enviado por el Director del SEPBLAC a los sujetos obligados en el mes de abril de 2013, y que está publicado en la Web del Servicio Ejecutivo.

Informe de autoevaluación del Riesgo (IAR)

El enfoque-riesgo tiene su justificación en la propia Ley, que en su Artículo 26 impone como una obligación de control interno: La evaluación y gestión del riesgo.

La forma de alcanzar una correcta apreciación y entendimiento de este riesgo, según el documento de recomendaciones, será mediante la elaboración de un informe en el que cada sujeto obligado  documente su exposición al riesgo.

Según el documento de recomendaciones del SEPBLAC, el informe que se elabore deberá ser eminentemente práctico, y recogerá  todos los elementos de riesgo BC/FT que puedan afectar al negocio.

Para la elaboración de este documento, el sujeto obligado  ha de tener en cuenta:

• El grado de riesgo que conlleva su actividad
• Su tamaño relativo dentro del sector
• Su forma de operar
• El tipo de clientela con la que trabaja
• El área geográfica sobre la que opera
• Y las circunstancias de riesgo objetivo recogidas por los organismos internacionales, que en el informe aparecerán  sintetizadas en uno de sus apartados.

La Comisión, en algún momento, tratará de oficializar a través de alguna Orden EHA del Ministerio de Economía y Competitividad el actual “Informe de Autoevaluación del Riesgo” del SEPBLAC,  como lo ha hecho ya con alguno de sus contenidos que han sido  incluidos en el Reglamento, como por ejemplo el  Registro de Expedientes de Examen Especial del Art. 25.3. En la nueva versión del manual se espera que haya un contenido de datos obligatorio y otro contenido sujeto a valoraración por cada sujeto obligado atendiendo a su riesgo.

El criterio  de racionalidad  ha de ser tenido en cuenta actualmente a la hora de utilizar provisionalmente como manual de trabajo el documento de recomendaciones del SEPBLAC, que obliga de forma taxativa a que en el informe  se contemplen como mínimo los siguientes puntos:

1. Datos identificativos del sujeto obligado
2. Características del negocio que son relevantes desde la perspectiva PBC/FT, como por ejemplo: grupo empresarial en el que se encuadra el negocio, relación de filiares o sucursales, y si el negocio trabaja mediante agentes o mediadores que comercializan los productos
3. Actividades que se realizan, es decir: productos y servicios comercializados, especificación de los que presentan más riesgos BC/FT, entre los que se enumeran en el documento como más relevantes, aquellos servicios que facilitan el ingreso o movimiento internacional de activos o fondos, los productos propicios al anonimato o a su utilización por parte de terceros, los servicios de banca privada o corresponsalía y los productos susceptibles de reventa posterior.
4. Sistemas o canales utilizados para el ingreso, movimiento y transmisión de los fondos con referencias al riesgo que suponen, entre los que se citan los siguientes: efectivo, tarjetas de crédito o prepago, cheques nominativos o al portador, transferencias nacionales o internacionales, la realización de operaciones a distancia o no presenciales.
5. Tipologías de clientes, especificando las que puedan presentar un mayor riesgo BC/FT, como por ejemplo: clientes nuevos, clientes no residentes, clientes con negocios que manejan grandes cantidades de efectivo, clientes PRP (Personas con Responsabilidad Pública), clientes cuya estructura de propiedad o de control sea compleja, clientes dedicados a determinadas actividades de riesgo.
6. Actuaciones de los clientes que puedan suponer un mayor riesgo de BC/FT, como por ejemplo: los que ofrezcan dificultades en la aplicación de las medidas de diligencia debida, los que realicen  operaciones sin sentido lógico o económico aparente, o los que hagan transacciones en las que resulte difícil determinar el origen de los fondos.
7. Zonas geográficas de actividad del sujeto obligado, especificando aquellas de mayor riesgo con o en las que éste opera, entre las que se enumeran las siguientes: paraísos fiscales, países sujetos a sanciones financieras internacionales, países con altos índices de corrupción, países con regulaciones deficientes en materia de PBC/FT.
8. Otros factores que se consideren de riesgo en materia de prevención por el sujeto obligado.
9. Procedimiento a establecer para que el propio documento o informe de evaluación del riesgo sea periódicamente revisado y actualizado, teniendo en cuenta la evolución del negocio y las actividades desarrolladas por el sujeto obligado, o por otros factores externos que puedan influir en la valoración del riesgo, como por ejemplo: nuevos métodos, tendencias y productos utilizados para el BC/FT, y/o actualizaciones en las listas de países considerados de riesgo

Este esquema de trabajo, bajo los nuevos criterios de cumplimiento, será simplemente orientativo puesto que habrá sujetos obligados a los que les resultará insuficiente por tener  una actividad económica compleja, mientras que para otros, el esquema mínimo que establece el SEPBLAC en sus recomendaciones estará sobredimensionado.

Fundamentación del Informe de Autoevaluación del Riesgo (IAR)

Para poder documentar el informe, cada sujeto obligado  ha de realizar primero un trabajo de campo, en el que participarán de forma coordinada, la estructura de prevención del blanqueo de capitales y de la financiación del terrorismo existente en la empresa, y los representantes de aquellos otros departamentos de cumplimiento y negocio que colaboren habitualmente con el OCI.

Este trabajo conjunto facilitará el análisis de cada uno de los puntos explicitados en el esquema de trabajo, al compaginarse el conocimiento del negocio que aportan las unidades productivas y de cumplimiento, y el conocimiento del riesgo BC/FT que debe aportar la estructura de prevención BC/FT, ayudada en los casos necesarios por  consultores externos.

