La EBA emite directrices sobre la función y responsabilidades de cumplimiento normativo sobre PBCyFT

24-06-2022 — AR/2022/077

Estas directrices pretenden aclarar y determinar las funciones y responsabilidades de los órganos de administración de las entidades, sus representantes y los responsables del cumplimiento normativo, sobre la prevención del blanqueo de capitales y la financiación del terrorismo.

La Autoridad Bancaria Europea (EBA, en siglas inglesas) ha publicado, el 14-6-2022, sus directrices EBA/GL/2022/5, «Sobre políticas y procedimientos de la gestión del cumplimiento normativo y las funciones del responsable de cumplimiento normativo en PBCyFT según el artículo 8 y el capítulo VI de la Directiva (UE) 2015/849».

La función de cumplimiento normativo es fundamental para que las entidades financieras puedan cumplir con las obligaciones de prevención del blanqueo de capitales y de la financiación del terrorismo (PBCyFT).

Por ello, la Cuarta Directiva1 exige que las entidades financieras implanten ciertos mecanismos para gestionar ese cumplimiento y asignen obligaciones a los órganos y funciones relacionadas con la PBCyFT.

Pero, como la Cuarta Directiva no especificaba esas funciones y responsabilidades, la EBA publica estas directrices, que resumimos a continuación.

Las autoridades competentes deben comunicar a la EBA si tienen la intención de cumplir con las directrices o, en caso contrario, las razones para no hacerlo.

Objetivo de las directrices

Según la EBA, las directrices persiguen lograr un entendimiento común del papel, tareas y las responsabilidades de:

  • el responsable del cumplimiento normativo, y
  • el órgano de administración o del directivo responsable de PBCyFT, cuando no haya un órgano de administración.

Por ello, las directrices recogen:

  1. el papel y las responsabilidades del órgano de administración o del directivo en esta materia;
  2. las funciones y responsabilidades de estas figuras;
  3. la función, tareas y responsabilidades del propio responsable del cumplimiento normativo, y
  4. la organización de la función de cumplimiento en el grupo.

Estas directrices las han de aplicar las entidades financieras, como se define en la Cuarta Directiva.

Funciones y responsabilidades del órgano de administración en la PBCyFT

El órgano de administración de la entidad, para cumplir con las funciones detalladas más adelante, debe contar con:

  • conocimientos, competencias y experiencia necesarios para identificar, evaluar y gestionar los riesgos de blanqueo y de financiación del terrorismo;
  • conocimiento del modelo de negocio de la entidad y del sector en el que opera y en qué medida este modelo de negocio expone a la entidad a estos riesgos.

Funciones supervisoras del órgano de administración

Como norma general, el órgano de administración, además de aprobar la estrategia de PBCyFT de la entidad, debe ser responsable de supervisar la implantación y el cumplimiento de ella.

Por ello, el órgano de administración en su función supervisora debe:

  • estar informado de los resultados de la evaluación del riesgo de PBCyFT;
  • supervisar el grado de adecuación y eficacia de las políticas y procedimientos de PBCyFT, según la evaluación de riesgo, para asegurar que se toman las medidas necesarias;
  • revisar, al menos una vez al año, el informe de actividades del responsable de cumplimiento, y
  • evaluar, al menos una vez al año también, el funcionamiento efectivo de la función de cumplimiento, teniendo en cuenta las conclusiones de las auditorías internas o externas; e
  • instruir que ha de ser informado de cualquier decisión que incremente estos riesgos.

Funciones gestoras del órgano de administración

En su función de gestión de los riesgos de blanqueo de capitales y de financiación del terrorismo, debe:

  • implantar la estructura organizativa y operativa adecuada para cumplir con la estrategia de PBCyFT, incluida una unidad específica para asistir al responsable de cumplimiento de PBCyFT que disponga de los medios y recursos necesarios;
  • asegurar la aplicación de políticas y procedimientos internos en este ámbito;
  • revisar el informe de actividades;
  • revisar, al menos una vez al año, el informe de actividades del responsable de cumplimiento;
  • asegurar que se presentan los informes al órgano supervisor correspondiente, y
  • cumplir con las directrices de las autoridades europeas de supervisión sobre externalización y control interno, cuando las funciones de cumplimiento se externalicen.

Miembro del consejo de administración o alto directivo responsable de las obligaciones de PBCyFT

Identificación

Las entidades deben designar a un miembro del consejo de administración como responsable de aplicar la normativa en este ámbito, de acuerdo con el artículo 46 de la Cuarta Directiva.

En España, la figura más parecida es el representante ante el SEPBLAC, aunque sus obligaciones se limitan a las de información.

Cuando las entidades no estén gobernadas por un consejo de administración, se podrá nombrar a un miembro de la alta dirección. En ambos casos, ha de contar con los recursos y tiempo necesarios para cumplir con las funciones que se indican a continuación y tener conocimientos y experiencia en la PBCyFT.

Funciones

Sus funciones y responsabilidades deben incluir, al menos:

  • asegurar que las medidas internas de PBCyFT sean adecuadas a los riesgos;
  • evaluar la necesidad o la conveniencia de nombrar a un responsable de la función de cumplimiento de PBCyFT;
  • apoyar, en su caso, la necesidad de que la entidad cuente con una unidad técnica dedicada a la PBCyFT para ayudar al responsable de cumplimiento;
  • garantizar que se informe periódicamente al órgano de administración sobre las actividades del responsable de cumplimiento;
  • informar al órgano de administración de cualquier incumplimiento grave o significativo de la PBCyFT y recomendar medidas para solucionarlo, y
  • asegurar que el responsable de cumplimiento tiene acceso a la información necesaria para desarrollar sus actividades y dispone de medios humanos y técnicos para desarrollar adecuadamente las tareas que se le asignen.

Nombramiento de un responsable de cumplimiento de la PBCyFT

El artículo 8 de la Cuarta Directiva recoge que las entidades, cuando resulte apropiado debido su tamaño y naturaleza, deben nombrar a un directivo como responsable del cumplimiento de las medidas de PBCyFT.

Las directrices sientan el criterio para que las entidades determinen si deben nombrar a este responsable. En este sentido, confirman:

  1. que las entidades de crédito o financieras deben nombrar siempre a un responsable de cumplimiento,
  2. salvo si son entidades con un número muy reducido de empleados o que decidan que no concurren causas para su nombramiento tras examinar:
    • la naturaleza del negocio y los riesgos de este tipo asociados, tras haberlos analizado;
    • el volumen de operaciones, clientes, transacciones y empleados, y
    • su naturaleza legal, incluyendo si son parte de un grupo o no.

Este análisis y el motivo para dejar de nombrarlo han de quedar documentados. Si este fuera el caso, las funciones del responsable las deberá asumir el miembro del consejo de administración que sea responsable del cumplimiento de las obligaciones de PBCyFT citadas en el punto 3.

El responsable de cumplimiento ha de cumplir los requisitos de honorabilidad, conocimientos y experiencia sobre PBCyFT y contar con tiempo suficiente para cumplir con sus funciones de forma autónoma e independiente.

Independencia

El responsable de cumplimiento debe formar parte de la «segunda línea de defensa» y, además, cumplir con las siguientes cuestiones:

  1. ser independiente de las líneas o áreas de negocio;
  2. tener un puesto de dirección, es decir, que tenga capacidad de, a su propia iniciativa, proponer cualquier medida necesaria para mitigar estos riesgos;
  3. acceder a toda la información necesaria para cumplir sus funciones, y
  4. poder informar al órgano de administración o a la alta dirección cuando ocurra un incidente grave.

Funciones

Las funciones del responsable de cumplimiento deben estar claramente definidas y documentadas, y serán, al menos, las siguientes:

  1. desarrollar la evaluación del riesgo de blanqueo de capitales y de financiación del terrorismo;
  2. desarrollar políticas y procedimientos de PBCyFT;
  3. ser informado cuando se quiera dar de alta a un cliente de riesgo alto;
  4. seguir y supervisar las medidas de PBCyFT de la entidad;
  5. reportar al órgano de administración y elaborar, al menos, un informe anual;
  6. cumplir con las disposiciones para informar de las operaciones sospechosas;
  7. supervisar la preparación y cumplimiento de un programa de formación, y
  8. asegurar que los procedimiento internos para la PBCyFT están disponibles para el personal.

Delegación de funciones operativas del responsable de cumplimiento

En cuanto a la delegación de funciones operativas del responsable de cumplimiento, las entidades deben tener en cuenta, además de las directrices de la EBA sobre externalización, los siguientes principios:

  1. la responsabilidad de cualquier incumplimiento es de la entidad, por lo tanto, es también encargada de supervisar las actuaciones del proveedor;
  2. los derechos y obligaciones de la entidad y el proveedor deben estar debidamente documentados en un contrato;
  3. las externalizaciones en entidades del grupo deben cumplir los mismos principios que cualquier otra externalización, y
  4. la imposibilidad de externalizar las funciones propias del órgano de administración: aprobar la evaluación del riesgo, decidir la estructura organizativa, adoptar políticas, etc.

Función de cumplimiento normativo en un grupo

Las entidades, según la normativa española, deben establecer su sistema de PBCyFT para todo el grupo.

Estas directrices determinan que, cuando se implanten políticas para todo el grupo, las entidades deben contemplar los posibles conflictos de intereses que pongan en peligro el cumplimiento de las obligaciones de PBCyFT.

El responsable de cumplimiento en el grupo deberá, entre otras, realizar las siguientes funciones:

  1. coordinar la evaluación del riesgo de cada una de las entidades del grupo y elaborar un análisis de riesgo global del grupo;
  2. definir estándares de PBCyFT para el grupo y asegurar que las políticas y procedimientos de las entidades que operen en otros países cumplen con la regulación local;
  3. coordinar las actividades de los diferentes responsables de cumplimiento;
  4. supervisar el cumplimiento en las jurisdicciones donde las obligaciones de PBCyFT sean menores;
  5. definir políticas sobre la protección de datos y la puesta a disposición de información sobre la PBCyFT, teniendo en cuenta las regulaciones locales, y
  6. elaborar el informe anual del grupo.

Entrada en vigor

Las directrices entrarán en vigor el 1-12-2022.


1 Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.° 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión.