Dentro de las obligaciones que asumen las compañías enmarcadas en los modelos de gestión de riesgos, se encuentra la actualización de datos para el análisis de riesgo. No obstante, desde una aplicación práctica, surgen múltiples interrogantes en relación con el alcance de la misma y a los esquemas de conocimiento del tercero.
¿Cuál es el propósito fundamental de la actualización de datos?
Se abordan los aspectos a continuación:
El conocimiento del tercero supone el diligenciamiento de formatos y el recaudo de documentación, con el propósito de capturar datos que permitan realizar un análisis de riesgo y tomar decisiones informadas.
Esta información contiene datos estáticos que no presentan variaciones en el tiempo; por ejemplo, la identificación de las personas. No se debe indagar si la persona aún se identifica con el mismo documento (cédula, DNI, pasaporte, o del que se trate). Además, no se exige actualizar esta información y bastará con monitorear el estatus de las mismas.
Existen otros datos que pueden sufrir modificaciones alterando el análisis de riesgo inicial; por ejemplo, puede haber un cambio en los esquemas de administración de la sociedad con un nuevo representante legal.
Esta información debe ser conocida y además supone la obligación de aplicar todos los controles definidos para dicho rol; por ejemplo, el formulario de conocimiento, firma y huella, declaración de origen de fondos, consulta en listas, entre otros. Tratándose de estos últimos, supone una actualización de la información y del análisis de riesgo.
Actualización de datos a partir de la vinculación
La mayoría de las disposiciones exige confirmar y actualizar la información suministrada al momento de la vinculación (al menos con periodicidad anual). Sin embargo, ello se realiza a modo de seguimiento, pues de existir variaciones sustanciales en la información inicialmente suministrada, debe actualizarse. Esto significa que:
- Siempre que existan modificaciones de la información relevante y que fue objeto de análisis, para establecer el riesgo y tomar la decisión de vinculación.
- No debería esperarse a que transcurra un año para conocer de esta clase de variaciones o modificaciones, aun cuando esta verificación anual puede constituir un control para detectar esta clase de cambios.
- Se deben generar precisas obligaciones que impongan notificar de inmediato cualquier cambio en información sustancial que resulte relevante al análisis de riesgo. Por ejemplo, cláusulas contractuales u otros similares que así lo establezcan.
Visto lo anterior, los datos que se deben actualizar suponen aquellos que hayan cambiado en el tiempo, sin que sea necesario repetir todo el proceso inicial de vinculación. Si no ha habido cambios sustanciales frente a la información, basta con monitorear que el análisis inicial no haya cambiado. Si existen cambios, la información o documentación a diligenciar dependerá de la que se requiera para dicho propósito.
¿Cómo obtener los datos o documentar información?
Las empresas pueden disponer de nuevos mecanismos de recaudo de la información o para documentar el proceso de actualización de la información dejando la trazabilidad y evidencia.
Este proceso tiende a ser dispendioso y no existe cultura interiorizada sobre el particular. Por ello, se pueden definir diversos mecanismos que potencialicen o posibiliten en mejor forma esta actividad. Pueden hacerse concursos, otorgar beneficios, cruzar con información financiera, incluso, cuando se trata de datos públicos, acogerlo como trámite interno orientado a detectar cambios.
También pueden emplearse herramientas tecnológicas manteniendo la seguridad de la información y que se tenga la certeza de la identidad del tercero con las disposiciones de seguridad de la información y documentos electrónicos aplicables.
Análisis de riesgo en los modelos de gestíon de riesgos
Finalmente, es importante tener en cuenta que no se trata simplemente de actualizar la información, sino permitir la actualización del análisis de riesgo y tomar las decisiones que corresponda de acuerdo al Modelo de Gestión de Riesgos.
Por lo mismo, es importante que desde el inicio se fijen las condiciones de esta dinámica, incluso a nivel de los Manuales de Gestión de Riesgos, la inclusión de cláusulas o condiciones específicas en los documentos en que conste la vinculación, optimizando el ejercicio y cubriendo escenarios como:
- Modificación del análisis de riesgo inicial decisiones a tomar, posiiblidad de terminación de la relación.
- Negativa a suministrar información actualizada, consecuencias y potenciales decisiones.
- Imposibilidad de adelantar actividad de actualización (acceso a la información).