Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







miércoles, 3 de julio de 2013

EL CONOCIMIENTO DEL CLIENTE Y LA PREVENCIÓN DEL FRAUDE




Sólo cuando el cliente esté perfectamente identificado, es cuando se le podrán aplicar las restantes medidas de diligencia debida, necesarias para su conocimiento.

La prevención del blanqueo de capitales y de la financiación del terrorismo  (PBCyFT) ofrece, para el conocimiento de los clientes, un procedimiento que tiene aceptación internacional, y que, además, está siendo implantado en numerosas legislaciones nacionales. Lo que está permitiendo una cierta homogeneización en los procesos, dentro de la actividad financiera.

Estudiaremos el conocimiento de los clientes desde la perspectiva de la prevención del fraude; es decir, desde el interés del negocio, aunque este conocimiento también resulte determinante para el cumplimiento de algunas obligaciones legales y administrativas.

Según el procedimiento PBCyFT, el conocimiento de los clientes tiene tres vertientes, que considero resultan válidas para la prevención del fraude, y por ende, para el negocio:



En temas anteriores hemos analizado la importancia que, para la prevención del fraude, tiene la identificación formal y la del titular real, ésta última en determinados supuestos.

También se argumentó que, por razones de especialización, su control operativo debería quedar bajo la responsabilidad del Departamento de Prevención del Fraude, perteneciente al área de control interno. Con todo, no podemos olvidar que la coordinación transversal en esta materia la realiza el OCI según la Ley de 10/2010. Ambas posiciones son compatibles si el Servicio de Prevención del Fraude depende funcionalmente del OCI en esta materia específica,  con lo que quedarían cubiertas y sin duplicidades, las áreas del negocio y  de prevención del blanqueo de capitales y de la financiación del terrorismo.

A continuación se estudiarán las restantes medidas necesarias para el conocimiento de los clientes, pero desde la óptica del negocio y de la prevención del fraude, lo que permitirá ofrecer una visión más global que si se hiciera, exclusivamente, desde la prevención del blanqueo de capitales y de la financiación del terrorismo.

Esto tiene sentido porque en el proceso de conocimiento de los clientes participan todos los departamentos de la empresa, aunque se utilice para ello el procedimiento de PBCyFT, bajo el criterio de que estas medidas se utilizarán para la mejora del funcionamiento de la organización, aunque sirvan también para el cumplimiento de la legislación de PBCyFT.


CONOCIMIENTO DEL PROPÓSITO E ÍNDOLE DE LA RELACIÓN DE NEGOCIOS

Cuando una persona física o jurídica intenta establecer una relación de negocio con una entidad financiera, o ejecutar alguna operación a través de la misma, además de identificarse, deberá aportar aquellos datos y documentos  que son necesarios para evitar determinados riesgos normativos, de negocio y/o reputacionales.

Los datos y documentos que se le exigirán,  dependerán del riesgo que tenga su “tipo de cliente”,  de la modalidad de negocio que pretende establecer, o de la operación que  quiere realizar, por lo que, previamente, la entidad habrá tenido que programar y ejecutar internamente los siguientes trabajos de investigación:
  1. Modelar la segmentación de los clientes en base a unas determinadas características,  que vendrán definidas por los criterios de riesgo que tenga la empresa, y por otros   criterios de riesgo objetivo y normativo. Una vez traspasados los modelos a las aplicaciones tecnológicas, el futuro cliente, durante el proceso de solicitud, será incluido automáticamente en alguno de los grupos de riesgo que estén previamente determinados.
  2. Clasificar todos los productos y servicios teniendo en cuenta los criterios de riesgo de la empresa, y además, los criterios de riesgo de cada servicio y producto, según la experiencia interna y externa,  o las normativas nacionales o internacionales.


Sabemos que los procesos internos de las empresas financieras están interrelacionados, y por ello, lo han de estar también los profesionales que deben llevarlos a cabo. De ahí la necesidad de formación del personal para la comprensión global de la  organización, aunque cada profesional termine especializándose en una materia específica.

Los trabajos para la segmentación de clientes, bienes y servicios,  son ejemplo de la necesaria interrelación interna. Cuando ésta falla, se propicia la creación de compartimentos estanco dentro de las empresas, cada uno con su propia tecnología y misterio, lo que ocasiona desorganización y costes innecesarios, puesto que al no existir una comprensión global de los procesos,  se terminan generando inseguridades operativas que cada departamento pretenderá solventar mediante soluciones tecnológicas propias, que muchas veces se compran al margen de las necesidades reales de las empresas.

Esta forma de proceder provoca duplicidades en los procesos, que finalmente tienen que ser eliminadas  por los departamentos de informática, quedando entonces en evidencia para la alta dirección, la descoordinación existente y los costes que ocasiona.

Tras la eliminación de las duplicidades, ciertas aplicaciones tecnológicas que se compraron sin control quedan sobredimensionadas, con el consiguiente despilfarro económico. Esta situación se evitaría si los procesos  estuviesen interrelacionados transversalmente, y existiera  una fácil comunicación entre los profesionales que han de llevarlos a cabo.

Para la medida de diligencia debida relativa al conocimiento del propósito e índole de la relación de negocios, las empresas habrán de crear una matriz de trabajo, con la definición de los tipos de clientes en función del riesgo, y con los productos y servicios que comercializan, con la determinación, en cada uno de ellos, de sus riesgos económicos y normativos.

Este trabajo lo coordinarán las  Áreas de Control Interno, con la colaboración en sus respectivas materias, de las restantes áreas y departamentos, normativos y legales.

Se irá construyendo así un mapa general de riesgos, por clientes y productos, que estará compuesto por diferentes capas:
  • Mapa de riesgos financieros
  • Mapa de riesgos de prevención del blanqueo de capitales
  • Mapa de Riesgos de Fraude
  • Mapa de Riesgos FATCA
  •  ETC.


Para la confección de cada capa o mapa particular,  deberá planificarse el correspondiente trabajo de campo, en el que participarán los departamentos que estén relacionados con los riesgos específicos a estudiar, vg.: finanzas, desarrollo del producto, operaciones, recursos humanos, TI/sistemas, servicio al cliente, marketing, ventas y cumplimiento.


NA (Riesgo normativo A);  OA (Otro riesgo A)


MODELO SIMPLIFICADO:

Los riesgos de fraude constituyen sólo una de las capas del mapa general de riesgos. Sabemos que en el conocimiento de los clientes, los riesgos de fraude están íntimamente relacionados con los riesgos de cumplimiento BCyFT, por lo que utilizaremos un modelo simplificado basado en la prevención del blanqueo de capitales y de la financiación del terrorismo, puesto que en este modelo se integra perfectamente el departamento de prevención del fraude bajo la coordinación del Órgano de Control Interno (OCI).

En nuestro modelo, será el OCI auxiliado por  su equipo asesor, el que establezca  la matriz de riesgo de Prevención del Blanqueo de Capitales y de Financiación del Terrorismo-Fraude (BCyFT-FRAUDE), teniendo en cuenta las diferentes variables de riesgo relativas a clientes, productos y servicios.

Para poder crear la matriz, se identificarán por el OCI los departamentos que quedan  afectados por los riesgos definidos, (departamentos comerciales, productivos y organizativos), delimitando para cada uno de ellos sus correspondientes riesgos BCyFT-FRAUDE, (por clientes, productos y servicios) y posteriormente, con la participación activa de los propios departamentos afectados,  se confeccionarán los procedimientos necesarios para el control de estos riesgos.

Este es un proceso que necesita de un equipo que se encargue del trabajo de campo, en el que participarán los Departamentos de Prevención del Blanqueo y  de Prevención del Fraude, junto con los representantes de los departamentos que estén afectados por los riesgos BCyFT- FRAUDE. De esta manera se profundizará  con realismo en la construcción de este mapa  específico de riesgos, correspondiente a la empresa.

Una vez establecido el mapa de riesgos BCyFT-FRAUDE, se trabajará junto con el Departamento de Seguridad Informática, en la incorporación de los factores de riesgo en todas aquellas aplicaciones tecnológicas que puedan verse afectadas, con el fin de que generen las alertas,  y que éstas lleguen  a las aplicaciones tecnológica de los departamentos de riesgos afectados  vg.:  las alertas de BCyFC llegarán al departamento de prevención del blanqueo de capitales, las de fraude de identidad y otros fraudes al departamento de prevención del fraude, y las de fraude tecnológico al departamento de seguridad informática.

Los departamentos que deben coordinarse para trasponer a los sistemas tecnológicos los factores de riesgo BCyFT-FRAUDE, son los siguientes:
  • El Departamento de prevención del blanqueo, controlará  los riesgos específicos de blanqueo de capitales y de financiación del terrorismo, a excepción de la identificación formal de los clientes.
  • El Departamento de Seguridad Informática, controlará los riesgos de fraude tecnológico, que tengan que ver con los clientes y productos.
  • El Departamento de Prevención del Fraude,  controlará aquellos riesgos-cliente y riesgos producto-servicio que tengan que ver con  la identificación formal de los clientes y la titularidad real de los mismos y, otros riesgos de fraude no tecnológico.



CONCRECIÓN OPERATIVA DEL MODELO

Identificados los riesgos BCyFT-FRAUDE mediante el proceso referenciado arriba, se trasladarán a los clientes, productos y servicios de la empresa, con el fin de que los clientes queden segmentados de forma automática, atendiendo al tipo de riesgo que les corresponda, y a los servicios o productos que tengan contratados.

Esto se realizará filtrando  la información contenida en la base de datos de clientes, a través de las aplicaciones departamentales que controlan el blanqueo de capitales y la financiación del terrorismo, el fraude en general y el fraude de identidad, así como los fraudes tecnológicos.

Como resultado de este filtraje,  los clientes quedarán segmentados, según su tipología de riesgo, o según el riesgo del negocio u operaciones contratadas, en:
  1. Clientes con un tipo de riesgo normal, de riesgo simplificado y de riesgo reforzado (CN, CS, CR), a los que se le aplicarán, respectivamente, medidas de diligencia debida, normales, simplificadas o reforzadas.
  2. Clientes con productos y servicios de riesgo normal, de riesgo simplificado y de riesgo reforzado (PN, PS, PR), a los que se aplicarán, respectivamente, medidas de diligencia debida, normales, simplificadas o reforzadas.


Previamente, a través del OCI se habrán definido y documentado los procedimientos (medidas) de diligencia debida que correspondan a cada uno de los grupos de riesgo, tanto de clientes como de productos y servicios:
  • Medidas Normales de Diligencia Debida
  • Medidas Simplificadas de Diligencia Debida
  • Medidas Reforzadas de Diligencia Debida




Si analizamos la Ley 10/2010, o las explicaciones del borrador de Reglamento que están circulando, las medidas de Diligencia Debida básicamente tienen que ver con la calidad y cantidad de información necesaria para controlar cada tipo de riesgo, por lo que las diferentes medidas (procedimientos) de diligencia debida se tendrán que definir y documentar, conjugando aquellos criterios de riesgo que quiera asumir la entidad (criterios subjetivos), y  los criterios objetivos de riesgo PByFT-FRAUDE.

En la prevención del blanqueo de capitales y la financiación del terrorismo, los criterios objetivos serán los que aparecen en la Ley y los que aparecerán en el nuevo Reglamento, en relación con los diferentes tipos de clientes,  y con las modalidades de productos y operaciones que esté comercializando la empresa. Para cada riesgo así definido, habrá que determinar la información necesaria para su control.

Esto mismo se hará para la determinación de los criterios objetivos de prevención del fraude tradicional o tecnológico, en base a la experiencia, y a la abundante información que puede ser encontrada en diversas fuentes públicas y privadas.

Resulta comprensible, que en empresas con funcionamiento complejo, para  el control de los riesgos BCyFT-FRAUDE exista la tecnología necesaria que permita discriminar de forma automática a los clientes, productos y servicios, y que además, gestione de forma eficaz las alertas de blanqueo de capitales y de financiación del terrorismo, o aquellas alertas que tienen su origen en una falta de correspondencia ostensible con la naturaleza, volumen de actividad o antecedentes operativos de los clientes, o en las que no se aprecie justificación económica, profesional o de negocio, y que podrían dar lugar a blanqueo o a fraude.

Aunque la PBCyFT y la Prevención del FRAUDE son actividades independientes, el análisis de ambos fenómenos está interrelacionado como puede apreciarse en el Art. 18 de la Ley 10/2010.


RESULTADO DEL PROCESO

El conocimiento del propósito e índole de la relación de negocios será el resultado del análisis de la información introducida en la base de datos de clientes en el momento de la solicitud de negocio, junto con la documentación justificativa  aportada por ellos,  así como de la información ampliada posteriormente por la empresa, en fuentes propias o externas.

