La prevención del fraude es una
obligación que atañe a toda la organización, al igual que sucede con la
prevención del blanqueo de capitales y de la financiación del terrorismo,
aunque con la diferencia de que esta obligación no responde a una materia de cumplimiento
externo sino de control interno y, por
tanto, estará sujeta a criterios basados
en la escala de valores e intereses que tenga la empresa.
En algunas entidades financieras,
durante muchos años el fraude ha estando
camuflado dentro de la morosidad y asumido, por tanto, como un riesgo comercial más, controlable
mediante políticas y procedimientos de análisis de riesgos comerciales o de
recuperaciones.
Actualmente el fraude se analiza en el sector financiero como
fenómeno independiente a la morosidad, y
para ello, o bien se están creando los departamentos de prevención del fraude
como estructuras especializadas, o se potencia su estudio dentro de la
actividad ordinaria de otros departamentos, como los de seguridad, los de
gestión de riesgos financieros, los de recuperaciones, etc.
Las entidades financieras que
opten por la creación de estructuras especializadas como serían los departamentos de prevención del fraude,
han que rentabilizarlas al máximo asignando
a las mismas unos cometidos que estén acordes con la especialización de sus
integrantes.
Bajo mi criterio estos cometidos serían
los siguientes:
- Control de la calidad y proporcionalidad de la base de datos de clientes
- Control operativo de la diligencia debida
- Coordinación de la investigación del fraude interno y externo
- Asesoramiento y apoyo a la acción reactiva de la empresa frente al fraude
Las dos primeras funciones serían
preventivas y las dos siguientes reactivas, y ninguna de ellas
invadirían cometidos de otros departamentos como por ejemplo, el jurídico o el
de auditoría, sino que por el contrario
los liberarían de funciones no propias que pueden afectar a su independencia
funcional, puesto que ambos departamentos
han de estar más cerca del fiel que de los platillos de la balanza.
En esta parte del trabajo no desarrollaré
las funciones reactivas del
DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE, puesto que estos dos cometidos serán objeto de un
planteamiento específico en otra parte de este estudio, pero adelantaré que
mediante estas dos funciones este departamento
colaborará más eficazmente con el departamento jurídico, o con el
departamento de auditoría, o aportará su especialización al departamento de
seguridad informática, en el análisis de los fraudes tecnológicos desde su vertiente
operativa no técnica.
En lo que sigue me centraré sólo en
las funciones preventivas.
CONTROL DE LA CALIDAD Y PROPORCIONALIDAD DE LA BASE DE DATOS DE
CLIENTES
La BASE DE DATOS DE CLIENTES es uno
de los activos más importantes de la empresa. Se va creando en el tiempo
mediante la labor comercial, y su información tiene que estar dotada de tres
cualidades: calidad, proporcionalidad, y
seguridad. De la vigilancia de las dos primeras se encarga el DEPARTAMENTO
DE PREVENCIÓN DEL FRAUDE y de la tercera, el DEPARTAMENTO DE SEGURIDAD
INFORMÁTICA.
Para la vigilancia de la calidad
y proporcionalidad de los datos, el DEPARTAMENTO DE PREVENCIÓN DEL FRAUDE ha de
desarrollar dos cometidos: Uno “ex ante”, participando en la determinación de los datos
que serán exigidos a los clientes, dependiendo del tipo al que pertenezcan y de
las características de los productos u operaciones que pretendan contratar, y
otra “ex post”, verificando
aleatoriamente en la base de datos de clientes si la información cedida tiene
calidad y proporcionalidad.
Para cada modalidad de producto u
operación y para cada tipo de cliente, será necesaria una determinada
información que ha de ser especificada por el departamento de desarrollo del
producto financiero, con el asesoramiento de aquellos otros departamentos que
serán posteriormente afectados por su comercialización y control.
En este trabajo, también resulta
de interés la colaboración del
departamento de prevención del fraude, por su peculiar especialización, que
participará en el análisis del riesgo fraude-cliente, así como en la valoración
de los datos que van a ser solicitados, con
el fin de que la empresa cumplan escrupulosamente con la Ley Orgánica 15/1999
de Protección de Datos de Carácter Personal.
Los datos fundamentales de una
base de datos de clientes perteneciente a cualquier empresa del sector
financiero son los de identificación, que se complementarán posteriormente con los datos de solvencia.
