Las directrices de la Autoridad Bancaria Europea sobre políticas y procedimientos en relación con los roles y responsabilidades del Compliance Officer

LAS DIRECTRICES DE LA AUTORIDAD BANCARIA EUROPEA SOBRE POLÍTICAS Y PROCEDIMIENTOS EN RELACIÓN CON LOS ROLES Y RESPONSABILIDADES DEL COMPLIANCE OFFICER EN MATERIA DE PREVENCIÓN DEL BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO

Silvia de Andrés Pérez. Miembro de la Subcomisión de Prevención del Blanqueo de Capitales y Financiación del Terrorismo del Consejo General de la Abogacía Española. Responsable de Asesoría Corporativa en Financiera El Corte Inglés, E.F.C., S.A.

La Autoridad Bancaria Europea (ABE, o EBA por sus siglas en inglés) ha publicado recientemente sus directrices[1] en relación con el rol del responsable de cumplimiento a nivel directivo en materia de prevención del blanqueo de capitales y financiación del terrorismo (Compliance Officer de PBCFT), en desarrollo de la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, conocida comúnmente como “Cuarta Directiva”.

Dichas directrices tienen un ámbito de aplicación más amplio del que cabe deducir de su título, dado que también desarrollan las obligaciones del órgano de administración a este respecto, así como el rol y obligaciones del miembro dicho órgano que sea designado responsable de la implementación de la normativa de PBCFT al amparo de lo previsto en la Cuarta Directiva.

Serán de aplicación a instituciones financieras y de crédito desde el 1 de diciembre de 2022. Para ello, el Banco de España deberá previamente adoptarlas como propias. Dado que existen pequeñas discrepancias entre las directrices y la legislación española en la materia, deberán hacerse las modificaciones oportunas en la misma o bien establecerse excepciones a la aplicación de las directrices.

A continuación, se describen las principales novedades de las directrices, agrupadas en función de los tres roles a los que se refieren, así como las relativas a las medidas de PBCFT a nivel de grupo:

1. ÓRGANO DE ADMINISTRACIÓN[2]

El órgano de administración ha de cumplir las siguientes obligaciones principales en relación con aspectos de PBCFT, tanto en su función supervisora como en su función de gestión:

• Aprobar la estrategia general del sujeto obligado en este ámbito y monitorizar su implementación. Así, le corresponde dar seguimiento a la implementación del marco de control interno que asegure el cumplimiento de la normativa; así como supervisar que las políticas y procedimientos en esta materia sean adecuadas y efectivas, aplicando el ya habitual enfoque basado en el riesgo concreto de blanqueo de capitales y financiación del terrorismo (BCFT) al que el sujeto se encuentre expuesto, y adoptando las medidas mitigadoras adecuadas cuando proceda.
• Ser informado de los resultados de la evaluación general del riesgo de BCFT del negocio.
• Al menos con carácter anual, revisar el informe de actividad del Compliance Officer de PBCFT al que nos referiremos más adelante y, con menor periodicidad, en relación con actividades de mayor riesgo.
• Al menos con carácter anual, valorar la efectividad de la función de PBCFT, tomando en consideración los informes de auditoría interna o externa de los que se disponga, e incluyendo la valoración sobre los medios humanos y técnicos del Compliance Officer de PBCFT. La preocupación de la ABE por la dotación de medios suficientes es una constante en estas directrices, a la vista de las numerosas referencias que incluyen en este sentido.
• Por otra parte, al órgano de administración le corresponde valorar la necesidad de crear una unidad especializada en la materia para asistir al Compliance Officer de PBCFT, lo cual choca con lo previsto en el artículo 35.3 del Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, en cuya virtud los sujetos obligados cuyo volumen de negocios anual exceda de 50 millones de euros o cuyo balance general anual exceda de 43 millones de euros, contarán con una unidad técnica para el tratamiento y análisis de la información, sin que exista margen de decisión al respecto.
• Asignar a uno de sus miembros el rol de responsable de los aspectos de PBCFT y, como tal, de responsable de la implementación de la normativa y requerimientos administrativos en este campo, asegurándose que tiene los conocimientos y experiencia necesarios, un entendimiento adecuado del modelo de negocio y del sector de actividad en el que opera el sujeto obligado, así como que está informado de las decisiones que puedan afectar al riesgo de BCFT del sujeto obligado.
• Si se externaliza alguna actividad operativa de la función de PBCFT, asegurar que se cumplen las Directrices de la ABE sobre externalización y que se reciben reportes periódicamente del proveedor sobre tal actividad.

