Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







lunes, 25 de febrero de 2013

FUNCIONES DEL DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE



La prevención del fraude es una obligación que atañe a toda la organización, al igual que sucede con la prevención del blanqueo de capitales y de la financiación del terrorismo, aunque con la diferencia de que esta obligación no responde a una materia de cumplimiento externo sino de control  interno y, por tanto,  estará sujeta a criterios basados en la escala de valores e intereses que tenga la empresa.

En algunas entidades financieras, durante muchos años el fraude ha  estando camuflado dentro de la morosidad y asumido, por tanto,  como un riesgo comercial más, controlable mediante políticas y procedimientos de análisis de riesgos comerciales o de recuperaciones.

Actualmente  el fraude se analiza en el sector financiero como fenómeno independiente a la morosidad,  y para ello, o bien se están creando los departamentos de prevención del fraude como estructuras especializadas, o se potencia su estudio dentro de la actividad ordinaria de otros departamentos, como los de seguridad, los de gestión de riesgos financieros, los de recuperaciones, etc.

Las entidades financieras que opten por la creación de estructuras especializadas como serían los departamentos de prevención del fraude, han que rentabilizarlas  al máximo asignando a las mismas unos cometidos que estén acordes con la especialización de sus integrantes.





Bajo mi criterio estos cometidos serían los siguientes:
  1. Control de la calidad y proporcionalidad de la base de datos de clientes
  2. Control operativo de la diligencia debida
  3. Coordinación de la investigación del fraude interno y externo
  4. Asesoramiento y apoyo a la acción reactiva de la empresa frente al fraude


Las dos primeras funciones serían preventivas y las dos siguientes reactivas, y ninguna de ellas invadirían cometidos de otros departamentos como por ejemplo, el jurídico o el de auditoría, sino que por el  contrario los liberarían de funciones no propias que pueden afectar a su independencia funcional,  puesto que ambos departamentos han de estar más cerca del fiel que de los platillos de la balanza.

En esta parte del trabajo no desarrollaré las funciones reactivas del DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, puesto que  estos dos cometidos serán objeto de un planteamiento específico en otra parte de este estudio, pero adelantaré que mediante estas dos funciones este departamento  colaborará más eficazmente con el departamento jurídico, o con el departamento de auditoría, o aportará su especialización al departamento de seguridad informática, en el análisis de los fraudes tecnológicos desde su vertiente operativa no técnica.

En lo que sigue me centraré sólo en las funciones preventivas.


CONTROL DE LA CALIDAD Y PROPORCIONALIDAD DE LA BASE DE DATOS DE CLIENTES

La BASE DE DATOS DE CLIENTES es uno de los activos más importantes de la empresa. Se va creando en el tiempo mediante la labor comercial, y su información tiene que estar dotada de tres cualidades: calidad, proporcionalidad, y seguridad. De la vigilancia de las dos primeras se encarga el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE y de la tercera, el DEPARTAMENTO DE SEGURIDAD INFORMÁTICA.

Para la vigilancia de la calidad y proporcionalidad de los datos, el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE ha de desarrollar dos cometidos: Uno “ex ante”,  participando en la determinación de los datos que serán exigidos a los clientes, dependiendo del tipo al que pertenezcan y de las características de los productos u operaciones que pretendan contratar, y otra “ex post”, verificando aleatoriamente en la base de datos de clientes si la información cedida tiene calidad y proporcionalidad.

Para cada modalidad de producto u operación y para cada tipo de cliente, será necesaria una determinada información que ha de ser especificada por el departamento de desarrollo del producto financiero, con el asesoramiento de aquellos otros departamentos que serán posteriormente afectados por su comercialización y control.

En este trabajo, también resulta de interés  la colaboración del departamento de prevención del fraude, por su peculiar especialización, que participará en el análisis del riesgo fraude-cliente, así como en la valoración de los datos que van a ser solicitados,  con el fin de que la empresa cumplan escrupulosamente con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

Los datos fundamentales de una base de datos de clientes perteneciente a cualquier empresa del sector financiero son los de identificación, que se complementarán posteriormente  con los datos de solvencia.

Tanto unos como otros son susceptibles de falsificación, pero la falsificación de los primeros deja totalmente indefensa a la entidad financiera, mientras que los segundos pueden ser  verificados más fácilmente en fuentes internas y externas.