En el modelo simplificado BCyFT-FRAUDE, se han trabajando sólo los riesgos de blanqueo de capitales, financiación del terrorismo y fraude, pero existen otros riesgos de negocio, de cumplimiento y reputacionales, que estarán recogidos en sus correspondientes mapas de riesgo de una forma similar a la indicada. Estos riesgos serán también introducidos en los sistemas tecnológicos de las empresas para su debido control.

Por tanto, formarán parte del conocimiento del propósito e índole de la relación de negocios de los clientes los riesgos detectados, financieros, de fraude, de blanqueo de capitales, de  terrorismo, de sobreendeudamiento, Fatca, etc.,  lo que permitirá establecer para cada cliente y de forma automática, un determinado perfil de riesgos. Este perfil colocará a cada cliente dentro de un grupo de riesgo concreto, facilitando así que el comercial pueda exigirle  una determinada información y documentación justificativa.

La documentación concreta que será solicitada a cada cliente por el “front office” de la empresa, que suele ser el departamento comercial, vendrá determinada de forma automatizada por el sistema de comercialización,  a partir de los datos de identidad del cliente, y de los productos y servicios que éste pretenda contratar.

Esta segmentación no es estática, y puede ir cambiando en el tiempo, obligando a las entidades a recabar nueva información y documentación justificativa, normalmente a través de los mismos comerciales con los que contrataron.


LA SEGMENTACIÓN DE LOS CLIENTES

Para que pueda el sistema tecnológico automatizar la segmentación de los clientes,  deberá ser programado previamente con la información contenida en los mapas de riesgos, que como vimos, se definieron como resultado de los trabajos de investigación y de campo,  realizados por los profesionales pertenecientes a los  departamentos de control de riesgos, negocio y cumplimiento.

Como se ha indicado, la segmentación de los clientes no es  un proceso estático sino dinámico, por lo que su perfil de riesgo puede ir modificándose   en el tiempo, como resultado  de los análisis personalizados derivados de las alertas, de la verificación de los documentos aportados por los propios clientes y de las ampliaciones de información obtenida por los analistas en fuentes internas y externas.

También puede sufrir modificaciones esta segmentación, como veremos en el próximo capítulo, durante el seguimiento continuo de las relaciones de negocios. En esta concreta fase de control intervienen las plataformas tecnológicas de monitoreo de operaciones, que generarán alertas hacia los departamentos de control, obligándolos a hacer análisis especiales.

Resulta ahora claro, que el conocimiento de los clientes requiere del trabajo colaborativo de muchos departamentos y profesionales de la empresa, para la definición de los factores de riesgo y para  el control de los mismos. Pero habría que resaltar la importancia que tiene en ese conocimiento,  la primera información y documentación que se obtiene de los  clientes en el momento en que solicitan las relaciones de negocio u operaciones.

Esta es una información y documentación que ha de ser controlada por el “front office” de la empresa, que es el que atiende a los clientes utilizando el procedimiento comercial de seguridad que ya se ha explicado en capítulos anteriores,  y que puede resumirse en los siguientes puntos:
  1. Los comerciales ha de identificar formalmente a los clientes en base a documentos fehacientes no falsificados, comprobando en la documentación entregada por éstos, que los datos que introducen en el sistema se corresponden con los que aparecen en los documentos justificativos que reciben. (Identidad, firma, domicilio, etc.)
  2. Los comerciales procederán a exigir a los clientes aquellos datos y documentos que sean necesarios para la identificación del titular real, cuando por las características del negocio, por exigencias de cumplimiento o por interés reputacional, sea precisa esta identificación. Será el propio sistema el que estará programado para que el comercial requiera información o documentación con esta finalidad, a partir del proceso de alimentación del mismo.
  3. Durante el proceso de identificación formal de los clientes, el sistema tecnológico en el que opere la aplicación comercial, o la plataforma de análisis de riesgos financieros vinculado con aquella,  estarán conectados a alguna solución interna o  externa que permita la verificación de los documentos de identificación y la obtención de las copias de los mismos en soporte óptico, magnético o electrónico cuando sea preciso. Durante este proceso se filtrarán automáticamente los datos identificativos por las listas de exclusión.
  4. Los comerciales convertirán la documentación física en electrónica, e introducirán  ésta última en la aplicación tecnológica con el fin de que pueda ser utilizada como documentación justificativa de la información por otros departamentos de la empresa. Estos archivos podrán estar externalizados, si cuentan con la seguridad y confidencialidad necesarias.
  5. Seguidamente archivarán la documentación física con medidas de seguridad, hasta que reciban la orden de su destrucción o envío al Archivo General. A este fin, la empresa tendrá un protocolo de archivo provisional, que contenga las medidas de seguridad física para el archivo provisional, y la manera de identificar los expedientes físicos y virtuales para su rápida localización.