2. MIEMBRO DEL ÓRGANO DE ADMINISTRACIÓN RESPONSABLE DE PBCFT[3]

Entre sus funciones destacan las siguientes:

• Asegurarse que el órgano de administración en su conjunto es consciente del impacto del riesgo de BCFT en el perfil de riesgo general del sujeto obligado.
• Asegurarse que las políticas y procedimientos internos de PBCFT son adecuados y proporcionados teniendo en cuenta las características del sujeto obligado y su exposición al riesgo de BCFT.
• Determinar, junto con el órgano de administración, si procede nombrar un Compliance Officer de PBCFT (el régimen de exenciones a estos efectos se describe en el siguiente apartado) así como una unidad de PBCFT que asista a dicho Compliance Officer de PBCFT, teniendo en cuenta la complejidad de las operaciones de la entidad y su exposición al riesgo de BCFT(nos remitimos a lo indicado en el apartado anterior en cuanto a la contradicción de esta previsión con el artículo 35.3 del Reglamento de la Ley 10/2010).
• Asegurarse que el Compliance Officer de PBCFT reporta periódicamente al órgano de administración sobre su actividad en los términos descritos más adelante, que dispone de medios humanos y técnicos suficientes para realizar su labor, así como acceso a la información necesaria para ello.
• Informar al órgano de administración de sucesos graves o significativos en la materia, así como de posibles incumplimientos, y efectuar recomendaciones para subsanarlos.
• Ser el principal punto de contacto del Compliance Officer de PBCFT con el órgano de administración, y asegurarse que sus inquietudes sean atendidas o, al menos, tenidas en consideración por el órgano de administración. Si dicho órgano no sigue las recomendaciones del Compliance Officer de PBCFT, se deberá justificar tal decisión y dejar constancia de esta.

Para cumplir sus funciones, el Compliance Officer de PBCFT tendrá acceso a la información necesaria, con el grado suficiente de calidad y detalle para llevar a cabo sus funciones, además de dedicar el tiempo suficiente a las mismas y estar dotado de la autoridad y recursos suficientes para las mismas. Veremos cómo aplica el SEPBLAC en la práctica estos requerimientos de recursos.

3. COMPLIANCE OFFICER DE PBCFT

Definición de la figura y relación con otras funciones

Se nombrará a nivel directivo y con la autoridad suficiente para proponer las medidas necesarias o adecuadas para asegurar el cumplimiento y efectividad de los procedimientos y políticas internos de PBCFT, y tendrá acceso a toda la información que precise para el ejercicio de sus funciones, a su entera discreción.

Antes de nombrarlo, el órgano de administración evaluará su honorabilidad, experiencia, su conocimiento del riesgo de BCFT asociado al negocio del sujeto obligado, y su capacidad de dedicar el tiempo suficiente al puesto con la autoridad necesaria para ello.

Asimismo, el órgano de administración decidirá si llevará a cabo sus actividades a tiempo completo o de manera adicional a otras funciones que ya estuviera ejerciendo (en este último caso, deben evaluarse posibles conflictos de interés y asegurar que dedica tiempo suficiente a las tareas de PBCFT).

Se considera segunda línea de defensa, por lo que, por una parte, es preciso que sea independiente de las líneas de negocio y no ser subordinado de quien sea responsable de gestionar las mismas y; por otra parte, no puede combinarse la tarea con funciones de auditoría interna.

Finalmente, debe coordinarse e intercambiar información con la dirección de gestión de riesgos, así como establecer metodologías de PBCFT coherentes con la estrategia de gestión de riesgos de la entidad. La función de riesgos y, en su caso, el comité de riesgos, deben tener acceso a la información de la función de PBCFT.

Excepciones

Es obligatorio su nombramiento, salvo que el sujeto obligado sea un empresario individual, tenga un número muy limitado de empleados o pueda acogerse a alguno de los siguientes criterios, que deben ser justificados y documentados:

• Por el tipo de negocio y los riesgos asociados al mismo, teniendo en cuenta la exposición geográfica del sujeto obligado, su base de clientes, los canales de distribución que utilice y su oferta de productos y servicios.
• Por el número, tamaño y volumen de sus operaciones, número de clientes y número de empleados a tiempo completo.
• Por su forma jurídica, o por su pertenencia a un grupo.

Si, conforme a lo indicado, no se nombra un Compliance Officer de PBCFT, sus tareas recaerán en el miembro del órgano de administración responsable de PBCFT, en un tercero vía externalización, o en una combinación de ambas opciones.

Debe ser nombrado aunque haya un Compliance Officer de PBCFT a nivel de grupo, al cual hacemos referencia en el apartado 4.

Externalización de funciones operativas del Compliance Officer de PBCFT

Si se externaliza alguna actividad operativa de la función de PBCFT (las decisiones estratégicas[4] no se pueden delegar), el Compliance Officer de PBCFT cumplirá, entre otras, las siguientes obligaciones, en consonancia con las Directrices de la ABE sobre externalización:

• Monitorizar la actividad del proveedor para asegurar que la actividad externalizada permite a la entidad cumplir con sus obligaciones legales.
• Realizar un control periódico de la actividad del proveedor de acuerdo con lo establecido en el contrato. Para ello estará dotado de medios para testar y dar seguimiento al servicio. Si hay acceso a datos de clientes por parte del proveedor, la función de PBCFT y las autoridades competentes deben tener acceso a los sistemas y bases de datos del proveedor.
• Reportar al órgano de administración el estado del servicio como parte del informe de actividad descrito a continuación.

Si el sujeto obligado carece de personal, la ABE permite externalizar íntegramente la función de PBCFT, debiendo tener experiencia el Compliance Officer de PBCFT externo que se designe experiencia o conocimiento del tipo de actividad u operaciones del sujeto obligado. Resulta sorprendente lo laxas que resultan las directrices en este sentido, teniendo en cuenta que las autoridades competentes suelen ser mucho más estrictas a la hora de evaluar la externalización de actividades.

Si se delegan actividades en materia de PBCFT en alguna entidad del grupo al que pertenezca el sujeto obligado, la matriz llevará un inventario de todas las externalizaciones intragrupo que se produzcan y se asegurará que las mismas no comprometen el cumplimiento por parte de las filiales o sucursales de sus obligaciones en la materia.

Esta figura presenta similitudes con la figura del Representante ante el SEPBLAC en España (véanse los artículos 26 ter de la Ley 10/2010 y 35 del Real Decreto 304/2014 a estos efectos):

• Se prevé que sea el punto de contacto del sujeto obligado con las autoridades competentes.
• Debe estar contratado y realizar sus funciones en el país en el que esté domiciliado el sujeto obligado, salvo si los riesgos concretos o si la legislación nacional lo permite, en cuyo caso podrá trabajar desde otra jurisdicción.
• Puede delegar sus funciones en otros directivos o empleados bajo su dirección y supervisión, siendo el Compliance Officer de PBCFT responsable de su actuación.
• Como veremos más adelante, se le atribuye la responsabilidad reportar operaciones sospechosas a la Unidad de Inteligencia Financiera (UIF).

Principales funciones

• Desarrollo del marco general de gestión de riesgos de BCFT sobre el negocio en general y sobre los riesgos individuales detectados y reportar los resultados del ejercicio de evaluación de riesgos al órgano de administración a través del miembro del órgano de administración responsable de PBCFT o directamente si lo considera necesario, proponiendo medidas mitigadoras.
• Desarrollo de políticas y procedimientos de PBCFT (con un contenido muy similar al del manual de PBCFT previsto en el artículo 33 del Real Decreto 304/2014) acordes a los riesgos de la entidad, y asegurarse de que se implementan de forma efectiva, así como que se modifican o actualizan cuando sea necesario para adaptarlos a los cambios legislativos o para corregir deficiencias o debilidades.
• Como segunda línea de defensa, monitorizar si las políticas y procedimientos internos del sujeto obligado cumplen con la normativa en este ámbito y si la primera línea está aplicando los controles establecidos de forma efectiva.
• Ser consultado antes de admitir a clientes de alto riesgo o mantener relaciones de negocio con los mismos. Si la dirección no sigue su recomendación, se dejará constancia de ello y se propondrán medidas correctivas para mitigar las debilidades que hayan puesto de manifiesto el Compliance Officer de PBCFT, las autoridades competentes o los auditores internos o externos.
• Si se produce un incidente grave, debe tener acceso directo al órgano de administración para reportárselo.
• Asesorar al órgano de administración sobre medidas a aplicar para asegurar el cumplimiento de la normativa y estándares en la materia, y evaluar los posibles impactos de los cambios legales en la entidad y su marco de cumplimiento.
• Presentar al órgano de administración, al menos anualmente, un informe de actividad, que estará a disposición de las autoridades competentes, y tendrá el siguiente contenido mínimo:
  • Progresos realizados en relación con cualquier plan de subsanación que se haya establecido.
  • En relación con evaluación general de riesgos de BCFT, contendrá un resumen de los principales descubrimientos en este sentido, cambios de metodología en el análisis de riesgos, clasificación de clientes por categoría de riesgo, información estadística sobre transacciones inusuales detectadas o analizadas, transacciones sospechosas reportadas a la UIF (el SEPBLAC en el caso de España), relaciones con clientes terminadas por la entidad por asuntos relativos a PBCFT y requerimientos de información recibidos de la UIF, los jueces y agencias gubernamentales.
  • Recursos y estructura de la función, con los cambios significativos habidos desde el año anterior, así como funciones externalizadas y supervisión de estas.
  • Políticas y procedimientos: principales medidas adoptadas y problemas e irregularidades identificadas, acciones de monitorización ejecutadas sobre el cumplimiento de las políticas de PBCFT por empleados, agentes, distribuidores y proveedores, actividades formativas, plan de actividades para el siguiente año, resultado de los informes de auditoría internos y externos, comunicaciones recibidas de las autoridades competentes, incumplimientos detectados y sanciones impuestas, así como estado del plan de remediación que, en su caso, se haya establecido.
• Reportar las operaciones sospechosas a la UIF, para lo cual recabará los informes internos o externos que procedan con prontitud, dejará constancia de todas las gestiones realizadas y de cualquier respuesta obtenida de la UIF, entre otras cautelas.
• Formación:
  • Informar al personal de los riesgos de PBCFT de la entidad, metodologías, tendencias y tipologías de riesgo, así como el enfoque basado en riesgo adoptado por la entidad para mitigar los riesgos, todo ello mediante diversos medios, como newsletters, la intranet de la entidad o reuniones específicas.
  • Supervisar la implementación del programa de formación y preparar un plan anual de formación en cooperación con el departamento de Recursos Humanos.
  • Asegurarse que los procedimientos internos de reporte son conocidos por el personal.
  • Asegurarse que la formación se adecúa desde el punto de vista teórico y práctico a los colectivos a los que se dirija y a los distintos niveles de riesgo a los que se expongan (como, por ejemplo, los integrantes de la función de compliance bajo la supervisión del Compliance Officer de PBCFT, las personas en contacto con los clientes o los responsables de desarrollar procedimientos o herramientas internas sensibles al riesgo de BCFT).
  • Si la entidad adopta el programa de formación del grupo, el Compliance Officer de PBCFT se asegurará que se adapta a la normativa nacional y al riesgo específico de BCFT de la entidad en función de su actividad.

4. FUNCIÓN DE PBCFT A NIVEL DE GRUPO

Si el sujeto obligado pertenece a un grupo de sociedades, adaptará sus procedimientos y políticas internas de PBCFT teniendo en cuenta su negocio y riesgos asociados en el contexto de dicho grupo.

