Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







miércoles, 17 de julio de 2013

EL SEGUIMIENTO DEL CLIENTE Y LA PREVENCIÓN DEL FRAUDE




En la investigación del fraude habrá que diferenciar claramente el concepto “cliente”, que es la persona física o jurídica que se interrelaciona con la empresa mediante  su propia identidad o aquella sociedad que tiene una actividad real, del concepto de “suplantador”, que es aquella otra persona física que actúa como cliente, pero  utilizando para ello una identidad falsa o usurpada, o una sociedad inactiva, a cuyo frente pueden estar testaferros, con identidades verdaderas, falsas o usurpadas.

La diferencia radica en que el suplantador establece la relación de negocio con la intención de delinquir, ya sea defraudando o utilizando la empresa para otras actividades ilícitas, mientras que el cliente generalmente se mueve por fines lícitos, aunque exista una minoría que también pueda delinquir utilizando su propia identidad.

Con todo,  existe un número  importante de clientes que utilizan el engaño en la solvencia, presentando para ello documentos que contienen modificaciones en los datos, y lo hacen con la intención de mejorar su puntuación personal en los procesos de “scoring”.

Estas personas no pueden ser tratadas como defraudadoras por el simple hecho de haber presentando documentos con datos no correctos, siempre que sus engaños no se hayan preparado con la intención de no pagar, y sus falsificaciones no se hagan en documentos públicos u oficiales, puesto que en este caso ya estarían cometiendo una actividad punible. Presentar documentos no correctos entraría dentro de la picaresca financiera, situación que la empresa ha de  detectar  mediante un riguroso análisis de los riesgos financieros, y la confrontación de los datos que recibe de los clientes en fuentes internas y externas.

La prevención del fraude y de la picaresca financiera, se han de iniciar en el momento de las solicitudes de las relaciones de negocio. Es durante ese proceso de control, cuando las empresas tienen que evitar que las personas que entregan datos incongruentes pasen a la categoría de  clientes, aunque utilicen para ello sus propias identidades.

La primera fase de la prevención, se realiza mediante los procedimientos ya estudiados en los capítulos anteriores:
  • Para la identificación formal de los clientes y la identificación de los Titulares reales cuando sea necesario.
  • Para el  conocimiento del propósito e índole de la relación de negocios.


La información obtenida mediante estos dos procedimientos conformará  el CONOCIMIENTO HISTORICO DE LOS CLIENTES.

Este conocimiento será, por tanto, el resultado de filtrar la información recabada de los clientes  a través de  los factores de riesgo, y por las bases de datos internas y externas que estén programadas para esta finalidad.

El filtraje de la información tiene como objetivos,  la comprobación de la veracidad de los datos, la ampliación de aquellos que interesen, y sobre todo, la anulación de los efectos reputacionales negativos derivados de la existencia de alguna prohibición de negociación.

Los  factores de riesgos financieros y de cumplimiento,  habrán tenido que ser definidos previamente por los departamentos de gestión y de cumplimiento de los que dependa su control específico, e introducidos en las aplicaciones tecnológicas de los departamentos de riesgo.

Mediante esta fase de prevención, se habrá posibilitado la segmentación de los clientes atendiendo a sus riesgos, a partir de la información que les fue recabada en el momento de la solicitud de negocio.  Al final de la misma los clientes quedarán distribuidos en cualquiera de estas tres categorías de riesgo agregado:
  • Clientes de riesgo normal.
  • Clientes de riesgo bajo.
  •  Clientes de riesgo alto


Este sería el resultado de la agregación de los diferentes riesgos departamentales, y lo obtendría de forma automática el sistema.  Quedaría así concretado para la empresa  el nivel general de riesgos de sus clientes.

Como puede observarse, el nivel de riesgo agregado de cada cliente resulta poliédrico, puesto que sería el sumatorio de los diferentes valores parciales de riesgo. Aunque  este valor debe ser tenido en cuenta por toda la organización para el análisis de negocios y operaciones, en la práctica tiene que ser matizado caso por caso,  precisamente por ser una  agregación de valores departamentales. Cualquier cliente, por ejemplo, podría ser de riesgo normal para el departamento financiero, y de riesgo alto para el departamento de prevención del blanqueo de capitales, o viceversa.

