Infolaft edición 122 by Revista Infolaft

Calle 71 Nº 5 -97 Of. 201 Bogotá www.infolaft.com Director Alberto Lozano Vila Equipo de redacción Jaime Luis Posada Salgado Santiago Ramírez López Sergio Andrés Reyes Díaz Diseño y diagramación Ángela Vargas Jácome

Esta publicación presenta a sus lectores información pertinente a la prevención del lavado de activos y la financiación del terrorismo. En ningún caso constituye un documento legal o responsabiliza legalmente a sus autores. Las opiniones, recomendaciones y documentos técnicos publicados en este medio no responsabilizan por ningún motivo al equipo de Infolaft. Para una asesoría profesional en este tema se debe contactar a Lozano Consultores. Recomendamos que siempre se acuda a la fuente primaria de la información. Los logos de las entidades que son reproducidos en la publicación se incluyen únicamente para efectos informativos. La utilización de los mismos no implica ningún tipo de participación de las mismas en los artículos ni en la publicación. Prohibida su reproducción total o parcial sin autorización escrita de su titular. Derechos reservados. Todas las imágenes usadas en esta publicación tienen licencia Creative Commons 0, lo que permite su uso y reproducción libre. Edición Nº 122 Mayo de 2019 Atribuciones: Vectores: Freepik.com - Flaticon.com

EDITORIAL

momento de fundar Infolaft, hace una década, jamás imaginé que nuestra revista de contenido técnico para apoyar la labor de los profesionales de cumplimiento alcanzaría la dimensión que tiene hoy. En efecto, diez años después de nuestro nacimiento como sistema de información en Colombia, Infolaft es leída de forma abultada en cinco países, completa 122 números ininterrumpidos, recibe alrededor de 120 mil visitas anuales en su sitio web, convoca a más de 500 profesionales de cumplimiento por año en sus foros presenciales y virtuales y se ha convertido en el referente académico obligado de quienes se dedican a prevenir el lavado de activos, la financiación del terrorismo y sus delitos relacionados desde las empresas privadas. Pero el camino para llegar hasta aquí no ha sido sencillo. Inicialmente para publicar la revista, que era a dos tintas y tenía pocos artículos, era necesario frenar cualquier otra actividad en la oficina con el fin de que todos los colaboradores de Lozano Consultores e Infolaft nos dedicáramos a generar el contenido y a corregir los textos. Hoy, diez años después, el equipo de Infolaft alcanza más de 25 personas especializadas entre periodistas, realizadores audiovisuales, diseñadores, diagramadores, monitoreadores de prensa y funcionarios administrativos. Esta trayectoria, además de ser una de nuestras principales cartas de reconocimiento frente a nuestros lectores y frente a la comunidad en general, también se nos presenta como una gruesa responsabilidad porque somos el único medio de comunicación en Colombia con nuestro enfoque: Infolaft publica información que otros medios no divulgan, genera contenido técnico de apoyo a las tareas de cumplimiento, presenta en español información relevante que sólo se encuentra en otros idiomas y expone la visión de expertos en la lucha nacional y mundial contra el blanqueo de capitales y la financiación terrorista.

Es por esto que Infolaft debe seguir existiendo en nuestro ámbito: porque estamos seguros de que lo que hacemos es importante, y que además de prestarle un servicio valioso a toda la comunidad de cumplimiento, también ha contribuido en fortalecer y formar un Sistema Nacional Antilavado en el que el Estado realiza su aporte, pero en el que los particulares tienen un papel preponderante como primera línea de defensa para evitar la entrada de dineros ilícitos a la economía Más allá de celebrar por lo alto nuestra primera década, y de recordar algunos de nuestros pasos, no queda más que trazar el camino para los años que están por venir: buscaremos que nuestra revista sea más interactiva con los lectores a quienes incentivaremos a participar y aportar activamente en la construcción de Infolaft, pensaremos nuevos formatos para difundir nuestro contenido y planearemos la llegada a otras áreas de las organizaciones que también desarrollan tareas de cumplimiento, como las que gestionan derecho de autor, derechos humanos, ética empresarial y hábeas data. Así es como en los próximos diez años Infolaft promete estar a la vanguardia tecnológica y humana para seguir recorriendo el camino y así lograr que este producto vivo, que es Infolaft, siga creciendo y continúe posicionándose como un referente en América Latina y Estados Unidos sin abandonar en ningún momento la cercanía con nuestros lectores y usuarios, a quienes nos debemos enteramente.

CONTENIDO

¿Qué es Sarlaft? El Sarlaft está compuesto por cuatro etapas y ocho elementos para prevenir el lavado de activos. Infolaft le explica cómo evaluar e implementar este modelo.

Sagrlaft de Supersociedades: todo lo que debe saber El Sagrlaft impone numerosas obligaciones a los empresarios y oficiales de cumplimiento. Sepa cuáles son a través de este artículo.

Recomendaciones para hacer un buen manual Sarlaft La elaboración de un manual para prevención de LA/FT no consiste simplemente en incluir centenares de funciones en decenas de páginas.

¿Qué es debida diligencia? La debida diligencia para prevenir el LA/FT se exige en entidades del sector financiero, sector real, comercio exterior, entidades promotoras de salud (EPS) y abogados, entre otras. Su génesis, razón de ser y alcance tiene fundamento tanto en fenómenos nacionales como internacionales.

Las distintas formas de segmentar El núcleo del Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo (Sarlaft) es la segmentación de factores de riesgo.

Categorías de listas restrictivas para prevenir lavado de activos Existen listas restrictivas, listas obligatorias, listas permitidas, listas de cautela y hasta listas de PEP para administrar el riesgo de lavado de activos. Un buen oficial de cumplimiento debe conocer las diferencias entre ellas para evitar incurrir en malas prácticas.

15 Claves para consultar listas Existe poca información sobre las mejores prácticas a la hora de revisar listas y bases de datos para la debida diligencia. Conozca las 15 claves que recomienda Infolaft para una correcta y eficiente verificación.

Lo que debería ser noticia en los próximos 10 años Diversos informes, análisis, normas, noticias y estudios nacionales, extranjeros y multilaterales elaborados en los últimos dos años permiten identificar las principales preocupaciones, intereses y prioridades de las autoridades en materia de administración del riesgo derivado del lavado de activos y del financiamiento del terrorismo.

10 AÃ&#x2018;OS

10 Infolaft | Mayo 2019

10 AÑOS

Definición del Sarlaft Si queremos desarrollar la definición de Sarlaft un poco más, podríamos decir que es un sistema compuesto de etapas y elementos para que las entidades vigiladas por la Superintendencia Financiera de Colombia gestionen el riesgo de ser utilizadas como instrumento para dar apariencia de legalidad a activos provenientes de actividades delictivas, o para la canalización de recursos hacia la realización de actividades terroristas. Las etapas consisten en identificar, medir, controlar y hacer monitoreo de los riesgos de lavado de activos y financiación del terrorismo. Los elementos que soportan este propósito son ocho: políticas, procedimientos, documentación, estructura organizacional, órganos de control, infraestructura tecnológica, divulgación de la información y capacitación. En 2008 la Superintendencia Financiera decidió actualizar y mejorar el sistema anterior, conocido como Sistema Integral para la Prevención del Lavado de Activos (Sipla) y crear uno nuevo que se denomina Sarlaft. Este nuevo sistema se creó mediante la expedición de la circular 22 de 2007, la cual modificó la Circular Básica Jurídica de la antigua Superintendencia Bancaria – hoy Superintendencia Financiera– que establecía los controles relativos al lavado de activos. Para la Superintendencia Financiera, según un comunicado publicado en julio de 2008, el Sarlaft es el mecanismo que les permite a las entidades financieras “prevenir la pérdida o daño que pueden sufrir por su propensión a ser utilizadas (…) como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, por sus clientes o usuarios”. Es importante aclarar que no existe un Sarlaft tipo o modelo. Cada entidad tiene que crear, desarrollar y perfeccionar su propio Sarlaft o sistema de gestión del riesgo de lavado de activos y financiación del terrorismo. Por tal motivo habrá tantos Sarlaft como entidades que apliquen esta norma de la Superintendencia Financiera. El Sarlaft debe entenderse desde el punto de vista legal como una norma de la autoridad reguladora, un estándar mínimo que debe ser desarrollado y una recopilación de guías y mejores prácticas que se elevan a una norma de naturaleza obligatoria. Pero, desde el punto de vista interno, el Sarlaft se desarrolla y se personaliza para volverse el Sarlaft de la entidad. En este punto comienza a ser un sistema vivo y dinámico con recursos, presupuesto y responsables.

El Sarlaft para los funcionarios de la entidad se da a conocer mediante políticas y procedimientos que se convierten en el Manual Sarlaft. También se le asignan funciones a un área que se denomina de diferentes formas, pero a la cual algunas veces se le da el mismo nombre: área Sarlaft. Se puede llegar a crear el comité Sarlaft, la cartilla Sarlaft, el aplicativo Sarlaft, el curso Sarlaft, el examen Sarlaft y de esta manera pasamos de lo abstracto a lo concreto.

Marco legal del Sarlaft En la actualidad la norma Sarlaft está contenida dentro del Capítulo IV del Título IV en la Parte I de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia. Esta norma da pautas acerca de la forma como se debe cumplir el Estatuto Orgánico del Sistema Financiero en lo relativo a sus Artículo 102 y siguientes, los cuales desarrollan el tema de la prevención de actividades delictivas. Este estatuto ha tenido modificaciones expresas en materia de LA/FT mediante el Estatuto Anticorrupción y la Ley Contra la Financiación del Terrorismo.

Etapas del Sarlaft La Superintendencia Financiera establece que la gestión del riesgo se debe desarrollar mediante las siguientes etapas: • Identificación del riesgo de LA/FT • Medición de la probabilidad y el impacto del riesgo de LA/FT • Control del riesgo de LA/FT • Monitoreo del riesgo de LA/FT

Elementos del Sarlaft Las etapas por sí solas no constituyen el Sarlaft. Éstas deben ser implementadas mediante una serie de acciones y recursos que la norma ha denominado elementos. Este artículo no pretende abarcar todos los elementos del Sarlaft y algunos se tratan en forma tangencial cuando se relacionan con las etapas. A continuación se hará una breve descripción en forma de tabla de los elementos, pero el lector seguramente necesitará consultar la norma para conocer más sobre estos temas.

Elementos y su alcance • Políticas: Son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el Sarlaft. Cada una de las etapas y elementos del sistema debe contar con unas políticas claras y efectivamente aplicables.

Mayo 2019 | Infolaft 11

10 AÑOS • Procedimientos: Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del Sarlaft. • Documentación: Las etapas y los elementos del Sarlaft implementados por la entidad deben constar en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida. • Estructura organizacional: Las entidades deben establecer y asignar las facultades y funciones en relación con las distintas etapas y elementos del Sarlaft. • Órganos de control: Las entidades deben establecer órganos e instancias responsables de efectuar una evaluación del Sarlaft, a fin de que se puedan determinar sus fallas o debilidades e informarlas a las instancias pertinentes. • Infraestructura tecnológica: Las entidades deben contar con la tecnología y los sistemas necesarios para garantizar la adecuada administración del riesgo de LA/FT. Para ello deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño. • Divulgación de información: Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes. • Capacitación: Las entidades deben diseñar, programar y coordinar planes de capacitación sobre el Sarlaft dirigidos a todas las áreas y funcionarios de la entidad. Tal vez el elemento más complejo por su alcance y por la diversidad de temas que lo conforman es el que hace referencia a los procedimientos. Por esta razón decidimos mostrar los dos componentes principales de los procedimientos: los mecanismos y los instrumentos.

En su momento, el Sarlaft fue un invento nuevo, un esfuerzo por mejorar lo que se venía haciendo para transformarlo en algo más efectivo. No existe una sola forma de desarrollar el Sarlaft, pues la norma permite que cada entidad seleccione sus propias metodologías. Como el Sarlaft desarrolla los Artículos 102 al 107 del Estatuto Orgánico del Sistema Financiero, es necesario tener presente esa norma, de mayor jerarquía, al momento de interpretar los alcances de este sistema.

De la teoría a la práctica Aparte del aprendizaje adquirido en el trabajo de diseño de los Sarlaft de muchas entidades de los sectores financiero y real en Colombia, la actividad de consultoría y de docencia nos ha dado la posibilidad de comparar nuestra visión del Sarlaft con nuestros clientes –en su mayoría oficiales de cumplimiento y directivos de entidades financieras– y los demás profesores de los programas. También hemos sido invitados por la Superintendencia Financiera de Colombia a exponer nuestros puntos de vista junto con otros consultores y mediante un diálogo constructivo, hemos enriquecido mutuamente nuestras posiciones. Pero tal vez el ejercicio más retador, y por lo tanto el más fructífero, es el que se ha dado al interior de las entidades vigiladas. Las diferentes áreas de las entidades, cada una con intereses, enfoques y necesidades propias, nos retaron intelectualmente, permitiéndonos probar y perfeccionar en la práctica las bases teóricas que habíamos construido.

Del KYC al KYR La forma como la humanidad enfrenta la plaga del lavado de activos y la financiación del terrorismo ha cambiado y, consecuentemente, ha cambiado el rol que nosotros tenemos en este campo.

12 Infolaft | Mayo 2019

10 AÑOS Desde hace más de treinta años la lucha contra el lavado de activos se ha centrado en una idea que es a la vez simple y ambiciosa: conozca a su cliente. Este concepto se ha vuelto un mandato imperioso para todos los profesionales que, en razón del negocio que realizan, deben ejercer una debida diligencia en materia de lavado de activos y financiación del terrorismo. Recientemente el concepto de conocer al cliente le ha dado paso a otro más complejo y exigente: conozca su riesgo. Ya no basta con identificar los clientes, solicitarles documentos de soporte y monitorear sus operaciones para detectar todo movimiento que pueda salirse de su perfil de comportamiento. Adicionalmente, las entidades vigiladas deben emplear métodos técnicos de gestión de riesgo que permitan descomponer los factores que generan algún tipo de amenaza para la entidad. Esto es lógico, pues el riesgo no proviene simplemente del cliente; puede provenir de un usuario, un canal, un producto o una jurisdicción. Este avance, propuesto por el regulador, fue acogido de una forma crítica pero constructiva por las entidades vigiladas. Muy pronto, estas dispusieron de enormes presupuestos para poner a tono sus sistemas de control y avanzar en la dirección de la gestión integral del riesgo de lavado de activos y financiación del terrorismo. Una nueva dinámica muy interesante que se denotó en el sector financiero con la implementación del Sarlaft fue que los oficiales de cumplimento se profesionalizaron mediante la capacitación en gestión del riesgo en reconocidas universidades. Así mismo, las juntas directivas de las entidades aprobaron metodologías, manuales y mediciones que les han permitido intervenir de manera directa en la estrategia que emplean sus entidades para minimizar la probabilidad y/o las consecuencias de estar relacionadas con activos de origen ilícito, o de servir para la canalización de activos para actividades terroristas.

Debido a lo anterior hay que entender a la entidad como un sistema que ofrece ‘oportunidades’ a los delincuentes desde una perspectiva más amplia que no se limita únicamente a la condición de cliente. Hay que estar vigilantes de todos los aspectos de la operación, lo cual incluye los clientes, pero también sus usuarios, los canales transaccionales y de ventas y los productos y las jurisdicciones en las cuales tiene presencia o intereses. Con lo anterior en mente es claro que debemos pasar del KYC a lo que podríamos denominar el KYR (Know Your Risk) o en español: conozca su riesgo.

Antecedentes del Sarlaft La gestión profesional del riesgo en las entidades financieras y en las empresas no es un tema nuevo; tampoco lo es la prevención del lavado de activos y la financiación del terrorismo. Lo novedoso del Sarlaft radicó en que varias organizaciones y autoridades a nivel mundial en este campo coincidieron en recomendar el enfoque de gestión de riesgo para el tema de LA/FT. Como lo veremos en este punto, ya existía en Colombia una norma encaminada en este sentido. También las 40 Recomendaciones del Gafi contemplan esta filosofía, y varios países tienen sistemas que involucran este enfoque. El Sarlaft colombiano ha sido entendido por varios observadores como una propuesta ambiciosa y muy completa dentro de esta tendencia. Para el caso colombiano, el principal antecedente del enfoque de gestión de riesgo fue incluido en 1993 en el Estatuto Orgánico del Sistema Financiero colombiano, norma que en su Artículo 102 Numeral 4 establece: «Alcance y cobertura del control. Los mecanismos y auditoría de que trata este artículo podrán versar exclusivamente sobre las transacciones, operaciones o saldos cuyas cuantías sean superiores a las que se fijen como razonables y suficientes. Tales cuantías se establecerán en el mecanismo que adopte cada entidad atendiendo al tipo de negocios que realiza, amplitud de su red, los procedimientos de selección de clientes, el mercadeo de sus productos, capacidad operativa y nivel de desarrollo tecnológico».

Ya no basta con conocer los clientes, en inglés KYC (Know Your Client), debido a que esta forma de enfrentar el problema se volvió obsoleta pues los delincuentes aprendieron a suplantar clientes, comprar compañías que gozaban de buena reputación, infiltrar negocios lícitos, abusar de la confianza de las personas de bien, entre otras, vulnerando así los controles basados en los clientes. Mayo 2019 | Infolaft 13

10 AÑOS Esta norma, actualmente vigente, sirvió para establecer el marco general del antiguo Sipla, y hoy se desarrolla ampliamente en el Sarlaft. En el fragmento anterior se observa que las entidades le podrán dar un tratamiento diferente a los controles, según “las transacciones, operaciones o saldos cuyas cuantías sean superiores a las que se fijen como razonables y suficientes”. En el año 2006, la Reserva Federal de los Estados Unidos, por intermedio del Consejo de Supervisión de Instituciones Financieras (Federal Financial Institution Examination Council) publicó el Manual de Supervisión de los Sistemas Antilavado. Este documento contiene el concepto de gestión del riesgo de acuerdo con la exposición de la entidad. Además, incluye una matriz de riesgo y un esquema del sistema de cumplimiento basado en riesgo. Por otro lado, Australia, uno de los países líderes en la lucha contra el lavado de activos y la financiación del terrorismo en el mundo, expidió en 2006 una nueva ley sobre control de LA/FT –Anti-Money Laundering and Counter Terrorism Financing Act 2006–. Esta norma también desarrolla el enfoque de gestión de riesgo. Posteriormente, en 2007 Austrac, la Unidad de Inteligencia Financiera de dicho país, publicó una Guía de Gestión de Riesgo para LA/FT –Austrac Guidance Note Risk Management and AML/CTF Programs–. En dicha guía se recomienda por obvias razones que las entidades apliquen el estándar australiano de gestión de riesgo conocido como AS/NZS 4360:2004 (hoy AS/NZS ISO 31000:2009). Igualmente, el Grupo de Acción Financiera Internacional (Gafi) publicó en el año 2007 una guía con un enfoque basado en la gestión del riesgo de lavado de activos y financiación del terrorismo, que tiene como propósito servir de soporte en el desarrollo de lo que implica una gestión del riesgo de este tipo. Los términos en que están escritas las Recomendaciones del Gafi contienen unos principios que permiten que los países –hasta cierto grado– adopten un enfoque basado en riesgo para combatir el lavado de activos y la financiación del terrorismo. Estos términos autorizan a los países a permitir que las entidades financieras usen un sistema de gestión de riesgo para que flexibilicen algunas de sus obligaciones de prevención del LA/FT, todo dentro del principio de que los riesgos deben ser identificados para poder hacer un mejor uso de los recursos.

14 Infolaft | Mayo 2019

Si se tienen claras las prioridades, se pueden invertir los recursos en una forma más efectiva y así lograr más éxito en la lucha contra el LA/FT.

Limitaciones y diferencias del Sarlaft El Sarlaft se fundamenta en las técnicas de gestión de riesgo comúnmente empleadas en la industria financiera y en otras industrias, tales como Coso, ERM y el AS/NZS ISO 31000. También se nutre y se complementa desde el punto de vista técnico de los demás sistemas de administración de riesgo obligatorios para las entidades vigiladas como lo son los Sistemas de Administración de Riesgo Operativo (Saro), los Sistemas de Administración de Riesgo Crediticio (Sarc), los Sistemas de Administración del Riesgo de mercado (Sarm) y los Sistemas de Administración de Riesgo de Liquidez (Sarl). Como similitudes entre los sistemas de gestión de riesgo del sector financiero se pueden nombrar: 1. Todos definen y delimitan el riesgo al cual hacen referencia. 2. Establecen una metodología de gestión de riesgo que se compone de cuatro etapas: identificación, medición, control y monitoreo –a excepción de Sarc que solo tiene dos etapas: otorgamiento y control–. 3. Involucran ciertos elementos, para los cuales hacen requerimientos precisos. Estos son, en general: políticas, procedimientos, documentación, estructura organizacional, órganos de control, infraestructura tecnológica y divulgación de información. Entre las diferencias con los sistemas hermanos se encuentran las siguientes: Sarlaft otorga libertad metodológica Dentro del Sarlaft se pueden emplear mediciones de carácter cuantitativo o cualitativo. Debido a que la norma no desarrolla el tema a profundidad, las entidades tienen libertad para seleccionar la metodología más apropiada. Hay que entender que no existen desarrollos técnicos ni información histórica suficiente para construir bases conceptuales sólidas para el Sarlaft; por lo tanto no se le puede exigir a este sistema el mismo rigor que a los demás sistemas de gestión de riesgo como el Sarm, el cual es más riguroso en sus estándares cuantitativos. El Sarlaft no tiene equivalencia económica En el Sarlaft no se pide el cálculo de la pérdida esperada, ni de provisiones, y tampoco se hace referencia a la revelación contable del riesgo.

10 AÑOS La estrategia para gestionar el riesgo es más limitada

Confidencialidad y sensibilidad de la información

En principio el Sarlaft no permite aceptar ni trasladar el riesgo. Desde el punto de vista práctico, hay que mencionar que el impacto de ciertos riesgos se puede aceptar o trasladar, como es el caso de los impactos operativos o los impactos legales –principalmente de naturaleza contractual–.

En los demás riesgos, la información y la transparencia son sanas y recomendables. En esta materia, no es conveniente que los delincuentes conozcan las vulnerabilidades de las entidades ni las estrategias empleadas para evitar el lavado de activos y la financiación del terrorismo.

Hay que tener en cuenta que en la gestión del riesgo de lavado de activos y financiación del terrorismo, el gestor del riesgo muchas veces debe conciliar aspectos contradictorios, lo que conlleva a enfrentar el dilema que popularmente se entiende como “escoger entre dos males el menos malo”. Es el caso de la entidad que para evitar un riesgo reputacional decide incumplir un contrato con un cliente o, por el contrario, para evitar un riesgo legal derivado de una sanción acepta una medida impopular que le lleva a una pérdida de imagen. Para muchos, este concepto resulta difícil de entender, pero la realidad nos enseña que el administrador de riesgos muchas veces debe escoger el menor entre dos males No es obligación registrar eventos materializados En Saro se establece la obligación de registrar los eventos de riesgo que se materialicen, mientras que en Sarlaft no existe tal obligación, pero sí una obligación particular de reportar operaciones sospechosas.