Cada uno de los puntos del esquema de trabajo generará una ficha, que contendrá la información requerida en el punto analizado. Algunas fichas serán simplemente descriptivas como por ejemplo:

• Datos identificativos del Sujeto Obligado, que sólo se modificarán en los casos en los que se produzca alguna variación que deba aparecer en la nueva versión del Documento-Informe.

Otras fichas serán analíticas y describirán los riesgos, como por ejemplo:

• Características relevantes del negocio

En esta ficha analítica ha de  introducirse una referencia general a los factores de riesgo BC/FT que se conocen,  en relación con el grupo empresarial en el que se encuadra el negocio. Estos factores,  normalmente son  bien conocidos por cada sector de actividad: vg.: a través de los informes COR.

Esta es una información que deberían poner en común las entidades que se dedican a una misma actividad a través de las Comisiones PBC/FT que vayan creando dentro de sus organizaciones representativas, con la ayuda de sus consultoras, muchas de las cuales suelen trabajar con varias entidades del mismo sector  y por tanto tienen de éste una información globalizada.

Si la entidad tuviera filiales y sucursales, además de relacionarlas, deberá explicitar en la ficha, por la experiencia BC/FT que ya tiene, las que están en zona de riesgo y el tipo de riesgo al que están expuestas.

Un análisis semejante se hará respecto a los agentes o mediadores, para cerrar así el punto del ejemplo que estamos analizando.

Este sistema de trabajo colaborativo servirá también para la confección de las restantes fichas, a saber:

• Actividades que se realizan
• Sistemas o canales utilizados para el ingreso, movimiento y transmisión de los fondos
• Tipología de clientes
• Actuaciones de riesgo de los clientes
• Zonas geográficas con las que se opera
• Otros factores de riesgo no especificados en el esquema, pero identificados por el sujeto obligado

El enfoque-riesgo que impone el Artículo 26 de la Ley 10/2010 tiene dos partes:

1. La autoevaluación del riesgo, que es la que estamos estudiando en este momento, y que explicitaremos mediante el informe. Según el documento de recomendaciones, el informe debe constituir la base de todo el sistema de PBC/FT.
2. La autogestión del riesgo, o diseño y control de todos los procedimientos y medidas que sean apropiadas para mitigar los riesgos identificados, que será la otra parte del trabajo a desarrollar por el sujeto obligado.

Tanto la evaluación, como la gestión del riesgo no son medidas estáticas, sino que deben ir variando de forma dinámica con la propia evolución del negocio y de las actividades del sujeto obligado, o por el cambio de los factores externos de riesgo que sean ajenos al propio sujeto obligado. Es por ello por lo que el SEPBLAC recomienda completar el último punto del esquema:

• Procedimiento para la revisión y actualización periódica del informe de autoevaluación

Confección del Informe de Autoevaluación del Riesgo (IAR)

Con todo este material descriptivo y analítico, en cuya cumplimentación han debido intervenir de forma coordinada, tanto las unidades de prevención del blanqueo de capitales y de la financiación del terrorismo, como las restantes unidades de cumplimiento y negocio a través de sus representantes en el OCI, el propio OCI, con la ayuda del Departamento de PBC/FT confeccionará el Informe de Autoevaluación del Riesgo (IAR), en el que se explicitará el riesgo al que está expuesto ese sujeto obligado en la fecha de su confección.

Este informe es el que utilizará posteriormente el OCI para la gestión del  riesgo, estableciendo o modificando los procedimientos y las medidas necesarias para abordarlo.

El conocimiento del riesgo + los procedimientos y medidas para abordarlo,  permitirán al sujeto obligado la construcción de su propio Modelo Estándar, con el que deberá compararse para mejorar su cumplimiento.

Ficha resumen de autoevaluación del sistema de prevención del blanqueo de capitales y la financiación del terrorismo

Junto con el documento de recomendaciones sobre medidas de control interno relacionadas con la prevención del blanqueo de capitales y la financiación del terrorismo, el SEPBLAC sugiere también en sus recomendaciones la creación de una “Ficha de autoevaluación del sistema de prevención del blanqueo de capitales y la financiación del terrorismo”, publicando para ello un modelo que puede ser analizado en su propia Web.

El modelo de autoevaluación se materializa en una ficha que contempla cuatro grandes apartados: gobernanza; diligencia debida; detección, análisis y comunicación; y revisiones del sistema (auditoría interna y expertos externos). Y un anexo explicativo sobre temas a considerar a la hora de cumplimentar la ficha de autoevaluación del sistema de prevención de BC/FT.

La función de los expertos externos en la confección del Informe de Autoevaluación del Riesgo

Los expertos externos, para hacer bien su trabajo no han  de comportarse como  simples teóricos en PBC/FT, sino que tienen que sumar a sus conocimientos especializados en PBC/FT, aquellos otros conocimientos  profesionales de la actividad económica concreta de las empresas a las que pretenden asesorar. Estos conocimientos económicos y empresariales resultarán fundamentales para un buen asesoramiento  en aquellos procesos internos que son necesarios para la confección  de las matrices de riesgo.

Las matrices de riesgo serán el resultado de subjetivar, racionalizar y medir la  comparación de los riesgos sectoriales que están objetivados de forma amplia en los COR’s, y los riesgos  de la actividad concreta, de los productos y los clientes, lo que permitirá así justificar ante el Supervisor las políticas de riesgos BC/FT y los  procedimientos  que se consideran  más adecuados para el cumplimiento de  las obligaciones derivadas de la Ley 10/2010 y de su Reglamento de desarrollo.

El trabajo de los expertos externos será, por tanto, el de colaboración con los sujetos obligados en la creación de las matrices de riesgo, para establecer  los márgenes de adaptación en la aplicación de la normativa, entre lo que establece la Ley y el Reglamento con carácter general y la realidad específica de cada uno de ellos.