Volver

¿Qué se debe considerar para establecer procesos de KYC robustos en el sector financiero?

Las instituciones financieras deben ayudar a combatir el lavado de activos y la financiación del terrorismo (LA/FT) mediante el cumplimiento de las normativas que los rigen localmente. Por esta razón, para el sector financiero es fundamental tener un conocimiento profundo de sus clientes para mitigar los riesgos potenciales que estos presentan [FINT2019]. Los procesos KYC (-Know your Costumer-) permiten a las empresas conocer a sus clientes, establecer los niveles de riesgo que estos representan para generar la confianza requerida para brindarle acceso a diversos productos y servicios.  En este articulo analizamos la importancia de los procesos KYC en el sector financiero, así como los componentes fundamentales para una estimación robusta del riesgo.

Las sanciones impuestas por la laxitud en la lucha contra la delincuencia financiera han llegado a miles de millones de dólares.  Según datos de Boston Consulting Group, los bancos a nivel mundial han pagado multas de 321 mil millones de dólares desde 2008 (42 mil millones solo en 2016) por una gran cantidad de falencias en sus procesos que han permitido el lavado de dinero, la manipulación del mercado y el financiamiento del terrorismo [FINCH2017]. Esto sin duda es un indicativo que los niveles de seguridad al interior de las instituciones financieras no están evolucionando a la misma velocidad que los métodos usados por los criminales.

Sistemas de conocimiento de clientes poco robustos sumados a métodos de suplantación, robo, falsificación de identidades/documentos y lavado de activos cada vez más sofisticados, ponen en jaque a las instituciones financieras. Es sin duda imperativo que se migren a sistemas KYC que estén en la capacidad de estimar de una mejor manera los riesgos que representa un cliente, de manera escalable, automática (en su mayoría), y de actualización continua.  En los siguientes párrafos, ofrecemos un panorama de las limitaciones de los procesos KYC existentes y la visión de lo que constituye una arquitectura robusta de KYC.

Limitantes de los procesos KYC actuales

Aún cuando parece que la digitalización ha permeado todas las actividades del ser humano, existen aún procesos KYC en instituciones financieras que tienen un gran componente manual realizado por personal calificado. Los procesos KYC cuando son realizados de forma no automática por agentes humanos suelen ser dispendiosos e incrementan los costos operativos de las organizaciones. En los crecientes escenarios transaccionales en línea donde el número de solicitudes de verificación aumenta considerablemente, un equipo humano puede verse fácilmente desbordado, lo que se traduce en experiencias de usuario pobres, tiempos de respuesta inaceptables y aumento en las posibilidades de fraude, robo de identidad, y lavado de activos.

Sumado a lo anterior, durante los procesos de KYC en instituciones financieras la evaluación de los factores de riesgo que presenta un cliente se basa en un conjunto limitado de información, la cual es capturada en el momento de onboarding: ocupación del cliente, salario, activos, pasivos, declaración de origen de los bienes y los productos bancarios utilizados. En muchos casos esta información no puede ser validada por completo, o simplemente se omiten procesos de validación de identidad y veracidad de documentos. Aún bajo la suposición de que la información suministrada es verídica, este precario conjunto de información genera un alto número de falsos positivos (i.e. clientes no riesgosos identificados como riesgosos) en los modelos de riesgo [MIKKELSEN2019], y como consecuencia, se deben revisar innecesariamente un gran número de casos por los grupos de investigación expertos de las instituciones. Lo anterior se traduce en mayores costos, incomoda a clientes de bajo riesgo debido al escrutinio adicional y reduce significativamente la efectividad de los esfuerzos contra el lavado de dinero [MIKKELSEN2019]. Para procesos KYC y modelos de riesgos robustos es necesario incorporar otras fuentes de información que sean “confiables e independientes” [SPIJKERS2020]. Ejemplos de fuentes particularmente importantes para prevenir LA/FT en Colombia son la Specially Designated Nationals and Blocked Persons List (lista Clinton), Lista consolidada del Consejo de Seguridad de la Naciones Unidas, Lista FBI, antecedentes Policía, así como los antecedentes disciplinarios, penales, contractuales, y fiscales expedidos por la Procuraduría y/o Contraloría.

Un problema que va de la mano con el uso limitado de fuentes de información es la no actualización del análisis de riesgo de un cliente a lo largo de su relación con las instituciones financieras. El análisis de riesgo se realiza generalmente una única vez en el momento de iniciar su relacionamiento con los productos/servicios ofertados por el banco. Por supuesto, actualizar los scores de riesgo requiere mantener actualizada la información de los clientes y sumar información adicional como los movimientos transaccionales asociados a sus productos/servicios (información que en este punto de relacionamiento con el cliente está disponible). Es indispensable conectar los modelos de riesgo con modelos transaccionales que permitan identificar movimientos de dinero sospechosos. Por ejemplo, se ha identificado como un indicativo de lavado de dinero el cambio de lugar de residencia de un cliente sumado a transacciones repentinas de altos montos de dinero. El monitoreo de estas variables se debe realizar de forma permanente para mantener actualizados los modelos de riesgo (se usa comúnmente el término “dinámico” para referirse a modelos que están en permanente actualización).