Características especiales del Sarlaft No obstante las similitudes y características comunes, debemos entender la naturaleza única y especial del Sarlaft. En su aplicación práctica, hemos encontrado las siguientes características que marcan la diferencia con los otros sistemas de administración de riesgo: Imperceptibilidad del riesgo Los riesgos financieros son fácilmente detectables. Basta con consultar el saldo de la obligación para determinar si el cliente está en mora o no. Los conceptos de siniestro, pérdida y default como tales no se aplican en el Sarlaft. Los riesgos operativos son perceptibles por los sentidos y dejan consecuencias económicas que normalmente son fáciles de cuantificar y contabilizar. En cambio, los riesgos relacionados con lavado de activos y financiación del terrorismo requieren de grandes esfuerzos de detección, esfuerzos que nunca serán definitivos ni determinantes, pues quien define en última instancia si una operación fue ilícita o no, es un juez, algún tiempo después de ocurrida la transacción financiera.

La información de identificación y medición del riesgo es muy útil para los funcionarios de la entidad que la van a utilizar en forma constructiva y proactiva, pero la misma información fuera de contexto y utilizada por alguien que no entienda la naturaleza de la misma podría conllevar graves consecuencias. Por ejemplo, una entidad que logra reducir su riesgo de suplantación en el producto de cuentas corrientes de cien a diez casos al año. Alguien con poco tino podría decir que la entidad está admitiendo de antemano que sufrirá de lavado de activos diez veces al año y por lo tanto está aceptando y tolerando está conducta. Imposibilidad de eliminar el riesgo El delincuente muta, se transforma y espera el mejor momento para penetrar las entidades vigiladas. Los controles, por muy efectivos que sean no pueden ser infalibles, pues se topan con barreras naturales que deben ser respetadas como las libertades civiles, los derechos de los consumidores, el derecho al buen nombre y la presunción de buena fe. A su vez, los controles deben ser operativos, prácticos y costo eficientes para que las entidades puedan cumplir con su objeto social y su fin esencial de captación y colocación de los recursos del público. Hay que tener en cuenta que no se ha podido eliminar el riesgo por completo en otras disciplinas que ponen en peligro un bien jurídico más valioso como es la vida humana, y sería por lo tanto utópico pensar que en este campo se pueda lograr por simple decisión. Aunque lo anterior no riñe con la obligación de ejercer la debida vigilancia y gestionar adecuadamente todos los riesgos. Esfuerzo constante La imposibilidad de eliminar el riesgo implica que la gestión del riesgo de lavado de activos y financiación del terrorismo nunca llega a su fin. Nunca cesa la labor de disminuir la probabilidad o el impacto del riesgo mediante la implementación y el perfeccionamiento de controles.

Mayo 2019 | Infolaft 15

10 AÑOS Vale la pena recalcar que esta obligación es de medios y no de resultados, por lo tanto nunca cesa. Como en cualquier sistema, siempre que se fortalezca un elemento, los demás quedan relativamente más vulnerables y si se quiere fortalecer el sistema como un todo deben fortalecerse sus partes más débiles. En síntesis, hay mucho que aprender de los demás sistemas de riesgo. Pero ante todo hay que entender la naturaleza especial del Sarlaft y crear una serie de principios y técnicas especiales para las características antes descritas.

Aporte para la toma de decisiones Ante el esfuerzo significativo que implicó convertir el antiguo Sipla en un Sarlaft, las entidades tendieron a perder el rumbo y creer que la finalidad única del Sarlaft era el Sarlaft mismo. Esto, afortunadamente, no es así. El Sarlaft tiene muchas ventajas; hemos visto en los diferentes proyectos en los cuales participamos que un buen Sarlaft implica, entre otros, los siguientes beneficios: • Profesionalización de las labores relacionadas con la prevención del lavado de activos y la financiación del terrorismo. • Pautas más objetivas para la determinación de operaciones sospechosas. • Uniformidad de criterios en torno a los riesgos aceptables. • Distribución de las funciones de prevención entre las diferentes áreas de la entidad, alejándose de la falsa concepción de que el único responsable es el oficial de cumplimiento. • Análisis sistemático de las vulnerabilidades de la entidad. • Análisis costo-beneficio de los controles existentes. • Generación de indicadores de gestión relacionados con la prevención de lavado de activos y financiación del terrorismo. Pero tal vez el mayor beneficio que hemos visto en los proyectos Sarlaft en los que hemos participado es que las entidades obtuvieron una herramienta valiosa para la toma de decisiones. El Sarlaft, permite unificar criterios y contar con elementos de juicio para tomar decisiones propias del negocio, tales como: • Selección del mercado objetivo. • Determinación de los productos o canales que deben ser lanzados. • Áreas u oficinas que deben ser auditadas. • Funcionarios que deben tener refuerzos en capacitación. • Inversión más eficiente en software y hardware de control. • Segmentos de clientes que pueden tener un trámite de vinculación simplificado. 16 Infolaft | Mayo 2019

• Segmentos de clientes que deben tener un trámite de vinculación más estricto. • Operaciones que requieren monitoreo especial. • Clientes con los cuales se debe terminar la relación comercial. • Áreas para aplicar la debida diligencia y la debida diligencia mejorada. Publicado originalmente el 21 de Julio de 2017

Construido desde la práctica, en forma pedagógica el artículo informa al lector los antecedentes, estructura e importancia del SARLAFT, como mecanismo que procura cubrir, en forma adecuada, el riesgo de lavado de activos y de financiación del terrorismo y evitar a las entidades y funcionarios del sector financiero responsabilidades de orden administrativo y penal en el desarrollo de sus funciones. Hernando A. Hernández Quintero, Ph.D Profesor de la Universidad de Ibagué

Sagrlaft de Supersociedades: todo lo que debe saber

10 AÑOS

El Sagrlaft impone numerosas obligaciones a los empresarios y oficiales de cumplimiento. Sepa cuáles son a través de este artículo. El Sagrlaft o el Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo ha sido ampliamente adoptado por compañías del sector real colombiano, gracias a la expedición y subsecuentes modificaciones del Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades. Por medio de esta norma se dio aplicación a la Recomendación 28 del Gafi, en donde se señala la necesidad de establecer medidas de regulación y supervisión a Actividades y Profesiones No Financieras Designadas o Apnfd. En este sentido, Colombia ha adoptado la visión de que el riesgo de Lavado de Activos y Financiación del Terrorismo –el “LA/FT”– se encuentra presente en diversos sectores de la economía, y ya no solamente en el sector financiero, por lo que se ha ampliado la obligación de prevención a personas jurídicas que realizan actividades diversas consideradas más propensas a este riesgo. En el caso del Sagrlaft de la Superintendencia de Sociedades, la obligación se extiende a las empresas del sector real de la economía. El Sagrlaft, entendido como un sistema compuesto de etapas y elementos destinados a la prevención y gestión del riesgo de LA/FT, comparte una gran cantidad de similitudes con sistemas parecidos dirigidos a otros sectores, como es el Sarlaft para el sector financiero.

Sagrlaft: ámbito de aplicación La norma de la Superintendencia de Sociedades obliga a contar con un Sagrlaft a las empresas vigiladas pertenecientes a los sectores inmobiliario, explotación de minas y canteras, servicios jurídicos, contables, de cobranza y de calificación crediticia, comercio de vehículos (con sus partes, piezas y accesorios) y construcción de edificios. Las empresas serán obligadas siempre que obtengan cierta cantidad de ingresos totales por año, los cuales oscilan, dependiendo de cada sector, entre los 30.000 y los 130.000 salarios mínimos mensuales legales vigentes –Smlmv–. Igualmente, la obligación de contar con un Sagrlaft se extiende para todas las empresas vigiladas por la Superintendencia de Sociedades que obtengan ingresos totales iguales o superiores a 160.000 Smlmv, independientemente de su actividad económica. Esto implica que, en la actualidad, alrededor de 1000 compañías se encuentran obligadas a implementar un Sagrlaft en Colombia. Adicional a esto, vale la pena señalar que otras normas obligan a contar con sistemas de prevención del LA/FT en Colombia:

Mayo 2019 | Infolaft 17

10 AÑOS

El riesgo de lavado de activos Previo a realizar un examen de las diferentes características, elementos y etapas que componen el Sagrlaft, es importante definir el concepto del riesgo de LA/FT y de sus riesgos asociados, pues es precisamente a través del entendimiento del riesgo que se permite su prevención y gestión. El riesgo de LA/FT se define como “la posibilidad de pérdida o daño que puede sufrir una empresa por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades”. Se entiende que el riesgo de LA/FT se manifiesta a través de riesgos asociados. Por no estar definidos en la norma del Sagrlaft, acudimos a las definiciones de la norma Sarlaft (Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica de la Superintendencia Financiera) que los define así: • Riesgo reputacional: es la posibilidad de pérdidas derivadas del desprestigio o mala imagen. • Riesgo legal: es la posibilidad de pérdidas derivadas del incumplimiento de normas, regulaciones o contratos. • Riesgo operativo: resulta de la posibilidad de pérdidas como consecuencia de deficiencias o fallas en los procesos, recursos, tecnología e infraestructura de la empresa. • Riesgo de contagio, es la posibilidad de pérdidas por las acciones de una persona vinculada a la empresa.

18 Infolaft | Mayo 2019

En este sentido, uno de los principales objetivos del Sagrlaft es reducir la posibilidad de que los riesgos de LA/FT ocurran en una organización, así como mitigar los efectos nocivos que puedan suceder, en caso de que el riesgo de LA/FT efectivamente llegue a materializarse, todo lo cual se logra a través del diseño e implementación de controles. Para esta labor, el Sagrlaft, al igual que el Sarlaft, contiene elementos y etapas. Así mismo, el Sagrlaft establece un conjunto mínimo de medidas de prevención y gestión del riesgo de LA/FT, entendidos como controles para reducir y mitigar el riesgo. A continuación, se exponen las características más importantes de este Sistema:

Elementos del Sagrlaft Podría decirse que los elementos del Sagrlaft son principalmente pasos o componentes que permiten una efectiva labor de gestión del riesgo y que conlleva a que exista una coordinación en la organización enfocada a controlar el riesgo de LA/FT. Los cuatro elementos del Sagrlaft se definen a continuación: Identificación del riesgo en el Sagrlaft En primer lugar, el Sagrlaft requiere establecer metodologías para identificar los factores de riesgo, segmentarlos e identificar los diferentes eventos a través de los cuales los factores de riesgo pueden exponer a la empresa a los riesgos de LA/FT. Según la norma del Sagrlaft, algunos factores de riesgo o agentes que pueden generar riesgos de LA/FT, son las contrapartes y las operaciones, negocios y contratos. Sin embargo, es frecuente considerar que las jurisdicciones territoriales en donde se encuentran ubicadas las contrapartes o en donde se ejecuten negocios, pueden también ser factores generadores del riesgo de LA/FT;

10 AÑOS igualmente, es frecuente considerar los activos como factores de riesgo. En todo caso, la determinación de dichos factores para cada empresa también constituye una de las labores requeridas dentro del elemento de identificación del riesgo. En la práctica, el elemento de identificación implica establecer una(s) metodología(s) que permita(n) identificar los factores de riesgo, segmentarlos de acuerdo con sus características a fin de analizarlos con mayor facilidad y determinar los eventos a través de los cuales dichos factores pueden exponer a un riesgo de LA/FT a la organización. En este aspecto, es importante señalar que, aunque se establezca la obligatoriedad de contar con metodologías para la identificación, no se establece el tipo de metodología preferente. En cambio, cada empresa podrá determinar la metodología que mejor se adapte a sus necesidades, en razón a sus características y las condiciones de sus operaciones, negocios, área geográfica donde opera, etc. Medición o evaluación del riesgo La medición, que se realiza con posterioridad a la identificación, implica medir la probabilidad de ocurrencia del riesgo identificado, junto con un estimado del posible impacto que podría generar el riesgo en caso de que se materialice. En este sentido, la etapa de medición da como resultado la determinación del perfil de riesgo inherente de LA/FT de la empresa, esto es, el riesgo propio de la actividad de la empresa sin tener en cuenta controles o medidas de prevención. Este perfil de riesgo usualmente se represente y/o materializa a través de una matriz de riesgo que, utilizando un plano cartesiano, expone la relación de la probabilidad de ocurrencia del evento de riesgo por el eventual impacto del riesgo materializado. Control del riesgo A través del elemento de control del riesgo, se buscar tomar las medidas conducentes para reducir el riesgo inherente presente en la compañía. En este sentido, se requiere el diseño e implementación de medidas o controles que permitan la reducción de la probabilidad de ocurrencia del riesgo, la disminución del impacto, o la disminución de ambos. Como resultado del elemento de control, el sistema debe permitir establecer el perfil de riesgo residual de la empresa, esto eso, el nivel de riesgo de la empresa, luego de aplicar los controles.