La empresa, por tanto, ha de evitar por todos los medios el fraude de identidad y la falsificación de los datos de solvencia, y la mejor manera de hacerlo es controlando la calidad y proporcionalidad de la BASE DE DATOS DE CLIENTES, para lo que utilizará su  departamento de prevención del fraude.

Este departamento  actuará como asesor especializado del OCIC, y asumirá el estudio de los casos complicados de presuntos fraudes,  liberando así a los restantes departamentos de  este trabajo marginal,  para centrarse   en sus labores principales de evaluación de la capacidad del cliente para cumplir con las obligaciones derivadas de la contratación.


CONTROL  OPERATIVO DE LA DILIGENCIA DEBIDA

La calidad y la proporcionalidad de la información existente en la base de datos de clientes depende del cumplimiento o no, por todos los empleados de la empresa, de las obligaciones de diligencia debida, entendida ésta en su concepto ampliado y por tanto no limitado a la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo, de donde proviene originariamente el término.

La diligencia debida así entendida, beneficia  diversos intereses  de la empresa además de los de cumplimiento, entre los que están de forma destacada los de negocio.

Justifico por razones metodológicas y economicistas,  que la diligencia debida se planifique en base a los  criterios que se indican en el Capítulo II de la Ley 10/2010, puesto que el sector financiero carece de normativa legal o administrativa en esta materia, siendo la legislación sobre prevención del blanqueo de capitales y de la financiación del terrorismo la que mejor se presta para la homogeneización de estos procedimientos dentro del sector.

La diligencia debida tiene como objeto el conocimiento del cliente, requisito imprescindible para poder establecer y mantener con el mismo relaciones de negocio y operaciones. Este objetivo es válido para el cumplimiento de la Ley 10/2010, pero también para garantizar la seguridad de la actividad económica en la empresa, y para prevenir el fraude, especialmente el derivado de la suplantación de identidad, que es el objeto de estudio de esta primera parte del trabajo dedicado a la prevención del fraude externo que se comete con identidades falsas o usurpadas.

Atendiendo a estos criterios, son cuatro los procesos que son necesarios para el conocimiento del cliente:
  1. La identificación formal del cliente
  2. La identificación del titular real, si el cliente es persona jurídica y existe una situación de riesgo
  3. El conocimiento del propósito e índole de la relación de negocios que el cliente quiere establecer con nuestra empresa
  4. El seguimiento continuo de la relación de negocios  y de las operaciones que efectúe el cliente a través de nuestra empresa





Los cuatro procesos (que la Ley 10/2010 llama medidas), están concatenados y  ordenados de forma lógica, y  cada empresa deberá establecerlos de manera simplificada, normal o reforzada, teniendo en cuenta sus intereses generales y las distintas normativas de cumplimiento.

El objetivo de estos cuatro procesos es que la empresa llegue a conocer a su cliente, y ese  conocimiento lo atesorará  para beneficio de toda su actividad  en la BASE DE DATOS DE CLIENTES, que sólo debe contener aquella información  necesaria para afrontar los riesgos que la empresa asume con cada cliente.

Para que la base de datos sea de interés para la actividad empresarial deberá estar revestida de calidad y proporcionalidad,  que se consiguen en la práctica mediante la aplicación escrupulosa de la política expresa de admisión de clientes y  los procedimientos de diligencia debida,  por el personal que trabaja directamente con los clientes, o por el que analiza a posteriori la información aportada por los mismos.

Junto a la calidad y la proporcionalidad, la BASE DE DATOS DE CLIENTES debe estar revestida también de la necesaria seguridad para evitar que sea accedida sin control o contaminada interna o externamente.

La política expresa de admisión de clientes y los procedimientos de diligencia debida, no pueden ser utilizados por la organización sin que sean aprobados previamente por la alta dirección, y sin que  exista un órgano con la necesaria autoridad dentro de la empresa para aplicarlos y controlarlos.

Por razones de método, éste órgano ha de ser también el que diseñe, aplique y controle operativamente el cumplimiento de la norma interna (política expresa de admisión del clientes), y los procedimientos  adecuados para llevarla a la práctica (medidas de diligencia debida), sin perjuicio de las funciones de Auditoría como autoridad independiente.

Así pues, el sistema operativo que controla el conocimiento de los clientes y por tanto la información existente en su base de datos,  tiene su fundamento estratégico en:





En nuestro MODELO, el órgano de control  es el que ya establece la legislación de  prevención del blanqueo de capitales y de financiación del terrorismo, a saber: El  ÓRGANO DE CONTROL INTERNO Y COMUNICACIÓN (OCIC).

Éste Órgano, para el diseño, aplicación y control de la estrategia del modelo, contará con la colaboración operativa de estos tres departamentos:
  • El Departamento  de Prevención del Fraude
  • El Departamento de Seguridad Informática
  • El Departamento AML


El OCIC, por tanto, es el responsable último de la calidad, proporcionalidad y seguridad de la BASE DE DATOS DE CLIENTES.

El OCIC, como ya sabemos por la Ley 10/2010, contará con representación de las distintas áreas de negocio y cumplimiento de la empresa, y ha de tener capacidad para aplicar internamente las normas y los procedimientos que tienen que ver con los clientes. Cuando se reúne, ha de levantar acta de los acuerdos adoptados.

Las funciones del OCIC son las siguientes:
  1. Diseño de la política expresa de admisión de clientes y de los procedimientos de diligencia debida, que serán presentados a la Dirección para su aprobación.
  2. Aplicación de las normas y los procedimientos aprobados por la Dirección en las distintas áreas operativas.
  3. Control operativo del cumplimiento de las normas y los procedimientos por las distintas áreas operativas.







DISEÑO DE LA POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES Y DE LOS PROCEDIMIENTOS DE DILIGENCIA DEBIDA

La política expresa de admisión de clientes define los principios que deben regir en la empresa para poder establecer relaciones de negocio y operaciones,  e incluye la descripción de aquellos tipos de clientes que podrían presentar un riesgo superior al riesgo promedio en función de los factores que determine cada empresa, entre los que estarán de forma destacada los de riesgo AML

Esta política deberá contener también la identificación de los FILTROS DE EXCLUSIÓN, que tienen como misión impedir la aceptación como clientes de aquellas personas físicas o jurídicas sobre las que exista alguna prohibición legal o administrativa, o que representen un riesgo no asumible por la empresa.

Al ser el OCIC un comité de dirección con representación de las distintas áreas de negocio y cumplimiento de la empresa, para el trabajo de campo necesario  para el diseño de la política expresa de admisión de clientes,  se auxiliará de los tres departamentos referenciados anteriormente: El departamento de prevención del fraude, el departamento AML y el departamento de seguridad informática.
  • El departamento de prevención del fraude le auxiliará en la definición de los riesgos derivados del fraude de identidad y de los fraudes ocasionados por un mal conocimiento de los clientes.
  • El departamento de prevención del blanqueo, le auxiliará en la definición de los riesgos derivados del incumplimiento de la Ley 10/2010.
  • El departamento de seguridad informática, le auxiliará en la definición de los riesgos derivados de la inseguridad de la base de datos de clientes, de los riesgos derivados de la no discriminación en el uso interno de esa base de datos, y sobre la tecnología necesaria para el seguimiento continuo de la relación de negocio, así como sobre el sistema de alertas que deberá establecerse al efecto.


Se creará por tanto un grupo de trabajo dirigido por un miembro relevante del OCIC que será  ayudado por especialistas de los tres departamentos citados, para el diseño de la política expresa de admisión de clientes. Este grupo de trabajo se encargará de realizar los trabajos de campo necesarios para determinar el riesgo-cliente que suponen para la empresa los productos y servicios que ésta ofrece, definiendo, en base a ese riesgo, los principios que deberán regir en la empresa para establecer las relaciones de negocio y operaciones. Se encargará también de describir aquellos tipos de clientes que podrían presentar un riesgo superior al riesgo promedio. Igualmente determinará las listas o filtros de exclusión que deberán ser instalados en las plataformas tecnológicas de control y cumplimiento.

El resultado de este trabajo será el borrador documental que el OCIC presentará a la alta dirección para su aprobación, y posteriormente el documento definitivo que servirá para crear en toda la empresa una cultura que ha de imbricarse en los procesos realizados por todos los departamentos de negocio, gestión, cumplimiento y control.

El OCIC controlará la aplicación en la empresa de esta cultura mediante la ayuda de estos tres departamentos, en sus funciones específicas de: prevención del fraude, cumplimiento AML, y seguridad en la explotación de la BASE DE DATOS DE CLIENTES.

Igualmente el OCIC tendrá bajo su responsabilidad el diseño, aplicación y control de los procedimientos de diligencia debida necesarios para el conocimiento de los clientes, para lo que se ayudará de los tres departamentos señalados  de una manera similar a la que hemos visto para la definición de la política expresa de admisión de clientes.

Una vez diseñados y aprobados los procedimientos, e identificados los departamentos que deberán utilizarlos, tendrán que ser aplicados por estos mismos departamentos atendiendo al riesgo encontrado para cada perfil de clientes y modalidad de productos o servicios susceptibles de contratación. Para ello, el OCIC ayudado de su equipo asesor, deberá determinar los  perfiles de riesgo, para cada tipo de cliente y modalidad, así como los procedimientos que deberán ser utilizados  en cada caso  y el grado en que serán aplicados, que como ya sabemos por la Ley 10/2010, puede ser normal, simplificado o reforzado, atendiendo a los criterios de riesgo de la empresa, que estarán atemperados por la normativa existente.

Para el  conocimiento de los clientes habrá que aplicar de la forma indicada, por tanto,  los siguientes procedimientos:
  • El procedimiento de identificación formal de los clientes
  • El procedimiento para la identificación del titular real
  • El procedimiento para el conocimiento del propósito e índole de la relación de negocios
  • El procedimiento para el seguimiento continuo de la relación de negocios







Estamos acostumbrados a estudiar  las medidas de diligencia debida sólo desde la óptica de la prevención del blanqueo de capitales y de la financiación del terrorismo y ahora conviene modificar el criterio para ampliar la nueva visión estratégica.

Es cierto que el departamento de prevención del blanqueo de capitales y financiación del terrorismo, teniendo en cuenta sus propios criterios de riesgo AML, establecerá para cada tipo de cliente y modalidad de productos y operaciones los factores de riesgo AML, pero ello es sólo una parte del proceso de la diligencia debida, puesto que en el concepto ampliado que estamos abordando también hay que incluir otros riesgos-cliente además de los establecidos en la Ley 10/2010.

Me refiero, por ejemplo, a:
  • Los riesgos de crédito y cobro
  • Los riesgos de fraude
  • Los riesgos de seguridad
  • Los riesgos de protección de datos de carácter personal
  • Otros riesgos de cumplimiento, como los de transparencia y protección del cliente de servicios bancarios
  • Etc.


La diligencia debida, desde este concepto ampliado, excede  la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo, y se inserta directamente dentro de la esfera del control general del riesgo-cliente de la empresa, en el que el riesgo AML seguirá siendo uno de sus puntos fuertes.

El OCIC tendrá, por tanto,  que diseñar el mapa con los diferentes riesgos a considerar, distribuyendo las materias a coordinar entre los departamentos que le  auxilian en este trabajo; y así, las materias de seguridad estarán coordinadas por el departamento de seguridad informática, las de AML por el departamento de prevención del blanqueo de capitales y las que tienen que ver con los restantes riesgos-cliente, por el departamento de prevención del fraude.

Si no existiera esa coordinación, cada departamento de negocio, control y cumplimiento establecería su propia política expresa de admisión de clientes y las obligaciones de diligencia debida atendiendo a sus perfiles de riesgo-cliente y operaciones, lo que llevaría a una multiplicidad de políticas y procedimientos.

El objetivo de este trabajo de campo será el diseño y posterior aplicación de una política unitaria de diligencia debida, en la que confluyan las necesidades de las diferentes áreas de la empresa que tienen responsabilidad sobre los  clientes, ya sean de negocio, de cumplimiento o de riesgo.


En este bloque de estudio dedicado a la prevención del fraude de identidad, de las cuatro áreas que abarca la diligencia debida, sólo analizaremos la que tiene como objetivo:

LA IDENTIFICACIÓN FORMAL DE LOS CLIENTES

El proceso de identificación formal de los clientes ha de hacerse obligatoriamente como queda establecido  en el Artículo 3 de la Ley 10/2010 y en los restantes artículos que modulan la aplicación del mismo, y así,

La identificación formal de las personas físicas o jurídicas ha de hacerse con carácter previo al establecimiento de la relación de negocio o a la ejecución de cualesquiera operaciones, y deberá realizarse mediante la verificación presencial de los documentos fehacientes de identificación que establecerá el futuro Reglamento de la Ley 10/2010.

Hasta la publicación y entrada en vigor de las disposiciones reglamentarias de la Ley 10/2010, se consideran documentos fehacientes los reconocidos por el Reglamento de la Ley 19/1993, ya derogada, que fue aprobado por Real Decreto 925/1995, de 9 de junio, y sus normas de desarrollo.

Para el cliente, persona física son los siguientes:
  • Documento Nacional de Identidad
  • Permiso de residencia expedido por el Ministerio del Interior
  • Pasaporte o documento de identificación válido en el país de procedencia que incorpore fotografía de su titular.


Todo ello sin perjuicio de la obligación que proceda de comunicar el número de identificación fiscal (NIF) o el número de identificación de extranjeros (NIE), según los casos, de acuerdo con las disposiciones vigentes.

Asimismo se deberán acreditar los poderes de las personas que actúen en nombre del Titular.
Para el cliente, persona jurídica es el siguiente:
  • Documento fehaciente acreditativo de su denominación, forma jurídica, domicilio y objeto social.


Sin perjuicio de la obligación que proceda de comunicar el número de identificación fiscal (NIF)

Asimismo se deberán identificar como personas físicas, las que actúen en nombre de las personas jurídicas en la identificación formal de las mismas.

Excepciones a la norma general:

En los supuestos en los que en un primer momento no  pueda comprobarse la identidad de los intervinientes mediante documentos fehacientes, se podrá contemplar lo establecido en el artículo 12 de la Ley 10/2010, salvo que existan elementos de riesgo en la operación.

El artículo 12 trata de las relaciones de negocio y operaciones no presenciales, para las que se exigirán medidas reforzadas de diligencia debida en la identificación, que estudiaremos de forma independiente.

La identificación presencial sólo podrá hacerse mediante la verificación de los documentos fehacientes  reseñados anteriormente y no por otros,  aunque hayan sido también creados por organismos oficiales, por lo que en ausencia de documentos fehacientes en la verificación de la identidad, las relaciones de negocio y operaciones han de ser consideradas como no presenciales, y se establecerán medidas reforzadas de diligencia debida para la identificación.

Existen, con todo, situaciones no presenciales en las que no resulta necesaria la aplicación de medidas reforzadas de diligencia debida  en la identificación, y que tienen que ver con:
  • Entidades de derecho público,  entidades financieras y sociedades con cotización en bolsa, que no necesitan ser identificadas con carácter previo al establecimiento de la relación de negocio y operación, puesto que  su identificación está avalada por las Instituciones de derecho público que las controlan y que mantienen sus datos identificativos en registros públicos.
  • Clientes de determinados productos y operaciones especificados en el Artículo 10 de la Ley 10/2010
  • En los supuestos aun no desarrollados reglamentariamente, existe un vacío legal en la interpretación, que ha de ser completado por cada empresa bajo su criterio para cada cliente, atendiendo a su perfil y a las operaciones que contrate, siempre que exista un riesgo escaso de blanqueo de capitales o de financiación del terrorismo. Entre estas operaciones estarán las que no excedan un umbral cuantitativo, bien singular, bien acumulado por períodos temporales, que con carácter general, no superen los 1.000 euros.


En todos estos supuestos excepcionados, la identificación formal podrá hacerse aunque no se tengan con carácter previo los documentos fehacientes de identificación, y sin que por ello tengan que establecerse medidas reforzadas de diligencia debida.

En la identificación formal existen, por tanto, dos supuestos operativos:
  1. La identificación formal presencial mediante la verificación de documentos fehacientes.
  2. La identificación formal no presencial, para la que será necesario establecer medidas reforzadas de diligencia debida, excepto en los supuestos señalados.


En los siguientes capítulos analizaremos cada uno de estos dos supuestos.


Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude