Análisis del proyecto de norma que reemplazará a la Resolución 229/2011 de la UIF.

Argentina: La Gestión Basada en Riesgos de LA y FT.
Análisis del proyecto de norma que reemplazará a la Resolución 229/2011 de la UIF.  (Primera Entrega)

Introducción

En cumplimiento de los objetivos estratégicos adoptados por la UIF, principalmente en lo que refiere a alcanzar un sistema efectivo de prevención, sustentado en la utilización del enfoque basado en riesgo, se ha distribuido el borrador de un proyecto normativo que reemplazará a la Resolución 229/2011, a fin de su evaluación por parte de los agentes de los mercados de capitales regulados por la Comisión Nacional de Valores.

Sistemáticamente hemos hecho referencia a la necesidad de aplicar Enfoques Basados en Riesgo para la gestión de la prevención del delito de lavado de dinero[1], a partir de que, en la actualización de las 40 Recomendaciones en el año 2012, el GAFI destacó como Recomendación Número 1 la adopción de estos modelos de gestión, tanto para supervisores como para sujetos obligados.

En diversas entregas analizaremos los principales cambios previstos en el proyecto de marras. En esta primera, se abordará el análisis de los impactos del Enfoque Basado en Riesgo en los marcos de prevención y detección adoptados por las entidades.

Qué es la Gestión del Riesgo de LA y FT

El Riesgo de Lavado, puede definirse como la posibilidad que una entidad sufra pérdidas, derivadas de ser utilizada como instrumento para lavar activos y/o canalizar recursos para el terrorismo, impactando en su reputación y en la del sistema financiero en general.

El objetivo de la gestión basada en riesgos entonces, consiste reducir la probabilidad de ser utilizado como instrumento para llevar adelante el delito de legalización de activos, producto de actividades de Lavado. También, tiene como fin el mitigar los riesgos de pérdida emergentes conjuntamente con los riesgos asociados, tales como de reputación, operativo y de contagio.

Considerar la prevención de lavado de dinero, bajo la concepción de la gestión del riesgo implica la adopción de un método lógico y sistemático consistente en identificar, analizar, evaluar, controlar, monitorear y mitigar los riesgos asociados con esa actividad.

En términos restrictivos entonces la administración del riesgo de LD/FT consiste en definir y establecer una estrategia orientada a identificar, valorar, tratar y controlar eventos potenciales de Lavado de Activos y Financiamiento del Terrorismo, con el fin de prevenirlos, detectarlos y mitigarlos oportunamente.

El Sistema de Prevención de Lavado de Dinero

El proyecto indica que los “Sujetos Obligados deben implementar un Sistema de Prevención de LA/FT, el cual deberá contener todas las políticas y procedimientos establecidos para la gestión de Riesgos a los que se encuentran expuestos y los elementos de cumplimiento exigidos”.

Exige dos componentes, siendo esta una de las novedades más importantes:

  • Gestión de Riesgos: conformado por las políticas y procedimientos de identificación, evaluación, mitigación y monitoreo de riesgos, a los que se encuentra expuesta la propia Entidad, conforme su propia autoevaluación y las disposiciones de la UIF.
  • Gestión de Cumplimiento: incluye las políticas y procedimientos adoptados por las Entidades en el marco de los establecido por la Ley, la UIF y demás disposiciones sobre la materia.

En realidad, se trata de un solo marco, la gestión del riesgo, no es sino un capítulo del componente de cumplimiento. No obstante, y más allá de estas apreciaciones, en el proyecto aparece como novedad, el componente “Gestión de Riesgos”, el cual tanto por las Recomendaciones GAFI, como por las propias Resoluciones de la UIF, ya era un formato obligatorio, aunque no estuviese definido y especificado con la profundidad que se presenta en el proyecto bajo análisis. Se destaca que también ya es exigido por los supervisores como el BCRA, la SSN y la CNV, a la hora de supervisar en esta materia. Este componente, ahora explícitamente establecido, deviene en la necesidad de medir el grado de exposición al riesgo al que se halla sujeta la entidad, para consecuentemente monitorear y mitigar los mismos.

La herramienta de medición es la Matriz de Riesgos, la cual constituye el sustento fundamental para el diseño de un marco de prevención y detección adecuado. Asimismo, establece las bases para el correcto diseño del resto de las herramientas, tales como alertas y perfiles y la debida diligencia. Esto implica que éstas últimas, serán distintas conforme su grado de exposición. También son factores determinantes, el real conocimiento del Cliente, la calidad de los datos almacenados, la tecnología y los sistemas aplicativos.

También cabe destacar importancia que tiene para el proceso autoevaluación exigido, la consideración del Riesgo País [2]. Conocer por ejemplo las zonas calientes, los productos más riesgosos y las actividades que los delincuentes eligen a la hora de lavar fondos en la región, permite ajustar la Matriz de Riesgos de cada entidad. La calificación del Riesgo país, es una obligación de la UIF, que se halla pendiente a la fecha.

La Gestión del Riesgo: Autoevaluación.

El proyecto establece que los Sujetos Obligados “deberán desarrollar una metodología de identificación y valuación de riesgos acorde con la naturaleza y dimensión de su actividad comercial, que tome en cuenta los distintos factores de riesgos en cada una de sus líneas de negocio”.

Los resultados de la metodología deben constar en un informe elaborado por el Oficial de Cumplimiento, el cual debe cumplir con las siguientes características:

  • actualizado en forma anual;
  • contar con la aprobación del órgano de administración o máxima autoridad de la Entidad;
  • conservarse, conjuntamente con la metodología y la documentación e información que lo sustente,
  • ser enviado, una vez aprobado, a la UIF antes del 30 de abril de cada año calendario.

Este informe de Autoevaluación, puede tener por lo menos dos implicancias no menores. La primera de ellas es que seguramente, será uno de varios componentes utilizados por el Supervisor, para determinar el riesgo de cada Sujeto Obligado. Esta calificación contribuirá a definir la modalidad de inspección a implementar por parte de la CNV, es decir, el alcance, la periodicidad, el formato extra situ o in situ, etc.  Por supuesto esa información será complementada con otras, tales como la dimensión económica, sus productos y servicios, la zona geográfica donde opera y su gobierno corporativo.

La segunda de las implicancias, es que la calidad de este informe revela al Supervisor, el compromiso de la Dirección y la gestión misma del Oficial de Cumplimiento, valores claves en estos enfoques.

Sin duda, la importancia de este informe y la calidad de su elaboración, no deben ser soslayados, ya que además de las implicancias mencionadas, también será determinante a la hora de establecer los distintos niveles de debida diligencia, con el consecuente impacto en los procesos internos de la entidad y en la eficiencia de los marcos de protección y detección.

Factores de Riesgo

El proyecto adopta como factores de riesgo los cuatro tradicionales, a saber:

  • Clientes: considerando su “comportamiento, antecedentes y actividades, al inicio y durante toda la relación comercial”. También propone incluir otros atributos tales como “la residencia, la nacionalidad, el nivel de renta o patrimonio y la actividad que realiza, el carácter de persona humana o jurídica, el carácter público o privado, la condición de PEP, entre otros.
    • Una vez más se pone de manifiesto la importancia de contar con información impositiva, para medir los riesgos y entender la licitud de origen de los fondos. Sin embargo, la UIF mediante la Resolución 141, eliminó la posibilidad de requerir las DDJJ de impuestos de sus clientes, complementariamente con la Resolución General 3952 de la AFIP, que establece la prohibición de requerir las DDJJ en defensa del secreto fiscal.
    • Pero recientemente el BCRA, mediante la Comunicación B 11587, estableció que para las Entidades Financieras, no resulta indispensable considerar el aspecto tributario de los clientes, ni requerir la presentación de declaraciones juradas impositivas, para cumplir con la debida diligencia, determinar un nivel de riesgo o confeccionar su perfil transaccional.
    • Sin embargo, concluye la norma, de acuerdo con la consulta efectuada a la AFIP, los clientes podrán efectuar la presentación en forma voluntaria declaraciones juradas de impuestos nacionales, en tanto manifiesten expresamente que su entrega es efectuada por propia voluntad, ajena a todo requerimiento de la entidad interviniente, y se adopten todos los recaudos necesarios a los fines de evitar la eventual difusión de la información que, aun aportada voluntariamente por su titular, no pierde su carácter de confidencial.
    • Para clientes de alto riesgo deberá evaluarse la conveniencia de contar con esta información.
  • Productos y/o servicios
    • Refiere a todos los productos y servicios aún en etapa de desarrollo. También deberán evaluarse los riesgos de nuevas tecnologías aplicadas a productos.
  • Canales de distribución
  • Zona geográfica
    • El proyecto establece que se deben considerar las zonas geográficas en las que se ofrecen “productos y/o servicios, tanto a nivel local como internacional, tomando en cuenta sus índices de criminalidad, características económico-financieras y socio-demográficas y las disposiciones que autoridades competentes y el GAFI emitan con respecto a dichas jurisdicciones”. Se reitera entonces la necesidad de contar con un Informe de Riesgo País, cuya elaboración compete a la propia UIF.

Los grados de la Debida Diligencia

El proyecto establece que la Entidad deberá adoptar medidas intensificadas o específicas o simplificadas, dependiendo del nivel de riesgo detectado.

Esto requiere mantener relaciones con el Cliente, identificando en forma fehaciente su identidad, su actividad y origen de los fondos, utilizando además y de corresponder, esquemas de controles cruzados que permitan validar la información. Es decir que se vincula estrechamente con la Política de Conozca a su Cliente.

Las medidas ya sean controles o mitigantes, deben asegurar que el nivel de riesgo se mantenga dentro de los niveles y características aprobadas por el órgano de administración o máxima autoridad de la Entidad.

Políticas de Riesgo

Las Entidades deberán contar con:

  • Una declaración de tolerancia al riesgo de LA/FT, aprobada por el órgano de administración o la máxima autoridad de la Entidad y debe reflejar el nivel de riesgo aceptado en relación a Clientes, productos y/ o servicios, canales de distribución y zonas geográficas, exponiendo las razones tenidas en cuenta para tal aceptación, así como las acciones mitigantes para un adecuado monitoreo de los mismos”.
  • Políticas para la aceptación de Clientes que presenten un alto Riesgo de LA/FT. Deben preverse condiciones generales y particulares de aceptación, niveles de aprobación y detalle de tipos de clientes con los que no se operará y las razones.

Algunas consideraciones:

El documento de Basilea denominado “Principios de gobierno corporativo para bancos”, define el apetito de riesgos como el “nivel agregado y tipos de riesgo que un banco está dispuesto a asumir, previamente decidido y dentro de su capacidad de riesgo, a fin de lograr sus objetivos estratégicos y plan de negocio”.

Una adecuada declaración de tolerancia o apetito de riesgo, exige una correcta medición del grado de exposición y un adecuado criterio de fijación, ya que errores en esos márgenes condicionan negativamente el negocio si son demasiado exigentes o pueden convertir a la entidad, en permeable al delito, cuando los límites son muy laxos.

Lo mismo ocurre con las políticas de aceptación. Ninguna de las posturas extremas, se encuentran enmarcadas en el espíritu de la ley y la regulación vigente, ni la gestión laxa, donde no existen límites a la vinculación de clientes, ni el de Risking, que implica no aceptar clientes producto de la actividad que desarrolla, a pesar de que misma pueda ser lícita y legal. Debemos recordar que la regulación vigente exige una adecuada diligencia. En este marco, una adecuada política de aceptación para clientes de alto riesgo exige una efectiva valoración y un sustento robusto, a fin de evitar que la política de no operar con determinados clientes, pueda derivar en reclamos sustentados en la discriminación.

Monitoreo de riesgos.

Siguiendo lógica de la gestión de riesgos, el proyecto exige un efectivo proceso de monitoreo. A tal fin la entidad deberá aplicar políticas de segmentación de Clientes en base a su riesgo.  Para esto se deberá contar con un sistema de calificación (modelo de scoring o modelo de rating, con factores cualitativos y/ o cuantitativos) de Riesgos de LA/FT. Esta misma lógica también sustenta los grados de aplicación de Debida Diligencia.

A estos efectos es menester contar con adecuada información del Cliente y herramientas tecnológicas acordes. Sin embargo, los requerimientos de las áreas de prevención no suelen contar con prioridad en los planes de las áreas de sistemas. Sin duda toda esta nueva normativa exigirá esfuerzos en este sentido.

 

[1] Ver: http://www.decisiola.com/category/lavado-de-dinero/

 

[2] Ver: http://www.decisiola.com/wp-content/uploads/2017/04/EBR-Peru.pdf