Monitoreo del riesgo Finalmente, el elemento de monitoreo del riesgo requiere que cada empresa realice un seguimiento o vigilancia de su perfil de riesgo, así como un seguimiento y una vigilancia para la detección de operaciones inusuales y sospechosas. El objetivo de este elemento no es otro que mantener una labor efectiva de gestión del riesgo, por medio del constante seguimiento del riesgo de LA/FT y la continua aplicación de los elementos previamente mencionados.

Sagrlaft: etapas De acuerdo con la norma de la Superintendencia de Sociedades, el Sagrlaft requiere dar cumplimiento a tres etapas. Estas etapas establecen los pasos secuenciales que debe realizar la empresa para poner en marcha el Sistema. En este sentido, las etapas del Sagrlaft comprenden a los elementos, y tienen como propósito la puesta en funcionamiento del Sistema: Diseño y aprobación del Sagrlaft La primera etapa corresponde al diseño del Sagrlaft, actividad que debe ser supervisada y dirigida por el Oficial de Cumplimiento de la empresa. Ya que se establece una obligación exclusiva del Oficial de Cumplimiento, se señala que las funciones de este cargo no pueden ser contratadas con terceros y, adicionalmente, esta persona debe gozar de capacidad decisoria y acreditar conocimientos sobre las operaciones de la compañía y en materia de administración de riesgos. Una vez diseñado el sistema, de donde se infiere que también fueron diseñados los elementos de identificación, medición y control del Sistema, se procede con su aprobación por la junta directiva de la empresa, dejando constancia en el acta de la reunión. Supervisión y cumplimiento Como segunda etapa, la empresa debe disponer las medidas operativas, económicas, físicas, tecnológicas y de recursos para poner en marcha el Sistema. Se entiende que esta es una labor que recae en el Oficial de Cumplimiento, quien adicionalmente debe presentar informes periódicos al representante legal y a la junta directiva, velar por el eficiente, efectivo y oportuno funcionamiento del sistema, promover la adopción de correctivos al Sistema, entre otros.

Divulgación del Sagrlaft y capacitación Finalmente, la tercera etapa requiera la divulgación del Sistema y la realización de capacitaciones a las personas interesadas que lo requieran. Es usual que las empresas determinen que áreas como la de recursos humanos, Mayo 2019 | Infolaft 19

10 AÑOS gestión comercial, compras y seguridad, requieran de capacitaciones más intensas y completas. En todo caso, cada compañía determinará los cargos relevantes para la capacitación, de acuerdo con sus características y perfil de riesgo.

Debida diligencia en el Sagrlaft Las empresas obligadas a contar con un Sagrlaft deben establecer procedimientos que permitan identificar adecuadamente a todas sus contrapartes, éstas entendidas como “cualquier persona natural o jurídica con la que la empresa tenga vínculos comerciales, de negocios, contractuales o jurídicos, [como] accionistas, socios y empleados de la empresa y los clientes y proveedores de bienes y servicios”. En otras palabras, las empresas deben realizar diligencias o gestiones enfocadas a la identificación de sus contrapartes, buscando verificar información que permita extraer conclusiones sobre el riesgo de LA/FT al que expone dicha contraparte en caso de que sea vinculada. Vale la pena señalar que el procedimiento de debida diligencia en el conocimiento de contrapartes constituye un control del riesgo de LA/FT. En efecto, como control, permite la reducción de la probabilidad de ocurrencia del riesgo, pues disminuye la probabilidad de vinculación o de efectuar operaciones con personas señaladas o con antecedentes relevantes relacionados con LA/FT. Así mismo, este control tiene la potencialidad de disminuir el impacto, pues de materializarse un riesgo de LA/FT, evidencia diligencia y cuidado frente a las autoridades. En materia de gestión de riesgo, la debida diligencia en el conocimiento de contrapartes se efectúa en gran medida a través de la verificación de información pública, en el internet, medios noticiosos y prensa y boletines, listados y bases de datos de autoridades y otras organizaciones de diferentes tipos. En general, la norma no establece un listado de bases de datos o fuentes de consulta de información, aunque sugiere “consultar las demás listas restrictivas emitidas por otras autoridades extranjeras, aun cuando no sean vinculantes”. De esto, se infiere que cada empresa contará con la facultad para determinar las fuentes de información que considere adecuadas, y que permitan deducir conclusiones sobre el eventual riesgo de LA/FT al que expone una contraparte. No obstante lo anterior, la norma es clara en señalar que, en cumplimiento de las obligaciones internacionales 20 Infolaft | Mayo 2019

de Colombia, se deben verificar de forma obligatoria las sanciones a terroristas emitidas por el Consejo de Seguridad de las Naciones Unidas, adoptadas por el artículo 20 de la Ley 1121 de 2006. La coincidencia de una contraparte en estos listados implica un procedimiento de denuncia especial frente a, entre otros, la Fiscalía General de la Nación. Otro aspecto de especial relevancia es la obligación de conocer a los beneficiarios reales, o beneficiarios finales y/o a los controlantes de las contrapartes. Los beneficiarios finales o reales se definen como “las personas naturales en cuyo nombre se realiza una operación o negocio”. En este sentido, se incluye a cualquier persona que funja como controlante (ejerce un control efectivo) sobre una persona jurídica y, en particular, los titulares del 25% o más del capital social de una persona jurídica. Estos requisitos generales de debida diligencia son aplicables en el conocimiento de todas las contrapartes. Sin embargo, la norma incluye un conjunto de medidas específicas de conocimiento, dependiendo de la relación o características de la contraparte: Conocimiento de clientes En los casos en donde la comercialización de los productos no permita una identificación sencilla y eficiente del cliente, como por ejemplo en las ventas masivas y por retail, la norma recomienda enfocar los esfuerzos del conocimiento en aquellos clientes que realicen negocios que tengan una mayor exposición al riesgo o que se consideren operaciones inusuales. En este sentido, se requiere un análisis del riesgo, probablemente enmarcado dentro de las etapas y elementos del Sagrlaft mencionados en este artículo, para determinar el tipo de operaciones que puedan considerarse inusuales. Por ejemplo, en el caso de una empresa de retail y ventas masivas, se espera que se realice una identificación de las operaciones que por su volumen, frecuencia o cualquier otra característica relevante, no se enmarca dentro de las pautas de normalidad o usualidad. Para este y cualquier otro caso, se requiere que el conocimiento del cliente contenga ciertas actividades básicas, en cuanto las condiciones lo permitan. Las actividades básicas requeridas son las siguientes: • Conocer por cualquier medio legal el origen de los recursos • Verificar la identidad del cliente • Verificar y confirmar sus datos de contacto y su actividad económica • Solicitar cualquier documentación adicional que se considere pertinente

10 AÑOS Conocimiento de proveedores en el Sagrlaft

Conocimiento de asociados

Diferente a lo que ocurre con los clientes, en la medida en que la relación con proveedores implica pagos por parte de la empresa obligada, el conocimiento de contrapartes requiere disponer de herramientas para verificar que los activos no sean utilizados para el financiamiento del terrorismo o para la proliferación de armas de destrucción masiva.

Los socios y accionistas de la empresa no se encuentran omitidos de controles. La obligación de debida diligencia en este caso se extiende principalmente a la identificación y conocimiento del beneficiario final y a la verificación de los recursos que tengan contacto con la empresa, con el fin de prevenir el riesgo de contagio derivado de los activos que ingresen de inversionistas.

Para ello, se recomienda que el Sistema permita identificar lo siguiente: • En caso de proveedores de productos, verificar si los productos provienen o no de actividades legales • Verificar la adecuada nacionalización de productos importados • Verificar que los productos no sean de contrabando • Para el caso de productos de venta restringida, verificar que se cuente con la debida autorización o licencia Conocimiento de Personas Expuestas Políticamente (PEP) Las Personas Expuestas Políticamente –PEP– son los “individuos que desempeñan funciones públicas destacadas o que por su cargo, manejan o administran recursos públicos. Esta definición también incluye a los individuos que hayan desempeñado funciones públicas destacadas o que por su cargo, hayan manejado o administrado recursos públicos”. La calidad de PEP se mantiene hasta por dos años luego de que la persona deje de desempeñar el cargo que le otorgó esta condición. Con la expedición del Decreto 1674 de 2016, se establecieron los cargos que se consideran PEP en Colombia, dentro de los que se incluye al presidente, vicepresidente, superintendentes, gobernadores, alcaldes, magistrados, directivos de empresas públicas, entre muchos otros. Debido a la asunción de que la vinculación de un PEP puede representar un riesgo de LA/FT superior, teniendo en cuenta las características de los cargos y la cercanía con dineros públicos, se exige establecer un procedimiento de debida diligencia más avanzado que el que se requiere con otro tipo de contrapartes. Aunque la norma parece dejar al arbitrio de las entidades el contenido de una debida diligencia ampliada, es explícita al requerir que la aprobación de operaciones y negocios sea realizada por una instancia superior al encargado del proceso ordinario. Si bien no se menciona, resulta lógico asumir que la aprobación de la instancia superior se requiere igualmente para la vinculación, y no solamente para las operaciones y negocios posteriores a dicha vinculación.

Conocimiento de trabajadores Se exige a las empresas verificar los antecedentes de personas que pretendan contratar como empleados. Como particularidad, el conocimiento de trabajadores es el único en el que expresamente se exige actualizar los datos, para este caso de forma anual. Sin embargo, para un adecuado conocimiento de las contrapartes, es recomendable que para todas ellas, la información se actualice de forma periódica, independientemente de la calidad de dicha contraparte o del tipo de su vinculación. Negocios virtuales o presenciales En este punto, la norma es amplia y general al requerir que las empresas reglamenten el manejo de dinero en efectivo, con el fin de evitar que sean utilizadas para el LA/FT. Debido a que la exigencia se encuentra dentro del capítulo de debida diligencia en el conocimiento de contrapartes, es posible asumir que las empresas deben diseñar políticas y procedimientos que establezcan los criterios de usualidad e inusualidad de operaciones en efectivo, reglas claras sobre el manejo de éste – si se permite o se prohíbe el manejo de efectivo, y los casos aplicables a ambos – y procedimientos que permitan conocer mejor al cliente y descartar sospechas, cuando la operación se considere inusual o levante señales de alerta.

Sagrlaft y las medidas de prevención del riesgo de LA/FT El Sagrlaft, según se expuso previamente, obliga a las empresas a contar con un elemento de control, que establece la necesidad de contar con medidas o controles conducentes a la reducción de la probabilidad de ocurrencia del riesgo y/o a la disminución del potencial impacto. Se espera que estos controles sean especialmente diseñados de acuerdo con el perfil de riesgo y las características de la empresa. Adicionalmente, la norma obliga a que se establezcan otros controles mínimos para impedir la realización de operaciones no ajustadas a la ley y a las políticas. Uno de estos controles es el procedimiento de debida diligencian en el conocimiento de contrapartes, que se mencionó previamente. Mayo 2019 | Infolaft 21

10 AÑOS Adicionalmente, la norma establece otros controles mínimos requeridos. Por ejemplo, cuando se importan mercancías, “la empresa deberá verificar el origen (…) mediante los documentos que expiden las autoridades aduaneras o establecer formularios y procedimientos específicos para realizar el conocimiento de sus clientes y contrapartes”. También se requiere que, para la identificación de operaciones inusuales y operaciones sospechosas, las empresas deben contar con herramientas y aplicativos, de preferencia tecnológicos. Estos aplicativos deben estar orientados a consolidar información y generar indicadores y alertas sobre la posible ocurrencia de operaciones inusuales. En este sentido, la norma le sugiere a las empresas que establezcan aplicativos tecnológicos y, presumiblemente automatizados, que reduzcan la falibilidad de los operadores humanos y permitan una identificación más efectiva y eficiente de operaciones inusuales. La norma da importancia a la necesidad de mantener soportes de las operaciones, negocios y contratos, así como de las alertas generadas por aplicativos tecnológicos. Lo anterior busca mantener una trazabilidad de los negocios y operaciones, así como conservar evidencia de la debida diligencia de la empresa en la prevención del riesgo de LA/FT.

Reporte de operaciones sospechosas en el Sagrlaft Resultan particularmente importantes los aspectos relacionados con el Reporte de Operaciones Sospechosas –ROS– pues es esta la forma a través de la cual se materializa en gran medida la labor de gestión del riesgo de la empresa, pero, adicionalmente, porque es una de las formas principales para que las autoridades tengan conocimiento de personas que realizan actividades ilícitas vinculadas con el LA/FT. El ROS se efectúa cuando una entidad, al realizar un examen de una operación inusual, esto es, una operación que se sale de los márgenes de normalidad establecidos por la empresa, determina que no existe una justificación razonable para dicha operación. En este momento, en donde la operación inusual se convierte en una operación sospechosa, el oficial de cumplimiento se encuentra en la obligación de presentar un ROS frente a la Unidad de Información y Análisis Financiero –Uiaf– a través del aplicativo en línea Sirel, diseñado para este propósito. Sobre este reporte, la norma es clara en señalar que “la presentación de un ROS no constituye una denuncia 22 Infolaft | Mayo 2019

penal. Por lo tanto, para los efectos del reporte, no es necesario que la Empresa tenga certeza de que se trata de una actividad delictiva ni se requiere identificar el tipo penal o verificar que los recursos tengan origen ilícito”. También son objeto de ROS las operaciones intentadas. Una operación intentada se define como “aquella operación en la que una persona natural o jurídica tiene la intención de realizar una Operación Sospechosa, pero ésta no se perfecciona porque quien pretende llevarla a cabo desiste o, porque los controles establecidos o definidos no le han permitido realizarla”.

Sagrlaft: principales conclusiones En este artículo se expusieron las características y conceptos más importantes del Sagrlaft, así como las obligaciones y reglas establecidas para la prevención y gestión del riesgo de LA/FT para el sector real. Como se ve, el Sagrlaft es un sistema comprehensivo que, aunque no tiene el alcance y el detalle del Sarlaft del sector financiero, establece la obligación de contar con un verdadero sistema de gestión del riesgo. Este sistema cobra una importancia especial en Colombia, teniendo en cuenta que incluye una gran cantidad de actividades económicas dentro del sector real de la economía, buscando cubrir las consideradas de mayor riesgo de LA/FT, conocidas como Actividades y Profesiones No Financieras Designadas – Apnfd. Para concluir, es importante entender que, aunque la norma del Sarglaft incluye una cantidad importante de provisiones que deben ser respetadas y tenidas en cuenta por los sujetos obligados, éstos son criterios marco, usualmente amplios y generales. En este sentido, le corresponde a cada empresa obligada realizar un análisis detallado y comprehensivo de sus características y particularidades, así como de su perfil de riesgo, para que, con base en esta información, se establezcan las medidas o controles que mejor permitan disminuir la probabilidad de ocurrencia de un riesgo y/o mitigar su impacto en caso de materializarse. Publicado originalmente el 6 de Noviembre de 2018

La construcción de un buen Sagrlaft de la Superintendencia de Sociedades se caracteriza por ser a la medida de la empresa. La libertad de autorregulación que el ente administrativo le ha otorgado a este sector, permite diseñarlo con la capacidad de realizar la debida diligencia de las fuentes de riesgo LA/FT, y detectar operaciones inusuales y sospechosas con controles acordes al tipo de negocio, la operación, el tamaño, las áreas geográficas donde opera y demás características particulares de la empresa; para así poder cumplir con las obligaciones de reporte a autoridades. Sara Babativa Consultora Senior de Lozano Consultores

Recomendaciones para hacer un buen manual Sarlaft

AÑOS 1010 AÑOS

La elaboración de un manual para prevención de LA/FT no consiste simplemente en incluir centenares de funciones en decenas de páginas. Es importante definir quiénes y cuándo se ejecutarán las actividades, además de contar con la aprobación por parte de la junta directiva para evitar que el propio manual sea promotor de sanciones por parte del supervisor.

¿Por qué tener un manual de prevención de LA/FT? Los sistemas de prevención y control del riesgo de LA/ FT, tales como el Sistema de Autocontrol y Gestión del Riesgo de LA/FT (Sagrlaft) y Sistemas de Administración del Riesgo de Lavado de Activos (Sarlaft), cuentan con un elemento denominado “documentación”. La documentación permite a las entidades mantener constancia en documentos y registros de las actividades adelantadas para implementar los sistemas, garantizando de esta manera la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida. Entre otros, las normas establecen que los sistemas deben contemplar dentro de los documentos un manual de políticas y procedimientos. La palabra “manual”, que según el diccionario de la Real Academia de la Lengua Española proviene del latín manuālis, hace referencia a un libro que compendia lo más sustancial de la materia. El manual reviste especial importancia dentro de los sistemas por lo siguiente: 1. Es lo que auditan las autoridades. 2. Es el estándar de la debida diligencia para efectos penales. 3. Compromete a la junta directiva. 4. Es la piedra angular del sistema de prevención de LA/FT. 5. Es el medio de comunicación con los empleados. 6. Establece obligaciones exigibles y sancionables. 7. Aquí se documenta todo lo que se hace para prevenir el LA/FT.

Mayo 2019 | Infolaft 23

1010 AÑOS AÑOS Por ello Infolaft considera valioso dar algunas recomendaciones para adelantar su confección y lograr un buen documento.

Manual de prevención de LA/FT: tenga en cuenta lineamientos esenciales La primera recomendación tiene que ver con que en la redacción del documento se tengan en cuenta únicamente los lineamientos importantes que la entidad tomará en cuenta para la prevención y control o administración de los delitos de lavado de activos y de la financiación del terrorismo (LA/FT). A criterio de Infolaft pueden ser los siguientes: 1. Temas obligatorios o normativos cuyo contenido no puede ser modificado. 2. Temas que son obligatorios y normativos por regulación interna, cuyo contenido puede ser modificado por la entidad de acuerdo con su actividad, tamaño y líneas de negocio. 3. Temas extralegales de debida diligencia ampliada que pueden ser incluidos a discreción de cada entidad de acuerdo con el nivel de riesgo que se encuentre dispuesta a tolerar.

Claridad en la redacción del manual Una vez definidos estos temas, una segunda recomendación hace referencia a la redacción de los párrafos que conforman el escrito y sobre los cuales se aconseja tener claridad sobre su funcionalidad, así:

24 24 Infolaft Infolaft || Mayo Mayo 2019 2019

• De navegación: son los párrafos que sirven para situarse en el texto, por ejemplo resúmenes del capítulo o introducción a un tema. • Declaraciones: son afirmaciones de intención que no conllevan obligaciones legales • Transcripciones: se refiere a la reproducción de obligaciones legales • Políticas: son diferentes a las obligaciones pues son genéricas y se refieren a los lineamientos y orientaciones que se dictan sobre la materia. • Metodologías: es la explicación técnica de cómo se hace algo, requiere desarrollo como proceso metodológico • Desarrollo de una obligación legal o una obligación extralegal: esto se puede hacer en varios párrafos, porque se necesita establecer: destinatarios de la obligación, obligación propiamente dicha, herramientas para cumplir con la obligación, registro o evidencia • Procesos de control: son procesos (entrada, salida y transformación) que tienen como único propósito disminuir el riesgo de LA/FT. Ejemplo: verificación en listas de control, realización de visitas a clientes y monitoreo especial. • Excepciones: son definiciones que excluyen o privilegian el actuar de la entidad o de los participantes en el sistema, por razones provenientes de la naturaleza del negocio. • Formatos: son documentos adicionales que soportan procesos de control.

10 AÑOS • Formatos: son documentos adicionales que soportan procesos de control. • Informes y reportes: se refiere a los resultados de las actividades y de la gestión en general. • Señales de alerta: corresponde a una guía que orienta a las personas de la entidad sobre hechos y situaciones que deben llamar su atención.

Ojo con estos errores comunes Una tercera recomendación tiene que ver con no cometer alguno de los siguientes errores en la elaboración del documento: 1. Falta de temas que deben estar en el manual por requerimiento normativo. (Ejemplo: procedimiento sancionatorio por incumplimiento del sistema, procedimiento de conocimiento del cliente y del mercado). 2. Políticas incompletas. (Ejemplo: se contemplan políticas generales, pero no se contemplan políticas frente a las etapas del sistema o frente a los riesgos asociados, tal y como lo requieren algunas normas). 3. Inadecuado desarrollo de los procedimientos. (Ejemplo: se desarrollan procedimientos de conocimiento del cliente que incluyen la realización de entrevistas presenciales y no presenciales, pero en el manual no se indica cuándo aplican las unas y las otras, quién las debe realizar y cómo se documentan). 4. Inclusión de los controles que no se cumplen en el día a día en los procesos de la entidad. (Ejemplo: como medida de control para la prevención se dice que no se recibirán solicitudes de vinculación de clientes que no se encuentren completamente diligenciadas y con los soportes requeridos, y al realizar la verificación de este control se observa que en las actividades del área o de la persona encargada de hacer estas validaciones no se describe la tarea, razón por la cual no se lleva a cabo y todo lo que llega se recibe, independiente de que cumpla o no el control descrito en el manual).

Desarrolle un plan de trabajo Para minimizar lo anterior es importante contemplar una cuarta recomendación que tiene que ver con el desarrollo de un plan de trabajo que contenga las etapas o pasos en las que se desarrollará el manual, contemplando el objetivo, los requisitos y las actividades para cada una de ellas. A manera de ejemplo el plan puede contener las siguientes etapas: • Etapa 1: definir el tipo de manual (por procesos, por controles, por áreas etc.). • Etapa 2: determinar el contenido del manual (mínimo legal, mejores prácticas, otros controles establecidos por la entidad y anexos). • Etapa 3: recolectar información que se necesita para elaborar el manual (otros manuales como el de buen gobierno y de ética y conducta, mapa de procesos, mapa de la estructura organizacional de la entidad). definitivo para la aprobación.

• Etapa 4: revisar la documentación para verificar si está completa o en caso contrario solicitar lo faltante. • Etapa 5: elaborar la tabla de contenido. • Etapa 6: elaborar la primera versión del manual. • Etapa 7: Presentar el manual a las áreas interesadas para comentarios y observaciones. • Etapa 8: Realizar ajustes y correcciones. • Etapa 9: Preparar la versión final. • Etapa 10: Presentar al órgano competente el manual definitivo para la aprobación. Publicado originalmente el 12 de Mayo de 2014

Para complementar este artículo, es importante mencionar que al momento de la elaboración del manual se incluya, sin dejar de lado lo que indica la reglamentación, lo que efectivamente la Compañía está en capacidad de hacer. Por ejemplo, si la empresa no tiene un software para desarrollar una segmentación basada en metodologías que impliquen una técnica de minería de datos, el manual no debería mencionar que la segmentación estará basada en dichas técnicas y menos que se utilizará un software para ese efecto. Juan Manuel Narváez Abogado de Cumplimiento del sector minero energético

Mayo 2019 | Infolaft 25

10 AÑOS

¿Qué es debida diligencia?

La debida diligencia para prevenir el LA/FT se exige en entidades del sector financiero, sector real, comercio exterior, entidades promotoras de salud (EPS) y abogados, entre otras. Su génesis, razón de ser y alcance tiene fundamento tanto en fenómenos nacionales como internacionales.

Debida diligencia contra el LA/FT: ¿de dónde surgió? De manera resumida el concepto de debida diligencia se ha entendido como el proceso mediante el cual se investigan y se consideran las posibilidades antes de tomar una decisión. A la fecha, el concepto ha sido aplicado a multiplicidad de temas, existiendo debidas diligencias en temas financieros, comerciales, ambientales, minero-energéticas e incluso derechos humanos o responsabilidad social de empresas. El concepto de debida diligencia LA/FT o la noción de debidas diligencias con el propósito de prevenir LA/FT suele atribuirse a los esfuerzos de dos organizaciones internacionales: el Comité de Supervisión Bancaria de Basilea (Bcbs por su sigla en inglés) y el Grupo de Acción Financiera Internacional (Gafi). De acuerdo con el Bcbs “la práctica de conocer a su cliente está íntimamente relacionada con la lucha contra el lavado de dinero”, tema que ha sido impulsado principal e inicialmente por el Gafi para todos los sectores considerados de riesgo LA/FT, especialmente el bancario. Para el Bcbs, las debidas diligencias de conocimiento del cliente son más que una herramienta para la prevención del lavado de activos, ya que protegen la integridad del mercado y evitan que los bancos se vean sometidos a riesgos de reputación, operativos, legales y de concentración. Por su parte, el Gafi, en sus 40 Recomendaciones, establece que las instituciones financieras tienen que

26 Infolaft | Mayo 2019

llevar a cabo una debida diligencia del conocimiento del cliente en la cual, entre otras cosas, debe: identificar al cliente, identificar al beneficiario final, recopilar información, analizar y monitorear la relación comercial y las transacciones del cliente. En Colombia, la implementación de esta figura se realizó mediante la consagración de disposiciones sobre el conocimiento del cliente para los vigilados por la Superintendencia Financiera en el Estatuto Orgánico del Sistema Financiero, el cual fue desarrollado por el antiguo Sistema de Prevención de Lavado de Activos (Sipla), ahora Sarlaft. Con el pasar de los años, la implementación de sistemas de prevención y gestión de LA/FT se han incorporado a diversos sectores debido a que se ha considerado que están altamente expuestos a la comisión de delitos de LA/FT o delitos fuente.

¿En qué se diferencia la debida diligencia LA/FT de otras debidas diligencias? A nivel jurídico, las normas exigen diversos estándares de comportamiento y diligencia. Por ejemplo, el Código Civil consagra en su artículo 63 que la ausencia de diligencia y cuidado empleada en los negocios propios, o la falta de esmerada diligencia que un hombre juicioso emplea en la administración de sus negocios, genera responsabilidad civil. Estos parámetros de conducta generales, al igual que los que exigen normas especiales para cada figura contractual en el código Civil, Código de Comercio y otras normas, forman parte de una debida diligencia legal de los negocios. La debida diligencia LA/FT, a pesar de formar parte de normas del ordenamiento jurídico, hace parte de un

10 AÑOS régimen legal especial, encaminado a la prevención y gestión de los riesgos de LA/FT en el desarrollo de los negocios de los sectores regulados; caracterizado por tener políticas, procedimientos, mecanismos y exigencias propias para cada sector.

Debida diligencia: ¿cuáles son las obligaciones jurídicas mínimas? Como primera medida, toda persona natural o jurídica obligada a cumplir con normativa relacionada con la prevención de LA/FT debe tener presente que los requisitos mínimos de debida diligencia exigidos en las normas no son los mismos para todos los sectores. Si bien todas las personas en el territorio colombiano están obligadas a cumplir con los estándares de conducta establecidos en leyes como el Código Penal, Código de Extinción de Dominio y la Ley 1121 sobre prevención y detección del delito de financiación del terrorismo, las normas especiales solamente aplican a determinadas personas. Así pues, los requisitos generales que se deben cumplir como mínimo en una debida diligencia LA/FT para todos los sectores obligados de acuerdo con las tres leyes enunciadas anteriormente son: • Denunciar ante la Fiscalía General de la Nación la presunta comisión de delitos sobre LA/FT de los cuales la entidad tenga conocimiento. • Consultar a todas las contrapartes (en algunos sectores solamente al cliente) en las listas vinculantes para Colombia, es decir, en las listas de Naciones Unidas. • Denunciar ante la Fiscalía General de la Nación bienes que puedan ser objeto de la acción real de extinción de dominio y actuar con buena fe exenta de culpa. Ahora bien, ¿cuáles son los otros parámetros de debida diligencia LA/FT? En todos los sectores existen diferentes parámetros; por ejemplo, el sector real y el sector de las EPS son de los pocos obligados a establecer procedimientos para el conocimiento de la mayoría de sus contrapartes (clientes, proveedores, trabajadores, socios o accionistas, etc.), mientras que hay sectores en los que la norma suele exigir conocer prácticamente solo los clientes, como ocurre en los sectores financiero, cooperativo, operadores postales de pago, entre otros. Para cada uno de estos sectores la debida diligencia LA/FT se ve agotada en términos legales una vez se satisfagan todos los requisitos normativos, que en su mayoría suelen ser los siguientes: • Diligenciamiento del formulario de conocimiento del cliente o contraparte. • Consulta en las listas obligatorias y preferiblemente en las sugeridas en cada norma. • Actualización de la información, por lo general mínimo una vez al año. • Monitoreo de las operaciones, transacciones o negocios.

Pronunciamientos de las cortes En lo que respecta a temas de debida diligencia sobre LA/FT, las cortes no han hecho una alusión expresa a este tipo de debidas diligencias pero sí han precisado, por ejemplo, cuál es el estándar de conducta exigido a un tercero con buena fe exenta de culpa en el marco de los procesos de extinción de dominio. Así, se ha precisado que un tercero afectado en un proceso de extinción de dominio será acreditado como un tercero con buena fe exenta de culpa cuando demuestre “no solo la conciencia de haber actuado correctamente sino también la presencia de un comportamiento encaminado a verificar la regularidad de la situación” (Corte Constitucional, Sentencia C-820/12), en otras palabras, cuando haya actuado con la diligencia debida.

Debidas diligencias de LA/FT en sectores no obligados La Unidad de Análisis Financiero (Uiaf), ha desarrollado diversos documentos relacionados con el riesgo LA/FT en sectores que no poseen una entidad reguladora que los haya obligado a establecer políticas y procedimientos para prevenir el LA/FT. Así, para el sector inmobiliario la Uiaf ha emitido documentos en los que identifica los factores de riesgo, tipologías de riesgo y señales de alerta para empresas de este sector o que tengan vínculos con ellas. Por lo tanto, en dichos documentos, disponibles en la página web de la entidad, se pueden encontrar criterios útiles para debidas diligencias sobre LA/FT que se deseen realizar desde y hacia estos sectores. Publicado originalmente el 19 de Julio de 2016

La debida diligencia constituye una de las principales piezas para el correcto funcionamiento de un sistema contra el LA/FT; así mismo, su importancia se potencializa cuando el riesgo de LA/FT se materializa en un caso concreto, pues dado el auge que ha tomado este tema dentro del ámbito de la dogmática penal, su descripción y verificación resultará fundamental al momento de estructurar o desestimar una imputación penal. Igualmente, la debida diligencia resultará determinante al momento de reconocer o desvirtuar la presunción de buena fe en los casos de extinción de dominio ya que solamente aquel sujeto obligado que cumple y actúa dentro del marco de sus obligaciones legales, podría ser reconocido como un tercero de buena fe exenta de culpa. Por este motivo las precisiones técnicas y aproximaciones conceptuales contenidas en el presente artículo resultan de suma importancia para ofrecer una clara descripción de la figura y comprender de mejor forma su naturaleza, objeto, alcance y limitaciones.

Gilmar Santander Consultor Senior para el Programa de Fortalecimiento del Sector Justicia de INL Honduras Mayo 2019 | Infolaft 27

10 AÑOS

Las distintas formas de segmentar

El núcleo del Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo (Sarlaft) es la segmentación de factores de riesgo.

Diferencias básicas

Esta herramienta, que hace parte del ciclo de gestión del riesgo, no ha sido desarrollada conceptualmente y por lo tanto existen muchas diferencias en la aplicación que le dan las entidades. Por esa razón, en Infolaft consideramos importante presentar un panorama general del tema para que los funcionarios encargados de desarrollarlas fortalezcan su sistema y puedan hacerlas más efectivas.

En la práctica, las diferencias que se aprecian entre las segmentaciones del sistema financiero colombiano tienen que ver con cuatro aspectos principalmente: definición de los elementos, técnica (o metodología), criterios y propósito.

Lo fundamental de la segmentación

Definición de los elementos

Recordemos que segmentar es agrupar. Para poder segmentar los factores de riesgo de lavado de activos y financiación del terrorismo debemos tener elementos (por ejemplo clientes) y criterios que los diferencien. La Superintendencia Financiera define la segmentación así:

Si partimos de la base que segmentar es agrupar, la primera pregunta que nos tenemos que hacer es ¿qué vamos a agrupar? De esto depende el resultado obtenido. Para ilustrar este punto, tomemos como base las segmentaciones de clientes. Hay entidades que agrupan el cliente basándose en su número de identificación, mientras que otras en el número del contrato. Esto puede generar diferencias prácticas, pues un cliente puede tener varios contratos, así, cierto tipo de clientes como las uniones temporales o los consorcios requieren definiciones y soluciones prácticas en este mismo sentido.

‘‘1.12. Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación)’’. Como la segmentación es un proceso estadístico y no jurídico, para mayor ilustración hay que acudir a dicha técnica. A su vez, el campo en que más se ha empleado esta técnica con propósitos prácticos es el mercadeo; por lo tanto, una buena fuente de consulta es el libro Segmentación de Mercados: Aspectos Estratégicos y Metodológicos. Basados en dicha obra, presentamos la siguiente propuesta de segmentación . 28 Infolaft | Mayo 2019

En el caso de los canales o los productos el tema es más complejo, pues se pueden segmentar varios elementos que con el mismo significado tienen diferentes componentes. La entidad tiene libertad normativa de segmentar canales. Esto implica que, según el elemento definido, se pueden segmentar puntos de atención, medios transaccionales o terminales. La siguiente tabla ilustra varios enfoques sobre el mismo problema:

10 AÑOS

Técnicas de segmentación Las técnicas estadísticas que usualmente se aplican para el tema de segmentación son las siguientes: • Tabulaciones cruzadas: son tablas construidas para segmentar basándose en los criterios establecidos de antemano por el propio investigador. • Análisis factorial: es una técnica estadística de reducción de datos que sirve para encontrar grupos homogéneos de variables a partir de un conjunto numeroso de variables. • Análisis de conglomerados (cluster): es un método estadístico que permite formar grupos de elementos (clientes) utilizando sus características (ingreso, monto de las transacciones, frecuencia de operación, etc.). • Mezclas finitas: permiten identificar un conjunto de grupos mutuamente exclusivos (los segmentos o clases) latentes que explican la similitud de los casos medidos en una serie de variables observables categóricas o métricas. • Redes neuronales de Kohonen: categorizan o interpretan grandes cantidades de datos mediante su representación en un mapa bidimensional, que muestra las similitudes de los datos, de tal modo que datos similares aparecen representados en regiones contiguas o adyacentes. • Análisis log-lineal: el procedimiento del análisis loglineal analiza la relación entre variables dependientes (o de respuesta) y variables independientes (o explicativas). Las variables dependientes siempre son categóricas, mientras que las variables independientes pueden ser categóricas (factores). • Regresión de mezclas finitas: este método parte del supuesto de que las preferencias de los sujetos conforman una población que, es de hecho, una mezcla de diversos segmentos en proporciones desconocidas, razón por la cual se desconoce a priori el segmento al que pertenece un sujeto concreto.

• Árboles de clasificación: es una técnica que permite encontrar patrones de comportamiento basados en un conjunto de variables independientes. Básicamente son gráficos que ilustran reglas de decisión y que tienen como finalidad explicar la clasificación y predecir los elementos (clientes) que provienen de estos sistemas de clasificación, los cuales corresponden a una serie de reglas de decisión que predicen o clasifican observaciones futuras. Criterios de segmentación Nada es igual ni diferente si no tenemos claramente definidos los criterios mediante los cuales vamos a definir igualdad o diferencia. Todos los seres humanos somos iguales en términos biológicos (especie humana, mamíferos, vertebrados, etc.) pero diferentes en términos sociales (patrimonio, ciudadanía, obligaciones, etc.). Dos elementos pueden ser iguales o diferentes, según los criterios que se tomen en cuenta. Es decir, que pueden estar en el mismo segmento o no, según la escogencia del criterio. Desafortunadamente, para la efectividad del SARLAFT, el regulador incluyó, no sabemos exactamente con qué propósito, una lista taxativa de criterios de segmentación. Transcribimos a continuación esta lista: • Clientes: actividad económica, volúmen o frecuencia de sus transacciones y monto de ingresos, egresos y patrimonio. • Productos: naturaleza, características y nicho de mercado o destinatarios. • Canales de distribución: naturaleza y características. • Jurisdicciones: ubicación, características y naturaleza de las transacciones. No obstante al ser una lista taxativa, presenta cierto campo de libertad para interpretar algunos de los criterios de segmentación. Mayo 2019 | Infolaft 29

10 AÑOS Propósito de la segmentación

La segmentación es aislada

Esta pregunta hay que hacerla antes y no después de segmentar. En muchas oportunidades es imposible medir la eficacia de la segmentación, pues no se tienen claros sus propósitos. En este tema la norma no ayuda mucho, pues establece dos propósitos no necesariamente alineados ni compatibles para la segmentación.

Algunas personas terminan la segmentación, la empastan y la guardan en un anaquel. Este es un grave error, pues como lo hemos dicho, la segmentación debe servir de base para identificar, medir, controlar y monitorear el riesgo. Son claras las obligaciones de identificar riesgos y detectar operaciones con la segmentación, pero además, una lectura atenta de la norma nos mostrará que la segmentación debe servir de base o por lo menos como referencia para la mayoría de las actividades del SARLAFT. La segmentación no es una tarea aislada.

‘‘Para identificar el riesgo de LA/FT las entidades vigiladas deben como mínimo: • Establecer las metodologías para la segmentación de los factores de riesgo. • Con base en las metodologías establecidas en desarrollo del literal anterior, segmentar los factores de riesgo’’. ‘‘A través de la segmentación las entidades deben determinar las características usuales de las transacciones que se desarrollan y compararlas con aquellas que realicen los clientes, a efectos de detectar las operaciones inusuales’’. Al existir un doble propósito normativo en la segmentación, es poco probable que una segmentación tradicional pueda cumplir con el doble requisito. En otras palabras, la segmentación de riesgo no siempre coincide. Por lo tanto, hay que buscar soluciones innovadoras ante este reto. Una opción es integrar dos segmentaciones diferentes. Hay un tema mayor y es la complejidad del riesgo de lavado de activos y financiación del terrorismo. Hay eventos de riesgo que tienen comportamientos diferentes según los segmentos, y por lo tanto para ser completamente técnicos deberíamos tener una segmentación por evento de riesgo. Pero este tema será tratado en otra oportunidad.

Errores conceptuales en la segmentación Los siguientes son los errores más frecuentes en la concepción y el procedimiento relacionados con la segmentación: La segmentación lo es todo El mayor error conceptual que hemos encontrado en el sector (vigilado) es el de confundir la segmentación con otras etapas o elementos del SARLAFT. La segmentación es una sub-etapa del SARLAFT que se encuentra en el numeral 4.1.1. donde se desarrolla el tema de la identificación del riesgo. La segmentación no detecta, la segmentación no mide, la segmentación no controla. La segmentación es la base para todo lo anterior.

30 Infolaft | Mayo 2019

La segmentación es una herramienta tecnológica La segmentación es una de las metodologías del SARLAFT y como tal debe ser aprobada por la Junta Directiva. Esta metodología debe ser llevada a la práctica mediante procesos que en su mayoría son responsabilidad del Oficial de Cumplimiento. No se puede confundir la segmentación con la herramienta informática (software) que permite procesar la información y realizar algoritmos estadísticos. La segmentación NO es solamente una herramienta tecnológica.

Tipos de segmentación Las siguientes son las modalidades de segmentación más características en nuestro medio: Segmentación descriptiva Es aquella que si bien cumple con los fundamentos legales de la norma y cuenta con sólidas bases estadísticas que pueden servir para describir los segmentos, no busca predecir el comportamiento de los clientes (o cualquier otro factor de riesgo). Segmentación de expertos Puede cumplir o no con los criterios mínimos establecidos en la norma, pero no emplea métodos estadísticos. Puede aportar mucho conocimiento por parte de quienes conocen los factores de riesgo, pero el procesamiento de los datos no se hace mediante herramientas estadísticas. El tema discutible acá es la posibilidad de desarrollar segmentaciones válidas sin usar la estadística, pero su funcionalidad no está en duda. Segmentación dinámica Hay segmentaciones dinámicas que cambian en períodos de tiempo cortos como una semana o inclusive un día.

10 AÑOS Estas sirven para propósitos de seguimiento transaccional, pero a menos que vayan acompañadas de labores de identificación y medición del riesgo, no se constituyen en una verdadera herramienta de gestión del riesgo. Segmentación atada a la debida diligencia Hay controles que requieren umbrales o rangos para su aplicación. La forma técnica de establecer estos controles es basándose en la segmentación. Por ejemplo, como fruto de la segmentación técnica de los factores de riesgo se establecen los montos que deben servir para determinar los clientes que deben ser visitados periódicamente.

Conclusiones generales La segmentación es la base, la médula y el gran articulador de todo el SARLAFT, por lo tanto los errores conceptuales o de implementación en este tema afectan todo el sistema. Consideramos muy desafortunado el nivel de detalle en los criterios de segmentación que establece el regulador, pues se alejan de la realidad y le quitan sustento técnico a la misma. Las entidades deben desarrollar metodologías innovadoras para integrar en la segmentación los dos propósitos principales que se exigen: medir riesgo y detectar. De las diferentes herramientas estadísticas de segmentación, preferimos las que tienen características predictivas, pues sirven para realizar seguimiento transaccional. La integración de los resultados puramente estadísticos con el conocimiento del experto, así como la combinación de variables objetivas y subjetivas, es un factor que enriquece el modelo y lo hace más efectivo. Es un momento oportuno para revisar la segmentación, por lo tanto, las entidades deben revisar sus elementos esenciales: definición de los elementos, técnica (o metodología), criterios y propósito. Como parte del sistema, la segmentación debe estar integrada con otras etapas y elementos, principalmente con la identificación, la medición, los controles, la detección y el monitoreo. La segmentación no lo es todo, pero si debe estar integrada con todo.

Antes de iniciar un proceso de segmentación, es necesario comprender la información con la que se cuenta y el resultado que se quiere lograr. Cuando se presentan grandes volúmenes, la minería de datos es una gran herramienta, puesto que extrae información de una base seleccionada para convertirla en la información requerida en un menor tiempo. Raul Eduardo Urrego Jiménez Oficial de Cumplimiento de Porvenir S.A.

Publicado originalmente el 16 de Noviembre de 2012

Mayo 2019 | Infolaft 31

Categorías de listas restrictivas para prevenir lavado de activos 10 AÑOS

Existen listas restrictivas, listas obligatorias, listas permitidas, listas de cautela y hasta listas de PEP para administrar el riesgo de lavado de activos. Un buen oficial de cumplimiento debe conocer las diferencias entre ellas para evitar incurrir en malas prácticas. Aquí una guía.

De acuerdo con nuestra experiencia, hemos identificado las siguientes categorías de listas restrictivas: • • • • •

Listas vinculantes. Listas permitidas. Listas de cautela. Listas propias. Otras listas. Cada una de las categorías se explica a continuación.

Listas restrictivas: estas son las vinculantes de lavado de activos La única lista vinculante hasta hace un tiempo era ‘The Al-Qaida Sanctions List’ o ‘lista de sanciones de Al-Qaida’, la cual fue expedida por el Consejo de Seguridad de las Naciones Unidas. No obstante, en 2016 la Organización de Naciones Unidas decidió unificar en un solo listado a las personas y entidades sujetas a sanciones por parte del Consejo de Seguridad de la ONU, conocida entre los oficiales de cumplimiento como la lista consolidada. Dicha lista agrupa las sanciones definidas a través de las siguientes resoluciones: • Resolución 751 de 1992 • Resolución 1267 de 1999 • Resolución 1518 de 2003

32 Infolaft | Mayo 2019

• • • • • • • • • • •

Resolución 1533 de 2004 Resolución 1591 de 2005 Resolución 1718 de 2006 Resolución 1907 de 2009 Resolución 1970 de 2011 Resolución 1988 de 2011 Resolución 2048 de 2012 Resolución 2127 de 2013 Resolución 2140 de 2014 Resolución 1989 de 2015 Resolución 2206 de 2015

Colombia debe dar obligatorio cumplimiento a las sanciones del Consejo de Seguridad debido a que dichas resoluciones exhortan a todos los países miembros de la ONU a tomar medidas en contra del terrorismo.

Listas restrictivas permitidas para prevenir lavado de activos El segundo tipo de listas restrictivas son las denominadas listas permitidas y entre ellas se encuentra la lista Clinton. Dicha clasificación se hace debido a que la Corte Constitucional ha realizado varios pronunciamientos al respecto, en los que ha reconocido que las entidades financieras pueden abstenerse de tener relaciones comerciales con personas incluidas en dicha lista debido a que esa vinculación puede traer consecuencias negativas e incluso generar un “desquilibrio económico desproporcionado para el sistema financiero colombiano”.

10 AÑOS En este punto es importante mencionar que esos pronunciamientos de la Corte se dieron cuando el sector financiero era el único obligado a prevenir el LA/FT, razón por la cual hay dudas acerca de si sectores obligados a prevenir el LA/FT diferentes al financiero pueden aplicar la lista Clinton. Si bien la lista Clinton no es de obligatorio cumplimiento para Colombia, pues en principio corresponde a una ley expedida por un gobierno extranjero, es casi imperativo incorporar dicha lista restrictiva dentro de los programas de cumplimiento para evitar mantener relaciones comerciales con empresas o personas relacionadas en la lista y de esta forma prevenir el riesgo de violar algún programa sancionatorio del gobierno de Estados Unidos.

