La planificación del “manual de prevención del blanqueo de capitales y de la financiación del terrorismo”

El Art. 26.3 de la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo, establece que los sujetos obligados, con las excepciones que se han determinado reglamentariamente en el Art. 31 (Real Decreto 304/2014, de 5 de mayo), deberán aprobar un manual adecuado de prevención del blanqueo de capitales y de la financiación del terrorismo, con información completa sobre las medidas de control interno referidas a:

• Políticas y procedimientos adecuados en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía del cumplimiento de las disposiciones pertinentes y comunicación, con objeto de prevenir e impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo.
• Política expresa de admisión de clientes. Dicha política incluirá una descripción de aquellos tipos de clientes que podrían presentar un riesgo superior al riesgo promedio en función de los factores que determine el sujeto obligado de acuerdo con los estándares internacionales aplicables en cada caso.
• Política para la actualización del Manual de Procedimientos, puesto que éste es un documento dinámico y no estático.
• Designación del Representante ante el Servicio Ejecutivo de la Comisión, y comunicación oficial de su nombramiento en los términos establecidos en la Ley 10/2010.
• Establecimiento del Órgano de Control Interno en los términos establecidos en la Ley 10/2010, en aquellos sujetos obligados donde el OCI sea preceptivo.

La planificación y confección de ese “manual” la ha de realizar el “Órgano de Control Interno”, por lo que para el cumplimiento del Art. 26, los sujetos obligados han de comenzar con:

La constitución del Órgano de Control Interno (OCI)

La constitución de un órgano de control interno será preceptiva, según el Art. 35.2 del Reglamento, en los sujetos obligados comprendidos en los apartados a) al h) del artículo 2.1 de la Ley 10/2010, de 28 de abril, y en los sujetos obligados comprendidos en el apartado i) y siguientes del mismo artículo, y en los corredores de seguros cuando, con inclusión de los agentes, ocupen a más de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual supere los 10 millones de euros, o los que no superando este umbral estén integrados en un grupo empresarial que supere dichas cifras.

Funciones del órgano de control interno: Será responsable de la aplicación de las políticas y procedimientos especificados en el Art. 26.1 de la Ley referenciadas anteriormente.

Composición del órgano de control interno: Contará con representación de las distintas áreas de negocio del sujeto obligado.

Funcionamiento del órgano de control interno: Se reunirá y levantará acta expresa de los acuerdos adoptados, con la periodicidad que se determine en el procedimiento de control interno.

En los sujetos obligados excluidos de la obligación de constitución de un órgano de control interno, desempeñará sus funciones el representante ante el Servicio Ejecutivo de la Comisión, según el Art. 35.2 del Reglamento.

Si analizamos el esquema constructivo de la Ley y del Reglamento, comprobaremos que ambas normas siguen los sistemas organizativos de los estándares internacionales de “compliance”, estableciendo para los sujetos obligados un programa de cumplimiento que es específico para la detección y gestión del blanqueo de capitales y la financiación del terrorismo.

Pero esta especificidad no está reñida con la coordinación transversal que seguramente ha de darse dentro de los sujetos obligados con otros programas de cumplimiento, como por ejemplo, el de riesgos penales, el de vulneración de la privacidad, el de prevención del fraude, o los fiscales, medioambientales, regulatorios, etc., en los que también resulta aconsejable una representación de las distintas áreas de negocio, por lo que nada impediría que el órgano de control interno PBCFT fuera una estructura transversal dentro de la organización para toda la función de “compliance”, y no solamente para el programa de prevención del blanqueo de capitales y de la financiación del terrorismo; esta superestructura, como órgano colegiado, tendría un máximo representante con la denominación que quiera establecerse para el mismo, como por ejemplo “presidente del comité de cumplimiento”, o cualquier otro nombre con terminología anglosajona de los que están tan de moda.

