Know Your Customer

Guía: Cómo implantar un KYC basado en el riesgo

Cada vez más empresas y despachos implementan su Know Your Client o Know Your Customer a través herramientas y procedimientos sólidos.

❓

El Know Your Customer es un proceso utilizado por las empresas, despachos y otros sujetos obligados para verificar la identidad de sus clientes y garantizar la Prevención del Blanqueo de Capitales y la Financiación del Terrorismo y el cumplimiento de las regulaciones.

El KYC está regulado en España por la Ley 10/2010, de 28 de abril, de prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (LPBCFT), pero puede abordarse de diferentes maneras, tanto en la comunicación con el cliente, como en la gestión de sus datos.

Una de las medidas de prevención más sólidas es crear un KYC basado en el riesgo. Una medida que será imprescindible dentro de pocos años.

Índice

Qué es el KYC basado en el riesgo

El KYC basado en el riesgo clasifica a los clientes en función de su nivel de riesgo con el objetivo de aplicar controles proporcionales a dicho nivel de riesgo.

La diferencia principal con un proceso de KYC estándar es que el KYC basado en el riesgo analiza más en profundidad factores de riesgo como la naturaleza de la relación comercial, los activos y el patrimonio o la información fiscal, entre otros factores, con preguntas más específicas y con una due diligence que se adapta según el nivel de riesgo que se va revelando a medida que avanza el proceso.

Los profesionales de cumplimiento y los despachos deben mostrarse alerta para evitar cometer involuntariamente o convertirse en cómplices de un delito de Blanqueo de Capitales o Financiación del Terrorismo. Por eso, tiene tanto sentido que trabajes con un KYC consistente basado en el riesgo.

Vamos a ver cómo puedes diseñar uno para mejorar la gestión de tus clientes. Es vital que tomes estas recomendaciones como consejos genéricos, lo importante es que te bases en ellas para adaptarlas 100% a tu negocio.

Fases de un KYC basado en el riesgo

Podemos estructurar el proceso de KYC basado en el riesgo en cuatro fases diferentes. Como decimos, es importante que construyas tu propia estructura operativa:

Fase básica: La información básica que solicites en esta primera fase está sujeta a los requisitos de cada jurisdicción y tipo de negocio. Además, la información proporcionada por el cliente debe ser verificada adecuadamente mediante referencia a registros públicos y listas de sancionados, siempre que sea posible. Luego veremos la documentación comúnmente solicitada.

Clasificación del riesgo: Esta clasificación siempre será personalizada al tipo de negocio y los países vinculados al negocio o a las personas que lo controlan. A continuación, veremos un ejemplo de protocolo con las siguientes categorías: Sancionado, Riesgo alto, Riesgo medio, Riesgo bajo.

Due Diligence o debida diligencia: En función del nivel de riesgo detectado. Se lleva a cabo una investigación y, si resulta necesario, se solicita nueva información al cliente. Esta fase, en nuestro caso, no aplica a los individuos sancionados o de bajo riesgo, como vemos en la imagen de a continuación:

fases kyc de riesgo — Posible mapa de fases

Decisión: Según la investigación y la nueva información obtenida, iniciarás la relación comercial o no. También decidirás sobre el tipo de seguimiento sugerido y la fecha estimada para realizar el KYC refresh.

Información requerida (1ª fase)

Esta es la información y los documentos básicos que suelen solicitarse en esta primera fase. Es importante que tu organización se adapte a las regulaciones aplicables a su contexto específico.

Información básica para hacer el Know Your Customer:

Nombre completo.
Fecha de nacimiento.
Dirección de residencia fiscal.
Número de identificación: DNI, NIE o pasaporte.
Nacionalidad.
Fuente de ingresos: información sobre la fuente de ingresos del cliente, como empleo, negocios propios, inversiones, historial crediticio, entre otros.

Si tu cliente es una empresa, entonces tendrás que solicitar información propia del Know Your Business:

Nombre legal de la empresa.
Dirección de la empresa.
Número de identificación de la empresa: nº de identificación único de la empresa, nº de registro mercantil, nº de identificación fiscal…
Industria de la empresa.
Estructura de propiedad: información sobre la estructura de propiedad de la empresa, incluyendo los accionistas o propietarios principales y los titulares reales.
Información sobre el representante legal y los administradores.
Información financiera: información financiera relevante, como ingresos anuales, activos totales y nº de empleados…
Propósito de la relación comercial.

