Resolución 49/2024: Proveedores de Servicios de Activos Virtuales
Daniel Gerardo Perrotta | La Gestión Basada en Riesgos de LA y FT. | 27/03/2024
Introducción
La UIF mediante la Res UIF 49/2024, establece la regulación que materia de Prevención del Lavado de Activos y Financiamiento del Terrorismo y de la proliferación de armas de destrucción masiva (LA/FT/FP), alcanza a los proveedores de servicios de activos virtuales.
Define las obligaciones a cumplir por las personas humanas o jurídicas que como negocio, realizan una o más de más de las siguientes actividades u operaciones para o en nombre de otra persona humana o jurídica:
• intercambio entre activos virtuales y monedas de curso legal (monedas fiduciarias);
• intercambio entre una o más formas de activos virtuales;
• transferencia de activos virtuales;
• custodia y/o administración de activos virtuales o instrumentos que permitan el control sobre los mismos;
• participación y provisión de servicios financieros relacionados con la oferta de un emisor y/o venta de un activo virtual.
En esta entrega, abordaremos algunas definiciones y sugerencias para una adecuada implementación de las nuevas exigencias como así también los impactos que las mismas generan en la gestión y en los marcos de prevención y detección que deben adoptar las entidades.
Qué es la Gestión del Riesgo de LA y FT
La norma define "Riesgo de Lavado de Activos y Financiamiento del Terrorismo", como la posibilidad de que una operación ejecutada o tentada por el cliente sea utilizada para el lavado de activos, la financiación del terrorismo y/o el financiamiento de la proliferación de armas de destrucción masiva.
El objetivo de la gestión basada en riesgos entonces, consiste reducir la probabilidad de que la entidad sea utilizada como instrumento para cometer el delito de legalización de activos. También, tiene como fin el mitigar los riesgos de pérdida emergentes de otros riesgos vinculados, tales como de reputación, de cumplimiento, operacional y de contagio.
En consecuencia, el enfoque basado en riesgo consiste en definir y establecer una estrategia orientada a identificar, valorar, tratar y controlar eventos potenciales de Lavado de Activos y Financiamiento del Terrorismo, con el fin de prevenirlos, detectarlos y mitigarlos oportunamente.
Definiciones
La norma presenta, entre otras las siguientes definiciones:
o Es decir que en forma previa a su registración ante la UIF, las entidades de marras deberán inscribirse en el registro público de Proveedores de Servicios de Activos Virtuales (PSAV), conforme lo establecido en la Resolución 994 de la mencionada CNV.
El Sistema de Prevención de Lavado de Dinero
La norma establece que las "Entidades deben implementar un Sistema de Prevención de LA/FT, el cual deberá contener todas las políticas y procedimientos establecidos para la gestión de Riesgos a los que se encuentran expuestos y los elementos de cumplimiento".
El marco exige dos componentes:
Un paso fundamental: definir la Metodología y la Matriz de Riesgos
La norma, establece que los Sujetos Obligados deberán implementar "un Sistema de Prevención de LA/FT, con un enfoque basado en riesgo, que contendrá todas las políticas, procedimientos y controles a los fines de identificar, evaluar, monitorear, administrar y mitigar eficazmente los riesgos de LA/FT a los que se encuentra expuesto y cumplir con las obligaciones exigidas por la normativa vigente".
También establece que se deberá identificar, evaluar y comprender los riesgos de LA/FT a los que se encuentra expuesto, a fin de adoptar medidas apropiadas y eficaces de administración y mitigación, por ende resulta necesario desarrollar una "metodología de identificación, evaluación y comprensión de riesgos acorde con la naturaleza y dimensión de su actividad comercial.
La Matriz de Riesgos, se ejecutará periódicamente y sus resultados expondrán el grado de exposición al riesgo de la compañía. Un modelo recomendado es el que mide el riesgo en dos dimensiones: probabilidad e impacto y el riesgo agregado surge como valor del riesgo calculado para cada uno de los clientes.
Factores de Riesgo
La norma establece que la Matriz de Riesgos debe considerar como mínimo, los siguientes factores de riesgo:
Se pone de manifiesto la importancia de contar con información completa del cliente incluyendo datos socio económicos e impositivos, para poder medir adecuadamente los riesgos y entender la licitud de origen de los fondos.
El Informe Técnico
Dicha metodología y los resultados obtenidos de la ejecución de la Matriz, deben constar en un Informe Técnico elaborado por el Oficial de Cumplimiento, el cual debe ser remitido a la UIF, una vez aprobado por Órgano de Administración, antes del 30 de abril de cada año calendario y cuando se produzca una modificación en el nivel de riesgo del Sujeto Obligado.
El Informe, debe cumplir con las siguientes características:
• Considerar los factores de riesgo mencionados en el punto anterior, es decir clientes, productos, canales y zonas geográficas, en cada una de sus líneas de negocio, el nivel de riesgo inherente, el nivel y tipo apropiados de administración y mitigación a aplicar.
• Tener en cuenta la información suministrada por la UIF u otras autoridades competentes acerca de los riesgos de LA/FT, los resultados de las Evaluaciones Nacionales de Riesgo de LA/FT/FP y otros documentos en los que se identifiquen riesgos vinculados con el sector, tipologías y/o guías.
• Ser autosuficiente, estar documentado y conservarse junto con la metodología, la documentación, los datos estadísticos y la información que lo sustente.
• Ser actualizado anualmente y enviado a la UIF y a la CNV, junto con la metodología, una vez aprobado, antes del 30 de abril de cada año calendario, y cuando se produzca una modificación en el nivel de riesgo-
Implicancias del Informe
Este informe de Autoevaluación, presenta varias implicancias directas en la dirección y gestión de la Entidad, que no pueden ser soslayadas a la hora de su elaboración.
La primera de ellas deviene de la obligación de ser presentado ante la UIF, siendo que seguramente el informe de marras, será uno de los componentes utilizados por el Supervisor para determinar el riesgo de cada Sujeto Obligado. Esta calificación de riesgo es sin duda uno de los criterios que, en los procesos de supervisión, definen la modalidad de inspección, es decir, la periodicidad, alcance, el formato extra situ o in situ, etc. Por supuesto esa información es complementada con otras, tales como la dimensión económica relativa dentro del sistema, la calidad del gobierno corporativo, las evaluaciones de terceros, etc., y conjuntamente definirán la calificación final de la entidad.
La segunda de las implicancias es que la calidad y el ajuste a la realidad de este informe, revela a los Supervisores el compromiso y la gestión de la Dirección y del Oficial de Cumplimiento, valores que resultan claves en estos enfoques. Una entidad con prácticas robustas de gobierno corporativo e involucramiento directo del Oficial en la gestión de esta materia, debe ser evaluada como una entidad de menor riesgo.
También impacta en forma directa en la gestión operativa y comercial de la Entidad. Sus resultados serán determinantes para el cumplimiento de otras obligaciones, por ejemplo, la confección de la "Declaración de tolerancia al riesgo de LA/FT" y las "Políticas para la aceptación de Clientes que presenten un alto Riesgo". Condiciona a su vez, los niveles de debida diligencia, generando cambios en los procesos internos de la entidad, tales como el requerimiento de documentación la vinculación de un cliente, la periodicidad de actualización de sus legajos y el seguimiento de sus operaciones.
Los grados de la Debida Diligencia
La norma establece que la Entidad deberá adoptar medidas reforzadas, específicas o simplificadas, dependiendo del nivel de riesgo detectado.
Esto requiere mantener relaciones con el Cliente, identificando en forma fehaciente su identidad, su actividad y origen de los fondos, utilizando además y de corresponder, esquemas de controles cruzados que permitan validar la información. Es decir que se vincula estrechamente con la Política de Conozca a su Cliente.
Las medidas ya sean controles o mitigantes, deben asegurar que el nivel de riesgo se mantenga dentro de los niveles y características aprobadas por el órgano de administración o máxima autoridad de la Entidad.
Políticas de Riesgo
Las Entidades deberán contar con:
• Una declaración de tolerancia al riesgo de LA/FT, aprobada por el órgano de administración o la máxima autoridad de la Entidad y debe reflejar el nivel de riesgo aceptado en relación a Clientes, productos y/ o servicios, canales de distribución y zonas geográficas, exponiendo las razones tenidas en cuenta para tal aceptación, así como las acciones mitigantes para un adecuado monitoreo de los mismos".
• Políticas para la aceptación de Clientes que presenten un alto Riesgo de LA/FT. Deben preverse condiciones generales y particulares de aceptación, niveles de aprobación y detalle de tipos de clientes con los que no se operará y las razones.
Algunas consideraciones:
Una adecuada declaración de tolerancia o apetito de riesgo, exige una correcta medición del grado de exposición y un adecuado criterio de fijación, ya que errores en esos márgenes condicionan negativamente el negocio si son demasiado exigentes o pueden convertir a la entidad, en permeable al delito, cuando los límites son muy laxos.
Lo mismo ocurre con las políticas de aceptación. Ninguna de las posturas extremas, se encuentran enmarcadas en el espíritu de la ley y la regulación vigente, ni la gestión laxa, donde no existen límites a la vinculación de clientes, ni el de Risking, que implica no aceptar clientes producto de la actividad que desarrolla, a pesar de que misma pueda ser lícita y legal. Debemos recordar que la regulación vigente exige una adecuada diligencia. En este marco, una adecuada política de aceptación para clientes de alto riesgo exige una efectiva valoración y un sustento robusto, a fin de evitar que la política de no operar con determinados clientes, pueda derivar en reclamos sustentados en la discriminación.
Monitoreo de riesgos
Siguiendo lógica de la gestión de riesgos, la regulación exige un efectivo proceso de monitoreo. A tal fin la entidad deberá aplicar políticas de segmentación de Clientes en base a su riesgo. Para esto se deberá contar con un sistema de calificación (modelo de scoring o modelo de rating, con factores cualitativos y/ o cuantitativos) de Riesgos de LA/FT. Esta misma lógica también sustenta los grados de aplicación de Debida Diligencia.
Plan de Implementación
La norma prevé un cronograma lógico de implementación, estableciéndose:
• La resolución comenzará a regir a partir del día siguiente a su publicación, que fue el pasado viernes 22 de marzo.
• Esto implica que la misma es de aplicación a partir del día 25 de marzo en todos sus términos, excepto para las obligaciones siguientes:
o El primer informe de autoevaluación y la metodología aplicada, antes del 30 de abril de 2025. Dicha autoevaluación deberá contemplar el análisis del período 2024.
o Primer informe del revisor externo independiente (artículo 19 inciso a) de la presente) antes del 31 de agosto de 2025. Dicho informe deberá contemplar el período 2024.
o Primer informe sistemático anual (artículo 39 inciso c) entre el 2 de enero y el 15 de marzo de 2025 y deberá contener la información solicitada respecto del año 2024.
Daniel Gerardo Perrotta
www.decisiola.com
Descubra las soluciones específicas que tenemos para: