INICIATIVA REGULADORA
Los bancos deben ser capaces de evaluar el riesgo
de los tipos de clientes y gestionar las alertas con
toda la información pertinente de que dispongan
Los bancos deben ser capaces de evaluar el
riesgo de los tipos de clientes y gestionar las
alertas con toda la información pertinente de
que dispongan. Esto indica que debe existir
un bucle de retroalimentación entre los
sistemas de clasificación de riesgo del cliente
y el sistema de monitoreo de transacciones,
por lo que cuando se identifica una actividad como inusual o sospechosa, aumenta el
riesgo del cliente. Este aumento del riesgo
también puede dar lugar a que los clientes
de mayor riesgo sean objetos de mejora de
las formas de vigilancia, así como DDC y de
actualización más frecuente de información
de DDC. Los parámetros del sistema de TI
deben ajustarse adecuadamente a los riesgos
del banco, de forma que permita la identificación de alertas que puedan indicar LD y
ser revisados por el oficial del ALD. El oficial
del ALD debe tener acceso al sistema de TI,
incluso si lo opera y/o es propiedad de una
línea de negocio.
Una manera fundamental de mitigar el riesgo
de LD/FT es mediante el uso del sistema de
monitoreo de transacciones para realizar
el seguimiento permanente de la actividad
del cliente, basándose en la información
de las evaluaciones de riesgos y perfiles de
clientes. Esto permite a los bancos cumplir
su obligación de identificar y reportar actividades sospechosas. Los sistemas de vigilancia
deben adaptarse a los riesgos presentes en
el banco, como si el banco identifica una
trama de LD especial que ocurre dentro de
su jurisdicción.
Un banco debería tener adecuadamente
integrados los sistemas de información
de gestión para proporcionar al personal
de la primera y segunda líneas de defensa
con información oportuna para monitorear y analizar las cuentas de los clientes,
incluyendo el historial de transacciones,
documentación faltante de la cuenta, los
cambios significativos en el comportamiento
del cliente o el perfil empresarial y transacciones inusuales (siendo consciente de las
prohibiciones de divulgación de informes de
actividad sospechosa o de informar depósitos
a los clientes acerca de tales informes).
Los bancos también deberían considerar el
uso de sus soluciones de TI para detectar
periódicamente cuentas que están en las
listas de sanciones (por ejemplo, OFAC) e
identificar las PEP extranjeras y otros tipos
de clientes de alto riesgo.
Gestión de la información
Dado que uno de los propósitos principales
de las normas de ALD es la creación de
registros que permitan a la policía rastrear
las transacciones financieras hasta las
personas que las llevan a cabo, los bancos
deben conservar registros. Los bancos deben
registrar tanto los documentos que se les
presentan en la verificación de la identidad
del cliente propietario/beneficiario, ya sea
una fotocopia del documento o mediante
el registro de información de la fuente
documental o no documental, e introducir
toda la información de DDC en su sistema
informático. La información de la DDC debe
mantenerse actualizada y precisa, lo que
significará periódicamente la evaluación de
la información, en general, en una frecuencia
basada en el riesgo.
Los bancos también deben documentar
las decisiones relacionadas con la investigación de una actividad inusual, si se toma
la decisión de presentar un informe de actividad sospechosa o no. Los bancos deben
mantener todos estos registros como exige la
ley, durante al menos cinco años después del
cierre de la cuenta; si se produce una investigación en curso, los registros pertinentes de
DDC no deben ser destruidos simplemente
porque el período de retención de registros
ha expirado. Toda la documentación, incluidas las políticas y los procedimientos, debe
ponerse a disposición de los supervisores
apropiados, para permitir una evaluación del
cumplimi