Una última limitante es el acceso y calidad de los datos.  Sin duda se requiere un conocimiento profundo del cliente para la construcción de modelos robustos de riesgo. El acceso a dicha información está limitado por las reglamentaciones de privacidad locales existentes. Es necesario en la mayoría de los casos la autorización expresa y permanente de los clientes para hacer uso de esta información. Cumplir con la jurisprudencia y respetar la privacidad de los clientes no es un tema menor y requiere del apoyo de las entidades reguladoras (en Colombia por ejemplo la Superintendencia Bancaria).  Superado el tema de la privacidad se debe garantizar un nivel de calidad y completitud mínimo de los datos para evaluar correctamente el riesgo.  Los modelos de riesgo asociados a los procesos de KYC, son en esencia modelos estadísticos y de machine learning. Este tipo de modelos son “data-driven” y se ven fuertemente afectados por su calidad (recomendamos leer los whitepapers ¿Qué es el aprendizaje de máquina y en qué casos debería usarlo en su negocio?, Inteligencia artificial y su impacto en la verificación de identidad para profundizar en estos temas). Procesar, y etiquetar la data de tal forma que sea consumible por los modelos estadísticos requiere de un gran esfuerzo por parte de las instituciones.

Arquitectura para procesos de KYC robustos en Colombia

En la Figura 1 presentamos una arquitectura de alto nivel para procesos KYC. Esta arquitectura si bien contiene elementos genéricos que pueden ser aplicados a cualquier tipo de negocio, está orientada a instituciones financieras y aquellas relacionadas al ecosistema Fintech. Los ejemplos de fuentes de información, además, son para el caso Colombiano y para el cumplimiento de la normativa local en relación a la prevención del LA/FT.



Fig 1. Una arquitectura de alto nivel para procesos KYC en instituciones financieras.

En primer lugar, se tienen las variables de riesgo a contemplar en un proceso de KYC. La definición de dichas variables se debe realizar en función de las fuentes de información disponibles en los procesos de onboarding y la que es capturada a lo largo de su relación con el cliente (denominada data operacional o transaccional). En el caso Colombiano, verificar la validez y autenticidad del documento de identificación (cedula, cedula de extranjería, pasaporte) es de vital importancia dado que es el primer requerimiento para acceder a la mayoría servicios de la banca.  La consulta en bases de datos de antecedentes (judiciales, sanciones, e inhabilidades) e historial crediticio permite validar un relacionamiento previo positivo con la banca y además que no está o ha estado relacionado con actividades LA/FT. Esta consulta de historial crediticio y antecedentes debe realizarse por supuesto previa autorización del cliente.

En los procesos de vinculación de cliente no se suele tener acceso a data transaccional por lo que no es relevante en una primera estimación del riesgo. Sin embargo, cobra mucha importancia como variable de monitoreo continuo en conjunto con la ubicación geográfica. Como se mencionó anteriormente, se han establecidos relaciones positivas entre actividades ilícitas y cambios bruscos en el comportamiento transaccional y/o ubicación geográfica (i.e. cambio de domicilio, cambios en la ubicación de IPs de los dispositivos que usa, etc).  

A un nivel técnico, el proceso de KYC propuesto trae un conjunto de desafíos. El primero es como integrar las diversas fuentes de información en una variable unificada, en particular cuando las fuentes no tienen respuestas estandarizadas y son por lo general poco estructuradas. Cada variable requerirá un procesamiento especifico previamente a su ingreso al modelo de riesgo. Los modelos deben ser robustos a variables faltantes, ya que en muchos casos las fuentes de información dependen de terceros, o simplemente no existen en algún punto del proceso de relacionamiento con el cliente. En segundo lugar, si se quiere la escalabilidad que permita operar en ambientes digitales de alta transaccionalidad es necesario que los procesos de captura, y procesamiento sean automáticos.

La construcción de modelos estadísticos de riesgo requiere datos etiquetados en función de cada uno de los objetivos de análisis. Si el objetivo de análisis principal es la prevención de LA/FT se requerirán ejemplos de clientes que cometieron este tipo de delitos en términos de las variables anteriormente descritas. Esto sin duda constituye un desafío debido a que son casos atípicos dentro del conjunto total de clientes que puede tener una institución financiera. Su correcta identificación demanda que las instituciones financieras tengan políticas de gestión de datos rigurosas en conjunto con estrategias que garanticen la calidad de datos.

Finalmente, todo modelo de riesgo debe ser validado en la práctica para evitar la existencia de sesgos que segmenten o penalicen negativamente clientes con características particulares.  Siempre se requerirá la validación mediante expertos de la correcta asignación de score de riesgos tal como se muestra en la Figura 1.

Conclusión

Los procesos de KYC deben ser actualizados y robustecidos para hacer frente a las cada vez más demandantes regulaciones en torno a LA/FT y a entornos de operación altamente digitales.  Los procesos KYC deben contemplar modelos de riesgo más precisos que permitan una mejor caracterización del cliente. Lo anterior requiere a su vez de la articulación de un conjunto de variables y fuentes de información más amplias y diversas.  El uso de tecnologías “data-driven” permite automatizar estos procesos y la construcción de modelos de riesgo fiables, pero a su vez trae consigo retos tecnológicos que deben enfrentarse. Reconoser ID apoya las diferentes instituciones financieras brindando diferentes soluciones de fácil integración para procesos KYC robustos, evitando el costo de desarrollos y procesos dispendiosos de adopción tecnológica.

Rubén Manrique

Bibliografía

[FINT2019] Fintech Iberoamérica (2019). Libro Blanco Iberoamericano de la Identidad Digital.

[FINCH2017] Gavin Finch (2017), “World’s biggest banks fined $321 billion since financial crisis,” Bloomberg, March 2, 2017, bloomberg.com

[MIKKELSEN2019] Daniel Mikkelsen, Azra Pravdic, and Bryan Richardson (2019). Flushing out the money launderers with better customer risk-rating models

[GADE2019] Mette Gade, Daniel Mikkelsen, and Dan Williams (2019). Making your KYC remediation efforts risk and value-based.

[SPIJKERS2020] Nicolás Spijkers, Diego Pacheco-Páramo El conocimiento de cliente (KYC) y su implementación (2020).