En la evaluación, gestión y control de riesgos, las entidades financieras, una vez han establecido unos mecanismos de gobierno interno adecuados, deben configurar 3 líneas de defensa contra el blanqueo de capitales y la financiación del terrorismo.

La primera de estas líneas la encabezan las unidades de negocio ya que, en la medida que mantienen el contacto directo con los clientes, son las encargadas de identificar, evaluar y controlar los riesgos de sus actividades.

Estas unidades deberán conocer y aplicar las políticas y procedimientos fijados por la entidad que, previamente, habrá especificado por escrito a todo el personal. Estos procedimientos incluirán también una descripción clara de las obligaciones de los empleados y de las instrucciones que deben seguir, así como orientaciones para que la actividad del banco cumpla con las preceptivas regulaciones y el control interno necesario para detectar y notificar transacciones sospechosas.

En este sentido, el Comité de Supervisión Bancaria de Basilea recomienda a los bancos que cuiden la selección de su personal “a fin de garantizar unos elevados principios éticos y profesionales”, así como que implanten programas de formación adaptados para el personal de los distintos departamentos “con arreglo a sus necesidades y al perfil de riesgo de la entidad”.

La segunda línea de defensa tiene como protagonista al responsable de PBC/FT y a su función de supervisión del cumplimiento normativo. Es el equivalente al director de riesgos o director de cumplimiento.

Se trata, por tanto, de una figura que, en contacto con los órganos supervisores y/o unidades de inteligencia financiera, tendrá que asumir la verificación de que se cumple la normativa junto al examen de los informes de anomalías y notificación de operaciones sospechosas. Con todo ello será quien alerte al Consejo de Administración si considera que la dirección no está aplicando los procedimientos de forma responsable.

Y como los intereses comerciales de la entidad no deberán oponerse al trabajo del responsable de PBC/FT, tal como señala el Comité de Supervisión Bancaria de Basilea, éste “no deberá, por ejemplo, asumir competencias en las líneas de negocio ni en el contexto de protección de datos o en la función de auditoría interna”.

Precisamente la auditoría interna completa las 3 líneas de defensa con la evaluación independiente de la gestión y los controles del riesgo, mediante análisis periódicos de la eficacia del cumplimiento normativo. El alcance, metodología y frecuencias de estas auditorías deberá adecuarse al perfil de riesgo de la entidad.

Las políticas para las auditorías deberán implantarse sobre la adecuación de los procedimientos PBC/FT de la entidad sobre los riesgos identificados, así como en la eficacia de su aplicación por parte del personal; la de la vigilancia del cumplimiento y del control de calidad, incluyendo parámetros de alerta automática; y, por último, la de los programas de formación interna.

Hay que destacar, además, el papel que juegan en muchos países los auditores externos al evaluar los controles y procedimientos internos de las entidades.