Acceso
Ayuda
Obtener VerificaciónDirectrices de PLD: requisitos, riesgos y mejores prácticas
Un marco eficaz de PLD es esencial para prevenir, detectar y reportar actividades financieras ilícitas. A medida que las instituciones financieras y otras entidades reguladas operan en un entorno cada vez más digital y transfronterizo, las expectativas regulatorias continúan evolucionando. Estos requisitos y obligaciones regulatorias se traducen en controles institucionales prácticos principalmente a través de las directrices de PLD. Estas convierten las políticas de PLD en procedimientos operativos estándar (SOP), instrucciones de trabajo y puntos de control que garantizan que los controles de PLD se apliquen de manera coherente en las actividades de vinculación de clientes, monitoreo, investigación y reporte.
Este artículo describe las diez mejores prácticas para diseñar y mantener un marco de PLD eficaz. Se centra en cómo las instituciones pueden traducir los requisitos regulatorios en controles operativos, llevar a cabo un monitoreo basado en el riesgo, fortalecer el gobierno corporativo y mantener documentación lista para auditoría. Estas prácticas se alinean con las normas del Grupo de Acción Financiera Internacional (GAFI), que enfatizan controles proporcionales basados en la exposición al riesgo.
Resumen de las diez mejores prácticas para crear un marco de Prevención de Lavado de Dinero
| Mejor práctica | Descripción |
|---|---|
| Traducir las directrices de PLD en controles operativos exigibles | Convertir las directrices o requisitos regulatorios y de políticas en procesos de sistema, incluyendo validaciones y puntos de aprobación, que se apliquen de manera coherente. |
| Implementar una arquitectura cohesiva basada en el riesgo | Establecer un marco de riesgo unificado que impulse la calificación de riesgo del cliente, la asignación de debida diligencia del cliente (CDD) y debida diligencia reforzada (EDD), y los controles a lo largo del ciclo de vida entre sistemas. |
| Diseñar el monitoreo en función del riesgo, las tipologías y la evaluación de riesgo empresarial | Alinear los escenarios y umbrales de monitoreo con la exposición al riesgo de la institución y con tipologías reales de lavado de dinero. |
| Establecer un gobierno de PLD claro y titularidad de las decisiones | Definir la rendición de cuentas, las rutas de escalamiento y la autoridad de aprobación para asegurar una supervisión y toma de decisiones de PLD efectivas. |
| Detectar y verificar estructuras complejas de propiedad beneficiaria | Implementar controles de vinculación de clientes y debida diligencia periódica que identifiquen y verifiquen estructuras de propiedad en capas y los beneficiarios finales. |
| Separar claramente el monitoreo de transacciones y el filtrado de sanciones | Mantener objetivos, flujos de trabajo y procesos de escalamiento diferenciados para las actividades de monitoreo de transacciones y filtrado de sanciones. |
| Priorizar la calidad de las alertas mediante un ajuste estructurado | Perfeccionar continuamente los umbrales y la lógica de monitoreo para mejorar la relación señal-ruido y la eficacia de las investigaciones. |
| Estandarizar los procesos de decisión de investigación y reporte | Aplicar estándares analíticos coherentes y una justificación documentada a las investigaciones y decisiones de reporte relacionadas con reportes de actividades sospechosas (SAR) o reportes de transacciones sospechosas (STR). |
| Conservar documentación y evidencia lista para auditoría | Mantener registros centralizados de la verificación de identidad, acciones de investigación, decisiones de reporte y trazas de auditoría. |
| Validar e incrementar continuamente la eficacia de la PLD | Usar pruebas, revisiones Above-the-Line (ATL) y Below-the-Line (BTL), e indicadores de desempeño para evaluar y fortalecer los controles de PLD con el tiempo. |
-
Obtenga una visión integral de sus usuarios y cumpla con los requisitos de prevención de lavado de dinero y verificación e identificación de clientes
-
Compruebe contra miles de listas de vigilancia de sanciones, incluidas OFAC, ONU, HMT, UE y DFAT
-
Escanee una base de datos de más de 8 millones de perfiles con noticias negativas en los medios
Traducir las directrices de PLD en controles operativos exigibles
Las directrices de PLD que solo existen en documentos de política pero no se traducen en controles operativos generan una brecha de cumplimiento. Las políticas y las expectativas regulatorias deben integrarse en los flujos de trabajo de los sistemas, la lógica de decisiones y los puntos de aprobación, y deben aplicarse de manera coherente en toda la organización en lugar de depender únicamente de la interpretación manual.
