lunes, 9 de octubre de 2017

El área de prevención del fraude dentro de las empresas



El área o departamento de prevención del fraude dentro de las empresas, es una estructura especializada con diversos cometidos específicos, como:

  • El control de la calidad y proporcionalidad de la base de datos de clientes
  • El control operativo de la diligencia debida en la identificación formal de los clientes
  • La coordinación de la investigación del fraude interno y externo
  • El asesoramiento y apoyo a la acción reactiva de la empresa frente al fraude

Estos cometidos, unos preventivos (los dos primeros) y otros reactivos (los dos siguientes), liberan de funciones que no son propias a otras áreas de la empresa, como la jurídica y la de auditoría, aunque estas últimas seguirán recibiendo desde el área de prevención del fraude la necesaria colaboración para realizar sus funciones específicas.

Otro de los cometidos del área de prevención del fraude es la colaboración con el departamento de seguridad informática, en el análisis de los fraudes tecnológicos desde su vertiente operativa no técnica.

En esta entrada del Blog sólo me centraré en las funciones o cometidos preventivos del área de prevención del fraude:

Control de la calidad y proporcionalidad de la base de datos de clientes

La Base de Datos de Clientes es uno de los activos más importantes de las empresas, que se va  creando en el tiempo a través de la labor comercial.

Pero para que sea efectiva, tanto para las obligaciones de cumplimiento como para las de negocio, su información ha de estar dotada de tres cualidades: calidad, proporcionalidad, y seguridad.

El área de prevención del fraude se encargará de la calidad y de la proporcionalidad de los datos, mientras que el departamento de seguridad informática se encargará de la seguridad de los mismos.

La calidad y la proporcionalidad de la información existente en la base de datos de clientes depende del cumplimiento o no, por todos los empleados de la empresa, de las obligaciones de diligencia debida en la identificación formal de los clientes, entendida ésta en su concepto ampliado y por tanto no limitado a la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, de donde proviene originariamente el término.

La diligencia debida en la identificación formal beneficia a la empresa, tanto en sus obligaciones de cumplimiento como en sus obligaciones de negocio.

Hasta la entrada en vigor de la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo, no existía normativa legal o administrativa en España que regulara la diligencia debida en la identificación formal de los clientes, lo que dificultaba la necesaria homogeneización de los procedimientos para llevarla a cabo.

La diligencia debida tiene como objeto el conocimiento del cliente, requisito imprescindible para poder establecer y mantener con el mismo, relaciones de negocio y operaciones. Este objetivo es válido para el cumplimiento de la Ley 10/2010, pero también para garantizar la seguridad de la actividad económica en la empresa, y para prevenir el fraude, especialmente el derivado de la suplantación o de la falsificación de identidad.

Atendiendo a estos criterios, son cuatro los procesos que son necesarios para el conocimiento del cliente:

  1. La identificación formal del cliente
  2. La identificación del titular real, si el cliente es persona jurídica
  3. El conocimiento del propósito e índole de la relación de negocios que el cliente quiere establecer con la empresa
  4. El seguimiento continuo de la relación de negocios  y de las operaciones que efectúe el cliente a través de la empresa

Los cuatro procesos (que la Ley 10/2010 llama medidas), están concatenados y ordenados de forma lógica, y cada empresa deberá ponerlos en práctica de manera simplificada, normal o reforzada, teniendo en cuenta sus intereses generales y las distintas normativas de cumplimiento.

El objetivo de estos cuatro procesos es que la empresa llegue a conocer a sus clientes, y ese  conocimiento lo atesorará  para beneficio de toda su actividad  en la Base de Datos de Clientes, que sólo debe contener aquella información  necesaria para afrontar los riesgos que la empresa asume con cada uno de ellos.

Para que la base de datos sea de interés para la actividad empresarial deberá estar revestida de calidad y proporcionalidad,  que se consiguen en la práctica mediante la aplicación escrupulosa de la política expresa de admisión de clientes y mediante  los procedimientos de diligencia debida,  por el personal que trabaja directamente con los clientes, o por el que analiza a posteriori la información aportada por los mismos.

Junto a la calidad y la proporcionalidad, la Base de Datos de Clientes debe estar revestida también de la necesaria seguridad para evitar que sea accedida sin control o contaminada interna o externamente.

