El área o departamento de prevención del
fraude dentro de las empresas, es una estructura especializada con diversos
cometidos específicos, como:
- El control
de la calidad y proporcionalidad de la base de datos de clientes
- El control
operativo de la diligencia debida en la identificación formal de los
clientes
- La
coordinación de la investigación del fraude interno y externo
- El
asesoramiento y apoyo a la acción reactiva de la empresa frente al fraude
Estos cometidos, unos preventivos (los
dos primeros) y otros reactivos (los dos siguientes), liberan de funciones que
no son propias a otras áreas de la empresa, como la jurídica y la de auditoría,
aunque estas últimas seguirán recibiendo desde el área de prevención del fraude
la necesaria colaboración para realizar sus funciones específicas.
Otro de los cometidos del área de
prevención del fraude es la colaboración con el departamento de seguridad
informática, en el análisis de los fraudes tecnológicos desde su vertiente
operativa no técnica.
En esta entrada del Blog sólo me
centraré en las funciones o cometidos preventivos del área de prevención del
fraude:
Control de la calidad y proporcionalidad
de la base de datos de clientes
La Base de Datos de Clientes es uno de
los activos más importantes de las empresas, que se va creando en el
tiempo a través de la labor comercial.
Pero para que sea efectiva, tanto para
las obligaciones de cumplimiento como para las de negocio, su información ha de
estar dotada de tres cualidades: calidad, proporcionalidad, y seguridad.
El área de prevención del fraude se
encargará de la calidad y de la proporcionalidad de los datos, mientras que el
departamento de seguridad informática se encargará de la seguridad de los
mismos.
La calidad y la proporcionalidad de la
información existente en la base de datos de clientes depende del cumplimiento
o no, por todos los empleados de la empresa, de las obligaciones de
diligencia debida en la identificación formal de los clientes, entendida ésta
en su concepto ampliado y por tanto no limitado a la legislación de prevención
del blanqueo de capitales y de la financiación del terrorismo, de donde
proviene originariamente el término.
La diligencia debida en la
identificación formal beneficia a la empresa, tanto en sus obligaciones de
cumplimiento como en sus obligaciones de negocio.
Hasta la entrada en vigor de la Ley
10/2010 de prevención del blanqueo de capitales y de la financiación del
terrorismo, no existía normativa legal o administrativa en España que regulara
la diligencia debida en la identificación formal de los clientes, lo que
dificultaba la necesaria homogeneización de los procedimientos para llevarla a
cabo.
La diligencia debida tiene como objeto
el conocimiento del cliente, requisito imprescindible para poder
establecer y mantener con el mismo, relaciones de negocio y operaciones. Este
objetivo es válido para el cumplimiento de la Ley 10/2010, pero también para
garantizar la seguridad de la actividad económica en la empresa, y para
prevenir el fraude, especialmente el derivado de la suplantación o de la
falsificación de identidad.
Atendiendo a estos criterios, son cuatro
los procesos que son necesarios para el conocimiento del cliente:
- La identificación formal del cliente
- La identificación del titular real, si el cliente
es persona jurídica
- El conocimiento del propósito e índole de la
relación de negocios que el cliente quiere establecer con la empresa
- El seguimiento continuo de la relación de
negocios y de las operaciones que efectúe el cliente a través de la
empresa
Los cuatro procesos (que la Ley
10/2010 llama medidas), están concatenados y ordenados de forma lógica, y cada empresa deberá ponerlos en práctica de manera simplificada, normal o
reforzada, teniendo en cuenta sus intereses generales y las distintas
normativas de cumplimiento.
El objetivo de estos cuatro procesos es
que la empresa llegue a conocer a sus clientes, y ese conocimiento lo
atesorará para beneficio de toda su actividad en la Base de Datos
de Clientes, que sólo debe contener aquella información necesaria para
afrontar los riesgos que la empresa asume con cada uno de ellos.
Para que la base de datos sea de interés
para la actividad empresarial deberá estar revestida de calidad y
proporcionalidad, que se consiguen en la práctica mediante la aplicación
escrupulosa de la política expresa de admisión de clientes y
mediante los procedimientos de diligencia debida,
por el personal que trabaja directamente con los clientes, o por el que
analiza a posteriori la información aportada por los mismos.
Junto a la calidad y la
proporcionalidad, la Base de Datos de Clientes debe estar revestida también de
la necesaria seguridad para evitar que sea accedida sin control o contaminada
interna o externamente.