De esta manera se preserva la confidencialidad de los clientes en ciertos datos sensibles, y se evita la catalogación de los mismos en relación con determinadas  materias delicadas como podría ser la prevención del blanqueo de capitales o la financiación del terrorismo. Esta confidencialidad obligaría, por ejemplo, al comercial que quisiera negociar con un cliente que tenga un riesgo alto agregado, a comunicar este hecho a su superior, iniciándose así una investigación “securizada y controlada” dentro de la empresa, para averiguar los factores de riesgo concreto que permitieron situar  al cliente en esa posición de riesgo alto agregado, lo que, sin duda, ya constituye de por sí un mecanismo de seguridad dentro de la empresa.

El CONOCIMIENTO HISTORICO DEL CLIENTE ofrece una  fotografía fija del mismo en cada momento.  Esta fotografía queda enmarcada en el sistema mediante el correspondiente control personalizado.

Conforme el cliente vaya interactuando con la empresa, afectado por sus propias circunstancias internas y externas, irá generando una nueva información que contribuirá a perfilar el CONOCIMIENTO ACTIVO que se tiene del mismo.


EL CONOCIMIENTO ACTIVO DEL CLIENTE

Este conocimiento deriva del proceso denominado SEGUIMIENTO DEL CLIENTE. Lo consigue la empresa mediante la PLATAFORMA DE MONITOREO DE OPERACIONES, en la que quedará reflejada toda su actividad. Esta plataforma permite generar alertas en base a los factores de riesgo introducidos en la misma, que una vez valoradas e investigadas por los departamentos operativos y de cumplimiento, incrementaran  la información que se tiene del cliente. Este proceso podría  dar lugar a cambios en su posición de riesgo dentro de la empresa.

La fase de conocimiento activo del cliente, se denomina en la legislación española de prevención del blanqueo de capitales y financiación del terrorismo: SEGUIMIENTO CONTINUO DE LA RELACIÓN DE NEGOCIOS, y constituye una nueva medida de diligencia debida.



Nosotros  vamos a utilizar, indistintamente,  SEGUIMIENTO DEL CLIENTE y  SEGUIMIENTO CONTINUO DE LA RELACIÓN DE NEGOCIOS; éste último concepto lo utilizaremos en su acepción amplia, es decir,  para todas las actividades de gestión y cumplimiento, y no sólo para la prevención del blanqueo de capitales y para la financiación del terrorismo.

El conocimiento actualizado de los clientes resulta posible porque existe una interrelación  operativa entre la PLATAFORMA DE MONITOREO DE OPERACIONES Y LA BASE DE DATOS DE CLIENTES que es la que contiene la información histórica de los mismos.

Esta interrelación operativa alimenta de forma continua la BASE DE DATOS DE LOS CLIENTES, conformándose así  una  nueva información pasiva o histórica de los mismos, con lo que la BASE DE DATOS se asemeja a un conjunto de fotografías históricas de los clientes. Esta estructura de información discreta resulta necesaria, para situar en perspectiva temporal determinadas investigaciones que  han de quedar situadas en el  momento concreto en que se produjeron los hechos investigados.

Estas fotografías históricas podrán ser reconstruidas en cualquier momento por el Departamento de Seguridad Informática. Existirá, por tanto, dentro de la empresa,  una interrelación operativa entre las Unidades de Investigación especializada y la Unidad de Seguridad Informática, que también es de investigación en su materia específica. Esta última debe ser tenida como la gran aliada del resto de los departamentos de análisis, porque es la que controla las herramientas tecnológicas que permiten interrelacionar los datos y crear inteligencia con los mismos, herramientas que no deben estar duplicadas en las empresas sino centralizadas para su uso colectivo, y que serán puestas a disposición de cada departamento de forma individualizada y securizada,  para facilitar así la confidencialidad de la información que maneje.

La BASE DE DATOS DE CLIENTES  es uno de los principales activos de la empresa, porque contiene información crítica para todos los departamentos del negocio (producción, comercialización, distribución, cumplimiento, I+D, etc.). Al contener datos de carácter personal, éstos deberán ser preservados con la mayor seguridad, tanto  por lealtad a los propios clientes,  como  para cumplir con la legislación sobre protección de datos.

La BASE DE DATOS DE CLIENTES constituye un repositorio de información que está integrado dentro del SIEM de la empresa, y bajo el control del Departamento de Seguridad Informática, del que dependen el control de acceso y el grado de amplitud de los permisos de navegación, dependiendo de las normas establecidas al respecto por la alta dirección.

Todas las aplicaciones de producción, comercialización, distribución y cumplimiento estarán conectadas, dentro del SIEM, con la Base de Datos de Clientes, y cada una de ellas estará programada con sus correspondientes factores de riesgo, lo que permitirá tener una visión diferenciada de los clientes bajo diferentes ópticas:



Esta forma de centralización de la información de los clientes permite ofrecer una visión parcelada de los mismos, por lo que cada departamento sólo visionará la parte de la información de los clientes que sea necesaria para su actividad de negocio o cumplimiento, preservándose así la confidencialidad de determinadas materias de riesgo.




