Acceso
Ayuda
Obtener VerificaciónMejores prácticas del programa de cumplimiento de PLD
Los programas de cumplimiento de Prevención de Lavado de Dinero (PLD) ya no son marcos estáticos mantenidos únicamente para cumplir con los requisitos regulatorios. Los riesgos de lavado de dinero y financiación del terrorismo (LD/FT) se han vuelto cada vez más complejos gracias a:
- Pagos rápidos
- Onboarding digital de clientes
- Productos y servicios complejos
- Operaciones multigeográficas
Un programa operativo de PLD basado en el riesgo garantiza que los riesgos en evolución se identifiquen y gestionen de forma eficaz mediante controles preventivos y detectivos. Sin adaptación, los programas de PLD corren el riesgo de convertirse en listas de verificación de cumplimiento que cumplen los requisitos de documentación pero no logran controlar de manera efectiva el LD/FT en la práctica.
Este artículo analiza las mejores prácticas para diseñar y operar un programa de cumplimiento de prevención de lavado de dinero eficaz. Describe las mejores prácticas de PLD en gobierno, evaluación de riesgos, debida diligencia del cliente, filtrado de sanciones, monitoreo de transacciones, investigaciones y capacitación desde una perspectiva operativa y basada en riesgos.
Resumen de las principales mejores prácticas para el programa de cumplimiento de PLD
| Mejores prácticas | Descripción |
|---|---|
| Establecer un sólido gobierno de PLD. | Definir la matriz de responsabilidad, supervisión y escalamiento. Deben establecerse funciones claras y expectativas de cumplimiento en cada nivel de personal, y su eficacia debe revisarse continuamente. |
| Llevar a cabo una evaluación integral de riesgos de PLD a nivel empresarial (EWRA). | Utilizar los resultados de la EWRA para diseñar controles de PLD proporcionales y asignar recursos en función de la exposición real al riesgo de la organización. |
| Aplicar una debida diligencia del cliente (CDD) continua y basada en el riesgo con disparadores de KYC perpetuos. | Alinear el onboarding y las revisiones periódicas con los perfiles de riesgo de los clientes. Iniciar revisiones impulsadas por eventos cuando cambien los perfiles de riesgo. La frecuencia y profundidad de la debida diligencia debe ser proporcional al perfil de riesgo de PLD/FT del cliente. |
| Implementar controles de filtrado preventivos y continuos con marcos definidos de escalamiento y toma de decisiones. | Utilizar el filtrado de sanciones, PEP y noticias negativas en el onboarding y de forma continua como controles preventivos. Respaldar con un marco bien definido de escalamiento, aprobación y toma de decisiones. |
| Realizar un monitoreo de transacciones calibrado. | Diseñar escenarios de monitoreo alineados con el riesgo empresarial y las tipologías. Afinarlos de forma continua para equilibrar la detección y la capacidad operativa. |
| Llevar a cabo investigaciones estructuradas y garantizar reportes regulatorios precisos y oportunos. | Garantizar la investigación oportuna y exhaustiva de las alertas de PLD, con la documentación del fundamento de la decisión y un claro escalamiento. Las presentaciones de reportes SAR/STR deben ser completas, precisas y enviadas con prontitud para cumplir con las expectativas regulatorias. |
| Fortalecer y validar la eficacia del programa de PLD mediante capacitación, QA, pruebas y auditorías. | Fortalecer los controles de PLD mediante concientización sobre PLD a nivel empresarial y capacitación basada en funciones, aseguramiento de la calidad y pruebas periódicas de controles. Validar la eficacia mediante revisiones y auditorías independientes. |
-
Obtenga una visión integral de sus usuarios y cumpla con los requisitos de prevención de lavado de dinero y verificación e identificación de clientes
-
Compruebe contra miles de listas de vigilancia de sanciones, incluidas OFAC, ONU, HMT, UE y DFAT
-
Escanee una base de datos de más de 8 millones de perfiles con noticias negativas en los medios
Establecer un sólido gobierno de prevención de lavado de dinero
Defina la titularidad, la responsabilidad y una matriz de escalamiento independiente de las dependencias operativas. Los hallazgos regulatorios destacan con frecuencia una titularidad débil, una responsabilidad poco clara y una supervisión gerencial insuficiente. Son sintomáticos de fallas más amplias en los controles de PLD, más que de la mera ausencia de políticas y sistemas.
El gobierno constituye la base de un programa de cumplimiento de PLD eficaz. Conecta la estrategia, las decisiones de riesgo y la ejecución diaria. La figura a continuación resalta cómo el gobierno se ubica en el centro del programa y vincula los componentes principales.
Componentes centrales de un programa de cumplimiento de PLD
Junta directiva y alta gerencia
La responsabilidad de establecer el apetito de riesgo de la organización, identificar y evaluar los riesgos de PLD y supervisar el gobierno del programa recae en última instancia en la junta directiva y la alta gerencia.
La junta debe proporcionar una supervisión activa, demostrar un compromiso claro y establecer el tono desde arriba. Debe:
- Cuestionar los controles a la luz de los riesgos emergentes
- Aprobar las políticas de PLD
- Revisar los informes periódicos de PLD
- Garantizar que se asignen recursos adecuados (personas, sistemas y fondos) para mantener un programa eficaz.
La alta gerencia traduce el apetito de riesgo de la junta en políticas, procedimientos y controles accionables y los implementa de manera consistente en toda la organización.
El oficial de PLD o de cumplimiento
El oficial de PLD o de cumplimiento es responsable de diseñar y mantener el programa de PLD, asesorar a las áreas de negocio sobre riesgos de delitos financieros, supervisar la implementación de los controles y escalar los problemas cuando los controles son ineficaces o los riesgos superan el apetito de la organización.
Otras funciones y responsabilidades clave
Normalmente, la mayoría de las organizaciones utilizan el modelo de tres líneas de defensa. El establecimiento claro de responsabilidades en estas líneas evita brechas, duplicación de trabajo y conflictos de interés.
| Línea de defensa | Titularidad | Responsabilidades clave |
|---|---|---|
| Primera línea de defensa (FLOD) | Equipos de negocio y operaciones |
|
| Segunda línea de defensa (SLOD) | Equipos de cumplimiento y riesgo |
|
| Tercera línea de defensa (TLOD) | Equipo de auditoría interna |
|
La independencia de la función de PLD es fundamental. Debe poder cuestionar las decisiones de negocio, escalar inquietudes y mantener independencia en su juicio, al tiempo que sigue siendo operativamente dependiente del negocio para contar con datos precisos y una implementación eficaz de los controles. La función de PLD también debe tener suficiente autoridad, acceso irrestricto a la información relevante y canales de reporte directos a la alta gerencia y a la junta para cumplir eficazmente con sus responsabilidades.
Las políticas de PLD deben tener titulares definidos, autoridades de aprobación, ciclos de revisión y controles de versiones. Las organizaciones deben evaluar las nuevas expectativas legales o regulatorias e incorporarlas en sus políticas mediante un proceso eficaz de gestión de cambios.
Llevar a cabo una evaluación integral de riesgos de PLD a nivel empresarial (EWRA)
La EWRA ayuda a las organizaciones a diseñar un programa de cumplimiento de PLD basado en el riesgo evaluando los riesgos de LD/FT inherentes a su negocio, valorando si los controles existentes son adecuados para mitigar esos riesgos y determinando la exposición al riesgo residual.
Los resultados de la EWRA deben documentarse, reportarse a la alta gerencia y a la junta, y utilizarse para tomar decisiones sobre apetito de riesgo, mejorar los controles e informar la asignación de recursos.
Dimensiones centrales de riesgo
La EWRA evalúa los riesgos inherentes de LD/FT con base en cuatro dimensiones centrales de riesgo: cliente, geografía, producto y servicio, y canal de entrega. Cada dimensión de riesgo incluye varias consideraciones de riesgo, cada una de las cuales presenta diferentes desafíos de control.
Dimensiones centrales de riesgo de LD/FT bajo la EWRA
- Riesgo de cliente considera el perfil del cliente, la actividad comercial, el comportamiento transaccional esperado y las vulnerabilidades de uso indebido.
- Riesgo geográfico evalúa la exposición a jurisdicciones de mayor riesgo, incluidas aquellas sujetas a regímenes de sanciones y con controles de PLD más débiles.
- Riesgo de producto y servicio examina cómo ofertas como pagos de alta velocidad, transacciones transfronterizas y servicios intensivos en efectivo pueden utilizarse indebidamente con fines ilícitos.
- Riesgo de canal se centra en cómo los clientes acceden a los servicios, como onboarding no presencial, intermediarios o modelos digitales.
Aplicabilidad de la EWRA
Los resultados de la EWRA deben impulsar el diseño y la calibración de los controles operativos. Determina la profundidad de la debida diligencia, la intensidad del filtrado, los umbrales de monitoreo, la exposición a sanciones, los criterios de escalamiento, los escenarios de monitoreo de transacciones y las áreas de enfoque de investigación.
Reevaluación de la EWRA
Las reevaluaciones de la EWRA deben activarse cuando se produzcan cambios significativos, como el lanzamiento de nuevos productos, la entrada en nuevos mercados, la introducción de nuevos canales de entrega, cambios en el comportamiento del cliente o cambios en las expectativas regulatorias.
Las organizaciones deben incorporar la exposición al riesgo de fraude de identidad y de documentos en las evaluaciones de cliente y canal, especialmente en los casos de onboarding remoto. Las soluciones sólidas de verificación y aseguramiento de identidad pueden mejorar la calidad de los datos y garantizar una segmentación de riesgo y un diseño de controles más precisos.
Aplicar CDD continua y basada en el riesgo con disparadores de KYC perpetuo
KYC no debe tratarse como un requisito de onboarding único. Las organizaciones deben ir más allá de la verificación de identidad única e implementar una debida diligencia del cliente continua, respaldada por perfiles de riesgo del cliente actualizados periódicamente, con debida diligencia simplificada, estándar o mejorada aplicada en función del perfil de riesgo del cliente.
| Nivel de debida diligencia | Nivel de riesgo | Características clave |
|---|---|---|
| Debida diligencia simplificada (SDD) | Bajo |
|
| Debida diligencia estándar (CDD) | Medio |
|
| Debida diligencia mejorada (EDD) | Alto |
|
Revisiones continuas de debida diligencia
Las revisiones de debida diligencia del cliente (CDD) deben realizarse periódicamente según el perfil del cliente, cómo utiliza los productos y servicios, dónde opera y cómo cambia su comportamiento con el tiempo. Para los clientes corporativos, la debida diligencia debe ir más allá de identificar estructuras de propiedad superficiales para identificar y verificar a los beneficiarios finales (UBO) y seguir profundizando hasta identificar a las personas que en última instancia controlan y son dueñas de la entidad.
Disparadores de debida diligencia impulsados por eventos
Además del enfoque tradicional de “revisiones periódicas” programadas o basadas en el calendario, las organizaciones ahora también adoptan “revisiones impulsadas por eventos” para reevaluar el riesgo cuando hay cambios significativos en el perfil del cliente, patrones de transacción, actividad inusual o nueva información negativa (escuche el pódcast “KYC perpetuo”).
KYC perpetuo y actualizaciones de riesgo en tiempo real
La automatización de KYC perpetuo mejora la ODD al detectar cambios de riesgo casi en tiempo real, ayudando a las organizaciones a actualizar instantáneamente los umbrales de monitoreo de transacciones, la frecuencia de revisión, los requisitos de escalamiento y a decidir sobre las relaciones con los clientes, manteniendo al mismo tiempo el juicio del analista como elemento esencial en los casos de alto riesgo o complejos.
Las sólidas integraciones de capacidades de verificación y aseguramiento de identidad apoyan aún más el onboarding y las revisiones continuas basados en el riesgo al mejorar la calidad de los datos, fortalecer el perfilamiento de riesgo del cliente y proporcionar evidencia lista para auditorías con un impacto mínimo en la experiencia del cliente.
Implementar controles de filtrado preventivos con una toma de decisiones clara
Los controles detectivos, como el monitoreo de transacciones, identifican actividad sospechosa solo después de que ocurre. En cambio, el filtrado de sanciones, de personas políticamente expuestas (PEP) y de noticias negativas son controles preventivos diseñados para evitar relaciones y transacciones prohibidas o de alto riesgo antes de que ocurran.
El filtrado de sanciones evita relacionarse con personas, entidades o jurisdicciones sujetas a regímenes de sanciones aplicables. Sin embargo, también debe respaldar medidas preventivas de interdicción y bloqueo cuando sea necesario para impedir que se ejecuten transacciones prohibidas. El filtrado de PEP identifica a clientes que ocupan funciones públicas prominentes o a sus allegados cercanos, que pueden presentar un riesgo elevado de corrupción o soborno. El filtrado de noticias negativas proporciona información pública negativa que puede indicar participación en delitos financieros u otras conductas graves indebidas.
Un marco de escalamiento y toma de decisiones bien definido es esencial para un filtrado eficaz. Las alertas deben seguir una revisión estructurada multinivel (L1, L2+) con criterios claramente definidos para distinguir aciertos verdaderos de falsos positivos, garantizando resultados coherentes, defendibles y bien documentados.
La gestión y afinación continua de listas es fundamental, ya que criterios de coincidencia demasiado amplios incrementan los falsos positivos y criterios demasiado estrechos aumentan el riesgo de omitir coincidencias verdaderas. Una solución de filtrado de sanciones bien afinada proporciona soporte de filtrado perpetuo mediante verificaciones basadas en API. Identificadores de cliente de alta calidad mejoran la precisión de las coincidencias y reducen las alertas falsas.
Los programas de filtrado eficaces deben aplicarse en el onboarding y de forma continua para garantizar que cualquier cambio en el estatus de sanciones, la designación como PEP o las noticias negativas se identifique con prontitud y se tomen medidas. Cuando se implementa de forma eficaz, el filtrado se convierte en un generador de valor al reducir los falsos positivos, minimizar los costos de revisión manual y permitir decisiones más rápidas. La reducción de fricción finalmente también mejora la experiencia del cliente.
Realizar un monitoreo de transacciones calibrado
El Monitoreo de Transacciones (TM) funciona como un control detectivo, identificando patrones inusuales y anomalías de comportamiento en la actividad de la cuenta del cliente a lo largo del tiempo. Proporciona una vista holística de la huella transaccional de los clientes y señala patrones sospechosos que demuestran riesgo de delitos financieros.
Supervisa la actividad de la cuenta y genera alertas con base en tipologías observadas como movimiento rápido de fondos, estructuración o smurfing, transacciones de terceros/actividad de mulas, actividad inusual y elevada en efectivo y lavado de dinero basado en el comercio.
Los programas de TM eficaces deben estar estrechamente alineados con la evaluación de riesgos de la organización y respaldados por escenarios, reglas y tipologías bien definidos. Un conjunto genérico de reglas que no se adapte a la exposición real al riesgo de la organización a menudo genera un exceso de alertas (fatiga por alertas) y no logra detectar tipologías relevantes.
Los umbrales de transacción deben calibrarse para equilibrar la eficacia de la detección y la capacidad operativa. Esto puede lograrse mediante análisis de datos continuos, pruebas de escenarios y análisis de desempeño.
Los umbrales de monitoreo y la sensibilidad de los escenarios deben calibrarse en función del riesgo de cliente y de producto, con una mayor escrutinio aplicado a exposiciones de mayor riesgo y parámetros proporcionales aplicados a segmentos de menor riesgo. La ausencia de estas prácticas es un hallazgo regulatorio común en los programas de monitoreo de transacciones.
Llevar a cabo investigaciones estructuradas y garantizar reportes regulatorios precisos y oportunos
Cuando el monitoreo de transacciones o el filtrado de sanciones identifica un patrón sospechoso o una posible coincidencia, el ciclo de vida de la investigación normalmente sigue un camino definido.
Ciclo de vida de la investigación
Cada etapa debe seguir un proceso documentado, umbrales de escalamiento, responsabilidad, controles de calidad y documentación para garantizar la coherencia entre revisores y unidades de negocio. Esto ayuda a evitar cierres prematuros y escalaciones injustificadas.
Las organizaciones suelen adoptar un modelo de investigación por niveles en el que el Nivel 1 (L1) se encarga de la revisión inicial y del cierre de falsos positivos, y el Nivel 2 o superior (L2+) realiza investigaciones reforzadas de casos complejos o de alto riesgo. Las investigaciones de alta calidad requieren rigor analítico, evaluando si la actividad de la cuenta es coherente con el perfil declarado del cliente y el comportamiento esperado. Deben estar respaldadas por una documentación clara del fundamento de la decisión. Las investigaciones mal documentadas también son un motivo de hallazgos regulatorios adversos.
Cuando se identifica actividad sospechosa, las organizaciones deben presentar reportes regulatorios, como Reportes de Actividad Sospechosa (SAR) o Reportes de Transacción Sospechosa (STR), de manera oportuna, precisa y con suficiente detalle. Las decisiones de presentar SAR/STR deben ser revisadas y aprobadas por el Oficial de Reporte de Lavado de Dinero (MLRO) o la autoridad de cumplimiento designada.
La narrativa del SAR/STR debe articular claramente el quién, qué, cuándo, dónde y por qué de la actividad sospechosa junto con la evidencia y el análisis relevantes de respaldo. Las organizaciones deben conservar estos registros de acuerdo con los requisitos regulatorios de retención de registros. Una documentación deficiente, una narrativa débil, un fundamento de decisión poco claro y plazos incumplidos son hallazgos regulatorios comunes en las inspecciones.
Fortalecer y validar la eficacia del programa de PLD
Los reguladores no solo evalúan si existen controles de prevención de lavado de dinero, sino también si operan de forma eficaz y se mejoran continuamente. Las organizaciones deben implementar concientización sobre PLD a nivel empresarial y capacitación basada en funciones para que los empleados comprendan los riesgos de delitos financieros de la organización, reconozcan la actividad sospechosa y escalen adecuadamente las inquietudes al MLRO. La capacitación de actualización sobre cambios regulatorios o hallazgos internos de QA/auditoría también es esencial.
El Aseguramiento de la Calidad (QA) crea un marco de retroalimentación fundamental mediante el muestreo estructurado de revisiones de alertas, investigaciones y presentaciones regulatorias. Evalúa si las decisiones son coherentes, están debidamente documentadas y se alinean con las normas internas.
Las pruebas de controles y las auditorías internas/independientes fortalecen aún más la eficacia del programa de cumplimiento de PLD. Validan si los controles de PLD están diseñados adecuadamente y funcionan según lo previsto. Esto puede incluir:
- Pruebas de escenarios de los sistemas de TM
- Validación de las reglas de filtrado
- Revisión de las metodologías de calificación de riesgo de clientes
- Evaluación de los controles de gobierno
- Revisión independiente de la gestión de casos, incluidos cierres y escalaciones.
Los hallazgos regulatorios comunes en estas áreas son capacitación inadecuada basada en funciones, metodologías de QA débiles, pruebas de controles insuficientes, remediación tardía de hallazgos de QA y auditoría y falta de cuestionamientos independientes.
Conclusión
Un programa de cumplimiento de prevención de lavado de dinero (PLD) eficaz no puede ser una plantilla genérica. Debe adaptarse al perfil de riesgo específico, la base de clientes, los productos y el modelo operativo de la organización. Lograrlo requiere equilibrar las expectativas regulatorias, la habilitación tecnológica y el juicio humano, mientras se reevalúa continuamente el riesgo, se adoptan controles y se invierte en personas y tecnología.
Las plataformas modernas de verificación de identidad ayudan a las organizaciones a fortalecer la verificación y el aseguramiento de identidad y a ofrecer una experiencia del cliente fluida dentro de este marco. Las organizaciones que buscan mejorar sus programas de PLD pueden utilizar estas mejores prácticas como base estructurada para la mejora continua.
Suscríbete para recibir información