La política expresa de admisión de
clientes y los procedimientos de diligencia debida han de ser aprobados por la
alta dirección, que deberá crear también un Órgano con la necesaria autoridad
dentro de la empresa para aplicarlos y controlarlos.
Por razones de método, éste Órgano ha de
ser también el que diseñe, aplique y controle operativamente el cumplimiento de
la norma interna (política expresa de admisión de clientes),
y los procedimientos adecuados para llevarla a la
práctica (medidas de diligencia debida), sin perjuicio de las funciones de la
Auditoría como autoridad independiente.
Así pues, el sistema operativo que
controla el conocimiento de los clientes y por tanto la información existente
en la Base de Datos de Clientes, tiene su fundamento estratégico en:
- La
política expresa de admisión de clientes
- Los
procedimientos de diligencia debida
- El Órgano
de control
El Órgano de control contará con
la colaboración operativa de estos tres departamentos o áreas:
- El Departamento de Prevención del Fraude
- El Departamento de Seguridad Informática
- El Departamento de Prevención del Blanqueo de Capitales
y de la Financiación del Terrorismo
El Órgano de control, por tanto,
es el responsable último de la calidad, proporcionalidad y seguridad de
la Base de datos e Clientes, en sus funciones de negocio y de cumplimiento.
Este Órgano ha de contar con
representación de las distintas áreas de negocio y cumplimiento de la empresa,
y ha de tener capacidad para aplicar internamente las normas y los
procedimientos que tienen que ver con los clientes. Cuando se reúna, ha de
levantar acta de los acuerdos que adopte.
Las funciones del órgano de control son
las siguientes:
- Diseño de
la política expresa de admisión de clientes y de los procedimientos de
diligencia debida, que serán presentados a la Dirección para su aprobación
- Aplicación
de las normas y los procedimientos aprobados por la Dirección en las
distintas áreas operativas
- Control
del cumplimiento de las normas y los procedimientos por las distintas
áreas operativas
El control operativo de la
diligencia debida en la identificación formal de los clientes
La política expresa de admisión de clientes define los principios que deben regir en la empresa para poder establecer relaciones de negocio y operaciones, e incluye la descripción de aquellos tipos de clientes que podrían presentar un riesgo superior al riesgo promedio, en función de los factores que determine cada empresa, entre los que estarán de forma destacada los de riesgo del blanqueo de capitales y de la financiación del terrorismo.
Esta política deberá contener también la
identificación de los “filtros de exclusión”, que tienen como misión
impedir la aceptación como clientes de aquellas personas físicas o jurídicas
sobre las que exista alguna prohibición legal o administrativa, o que
representen un riesgo no asumible para la empresa.
Al ser el Órgano de control un comité de
dirección con representación de las distintas áreas de negocio y cumplimiento
de la empresa, en el trabajo de campo necesario para el diseño de la
política expresa de admisión de clientes se auxiliará de los tres
departamentos referenciados anteriormente: El departamento de prevención del
fraude, el departamento PBC/FT y el departamento de seguridad informática.
- El
departamento de prevención del fraude le auxiliará en la definición de los
riesgos derivados del fraude de identidad y de los fraudes ocasionados por
un mal conocimiento de los clientes
- El
departamento de prevención del blanqueo, le auxiliará en la definición de
los riesgos derivados del incumplimiento de la Ley 10/2010
- El
departamento de seguridad informática, le auxiliará en la definición de
los riesgos derivados de la inseguridad de la base de datos de clientes,
de los riesgos derivados de la no discriminación en el uso interno de esa
base de datos, y sobre la tecnología necesaria para el seguimiento
continuo de la relación de negocio, así como sobre el sistema de alertas
que deberá establecerse al efecto
Se creará, por tanto, un grupo de trabajo
dirigido por un miembro relevante del Órgano de control, que será ayudado
por especialistas de los tres departamentos citados, para el diseño de la
política expresa de admisión de clientes. Este grupo de trabajo se encargará de
realizar los trabajos de campo necesarios para determinar el riesgo-cliente que
suponen para la empresa los productos y servicios que ésta ofrece, definiendo,
en base a ese riesgo, los principios que deberán regir en la empresa para
establecer las relaciones de negocio y operaciones. Se encargará también de
describir aquellos tipos de clientes que podrían presentar un riesgo superior
al riesgo promedio. Igualmente determinará las listas o filtros de exclusión
que deberán ser instalados en las plataformas tecnológicas de control y cumplimiento.