Como se ha indicado anteriormente,  el conocimiento de los clientes se va modificando continuamente en el tiempo, mediante la interrelación entre la BASE DE DATOS DE LOS CLIENTES y la PLATAFORMA DE MONITOREO DE OPERACIONES.

El conocimiento de los clientes lo conforman las consecutivas y diferentes posiciones de información histórica de los mismos, existentes en la BASE DE DATOS DE CLIENTES. Cada una de estas posiciones históricas o fotografías, habrá interrelacionado  con los factores de riesgo que manejan las aplicaciones de control que vigilan la BASE DE DATOS DE CLIENTES y la PLATAFORMA DE MONITOREOS DE OPERACIONES, generando así alertas que terminarán modificando los perfiles de riesgo de los clientes. Esta actividad, que funciona de forma automatizada, es la que permite a la empresa hacer el SEGUIMIENTO CONTINUO DE LA RELACIÓN DE NEGOCIOS.

Existen diversos modelos  de plataformas de monitoreo de operaciones; unas están diseñadas a medida por las empresas, y otras están compradas y posteriormente adaptadas a los clientes por sus desarrolladores. Cada tipo de plataformas de monitoreo de operaciones estará construido para supervisar unas determinadas operaciones: banca, financiación del consumo, Factoring, Leasing, etc.

Desarrollar una plataforma propia de monitoreo de operaciones, o contratar alguna que esté ya comercializada en el mercado, constituye una decisión que cada empresa tendrá que valorar, analizando  sus ventajas e inconvenientes, así como los costes de las mejoras continuas que necesitará la plataforma, para poder hacer frente a nuevos productos o servicios, o a exigencias normativas o legales.

El conocimiento activo de los clientes, que como hemos visto se consigue mediante su seguimiento operacional (seguimiento continuo de las relaciones de negocio), constituye una de las informaciones confidenciales de la empresa.

La propia Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo reconoce este hecho, y por ello deja este proceso al margen de la aplicación por terceros de las medidas de diligencia debida (Artículo 8.1)


CONTROL INTERNO Y EL CONOCIMIENTO DEL CLIENTE

El conocimiento de los clientes constituye un proceso que durará toda la relación de negocio de los clientes con la empresa. Será efectivo si el personal cumple escrupulosamente con las políticas y procedimientos diseñados para este fin por CONTROL INTERNO.

Analizado desde un punto de vista organizativo, CONTROL INTERNO constituye una DIVISIÓN jerárquica dentro de la empresa, de la que dependen, entre otras, el ÁREA DE CUMPLIMIENTO y el ÁREA DE CONTROL DE RIESGOS.

Diferencio ambas áreas dentro de la división de CONTROL INTERNO, porque enfoco el término cumplimiento sólo desde los factores de riesgo normativo, y el término control de riesgos sólo desde  los factores de riesgo del negocio, aunque en algunas empresas ambas áreas estén unificadas.



Centrándonos en las materias de blanqueo de capitales y de fraude,  el Servicio de Prevención del Blanqueo de Capitales pertenecería al área de CUMPLIMIENTO, y el Servicio de Prevención del Fraude, pertenecería al área de  CONTROL    DE RIESGOS; ambos dentro de CONTROL INTERNO.

CONTROL INTERNO, entendido como Organismo y no sólo como Función, puede abarcar diferentes áreas y departamentos dentro de una estructura organizativa empresarial compleja. Bajo este criterio lo considero como una de las DIVISIONES que penden directamente de la Alta Dirección, como lo serían  la DIVISIÓN DE PRODUCCIÓN o la de COMERCIALIZACIÓN.

CONTROL INTERNO tiene como misión conseguir la eficacia y eficiencia de la Organización para la consecución de sus fines y objetivos, controlando para ello el cumplimiento de las diferentes políticas y procedimientos establecidos al respecto, y proporcionando al mismo tiempo una seguridad razonable frente a los riesgos operativos y normativos.

De CONTROL INTERNO  dependen varias áreas y departamentos. La coordinación entre DIVISIONES en materia de control de riesgos, la consigue CONTROL INTERNO a través de los ÓRGANOS TRANSVERSALES DE CONTROL, en los que participan representantes de las diferentes áreas  pertenecientes a CONTROL INTERNO, junto con representantes de las restantes DIVISIONES: administración, producción, comercialización y distribución.

