Cómo implantar KYC con un enfoque basado en el riesgo
El KYC basado en el riesgo clasifica a los clientes en función del riesgo de blanqueo, con el objetivo de aplicar controles específicos. Veamos cómo puedes crear tu enfoque de KYC basado en el riesgo.
Índice:
Qué es el KYC, y enfoque en el riesgo
El Know Your Customer es un proceso utilizado por las empresas, despachos y otros sujetos obligados para verificar la identidad de sus clientes y garantizar la prevención del blanqueo de capitales y la financiación del terrorismo.
El KYC está regulado en España por la Ley 10/2010, de 28 de abril, de prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (LPBCFT), pero puede abordarse de diferentes maneras, tanto en la comunicación con el cliente, como en la gestión de sus datos.
Una de las medidas de prevención más sólidas es el KYC basado en el riesgo. Un enfoque cada vez más adoptado y cada vez más necesario para cumplir adecuadamente con la regulación.
Qué es enfoque basado en el riesgo del KYC
El KYC basado en el riesgo es un proceso de Prevención de Blanqueo de Capitales, que consiste en clasificar a los clientes en función de su nivel de riesgo de blanqueo de capitales, con el objetivo de aplicar controles proporcionales a dicho nivel de riesgo.
La diferencia principal con un proceso de KYC estándar es que el KYC basado en el riesgo es que no es un proceso estático, sino que se adapta en función del riesgo con acciones de diligencia debida y preguntas más específicas.
Veamos cómo puedes diseñar tu propio KYC risk-based. Es vital que tomes estas recomendaciones como consejos genéricos, lo importante es que te bases en ellas para adaptarlas 100% a tu negocio.
Fases del proceso de KYC basado en el riesgo del cliente
Podemos estructurar el proceso de KYC basado en el riesgo en cuatro fases diferentes. Como decimos, es importante que construyas tu propia estructura operativa:
- 1. Fase básica: La información básica que solicites en esta primera fase está sujeta a los requisitos de cada jurisdicción y tipo de negocio. Además, la información proporcionada por el cliente debe ser verificada adecuadamente mediante referencia a registros públicos y listas de sancionados, siempre que sea posible. Luego veremos la documentación comúnmente solicitada.
- 2. Clasificación del riesgo: Esta clasificación siempre será personalizada al tipo de negocio y los países vinculados al negocio o a las personas que lo controlan. A continuación, veremos un ejemplo de protocolo con las siguientes categorías: Sancionado, Riesgo alto, Riesgo medio, Riesgo bajo.
- 3. Due Diligence o debida diligencia: En función del nivel de riesgo detectado. Se lleva a cabo una investigación y, si resulta necesario, se solicita nueva información al cliente. Esta fase, en nuestro caso, no aplica a los individuos sancionados o de bajo riesgo, como vemos en la imagen de a continuación:
- 4. Decisión: Según la investigación y la nueva información obtenida, iniciarás la relación comercial o no. También decidirás sobre el tipo de seguimiento sugerido y la fecha estimada para realizar el KYC refresh.
Información del KYC necesaria (1ª fase)
Esta es la información y los documentos básicos que suelen solicitarse en esta primera fase. Es importante que tu organización se adapte a las regulaciones aplicables a su contexto específico.
Información básica para el KYC de persona física
- Nombre completo.
- Fecha de nacimiento.
- Dirección de residencia fiscal.
- Número de identificación: DNI, NIE o pasaporte.
- Nacionalidad.
- Fuente de ingresos: información sobre la fuente de ingresos del cliente, como empleo, negocios propios, inversiones, historial crediticio, entre otros.
Si tu cliente es una empresa, entonces tendrás que solicitar información propia del KYC de empresa, también conocido como Know Your Business.
Información básica para el KYC de empresa
- Nombre legal de la empresa.
- Dirección de la empresa.
- Número de identificación de la empresa: nº de identificación único de la empresa, nº de registro mercantil, nº de identificación fiscal…
- Industria de la empresa.
- Estructura de propiedad: información sobre la estructura de propiedad de la empresa, incluyendo los accionistas o propietarios principales y los titulares reales.
- Información sobre el representante legal y los administradores.
- Información financiera: información financiera relevante, como ingresos anuales, activos totales y nº de empleados…
- Propósito de la relación comercial.
Clasificación del riesgo de blanqueo de capitales (2ª fase)
1. Define tus indicadores de riesgo para la clasificación
Primero de todo, define los indicadores en los que te basarás para hacer tu clasificación de riesgo. Te compartimos algunos ejemplos:
Indicadores naturales:
- El riesgo inherente a la actividad y jurisdicción de tu negocio, por ejemplo, las transacciones con criptomonedas, el dinero utilizado en actividades de azar y casinos…
Indicadores del cliente:
- Dirección de residencia
- Historial del cliente: multas y sanciones anteriores.
- Origen de los fondos del cliente.
- Naturaleza del negocio o empleo del cliente.
- Actividades sospechosas: evitación del contacto presencial, por ejemplo.
- Persona políticamente expuesta (PEP) o relación con una PEP.
Nosotros, para este artículo, hemos escogido cuatro categorías para clasificar el nivel de riesgo: Sancionado, Riesgo alto, Riesgo medio, Riesgo bajo.
Veamos ahora cómo establecer el umbral de riesgo de cada categoría.
2. Establece umbrales para los indicadores de riesgo de blanqueo de capitales
Nosotros, para este artículo, hemos escogido cuatro categorías para clasificar el nivel de riesgo de blanqueo:
Sobre los factores de riesgo del apartado anterior, te presentamos ahora un desglose de indicadores con una puntuación asignada (números entre paréntesis). El objetivo es que tú mismo crees tus propios criterios de clasificación de riesgo:
Ubicación geográfica:
- (8): Países, territorios o jurisdicciones que no cuenten con sistemas adecuados de prevención del blanqueo de capitales y de la financiación del terrorismo.
- (9): Países, territorios o jurisdicciones sujetos a sanciones, embargos o medidas análogas aprobadas por la Unión Europea, las Naciones Unidas u otras organizaciones internacionales.
- (7): Países, territorios o jurisdicciones que presenten niveles significativos de corrupción u otras actividades criminales.
- (9): Países, territorios o jurisdicciones en los que se facilite financiación o apoyo a actividades terroristas.
- (6): Países, territorios o jurisdicciones que presenten un sector financiero extraterritorial significativo (centros "off-shore").
- (8): Países, territorios o jurisdicciones que tengan la consideración de
paraísos.
Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo Bloque 45]
Historial de cliente:
- (0): No hay historial de multas o sanciones anteriores.
- (2-4): Alguna infracción o multa pasada menor.
- (8-10): Historial de multas importantes o reincidente en incumplimientos normativos.
- Sancionado: si el cliente está sancionado lo recomendable será no iniciar la relación comercial.
Origen de los fondos del cliente:
- (0): Fondos bien documentados provenientes de fuentes legítimas y transparentes.
- (8-10): Fondos de origen desconocido o sospechoso, o falta de trazabilidad
clara sobre su procedencia.
Naturaleza del negocio/ empleo del cliente:
- (0): Negocio o empleo de bajo riesgo, con poca o ninguna exposición al
lavado de dinero. - (4-7): Sector del negocio con cierto nivel de riesgo asociado, pero con controles y regulaciones adecuadas. Empresas de tecnología financiera (fintech), agencias de viajes y turismo, empresas de construcción, etc.
- (8-9): Sociedades cuya estructura accionarial y de control no sea transparente o resulte inusual o excesivamente compleja.
- (10): Sociedades de servicios financieros no regulados, empresas de cambio de divisas no reguladas, casinos no regulados, sociedades de mera tenencia de activos, etc.
Actividades sospechosas:
- (0): No hay indicios de comportamiento sospechoso, contacto presencial normal.
- (3-7): Algunos comportamientos sospechosos, como evitación del contacto presencial sin justificación clara. Tendrás que definirlos, es un criterio subjetivo según el contexto.
- (10): Comportamientos sospechosos evidentes, como negarse a proporcionar información o evadir controles KYC.
Persona políticamente expuesta (PEP) o relación con una PEP:
- (0): Sin relación con PEPs o familiares cercanos a PEPs.
- (2-4): Relación indirecta o lejana con PEPs.
- (6-8): Relación directa y cercana con PEPs.
- (10): Cliente identificado como PEP.
Fase de Debida diligencia del KYC (3ª fase)
Ejecuta controles sujetos a los indicadores de riesgo
Los controles sujetos al nivel de riesgo, no dependerán tanto de la puntuación establecida, sino del indicador de riesgo correspondiente. Es decir, tendrás que basar tus controles según el factor de riesgo detectado (pj. sospecha sobre el propósito comercial), no tanto por la puntuación total atribuida (pj. 18).
Algunos de los controles que podemos llevar a cabo son:
A nivel de solicitud de información:
- Solicitar información adicional sobre el propósito comercial del cliente.
- Solicitar documentación o información adicional sobre el origen de los fondos.
- Solicitar documentación o información adicional sobre el origen del patrimonio del cliente.
- Solicitar información sobre el propósito de las operaciones.
A nivel de investigación:
- Revisar bases de datos públicas y privadas para verificar listas de sanciones y alertas de fraude. Por ejemplo: listado consolidado de sanciones de la Unión Europea, listado de las Naciones Unidas, listado de sanciones americana de la OFAC.
- Examinar la congruencia de la relación de negocios o de las operaciones con la documentación e información disponible sobre el cliente.
- Examinar la lógica económica de las operaciones.
A nivel de medidas:
- Solicitar autorización directiva para establecer la relación comercial
- Exigir que los pagos o ingresos se realicen en una cuenta a nombre del cliente, abierta en una entidad de crédito domiciliada en la Unión Europea o en países terceros equivalentes.
- Limitar la naturaleza o cuantía de las operaciones o los medios de pago empleados.
Planifica el KYC refresh (actualización del KYC)
Por normativa, tendrás que hacer un seguimiento de la relación comercial con tu cliente, definiendo el número y la frecuencia de los controles aplicados según el nivel de riesgo de sus indicadores.
La actualización del Know Your Customer o KYC refresh es una medida refuerzo que debe hacerse por normativa, mínimo una vez al año en clientes de riesgo alto. Para estandarizar este sistema, puedes calcular el periodo de tiempo hasta el control KYC refresh, según el scoring de riesgo del cliente.
Fase de decisión (4ª fase)
En esta fase, después de la due diligence completada y con la información sobre la mesa, debes valorar si iniciar la relación comercial o no, y con qué condiciones.
Algunos ejemplos para tu política de admisiones, teniendo en cuenta el scoring de riesgo, podrían ser:
- 🔴 No trabajar con ningún usuario sancionado, salvo casos en los que esté justificado para tu negocio como, por ejemplo, si eres un abogado penalista, la defensa jurídica de la persona sancionada. La decisión aquí suele ser la más fácil de tomar, declinar la relación comercial.
- 🔴 No iniciar una relación comercial con un cliente que supere los 25-30 puntos de nivel de riesgo o requerir la aprobación expresa del órgano de control interno.
- 🔴 Rechazar una relación comercial si hay un factor de riesgo especialmente vinculado a nuestra actividad. Por ejemplo, un nivel de riesgo medio, pero motivado por una sanción relacionada con obras de arte, cuando nuestra actividad sea precisamente la compraventa de obras de arte.
A modo de conclusión
Es fundamental que tu equipo de analistas y compliance estén actualizados sobre las últimas normativas generales y específicas de tu sector para no basaros en información de internet que pueda estar desactualizada o sesgada.
Asegúrate de invertir el tiempo y los esfuerzos necesarios en construir un sistema de Know Your Customer basado en el riesgo robusto. Hazlo en equipo o con asesoramiento de especialistas, ya que una única visión puede no ser suficiente para abarcar todos los escenarios posibles.
La herramienta de KYC/AML de Parallel te permite construir un sistema de KYC basado en el riesgo, a través de evaluaciones de riesgo automáticas y cuestionarios con preguntas condicionales (árbol de decisiones). Automatiza la recolección de documentos y revisa desde el panel de control que toda la documentación es correcta, vigente y veraz.