El resultado de este trabajo será el
borrador documental que el Órgano de control presentará a la alta dirección
para su aprobación; posteriormente con el documento definitivo, aplicará en toda
la empresa una cultura de cumplimiento en la que han de imbricarse todos
los departamentos o áreas: negocio, gestión, cumplimiento y control.
Igualmente el Órgano de control tendrá
bajo su responsabilidad el diseño, aplicación y control de los procedimientos
de diligencia debida necesarios para el conocimiento de los
clientes, para lo que se ayudará de los tres departamentos señalados de
una manera similar a la que hemos visto para la definición de la política
expresa de admisión de clientes.
Una vez diseñados y aprobados los
procedimientos de diligencia debida, e identificados los departamentos que
deberán de utilizarlos en su operativa, tendrán que ser aplicados por estos
mismos departamentos atendiendo al riesgo encontrado para cada perfil de
clientes y modalidad de producto o servicio susceptible de contratación. Para
ello, el Órgano de control, ayudado de su equipo asesor, habrá determinado
previamente los perfiles de riesgo, para cada tipo de cliente y modalidad
de producto, así como los procedimientos que deberán ser utilizados en
cada caso y el grado en que serán aplicados, (normal, simplificado o
reforzado), atendiendo a los criterios de riesgo de la empresa, que estarán
atemperados también por la normativa externa existente.
Para el conocimiento de los
clientes habrán de diseñarse y aplicarse los siguientes procedimientos:
- El procedimiento de identificación formal de los
clientes
- El procedimiento para la identificación del
titular real
- El procedimiento para el conocimiento del
propósito e índole de la relación de negocios
- El procedimiento para el seguimiento continuo de
la relación de negocios
Estamos acostumbrados a estudiar las medidas o procedimientos de diligencia debida sólo desde la óptica de
la prevención del blanqueo de capitales y de la financiación del terrorismo, y
ahora conviene ampliar el criterio a la nueva visión estratégica.
Es cierto que el departamento de
prevención del blanqueo de capitales y financiación del terrorismo, teniendo en
cuenta sus propios criterios de riesgo PBC/FT, establecerá para cada tipo de
cliente y modalidad de productos y operaciones los factores de riesgo que le
son propios, pero ello es sólo una parte del proceso de la diligencia debida,
puesto que en el concepto ampliado que estamos abordando, también habrán de incluirse otros criterios de riesgo-cliente.
Me refiero, por ejemplo, a:
- Los
riesgos de crédito y cobro
- Los
riesgos de fraude
- Los
riesgos de seguridad
- Los
riesgos de protección de datos de carácter personal
- Otros
riesgos de cumplimiento, como los de transparencia y protección del
cliente de servicios financieros
- Etc.
La diligencia debida, desde este
concepto ampliado, excede la normativa de prevención del blanqueo de
capitales y de la financiación del terrorismo, y se inserta directamente dentro
de la esfera del control general del riesgo-cliente de la empresa, en el que el
riesgo PBC/FT seguirá siendo uno de sus puntos fuertes.
El Órgano de control tendrá que diseñar,
por tanto, el mapa general con los diferentes riesgos a considerar,
distribuyendo las materias entre los departamentos que le auxilian en
este trabajo; las materias de seguridad estarán coordinadas por el departamento
de seguridad informática, las de PBC/FT por el departamento de prevención del
blanqueo de capitales y las que tienen que ver con los restantes
riesgos-cliente, por el departamento de prevención del fraude.
Si no existiera esa centralización, cada
departamento de negocio, de control o de cumplimiento, establecería su propia
política expresa de admisión de clientes y las obligaciones de diligencia
debida atendiendo a sus perfiles de riesgo-cliente y operaciones, lo que
llevaría a una multiplicidad de políticas y procedimientos.
El objetivo de este trabajo de campo
será el diseño y posterior aplicación de una política unitaria de diligencia
debida, en la que confluyan las necesidades de las diferentes áreas de la
empresa que tienen responsabilidad sobre los clientes, ya sean de
negocio, de cumplimiento o de riesgo.