Cada empresa podrá constituir aquellos órganos transversales de control de riesgos que estime convenientes de cara a la coordinación, ya sea de forma permanente o para un objetivo concreto.

Con todo,  hay órganos transversales de control de riesgos que están impuestos por una obligación legal o administrativa, como por ejemplo el OCI (Órgano de Control Interno), que resulta obligatorio para determinados sujetos obligados, al disponerlo así la Ley 10/2010.

Dentro de CONTROL INTERNO, el Organismo transversal OCI, coordina las materias de riesgo de prevención del blanqueo de capitales y de la financiación del terrorismo. Para nosotros también coordinará los riesgos de fraude, puesto que el Departamento de Prevención del Fraude es un colaborador activo del OCI, para los procedimientos de identificación y verificación de datos.

Los OCI son los que impulsarán, en las entidades financieras, las normas y procedimientos necesarios para el conocimiento de los clientes.

La coordinación transversal en estas materias resulta posible porque dentro de CONTROL INTERNO existen áreas y departamentos que trabajan en la definición de los riesgos de los clientes, trabajando para ello con el resto de áreas y departamentos de administración y de negocio. Estos departamentos de control de riesgos, también  controlarán la tecnología que hace posible este conocimiento, tal como hemos ido aprendiendo en los temas anteriores.




EL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE Y EL CONOCIMIENTO DEL CLIENTE

Uno de los departamentos de CONTROL INTERNO que más tienen que ver con  el conocimiento de los clientes es el de Prevención del Fraude, porque interviene de forma destacada en varios de sus procesos fundamentales, bajo la coordinación del OCI:
  • Participa en el control operativo de determinados procedimientos de Diligencia Debida: La identificación formal de los clientes, y la identificación de los titulares reales cuando ésta sea necesaria.
  • Participa en el control de la calidad y proporcionalidad de la base de datos de clientes.


Sabemos que la Diligencia Debida a nivel empresarial, y no sólo desde la óptica de la prevención del blanqueo de capitales,  tiene cuatro objetivos informativos derivados de:




En la identificación formal, el Departamento de Prevención del Fraude será el que confeccione y presente al OCI, para su valoración, el borrador del procedimiento que deba  establecerse dentro de la empresa, para la identificación formal presencial mediante la verificación de documentos fehacientes.

Este procedimiento será diseñado cuando queden determinados los riesgos de identificación existentes en la empresa, para lo que el Departamento de Prevención del Fraude tendrá que conocer:
  • el funcionamiento comercial de la empresa, para lo que necesitará la ayuda del  representante del área comercial en el OCI
  • los riesgos derivados de las diversas tipologías de clientes, desde la práctica de los diferentes departamentos de gestión y cumplimiento. De esta manera conocerá sus peculiaridades, y los problemas que pueden plantear en relación con la identificación. Colaborará para ello con los representantes de estos departamentos en el OCI.
  • las características de los productos y servicios que ofrece la empresa, para determinar sus debilidades y fortalezas desde la óptica de la identificación, para lo que estará en contacto, a través del OCI, con los departamentos de diseño y comercialización.


La importancia del Departamento de Prevención del Fraude en la identificación formal  ha sido analizada en los temas anteriores, por lo que en éste profundizaremos en los restantes procesos de conocimiento de los clientes en los que participa de forma destacada este departamento, a saber:
  • En la identificación del Titular real
  • En el control de la calidad y proporcionalidad de la base de datos de clientes


Al margen de estas funciones preventivas, el Departamento de Prevención del Fraude tiene otras dos funciones reactivas, que  “ex post”,  contribuyen a la mejora del conocimiento de los clientes y al incremento de la calidad y proporcionalidad de la BASE DE DATOS:
  • La coordinación de la investigación del fraude externo
  • El asesoramiento y apoyo a la acción reactiva de la empresa frente al fraude externo



LA IDENTIFICACIÓN DEL TITULAR REAL Y EL CONOCIMIENTO DEL CLIENTE

La identificación del Titular en determinados supuestos resulta necesaria para el cumplimiento de la diligencia debida en relación con la prevención del blanqueo de capitales y de la financiación del terrorismo. Pero también es imprescindible para la gestión de los riesgos derivados del negocio, cuando los clientes actúan para terceros, o cuando lo hacen mediante instrumentos jurídicos. Entre esos riesgos estarían los de fraude.