Tanto unos como otros son
susceptibles de falsificación, pero la falsificación de los primeros deja
totalmente indefensa a la entidad financiera, mientras que los segundos pueden
ser verificados más fácilmente en
fuentes internas y externas.
La empresa, por tanto, ha de evitar
por todos los medios el fraude de identidad y la falsificación de los datos de
solvencia, y la mejor manera de hacerlo es controlando la calidad y
proporcionalidad de la BASE DE DATOS DE CLIENTES, para lo que utilizará su departamento de prevención del fraude.
Este departamento actuará como asesor especializado del OCIC, y
asumirá el estudio de los casos complicados de presuntos fraudes, liberando así a los restantes departamentos
de este trabajo marginal, para centrarse en sus
labores principales de evaluación de la capacidad del cliente para cumplir con
las obligaciones derivadas de la contratación.
CONTROL OPERATIVO DE LA DILIGENCIA DEBIDA
La calidad y la proporcionalidad
de la información existente en la base de datos de clientes depende del
cumplimiento o no, por todos los empleados de la empresa, de las obligaciones de diligencia debida, entendida
ésta en su concepto ampliado y por tanto no limitado a la legislación de
prevención del blanqueo de capitales y de la financiación del terrorismo, de
donde proviene originariamente el término.
La diligencia debida así
entendida, beneficia diversos intereses de la empresa además de los de cumplimiento, entre
los que están de forma destacada los de negocio.
Justifico por razones
metodológicas y economicistas, que la
diligencia debida se planifique en base a los criterios que se indican en el Capítulo II de
la Ley 10/2010, puesto que el sector financiero carece de normativa legal o
administrativa en esta materia, siendo la legislación sobre prevención del
blanqueo de capitales y de la financiación del terrorismo la que mejor se
presta para la homogeneización de estos procedimientos dentro del sector.
La diligencia debida tiene como
objeto el conocimiento del cliente, requisito
imprescindible para poder establecer y mantener con el mismo relaciones de
negocio y operaciones. Este objetivo es válido para el cumplimiento de la Ley
10/2010, pero también para garantizar la seguridad de la actividad económica en
la empresa, y para prevenir el fraude, especialmente el derivado de la suplantación
de identidad, que es el objeto de estudio de esta primera parte del trabajo
dedicado a la prevención del fraude externo que se comete con identidades
falsas o usurpadas.
Atendiendo a estos criterios, son
cuatro los procesos que son necesarios para el conocimiento del cliente:
- La identificación formal del cliente
- La identificación del titular real, si el cliente es persona jurídica y existe una situación de riesgo
- El conocimiento del propósito e índole de la relación de negocios que el cliente quiere establecer con nuestra empresa
- El seguimiento continuo de la relación de negocios y de las operaciones que efectúe el cliente a través de nuestra empresa
Los cuatro procesos (que la Ley
10/2010 llama medidas), están concatenados y
ordenados de forma lógica, y cada
empresa deberá establecerlos de manera simplificada, normal o reforzada,
teniendo en cuenta sus intereses generales y las distintas normativas de
cumplimiento.
El objetivo de estos cuatro
procesos es que la empresa llegue a conocer a su cliente, y ese conocimiento lo atesorará para beneficio de toda su actividad en la BASE DE DATOS DE CLIENTES, que sólo debe
contener aquella información necesaria
para afrontar los riesgos que la empresa asume con cada cliente.
Para que la base de datos sea de
interés para la actividad empresarial deberá estar revestida de calidad y
proporcionalidad, que se consiguen en la
práctica mediante la aplicación escrupulosa de la política expresa de admisión de clientes y los procedimientos
de diligencia debida, por el
personal que trabaja directamente con los clientes, o por el que analiza a
posteriori la información aportada por los mismos.
Junto a la calidad y la
proporcionalidad, la BASE DE DATOS DE CLIENTES debe estar revestida también de
la necesaria seguridad para evitar que sea accedida sin control o contaminada
interna o externamente.
La política expresa de admisión
de clientes y los procedimientos de diligencia debida, no pueden ser utilizados
por la organización sin que sean aprobados previamente por la alta dirección, y
sin que exista un órgano con la
necesaria autoridad dentro de la empresa para aplicarlos y controlarlos.
Por razones de método, éste
órgano ha de ser también el que diseñe, aplique y controle operativamente el
cumplimiento de la norma interna
(política expresa de admisión del clientes), y los procedimientos adecuados para
llevarla a la práctica (medidas de diligencia debida), sin perjuicio de las
funciones de Auditoría como autoridad independiente.
Así pues, el sistema operativo
que controla el conocimiento de los clientes y por tanto la información
existente en su base de datos, tiene su
fundamento estratégico en:
En nuestro MODELO, el órgano de
control es el que ya establece la legislación
de prevención del blanqueo de capitales y
de financiación del terrorismo, a saber: El ÓRGANO DE
CONTROL INTERNO Y COMUNICACIÓN (OCIC).
Éste Órgano, para el diseño,
aplicación y control de la estrategia del modelo, contará con la colaboración operativa
de estos tres departamentos:
- El Departamento de Prevención del Fraude
- El Departamento de Seguridad Informática
- El Departamento AML
El OCIC, por tanto, es el responsable
último de la calidad, proporcionalidad y
seguridad de la BASE DE DATOS DE CLIENTES.
El OCIC, como ya sabemos por la
Ley 10/2010, contará con representación de las distintas áreas de negocio y
cumplimiento de la empresa, y ha de tener capacidad para aplicar internamente
las normas y los procedimientos que tienen que ver con los clientes. Cuando se
reúne, ha de levantar acta de los acuerdos adoptados.
Las funciones del OCIC son las
siguientes:
- Diseño de la política expresa de admisión de clientes y de los procedimientos de diligencia debida, que serán presentados a la Dirección para su aprobación.
- Aplicación de las normas y los procedimientos aprobados por la Dirección en las distintas áreas operativas.
- Control operativo del cumplimiento de las normas y los procedimientos por las distintas áreas operativas.
DISEÑO DE LA POLÍTICA EXPRESA DE ADMISIÓN DE CLIENTES Y DE LOS
PROCEDIMIENTOS DE DILIGENCIA DEBIDA
La política expresa de admisión
de clientes define los principios que deben regir en la empresa para poder
establecer relaciones de negocio y operaciones,
e incluye la descripción de aquellos tipos de clientes que podrían
presentar un riesgo superior al riesgo promedio en función de los factores que
determine cada empresa, entre los que estarán de forma destacada los de riesgo AML
Esta política deberá contener
también la identificación de los FILTROS
DE EXCLUSIÓN, que tienen como misión impedir la aceptación como clientes de
aquellas personas físicas o jurídicas sobre las que exista alguna prohibición
legal o administrativa, o que representen un riesgo no asumible por la empresa.
Al ser el OCIC un comité de
dirección con representación de las distintas áreas de negocio y cumplimiento
de la empresa, para el trabajo de campo necesario para el diseño de la política expresa de
admisión de clientes, se auxiliará de
los tres departamentos referenciados anteriormente: El departamento de
prevención del fraude, el departamento AML y el departamento de seguridad
informática.
- El departamento de prevención del fraude le auxiliará en la definición de los riesgos derivados del fraude de identidad y de los fraudes ocasionados por un mal conocimiento de los clientes.
- El departamento de prevención del blanqueo, le auxiliará en la definición de los riesgos derivados del incumplimiento de la Ley 10/2010.
- El departamento de seguridad informática, le auxiliará en la definición de los riesgos derivados de la inseguridad de la base de datos de clientes, de los riesgos derivados de la no discriminación en el uso interno de esa base de datos, y sobre la tecnología necesaria para el seguimiento continuo de la relación de negocio, así como sobre el sistema de alertas que deberá establecerse al efecto.
Se creará por tanto un grupo de
trabajo dirigido por un miembro relevante del OCIC que será ayudado por especialistas de los tres
departamentos citados, para el diseño de la política expresa de admisión de
clientes. Este grupo de trabajo se encargará de realizar los trabajos de campo
necesarios para determinar el riesgo-cliente que suponen para la empresa los
productos y servicios que ésta ofrece, definiendo, en base a ese riesgo, los
principios que deberán regir en la empresa para establecer las relaciones de
negocio y operaciones. Se encargará también de describir aquellos tipos de
clientes que podrían presentar un riesgo superior al riesgo promedio.
Igualmente determinará las listas o filtros de exclusión que deberán ser
instalados en las plataformas tecnológicas de control y cumplimiento.
