Guía: Cómo implantar un KYC basado en el riesgo
Cada vez más empresas y despachos implementan su Know Your Client o Know Your Customer a través herramientas y procedimientos sólidos.
El KYC está regulado en España por la Ley 10/2010, de 28 de abril, de prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (LPBCFT), pero puede abordarse de diferentes maneras, tanto en la comunicación con el cliente, como en la gestión de sus datos.
Una de las medidas de prevención más sólidas es crear un KYC basado en el riesgo. Una medida que será imprescindible dentro de pocos años.
Índice
Qué es el KYC basado en el riesgo
El KYC basado en el riesgo clasifica a los clientes en función de su nivel de riesgo con el objetivo de aplicar controles proporcionales a dicho nivel de riesgo.
La diferencia principal con un proceso de KYC estándar es que el KYC basado en el riesgo analiza más en profundidad factores de riesgo como la naturaleza de la relación comercial, los activos y el patrimonio o la información fiscal, entre otros factores, con preguntas más específicas y con una due diligence que se adapta según el nivel de riesgo que se va revelando a medida que avanza el proceso.
Los profesionales de cumplimiento y los despachos deben mostrarse alerta para evitar cometer involuntariamente o convertirse en cómplices de un delito de Blanqueo de Capitales o Financiación del Terrorismo. Por eso, tiene tanto sentido que trabajes con un KYC consistente basado en el riesgo.
Vamos a ver cómo puedes diseñar uno para mejorar la gestión de tus clientes. Es vital que tomes estas recomendaciones como consejos genéricos, lo importante es que te bases en ellas para adaptarlas 100% a tu negocio.
Fases de un KYC basado en el riesgo
Podemos estructurar el proceso de KYC basado en el riesgo en cuatro fases diferentes. Como decimos, es importante que construyas tu propia estructura operativa:
- Fase básica: La información básica que solicites en esta primera fase está sujeta a los requisitos de cada jurisdicción y tipo de negocio. Además, la información proporcionada por el cliente debe ser verificada adecuadamente mediante referencia a registros públicos y listas de sancionados, siempre que sea posible. Luego veremos la documentación comúnmente solicitada.
- Clasificación del riesgo: Esta clasificación siempre será personalizada al tipo de negocio y los países vinculados al negocio o a las personas que lo controlan. A continuación, veremos un ejemplo de protocolo con las siguientes categorías: Sancionado, Riesgo alto, Riesgo medio, Riesgo bajo.
- Due Diligence o debida diligencia: En función del nivel de riesgo detectado. Se lleva a cabo una investigación y, si resulta necesario, se solicita nueva información al cliente. Esta fase, en nuestro caso, no aplica a los individuos sancionados o de bajo riesgo, como vemos en la imagen de a continuación:
- Decisión: Según la investigación y la nueva información obtenida, iniciarás la relación comercial o no. También decidirás sobre el tipo de seguimiento sugerido y la fecha estimada para realizar el KYC refresh.
Información requerida (1ª fase)
Esta es la información y los documentos básicos que suelen solicitarse en esta primera fase. Es importante que tu organización se adapte a las regulaciones aplicables a su contexto específico.
Información básica para hacer el Know Your Customer:
- Nombre completo.
- Fecha de nacimiento.
- Dirección de residencia fiscal.
- Número de identificación: DNI, NIE o pasaporte.
- Nacionalidad.
- Fuente de ingresos: información sobre la fuente de ingresos del cliente, como empleo, negocios propios, inversiones, historial crediticio, entre otros.
Si tu cliente es una empresa, entonces tendrás que solicitar información propia del Know Your Business:
- Nombre legal de la empresa.
- Dirección de la empresa.
- Número de identificación de la empresa: nº de identificación único de la empresa, nº de registro mercantil, nº de identificación fiscal…
- Industria de la empresa.
- Estructura de propiedad: información sobre la estructura de propiedad de la empresa, incluyendo los accionistas o propietarios principales y los titulares reales.
- Información sobre el representante legal y los administradores.
- Información financiera: información financiera relevante, como ingresos anuales, activos totales y nº de empleados…
- Propósito de la relación comercial.
Clasificación del riesgo (2ª fase)
1. Define tus factores de clasificación de riesgo
Primero de todo, define los indicadores en los que te basarás para hacer tu clasificación de riesgo. Te compartimos algunos ejemplos:
Factores naturales:
- El riesgo inherente a la naturaleza de tu negocio, por ejemplo, las transacciones con criptomonedas, el dinero utilizado en actividades de azar y casinos…
Factores del cliente:
- Ubicación geográfica.
- Historial del cliente: multas y sanciones anteriores.
- Origen de los fondos del cliente.
- Naturaleza del negocio o empleo del cliente.
- Actividades sospechosas: evitación del contacto presencial, por ejemplo.
- Persona políticamente expuesta (PEP) o relación con una PEP.
Nosotros, para este artículo, hemos escogido cuatro categorías para clasificar el nivel de riesgo: Sancionado, Riesgo alto, Riesgo medio, Riesgo bajo.
Veamos ahora cómo establecer el umbral de riesgo de cada categoría.
2. Establece umbrales según los factores de riesgo
Nosotros, para este artículo, hemos escogido cuatro categorías para clasificar el nivel de riesgo:
Sobre los factores de riesgo del apartado anterior, te presentamos ahora un desglose de indicadores con una puntuación asignada (números entre paréntesis). El objetivo es que tú mismo crees tus propios criterios de clasificación de riesgo:
- Ubicación geográfica:
- (8): Países, territorios o jurisdicciones que no cuenten con sistemas adecuados de prevención del blanqueo de capitales y de la financiación del terrorismo.
- (9): Países, territorios o jurisdicciones sujetos a sanciones, embargos o medidas análogas aprobadas por la Unión Europea, las Naciones Unidas u otras organizaciones internacionales.
- (7): Países, territorios o jurisdicciones que presenten niveles significativos de corrupción u otras actividades criminales.
- (9): Países, territorios o jurisdicciones en los que se facilite financiación o apoyo a actividades terroristas.
- (6): Países, territorios o jurisdicciones que presenten un sector financiero extraterritorial significativo (centros "off-shore").
- (8): Países, territorios o jurisdicciones que tengan la consideración de paraísos fiscales.
ℹ️Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo [Bloque 45]
- Historial de cliente:
- (0): No hay historial de multas o sanciones anteriores.
- (2-4): Alguna infracción o multa pasada menor.
- (8-10): Historial de multas importantes o reincidente en incumplimientos normativos.
- Sancionado: si el cliente está sancionado lo recomendable será no iniciar la relación comercial.
- Origen de los fondos del cliente:
- (0): Fondos bien documentados provenientes de fuentes legítimas y transparentes.
- (8-10): Fondos de origen desconocido o sospechoso, o falta de trazabilidad clara sobre su procedencia.
- Naturaleza del negocio/empleo del cliente:
- (0): Negocio o empleo de bajo riesgo, con poca o ninguna exposición al lavado de dinero.
- (4-7): Sector del negocio con cierto nivel de riesgo asociado, pero con controles y regulaciones adecuadas. Empresas de tecnología financiera (fintech), agencias de viajes y turismo, empresas de construcción, etc.
- (8-9): Sociedades cuya estructura accionarial y de control no sea transparente o resulte inusual o excesivamente compleja.
- (10): Sociedades de servicios financieros no regulados, empresas de cambio de divisas no reguladas, casinos no regulados, sociedades de mera tenencia de activos, etc.
- Actividades sospechosas:
- (0): No hay indicios de comportamiento sospechoso, contacto presencial normal.
- (3-7): Algunos comportamientos sospechosos, como evitación del contacto presencial sin justificación clara. Tendrás que definirlos, es un criterio subjetivo según el contexto.
- (10): Comportamientos sospechosos evidentes, como negarse a proporcionar información o evadir controles KYC.
- Persona políticamente expuesta (PEP) o relación con una PEP:
- (0): Sin relación con PEPs o familiares cercanos a PEPs.
- (2-4): Relación indirecta o lejana con PEPs.
- (6-8): Relación directa y cercana con PEPs.
- (10): Cliente identificado como PEP.