Cuando una entidad financiera
introduce en la vía judicial o policial un fraude externo, además de confeccionar el escrito
explicativo de los hechos denunciados, deberá entregar copia de la justificación documental de los mismos,
así como los datos identificativos y de localización de las personas con las
que mantuvo la relación de negocio u operación denunciada, y cualquier otra
información que posea en sus bases de datos y que pueda ayudar al
esclarecimiento de los hechos.
Si en su momento fueron
perfectamente identificadas por la empresa las personas físicas o jurídicas denunciadas,
la investigación resultará relativamente fácil puesto que la información y
justificación documental que suele entregar la empresa, normalmente será suficiente
para proseguir el trabajo policial-judicial.
Con todo, podría haber un problema
en el ámbito judicial si se demostrara que las personas denunciadas actuaron
dentro de la empresa con identidades falsas o suplantadas, y ello se debió a
que no se cumplió con la obligación de identificación formal exigida por la diligencia
debida.
Es por ello por lo que, cuando
una entidad financiera sufre alguna
defraudación en la que sus autores actuaron con identidades falsas o usurpadas,
debería proceder de inmediato a través de Auditoría Interna u otro departamento
cualificado, a averiguar la forma en que estos clientes fueron identificados, y
si se cumplió de forma adecuada con la obligación legal de diligencia debida impuesta
por la Ley 10/2010.
Algunas falsificaciones de
documentos identificativos son tan evidentes, que no debería extrañar que la
Autoridad Judicial termine instando en ciertos casos al SEPBLAC a que haga una inspección
sobre el cumplimiento real de esta obligación legal y le informe de los
resultados, con las consecuencias administrativas o penales que pudieran
derivarse al efecto.
Se ha comprobado que muchas de las estafas que afectan a las entidades
financieras son posibles porque sus
autores utilizan identidades falsas o usurpadas, y no se producirían si las empresas identificaran de forma
correcta a sus clientes.
Aún identificando correctamente a
los clientes, las entidades financieras no estarán libres de sufrir fraudes con
identidades falsas o suplantadas, porque siempre habrá delincuentes capaces de
burlar los controles. Pero las empresas estarán salvaguardadas legal y
administrativamente si se aseguran de que tienen montado internamente un sistema
adecuado para la correcta identificación.
Ese sistema no es otro que una
buena estructura de prevención del
fraude de identidad, que ha de tener como uno de sus objetivos
fundamentales el control de la calidad y seguridad de la información que sobre
los clientes va acumulando la empresa en su actividad diaria, y que tendrá los
datos de identificación como la información más relevante.
ESTRUCTURA DE PREVENCIÓN Y CONTROL DEL FRAUDE DE IDENTIDAD
Antes de proceder a analizar los
mimbres de esta estructura de control de la calidad y seguridad de la
información sobre los clientes, conviene deshacer el mito que considera esta materia dentro del ámbito exclusivo
de la prevención del blanqueo de capitales y de la financiación del terrorismo,
por el hecho de que en esta legislación están reguladas las obligaciones de
diligencia debida, que son la base necesaria para llegar al conocimiento de los
clientes.
La realidad es que la calidad y la
seguridad de la información sobre los clientes superan en la empresa financiera
el ámbito del simple cumplimiento de la legislación AML, puesto que afectan de
forma directa al funcionamiento productivo y comercial del negocio.
Es por ello que las normas y
procedimientos necesarios para el cumplimiento de estas obligaciones, no sólo han
de tener en cuenta la legislación AML, sino especialmente los intereses generales de la propia empresa.
La estructura de prevención del
blanqueo de capitales no puede ser, por tanto, la que tenga a su cargo el
control de la calidad y seguridad de la información sobre los clientes, puesto
que por exigencia legal debe centrarse en el cumplimiento de las obligaciones
de información. Esto no implica que el departamento de prevención del blanqueo esté
al margen de la materia que estamos analizando, sino que no la debe tener como
responsabilidad directa.
En los temas correspondientes a
este bloque dedicado a la prevención del fraude de identidad, ofreceré el MODELO
que considero más eficiente para el
control de la calidad y seguridad de la información sobre los clientes. El sistema
que propongo lo voy a denominar: “ESTRUCTURA
DE PREVENCIÓN Y CONTROL DEL FRAUDE DE IDENTIDAD”, y se fundamenta en estos
dos departamentos:
En nuestro MODELO, toda la información
que genera la empresa para el conocimiento de los clientes ha de confluir en la
BASE DE DATOS DE CLIENTES, por lo
que ningún departamento debe tener de forma independiente archivos de clientes,
sino que toda la información sobre los mismos deberá estar centralizada en esta
base de datos.