El resultado de este trabajo será
el borrador documental que el OCIC presentará a la alta dirección para su
aprobación, y posteriormente el documento definitivo que servirá para crear en
toda la empresa una cultura que ha de imbricarse en los procesos realizados por
todos los departamentos de negocio, gestión, cumplimiento y control.
El OCIC controlará la aplicación
en la empresa de esta cultura mediante la ayuda de estos tres departamentos, en
sus funciones específicas de: prevención del fraude, cumplimiento AML, y seguridad
en la explotación de la BASE DE DATOS DE CLIENTES.
Igualmente el OCIC tendrá bajo su
responsabilidad el diseño, aplicación y control de los procedimientos de
diligencia debida necesarios para el conocimiento de los clientes, para lo que
se ayudará de los tres departamentos señalados
de una manera similar a la que hemos visto para la definición de la
política expresa de admisión de clientes.
Una vez diseñados y aprobados los
procedimientos, e identificados los departamentos que deberán utilizarlos,
tendrán que ser aplicados por estos mismos departamentos atendiendo al riesgo
encontrado para cada perfil de clientes y modalidad de productos o servicios
susceptibles de contratación. Para ello, el OCIC ayudado de su equipo asesor,
deberá determinar los perfiles de
riesgo, para cada tipo de cliente y modalidad, así como los procedimientos que
deberán ser utilizados en cada caso y el grado en que serán aplicados, que como
ya sabemos por la Ley 10/2010, puede ser normal,
simplificado o reforzado, atendiendo a los criterios de riesgo de la
empresa, que estarán atemperados por la normativa existente.
Para el conocimiento de los clientes habrá que aplicar
de la forma indicada, por tanto, los
siguientes procedimientos:
- El procedimiento de identificación formal de los clientes
- El procedimiento para la identificación del titular real
- El procedimiento para el conocimiento del propósito e índole de la relación de negocios
- El procedimiento para el seguimiento continuo de la relación de negocios
Estamos acostumbrados a estudiar las medidas de diligencia debida sólo desde la
óptica de la prevención del blanqueo de capitales y de la financiación del
terrorismo y ahora conviene modificar el criterio para ampliar la nueva visión
estratégica.
Es cierto que el departamento de
prevención del blanqueo de capitales y financiación del terrorismo, teniendo en
cuenta sus propios criterios de riesgo AML, establecerá para cada tipo de
cliente y modalidad de productos y operaciones los factores de riesgo AML, pero
ello es sólo una parte del proceso de la diligencia debida, puesto que en el concepto
ampliado que estamos abordando también hay que incluir otros riesgos-cliente
además de los establecidos en la Ley 10/2010.
Me refiero, por ejemplo, a:
- Los riesgos de crédito y cobro
- Los riesgos de fraude
- Los riesgos de seguridad
- Los riesgos de protección de datos de carácter personal
- Otros riesgos de cumplimiento, como los de transparencia y protección del cliente de servicios bancarios
- Etc.
La diligencia debida, desde este
concepto ampliado, excede la normativa
de prevención del blanqueo de capitales y de la financiación del terrorismo, y
se inserta directamente dentro de la esfera del control general del
riesgo-cliente de la empresa, en el que el riesgo AML seguirá siendo uno de sus
puntos fuertes.
El OCIC tendrá, por tanto, que diseñar el mapa con los diferentes riesgos
a considerar, distribuyendo las materias a coordinar entre los departamentos
que le auxilian en este trabajo; y así,
las materias de seguridad estarán coordinadas por el departamento de seguridad
informática, las de AML por el departamento de prevención del blanqueo de
capitales y las que tienen que ver con los restantes riesgos-cliente, por el
departamento de prevención del fraude.
Si no existiera esa coordinación,
cada departamento de negocio, control y cumplimiento establecería su propia
política expresa de admisión de clientes y las obligaciones de diligencia
debida atendiendo a sus perfiles de riesgo-cliente y operaciones, lo que
llevaría a una multiplicidad de políticas y procedimientos.
El objetivo de este trabajo de
campo será el diseño y posterior aplicación de una política unitaria de
diligencia debida, en la que confluyan las necesidades de las diferentes áreas
de la empresa que tienen responsabilidad sobre los clientes, ya sean de negocio, de cumplimiento
o de riesgo.
