Después de un largo periodo de espera, los sujetos obligados por la Ley 10/2010, de 28 de abril, de Prevención de Blanqueo de Capitales y de la Financiación del Terrorismo (LPBC-FT), han visto completada la regulación sobre esta materia con la aprobación el pasado 5 de mayo del Real Decreto 304/2014, por el que se aprueba el Reglamento de desarrollo de la mencionada Ley.
Para realizar esta aproximación al contenido del nuevo Reglamento, es más que recomendable tener muy presente el significado de la palabra RIESGO, que según el diccionario de la RAE es la “contingencia o proximidad de un daño.”
Bajo este punto de vista, el nuevo Reglamento establece que la implantación de las medidas de control interno que deben adoptar la inmensa mayoría de sujetos obligados, se debe fundamentar en un análisis de riesgo previo que sirva para identificar y evaluar los riesgos del sujeto obligado y en consecuencia permita determinar la probabilidad de que se materialicen dichos riesgos, la magnitud de las consecuencias por su materialización, la necesidad de implementar medidas reforzadas o simplificadas de diligencia debida, la modificación de otras medidas de control interno como por ejemplo: (i) los procedimientos internos, (ii) el manual de prevención, (iii) órganos de control interno o incluso de cambiar las obligaciones de información exigidas al sujeto obligado.
La identificación de los riesgos del sujeto obligado a través del mencionado análisis se fundamentará en la tipología de clientes, en el área geográfica de procedencia de los mismos, así como en los productos, servicios, operaciones y canales de distribución utilizados por el sujeto obligado, tomando en consideración en todo momento otras variables como el propósito de la relación de negocios, el nivel de activos del cliente, el volumen de operaciones y la regularidad o duración de la relación de negocios.
Tal y como sucede en otros muchos ámbitos, el enfoque del riesgo será, según el nuevo Reglamento, la piedra de toque que deberán utilizar las empresas para cumplir la normativa adecuadamente y tratar de salvaguardar el riesgo reputacional, legal y económico que tantos quebraderos de cabeza genera.
Una vez resaltado lo fundamental que será el análisis de riesgo para el cumplimiento de las exigencias reglamentarias por parte de los sujetos obligados, conviene hacer referencia a las medidas de diligencia debida que establece el Reglamento de acuerdo con la Ley, las cuales pueden ser normales, simplificadas o reforzadas.
En relación a las medidas normales de diligencia debida, se establece en primer lugar, la identificación formal del cliente que participa en la operación, recabando documentos fehacientes de la persona física o jurídica que realiza la operación o establece la relación de negocio. En segundo lugar, se exige la identificación del titular real que acude representado al establecimiento de una relación de negocio o a la ejecución de una determinada operación. A este respecto, el Reglamento da pistas a los sujetos obligados de cómo llevar a cabo la identificación del titular real, por ejemplo, mediante información documental o acudiendo a las denominadas fuentes fiables independientes (por ejemplo la ONU, la OCDE, Organismos Públicos, etc.)
En tercer lugar, se exige al sujeto obligado conocer el propósito o índole de la actividad profesional o empresarial del cliente con carácter previo al establecimiento de la relación de negocio y como complemento de lo anterior, se establece la obligación de realizar un seguimiento continuo de la relación de negocios con la finalidad de detectar posibles incongruencias con la información recabada con anterioridad.
Los sujetos obligados están legitimados para aplicar las medidas de diligencia debida simplificadas o reforzadas tomando en consideración el nivel de riesgo respecto de determinados clientes, operaciones, área de negocio, actividades, etc.
Por último, no podemos dejar de referenciar, que en el texto del nuevo reglamento se ha mantenido una de las cuestiones más significativas que analizamos en el anterior artículo de Universo Compliance en relación al Proyecto de Reglamento. Se trata concretamente de las excepciones a la aplicación de las medidas de control interno y otros aspectos de la normativa, a los “los sujetos obligados que, con inclusión de agentes, ocupen menos de 10 personas y cuyo volumen de negocios anual no supere los 2 millones de euros” (siempre que no formen parte de un grupo empresarial que supere dichas cifras).
En definitiva, el Reglamento de desarrollo de la LPBC-FT ya es un hecho y como es lógico, toca centrarse en analizar e interpretar en profundidad todas sus directrices y reglas y lo que es más importante, en llevar a cabo la aplicación práctica de las mismas, pero eso ya será otra bonita historia.
–
Daniel Otero Salgado, Asociado del Área GRC de ECIX