Apunte sobre la identificación formal de
los clientes
El proceso de identificación formal de
los clientes ha de hacerse obligatoriamente como queda establecido en el
Artículo 3 de la Ley 10/2010 y en los artículos del Reglamento que modulan la
aplicación del mismo, y así,
La identificación formal de las personas
físicas o jurídicas ha de hacerse con carácter previo al establecimiento de la
relación de negocio o a la ejecución de cualesquiera operaciones, y deberá
realizarse mediante la verificación presencial de los documentos fehacientes de
identificación que establece el Reglamento de la Ley 10/2010, sin perjuicio de lo
dispuesto en el artículo 12 de la Ley para las relaciones de negocio y
operaciones no presenciales:
Para el cliente, persona física son los
siguientes:
- El
Documento Nacional de Identidad para las personas físicas de nacionalidad
española
- Para las
personas físicas de nacionalidad extranjera, la Tarjeta de Residencia, la
Tarjeta de Identidad de Extranjero, el Pasaporte o, en el caso de
ciudadanos de la Unión Europea o del Espacio Económico Europeo, el
documento, carta o tarjeta oficial de identidad personal expedido por las
autoridades de origen. Será asimismo documento válido para la
identificación de extranjeros el documento de identidad expedido por el
Ministerio de Asuntos Exteriores y de Cooperación para el personal de las
representaciones diplomáticas y consulares de terceros países en España.
Excepcionalmente, podrán aceptarse otros
documentos de identidad personal expedidos por una autoridad gubernamental
siempre que gocen de las adecuadas garantías de autenticidad e incorporen
fotografía del titular.
Para el cliente, persona jurídica es el
siguiente:
- Los
documentos públicos que acrediten su existencia y contengan su
denominación social, forma jurídica, domicilio, la identidad de sus
administradores, estatutos y número de identificación fiscal.
- En el caso
de personas jurídicas de nacionalidad española, será admisible, a efectos
de identificación formal, certificación del Registro Mercantil provincial,
aportada por el cliente u obtenida mediante consulta telemática.
En los casos de representación
legal o voluntaria, la identidad del representante y de la persona o entidad
representada, será comprobada documentalmente. A estos efectos, deberá
obtenerse copia del documento fehaciente correspondiente tanto al representante
como a la persona o entidad representada, así como el documento público
acreditativo de los poderes conferidos. Será admisible la comprobación mediante
certificación del Registro Mercantil provincial, aportada por el cliente, u
obtenida mediante consulta telemática.
Los sujetos obligados identificarán y comprobarán
mediante documentos fehacientes la identidad de todos los partícipes de las
entidades sin personalidad jurídica. No obstante, en el supuesto de entidades
sin personalidad jurídica que no ejerzan actividades económicas bastará, con
carácter general, con la identificación y comprobación mediante documentos
fehacientes de la identidad de la persona que actúe por cuenta de la entidad.
En el supuesto de fondos de inversión,
la obligación de identificación y comprobación de la identidad de los
partícipes se realizará conforme a lo dispuesto en el artículo 40.3 de la Ley
35/2003, de 4 de noviembre, de Instituciones de Inversión Colectiva.
En los fideicomisos anglosajones
(«trusts») u otros instrumentos jurídicos análogos que, no obstante carecer de
personalidad jurídica, puedan actuar en el tráfico económico, los sujetos
obligados requerirán el documento constitutivo, sin perjuicio de proceder a la
identificación y comprobación de la identidad de la persona que actúe por
cuenta de los beneficiarios o de acuerdo con los términos del fideicomiso, o
instrumento jurídico. A estos efectos, los fiduciarios comunicarán su condición
a los sujetos obligados cuando, como tales, pretendan establecer relaciones de
negocio o intervenir en cualesquiera operaciones. En aquellos supuestos en que
un fiduciario no declare su condición de tal y se determine esta circunstancia
por el sujeto obligado, se pondrá fin a la relación de negocios, procediendo a
realizar el examen especial a que se refiere el artículo 17 de la Ley 10/2010,
de 28 de abril.
Las entidades gestoras de instituciones
de inversión colectiva considerarán clientes a las entidades comercializadoras
de instituciones de inversión colectiva siempre que éstas tengan la
consideración de sujeto obligado conforme a la Ley 10/2010, de 28 de abril, en
relación con las cuentas globales a las que se refiere el artículo 40.3 de la
Ley 35/2003, de 4 de noviembre, de Instituciones de Inversión Colectiva.
Los documentos de identificación deberán
encontrarse en vigor en el momento de establecer relaciones de negocio o
ejecutar operaciones ocasionales. En el supuesto de personas jurídicas, la
vigencia de los datos consignados en la documentación aportada deberá
acreditarse mediante una declaración responsable del cliente.
Asimismo se deberán identificar como
personas físicas, las que actúen en nombre de las personas jurídicas en la
identificación formal de las mismas.
No hay comentarios:
Publicar un comentario