Todo lo que tiene que ver con la
información sobre clientes, deberá estar regulado por unas determinadas normas
y procedimientos que obligarán a toda la Organización, y que en nuestro MODELO tendrán
como génesis la POLÍTICA EXPRESA DE
ADMISIÓN DE CLIENTES, concepto AML que justificaré posteriormente.
Por tanto, la ESTRUCTURA DE
PREVENCIÓN Y CONTROL DEL FRAUDE DE IDENTIDAD descansará en los cuatro elementos
reseñados:
El conocimiento de los clientes
es un trabajo que afecta a toda la empresa financiera y especialmente a los
departamentos que tienen a su cargo el contacto directo e indirecto con ellos.
Una parte de esta información
procede de los propios clientes, y tiene que ver con los datos identificativos
y con los datos de solvencia. Los primeros han de ser verificados por el
departamento que está en contacto directo con los clientes en el momento de
establecer las relaciones de negocio y operaciones y, los segundos por el departamento de análisis
de riesgos.
Otra parte de ese conocimiento
procede de la operativa que realizan los clientes dentro de la entidad
financiera y de la comparación de la misma con el conocimiento previo que la
empresa tiene del propósito e índole de la relación contractual. Este
conocimiento lo aportará el departamento encargado de controlar la monitorización
de las operaciones.
El conjunto informatizado de toda
esta información residirá físicamente en la BASE DE DATOS DE CLIENTES, que
estará ubicada en los sistemas informáticos de la empresa. La seguridad de
estos sistemas informáticos contra los ataques o intrusiones internos y
externos, estará a cargo del departamento de informática, tal como veremos en
su momento.
La empresa exigirá a todos los
departamentos que tengan que alimentar esta base de datos, calidad y proporcionalidad en la información
cedida. Para ello, como indiqué anteriormente, establecerá normas y procedimientos
para la recogida, cesión y utilización
de la información sobre los clientes, y que en nuestro MODELO coincidirán con
las establecidas por la legislación de prevención del blanqueo de capitales y
de financiación del terrorismo, aunque trascendiendo su concreto objetivo legal:
Tanto en la verificación de la identidad de
los clientes, como en la verificación de la solvencia, los departamentos
comerciales y de riesgos trabajarán con sus respectivas herramientas y fuentes de información. En estos procesos de
verificación surgirán discrepancias o alertas, que de forma ordinaria deberán
ser solucionadas por los propios departamentos mediante sus recursos ordinarios de investigación.
Cuando las discrepancias o
alertas no puedan solucionarse con los medios y herramientas ordinarias, o su resolución por los departamentos
comercial o de riesgos interfiera negativamente en el cumplimiento eficiente de
su actividad ordinaria, deberán traspasarse al Departamento de Prevención del
Fraude para que prosiga las investigaciones.
Esta será una de las funciones
del Departamento de Prevención del Fraude. Las restantes funciones de este
departamento se explicarán en un capítulo específico dedicado al mismo. Esta
función que realiza el de prevención del fraude, servirá de apoyo transversal a
los restantes departamentos productivos, de gestión y cumplimiento.
LA IDENTIFICACIÓN DE LOS CLIENTES COMO MEDIDA PREVENTIVA CONTRA EL FRAUDE DE IDENTIDAD
Los fraudes realmente peligrosos
desde el punto de vista de la autoría, son
los cometidos mediante
identidades falsas o usurpadas. Es por ello por lo que una eficiente identificación de los clientes resulta
imprescindible para el control e investigación del fraude de identidad.
El fraude de identidad es un
ataque directo contra la veracidad de la información existente en la BASE DE
DATOS DE CLIENTES.
Los fraudes externos cometidos
con la propia identidad, son mucho más
fáciles de prevenir y controlar que los fraudes que se cometen con identidades
falsas o usurpadas, puesto que desde hace años las empresas utilizan filtros de
solvencia durante los procesos de análisis de riesgos.
Estos filtros son los ficheros de
solvencia, que aunque no fueron creados para prevenir el fraude sino la mora,
sirven también para paralizar en un tiempo prudencial las actividades defraudadoras
con una misma identidad. El
inconveniente de estos ficheros es que, al no poder identificar las conductas
fraudulentas, éstas quedan subsumidas
dentro de la mora por lo que resulta imposible prevenir el fraude, puesto que los delincuentes seguirán operando en
el mercado financiero mediante otras identidades
falsas o usurpadas, una vez que son expulsados del mismo por morosos.
El sector financiero necesita
dotarse, por tanto, de herramientas específicas para la prevención del fraude de identidad,
especialmente en los procesos de solicitud de crédito o en la solicitud de
relaciones de negocio.
Estas herramientas específicas servirán
también para segmentar, dentro del conjunto de la morosidad, los defraudadores
de los que son morosos por otras causas, facilitando así el trabajo de los
departamentos de recuperaciones y el de las empresas externas dedicadas a la
recuperación de deudas en nombre de las entidades financieras.
POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES
Los pilares que sostienen la
estructura de prevención y control del fraude de identidad son la BASE DE DATOS
DE CLIENTES, el DEPARTAMENTO DE SEGURIDAD INFORMÁTICA, el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, y la POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES,
que seguidamente procedo a analizar teniendo en cuenta los intereses generales de
la empresa y no sólo los de prevención del blanqueo de capitales y de
financiación del terrorismo.
La política expresa de admisión
de clientes es la que permitirá crear
dentro de la empresa financiera una cultura de calidad y proporcionalidad de la
información sobre los clientes, necesaria
para el funcionamiento eficiente de los diferentes departamentos que tienen que
utilizarla de forma continua, como los de
producción, marketing, gestión, y cumplimiento.
La calidad y proporcionalidad de
la información sobre clientes, será imprescindible para la prevención del
fraude de identidad, y garantizará la investigación del mismo por la propia
empresa, o posteriormente por las autoridades judiciales y policiales.
Uso el término de “POLÍTICA
EXPRESA DE ADMISIÓN DE CLIENTES”, porque es el que aparece en el Artículo 26 de
la Ley 10/2010, que es la referencia legal que está permitiendo homogeneizar
para todo el sector financiero las medidas necesarias para dotar de calidad
operativa la información existente en la
BASE DE DATOS DE CLIENTES.
Junto a esta política, que
constituye la NORMA, la empresa financiera tendrá que definir y aplicar también
los PROCEDIMIENTOS que facilitarán su
cumplimiento y por tanto, dotarán de
calidad operativa la base de datos de clientes.
Por las mismas razones indicadas
arriba, estos procedimientos serán
los especificados en el Capítulo II de
la Ley de Prevención del Blanqueo de Capitales y de la Financiación del
Terrorismo, a saber:
- La identificación formal
- La identificación del titular real
- El conocimiento del propósito e índole de la relación de negocios
- El seguimiento continuo de la relación de negocios
LA DILIGENCIA DEBIDA COMO INTERÉS PARA EL NEGOCIO
Llegado a este punto, quisiera
incidir de nuevo en la idea ya indicada anteriormente, de que la política
expresa de admisión de clientes y las
medidas de diligencia debida que estamos estudiando sobrepasan la finalidad concreta de la prevención
del blanqueo de capitales y de la financiación del terrorismo, puesto que van
encaminadas a dotar de calidad y
proporcionalidad a la información existente en la BASE DE DATOS DE CLIENTES.
Esta base de información será utilizada para el funcionamiento general del
negocio, aunque también sirva para el cumplimiento de determinadas obligaciones
legales.
Creo que se ha superado en las
entidades financieras y también en la Administración, aquel concepto desfasado
de considerar las medidas de diligencia debida exigidas por la legislación AML,
sólo desde la perspectiva de las obligaciones de información que tiene la
empresa financiera como sujeto obligado. Resulta totalmente lícito que la
empresa financiera, al mismo tiempo que cumple con la legalidad, utilice estas
medidas en su propio beneficio, con la sola limitación de saber diferenciar que
el acceso a algunas fuentes de información sólo resulta posible sin
consentimiento para el cumplimiento de las obligaciones de información AML, y
que, por tanto, será necesario este requisito cuando se pretendan utilizar
estas fuentes de información restrictivas para riesgos que no sean
específicamente AML.
Siguiendo este criterio, tanto la
política como las obligaciones tendrán como objetivo el dotar de la máxima
calidad y proporcionalidad a la información que fluye hacia la BASE DE DATOS DE
CLIENTES. Posteriormente cada departamento de negocio, gestión y cumplimiento, aplicará su particular análisis a esta base de
datos mediante sus respectivas herramientas tecnológicas.
Las normas y los procedimientos
han de ser aprobados por la Alta dirección y cumplimentados por toda la
organización, y especialmente por los departamentos que componen el “front
office” de la empresa, es decir, por los que están en contacto directo con los
clientes.
Antes de su aprobación, tanto la política como las normas deberán ser
diseñadas por algún organismo de control interno, que en uestro MODELO será el Órgano
de Control Interno y Comunicación (OCIC), al que la Ley 10/2010 también
responsabiliza de su aplicación.