La política expresa de admisión de clientes y los procedimientos de diligencia debida han de ser aprobados por la alta dirección, que deberá crear también un Órgano con la necesaria autoridad dentro de la empresa para aplicarlos y controlarlos.

Por razones de método, éste Órgano ha de ser también el que diseñe, aplique y controle operativamente el cumplimiento de la norma interna (política expresa de admisión de clientes), y los procedimientos adecuados para llevarla a la práctica (medidas de diligencia debida), sin perjuicio de las funciones de la Auditoría como autoridad independiente.

Así pues, el sistema operativo que controla el conocimiento de los clientes y por tanto la información existente en la Base de Datos de Clientes,  tiene su fundamento estratégico en:

  • La política expresa de admisión de clientes
  • Los procedimientos de diligencia debida
  • El Órgano de control

El Órgano de control contará con la colaboración operativa de estos tres departamentos o áreas:

  • El Departamento  de Prevención del Fraude
  • El Departamento de Seguridad Informática
  • El Departamento de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo

El Órgano de control, por tanto, es el responsable último de la calidad, proporcionalidad y seguridad de la Base de datos e Clientes, en sus funciones de negocio y de cumplimiento.

Este Órgano ha de contar con representación de las distintas áreas de negocio y cumplimiento de la empresa, y ha de tener capacidad para aplicar internamente las normas y los procedimientos que tienen que ver con los clientes. Cuando se reúna, ha de levantar acta de los acuerdos que adopte.

Las funciones del órgano de control son las siguientes:

  • Diseño de la política expresa de admisión de clientes y de los procedimientos de diligencia debida, que serán presentados a la Dirección para su aprobación
  • Aplicación de las normas y los procedimientos aprobados por la Dirección en las distintas áreas operativas
  • Control del cumplimiento de las normas y los procedimientos por las distintas áreas operativas


El control operativo de la diligencia debida en la identificación formal de los clientes

La política expresa de admisión de clientes define los principios que deben regir en la empresa para poder establecer relaciones de negocio y operaciones,  e incluye la descripción de aquellos tipos de clientes que podrían presentar un riesgo superior al riesgo promedio, en función de los factores que determine cada empresa, entre los que estarán de forma destacada los de riesgo del blanqueo de capitales y de la financiación del terrorismo.

Esta política deberá contener también la identificación de los “filtros de exclusión”, que tienen como misión impedir la aceptación como clientes de aquellas personas físicas o jurídicas sobre las que exista alguna prohibición legal o administrativa, o que representen un riesgo no asumible para la empresa.

Al ser el Órgano de control un comité de dirección con representación de las distintas áreas de negocio y cumplimiento de la empresa, en el trabajo de campo necesario  para el diseño de la política expresa de admisión de clientes se auxiliará de los tres departamentos referenciados anteriormente: El departamento de prevención del fraude, el departamento PBC/FT y el departamento de seguridad informática.

  • El departamento de prevención del fraude le auxiliará en la definición de los riesgos derivados del fraude de identidad y de los fraudes ocasionados por un mal conocimiento de los clientes
  • El departamento de prevención del blanqueo, le auxiliará en la definición de los riesgos derivados del incumplimiento de la Ley 10/2010
  • El departamento de seguridad informática, le auxiliará en la definición de los riesgos derivados de la inseguridad de la base de datos de clientes, de los riesgos derivados de la no discriminación en el uso interno de esa base de datos, y sobre la tecnología necesaria para el seguimiento continuo de la relación de negocio, así como sobre el sistema de alertas que deberá establecerse al efecto

Se creará, por tanto, un grupo de trabajo dirigido por un miembro relevante del Órgano de control, que será  ayudado por especialistas de los tres departamentos citados, para el diseño de la política expresa de admisión de clientes. Este grupo de trabajo se encargará de realizar los trabajos de campo necesarios para determinar el riesgo-cliente que suponen para la empresa los productos y servicios que ésta ofrece, definiendo, en base a ese riesgo, los principios que deberán regir en la empresa para establecer las relaciones de negocio y operaciones. Se encargará también de describir aquellos tipos de clientes que podrían presentar un riesgo superior al riesgo promedio. Igualmente determinará las listas o filtros de exclusión que deberán ser instalados en las plataformas tecnológicas de control y cumplimiento.

El resultado de este trabajo será el borrador documental que el Órgano de control presentará a la alta dirección para su aprobación; posteriormente con el documento definitivo, aplicará en toda la empresa una cultura de cumplimiento en la que han de imbricarse todos los departamentos o áreas: negocio, gestión, cumplimiento y control.

Igualmente el Órgano de control tendrá bajo su responsabilidad el diseño, aplicación y control de los procedimientos de diligencia debida necesarios para el conocimiento de los clientes, para lo que se ayudará de los tres departamentos señalados de una manera similar a la que hemos visto para la definición de la política expresa de admisión de clientes.

Una vez diseñados y aprobados los procedimientos de diligencia debida, e identificados los departamentos que deberán de utilizarlos en su operativa, tendrán que ser aplicados por estos mismos departamentos atendiendo al riesgo encontrado para cada perfil de clientes y modalidad de producto o servicio susceptible de contratación. Para ello, el Órgano de control, ayudado de su equipo asesor, habrá determinado previamente los  perfiles de riesgo, para cada tipo de cliente y modalidad de producto, así como los procedimientos que deberán ser utilizados  en cada caso  y el grado en que serán aplicados, (normal, simplificado o reforzado), atendiendo a los criterios de riesgo de la empresa, que estarán atemperados también por la normativa externa existente.

Para el  conocimiento de los clientes habrán de diseñarse y aplicarse los siguientes procedimientos:

  • El procedimiento de identificación formal de los clientes
  • El procedimiento para la identificación del titular real
  • El procedimiento para el conocimiento del propósito e índole de la relación de negocios
  • El procedimiento para el seguimiento continuo de la relación de negocios

Estamos acostumbrados a estudiar las medidas o procedimientos de diligencia debida sólo desde la óptica de la prevención del blanqueo de capitales y de la financiación del terrorismo, y ahora conviene ampliar  el criterio a la nueva visión estratégica.

Es cierto que el departamento de prevención del blanqueo de capitales y financiación del terrorismo, teniendo en cuenta sus propios criterios de riesgo PBC/FT, establecerá para cada tipo de cliente y modalidad de productos y operaciones los factores de riesgo que le son propios, pero ello es sólo una parte del proceso de la diligencia debida, puesto que en el concepto ampliado que estamos abordando, también habrán de incluirse otros criterios de riesgo-cliente.

Me refiero, por ejemplo, a:
  • Los riesgos de crédito y cobro
  • Los riesgos de fraude
  • Los riesgos de seguridad
  • Los riesgos de protección de datos de carácter personal
  • Otros riesgos de cumplimiento, como los de transparencia y protección del cliente de servicios financieros
  • Etc.

La diligencia debida, desde este concepto ampliado, excede  la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo, y se inserta directamente dentro de la esfera del control general del riesgo-cliente de la empresa, en el que el riesgo PBC/FT seguirá siendo uno de sus puntos fuertes.

El Órgano de control tendrá que diseñar, por tanto,  el mapa general con los diferentes riesgos a considerar, distribuyendo las materias entre los departamentos que le  auxilian en este trabajo; las materias de seguridad estarán coordinadas por el departamento de seguridad informática, las de PBC/FT por el departamento de prevención del blanqueo de capitales y las que tienen que ver con los restantes riesgos-cliente, por el departamento de prevención del fraude.

Si no existiera esa centralización, cada departamento de negocio, de control o de cumplimiento, establecería su propia política expresa de admisión de clientes y las obligaciones de diligencia debida atendiendo a sus perfiles de riesgo-cliente y operaciones, lo que llevaría a una multiplicidad de políticas y procedimientos.

El objetivo de este trabajo de campo será el diseño y posterior aplicación de una política unitaria de diligencia debida, en la que confluyan las necesidades de las diferentes áreas de la empresa que tienen responsabilidad sobre los  clientes, ya sean de negocio, de cumplimiento o de riesgo.


Apunte sobre la identificación formal de los clientes

El proceso de identificación formal de los clientes ha de hacerse obligatoriamente como queda establecido  en el Artículo 3 de la Ley 10/2010 y en los artículos del Reglamento que modulan la aplicación del mismo, y así,

La identificación formal de las personas físicas o jurídicas ha de hacerse con carácter previo al establecimiento de la relación de negocio o a la ejecución de cualesquiera operaciones, y deberá realizarse mediante la verificación presencial de los documentos fehacientes de identificación que establece el Reglamento de la Ley 10/2010, sin perjuicio de lo dispuesto en el artículo 12 de la Ley para las relaciones de negocio y operaciones no presenciales:

Para el cliente, persona física son los siguientes:

  • El Documento Nacional de Identidad para las personas físicas de nacionalidad española
  • Para las personas físicas de nacionalidad extranjera, la Tarjeta de Residencia, la Tarjeta de Identidad de Extranjero, el Pasaporte o, en el caso de ciudadanos de la Unión Europea o del Espacio Económico Europeo, el documento, carta o tarjeta oficial de identidad personal expedido por las autoridades de origen. Será asimismo documento válido para la identificación de extranjeros el documento de identidad expedido por el Ministerio de Asuntos Exteriores y de Cooperación para el personal de las representaciones diplomáticas y consulares de terceros países en España.

Excepcionalmente, podrán aceptarse otros documentos de identidad personal expedidos por una autoridad gubernamental siempre que gocen de las adecuadas garantías de autenticidad e incorporen fotografía del titular.

Para el cliente, persona jurídica es el siguiente:

  • Los documentos públicos que acrediten su existencia y contengan su denominación social, forma jurídica, domicilio, la identidad de sus administradores, estatutos y número de identificación fiscal.
  • En el caso de personas jurídicas de nacionalidad española, será admisible, a efectos de identificación formal, certificación del Registro Mercantil provincial, aportada por el cliente u obtenida mediante consulta telemática.

En los casos de representación legal o voluntaria, la identidad del representante y de la persona o entidad representada, será comprobada documentalmente. A estos efectos, deberá obtenerse copia del documento fehaciente correspondiente tanto al representante como a la persona o entidad representada, así como el documento público acreditativo de los poderes conferidos. Será admisible la comprobación mediante certificación del Registro Mercantil provincial, aportada por el cliente, u obtenida mediante consulta telemática.

Los sujetos obligados identificarán y comprobarán mediante documentos fehacientes la identidad de todos los partícipes de las entidades sin personalidad jurídica. No obstante, en el supuesto de entidades sin personalidad jurídica que no ejerzan actividades económicas bastará, con carácter general, con la identificación y comprobación mediante documentos fehacientes de la identidad de la persona que actúe por cuenta de la entidad.

En el supuesto de fondos de inversión, la obligación de identificación y comprobación de la identidad de los partícipes se realizará conforme a lo dispuesto en el artículo 40.3 de la Ley 35/2003, de 4 de noviembre, de Instituciones de Inversión Colectiva.

En los fideicomisos anglosajones («trusts») u otros instrumentos jurídicos análogos que, no obstante carecer de personalidad jurídica, puedan actuar en el tráfico económico, los sujetos obligados requerirán el documento constitutivo, sin perjuicio de proceder a la identificación y comprobación de la identidad de la persona que actúe por cuenta de los beneficiarios o de acuerdo con los términos del fideicomiso, o instrumento jurídico. A estos efectos, los fiduciarios comunicarán su condición a los sujetos obligados cuando, como tales, pretendan establecer relaciones de negocio o intervenir en cualesquiera operaciones. En aquellos supuestos en que un fiduciario no declare su condición de tal y se determine esta circunstancia por el sujeto obligado, se pondrá fin a la relación de negocios, procediendo a realizar el examen especial a que se refiere el artículo 17 de la Ley 10/2010, de 28 de abril.

Las entidades gestoras de instituciones de inversión colectiva considerarán clientes a las entidades comercializadoras de instituciones de inversión colectiva siempre que éstas tengan la consideración de sujeto obligado conforme a la Ley 10/2010, de 28 de abril, en relación con las cuentas globales a las que se refiere el artículo 40.3 de la Ley 35/2003, de 4 de noviembre, de Instituciones de Inversión Colectiva.

Los documentos de identificación deberán encontrarse en vigor en el momento de establecer relaciones de negocio o ejecutar operaciones ocasionales. En el supuesto de personas jurídicas, la vigencia de los datos consignados en la documentación aportada deberá acreditarse mediante una declaración responsable del cliente.

Asimismo se deberán identificar como personas físicas, las que actúen en nombre de las personas jurídicas en la identificación formal de las mismas.



Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)