Clasificación del riesgo (2ª fase)

1. Define tus factores de clasificación de riesgo

Primero de todo, define los indicadores en los que te basarás para hacer tu clasificación de riesgo. Te compartimos algunos ejemplos:

Factores naturales:

El riesgo inherente a la naturaleza de tu negocio, por ejemplo, las transacciones con criptomonedas, el dinero utilizado en actividades de azar y casinos…

Factores del cliente:

Ubicación geográfica.
Historial del cliente: multas y sanciones anteriores.
Origen de los fondos del cliente.
Naturaleza del negocio o empleo del cliente.
Actividades sospechosas: evitación del contacto presencial, por ejemplo.
Persona políticamente expuesta (PEP) o relación con una PEP.

Nosotros, para este artículo, hemos escogido cuatro categorías para clasificar el nivel de riesgo: Sancionado, Riesgo alto, Riesgo medio, Riesgo bajo.

Veamos ahora cómo establecer el umbral de riesgo de cada categoría.

2. Establece umbrales según los factores de riesgo

Nosotros, para este artículo, hemos escogido cuatro categorías para clasificar el nivel de riesgo:

Sobre los factores de riesgo del apartado anterior, te presentamos ahora un desglose de indicadores con una puntuación asignada (números entre paréntesis). El objetivo es que tú mismo crees tus propios criterios de clasificación de riesgo:

Ubicación geográfica:
- (8): Países, territorios o jurisdicciones que no cuenten con sistemas adecuados de prevención del blanqueo de capitales y de la financiación del terrorismo.
- (9): Países, territorios o jurisdicciones sujetos a sanciones, embargos o medidas análogas aprobadas por la Unión Europea, las Naciones Unidas u otras organizaciones internacionales.
- (7): Países, territorios o jurisdicciones que presenten niveles significativos de corrupción u otras actividades criminales.
- (9): Países, territorios o jurisdicciones en los que se facilite financiación o apoyo a actividades terroristas.
- (6): Países, territorios o jurisdicciones que presenten un sector financiero extraterritorial significativo (centros "off-shore").
- (8): Países, territorios o jurisdicciones que tengan la consideración de paraísos fiscales.
ℹ️

Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo [Bloque 45]
Historial de cliente:
- (0): No hay historial de multas o sanciones anteriores.
- (2-4): Alguna infracción o multa pasada menor.
- (8-10): Historial de multas importantes o reincidente en incumplimientos normativos.
- Sancionado: si el cliente está sancionado lo recomendable será no iniciar la relación comercial.
Origen de los fondos del cliente:
- (0): Fondos bien documentados provenientes de fuentes legítimas y transparentes.
- (8-10): Fondos de origen desconocido o sospechoso, o falta de trazabilidad clara sobre su procedencia.
Naturaleza del negocio/empleo del cliente:
- (0): Negocio o empleo de bajo riesgo, con poca o ninguna exposición al lavado de dinero.
- (4-7): Sector del negocio con cierto nivel de riesgo asociado, pero con controles y regulaciones adecuadas. Empresas de tecnología financiera (fintech), agencias de viajes y turismo, empresas de construcción, etc.
- (8-9): Sociedades cuya estructura accionarial y de control no sea transparente o resulte inusual o excesivamente compleja.
- (10): Sociedades de servicios financieros no regulados, empresas de cambio de divisas no reguladas, casinos no regulados, sociedades de mera tenencia de activos, etc.
Actividades sospechosas:
- (0): No hay indicios de comportamiento sospechoso, contacto presencial normal.
- (3-7): Algunos comportamientos sospechosos, como evitación del contacto presencial sin justificación clara. Tendrás que definirlos, es un criterio subjetivo según el contexto.
- (10): Comportamientos sospechosos evidentes, como negarse a proporcionar información o evadir controles KYC.
Persona políticamente expuesta (PEP) o relación con una PEP:
- (0): Sin relación con PEPs o familiares cercanos a PEPs.
- (2-4): Relación indirecta o lejana con PEPs.
- (6-8): Relación directa y cercana con PEPs.
- (10): Cliente identificado como PEP.