Al ser el OCIC un comité de
dirección con representación de distintas áreas del negocio y cumplimiento,
necesitará en la práctica la ayuda de dos departamentos especializados que le
hagan el trabajo de campo:
- El departamento de prevención del blanqueo de capitales y de la financiación del terrorismo
- El departamento de prevención del fraude
Para planificar la política
expresa de admisión de clientes y sus correspondientes procedimientos de
aplicación existen numerosas fórmulas, pero
utilizando la que impone la Ley 10/2010, de prevención del blanqueo de
capitales y de la financiación del terrorismo evitaremos duplicar procesos y ganaremos en economicidad.
La política expresa de admisión
de clientes define los principios que deben regir en la empresa para poder
establecer relaciones de negocio y operaciones; estos principios tendrán en
cuenta la legislación AML, pero también cualquier otra actividad de riesgo dentro
de la empresa.
En la planificación de las normas
y procedimientos, el OCIC ha de realizar un trabajo de campo para delimitar los
riesgos legales y generales, teniendo en cuenta el diferente perfil de los
clientes y la complejidad de los productos y operaciones que tenga la empresa.
.En estos trabajos de campo, el
departamento de prevención del blanqueo le auxiliará en todo lo que tiene que
ver con el cumplimiento legal exigido por la Ley 10/2010, y el departamento de
prevención del fraude, en todo lo que tiene que ver con los riesgos derivados
del fraude de identidad y de los fraudes que tengan su origen en un mal conocimiento
de los clientes.
En la planificación de la
política expresa de admisión de clientes hay que diferenciar por una parte, las
directrices que debe contener el documento que será firmado por la Alta
dirección, y por otra, los procedimientos que deben establecerse para
el cumplimiento de esas directrices, identificando al mismo tiempo los
departamentos que deberán aplicar los procedimientos concretos relativos a:
- La identificación formal de los clientes
- La identificación del titular real
- El conocimiento del propósito e índole de la relación de negocios
- El seguimiento continuo de la relación de negocios
Para poder realizar de forma
eficaz este trabajo de campo, ambos departamentos deberán conseguir un profundo
conocimiento del funcionamiento interno de la empresa y de cada uno los productos
y servicios que ésta ofrece.
Al ser el de prevención del
fraude un departamento integrado en el área de prevención de riesgos, y el de
prevención del blanqueo un departamento integrado en el área de cumplimiento,
la colaboración entre ambos se hará a través del OCIC, lo que facilitará un trabajo ordenado, tanto para la
identificación de estos riesgos específicos en cada área de actividad, como
para la determinación de los procedimientos necesarios para controlarlos.
Para conseguir esta información,
ambos departamentos establecerán una ágil intercomunicación con los restantes departamentos
de la empresa, y especialmente con los que tienen que aplicar la política
expresa de admisión de clientes, que también colaborarán en el desarrollo de
los borradores de los procedimientos. La interconexión operativa será posible a
través del OCIC, en donde, como he indicado, estarán representados los altos
ejecutivos de los departamentos afectados.
Ambos departamentos se encargarán
también de proponer al departamento de Recursos Humanos, en su calidad de
expertos, las materias de formación que
este último debe implementar para el personal de la empresa:
- El departamento de prevención del blanqueo para facilitar el cumplimiento de la obligación de formación impuesta por el Artículo 29 de la Ley.
- El departamento de prevención del fraude, para facilitar la formación que permita evitar los restantes riesgos que tienen que ver con los fraudes de identidad y con los fraudes derivados del desconocimiento de los clientes.
Será el departamento de
prevención del blanqueo el que determine, para cada tipo de clientes y para
cada tipo de productos y operaciones, si las medidas de diligencia debida han de ser simplificadas,
normales o reforzadas, concretando para cada supuesto la aplicación práctica de
cada medida seleccionada, pero desde la óptica del cumplimiento exclusivo de
la Ley 10/2010.
Será el departamento de
prevención del fraude el que coordine el impacto que estas medidas tendrán para
las restantes situaciones de riesgo de la empresa, y lo hará mediante la colaboración con los departamentos operativos
y de análisis de riesgos.
Con el resultado de estos
trabajos de campo realizados por ambos departamentos, el OCIC preparará el borrador del documento de
POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES, así como los procedimientos
necesarios para el cumplimiento de las medidas de DILIGENCIA DEBIDA, que tienen
que ver con la identificación formal y real, el conocimiento del propósito e
índole de la relación de negocios y el seguimiento continuo de la relación de
negocios.
El departamento de prevención del
blanqueo aportará a este trabajo su visión legal, y el departamento de
prevención del fraude su visión operativa.
Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude
