El conocimiento de cliente (KYC) y su implementación 

En este documento se discute la importancia de los procesos de conocimiento de cliente, su relación con regulaciones internacionales y la manera en que diferentes entidades nacionales lo abordan. Así mismo, se presentan diferentes fuentes de datos que se deben tener en cuenta antes de establecer una relación comercial con un cliente. Finalmente se presenta la solución Identificacion aaS de reconoSER ID, que automatiza de manera rigurosa este proceso. 

Dentro de los sistemas de mitigación de riesgo, un elemento que cobra cada vez mas importancia en diferentes sectores además del financiero es el conocimiento de cliente. Debido a la naturaleza de los riesgos que busca mitigar, a la hora de implementar un programa de conocimiento de cliente es necesario tener en cuenta las nociones internacionales al respecto, y como estas han impactado en las regulaciones locales. En Colombia, tanto la Superintendencia Financiera, como la Superintendencia de Sociedades dan lineamientos respecto al proceso de conocimiento de cliente. Adicionalmente, gracias a las tecnologías de la información, estos procesos pueden ser automatizados, brindando mayor seguridad a las empresas a la hora de mitigar los riesgos asociados a LAFT. 

¿Qué es el conocimiento de cliente? 

El  conocimiento del cliente, o Know Your Customer (KYC), es el programa que llevan a cabo las instituciones financieras y comerciales para conocer a su cliente. Consiste en un proceso de identificación y verificación que tiene como objetivo asegurarse de que el cliente es la persona quien dice ser, en el momento de empezar una relación comercial y a lo largo de su vinculación con la entidad. En el caso del sector financiero, los bancos pueden negar el acceso a un cliente a sus servicios si este no cumple con los requisitos del conocimiento del cliente. La importancia y el principal objetivo de un KYC efectivo se basa en prevenir y detectar el lavado de activos y la financiación del terrorismo. Dado que este tipo de actividades exceden el orden nacional, los procesos de conocimiento de cliente suelen seguir parámetros definidos por órganos internacionales. A continuación, veremos como el conocimiento de cliente se aborda desde la Unión Europea, el Grupo de Acción Financiera Internacional (GAFI) [RMR2020], y también el caso colombiano.  

Principales organismos internacionales que tratan el KYC: Unión Europea y GAFI. 

En la 4ta Directiva Contra el Lavado de Activos (AMLD4) de la Unión Europea, se establecen principios para la prevención del uso del sistema financiero con el propósito de lavar dinero o financiar el terrorismo. Específicamente, en esta directiva se definen las medidas que deben ser llevadas a cabo para un conocimiento del cliente apropiado. Por ejemplo, en el artículo 13 de la AML4, se habla de la necesidad de realizar la “diligencia debida con respecto al cliente” [UE2015]. Una medida ejemplar de la diligencia debida con respecto al cliente es la siguiente: 

a) (modificado por la Directiva AML5) [UE2018] La identificación del cliente y la comprobación de su identidad sobre la base de documentos, informaciones o datos obtenidos de fuentes fiables e independientes, incluidos, cuando estén disponibles, los medios de identificación electrónica, los servicios de confianza pertinentes a tenor del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (*) o cualquier otro proceso de identificación remota o electrónica segura, que hayan regulado, reconocido, aprobado o aceptado las autoridades nacionales competentes; 

La Diligencia Debida con Respecto al cliente o Customer Due Diligence (CDD) significa que se deben tomar las medidas necesarias que permitan identificar al cliente y comprobar que es realmente quien dicen ser [AML42019], para de esta manera gestionar efectivamente los riesgos de las organizaciones que buscan protección ante crímenes financieros. Esto se lleva a cabo en dos pasos: i) comprender las actividades de los clientes y ii) evaluar el riesgo de lavado de activos. 

En el apartado a) de la Directiva AML5 mencionado más arriba, se le provee a las organizaciones europeas una mayor claridad, y por ende una mayor comodidad, frente a la aceptación y promoción de herramientas tecnológicas para la verificación de identidad, lo cual trae consigo el incremento de un mayor on-boarding de clientes de manera remota. Las organizaciones pueden empezar a contactar firmas de verificación tecnológica para integrar sus soluciones a las necesidades propias [BDO2019]. El KYC es aprobado por los legisladores cuando se trate de un proceso de identificación remota o electrónica segura, que hayan regulado, reconocido, aprobado o aceptado las autoridades nacionales competentes. 

La institución a la cual los gobiernos mundiales acuden para emitir sus leyes contra el Lavado de Activos y Financiación del Terrorismo (LAFT) es la GAFI. Este organismo multilateral en 1990 diseñó 40 recomendaciones que son los estándares internacionales – respaldados por los 39 países miembros que la integran – para la prevención y el control del LAFT. En el año 2000 se creó GAFISUD, conformado por los países de Suramérica y México, incluida Colombia, donde se adquirió el compromiso de respaldar las 40 recomendaciones. La décima recomendación es el Customer Due Diligence, en la cual se proyecta que las instituciones financieras deben establecer medidas de CDD cuando se crean relaciones de negocio. La primera medida reza: “Identificar al cliente y verificar la identidad del cliente usando documentos, datos e información por medio de fuentes confiables e independientes.”[FATF2019].  Esta recomendación, como las demás 39, aplican para el sector financiero, pero también para sociedades que desarrollan actividades no financieras. En Colombia la Superintendencia Financiera y la Superintendencia de Sociedades han adoptado estas recomendaciones y han publicado leyes al respecto que están en consonancia con los estándares internacionales diseñados por el GAFI. 

LA/FT en Colombia 

Como se mencionó en la sección anterior, en Colombia las diferentes entidades de control han adoptado las recomendaciones internacionales para la mitigación de LAFT.  A continuación se detallarán las instrucciones de la Superintendecia Financiera y la Superintendencia de Sociedades. Adicionalmente, se profundizará en el concepto de Personas Expuestas Públicamente, o PEPs.  

Superintendencia Financiera 

En el capítulo 4, del título 4, de la parte 1 de la Circular Básica Jurídica, de la Superintendencia Financiera (encargada de vigilar a los bancos e instituciones financieras en Colombia), se establecen las “Instrucciones relativas a la administración del riesgo de lavado de activos y de la financiación del terrorismo – SARLAFT”. El SARLAFT es el sistema de administración que deben cumplir las entidades vigiladas por la Superintendencia Financiera para gestionar el riesgo de LA/FT. Esta gestión se implementa a través de dos etapas. La primera está compuesta por las cuatro fases que deben cumplir las instituciones vigiladas (identificación, evaluación, control y monitoreo) y la segunda son los componentes que de forma organizada instrumentan una debida administración del riesgo de LA/FT.   

Dentro de la segunda etapa se encuentra lo que se considera un mecanismo esencial para la administración de riesgos: el conocimiento del cliente. En este contexto, el SARLAFT debe contar con procedimientos que permitan un conocimiento efectivo, eficiente y oportuno de los clientes actuales y potenciales. En términos generales, los datos indispensables para el conocimiento del cliente de manera permanente y actualizada son: 

• Identificación. Acá se exige un conocimiento del cliente por medio de un formulario (más adelante se detalla) 
• Actividad económica 

• Características, montos y procedencia de sus ingresos y egresos. 
• Respecto de clientes vigentes, las características y montos de sus transacciones y operaciones. 

Para iniciar una relación contractual o legal con el potencial cliente, las entidades vigiladas por la Superintendencia Financiera deben haber diligenciado un formulario que contenga los 25 datos que aparecen en el numeral 4.2.2.2.1.3, dentro de los cual están: el nombre, número de identificación, lugar y fecha de nacimiento, actividad económica principal, tipo de empresa, declaración de origen de los bienes, ingresos y egresos mensuales, total de activos y pasivos, entre otros. Las entidades también deben haber llevado a cabo una entrevista, adjuntado los soportes exigidos y aprobado la vinculación del cliente. 

Un punto importante del conocimiento del cliente son las tres metodologías para conocerlo: i) recaudar información que permita comparar las características de sus transacciones con la de su actividad económica, ii) el monitoreo continuo de las operaciones del cliente y iii) contar con elementos de juicio que permitan analizar las transacciones inusuales de esos clientes y determinar la existencia de operaciones sospechosas.  

Superintendencia de Sociedades  

La Superintendencia de Sociedades de Colombia o Supersociedades publicó la Circular 100-00005/2014, bajo la cual se establecen obligaciones para establecer un sistema de autocontrol y gestión de riesgo de lavado de activos y financiación del terrorismo. Se aplica a las sociedades que cumplan con los siguientes requisitos: i) Estar vigilada por la Supersociedades y ii) registrar ingresos brutos iguales o superiores a 160.000 salarios mínimos mensuales vigentes al corte de 31 de diciembre de 2013. Las sociedades vigiladas que no cumplan con el segundo requisito también pueden tomar como recomendaciones lo dispuesto en esta norma.  

Las empresas deben llevar a cabo una serie de medidas para cumplir con el principal objetivo – minimizar la posibilidad de lavado de activos y financiación del terrorismo por medio de las empresas vigiladas. Una de estas medidas es el KYC o la debida diligencia de conocimiento de cliente. Se expone a manera de ejemplo lo siguiente: conocer por cualquier medio legal el origen de los recursos, verificar la identidad del cliente, su dirección y su teléfono, y en el caso de personas jurídicas, el certificado de existencia y representación legal. Esta información debe quedar claramente documentada. Adicionalmente, la Supersociedades dirige en la circular al lector a una serie de fuentes de información que deben ser tomadas en cuenta en el conocimiento del cliente. 