La empresa ha de determinar unos criterios para la identificación del Titular real, por lo que muy bien podrían ser éstos los que impone  la Ley 10/2010, por razones de economicidad, reconociendo  que para determinados negocios, estos criterios podrían ser aún más estrictos que los que determina  la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, si así lo aconsejase la prudencia, la experiencia, o la importancia de la inversión que se pretenda salvaguardar. Nos encontramos, por tanto, ante unos criterios mínimos, pero de obligado cumplimiento.

Hemos de entender como TITULAR REAL, cada una de las personas que aparecen en la Ley:
  • La persona o personas físicas por cuya cuenta se pretenda establecer una relación de negocio o intervenir en cualesquiera operaciones.
  • La persona o personas físicas que en último término posean o controlen, directa o indirectamente, un porcentaje superior al 25 % del capital o de los derechos de voto de una persona jurídica, o que por otros medios ejerza el control, directo o indirecto, de la gestión de una persona jurídica.
  • La persona o personas físicas que sean titulares o ejerzan el control del 25 % o más de los bienes de un instrumento o persona jurídicos que administre o distribuya fondos, o, cuando los beneficios estén aún por designar, la categoría de personas en beneficio de la cual se ha creado o actúa principalmente la persona o instrumento jurídicos.


CRITERIOS PARA LA IDENTIFICACIÓN DEL TITULAR REAL

Serán objeto de identificación las  personas físicas incluidas en las tres categorías de Titulares reales referenciadas arriba (Artículo 4.2 de la Ley 10/2010), con carácter previo al establecimiento de relaciones de negocio o a la ejecución de operaciones ocasionales por importe superior a 15.000 euros.



Como la identificación y comprobación de la identidad del Titular real no requiere la verificación de sus datos de identidad a través de documentos fehacientes, como sucede en la identificación formal de los clientes, sino que basta con obtener la información precisa sobre su identidad,  la identificación del titular real puede realizarse, con carácter general, mediante una declaración responsable del cliente, para lo que los administradores de las sociedades u otras personas jurídicas deberán obtener y mantener información adecuada, precisa y actualizada sobre la titularidad real de las mismas.

Todas las entidades financieras han de proceder a la identificación del Titular real en los supuestos determinados  arriba,  según se indica en la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo (Ley 10/2010) y en su Reglamento de desarrollo, por lo que estos criterios serán también los mínimos para el control de los riesgos derivados de los negocios.

Como legal y reglamentariamente la identificación y comprobación de la identidad del titular real puede realizarse mediante una declaración responsable del cliente, será necesario algún departamento de control de riesgos, que al igual que sucede con la identificación formal, diseñe para el OCI, en colaboración con otros departamentos de cumplimiento y negocio, el procedimiento que deba establecerse en la empresa para cumplimentar esta obligación por el personal que interviene directamente en el establecimiento de las relaciones de negocio, o en la ejecución de operaciones ocasionales por importe superior a 15.000 euros.

Este departamento no debería ser el de prevención del blanqueo de capitales y de la financiación del terrorismo, porque los riesgos a controlar superan esta materia específica, y además, porque éste es un departamento fundamentalmente de información, tal como se indica en la Ley 10/2010. Aconsejo que sea el Departamento de Prevención del Fraude, puesto que ya se ocupa de colaborar con el OCI en la determinación de los procedimientos necesarios para la identificación formal de los clientes mediante la verificación de documentos fehacientes.

Obligaciones del Departamento de Prevención del Fraude en relación con la identificación del Titular real:
  1. Preparación para el OCI del procedimiento que deben ejecutar los empleados de la empresa que intervienen en el establecimiento de las relaciones de negocio o en la ejecución de operaciones ocasionales por importe superior a 15.000 euros, en los que sea necesaria la identificación del Titular real.
  2. Preparación de la estructura tecnológica y de análisis que sea precisa para la obtención de documentación adicional, o el acceso a información en fuentes terceras fiables, cuando sea necesario el examen especial para la identificación del Titular real.


LA ELABORACIÓN DEL PROCEDIMIENTO:

Para la elaboración del borrador de este  procedimiento, el Departamento de Prevención del Fraude ha de partir de las  directrices de la Ley 10/2010 y de su Reglamento de desarrollo y por tanto:

No será necesaria la identificación del titular real de las sociedades que coticen en un mercado regulado de la Unión Europea o de países terceros equivalentes.

Circunstancias en las que se ha de recabar de los clientes información suficiente para la identificación del titular real:
  1. Cuando aparezcan indicios de que los clientes pudieran no actuar por cuenta propia o cuando lo hagan mediante instrumentos jurídicos.
  2. Si persistieran  los indicios aún cuando los clientes recabados indicasen que están actuando por cuenta propia.
  3. Cuando exista la certeza, por confirmación de los clientes  o por otros medios,  de que actúan por cuenta de terceros.
  4. Si entre estos terceros aparecieran personas jurídicas, se recabará información de aquellas personas físicas que en último término posean o controlen, directa o indirectamente, un porcentaje superior al 25 % del capital o de los derechos de voto de las personas jurídicas, o que por otros medios ejerzan el control, directo o indirecto, de la gestión de las personas jurídicas.
  5. Cuando no existan personas físicas que posean o controlen, directa o indirectamente, un porcentaje superior al 25% del capital o de los derechos de voto de las personas jurídicas, se recabará información suficiente para identificar a sus administradores.
  6. Cuando el cliente utilice en la relación de negocio u operación, personas o instrumentos jurídicos que administren o distribuyan fondos, o cuando en un instrumento jurídico los beneficiarios del mismo estén aún por designar, o no se conozca la categoría de las personas por cuenta de la cual se ha creado o actúa la persona o instrumento jurídicos, se recabará  información suficiente para identificar a las personas físicas que sean titulares  o ejerzan el control del 25%  o más, de los bienes del instrumento o persona jurídicos.
  7. Si entre estos terceros aparecieran personas jurídicas representadas por acciones o títulos al portador, se recabará información suficiente  para determinar la estructura de propiedad o de control.


El comercial utilizará un formulario de cuestiones de interés para la empresa (Cuestionario de Declaración Responsable del Cliente) que podrá ser electrónico,  y que será firmado posteriormente  por el cliente en documento físico o electrónico. En este formulario aparecerá una casilla que contenga la pregunta concreta sobre si para la relación de negocio u operación (de más de 15.000 euros) el cliente actúa por cuenta propia o de terceros.

Cuando sea el propio cliente el que indique que actúa por cuenta de terceros, el comercial reseñará en el formulario las identificaciones de los titulares reales que sean preceptivas (mirar  el esquema  de los criterios), y adjuntará la documentación justificativa recabada, mediante el escaneo de la misma, a ser posible a partir de documentos originales. Cuando se hayan escaneado sólo fotocopias, se hará constar este dato.

Si tras la entrevista y recogida de la documentación, el comercial, en base a su experiencia y preparación, tuviese dudas sobre la veracidad de la información y documentación recibida, informará de las mismas en el apartado “OBSERVACIONES” del formulario; estas observaciones llegarán como alerta al Departamento de Prevención del Fraude.

Durante la entrevista y recogida de la información, y a través de la plataforma tecnológica de comercialización, se habrá iniciado de forma automática dentro del SIEM, todo el procedimiento de Diligencia Debida necesario para el conocimiento del cliente:
  • comprobación de la  veracidad de los datos de identificación formal
  • necesidad de identificación del titular real, por cumplirse algunos de los criterios establecidos para el negocio, o porque la operación ocasional sea de más de 15.000 euros y se cumplieran los criterios que obligan a esta identificación.


Al mismo tiempo, la información irá pasando también los filtros de riesgo previamente definidos en cada una de las aplicaciones departamentales de control, lo que podrá originar alertas que llegarán a sus respectivos departamentos de control de riesgo (de cumplimiento o de negocio), para su resolución.


LA ESTRUCTURA TECNOLÓGICA Y DE ANÁLISIS PARA LA IDENTIFICACIÓN DEL TITULAR REAL:

La aplicación tecnológica del departamento de Prevención del Fraude será la que filtre los datos de identificación de los clientes, y por tanto, será la que origine las alertas que obliguen a un examen especial por:
  • Aparición de incongruencias en los datos de identificación formal o de identificación del titular real.
  • Aparición de indicios de fraude


La aplicación podrá acceder a fuentes internas y externas de información, y el departamento contará con los analistas necesarios para una mesa de análisis.

El sistema, mediante una alerta, obligará a hacer un EXAMEN ESPECIAL para la identificación del Titular real en los siguientes supuestos:
  1. Cuando sea preciso conocer la identidad de las personas por cuenta de las cuales actúan los clientes, o cuando sea necesario determinar la estructura de propiedad o de control de las personas jurídicas o instrumentos jurídicos.
  2. Cuando existan riesgos superiores al promedio, tanto en blanqueo de capitales y financiación del terrorismo, como en el negocio, y sea precisa la identificación de los titulares reales.
  3. Cuando existan indicios de que la información aportada por los clientes sobre los titulares reales no sea exacta o veraz.
  4. Cuando el negocio u operación:
    1. (a).       Pueda estar relacionado con el blanqueo de capitales o la financiación del terrorismo.
    2. (b).      Cuando la operación o pauta de comportamiento sea compleja, inusual o sin un propósito económico o lícito aparente.
    3. (c).       Cuando presenten indicios de simulación o fraude.
    4. (d).      Cuando la operación muestre una falta de correspondencia ostensible con la naturaleza, volumen de actividad o antecedentes operativos del cliente, y no se aprecie justificación económica, profesional o de negocio para la realización de la misma.


