VERSION CONSULTA PUBLICA 7.09.2016. PROYECTO DE ACUERDO DE LA DEBIDA IDENTIFICACION Y EVALUACION DE LOS RIESGOS POR PARTE DE LOS SUJETOS OBLIGADOS FINANCIEROS DE LA SUPERINTENDENCIA DEL MERCADO DE VALORES EN EL DESARROLLO DE NUEVOS PRODUCTOS, PRACTICAS COMERCIALES, USO E INTRODUCCION DE NUEVAS TECNOLOGIAS ACUERDA ARTÍCULO PRIMERO: ADOPTAR las reglas aplicables por parte de los sujetos obligados financieros supervisados por la Superintendencia del Mercado de Valores al momento de identificar, evaluar y administrar sus riesgos de blanqueo de capitales, financiamiento del terrorismo y del financiamiento de la proliferación de armas de destrucción masiva con relación al desarrollo de nuevos productos y nuevas prácticas comerciales, incluyendo nuevas formas de envío y el uso de nuevas tecnologías en el desarrollo u ofrecimiento de productos. Artículo 1. Ámbito de Aplicación. El presente acuerdo será aplicable a los Sujetos Obligados Financieros supervisados por la Superintendencia del Mercado de Valores, a saber: 1. Organizaciones autorreguladas, 2. Casas de Valores, 3. Administradores de Inversión; 4. Administradoras de Fondos de Pensiones; 5. Administradoras de Inversión de Fondos de Cesantía; 6. Sociedades de Inversión; 7. Sociedades de Inversión Auto Administradas; 8. Asesores de Inversión; y 9. Proveedor de Servicios Administrativos del Mercado de Valores Artículo 2. Objeto del Acuerdo. El presente acuerdo establece obligaciones y medidas que deben adoptar por parte de los sujetos obligados financieros al momento de desarrollar nuevos productos e implementar nuevas prácticas comerciales, incluyendo OBSERVACIONES Recomendamos: 4.- Debe decir: Administradoras de Inversión de Fondos de Pensiones, ya que el que administra pensión, no administra inversión.
formas de comunicación con los clientes, confirmación de los servicios, así como el uso o implementación de nuevas tecnologías para el desarrollo, envío de información, comercialización u ofrecimiento de productos o servicios. Artículo 3. Enfoque Basado en Riesgos. De conformidad con lo dispuesto en el artículo 20 de la Ley 23 de 27 de abril de 2015, los sujetos obligados financieros supervisados por la Superintendencia del Mercado de Valores tienen la obligación de adoptar un enfoque basado en riesgos que permita tener un entendimiento real y claro de los riesgos de los delitos de blanqueo de capitales, financiamiento del terrorismo y flnanciamiento de la proliferación de armas de destrucción masiva. El enfoque basado en riesgo adoptado por el sujeto obligado financiero para el desarrollo de sus operaciones, ofrecimiento de productos y servicios, debe incluir los riesgos identificados dentro de la Evaluación Nacional de Riesgo de la República de Panamá Artículo 4. Uso de Nuevas Tecnologías. Los sujetos obligados financieros al momento de desarrollar nuevos productos o implementar nuevas prácticas comerciales, incluyendo, sin limitar, el uso de nuevas plataformas tecnológicas, nuevas formas de ofrecimiento de productos y servicios, formas de envío y recepción de información u órdenes de clientes, implementación de nuevas tecnologías para el desarrollo o comercialización de productos o servicios, tanto nuevos como existentes, deberán establecer las siguientes medidas mínimas de prevención: 1. Identificar, evaluar y establecer medidas de mitigación de riesgos de forma previa al lanzamiento de nuevos productos, adopción de nuevas prácticas comerciales, o el uso de nuevas tecnologías para el desarrollo, comercialización u ofrecimiento de productos. 2. Implementar de forma efectiva una debida diligencia que permita la adecuada identificación y verificación de la información del cliente, confirmación del producto o servicio solicitado, aseguramiento, registro y confidencialidad de la información. 2: Consideramos que las disposiciones del acuerdo deben estar orientadas a procurar que los sujetos obligados, evalúen los riesgos de AML que les representan los nuevos productos, prácticas comerciales, y nuevas tecnologías aplicables a productos nuevos y existentes, y
3. Actualizar y reformar el Manual de Prevención adoptado, incluyendo sus procedimientos, a fin de que los mismos contengan identificados, evaluados y bien administrados los riesgos inherentes a la operación, productos o servicios ofertados, incluyendo sin limitar, el tipo de cliente, producto o servicio requerido u ofertado, área geográfica del cliente, perfil de riesgo y financiero del inversionista. 4. Revisar, modificar y actualizar las matrices de riesgos adoptadas por lo sujetos obligados financieros, a fin que se incluyan entre sus factores los riesgos relacionados al uso de nuevas tecnologías, nuevas formas de ofrecimiento, desarrollo, comercialización y envío de información sobre los productos y servicios ofrecidos. 5. Establecer claramente una política y estrategia para la mitigación de los potenciales riesgos de los delitos de blanqueo de capitales, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva con relación al uso de nuevas tecnologías, desarrollo de productos y nuevas prácticas comerciales. 6. Establecer medidas preventivas reforzadas sobre el uso de nuevas tecnologías, implementación de nuevas prácticas comerciales, ofrecimiento o demanda de productos o servicios en aquellos clientes domiciliados en países de mayor riesgo o sobre negocios o transacciones con personas naturales y jurídicas e instituciones financieras procedentes de países que de acuerdo a las recomendaciones de organismos internacionales no aplican medidas suficientes para la prevención de los delitos de blanqueo de capitales, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva. Cuando algún inicio de relación comercial o transacción no tenga una causa lícita o económica aparente, deberá examinarse su trasfondo y fines, en la medida de o posible; los resultados de este examen deben constar por escrito y estar disponible para la Superintendencia del Mercado de establezcan los respectivos mitigantes. La obligación de aplicar medidas de diligencia sobre clientes, así como las gestiones comprendidas en los distintos tipos de diligencia (baja, básica, ampliada), ya constan detalladas en el Acuerdo 6-2015, y en nuestra opinión, NO se ven afectadas por la implementación de nuevos productos, prácticas y tecnologías. En este sentido, se recomienda eliminar este numeral. 3: Consideramos que las disposiciones del acuerdo deben estar orientadas a procurar que los sujetos regulados, realicen una evaluación de los riesgos que representa un nuevo producto, práctica o tecnología, y que la misma se integre a la evaluación que realice el sujeto sobre su perfil de riesgo (la cual incluye factores como tipos de clientes, productos, geografías, canales, etc.). En la medida en que el nuevo producto, práctica o tecnología, requiera controles adicionales a los previstos en las políticas incluidas en el Manual de Prevención, se requeriría actualizar el Manual, de lo contrario no sería necesario. En este sentido, no consideramos que deba requerirse la actualización del Manual de Prevención, como un resultado necesario de la implementación de un nuevo producto, práctica o tecnología. El Manual de Prevención debe contemplar en todo caso, la necesidad de realizar evaluaciones en caso de implementación de un nuevo producto, práctica o tecnología, la necesidad de aplicar definir y aplicar una metodología para realizar estas evaluaciones, así como la necesidad de ajuste en la medida en que se requieran la implementación de mitigantes y controles adicionales en función de la exposición al riesgo que estos nuevos productos, prácticas y tecnologías representen. 5: Según lo expresado en puntos anteriores, nuestra recomendación es que se exija la implementación de una metodología para la evaluación de riesgos AML relacionados con el uso de nuevas tecnologías. Si como resultado de la evaluación se identifican riesgos que
Valores, el Comité de Auditoría y la Unidad de Análisis Financiero. 7. Cualquier otra medida instruida por la Superintendencia del Mercado de Valores o establecida por consideración del propio sujeto obligado financiero. Los sujetos obligados financieros no podrán pactar cláusulas limitantes de su responsabilidad que se deriven de sus relaciones con terceros vinculados en la prestación de servicios que comprendan nuevos productos, nuevas prácticas comerciales, o el uso de nuevas tecnologías. requieren la implementación de controles adicionales, entonces la entidad deberá consignar los respectivos controles y mitigantes en las políticas y procedimientos respectivos. 6: Consideramos que las disposiciones vigentes en materia de prevención, contemplan las circunstancias que condicionan o determinan la aplicación de los distintos tipos de medidas de debida diligencia. Por aplicación del enfoque basado en riesgo previsto en la normativa vigente, en función del perfil de riesgo del cliente (el cual será establecido teniendo en cuenta determinados factores, incluyendo, geografías y actividades), le serán aplicables medidas de diligencia menos o más rigurosas. En este sentido, consideramos que la precisión que hace este numeral no es necesaria, toda vez que la normativa actual ya prevé los factores que debe tener en cuenta un sujeto obligado para determinar el perfil de riesgo de un cliente, y a su vez prevé las medidas de debida diligencia aplicables en función del perfil de riesgo del cliente. Para no generar varias disposiciones referidas a un mismo tema, se recomienda eliminar este numeral. Último párrafo: En nuestra opinión, este es un tema complejo, que ameritaría ser revisado en su integralidad y a profundidad, no solo con respecto a nuevos productos y tecnologías, sino con respecto a las tercerizaciones en términos generales. Estimamos que la posibilidad o no del sujeto obligado de limitar su responsabilidad, debe estar asociada al tipo y criticidad del servicio tercerizado, entre otros aspectos. Teniendo en cuenta lo delicado del tema, y considerando que la limitación prevista en este párrafo no guarda relación con un tema de prevención de blanqueo de capitales, recomendamos no abordarlo en este acuerdo. Se recomienda eliminar el párrafo. Artículo 5. Evaluaciones Independientes. La Superintendencia del Mercado de Valores está Consideramos que las evaluaciones independientes en materia de prevención,
facultada para solicitar informes de auditorías especiales externas de conformidad con lo establecido en el artículo 45 de la Ley 23 de 27 de abril de 2015, por parte de sujetos obligados financieros respecto a los cuales se ha autorizado la modificación de su plan de negocios o documentos iniciales de operación para la prestación de servicios u ofrecimiento de productos. En caso de ser requeridas, dichas auditorías especiales o evaluaciones independientes deberán fundamentarse en base a los riesgos identificados. Artículo 6. Rotación del Equipo de Auditoría o Especialistas, en materia de Prevención. El equipo de los auditores externos o los especialistas encargados de realizar las auditorías externas especializadas en materia de prevención, deberán rotar cada cinco (5) años; debiendo revisarse en dichas auditorías como mínimo, los siguientes aspectos: 1. Estudio y análisis del riesgo en los servicios, operaciones, nuevos productos, uso de nuevas tecnologías, según el tamaño del sujeto obligado, su complejidad, el alcance de sus actividades, su perfil de riesgo, la calidad de sus funciones de control, su diversidad geográfica, cantidad de productos y servicios, clientes, requieren de una regulación integral, que establezca entre otras, las características o capacidades de las personas que actúen como evaluadores independientes, la periodicidad con la cual se deben realizar estas evaluaciones, el periodo que deben comprender las evaluaciones, y el alcance mínimo de las evaluaciones. En cualquier caso, teniendo en cuenta que estas evaluaciones se deberían requerir con cierta periodicidad, no consideramos se deban exigir evaluaciones de este tipo, puntuales y específicas, asociadas al hecho de haber implementado un nuevo producto, servicio o tecnología. La evaluación independiente, en la medida en que se realice de forma periódica, estará referida a la efectividad de los controles aplicados en materia de prevención en general, lo cual llevará implícita la evaluación de controles respecto de los productos y canales más recientemente implementados por el sujeto obligado. Requerir este tipo de evaluaciones, en la medida en que se implementen nuevos productos o tecnologías, en adición a las evaluaciones periódicas, resultaría además costoso, y representaría un obstáculo para la innovación, desarrollo de nuevas capacidades y dinamismo del sector. Se recomienda eliminar el requerimiento de evaluaciones independientes asociadas a nuevos productos, tecnologías y prácticas comerciales. Con respecto a los aspectos que, según este artículo, deberán ser evaluados por los evaluadores independientes, tenemos las siguientes observaciones: Las evaluaciones independientes deben enfocarse en la efectividad de controles internos. No obstante, de la redacción del artículo, este enfoque no resulta claro (ejemplo: referencia a estudio y análisis de los riesgos de servicios y productos; referencia a evolución de la relación de negocios del cliente y nuevos productos).
canales de distribución, el volumen de operaciones y el uso que hace de la tecnología. 2. Adecuación de criterios de identificación del cliente, implementación de medidas de debida diligencia (básica o reforzada), y establecimiento de umbrales económicos por operaciones o acumulación de operaciones en determinados plazos. 3. Evolución en la relación de negocios del cliente y los nuevos productos, servicios o tecnologías. 4. Identificación de las operaciones de mayor riesgo, 5. Idoneidad en la formación del recurso humano que presta los servicios, operaciones y nuevos productos, 6. Evaluación y validación de los registros y datos almacenados por el sujeto obligado, que permitan que la información o documentación en custodia por parte del regulado sea debidamente auditada. 7. Recomendaciones para la eficaz y efectiva aplicación del Manual y Políticas de Prevención, en los casos que sea necesario. Artículo 7. Sanciones. Las violaciones o incumplimientos a la Ley 23 de 27 de abril de 2015 y el presente acuerdo serán sancionados por la Superintendencia del Mercado de Valores conforme a las disposiciones establecidas en los artículos 59 al 66 de la Ley 23 de 2015. Para la determinación de las infracciones y la aplicación de las sanciones dispuestas en dichos artículos, se aplicará el procedimiento sancionatorio vigente adoptado por la Superintendencia. De no existir un procedimiento sancionatorio, se observará supletoriamente lo establecido en la Ley de Procedimiento Administrativo ARTÍCULO SEGUNDO: (PLAZO DE ADECUACIÓN) Los Sujetos Obligados Financieros tendrán un plazo de treinta (30) días calendarios, a partir de la entrada en vigencia del presente Acuerdo, para adecuar sus mecanismos, políticas y metodologías con enfoque basado en riesgo, de conformidad con lo establecido en el presente Acuerdo. A continuación, detallamos para su consideración, algunos de los aspectos que consideramos deben ser cubiertos en las evaluaciones independientes en materia de prevención: (i) revisión del diseño y contenido de los manuales y políticas del sujeto y su adecuación a lo previsto en normativa aplicable (leyes, reglamentaciones y acuerdos) en materia de prevención; (ii) revisión de efectividad de estructura y controles internos del sujeto asociados a la prevención, lo cual incluye la revisar que los siguientes aspectos sean adecuados: estructura organizativa, perfiles, jerarquía e independencia de funcionarios clave, evaluaciones de riesgo del sujeto, evaluación de riesgo de clientes, plan de trabajo, medidas de debida diligencia, revisión y actualización de clientes, monitoreo transaccional, resguardo de información, reportes de transacciones en efectivo y de operaciones sospechosas, procedimiento de congelamiento preventivo, capacitaciones, gestión del seguimiento de informes de auditoría interna y reguladores. Para la implementación de los requerimientos previstos en el Proyecto, los sujetos obligados tendrán que realizar adecuaciones en sus manuales, procedimientos y procesos, así como desarrollar e implementar una metodología para la evaluación de riesgos asociados a nuevos productos y nuevas tecnologías; todo lo cual requiere de un plazo razonable. Por su parte, y teniendo en cuenta
ARTÍCULO TERCERO: (VIGENCIA) El presente Acuerdo entrará a regir a partir del día siguiente de su promulgación en la Gaceta Oficial de la República de Panamá. Dado en la ciudad de Panamá, a los _ () días de! mes de _ dos mil dieciséis (2016). lo anterior, consideramos, además, que la entrada en vigencia del Proyecto, no debe afectar aquellos productos y servicios cuya fecha de lanzamiento esté próxima a ocurrir y pueda coincidir con la fecha de emisión de este Acuerdo. Teniendo en cuenta todo lo anterior, se solicita ampliar, y conceder al menos noventa (90) días, para la entrada en vigencia del Proyecto.