PEPs 

Dentro de las dos anteriores normas se encuentran disposiciones de conocimiento de cliente para las PEPs – personas expuestas políticamente. Para estas personas se exigen procedimientos más exigentes de vinculación y monitoreo, pues por su perfil se expone a la entidad a un mayor riesgo de LA/FT. Es posible que las PEPs abusen de la confianza de las entidades y ejerzan influencia para no ser controladas, llevando por ejemplo al blanqueo de grandes sumas de dinero. Además muchas veces las PEPs, cuando son directivas públicas, corren el riesgo de ser expuestas a la corrupción, y debido que su cargo posibilita el acceso a fondos estatales, un acto de lavado de activos representaría mayores riesgos reputacionales, legales y operativos para el Estado.  

Las PEPs son las personas expuestas en el Decreto 1674 de 2016: presidente, alcaldes, gobernadores, senadores, generales del ejército, directivas de entidades públicas; PEPs también son personas con exposición pública, como empresarios, artistas, deportistas y líderes religiosos. Por último PEPs también son las directivas de organismos internacionales, como los secretarios de la ONU, OEA, OCDE, entre otros.  

Soluciones para el conocimiento de cliente 

Como se mencionó anteriormente, diferentes sectores necesitan establecer mecanismos que les permitan obtener un adecuado conocimiento de sus clientes actuales o potenciales, o de toda persona natural o jurídica con quien se quieran establecer relaciones comerciales. Este conocimiento implica la búsqueda de información por parte de fuentes “confiables e independientes”, las cuales pueden ser nacionales o internacionales. Por ejemplo, como parte de este proceso es necesario considerar la lista consolidada del Consejo de Seguridad de la Naciones Unidas, en la cual se registran individuos y entidades sometidas a medidas de esta entidad. De la misma manera, entidades extranjeras como el FBI, la DEA o la Interpol proveen listas que ayudan al proceso de conocimiento de cliente. Otra lista internacional que vale la pena resaltar es la conocida como lista Clinton o “Specially Designated Nationals And Blocked Persons List”. Por otro lado, en el contexto colombiano también es necesario acceder a diferentes fuentes de información sobre individuos. Entidades como la Policía Nacional, la Dirección de Impuestos y Aduanas Nacionales DIAN, la Registraduría Nacional del Estado Civil, la Procuraduría General de la Nación o la Contraloría General de la República, ofrecen de manera fiable e independiente información sobre las personas, convirtiéndose en fuentes necesarias para mitigar los riesgos asociados a LAFT en las empresas.  

Gracias a las tecnologías de la información y las comunicaciones, este tipo de procesos pueden ser automatizados, y realizados de manera mucho más segura. El servicio de Identification aaS de reconoSER ID, ofrece acceso a diferentes fuentes de información con el objetivo de asegurar los procesos de KYC de manera automatizada y confiable. Por ejemplo, si una entidad desea contratar a un empleado, por medio de la plataforma de reconoSER ID es posible averiguar en tiempo real si la persona cuenta con antecedentes de la Policía Nacional, si tiene procesos judiciales pendientes, sus antecedentes fiscales o disciplinarios, entre otros. La suma de estas fuentes de información nacionales, y de otras internacionales, le permite a las empresas acelerar sus procesos de KYC, y actualizarlos de manera periódica y automática. Adicionalmente, el sistema de Identification aaS permite calcular el nivel de riesgo asociado a la persona en función de diferentes modelos de riesgo adaptados al tipo de negocio y al perfil de la persona.  

(*) Relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.” 

Conclusiones 

El proceso de conocimiento de cliente ayuda a las empresas a mitigar los riesgos asociados a LAFT, ya sean legales, reputacionales, operativos o de contagio. Debido a la naturaleza internacional de los riesgos que busca mitigar, la búsqueda de información acerca del cliente debe basarse en fuentes nacionales e internacionales.  Las tecnologías de la información y las comunicaciones ayudan a automatizar estos procesos, permitiendo por ejemplo la actualización periódica, que puede ser problemática para empresas con un número alto de empleados o proveedores. 

Nicolás Spijkers y Diego Pacheco-Páramo

Bibliografía 

[UE2015]. Directiva (UE) 2015/849 de 20 de mayo de 2015. Relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) no 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión  [RMR2020] Aspectos relevantes de la guía en identidad digital de la GAFI https://reconoserid.com/stagingv3/aspectos-relevantes-de-la-guia-en-identidad-digital-de-la-gafi-2020/  [UE2018] Directiva (UE) 2018/843 de 30 de mayo de 2018. Por la que se modifica la Directiva (UE) 2015/849 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifican las Directivas 2009/138/CE y 2013/36/UE  [AML42019] 4th and 5th AML Directive. 2019. Obtenido de http://aml4.eu/knowledge/what-is-customer-due-diligence-cdd/  [BDO2019] BDO United Kingdom 2019. Article: Fifth EU Money Laundering Directive – Customer Due Diligence. Recuperado de https://www.bdo.co.uk/en-gb/insights/industries/financial-services/fifth-eu-money-laundering-directive-customer-due-diligence  [FATF2019] The FATF Recommendations. Updated June 2019.