Con la información introducida en el sistema por el departamento comercial, se inicia la primera segmentación de los clientes en la Base de Datos, conforme  a los criterios de riesgo programados en el sistema.

Esta información puede producir alertas que llegarán a los  departamentos de control  que correspondan: prevención del blanqueo y de la financiación del terrorismo, prevención del fraude, análisis de riesgos financieros, u otros  departamentos de negocio o cumplimiento que hubiesen  introducido los factores de riesgo en el sistema. Los departamentos receptores   procederán a un análisis especializado.


En nuestro modelo, la aplicación comercial estará conectada a la plataforma de análisis de riesgos financieros que filtrará los datos por los factores de riesgo definidos en el sistema y por los repositorios internos y externos programados. Si no se produjera ninguna alerta, se iniciaría el proceso de análisis de riesgos financieros y la aprobación o denegación de la relación de negocio u operación.

Si se produjera alguna alerta, el proceso automático de análisis de riesgos financieros se paralizaría, enviando la alerta al departamento de control que hubiera introducido los factores de riesgo generadores de la misma, que procedería a un análisis especial, con resultado positivo o negativo.


Los análisis especiales permiten modificar los perfiles de los clientes, con la consiguiente variación en la segmentación de los mismos. Esta nueva información obtenida mediante los análisis especiales enriquecerá la BASE DE DATOS DE LOS CLIENTES, y generará nuevas posiciones de control en las aplicaciones departamentales.

Las aplicaciones de negocio y cumplimiento, podrán conectarse con aquellas bases de datos internas y externas que les fueran necesarias para su trabajo de análisis, filtrando de forma periódica el contenido de la BASE DE DATOS DE CLIENTES a través de sus criterios de riesgo específico, lo que irá perfeccionando la segmentación los clientes de cara al control automatizado de los mismos.

Todo el control de riesgos constituye un mecanismo complejo,  en el que se interrelacionan de forma operativa las diferentes aplicaciones especializadas que funcionan en la empresa, conectadas todas al SIEM o “BIG DATA” de la organización  que controla el departamento de seguridad informática.

A través del SIEM se permite la agregación, consolidación y monitorización de los datos, así como su correlación para poder crear inteligencia artificial cruzando atributos comunes o mediante la minería de datos.  Con este sistema resulta posible generar alertas, y redirigirlas hacia las aplicaciones de gestión o cumplimiento.

Estas alertas  llegan de forma inmediata a los departamentos destinatarios de las mismas, en donde se procede a su análisis y a la resolución de los problemas que originen.

Será el propio SIEM o “BIG DATA”, el que ofrezca las herramientas para crear tablas informativas o para definir patrones que sirvan para perfeccionar los análisis futuros o para  elaborar informes.

En esta plataforma funciona la BASE DE DATOS DE CLIENTES y el ARCHIVO GENERAL DE LA EMPRESA, y es la que controla el uso de todas las aplicaciones, la que autoriza el acceso a las mismas y la que guarda los  “log” o registros históricos de acceso a todo el sistema.

Hemos visto la importancia que tiene la tecnología para poder controlar de forma eficiente y automatizada  el funcionamiento de empresas complejas con un gran número de clientes con perfiles de riesgos diversos, o con productos, servicios y operaciones que requieren un permanente seguimiento.

Pero la tecnología resultará insuficiente si no está manejada por especialistas que conozcan  bien su trabajo, y por tanto sean capaces de utilizar las máquinas de forma eficiente, alimentarlas con información estructurada, efectuar interrelaciones operativas, diseñar los procesos de control, y solucionar los problemas de alerta que vayan surgiendo.


Fabián Zambrano Viedma

Responsable del Servicio de Prevención del Fraude





Publicado por en
Etiquetas: