9 ERRORES COMUNES

al Chequear Listas Negras

El chequeo de listas negras es un proceso fundamental para un adecuado cumplimiento de las sanciones internacionales y es uno de los procesos clave de la política Conozca a Su Cliente. A la vez, es importante para poder identificar el riesgo que representan aliados, proveedores y empleados. A continuación, presentamos 9 errores comunes que se suelen cometer cuando se verifican nombres de individuos y de entidades en las bases de datos globales, lo que puede causar que no se realicen las verificaciones de una manera correcta.

 

Menospreciar el chequeo de listas

Ignorar o menospreciar el chequeo de listas negras es un error que refleja una gran deficiencia en el proceso de debida diligencia asociado a clientes, aliados, proveedores y empleados, ya que evidencia un desconocimiento de los riesgos que pueden representar criminales, terroristas, narcotraficantes y otros criminales.

Cuando la persona responsable del cumplimiento desconoce la importancia del chequeo de listas negras, suele hacer una identificación del cliente incompleta y justifica la deficiencia con las siguientes aseveraciones:

  • “El chequeo de listas sólo aplica para grandes corporaciones”.
  • “Mis clientes no son extranjeros”.
  • “Yo no trabajo con clientes estadounidenses”.
  • “Para qué lo voy a hacer yo, si el banco que uso ya chequea las listas”.
  • “En mi país no hay terroristas, eso es en otros lados”.
  • “Eso es muy caro y no vale la pena”.
  • “Yo armé mi propia lista, no necesito otra”.
  • “Sólo con la lista OFAC ya cumplo”.
  • “Con la lista de PEPs domésticos ya es suficiente”.

El aspecto económico muchas veces es la excusa para no chequear listas negras, ya que los servicios de alto nivel suelen ser muy costosos. Sin embargo, plataforma regtech como RIskyID ofrecen una de las bases de datos más completas del mundo, que es usada por cientos de bancos a nivel global, con planes que empiezan en sólo USD 15 al mes para pequeños negocio.

El chequeo de listas permite, además, identificar individuos de alto riesgo, como criminales financieros y las Personas Expuestas Políticamente (PEPs), que son funcionarios públicos, miembros de partidos políticos, militares de alto rango y miembros del poder, líderes sindicales, etc. Por eso es una práctica que todas las empresas, sin importar su tamaño, deben cumplir para salvaguardar su negocio; con más razón deben hacerlo los profesionales independientes, ya que es mayor el impacto reputacional y el riesgo legal que representa relacionarse con individuos de alto riesgo.

 

Aplicar el chequeo de listas discrecionalmente

La revisión de listas negras y de bases de datos de individuos de alto riesgo debe ser una práctica estandarizada que se debe aplicar a todos los clientes, aliados, proveedores y empleados. Cuando se manejan “excepciones” en un proceso de control, como es el caso de la revisión de listas, se generan brechas que pueden representar riesgos para la entidad o para el profesional independiente.
Es fundamental garantizar que las listas se revisen cada vez que: a) se establece una relación con un nuevo cliente; y b) se crea una nueva vinculación con un aliado, proveedor o empleado.

Estas reglas no deben ser ignoradas, ni siquiera cuando se establezcan relaciones con personas conocidas, recomendadas o referidas por un aliado.

Estas reglas no deben ser ignoradas, ni siquiera cuando se establezcan relaciones con personas conocidas, recomendadas o referidas por un aliado.

 

Tener Información Inexacta o Escasa

Al momento de verificar las listas negras y de individuos de alto riesgo es importante contar con suficiente información que permite identificar adecuadamente a la persona o entidad, para evitar confusiones con otros individuos o entidades que puedan estar en las listas.

Muchas veces hay personas en las listas que tienen el mismo nombre y que son de la misma nacionalidad. Por ejemplo, el nombre Pedro Martínez de España aparece decenas de veces en la base de datos de RiskyID; la forma de poder saber si hay una coincidencia con uno de nuestros clientes o aliados es teniendo suficientes datos filiatorios que nos permitan aplicar filtros (nacionalidad, año de nacimiento, número de cédula, etc.) para saber si es una de las personas listadas.