Un ejemplo es integrar el requisito de política de recopilar información sobre el origen de los fondos para clientes de alto riesgo como un campo exigido por el sistema que no se pueda omitir durante la vinculación de clientes. De manera similar, un requisito de realizar debida diligencia reforzada (EDD) antes de la apertura de la cuenta debe convertirse en un punto de aprobación en el flujo de trabajo de vinculación. Un desafío común en la práctica es la implementación inconsistente de estos controles entre sistemas o unidades de negocio, lo que genera brechas en la ejecución de los controles.
Los procesos de PLD deben estar respaldados por reglas de sistema definidas y requisitos de aprobación que garanticen que las políticas y los requisitos o controles regulatorios se apliquen de manera coherente en las actividades operativas. Esto es particularmente importante durante la vinculación de clientes y la debida diligencia continua, donde la ejecución de los controles debe estar estandarizada y ser auditable. Por ejemplo, desde la perspectiva de los controles de vinculación, los resultados de la verificación de identidad —incluidos los resultados de verificación, los documentos de respaldo y las trazas de auditoría— deben conservarse como evidencia de la ejecución de los controles. Una plataforma moderna de verificación de identidad puede respaldar este proceso proporcionando resultados de verificación estructurados que puedan conservarse como evidencia lista para auditoría.
La imagen a continuación ilustra cómo las expectativas regulatorias y las políticas de PLD se traducen en procedimientos operativos, controles de sistema y puntos de control de flujo de trabajo según el ejemplo analizado anteriormente. Destaca cómo las directrices de PLD se operacionalizan en controles exigibles y auditables.
De la política de PLD al control operativo: cerrando la brecha de cumplimiento
Al traducir las directrices de PLD en controles operativos, las organizaciones deben asegurarse de que estos controles estén guiados por un marco bien definido basado en el riesgo.
Implementar una arquitectura cohesiva basada en el riesgo
Un marco cohesivo basado en el riesgo, alineado con el apetito de riesgo de la organización, es esencial para un programa de PLD eficaz. Garantiza que las evaluaciones de riesgo se apliquen de manera coherente en los procesos de vinculación de clientes, monitoreo y debida diligencia continua.
En la práctica, las evaluaciones de riesgo consideran factores clave de riesgo de PLD como el riesgo del cliente, el riesgo del producto, el riesgo geográfico y el riesgo del canal. La condición de PEP y los resultados del filtrado de medios adversos son insumos clave para la clasificación de riesgo del cliente, deben extenderse a partes relacionadas, si las hubiera, y deben monitorearse de forma continua, de modo que los hallazgos activen debida diligencia reforzada si corresponde. Los modelos de riesgo también deben considerar señales relevantes de vinculación, incluidos los resultados de verificación de identidad y los atributos del perfil del cliente, para respaldar una adecuada segmentación por niveles de riesgo. Cuando las organizaciones enfrentan desafíos para capturar e integrar de manera coherente los datos de verificación entre sistemas, las plataformas de verificación de identidad y protección contra fraude pueden proporcionar resultados estructurados para respaldar las decisiones de vinculación, la clasificación de riesgo del cliente y la auditabilidad mediante la conservación de evidencia de verificación.
Como se muestra en el gráfico a continuación, la clasificación de riesgo del cliente debe guiar decisiones coherentes de control de PLD en la debida diligencia, el monitoreo y las revisiones periódicas. Esto incluye determinar los niveles de debida diligencia (SDD/CDD/EDD), establecer umbrales de monitoreo, definir la frecuencia de revisión y activar revisiones en función de cambios en los indicadores de riesgo.
Clasificación de riesgo y su impacto en las decisiones de control de PLD
Los resultados de la clasificación de riesgo deben determinar el nivel de debida diligencia del cliente (simplificada, estándar o reforzada), los umbrales de monitoreo, la frecuencia de revisión y la necesidad de revisiones basadas en disparadores. Deben aplicarse de forma uniforme entre sistemas y revisarse periódicamente frente a cambios en el comportamiento del cliente, el uso de productos y otros indicadores de riesgo.
Una debilidad común de los programas de PLD es la aplicación de una lógica de riesgo inconsistente en la vinculación, el monitoreo y otras funciones de cumplimiento. Se espera que un marco bien definido basado en el riesgo respalde el diseño del monitoreo de transacciones para garantizar su alineación con la exposición al riesgo de la organización.
Diseñar el monitoreo en función del riesgo, las tipologías y la evaluación de riesgo empresarial
El marco de monitoreo de transacciones debe alinearse con los resultados de la evaluación de riesgo a nivel empresarial (EWRA), que determinan qué segmentos de clientes, productos, canales y geografías requieren cobertura de monitoreo prioritaria, y debe diseñarse para reflejar la exposición real al riesgo de la organización. Debe centrarse en detectar patrones de actividad sospechosa basados en tipologías de lavado de dinero y financiamiento del terrorismo (ML/TF) y en indicadores de comportamiento.
En la práctica, los escenarios de monitoreo deben mapearse para identificar patrones transaccionales asociados con las etapas clave del lavado de dinero, es decir, colocación, estratificación e integración. Las tipologías conocidas deben traducirse en lógica de escenarios y reglas de monitoreo. Los escenarios de monitoreo pueden centrarse en patrones como:
- Movimiento rápido de fondos (entrantes y salientes) en cuentas recién abiertas sin un propósito económico claro.
- Actividad transaccional inusualmente alta en cuentas inactivas reactivadas recientemente.
- Transacciones frecuentes justo por debajo de los umbrales de reporte (patrones de estructuración).
- Cambios en el comportamiento transaccional que sean inconsistentes con la actividad histórica del cliente.
Incorporar estas tipologías en el diseño de escenarios ayuda a garantizar que el monitoreo esté alineado con los riesgos de delitos financieros en evolución.
Las reglas de monitoreo deben revisarse y calibrarse periódicamente según la evolución de los riesgos y las tipologías. Depender de escenarios genéricos sin alinearlos con la exposición al riesgo de la organización suele generar fatiga por alertas e incrementar la carga operativa, y puede conllevar que no se detecten posibles patrones de ML/TF. Además, la ejecución eficaz de los controles y del monitoreo de PLD debe estar respaldada por un gobierno sólido para garantizar la rendición de cuentas y una toma de decisiones coherente.
Establecer un gobierno de PLD claro y titularidad de las decisiones
Un gobierno eficaz de PLD establece una rendición de cuentas clara para las decisiones de cumplimiento y define la titularidad a lo largo de las etapas del flujo de trabajo de PLD, incluyendo la gestión de alertas, la investigación de casos, el escalamiento y el reporte. Los umbrales de escalamiento y las jerarquías de aprobación deben estar claramente definidos para garantizar que los casos de mayor riesgo se revisen en los niveles adecuados dentro de la función de cumplimiento. Por ejemplo, un caso potencial de presentación de SAR o decisiones sobre una relación con un cliente PEP normalmente requieren la aprobación de un alto responsable de cumplimiento y una justificación documentada. Las decisiones tomadas en cada etapa del flujo de trabajo de PLD deben registrarse, incluyendo el titular de la decisión, las marcas de tiempo, la justificación de las conclusiones y la documentación considerada, lo que crea una traza de auditoría confiable y defendible.
La ejecución operativa también debe estar separada de la función de supervisión para garantizar una revisión independiente. Por ejemplo, mientras los analistas gestionan las alertas y llevan a cabo investigaciones de casos, una función de cumplimiento de segunda línea suele ser responsable de las revisiones de aseguramiento de la calidad, la capacitación y el cumplimiento de las políticas. Las organizaciones deben adoptar el modelo de tres líneas de defensa para definir claramente los roles:
- Primera línea: Operaciones del negocio: Ejecuta los controles de PLD, incluyendo el monitoreo de transacciones y la debida diligencia del cliente (CDD/EDD).
- Segunda línea: Cumplimiento y riesgo: Proporciona supervisión mediante aseguramiento de la calidad, directrices de política y apoyo de asesoría.
- Tercera línea: Auditoría interna: Proporciona auditoría y aseguramiento independientes evaluando la eficacia de los controles de PLD.
Las tres líneas de defensa en el gobierno de PLD
La capacitación periódica en PLD también debe proporcionarse al personal pertinente para garantizar que los controles se apliquen de manera coherente.
Detectar y verificar estructuras complejas de propiedad beneficiaria
Identificar a los beneficiarios finales y a las personas que ejercen el control de un cliente entidad es fundamental para evaluar el riesgo y garantizar la transparencia. Esto requiere verificar las estructuras de propiedad y control, identificar a los beneficiarios finales últimos (UBOs) y distinguir la propiedad formal de las personas que ejercen el control efectivo. Algunas entidades pueden tener múltiples capas de propiedad en distintas jurisdicciones o contar con acuerdos de testaferros que pueden ocultar la verdadera propiedad.
La verificación de los beneficiarios finales y de las personas que ejercen el control debe formar parte del proceso de vinculación de clientes y de la debida diligencia continua. Datos confiables de verificación de identidad y documentación de respaldo ayudan a establecer las estructuras de propiedad y control y fortalecen la capacidad de la institución para evaluar el riesgo del cliente. Estos resultados de verificación pueden activar controles adicionales y escalamiento si se identifican inconsistencias, información incompleta u otros indicadores de riesgo.
Las organizaciones deben aplicar debida diligencia reforzada si se identifican estructuras de propiedad complejas u opacas, con controles diseñados para evaluar las estructuras y los riesgos asociados no solo en la vinculación, sino también mediante el monitoreo continuo para identificar cualquier cambio en la propiedad o riesgos emergentes.
Separar claramente el monitoreo de transacciones y el filtrado de sanciones
En la mayoría de los casos, el filtrado de sanciones actúa como un control preventivo que ayuda a identificar relaciones y transacciones prohibidas o de alto riesgo antes de que ocurran. En cambio, el monitoreo de transacciones (TM) actúa como un control de detección que identifica patrones inusuales en la actividad de las cuentas de los clientes que pueden indicar posibles situaciones de ML/TF.
El gráfico a continuación resume las principales diferencias entre el monitoreo de transacciones y el filtrado de sanciones, incluyendo objetivos, flujos de trabajo y rutas de escalamiento.
Monitoreo de transacciones vs. filtrado de sanciones
Las organizaciones deben mantener flujos de trabajo y rutas de escalamiento claramente definidos para cada proceso. Las alertas de TM normalmente conducen a investigaciones de casos y a la presentación de reportes de actividades o transacciones sospechosas (SAR/STR), mientras que las coincidencias en el filtrado de sanciones pueden requerir una revisión de sanciones, el posible bloqueo o rechazo y el reporte regulatorio. Estos procesos deben operar como medidas de control distintas con procedimientos de gestión y escalamiento claramente definidos.
Por ejemplo, una transacción de un cliente puede generar una alerta de monitoreo de transacciones debido a un volumen inusual que requiere un análisis de riesgo de comportamiento dentro de los plazos de política definidos. Sin embargo, un resultado positivo en el filtrado de sanciones sobre el nombre del cliente requiere una revisión inmediata y un posible rechazo, ya que aborda una prohibición regulatoria que exige una acción inmediata.
También deben definirse claramente los límites de titularidad entre el monitoreo de transacciones y el filtrado de sanciones. Aunque ambas funciones operan dentro de un marco más amplio de cumplimiento de delitos financieros, responsabilidades y procesos de revisión separados aseguran que cada control opere de manera eficaz sin solapamientos operativos ni confusión.
Priorizar la calidad de las alertas mediante un ajuste estructurado
La calibración estructurada y periódica de los sistemas de PLD es importante para la eficacia general del monitoreo. Las organizaciones deben evaluar las tasas de conversión de alertas a casos y los resultados de las investigaciones para valorar la calidad de las alertas generadas. La relación señal-ruido también puede utilizarse como una medida de la eficiencia de las alertas.
Los sistemas mal calibrados pueden generar un alto volumen de alertas de baja calidad que provocan fatiga por alertas, sobrecargan a los equipos de investigación y reducen la calidad de las investigaciones y la eficiencia general del programa.
Calibrar y ajustar finamente los umbrales de monitoreo y la lógica de escenarios con base en la exposición al riesgo de la organización, las tipologías en evolución y la relación señal-ruido ayuda a mejorar la calidad de las alertas y garantiza que los equipos de investigación se centren en los indicadores de riesgo reales. Por ejemplo, un escenario que genera alertas frecuentes sobre transacciones rutinarias por debajo de los umbrales de riesgo esperados puede recalibrarse para reducir el ruido y mejorar la relevancia de las alertas. Las decisiones de ajuste deben documentarse con la justificación correspondiente y las aprobaciones adecuadas. Las alertas generadas deben seguir un proceso de investigación y reporte claramente definido y estandarizado.
Estandarizar los procesos de decisión de investigación y reporte
Las organizaciones deben definir claramente el proceso de investigación y reporte regulatorio, incluyendo los estándares mínimos esperados de investigación y reporte. Estos estándares guían a los analistas en la evaluación de alertas, la recopilación de información y documentos relevantes, y la documentación de los pasos de investigación, la justificación de las decisiones y la conclusión alcanzada.
Los umbrales de reporte deben estar claramente establecidos y aplicarse de manera coherente para garantizar que las decisiones de presentación no se tomen únicamente según el criterio individual del analista, sino que se basen en la política de PLD y estén respaldadas por indicadores de riesgo definidos, criterios de escalamiento y requisitos de aprobación. Los plazos internos deben proporcionar tiempo suficiente para la investigación, revisión y aprobación, y garantizar que los plazos regulatorios se cumplan de forma constante.
Los hallazgos de la investigación deben respaldar directamente los resultados de reporte, y la narrativa de los reportes de actividades o transacciones sospechosas (SAR/STR) debe ser precisa y completa para reflejar los hallazgos. La lógica seguida debe documentarse claramente para todos los casos, tanto si se realizó el reporte como si no. Documentar las razones claras para no presentar un SAR/STR es igualmente importante para demostrar que la alerta fue evaluada y cerrada correctamente. Cuando se presenta un SAR/STR o una investigación está en curso, los analistas deben asegurarse de no alertar a los sujetos sobre la investigación o la actividad de reporte. El «tipping off» es un delito penal en la mayoría de las jurisdicciones.
Conservar documentación y evidencia lista para auditoría
Las organizaciones deben mantener registros centralizados y recuperables en todas las etapas del flujo de trabajo de PLD, incluyendo notas de cierre de alertas, notas de investigación, archivos de casos, decisiones de presentación y no presentación de SAR/STR y todas las aprobaciones relacionadas. Los resultados de verificación de identidad, los registros de decisiones de vinculación y la documentación de respaldo deben conservarse como parte del expediente de riesgo del cliente.
Todas las acciones y decisiones del flujo de trabajo deben mantener una traza de auditoría que identifique claramente la responsabilidad de la decisión, y las marcas de tiempo deben ser precisas, coherentes y evidenciar cualquier intento de manipulación en todos los sistemas. Si las decisiones abarcan múltiples sistemas, debe mantenerse la trazabilidad entre sistemas. Esto garantizará un registro completo y auditable de las acciones tomadas.
El período de retención debe alinearse con los requisitos regulatorios aplicables en la jurisdicción y estar incorporado en la política de gestión de registros. Las organizaciones también deben asegurarse de que las prácticas de recopilación y retención de datos cumplan con los requisitos de protección de datos aplicables. En la práctica, la documentación inconsistente o la ausencia de trazas de auditoría son hallazgos comunes durante las revisiones regulatorias. Esto resalta la importancia de mantener registros completos y accesibles.
Validar e incrementar continuamente la eficacia de la PLD
Los controles de PLD deben probarse y validarse periódicamente para garantizar que sigan siendo eficaces a medida que los riesgos de delitos financieros, el comportamiento de los clientes y las expectativas regulatorias continúan evolucionando.
Los escenarios de monitoreo, la lógica de detección y las métricas de calidad de las alertas deben revisarse periódicamente y los umbrales deben ajustarse según las desviaciones observadas y después de actualizaciones de la evaluación de riesgo a nivel empresarial o cambios importantes en el negocio. Las decisiones de ajuste y su justificación deben registrarse.
Círculo continuo de mejora de la PLD
Además, las organizaciones deben establecer indicadores de desempeño y riesgo para medir la eficacia de los controles y la exposición al riesgo residual. Métricas como indicadores clave de riesgo (KRI), indicadores clave de control (KCI), autoevaluaciones de controles (CST) e indicadores de desempeño operativo proporcionan información sobre la eficiencia del programa de PLD y ayudan a identificar áreas que requieren mejoras.
Los métodos de prueba estructurados, como las revisiones above-the-line (ATL) y below-the-line (BTL), pueden proporcionar aseguramiento sobre la eficacia de los controles:
- Las pruebas ATL evalúan las alertas que fueron generadas por el sistema de monitoreo y valoran la calidad de las alertas y los resultados de las investigaciones.
- Las pruebas BTL revisan transacciones que no generaron alertas para identificar posible actividad sospechosa no detectada y brechas de detección.
En la práctica, una combinación de estos enfoques ayuda a validar tanto la eficacia de la detección como la cobertura de los controles.
Las actividades de aseguramiento de la calidad (QA) y de prueba de controles también deben incluir un muestreo de los controles de vinculación para confirmar que la evidencia de verificación se capture de forma coherente y que los procedimientos de escalamiento se apliquen correctamente.
Conclusión
Las directrices eficaces de PLD traducen las expectativas regulatorias y las políticas de cumplimiento en controles prácticos que puedan aplicarse de manera coherente en los flujos de trabajo de PLD, incluyendo las fases de prevención, detección y reporte. Las organizaciones pueden construir programas sólidos de PLD convirtiendo las políticas en controles operativos de sistema, implementando arquitecturas basadas en el riesgo, diseñando el monitoreo en función de las tipologías y las evaluaciones de riesgo a nivel empresarial, fortaleciendo el gobierno y los estándares de investigación, validando continuamente los controles y manteniendo documentación lista para auditoría en todas las etapas del ciclo de vida de la PLD. Esto también incluye asegurar la identificación eficaz de los beneficiarios finales de clientes entidad, separar las revisiones de monitoreo de transacciones del filtrado de sanciones y mejorar continuamente la calidad de las alertas mediante un ajuste estructurado.
Las plataformas de verificación de identidad y protección contra fraude como Veriff pueden respaldar la implementación de las directrices de PLD al fortalecer los controles de vinculación de clientes y de debida diligencia continua. Veriff puede ayudar a los equipos a capturar y conservar los resultados de verificación de identidad y la evidencia de respaldo, incorporar señales de verificación en las decisiones de vinculación basadas en el riesgo y mantener registros listos para auditoría que puedan consultarse durante revisiones y exámenes regulatorios.
Suscríbete para recibir información