Fase de Due Diligence (3ª fase)

Ejecuta controles sujetos a los factores de riesgo

Los controles sujetos al nivel de riesgo, no dependerán tanto de la puntuación establecida, sino del indicador de riesgo correspondiente. Es decir, tendrás que basar tus controles según el factor de riesgo detectado (pj. sospecha sobre el propósito comercial), no tanto por la puntuación total atribuida (pj. 18).

Algunos de los controles que podemos llevar a cabo son:

A nivel de solicitud de información:

Solicitar información adicional sobre el propósito comercial del cliente.
Solicitar documentación o información adicional sobre el origen de los fondos.
Solicitar documentación o información adicional sobre el origen del patrimonio del cliente.
Solicitar información sobre el propósito de las operaciones.

A nivel de investigación:

Revisar bases de datos públicas y privadas para verificar listas de sanciones y alertas de fraude. Por ejemplo: listado consolidado de sanciones de la Unión Europea, listado de las Naciones Unidas, listado de sanciones americana de la OFAC.
Examinar la congruencia de la relación de negocios o de las operaciones con la documentación e información disponible sobre el cliente.
Examinar la lógica económica de las operaciones.

A nivel de medidas:

Solicitar autorización directiva para establecer la relación comercial
Exigir que los pagos o ingresos se realicen en una cuenta a nombre del cliente, abierta en una entidad de crédito domiciliada en la Unión Europea o en países terceros equivalentes.
Limitar la naturaleza o cuantía de las operaciones o los medios de pago empleados.

Planifica el KYC refresh (actualización de la documentación)

Por normativa, tendrás que hacer un seguimiento de la relación comercial con tu cliente, definiendo el número y la frecuencia de los controles aplicados según el nivel de riesgo de sus indicadores.

La actualización del Know Your Customer o KYC refresh es una medida refuerzo que debe hacerse por normativa, mínimo una vez al año en clientes de riesgo alto. Para estandarizar este sistema, puedes calcular el periodo de tiempo hasta el control KYC refresh, según el scoring de riesgo del cliente.

automatizar KYC refresh — Esta tabla es un ejemplo orientativo. Lo importante es que crees tu propio sistema rigiéndote por las regulaciones concretas de tu sector

✅

Tanto el sistema de clasificación como el sistema de KYC refresh, puedes gestionarlo desde la herramienta de Parallel. Obtén más información sobre cómo puedes mejorar la organización y eficiencia de tus procesos de cumplimiento y KYC.

Fase de decisión (4ª fase)

En esta fase, después de la due diligence completada y con la información sobre la mesa, debes valorar si iniciar la relación comercial o no, y con qué condiciones.

Un ejemplo de política de admisiones aplicado al sistema de puntuación de riesgo que hemos presentado, sería:

No trabajar con ningún usuario sancionado, salvo casos en los que esté justificado para tu negocio como, por ejemplo, si eres un abogado penalista, la defensa jurídica de la persona sancionada. La decisión aquí suele ser la más fácil de tomar, declinar la relación comercial.
No iniciar una relación comercial con un cliente que supere los 25-30 puntos de nivel de riesgo o requerir la aprobación expresa del órgano de control interno.
Rechazar una relación comercial si hay un factor de riesgo especialmente vinculado a nuestra actividad. Por ejemplo, un nivel de riesgo medio, pero motivado por una sanción relacionada con obras de arte, cuando nuestra actividad sea precisamente la compraventa de obras de arte.

A modo de conclusión

Es fundamental que tu equipo de analistas y compliance estén actualizados sobre las últimas normativas generales y específicas de tu sector para no basaros en información de internet que pueda estar desactualizada o sesgada.

Asegúrate de invertir el tiempo y los esfuerzos necesarios en construir un sistema de Know Your Customer basado en el riesgo robusto. Hazlo en equipo o con asesoramiento de especialistas, ya que una única visión puede no ser suficiente para abarcar todos los escenarios posibles.

Para terminar, me gustaría reconocer el trabajo de los equipos de Legal & Compliance en las organizaciones. Estos especialistas velan por la continuidad del negocio y por un reto social mucho mayor, la lucha contra el blanqueo de capitales y la financiación del terrorismo.