Para una adecuada verificación en listas es importante que se cuente con la siguiente información:

  • Individuo: nombre completo, nacionalidad, número de identificación nacional (cédula, licencia, pasaporte, etc.) y la fecha de nacimiento. Incluso, el nombre de su esposa y familiares directo puede servir, ya que muchas veces las listas incluyen esta información.
  • Entidad: lugar y fecha de creación, socios y/o beneficiario(s) final(es), miembros del directorio, filiales y matrices, jurisdicciones donde opera, tipo de negocio, de productos y de servicios, etc.
  • Transacción: partes involucradas, intermediarios, razón de la operación, etc.

La información debe ser fidedigna, para lo cual se debe garantizar que es extraída de documentos legales.

 

Verificar en pocas listas negras

Muchas personas creen que revisando solo la lista OFAC (Oficina de Control de Activos Extranjeros de Estados Unidos), las listas de terroristas emitidas por el Consejo de Seguridad de las Naciones Unidas y cualquier lista restrictiva doméstica ya están protegidas de individuos y entidades de alto riesgo. Utilizar bases de datos o sistemas que sean deficientes es casi tan riesgoso como no hacer el chequeo de listas.

Existen miles de listas negras en todo el mundo, es por eso que, por ejemplo, la plataforma de chequeo RiskyID concentra más de 1.200 listas negras y de sanciones globales. Es importante que la verificación de individuos y entidades se haga en una plataforma que:

  • Concentre la mayor cantidad de listas nacionales e internacionales.
  • Que sea actualizada de forma constante, cada vez que alguna lista sea actualizada.
  • Que tenga perfiles consolidados (E.j. OFAC – PDVSA), es decir que si la misma persona/entidad está en diversas listas, aparezca
  • como un solo perfil con todas las variaciones de nombres o de datos que puedan existir relacionados a esa persona/entidad.
  • Que incluya los “alias” (apodos) de los individuos, ya que esto a veces puede ayudar a identificar a una persona.

 

Usar sistemas anticuados

El chequeo contra listas no tiene por qué ser algo complicado, frustrante o que requiera múltiples procesos. Los proveedores deben garantizar sistemas modernos y amigables, que permitan optimizar los procesos y que faciliten la experiencia del usuario.

Es un error contar con sistemas antiguos o “legacy”, porque suelen descansar sobre interfaces complicadas, que muchas veces requieren que los usuarios hagan cursos o sean entrenados para poder utilizarlos.

Otro problema asociado a los sistemas antiguos es la parametrización, ya que muchas veces es complicado hacer ajustes y exigen la intervención del proveedor para ajustar parámetros en los procesos de búsquedas, generando una pérdida de recursos y de tiempo.

Los proveedores tradicionales también suelen tener limitaciones a la hora de integrar su sistema con otros softwares o proveen limitado soporte técnico en estos procesos, dejando toda la carga laboral y económica en sus clientes.

Finalmente, los sistemas antiguos requieren de la intervención humana para actualizar sus bases de datos, ya que no tienen procesos automatizados. En tal sentido, dependen de procesos manuales periódicos que muchas veces no son realizados con la periodicidad recomendada, lo cual puede generar riesgos en sus clientes.

 

Aplicar un monitoreo continuo que no es “continuo”

En su Recomendación No. 10 el Grupo de Acción Financiera (GAFI) señala que se debe “Realizar una debida diligencia continua de la relación comercial…”. Parte de esa “debida diligencia continua” debe ser el monitoreo de la cartera de clientes, aliados y proveedores en las listas negras y bases de datos de individuos/entidades de alto riesgo, ya que de esta forma se puede tener una clara visión del riesgo que representan.

Aunque legalmente no se han estandarizado criterios sobre la frecuencia en que debe hacerse una verificación de la cartera de clientes, se recomienda que el barrido contra listas negras y sanciones internacionales se haga lo más frecuente posible. En el caso de RiskyID se garantiza el barrido DIARIO (cada 24 horas) de la cartera de clientes de los usuarios de la plataforma.

Es importante que los proveedores permitan hacer un monitoreo continuo que de verdad sea “continuo”, no esporádico con barridos semanales, mensuales, trimestrales e incluso anuales. Para una entidad regulada, una PYME o para un profesional independiente puede ser “letal” mantener relaciones con un narcotraficante, un terrorista o una persona incluida en una lista negra (p.e. la lista OFAC) simplemente porque su proveedor no hizo el monitoreo en el momento adecuado.

El monitoreo continuo es una funcionalidad que los proveedores tradicionales cobran, incluso algunos aplican tarifas por cada individuo/entidad monitoreada, lo que dificulta esta buena práctica para las entidades medianas o los profesionales regulados (esta es una funcionalidad incluida sin costo adicional en cualquiera de los planes Ultra de RiskyID).

 

Pagar mucho por servicios de chequeo de listas

Los sistemas de chequeo de listas negras tradicionales han sido diseñados para grandes entidades reguladas, como los bancos, las aseguradoras trasnacionales y otras corporaciones reguladas. Esta es la razón por la que suelen ser servicios muy costosos y casi inaccesible para gran cantidad de instituciones financieras medianas, empresas del sector valores, cooperativas, PYMES y profesionales regulados.

Un error común cometido por aquellas entidades que, a pesar del costo, quieren cumplir con las leyes y gestionar sus riesgos para protegerse, es que adquieren servicios costosos que no se ajustan a la realidad operativa de la empresa porque:

Cobran por búsquedas ilimitadas, cuando la entidad sólo necesita verificar algunas decenas o cientos de nombre cada mes. Esto es como pagar por un autobús de 53 pasajeros para transportar a 4 personas.

  • Cuestan miles de dólares.
  • Exigen contratos multianuales.
  • Requieren complicados procesos de integración.
  • Son complicados de manejar.

Es importante contar con plataformas que realmente se ajusten a las características de la entidad y cuyo costo esté acorde al uso que se va a hacer de la misma, porque no tiene sentido pagar por lo que no se usa.  

 

No chequear listas de PEPs o preocuparse sólo de PEPs nacionales

No se puede hacer una adecuada gestión de los riesgos si no se identifican correctamente a los individuos de “alto riesgo”. En el caso de los PEPs, el riesgo no puede ser menospreciado. Un error que suelen cometer algunos sujetos obligados es utilizar proveedores que incluyen en sus bases de datos sólo a los políticos y funcionarios públicos nacionales.

Es muy común que las operaciones de lavado de dinero procedente de corrupción, soborno y otros delitos asociados a los políticos sean realizadas en jurisdicciones distintas a donde se cometió el delito, por lo que es importante contar con sistemas que incluyan PEPs de otros países.

El Grupo de Acción Financiera (GAFI) indica que “Debido a su posición e influencia, se reconoce que muchas PEP se encuentran en posiciones que pueden ser objeto de abuso, con el fin de cometer delitos de lavado de dinero y delitos precedentes relacionados, incluida la corrupción y el soborno, así como realizar actividades relacionadas con el financiamiento del terrorismo”.

Es importante que la base de datos incluya a los familiares directos, familiares indirectos, allegados y socios de las personas expuestas políticamente porque estas personas suelen estar involucrados en los esquemas ilícitos en calidad de testaferros.

También es importante que el sistema incluya a funcionarios públicos de niveles medios de jerarquía, a militares, miembros del poder judicial, representantes de organismos internacionales, líderes sindicales, así como a familiares directos e indirectos, socios y allegados de los políticos, entre otros.

Todos estos tipos de PEPs están incluidos en la poderosa base de datos de RiskyID.

 

Usar un porcentaje de coincidencia inadecuado

Una funcionalidad clave para el éxito del proceso de revisión de listas es poder ajustar el nivel de coincidencia que usará el software al momento de comparar el nombre del individuo/entidad que buscamos con los nombres incluidos en las bases de datos.
Un error común es utilizar un porcentaje inadecuado, porque si se limita mucho (100% de coincidencia) se puede quedar por fuera el nombre que buscamos; mientras si se expande mucho el criterio de coincidencia (50%) el sistema puede arrojar muchos falsos positivos (coincidencias que una vez revisadas resultan ser erradas).

Cuando se marca el 100% de coincidencia, quiere decir que el sistema indicará que hay coincidencia sólo si encuentra un nombre exactamente igual al que se busca. Aunque esto puede parecer a primera vista como un buen método para evitar “falsos positivos”, las búsquedas exactas no se recomiendan porque puede ser que un individuo haya sido incluido en una lista con una pequeña variación de su nombre (una letra de más, una variante gramatical, etc.).

Lo recomendable es usar un nivel de coincidencia que le indique al sistema que incorpore todos los nombres de la lista que coincidan con el nombre que se busca, aunque tenga “pequeñas” variaciones. No hay un porcentaje estandarizado, pero es muy común que se ajusten los sistemas entre un 80% y un 85%.

Utilizar un porcentaje por debajo de 70% puede generar muchos falsos positivos y recargar de trabajo al equipo que realiza la verificación.