De ordinario, los analistas del Departamento de Prevención del Fraude ha de ser  capaces de resolver el ANÁLISIS ESPECIAL para la identificación del Titular real, usando para ello la  estructura tecnológica que previamente habrán diseñado, y que estará asistida de una serie de herramientas de uso compartido que pondrá a su disposición el Departamento de Seguridad Informática, para el acceso a fuentes de información interna y externa.

En esa aplicación tecnológica especializada, y para el tema concreto de la identificación del Titular real, se habrán definido previamente los supuestos señalados arriba con el fin de que  produzcan alertas, que obligarán a los analistas de fraude  a realizar el EXAMEN ESPECIAL para la identificación del Titular real.

Si la investigación del titular real fuera  muy compleja, o si los intereses de la empresa así lo aconsejasen, podría utilizarse con el correspondiente permiso, la UNIDAD TÉCNICA PARA EL TRATAMIENTO Y ANÁLISIS DE LA INFORMACIÓN, que como vimos en un tema anterior es una MESA DE ANÁLISIS que está a disposición de la Alta Dirección, y que se utiliza para determinadas investigaciones largas y complejas  de cumplimiento y de negocio, entre las que se encuentran especialmente las de blanqueo de capitales y de financiación del terrorismo.


INSTRUMENTOS JURÍDICOS QUE OBLIGAN A LA IDENTIFICACIÓN DEL TITULAR REAL:
  • Instrumentos jurídicos que administren o distribuyan fondos.
  • Instrumentos jurídicos en los que  los beneficiarios de los mismos estén aún por designar.
  • Instrumentos jurídicos en los que no se conozca la categoría de las personas por cuenta de la cual se han creado o actúan.


El nuevo Reglamento de la Ley 10/2010, al tratar este tema utiliza como ejemplo de instrumento jurídico los fideicomisos anglosajones, e indica el procedimiento a seguir para la identificación del titular real de los mismos:

La identificación del titular real se hará sobre las siguientes personas físicas que sean titulares o ejerzan el control del 25 % o más, de los bienes del fideicomiso:
  • Fideicomitentes: Propietarios de los bienes o titulares de los derechos con los se constituye el patrimonio del fideicomiso  para el cumplimiento de un fin específico. Los propietarios pueden ser varias personas físicas o jurídicas, o una sola.
  • Fideicomisarios: Personas a cuyo favor se realizan los fines del fideicomiso. Constituyen los beneficiarios directos de la operación fiduciaria en la mayoría de los casos.
  • Beneficiarios o clases de beneficiarios: Normalmente, los beneficiarios y  fideicomisarios son las mismas personas, físicas o jurídicas, pero pudiera  ocurrir que no fuera así y los beneficiarios sean terceros, o los propios fideicomitentes. Por eso, cuando los beneficiarios estén aún por designar, habrá que identificar la categoría de personas en beneficio de la cual se ha creado o actúa principalmente el instrumento jurídico, y en el momento del pago o cuando el beneficiario pretenda ejercer los derechos conferidos por el fideicomiso, habrá de obtenerse la información necesaria para su identificación.
  • Protector: Los Fideicomitentes, al crear el fideicomiso, pueden optar por crear esta figura para que sea consultada cuando en el contrato del fideicomiso no aparezca suficiente información acerca de lo tenga que hacerse con los bienes o títulos del fideicomiso ante una situación indeterminada. El protector podría ser  cualquiera de los fideicomitentes, o una tercera persona o institución.
  • Cualquier persona física que ejerza el control efectivo final sobre el fideicomiso.



CONSECUENCIAS DE LA NO IDENTIFICACIÓN DEL TITULAR REAL:

Cuando sea obligada la identificación del Titular real, y la estructura de propiedad o de control no haya podido ser determinada  por la empresa a través de la información aportada por los clientes o por la obtenida mediante el EXAMEN ESPECIAL PARA LA IDENTIFICACIÓN DEL TITULAR REAL, no se establecerán o mantendrán las relaciones de negocio, ni se ejecutarán operaciones ocasionales por importe superior a 15.0000 euros.

Tampoco se establecerán relaciones de negocio ni se ejecutarán operaciones ocasionales por importe superior a 15.000 euros,  cuando sea necesaria la identificación del Titular real y existiese resistencia o negativa del cliente a proporcionar información o la documentación requerida. En estos casos se suspenderán las relaciones de negocio si ya existieran.


EL EXPEDIENTE DE LA IDENTIFICACIÓN DEL TITULAR REAL

Cuando resulte necesaria la identificación del titular real, habrá de crearse un expediente, que contendrá los datos de identificación de los titulares reales, así como los documentos justificativos de los mismos.

Normalmente, esta información y documentación será la que aporten los clientes que actúen por cuenta de terceros o utilicen instrumentos jurídicos que requieran esta forma de identificación.

Pero en ocasiones, esta información y documentación será el resultado del EXAMEN ESPECIAL PARA LA IDENTIFICACIÓN DEL TITULAR REAL, que habrá exigido una investigación por parte del Departamento de Prevención del Fraude.

El nuevo Reglamento de la Ley 10/2010, exigirá que se tengan documentadas y justificadas las acciones realizadas para la identificación del titular real, lo que obligará a tener estructurada dentro del expediente esta concreta información.

El contenido de este expediente podrá ser requerido por autoridades externas, por lo que deberá ser controlada esta obligación por los EXAMINADORES EXTERNOS (Art. 28 de la Ley 10/2010), y por AUDITORÍA INTERNA.


CONTROL DE LA CALIDAD Y PROPORCIONALIDAD DE LA BASE DE DATOS DE CLIENTES

Otra de las funciones del Departamento de Prevención del Fraude es el control de la calidad y proporcionalidad de los datos incluidos en la BASE DE DATOS DE CLIENTES.

Sabemos que la BASE DE DATOS DE CLIENTES, para que sea efectiva, tiene que estar dotada de tres cualidades: calidad, proporcionalidad y seguridad.

El núcleo de la información contenida en la base de datos de clientes lo constituye la identificación de los mismos. La identificación de los clientes normalmente la realizan los departamentos comerciales,  que son los que  se encargan del establecimiento de las relaciones de negocio.

Para ello, los departamentos comerciales tendrán que cumplir con los  el procedimientos establecidos al efecto por las empresas, para la identificación formal presencial mediante la verificación de documentos fehacientes, y para la identificación de los titulares reales en los casos en que ésta sea necesaria.

Cuando las relaciones de negocio, o la ejecución de operaciones se realicen a través de medios telefónicos, electrónicos y telemáticos, las empresas deberán tener diseñado, además,  un proceso específico que permita aplicar una o varias de las medidas reforzadas de diligencia debida, establecidas en la Ley 10/2010 o en su nuevo Reglamento.

Toda esta información identificativa, una vez filtrada a través de  bases de datos internas y externas para confirmar su veracidad  y por los diferentes factores de riesgo previamente definidos, pasará a formar parte de la BASE DE DATOS DE CLIENTES.

Esta BASE DE DATOS DE CLIENTES, junto con los datos identificativos, estará también alimentada con otros datos que denominaré “complementarios”, como son los de solvencia y los relativos al conocimiento del propósito e índole de la relación de negocios.

Esta información servirá para discriminar a los clientes durante el proceso de solicitud de negociación en tres niveles de riesgo agregado, o de riesgo específico para cada departamento de control: clientes de riesgo normal, de bajo riesgo, de alto riesgo, lo que generará automáticamente en la aplicación de comercialización, la exigencia de nueva información complementaria, entre la que estaría la necesaria para la identificación del Titular real.

De esta manera se incrementaría de nuevo la información de cada cliente en la BASE DE DATOS. Esta sería la fotografía histórica que utilizarán los diferentes departamentos de cumplimiento y negocio para sus respectivos análisis de riesgos.

Si en los departamentos de cumplimiento o negocio se produjeran alertas que se refirieran  a datos identificativos (identificación formal o identificación del titular real) , o a datos sobre falsedad en la solvencia,  y su comprobación no resultara rentable para el departamento afectado, el expediente pasaría  para su resolución al Departamento de Prevención del Fraude.

Junto a este control dinámico y operativo, el Servicio de Prevención del Fraude tendría también la responsabilidad del control selectivo de la calidad y proporcionalidad de la BASE DE DATOS DE CLIENTES, mediante la selección aleatoria de información de clientes, dentro de la BASE DE DATOS, y su verificación en fuentes internas y externas.

La seguridad de la BASE DE DATOS DE CLIENTES corresponderá al Departamento de Seguridad Informática.


Fabián Zambrano Viedma

Responsable del Servicio de Prevención del Fraude