En una carta reciente de la FCA, enviada el1 de agosto de 2024, se recordó a algunas empresas de pagos y dinero electrónico sus responsabilidades en relación con la notificación de actividades sospechosas (SAR). A medida que la delincuencia financiera sigue evolucionando, los reguladores han hecho hincapié en que las empresas de los sectores de pagos y dinero electrónico deben dar prioridad a su marco SAR.
Este artículo describe las principales áreas de interés, incluidos los sistemas de detección, la gestión de alertas, los requisitos de información y la formación del personal, para garantizar el cumplimiento y mantener la integridad de los sistemas financieros.
Sistemas y procedimientos de detección de actividades sospechosas
Por qué es importante la detección
La detección de actividades sospechosas es la piedra angular de la defensa de una empresa contra el blanqueo de capitales y la financiación del terrorismo, ya que la no detección de tales actividades puede exponer a las empresas a importantes riesgos jurídicos, de reputación y operativos.
La FCA no ha dejado de insistir en la necesidad de contar con sistemas de detección sólidos, especialmente en los sectores de pagos y dinero electrónico, en los que el riesgo de delincuencia financiera es elevado.
Además, el interés de la FCA por la prevención de la delincuencia financiera se ve reforzado por el papel fundamental que desempeñan los ROS a la hora de ayudar a las fuerzas del orden a identificar actividades delictivas en una fase temprana.
Elementos clave de los sistemas de detección
Los sistemas de detección eficaces se basan en una combinación de herramientas automatizadas, análisis de datos y revisiones manuales.
Los sistemas automatizados proporcionan alertas en tiempo real, mientras que el análisis de datos ayuda a identificar patrones indicativos de comportamientos sospechosos.
Las revisiones manuales, especialmente en el caso de clientes o transacciones de alto riesgo, añaden una capa de supervisión personalizada que las herramientas automatizadas pueden pasar por alto.
Deficiencias comunes en los procedimientos de detección
En nuestro contacto con las empresas, hemos observado que los negocios de pagos y dinero electrónico a menudo se enfrentan a sistemas de detección anticuados o ineficaces. Entre los principales puntos débiles se incluyen:
- - Tecnología obsoleta: Los sistemas heredados a menudo carecen de la agilidad necesaria para procesar conjuntos de datos modernos y complejos, lo que provoca lagunas en la detección.
- - Falta de integración: En algunas empresas, los sistemas de detección funcionan en silos, con una comunicación inadecuada entre departamentos, lo que puede hacer que se pasen por alto las señales de alarma.
- - Supervisión insuficiente del alto riesgo: Muchas empresas no realizan un seguimiento adecuado de los clientes y las operaciones de alto riesgo, ya sea por falta de recursos o por evaluaciones de riesgo mal diseñadas.
En una carta dirigida a los directores generales, enviada el 5 de marzo de 2024, la FCA subrayó la importancia de alinear las capacidades de detección con el crecimiento y la complejidad de una empresa, para evitar situaciones en las que el marco de la delincuencia financiera vaya a la zaga del desarrollo del negocio.
Subsanar las deficiencias sistémicas
Para hacer frente a estos retos, las empresas de pagos y Emoney necesitan:
- - Actualizar periódicamente los sistemas de detección y asegurarse de que se ajustan al entorno de riesgo específico de la empresa.
- - Promover la comunicación interdepartamental y el intercambio de datos para crear un marco de detección más cohesionado.
- - Dar prioridad al seguimiento de los clientes de alto riesgo integrando modelos de evaluación de riesgos más sofisticados y proporcionando actualizaciones periódicas para reflejar los cambios en los perfiles de los clientes.
Las empresas deben revisar y reforzar continuamente sus sistemas de detección para adelantarse a los riesgos de la delincuencia financiera, asegurándose de que pueden identificar, controlar y notificar eficazmente las actividades sospechosas.
Supervisión de la gestión de alertas de actividades sospechosas
Gestión eficaz de las alertas
La gestión de alertas es crucial para detectar actividades sospechosas y garantizar que las empresas respondan con prontitud a posibles delitos financieros. Las empresas deben adoptar un enfoque sistemático para gestionar las alertas, asegurándose de que todas las actividades sospechosas se escalan, revisan y resuelven de manera eficiente.
Aunque los sistemas automatizados son útiles, es necesaria la supervisión humana para verificar la validez de las alertas marcadas. Una gestión adecuada también debe incluir la derivación oportuna de los casos a los equipos de cumplimiento, con justificaciones claras del cierre de las alertas para garantizar que no se pasa por alto ninguna actividad potencialmente sospechosa.
Garantizar la rendición de cuentas
La rendición de cuentas es un elemento clave de los marcos SAR, y la alta dirección debe asumir un papel activo en la supervisión de los sistemas de gestión de alertas.
La FCA insiste en que la alta dirección, incluido el Responsable de Información sobre Blanqueo de Capitales (MLRO) o el Responsable Designado, debe participar en el proceso, desde la revisión de las alertas hasta la toma de decisiones críticas sobre la presentación de ROS. Garantizar la responsabilidad implica:
- - Seguimiento de las alertas: Las empresas deben mantener sistemas de seguimiento sólidos para supervisar las alertas pendientes, realizar análisis de antigüedad y garantizar resoluciones oportunas.
- - Procedimientos claros de escalado: Las alertas deben escalarse en función de su riesgo o complejidad, implicando a los equipos de cumplimiento y a la alta dirección en los casos de alto riesgo.
- - Mantener registros de auditoría: La documentación adecuada es crucial para demostrar los procesos de toma de decisiones en relación con el cierre de alertas y la elaboración de informes.
- - Mantenimiento de un registro de ROS: Las empresas deben tener un registro detallado de todos los ROS internos y externos.
- - Información de gestión: Las estadísticas sobre ROS deben incluirse en los informes periódicos de IG dirigidos a la alta dirección.
Control de calidad y mejora continua
Las medidas de control de calidad son esenciales para garantizar el funcionamiento eficaz de los sistemas de gestión de alertas.
Las auditorías periódicas, las pruebas basadas en escenarios y los mecanismos de retroalimentación continua pueden ayudar a identificar los puntos débiles de los sistemas de gestión de alertas, como los umbrales de riesgo desajustados o la excesiva dependencia de los sistemas automatizados. Las empresas también deben revisar periódicamente los umbrales de alerta en función de la evolución de los perfiles de riesgo y velar por que sus marcos sigan estando en consonancia con las expectativas de la normativa.
Al mantener una fuerte supervisión de la gestión de alertas, las empresas no sólo garantizan el cumplimiento de la normativa de la FCA, sino que también minimizan el riesgo de actividades sospechosas no detectadas, que podrían exponerlas a delitos financieros.
Volúmenes SAR e informes
Requisitos de información interna y externa
La notificación eficaz de ROS requiere tanto la notificación interna al MLRO o al funcionario designado como la presentación externa a la Agencia Nacional contra la Delincuencia (NCA).
Internamente, las empresas deben asegurarse de que los empleados sepan cómo escalar las actividades sospechosas al MLRO o al Nominated Officer, mientras que, externamente, los SAR deben ser claros y completos, y contener todos los detalles pertinentes, como fechas, importes y motivos de la sospecha.
Las empresas deben alinear sus informes con las expectativas de la FCA, racionalizando los procedimientos internos para garantizar que todas las actividades sospechosas señaladas internamente se remitan al MLRO o al Nominated Officer.
El MLRO o funcionario designado es entonces responsable de determinar si las alertas cumplen el umbral para un SAR, que debe presentarse a la NCA siguiendo sus directrices. El SAR debe centrarse en los detalles críticos sin incluir información innecesaria.
Evaluación de los volúmenes SAR
La FCA ha expresado su preocupación por la falta de notificación de ROS en determinados sectores, especialmente entre las empresas de pagos y de dinero electrónico, señalando que las discrepancias entre la notificación interna y la externa pueden indicar una falta de notificación.
Las empresas deben evaluar los volúmenes de ROS comparando el número de alertas internas de actividades sospechosas con los ROS realmente presentados a la NCA. Las discrepancias pueden sugerir que las alertas no se están escalando lo suficiente o que los umbrales de notificación no se entienden bien dentro de la empresa.
Las empresas deben revisar periódicamente sus volúmenes de SAR en relación con su tamaño, base de clientes y exposición al riesgo. Por ejemplo, una empresa con un alto volumen de transacciones transfronterizas debería presentar más RAS debido al mayor riesgo inherente de blanqueo de capitales y financiación del terrorismo.
Por qué es importante informar con precisión
Para mantener la integridad del sistema financiero es fundamental que el volumen de ROS sea exacto. Si no se comunican todos los datos necesarios, las fuerzas y cuerpos de seguridad podrían perder oportunidades de actuar sobre la base de información esencial, mientras que si se comunican demasiados datos, la eficacia del régimen de RAS podría verse mermada.
Y lo que es más importante, las empresas que no informan lo suficiente se arriesgan a una intervención reguladora y a posibles sanciones, como han puesto de relieve las recientes advertencias de la FCA.
Adecuación de la formación del personal y de los procedimientos SAR internos
Importancia de una formación completa
Un marco SAR sólido depende en gran medida de un personal bien formado que pueda reconocer y notificar actividades sospechosas.
La formación garantiza que los empleados de todos los niveles estén familiarizados con los riesgos de la delincuencia financiera, las obligaciones en materia de ROS y la importancia del cumplimiento. El personal de primera línea, en particular, debe recibir formación para identificar las señales de alarma, mientras que la dirección debe comprender su papel en la supervisión de los procedimientos de notificación.
La FCA ha señalado la formación inadecuada como un problema común, y las empresas deben asegurarse de que se imparte formación periódica y específica para cada función.
Elementos de un programa de formación sólido
Un sólido programa de formación incluye:
- - Actualizaciones periódicas: Los riesgos de la delincuencia financiera evolucionan, y los conocimientos del personal deben seguir el mismo ritmo. La formación periódica y actualizada debe ser obligatoria, y abarcar no solo la forma de identificar actividades sospechosas, sino también los canales y procedimientos específicos de denuncia que deben seguirse.
- - Instrucciones claras para informar: El personal necesita instrucciones detalladas sobre cómo informar internamente de actividades sospechosas. Esto incluye la identificación de patrones sospechosos y su notificación al MLRO o al funcionario designado. El proceso de notificación debe ser sencillo pero minucioso, para garantizar que no se pase por alto ninguna actividad potencialmente sospechosa.
- - Énfasis en la confidencialidad: La confidencialidad es una piedra angular del proceso SAR. Los empleados deben ser educados sobre la importancia de mantener la discreción al informar sobre actividades sospechosas, evitando acciones que puedan alertar inadvertidamente a los clientes. El proceso de notificación de ROS debe garantizar que la información sensible se maneja con cuidado para evitar repercusiones legales o reglamentarias.
- - Comprender sus obligaciones legales: Los empleados deben conocer las obligaciones que les impone la Ley de ganancias ilícitas en relación con la no revelación de información, el chivatazo y el perjuicio para la investigación.
Evaluar y mejorar los programas de formación
La eficacia de la formación debe evaluarse continuamente mediante evaluaciones, auditorías y ejercicios basados en escenarios.
La FCA anima a las empresas a revisar sus programas de formación con regularidad, especialmente a medida que cambian los requisitos reglamentarios. Las empresas también deben incorporar los comentarios de las revisiones de cumplimiento, las auditorías internas y las orientaciones regulatorias externas para reforzar su formación y sus procedimientos internos en materia de RAS.
El aprendizaje y la información continuos ayudan a mantener un alto nivel de concienciación y garantizan que el personal esté preparado para actuar rápida y correctamente a la hora de identificar y notificar actividades sospechosas.
Conclusiones: Reforzar su marco SAR
Para seguir cumpliendo la normativa, las empresas deben revisar periódicamente sus sistemas, procedimientos y programas de formación relacionados con los informes de actividades sospechosas. Dado que la FCA sigue examinando las prácticas en materia de ROS, las empresas deben asegurarse de que sus controles son sólidos y eficaces para identificar y notificar actividades sospechosas. Cualquier deficiencia debe abordarse con prontitud, con la supervisión del consejo de administración, para evitar el riesgo de una acción reguladora.
En AuthoriPay, ofrecemos apoyo integral para el cumplimiento ALD de su empresa y ayudamos a fortalecer sus marcos ALD y SAR.
Desde auditorías de lucha contra el blanqueo de capitales que evalúan y mejoran sus sistemas hasta informes de actividades sospechosas y talleres de formación en materia de lucha contra el blanqueo de capitales que dotan a su equipo de conocimientos prácticos, nuestros asesores expertos ayudan a garantizar que su empresa esté preparada para cumplir todos los requisitos normativos.
Póngase en contacto con nosotros hoy mismo para reservar una llamada de consulta gratuita.