En caso de que la matriz sea también un sujeto obligado:

• Debe disponer de la información suficiente para evaluar el perfil de riesgo del grupo en línea con las directrices de la ABE en la materia, y también asegurarse que los órganos de administración, líneas de negocio y unidades internas (incluyendo las funciones de control interno) de las sociedades del grupo también la tengan, y exista un intercambio de información entre todos ellos.
• Asegurarse que las sociedades del grupo lleven a cabo una evaluación individual del riesgo de BCFT de forma coordinada y con una metodología común que les permita tener en cuenta sus particularidades propias.
• Asegurarse de que las medidas de remediación que, en su caso, se hayan establecido para una determinada filial o sucursal se implementen en tiempo y forma.

Por otra parte, la matriz debe:

• Designar un miembro de su órgano de administración o alto directivo responsable de PBCFT y un Compliance Officer de PBCFT a nivel de grupo.
• Establecer una estructura organizativa y operativa coordinada a nivel de grupo con capacidad de decisión suficiente para gestionar y prevenir los riesgos de BCFT.
• Aprobar las políticas del grupo sobre PBCFT y evaluar su efectividad.

Principales funciones del Compliance Officer de PBCFT a nivel de grupo:

• Asegurarse que las sociedades del grupo que sean sujetos obligados implementan las políticas de PBCFT del grupo y disponen de sistemas adecuados para la prevención efectiva del BCFT.
• Coordinar la evaluación del riesgo de BCFT a nivel local y agregar los resultados para tener un buen entendimiento de los riesgos del grupo en su conjunto.
• Llevar a cabo la evaluación global del riesgo de BCFT teniendo en cuenta los riesgos individuales a nivel local y sus posibles interrelaciones con impacto significativo a nivel de grupo, sobre todo si hay sociedades del grupo en terceros países (máxime si son jurisdicciones de riesgo).
• Coordinar las actividades de los Compliance Officers de PBCFT locales, que deben tener línea directa de reporte con el Compliance Officers de PBCFT del grupo.
• Asegurarse que las entidades del grupo en países no miembros de la Unión Europea cumplen al menos con los requerimientos comunitarios en la materia, así como que disponen de procedimientos adecuados para reportar operaciones sospechosas.
• Presentar un informe de actividad anual al órgano de administración del grupo, con el contenido antes indicado y contenido adicional a nivel consolidado sobre exposición a riesgo, actividades sospechosas, inspecciones, auditorías internas y externas, entre otros aspectos.

5. CONCLUSIONES

Sin perjuicio de estar a los cambios normativos que pudieran producirse o a las adaptaciones de las directrices de la ABE al ordenamiento jurídico español actual, a la luz de dichas directrices cabe realizar las siguientes consideraciones:

• Será preciso que los sujetos obligados nombren un miembro de su órgano de administración como miembro responsable de los aspectos de PBCFT, con las funciones antes señaladas.
• Asimismo, salvo que puedan acogerse a las exenciones descritas anteriormente, deberán designar un Compliance Officer de PBCFT, aunque pertenezcan a un grupo de sociedades, teniendo sentido que recaiga el nombramiento en el Representante ante el SEPBLAC, por las similitudes que presentan ambas figuras.
• Las matrices de los grupos de sociedades en los que haya varios sujetos obligados deberán nombrar un miembro de su órgano de administración responsable de PBCFT y un Compliance Officer de PBCFT a nivel de grupo.
• Deberá recabarse el informe de actividad del Compliance Officer de PBCFT y del Compliance Officer de PBCFT a nivel de grupo, e incluir en el calendario anual de reuniones de los órganos de administración la revisión de dicho informe.
• El órgano de control interno previsto por la normativa de PBCFT española convivirá con los nuevos roles:

********

[1] Directrices EBA/GL/2022/05.

[2] La ABE hace extensibles las directrices a cualquier tipo de órgano de administración válido de acuerdo con la legislación de los estados miembros de la Unión Europea, sin abogar por ninguna estructura en concreto.

[3] Si no existe un órgano de administración, el sujeto obligado debe nombrar a un alto directivo que ejerza las funciones de esta figura con la misma amplitud.

[4] Tales como la aprobación de la evaluación general de riesgos de BCFT, decisiones sobre la organización interna del marco de PBCFT, la adopción de políticas y procedimientos internos de PBCFT, la aprobación de la metodología de riesgos y el establecimiento del perfil de riesgos del sujeto obligado y la aprobación de los criterios de detección de operaciones sospechosas.