Blanqueo de Capitales

Cómo implantar un sistema de verificación interna en prevención del PBC-FT

Cómo implantar un sistema de verificación interna en prevención del blanqueo de capitales y financiación del terrorismo

El Manual de PBC-FT incorporará necesariamente “Un procedimiento de verificación periódica de la adecuación y eficacia de las medidas de control interno. En los sujetos obligados que dispongan de departamento de auditoría interna corresponderá a éste dicha función de verificación”.

La verificación interna en PBC-FT ¿o es auditoría interna propiamente dicha? es una de las medidas de control interno que la normativa de PBC-FT que, en mi opinión, no termina de delimitar ni de concretar claramente tanto en la Ley 10/2010 de PBC-FT como en el Reglamento (RD 304/2014).

Por ello tal vez resulta adecuado para aproximarnos a esta problemática el hacerlo cronológicamente partiendo de la vigente Orden EHA/2444/2007, de 31 de julio, …, en relación con el informe de experto externo sobre los procedimientos y órganos de control interno y comunicación establecidos para prevenir el blanqueo de capitales.

El apartado 13 del Anexo se denomina Verificación interna para luego incluir dos apartados:

  1. Labor de la auditoría interna en relación con los órganos responsables de la prevención del blanqueo de capitales, con indicación expresa de las personas encargadas, contenido, periodicidad, si se realiza presencialmente o a distancia, y entidades auditadas. (Que sigue vigente).
  2. En el caso de los sujetos obligados por el régimen especial que opten por realizar el examen externo cada tres años, descripción de las principales conclusiones del último informe interno anual por el que se evalúa la efectividad operativa de sus procedimientos y órganos de control interno y comunicación. (Que fue derogado al oponerse a lo establecido por el artículo 28 de la Ley 10/2010 sobre el examen externo anual).

Posteriormente, en la Ley 10/2010 no encontramos el término de “verificación interna” sino el de “auditoría interna” en el artículo 26 ter.6 (anterior artículo 26.2.IV) que establece que “Los órganos de prevención del blanqueo de capitales y la financiación del terrorismo operarán, en todo caso, con separación funcional del departamento o unidad de auditoría interna del sujeto obligado”.

Es en las Recomendaciones del SEPBLAC de abril de 2013 donde de nuevo nos encontramos con el término “Verificación interna” como título de la recomendación 3.16 que señala que la labor de auditoría interna realizada para verificar el cumplimiento de las obligaciones en materia de PBC/FT por parte del sujeto obligado y la efectividad del sistema de prevención, ha de hacer mención expresa como mínimo a:

    • Plan de auditoría de la función de prevención, que abarcará el funcionamiento de la unidad de prevención y de las redes de negocio, y la efectividad global del sistema de prevención.
    • Personas, órgano o departamentos encargados de su ejecución.
    • Aspectos concretos y contenidos revisados.
    • Periodicidad de las revisiones internas.
    • Realización presencial o a distancia.
    • Auditorías de filiales y agentes.
    • Órgano que es informado del resultado de las auditorías realizadas y procedimiento establecido para garantizar la subsanación en un plazo razonable de tiempo de las debilidades o deficiencias detectadas.
    • Opinión sobre el grado de ajuste a las presentes recomendaciones por parte del sujeto obligado y de los distintos departamentos del mismo que participan en el sistema de prevención (redes de negocio, órganos de prevención, etc.)
    • Realización de muestras con objeto de opinar sobre la efectividad de todo el sistema de prevención, incluyendo una muestra de operaciones sobre las que se haya realizado un análisis especial con resultado final de archivo y en consecuencia de no comunicación al Sepblac, con objeto de comprobar la existencia de una motivación razonada de esa decisión así como de la documentación justificativa de la misma.

Finalizando este recorrido normativo, el Reglamento de PBC-FT (RD 304/2014) solo nos aporta, en su artículo 33 referido al Manual de prevención, apartado 1 letra m), que “1. Los procedimientos de control interno que establezcan los sujetos obligados serán documentados en un manual de prevención del blanqueo de capitales y de la financiación del terrorismo que comprenderá, como mínimo, los siguientes aspectos: … m) Un procedimiento de verificación periódica de la adecuación y eficacia de las medidas de control interno. En los sujetos obligados que dispongan de departamento de auditoría interna corresponderá a éste dicha función de verificación.”

¿Qué conclusiones podemos obtener?

    1. Desde el punto de vista del experto externo a la hora de realizar el informe, obligatoriamente ha de describir, valorar la eficacia operativa e indicar las deficiencias detectadas, rectificaciones o mejoras propuestas sobre el procedimiento de verificación periódica de la adecuación y eficacia de las medidas de control interno; considerando que dicha función de verificación corresponderá necesario al departamento de auditoría interna del sujeto obligado que lo disponga. Y con indicación expresa, como mínimo, de las personas encargadas, contenido, periodicidad, si se realiza presencialmente o a distancia, y entidades auditadas.
    2. La función de verificación de PBC-FT la tiene que realizar, en su caso, el departamento constituido de auditoría interna del sujeto obligado, con lo que habrá de considerarse el cumplimiento tanto de los objetivos de la auditoría interna marcados por la normativa de PBC-FT como de las Normas Internacionales para la Práctica Profesional de Auditoría Interna. En este caso, el Representante ante el SEPBLAC y el OCI recibirán el correspondiente informe del departamento de auditoría interna.
    3. Si el sujeto obligado no tiene un departamento de auditoría interna la función de verificación de PBC-FT ha de realizarla el sujeto obligado asignando recursos y asegurando la independencia, competencia y el tratamiento de los potenciales conflictos de intereses de los verificadores (personas encargadas) respecto de las personas que desarrollan la PBC-FT.

Hay que tener en cuenta sobre la auditoría interna que:

  1. Es una función de evaluación independiente establecida por una organización para la revisión de sus actividades como un servicio a la Dirección.
    1. Evalúa las tareas que se desarrollan en cada área, determinando si se cumplen las normas establecidas sobre pautas más rígidas y siguiendo las instrucciones de la dirección superior.
    2. Consiste básicamente en una evaluación objetiva de las evidencias, una conclusión independiente del auditor y una calificación del cumplimiento.
    3. Tiene unas normas sobre:
      • Atributos (Series 1000): Características de las organizaciones y las personas que prestan servicios de auditoría interna.
      • Desempeño (Series 2000): Naturaleza de los servicios de auditoría interna y proporcionan criterios de calidad con los cuales puede evaluarse el desempeño de estos servicios.
      • Implantación (nnnn.Xn): Amplían las Normas sobre Atributos y Desempeño siendo requisitos aplicables a las Actividades de Aseguramiento (A) y Consultoría (C).

Por ejemplo, algunas de las normas que se aplicarán en la auditoría interna de PBC-FT serán:

    1. 1120 para evitar los conflictos de intereses.
    2. A1 para la abstención de evaluar operaciones específicas de las que el auditor haya sido responsable.
    3. A1 para diseñar un plan de trabajo de auditoría interna basado en una evaluación de riesgos documentada.
    4. 2200 para un plan para cada trabajo, que incluya su alcance, objetivos, tiempo y asignación de recursos. El Plan debe considerar las estrategias, los objetivos y riesgos relevantes para el trabajo.
    5. 2060 para el informe a la alta dirección y consejo.

Finalmente, ya sea con departamento de auditoría interna o sin él, vemos que resulta fundamental para poder realizar adecuadamente la función de verificación del Sistema de PBC-FT el haber realizado previamente el análisis de riesgo previsto en el artículo 32 del Reglamento (RD 304/2014) identificando y evaluando los riesgos del sujeto obligado por tipos de clientes, países o áreas geográficas, productos, servicios, operaciones y canales de distribución, tomando en consideración variables tales como el propósito de la relación de negocios, el nivel de activos del cliente, el volumen de las operaciones y la regularidad o duración de la relación de negocios.

Joaquín Mena

Experto en PBC-FT

Socio Director Quimena Prevención Blanqueo