Igualmente, el programa de cumplimiento normativo específico para la prevención del blanqueo de capitales y de la financiación del terrorismo, al igual que para los restantes programas de cumplimiento, tendría a su frente un máximo responsable, que estaría subordinado dentro de la estructura transversal al “presidente del comité de cumplimiento”.

Aunque legalmente el OCI es el responsable de la aplicación de las políticas y procedimientos especificados en el Art. 26.1 de la Ley, nada impide legalmente que sea también el que las planifique y concrete normativamente, aunque deban ser aprobados posteriormente unos y otras, según el Art. 31.2 del Reglamento, por el órgano de administración del sujeto obligado, a excepción de aquellos sujetos obligados con un volumen de negocios anual superior a los 50 millones de euros o balance general anual superior a  43 millones de euros, en los que el propio órgano de control interno, podría aprobar los procedimientos a través de los cuales se implementan las políticas de prevención del blanqueo de capitales y la financiación del terrorismo, no las políticas, que siempre han de ser aprobadas por el órgano de administración del sujeto obligado.

Para que el comité de “compliance” pueda actuar como un órgano de control interno en materia PBCFT, la primera medida que deberá tomar será la de su propia formación en prevención del blanqueo de capitales y de la financiación del terrorismo, para poder diseñar primero, y posteriormente aplicar en toda la empresa, las políticas y procedimientos adecuados en materia de diligencia debida, información, conservación de documentos, control interno, evaluación y gestión de riesgos, garantía del cumplimiento de las disposiciones legales y las de comunicación, en la forma exigida por la Ley 10/2010 y su Reglamento, así como las restantes políticas establecidas por el Art. 26 de la Ley.

Para ello, el OCI ha de programar para sí mismo un sistema de formación permanente “on line” sobre las cuestiones generales de la Ley y del Reglamento, y de formación “en empresa” para  profundizar en esta normativa bajo los criterios del Mando.

La formación de los miembros del OCI resulta fundamental para la adecuada implementación de las políticas y procedimientos de prevención en las distintas áreas de negocio,  puesto que muchas de las obligaciones que establece la Ley no dependen directamente del departamento de prevención del blanqueo, sino de departamentos distintos, como por ejemplo los departamentos de aceptación de clientes y los de análisis de de riesgos.

Otra de las medidas que debe impulsar el OCI desde el principio, a través del departamento que corresponda, que normalmente será el de “recursos humanos (RR.HH),  será la planificación de la formación de los empleados, mediante el diseño del plan anual de formación exigido por el Art. 29 de la Ley, que estará dedicado al conocimiento general de la misma por todos los integrantes de la empresa.

Una vez esté confeccionado el Manual de Prevención”, el OCI impulsará el diseño de un plan de formación especializada para cada área de negocio, con cursos específicos orientados a detectar las operaciones que pudieran estar relacionadas con el blanqueo de capitales o la financiación del terrorismo, así como para instruir a los empleados de cada área sobre la forma de proceder en tales casos.

La normalización de procedimientos dentro de cada sector de actividad

Otra de las primeras medidas que debería tomar el OCI tras su constitución, además de las formativas ya enunciadas, sería la de  integrar una representación del mismo dentro de las Comisiones de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo que estén funcionando en las organizaciones representativas de cada sector de actividad, puesto que en ellas se trabaja para la normalización de los procedimientos de control interno PBCFT y para la armonización de obligaciones dentro de cada sector. Esta homogeneización dota a  las empresas pertenecientes a  un mismo sector de una mayor seguridad en el cumplimiento.

Un trabajo importante de estas Comisiones sectoriales sería el estudio y definición de las operaciones susceptibles de estar relacionadas con el blanqueo de capitales o la financiación del terrorismo dentro de su respectiva actividad, y la descripción de aquellos tipos de clientes que pudieran presentar un riesgo de blanqueo superior al promedio, tal como exige la Ley.

Este trabajo previo de normalización de procedimientos de control interno, facilitaría a los órganos de control interno la confección de los Manuales propios de prevención del blanqueo de capitales y de la financiación del terrorismo.

¿Cómo confeccionar las distintas partes del Manual de Prevención conforme a las exigencias del Art. 33 del Reglamento?

Según el Artículo 33 del Reglamento (Real Decreto 304/2014, de 5 de mayo), los procedimientos de control interno que establezcan los sujetos obligados estarán documentados en un manual de prevención del blanqueo de capitales y de la financiación del terrorismo que comprenderá, como mínimo, los siguientes aspectos:

1. La política de admisión de clientes del sujeto obligado, con una descripción precisa de los clientes que potencialmente puedan suponer un riesgo superior al promedio por disposición normativa o porque así se desprenda del análisis de riesgo, y de las medidas a adoptar para mitigarlo, incluida, en su caso, la negativa a establecer relaciones de negocio o a ejecutar operaciones o la terminación de la relación de negocios.
2. Un procedimiento estructurado de diligencia debida que incluirá la periódica actualización de la documentación e información exigibles. La actualización será, en todo caso, preceptiva cuando se verifique un cambio relevante en la actividad del cliente que pudiera influir en su perfil de riesgo.
3. Un procedimiento estructurado de aplicación de las medidas de diligencia debida a los clientes existentes en función del riesgo que tendrá en cuenta, en su caso, las medidas aplicadas previamente y la adecuación de los datos obtenidos.
4. Una relación de hechos u operaciones que, por su naturaleza, puedan estar relacionados con el blanqueo de capitales o la financiación del terrorismo, estableciendo su periódica revisión y difusión entre los directivos, empleados y agentes del sujeto obligado.
5. Una descripción detallada de los flujos internos de información, con instrucciones precisas a los directivos, empleados y agentes del sujeto obligado sobre cómo proceder en relación con los hechos u operaciones que, por su naturaleza, puedan estar relacionados con el blanqueo de capitales o la financiación del terrorismo.
6. Un procedimiento para la detección de hechos u operaciones sujetos a examen especial, con descripción de las herramientas o aplicaciones informáticas implantadas y de las alertas establecidas.
7. Un procedimiento estructurado de examen especial que concretará de forma precisa las fases del proceso de análisis y las fuentes de información a emplear, formalizando por escrito el resultado del examen y las decisiones adoptadas.
8. Una descripción detallada del funcionamiento de los órganos de control interno, que incluirá su composición, competencias y periodicidad de sus reuniones.
9. Las medidas para asegurar el conocimiento de los procedimientos de control interno por parte de los directivos, empleados y agentes del sujeto obligado, incluida su periódica difusión y la realización de acciones formativas de conformidad con un plan anual.
10. Las medidas a adoptar para verificar el cumplimiento de los procedimientos de control interno por parte de los directivos, empleados y agentes del sujeto obligado.
11. Los requisitos y criterios de contratación de agentes, que deberán obedecer a lo dispuesto en el artículo 37.2.
12. Las medidas a adoptar para asegurarse de que los corresponsales del sujeto obligado aplican procedimientos adecuados de prevención del blanqueo de capitales y de la financiación del terrorismo.
13. Un procedimiento de verificación periódica de la adecuación y eficacia de las medidas de control interno. En los sujetos obligados que dispongan de departamento de auditoría interna corresponderá a éste dicha función de verificación.
14. La periódica actualización de las medidas de control interno, a la luz de los desarrollos observados en el sector y del análisis del perfil de negocio y operativa del sujeto obligado.
15. Un procedimiento de conservación de documentos que garantice su adecuada gestión e inmediata disponibilidad.

Teniendo en cuenta la complejidad de las exigencias reglamentarias y su necesaria adecuación a cada sujeto obligado, constituiría un error la confección del Manual de Prevención a partir de un documento estándar que contenga, sin más, los diferentes puntos exigidos por el Art. 33 del Reglamento, y su posterior adaptación  de forma simple al funcionamiento interno del sujeto obligado.

No puede el sujeto obligado encorsetar el funcionamiento de su empresa mediante un Manual de Prevención creado por quien no conozca la organización interna, aunque sea perfecto desde el punto de vista legal y toque todos los puntos que establecen la Ley y el Reglamento, puesto que este documento le compromete ante las Autoridades y le obliga a estructurar a su dictado el funcionamiento de la empresa para poder cumplirlo realmente, lo que resultaría traumático para su estructura productiva. Por el contrario, el Manual de Prevención debe surgir del funcionamiento real de la organización interna,  y su adecuación operativa a la norma desde dentro.

Con esta reflexión no se pretende cercenar la utilidad del asesoramiento externo, sino darle su auténtico fundamento, puesto que no hay que dejar en manos externas lo que debe hacerse bajo criterios de empresa; sólo así, lo que vaya decidiendo el sujeto obligado se iría confrontando con la experiencia del asesor externo. El asesor, especialista en la materia y conocedor por su experiencia profesional, de lo que otros sujetos obligados están haciendo para solucionar los mismos problemas, y conocedor también de los criterios que sobre cada tema manejan los órganos de supervisión, ayudará a la empresa a la adaptación legal de los criterios internos adoptados, y a la confección de los argumentos para su defensa.  Ese será el valor añadido del asesoramiento externo.

El Artículo 34 del Reglamento nos ofrece los objetivos de adecuación de los procedimientos de control interno a la Ley y al Reglamento, por lo que estos objetivos serán las pautas a alcanzar en la planificación del control interno PBCFT, que deberán quedar reflejados en el Manual:

• Centralizar, gestionar, controlar y almacenar de modo eficaz la documentación e información de los clientes y de las operaciones que se realicen.
• Verificar la efectiva aplicación de los controles previstos y reforzarlos en caso necesario.
• Adoptar y aplicar medidas reforzadas para gestionar y mitigar los riesgos más elevados.
• Agregar las operaciones realizadas a fin de detectar potenciales fraccionamientos y operaciones conectadas.
• Determinar, con carácter previo, si procede el conocimiento y verificación de la actividad profesional o empresarial del cliente.
• Detectar cambios en el comportamiento operativo de los clientes o inconsistencias con su perfil de riesgo.
• Impedir la ejecución de operaciones cuando no consten completos los datos obligatorios del cliente o de la operación.
• Impedir la ejecución de operaciones por parte de personas o entidades sujetas a prohibición de operar.
• Seleccionar para su análisis operaciones en función de alertas predeterminadas y adecuadas a su actividad.
• Mantener una comunicación directa del órgano de control interno con la red comercial.
• Atender de forma rápida, segura y eficaz los requerimientos de documentación e información de la Comisión, de sus órganos de apoyo o de cualquier otra autoridad pública legalmente habilitada.
• Cumplimentar la comunicación sistemática de operaciones al Servicio Ejecutivo de la Comisión o, en su caso, la comunicación semestral negativa.

·

Quisiera señalar que el manual de prevención del blanqueo de capitales y de la financiación del terrorismo  constituye una síntesis documental de una planificación operativa más extensa del OCI, tendente a la adaptación del funcionamiento del sujeto obligado a la Ley 10/2010 y a su Reglamento.

Esta planificación operativa es la que permitirá definir y concretar la plataforma tecnológica de cumplimiento PBCFT, que el OCI tendrá que poner en funcionamiento para poder responsabilizarse realmente de la aplicación de las políticas y procedimientos, tal como establece la Ley 10/2010 (Art. 26.2)

El trabajo organizativo previo del OCI, necesario para la confección del manual de prevención, estará diversificado en las diversas partes que el Reglamento exige como mínimo al Manual, y aquellas otras que este organismo considere también de interés para el cumplimiento normativo PBCFT; seguidamente destaco algunas de ellas:

• Las reglas de funcionamiento del propio Órgano de Control Interno, la periodicidad de sus reuniones y la obligación de levantar Acta tras cada reunión, para lo que deberá crearse un libro de actas en formato electrónico o manual.
• Política expresa de admisión de clientes establecida por cada entidad, que constituirá, (por motivos de optimización del gasto, eficacia operativa y seguridad), el principal filtro de clientes para toda su actividad productiva y no sólo para el cumplimiento de las obligaciones de prevención del blanqueo.
• La relación de operaciones que dentro de cada actividad, sean susceptibles de poder ser utilizadas para el blanqueo de capitales o la financiación del terrorismo. Este es uno de los trabajos más importantes en los procesos de armonización y normalización de procedimientos bajo criterios sectoriales, y puesto que se exige una revisión periódica de este documento, la misma se conseguirá mucho más fácilmente a través de las Comisiones de prevención del blanqueo de las Asociaciones profesionales, que para ello se coordinarán operativamente con las Instituciones públicas y privadas de prevención del blanqueo.
• Establecidos por el OCI los criterios señalados en los dos puntos anteriores, (políticas de admisión de clientes y definición de las operaciones de riesgo para cada sector de actividad), se procederá al análisis de estos documentos dentro de cada área de negocio, con el fin de ajustar la operativa real del área a los criterios de cumplimiento establecidos. De este trabajo de análisis y comparación prácticos, surgirá el Manual de Procedimientos PBCTF específico de cada  área de negocio, que será verificado y aprobado por el OCI en las empresas en las que el Reglamento lo permita, o por el órgano de dirección en los restantes casos. Este Manual de Procedimientos específico será implementado en su correspondiente área y conocido por todo su personal. 

Seguidamente hago un listado de algunos aspectos generales de la Ley y del Reglamento, que tendrán que ser redefinidos de forma práctica por cada área de negocio afectada, a la luz de los criterios del OCI relativos a las políticas de admisión de clientes y definición de las operaciones de riesgo, en base  a su propio funcionamiento y competencia operativa:

• Procedimientos para el cumplimiento de la Diligencia debida (medidas normales, simplificadas o reforzadas), respecto a la identificación formal de los clientes, la identificación de los titulares reales, la averiguación del propósito e índole de la relación de los negocios y el seguimiento continuo de la relación de negocios.
• Procedimientos para las operaciones no presenciales.
• Procedimientos en operaciones de personas con responsabilidad pública, extranjeras y/o nacionales.
• Procedimientos para la conservación de documentos.
• Operaciones susceptibles de ser utilizadas para el blanqueo de capitales dentro del Área, pues como sabemos, estarán repartidas entre diversos departamentos.
• Procedimiento para el control del movimiento de los medios de pago, en donde corresponda.
• Procedimiento para las operaciones de cambio de moneda, en donde corresponda.
• Procedimiento para las operaciones en relación con determinados países o territorios no cooperantes, en donde corresponda.
• Procedimientos para asegurar altos estándares éticos en la contratación de empleados, directivos y agentes, en donde corresponda.
• Manual de prevención del blanqueo para banca de corresponsales, en donde corresponda.
• Manual de prevención del blanqueo para banca privada, en aquellas entidades que tengan especificado este tipo de negocio.
• Manual para sucursales y filiares en terceros países, en sujetos obligados que sean multinacionales.
• Procedimientos para la admisión de clientes

Según éste método de trabajo, será cada área de negocio la que establezca por escrito, el borrador de las normas internas que considere más eficaces para el cumplimiento de la nueva Ley y de su Reglamento, dentro de su actividad productiva.

Para ello se valdrá del conocimiento en profundidad de la propia Ley, del asesoramiento interno y externo, y de los criterios de normalización establecidos para su sector de actividad por los propios sujetos obligados, así como de los criterios establecidos para cada sector por las Autoridades nacionales e internacionales.

Aunque parezca complicada esta forma metodológica de proceder, no lo es tanto en la práctica y facilitará el trabajo posterior de definición del OCI, reduciendo además las reticencias internas que supone cualquier imposición de normas externas. En definitiva, la participación de cada área de negocio en la definición de sus reglas de trabajo, supone, de forma simultánea, la implementación de las mismas en la actividad productiva y comercial.

Otro valor añadido de esta forma metodológica de proceder, es que se potencian, dentro de cada área de negocio, aquellas iniciativas que sirvan para mejorar la seguridad operativa, y que necesariamente han de ponerse en funcionamiento con ocasión del  cumplimiento de la Ley, como por ejemplo, las plataformas tecnológicas para la identificación formal de los clientes, que son base imprescindible del cumplimiento en la prevención del blanqueo, pero que lógicamente servirán también para asegurar el negocio contra el fraude.

La experiencia de “compliance PBCFT” obtenida en cada área de negocio y plasmada  por escrito por el responsable de cumplimiento del área, permitirá al OCI documentar su planificación operativa.

De esta documentación operativa se extractará posteriormente el manual de prevención del blanqueo de capitales y de la financiación del terrorismo exigido por la Ley y el Reglamento, que será aprobado por el órgano directivo, y que será también el que el sujeto obligado presente ante el SEPBLAC de “motu proprio”, o cuando este Servicio lo solicite. Este documento estará compuesto por tantas piezas como sean necesarias por exigencia legal en atención al modelo específico de negocio.

Al margen de este manual de prevención oficial, en la práctica interna habrá tantos manuales parciales abreviados como sean necesarios, que estarán circunscritos  a la actividad concreta de los departamentos que integran cada área de negocio.

Estos procedimiento específicos, que son los que realmente permitirán cumplir con la Ley y el Reglamento, para que resulten eficaces deberán ser trabajados con la participación de las áreas de negocio afectadas como indiqué antes, pero con el asesoramiento del equipo de “compliance” de la entidad, en el que estará representado de forma destacada el Responsable ante el SEPBLAC. Estos procedimientos quedarán también definidos  en la plataforma tecnológica de cumplimiento, necesaria para el control del cumplimiento por el OCI, en aquellas empresas que tengan una organización compleja.

Los corredores de seguros y los sujetos obligados comprendidos en los apartados i) a u), ambos inclusive, del artículo 2.1 de la Ley 10/2010, de 28 de abril, que, con inclusión de los agentes, ocupen a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supere los 2 millones de euros, según el Art. 31.1 del Reglamento quedan exceptuados de las obligaciones establecidas en el Reglamento sobre procedimientos de control interno, sobre análisis de riesgos, sobre el manual de prevención, sobre los órganos de control interno, sobre el examen externo, y sobre la formación. Estas excepciones no serán aplicables a los sujetos obligados integrados en un grupo empresarial que supere dichas cifras.

De lo que no quedan exceptuados estos sujetos obligados será del cumplimiento de la Ley y del Reglamento, para lo que deberán realizar, con el asesoramiento oportuno, su propia planificación operativa en estas materias, documentándola debidamente para su justificación interna y externa en los casos necesarios.

Según el Art. 33.2 del Reglamento, los sujetos obligados, deberán proceder a la verificación y actualización periódicas del manual:

• Mediante un procedimiento de verificación periódica de la adecuación y eficacia de las medidas de control interno, siendo el departamento de auditoría interna, en los sujetos obligados que dispongan del mismo, al que corresponderá dicha función de verificación. 
• Mediante la periódica actualización de las medidas de control interno, a la luz de los desarrollos observados en el sector y del análisis del perfil de negocio y operativa del sujeto obligado.

El Servicio Ejecutivo de la Comisión podrá supervisar o inspeccionar la efectiva aplicación de las medidas de control interno previstas en el manual, de conformidad con lo prevenido en el artículo 47 de la Ley 10/2010, de 28 de abril.