En este bloque de estudio
dedicado a la prevención del fraude de identidad, de las cuatro áreas que
abarca la diligencia debida, sólo analizaremos la que tiene como objetivo:
LA IDENTIFICACIÓN FORMAL DE LOS CLIENTES
El proceso de identificación
formal de los clientes ha de hacerse obligatoriamente como queda
establecido en el Artículo 3 de la Ley
10/2010 y en los restantes artículos que modulan la aplicación del mismo, y
así,
La identificación formal de las
personas físicas o jurídicas ha de hacerse con carácter previo al
establecimiento de la relación de negocio o a la ejecución de cualesquiera
operaciones, y deberá realizarse mediante la verificación presencial de los
documentos fehacientes de identificación que establecerá el futuro Reglamento
de la Ley 10/2010.
Hasta la publicación y entrada en
vigor de las disposiciones reglamentarias de la Ley 10/2010, se consideran documentos
fehacientes los reconocidos por el Reglamento de la Ley 19/1993, ya derogada, que
fue aprobado por Real Decreto 925/1995, de 9 de junio, y sus normas de
desarrollo.
Para el cliente, persona
física son los siguientes:
- Documento Nacional de Identidad
- Permiso de residencia expedido por el Ministerio del Interior
- Pasaporte o documento de identificación válido en el país de procedencia que incorpore fotografía de su titular.
Todo ello sin perjuicio de la
obligación que proceda de comunicar el número de identificación fiscal (NIF) o
el número de identificación de extranjeros (NIE), según los casos, de acuerdo
con las disposiciones vigentes.
Asimismo se deberán acreditar los
poderes de las personas que actúen en nombre del Titular.
Para el cliente, persona
jurídica es el siguiente:
- Documento fehaciente acreditativo de su denominación, forma jurídica, domicilio y objeto social.
Sin perjuicio de la obligación
que proceda de comunicar el número de identificación fiscal (NIF)
Asimismo se deberán identificar
como personas físicas, las que actúen en nombre de las personas jurídicas en la
identificación formal de las mismas.
Excepciones a la norma general:
En los supuestos en los que en un
primer momento no pueda comprobarse la
identidad de los intervinientes mediante documentos fehacientes, se podrá contemplar
lo establecido en el artículo 12 de la Ley 10/2010, salvo que existan elementos
de riesgo en la operación.
El artículo 12 trata de las
relaciones de negocio y operaciones no presenciales, para las que se exigirán
medidas reforzadas de diligencia debida en la identificación, que estudiaremos de
forma independiente.
La identificación presencial sólo
podrá hacerse mediante la verificación de los documentos fehacientes reseñados anteriormente y no por otros, aunque hayan sido también creados por organismos
oficiales, por lo que en ausencia de documentos fehacientes en la verificación
de la identidad, las relaciones de negocio y operaciones han de ser consideradas como no presenciales, y se establecerán medidas reforzadas de diligencia debida
para la identificación.
Existen, con todo, situaciones no
presenciales en las que no resulta necesaria la aplicación de medidas reforzadas
de diligencia debida en la
identificación, y que tienen que ver con:
- Entidades de derecho público, entidades financieras y sociedades con cotización en bolsa, que no necesitan ser identificadas con carácter previo al establecimiento de la relación de negocio y operación, puesto que su identificación está avalada por las Instituciones de derecho público que las controlan y que mantienen sus datos identificativos en registros públicos.
- Clientes de determinados productos y operaciones especificados en el Artículo 10 de la Ley 10/2010
- En los supuestos aun no desarrollados reglamentariamente, existe un vacío legal en la interpretación, que ha de ser completado por cada empresa bajo su criterio para cada cliente, atendiendo a su perfil y a las operaciones que contrate, siempre que exista un riesgo escaso de blanqueo de capitales o de financiación del terrorismo. Entre estas operaciones estarán las que no excedan un umbral cuantitativo, bien singular, bien acumulado por períodos temporales, que con carácter general, no superen los 1.000 euros.
En todos estos supuestos excepcionados,
la identificación formal podrá hacerse aunque no se tengan con carácter previo
los documentos fehacientes de identificación, y sin que por ello tengan que
establecerse medidas reforzadas de diligencia debida.
En la identificación formal
existen, por tanto, dos supuestos operativos:
- La identificación formal presencial mediante la verificación de documentos fehacientes.
- La identificación formal no presencial, para la que será necesario establecer medidas reforzadas de diligencia debida, excepto en los supuestos señalados.
En los siguientes capítulos
analizaremos cada uno de estos dos supuestos.
Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude