Órganos de control interno: la EBA publica una nueva Guía sobre el papel y responsabilidades del ‘compliance officer’ en materia de PBC/FT
El objetivo es garantizar una interpretación y aplicación común de los requisitos para los responsables de cumplimiento, evitando así la implementación desigual de medidas en la Unión Europea.
El pasado 14 de junio, la EBA publicó la nueva Guía sobre el papel y responsabilidades del oficial de cumplimiento o compliance officer de prevención del blanqueo de capitales y financiación del terrorismo (PBC/FT). Esta guía pretende asegurar una interpretación y aplicación común de los requisitos establecidos en la Directiva 2015/849 con vistas a solventar las consecuencias adversas para la integridad del sistema financiero de la Unión que se han derivado de una implementación desigual y poco efectiva de la misma. Además, viene a desarrollar el futuro artículo 9 “Funciones relacionadas con el cumplimiento” de la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo (Propuesta de Reglamento de PBC/FT).
Destaca el hecho de que tanto en la Propuesta de Reglamento PBC/FT como en la guía se adopta un modelo en el que se potencia la figura del compliance manager (tal y como se describirá a continuación), frente al modelo español con un órgano colegiado como es el Órgano de Control Interno u OCI, que cuenta con representación de las distintas áreas de negocio del sujeto obligado, como responsable de la aplicación de las políticas y procedimientos de PBC/FT.
La guía establece directrices en tres ámbitos fundamentales:
- En primer lugar, establece el papel y responsabilidades del órgano de administración. En relación con su papel supervisor, el documento establece que el órgano de administración es responsable de la supervisión y control de la implementación del marco de gobierno y control internos que aseguren el cumplimiento de la normativa en materia PBC/FT. Para ello, el órgano de administración debe estar informado de los resultados de la evaluación de riesgos en materia de PBC/FT, controlar que los procedimientos y políticas implementados son adecuados en relación con los riesgos, revisar al menos una vez al año el informe de actividad del compliance officer y valorar, al menos una vez al año, el funcionamiento efectivo de la función de cumplimiento de PBC/FT.
En el marco de su función de gestión, de acuerdo con lo establecido en la Directiva 2015/849, el órgano de administración debe, entre otras cosas, implementar la estructura necesaria para cumplir con la estrategia de PBC/FT, asegurar el envío de informes adecuados y suficientes a la autoridad supervisora y asegurar el cumplimiento de las pautas de las Autoridades Europeas de Supervisión.
Además, el órgano de administración debe nombrar a uno de sus miembros como responsable de la PBC/FT y, si no hay órgano de administración, a un alto directivo (es lo que la guía llama “senior manager responsible for AML/CTF” y lo que la Propuesta de Reglamento de PBC/FT denomina compliance manager), que debe cumplir determinados requisitos de conocimientos y experiencia, y que será el principal punto de contacto para el compliance officer con el órgano de administración. Entre las funciones del Compliance Manager recogidas en la Guía se encuentran la obligación de asegurar que las políticas, procedimientos y medidas de control interno de la PBC/FT sean adecuadas y proporcionadas; la valoración de la conveniencia de nombrar un compliance officer independiente y una unidad de apoyo en el desarrollo de sus funciones; la de asegurarse de que el órgano de administración recibe información suficiente en materia de PBC/FT, así como informes periódicos sobre la actividad del compliance officer; la información al órgano de administración sobre cualquier incumplimiento grave de la normativa de PBC/FT y la recomendación de acciones para solucionarlo. - En segundo lugar, la guía recoge el papel y responsabilidades del ‘compliance officer’. Las entidades financieras o de crédito deberán nombrar un compliance officer independiente, salvo que tengan un número limitado de empleados o así lo justifiquen la naturaleza del negocio o los riesgos asociados a la misma, el número de clientes, o el número y volumen de operaciones. Cuando no se nombre un compliance officer independiente, sus funciones serán asumidas por el compliance manager o mediante la prestación de las mismas a través de la subcontratación. Además, el compliance officer deberá cumplir con requisitos de idoneidad, habilidades y experiencia, recogidos en los párrafos 35 y 36 de la Guía.
Asimismo, la EBA recoge las funciones del compliance officer, que deberán estar claramente definidas y documentadas, y que serán:
- desarrollar un marco de evaluación de riesgos para toda la empresa e individuos;
- establecer las políticas y procedimientos de PBC/FT que debe adoptar la entidad y asegurar que estos sean efectivamente implementados. Deberán incluir, al menos, la metodología de evaluación del riesgo de blanqueo de capitales y financiación del terrorismo, la diligencia debida del cliente, los informes internos, la llevanza de registros y las disposiciones para controlar el cumplimiento de la normativa;
- asegurar que las políticas se revisen y actualicen cuando sea necesario y proponer la forma de abordar cualquier cambio;
- ser consultado antes de la incorporación de nuevos clientes de alto riesgo o el mantenimiento de relaciones comerciales con los mismos;
- controlar si las medidas, políticas, controles y procedimientos implementados por la entidad financiera o de crédito en materia PBC/FT cumplen con las obligaciones exigidas por la normativa (como “segunda línea de defensa”) y supervisar la aplicación efectiva de los controles de PBC/FT aplicados por las líneas de negocio y las unidades internas (“primera línea de defensa”);
- reportar y asesorar al órgano de administración sobre medidas para garantizar el cumplimiento de las normas aplicables;
- prestar la debida atención a la sensibilidad y confidencialidad de la información que puede divulgarse y las obligaciones de no divulgación a las que debe adherirse la entidad en la transmisión de información sobre transacciones sospechosas; e
- informar debidamente al personal sobre los riesgos de blanqueo de capitales y financiación de terrorismo a los que está expuesta la entidad y garantizar la formación en la materia de todos los empleados.
Además, la guía también recoge normas y principios sobre la subcontratación de las funciones del compliance officer, entre otros, la responsabilidad última de la entidad de cumplir con las obligaciones, la necesidad de definir y recoger por escrito los derechos y obligaciones de la entidad y del prestador del servicio, la obligación del control y supervisión de la calidad del servicio por la entidad, el establecimiento de un mismo marco regulatorio para la subcontratación dentro y fuera del grupo y la prohibición de que la subcontratación derive en la delegación de responsabilidades del órgano de administración.
- Finalmente, la guía de la EBA recoge la organización de la función de cumplimiento de la normativa de PBC/FT a nivel de grupo, de manera que la entidad debe adaptar su marco de control interno a la especificidad de su negocio, teniendo en cuenta el contexto de grupo.
La entidad matriz debe designar un miembro de su órgano de administración o un alto directivo como responsable de la PBC/FT y un compliance officer a nivel de grupo; establecer una estructura de coordinación organizativa y operativa a nivel de grupo; aprobar las políticas y procedimientos internos del grupo en materia de PBC/FT; establecer mecanismos internos de control; y evaluar la eficacia de las políticas implementadas.
Se especifica que las entidades que operen con sucursales o filiales en otro Estado miembro o en un tercer país deben nombrar un compliance officer de grupo como coordinador. En relación con sus funciones, debe coordinar la evaluación de riesgos de blanqueo de capitales y financiación del terrorismo para cada una de las entidades del grupo, elaborar una evaluación de riesgo para todo el grupo, definir estándares de prevención a nivel de grupo, coordinar la actividad de los compliance officer de las distintas entidades del grupo, controlar el cumplimiento de la normativa de PBC/FT de las sucursales y filiales en terceros países, establecer políticas y procedimientos a nivel de grupo sobre protección de datos e intercambio de información dentro del grupo y asegurarse de que las entidades tienen procedimientos adecuados de reporte de transacciones sospechosas. Además, el compliance officer de grupo deberá elaborar un informe de actividad al menos una vez al año y presentarlo ante el órgano de administración.
Profesional de contacto