Cómo implantar KYC con un enfoque basado en el riesgo

El KYC basado en el riesgo clasifica a los clientes en función del riesgo de blanqueo, con el objetivo de aplicar controles específicos. Veamos cómo puedes crear tu enfoque de KYC basado en el riesgo.

Cómo implantar KYC con un enfoque basado en el riesgo

Índice:

Qué es el KYC, y enfoque en el riesgo

El Know Your Customer es un proceso utilizado por las empresas, despachos y otros sujetos obligados para verificar la identidad de sus clientes y garantizar la prevención del blanqueo de capitales y la financiación del terrorismo.

El KYC está regulado en España por la Ley 10/2010, de 28 de abril, de prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (LPBCFT), pero puede abordarse de diferentes maneras, tanto en la comunicación con el cliente, como en la gestión de sus datos.

Una de las medidas de prevención más sólidas es el KYC basado en el riesgo. Un enfoque cada vez más adoptado y cada vez más necesario para cumplir adecuadamente con la regulación.

kyc risk based approach aml

Qué es enfoque basado en el riesgo del KYC

El KYC basado en el riesgo es un proceso de Prevención de Blanqueo de Capitales, que consiste en clasificar a los clientes en función de su nivel de riesgo de blanqueo de capitales, con el objetivo de aplicar controles proporcionales a dicho nivel de riesgo.

La diferencia principal con un proceso de KYC estándar es que el KYC basado en el riesgo es que no es un proceso estático, sino que se adapta en función del riesgo con acciones de diligencia debida y preguntas más específicas.

Veamos cómo puedes diseñar tu propio KYC risk-based. Es vital que tomes estas recomendaciones como consejos genéricos, lo importante es que te bases en ellas para adaptarlas 100% a tu negocio.

Fases del proceso de KYC basado en el riesgo del cliente

Podemos estructurar el proceso de KYC basado en el riesgo en cuatro fases diferentes. Como decimos, es importante que construyas tu propia estructura operativa:

  • 1. Fase básica: La información básica que solicites en esta primera fase está sujeta a los requisitos de cada jurisdicción y tipo de negocio. Además, la información proporcionada por el cliente debe ser verificada adecuadamente mediante referencia a registros públicos y listas de sancionados, siempre que sea posible. Luego veremos la documentación comúnmente solicitada.
  • 2. Clasificación del riesgo: Esta clasificación siempre será personalizada al tipo de negocio y los países vinculados al negocio o a las personas que lo controlan. A continuación, veremos un ejemplo de protocolo con las siguientes categorías: Sancionado, Riesgo alto, Riesgo medio, Riesgo bajo.
  • 3. Due Diligence o debida diligencia: En función del nivel de riesgo detectado. Se lleva a cabo una investigación y, si resulta necesario, se solicita nueva información al cliente. Esta fase, en nuestro caso, no aplica a los individuos sancionados o de bajo riesgo, como vemos en la imagen de a continuación:
fases kyc de riesgo
Fases del enfoque de KYC basado en el riesgo (orientativo)
  • 4. Decisión: Según la investigación y la nueva información obtenida, iniciarás la relación comercial o no. También decidirás sobre el tipo de seguimiento sugerido y la fecha estimada para realizar el KYC refresh.

Información del KYC necesaria (1ª fase)

Esta es la información y los documentos básicos que suelen solicitarse en esta primera fase. Es importante que tu organización se adapte a las regulaciones aplicables a su contexto específico.

Información básica para el KYC de persona física

  1. Nombre completo.
  2. Fecha de nacimiento.
  3. Dirección de residencia fiscal.
  4. Número de identificación: DNI, NIE o pasaporte.
  5. Nacionalidad.
  6. Fuente de ingresos: información sobre la fuente de ingresos del cliente, como empleo, negocios propios, inversiones, historial crediticio, entre otros.

Si tu cliente es una empresa, entonces tendrás que solicitar información propia del KYC de empresa, también conocido como Know Your Business.

Información básica para el KYC de empresa

  1. Nombre legal de la empresa.
  2. Dirección de la empresa.
  3. Número de identificación de la empresa: nº de identificación único de la empresa, nº de registro mercantil, nº de identificación fiscal…
  4. Industria de la empresa.
  5. Estructura de propiedad: información sobre la estructura de propiedad de la empresa, incluyendo los accionistas o propietarios principales y los titulares reales.
  6. Información sobre el representante legal y los administradores.
  7. Información financiera: información financiera relevante, como ingresos anuales, activos totales y nº de empleados…
  8. Propósito de la relación comercial.

Clasificación del riesgo de blanqueo de capitales (2ª fase)


1. Define tus indicadores de riesgo para la clasificación

Primero de todo, define los indicadores en los que te basarás para hacer tu clasificación de riesgo. Te compartimos algunos ejemplos:

Indicadores naturales:

  • El riesgo inherente a la actividad y jurisdicción de tu negocio, por ejemplo, las transacciones con criptomonedas, el dinero utilizado en actividades de azar y casinos…

Indicadores del cliente:

  • Dirección de residencia
  • Historial del cliente: multas y sanciones anteriores.
  • Origen de los fondos del cliente.
  • Naturaleza del negocio o empleo del cliente.
  • Actividades sospechosas: evitación del contacto presencial, por ejemplo.
  • Persona políticamente expuesta (PEP) o relación con una PEP.

Nosotros, para este artículo, hemos escogido cuatro categorías para clasificar el nivel de riesgo: Sancionado, Riesgo alto, Riesgo medio, Riesgo bajo.

Veamos ahora cómo establecer el umbral de riesgo de cada categoría.

2. Establece umbrales para los indicadores de riesgo de blanqueo de capitales

Nosotros, para este artículo, hemos escogido cuatro categorías para clasificar el nivel de riesgo de blanqueo:

Clasificación de riesgo KYC PBC

Sobre los factores de riesgo del apartado anterior, te presentamos ahora un desglose de indicadores con una puntuación asignada (números entre paréntesis). El objetivo es que tú mismo crees tus propios criterios de clasificación de riesgo:

  • Ubicación geográfica:
    • (8): Países, territorios o jurisdicciones que no cuenten con sistemas adecuados de prevención del blanqueo de capitales y de la financiación del terrorismo.
    • (9): Países, territorios o jurisdicciones sujetos a sanciones, embargos o medidas análogas aprobadas por la Unión Europea, las Naciones Unidas u otras organizaciones internacionales.
    • (7): Países, territorios o jurisdicciones que presenten niveles significativos de corrupción u otras actividades criminales.
    • (9): Países, territorios o jurisdicciones en los que se facilite financiación o apoyo a actividades terroristas.
    • (6): Países, territorios o jurisdicciones que presenten un sector financiero extraterritorial significativo (centros "off-shore").
    • (8): Países, territorios o jurisdicciones que tengan la consideración de paraísos fiscales.

    Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo [Bloque 45]


  • Historial de cliente:

  • Origen de los fondos del cliente:

  • Naturaleza del negocio/empleo del cliente:

  • Actividades sospechosas:

  • Persona políticamente expuesta (PEP) o relación con una PEP:
    Orquesta tu operativa de Prevención de blanqueo de capitales
    Orquesta tu operativa de Prevención de blanqueo de capitales

    Fase de Debida diligencia del KYC (3ª fase)

    Ejecuta controles sujetos a los indicadores de riesgo

    Los controles sujetos al nivel de riesgo, no dependerán tanto de la puntuación establecida, sino del indicador de riesgo correspondiente. Es decir, tendrás que basar tus controles según el factor de riesgo detectado (pj. sospecha sobre el propósito comercial), no tanto por la puntuación total atribuida (pj. 18).

    Algunos de los controles que podemos llevar a cabo son:

    A nivel de solicitud de información:

    A nivel de investigación:

    A nivel de medidas:

    Planifica el KYC refresh (actualización del KYC)

    Por normativa, tendrás que hacer un seguimiento de la relación comercial con tu cliente, definiendo el número y la frecuencia de los controles aplicados según el nivel de riesgo de sus indicadores.

    La actualización del Know Your Customer o KYC refresh es una medida refuerzo que debe hacerse por normativa, mínimo una vez al año en clientes de riesgo alto. Para estandarizar este sistema, puedes calcular el periodo de tiempo hasta el control KYC refresh, según el scoring de riesgo del cliente.

    automatizar KYC refresh
    Esta tabla es un ejemplo orientativo. Lo importante es que crees tu propio sistema rigiéndote por las regulaciones concretas de tu sector
    Tanto el sistema de clasificación como el sistema de KYC refresh, puedes gestionarlo desde el software de KYC de Parallel.

    Fase de decisión (4ª fase)

    En esta fase, después de la due diligence completada y con la información sobre la mesa, debes valorar si iniciar la relación comercial o no, y con qué condiciones.

    Algunos ejemplos para tu política de admisiones, teniendo en cuenta el scoring de riesgo, podrían ser:

    A modo de conclusión

    Es fundamental que tu equipo de analistas y compliance estén actualizados sobre las últimas normativas generales y específicas de tu sector para no basaros en información de internet que pueda estar desactualizada o sesgada.

    Asegúrate de invertir el tiempo y los esfuerzos necesarios en construir un sistema de Know Your Customer basado en el riesgo robusto. Hazlo en equipo o con asesoramiento de especialistas, ya que una única visión puede no ser suficiente para abarcar todos los escenarios posibles.

    La herramienta de KYC/AML de Parallel te permite construir un sistema de KYC basado en el riesgo, a través de evaluaciones de riesgo automáticas y cuestionarios con preguntas condicionales (árbol de decisiones). Automatiza la recolección de documentos y revisa desde el panel de control que toda la documentación es correcta, vigente y veraz.