Listas restrictivas y de cautela para prevenir lavado de activos Una vez cubiertas las listas vinculantes y las permitidas, ahora hacemos referencia a las listas restrictivas o bases de datos que en Infolaft hemos denominado como de cautela, las cuales pueden ser expedidas y/o administradas por autoridades nacionales e internacionales y en las que se relacionen entidades o personas que hayan incurrido en prácticas o comportamientos delictivos que pueden abarcar desde fraude fiscal hasta terrorismo. Dada la gran diversidad y cantidad de listas, es importante que cada sujeto obligado, a la luz de sus políticas de prevención, seleccione el tipo de listas que debe y puede consultar al momento de realizar sus procesos de debida diligencia. A continuación se detallan algunas de las listas que podrían catalogarse como de cautela:

Listas propias Si bien se recomienda que los sujetos obligados complementen sus sistemas con la incorporación de listas de connotación negativa, es importante verificar que dichas listas cumplan con las obligaciones definidas en la ley 1581 de 2012 o Ley de Habeas Data, la cual dicta disposiciones para garantizar la protección de datos personales. No obstante, es importante precisar que según lo dispuesto en el literal b del artículo 2 de dicha ley, el régimen de protección establecido no será de aplicación en las bases de datos y archivos que tengan por finalidad “la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo”.

Otras listas restrictivas Dentro de la categoría de ‘otras listas restrictivas’ pueden encontrarse las listas de personas con exposición pública y con exposición política (PEP). Dicho lo anterior, es importante recordar que la identificación de las PEP y el monitoreo de sus operaciones es una obligación contenida en el Sarlaft de la Superintendencia Financiera de Colombia, en el Sagrlaft de la Superintendencia de Sociedades, en el Sarlaft de la Superintendencia de Economía Solidaria, en el Sarlaft de la Superintendencia Nacional de Salud y en las demás normas de prevención del LA/FT vigentes en Colombia. Además, se debe recordar que el Decreto 1674 de 2016 define un listado de cargos cuyos titulares deben ser catalogados como PEP políticas. Publicado originalmente el 27 de Octubre de 2017

Un buen oficial de cumplimiento no debe caer en el error de volver la revisión de listas en una actividad mecánica, al contrario, debe entender muy bien el alcance de cada una, y caso a caso, hacer uso de ellas valorando la información que cada una provee de acuerdo con el control pretendido. Santiago Ochoa Abogado Senior de Gran Tierra Energy Mayo 2019 | Infolaft 33

10 AÃ&#x2018;OS

34 34 Infolaft Infolaft || Mayo Mayo 2019 2019

Clave 1:

1010 AÑOS AÑOS

Determinar el marco legal

Para entender la relación que existe entre la consulta en listas restrictivas y la definición del marco legal aplicable, resulta útil tener en cuenta que cada lista tiene un tratamiento diferente. En efecto, es importante que las políticas y procedimientos referentes a listas restrictivas sean objeto de un análisis diferenciado, que responda tanto al régimen aplicable a cada lista restrictiva, así como a la definición del marco legal que resulta aplicable a las empresa que realizan las consultas.

Régimen aplicable a cada lista En primer lugar, es importante determinar si una lista restrictiva resulta obligatoria legalmente. Actualmente, sólo existe una lista restrictiva vinculante para Colombia, y es la que contiene las sanciones emitidas por el Consejo de Seguridad de las Naciones Unidas. En efecto, en virtud de la Ley 1121 de 2006 se establece que, de encontrarse la presencia de una persona incluida en esta lista, se deberá informar a la Uiaf y al DAS (facultad hoy asumida por la Fiscalía General de la Nación). En el caso de las sanciones de la Ofac, especialmente la ‘lista Clinton’, son de obligatorio cumplimiento para las denominadas US person, esto es, personas naturales o jurídicas de los Estados Unidos. En cambio, las sanciones de la Ofac no son legamente vinculantes para Colombia debido a que son emitidas por un gobierno extranjero. A pesar de lo anterior, la Corte Constitucional de Colombia, a través de la Sentencia SU-157 de 1999, se ha pronunciado sobre la aplicabilidad de la ‘lista Clinton’ para el sector financiero y ha señalado que “los efectos reflejo de la lista Clinton producen un estado de indefensión indudable para la banca colombiana, por lo que se considera que ella debe defender el interés general de los ahorradores”. En este sentido, se admite que la inclusión de una persona en la ‘lista Clinton’ constituye una causal objetiva para justificar la negación de servicios financieros, lo que no resulta necesariamente aplicable para empresas de otros sectores. La revisión de información de Personas Expuestas Políticamente (PEP) ofrece un ejemplo interesante. El Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades señala que “[l]os procesos para el conocimiento de PEPs implican una debida diligencia avanzada”. Así mismo, la Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica de la Superintendencia Financiera señala que “el Sarlaft debe prever procedimientos más exigentes de vinculación y monitoreo de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que por su perfil o por

las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT”. En este sentido, el hecho de que una persona se encuentre incluida como PEP no tiene connotaciones negativas y evidentemente no tendrá los mismos efectos a una coincidencia en una lista de sanciones.

Régimen aplicable al consultante Por otro lado, es importante tener en cuenta el régimen legal aplicable a la empresa o entidad que realiza la verificación de listas para determinar la orientación del análisis y las consecuencias de encontrar una coincidencia. Como se comentó, las sanciones de la Ofac resultan aplicables a los denominados US person, por lo que no resultan vinculantes para empresas extranjeras. Sin embargo, una compañía colombiana podría determinar que, debido a sus vínculos con Estados Unidos o por contar con sucursales extranjeras, el nivel de riesgo de realizar negocios con personas o jurisdicciones sancionadas por la Ofac resulta alto. Igualmente, algunos sectores económicos pueden contar con normas que establecen exigencias específicas. Por ejemplo, la Resolución 3677 de 2013 del Ministerio de las Tecnologías de la Información y las Comunicaciones establece que los operadores de servicios postales de pago deben revisar obligatoriamente las listas locales entregadas por la Policía y la Fiscalía, requerimiento que no se incluye para otros sectores. Igualmente, para el sector real (Capítulo X, Circular Básica Jurídica de la Superintendencia de Sociedades) se recomienda revisar las bases de datos o sistemas de consulta de la página web de la Superintendencia de Sociedades, dentro de las que se encuentran las listas de Ofac, Interpol y de la Policía Nacional, mientras que, para otros sectores, no se establecen recomendaciones en esta materia. De forma general, es posible afirmar que la clase de listas que se revisan y el resultado o la acción que se espera de una coincidencia, varía de acuerdo a diferentes factores, incluyendo el régimen legal aplicable a la lista y a quien las consulta. Desde un punto de vista práctico, los párrafos anteriores permiten concluir que debe existir un análisis diferenciado de las listas de acuerdo al nivel de riesgo que representa vincular una persona incluida en las mismas y las características de la empresa que consulta y sus operaciones. Publicado originalmente el 28 de Agosto de 2018

Mayo 2019 | Infolaft 35

Clave 2:

Incluir la revisión dentro de la gestión de riesgo Con frecuencia, las normas que establecen la obligatoriedad de contar con sistemas de prevención del lavado de activos y financiación del terrorismo igualmente requieren establecer metodologías de gestión que permitan identificar los riesgos a los que se encuentra sometido el sujeto obligado, medir dichos riesgos y determinar los controles que se pueden establecer para reducir su probabilidad de ocurrencia o mitigar su impacto. En el caso de la revisión de listas restrictivas, los profesionales del cumplimiento no siempre realizan su integración con la gestión del riesgo. Sin embargo, las listas tienen mucho que ver con el tema de gestión del riesgo y es recomendable que se traten como procesos integrados. A continuación, se busca aclara la relación existente entre la revisión en listas y la gestión del riesgo.

La vinculación en listas para identificar eventos de riesgo La Norma Técnica Colombia ISO 31000, ampliamente utilizada por los profesionales de cumplimiento del país para establecer una metodología de gestión del riesgo, establece un conjunto de etapas para la valoración del riesgo dentro de las que destaca la identificación, en donde “[l]a organización debería identificar las fuentes de riesgo, las áreas de impacto, los eventos, y sus causas y consecuencias potenciales”. Junto con la identificación, la norma igualmente hace referencia al análisis y evaluación del riesgo, al tratamiento o control y al monitoreo y la revisión, entre otros. Ahora bien, la determinación de los riesgos a través de la etapa de identificación, para los fines de este artículo, implica determinar las fuentes y eventos del riesgo de LA/FT. El riesgo de LA/FT, se define en el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades como “(…) la posibilidad de pérdida o daño que puede sufrir una Empresa por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas (…)”. Por su parte, la Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica de la Superintendencia Financiera divide este riesgo de LA/FT en riesgos asociados, definidos como “(…) los riesgos a través de los cuales se materializa el riesgo de LA/FT, estos son: 36 Infolaft | Mayo 2019

reputacional, legal, operativo y de contagio.” Sobre el particular, vale la pena aclarar que la vinculación de una contraparte en una lista restrictiva no es per se un riesgo de LA/FT para la empresa o institución que realiza la verificación. En efecto, y como se señaló en el artículo “15 Claves para consultar listas: 1. Determinar el Marco legal”, las listas cuentan con regímenes legales diferentes y consecuencias distintas, de acuerdo al nivel de riesgo que representa vincular una persona incluida en las mismas y las características de la empresa que consulta y sus operaciones. Sin embargo, la información que deriva de la inclusión de una contraparte en listas puede efectivamente dar origen a la identificación de un riesgo de LA/FT. Por ejemplo, una empresa que identifica que una contraparte es una PEP o que aparece en una lista restrictiva o en medios de comunicación por la comisión de un delito, aún no ha identificado un riesgo de LA/FT. Sin embargo, si la información de medios o de listas permite concluir que la contraparte fue condenada por el delito de lavado de activos o sus delitos fuente o por el delito de financiación del terrorismo, la empresa efectivamente ha identificado un riesgo de LA/FT respecto de esta contraparte, el cual debe ser gestionado de acuerdo con las políticas y procedimientos establecidos por la empresa. En este sentido, durante la etapa de identificación es necesario determinar los eventos de riesgo que derivan de la verificación de las listas restrictivas. Respecto de estos eventos de riesgo, se debe aplicar la metodología de gestión del riesgo, realizando la evaluación o medición del riesgo y estableciendo los controles para la reducción de la probabilidad de ocurrencia y la mitigación del impacto.

La revisión de listas como control Así como la coincidencia en listas puede implicar la identificación de riesgos de LA/FT, la revisión de las listas también se relaciona con otra etapa de la gestión del riesgo que es la de control. En la Norma Técnica Colombiana ISO 31000, el control o tratamiento del riesgo “(…) involucra la selección de una o más opciones para modificar los riesgos (…)”. En este sentido, lo que se busca con el control del riesgo, es que tanto la probabilidad de ocurrencia como el impacto, en caso de que se materialice el riesgo – ambos

10 AÑOS previamente determinados y evaluados en la etapa de identificación y medición – puedan ser reducidos o mitigados. En relación con los eventos de riesgo identificados que derivan de la verificación de listas, así como de otros eventos de riesgo respecto de las contrapartes, la mejor medida para controlar el riesgo es realizar la revisión de listas restrictivas. En efecto, la revisión de listas restrictivas reduce sensiblemente la probabilidad de ocurrencia del riesgo de vincularse con personas señaladas de actividades ilícitas. Así mismo, en caso de materializarse riesgos de LA/FT, la revisión previa de listas

Clave 3:

permite evidenciar medidas de debida diligencia en el conocimiento de las contrapartes frente a las autoridades y otros terceros, lo que podría reducir el impacto del riesgo materializado. En este sentido, se evidencia que la actividad de revisión de listas debe estar vinculada desde el principio a la gestión de riesgo de los sistemas de prevención del lavado de activos y la financiación del terrorismo, en la medida en que permite la identificación de riesgos de la empresa y, así mismo, funciona como un control efectivo para la reducción de riesgos generalmente vinculados a la contraparte. Publicado originalmente el 5 de Septiembre de 2018

Establecer las políticas La relevancia de las políticas se encuentra expresamente plasmada en las normas. De acuerdo con el Numeral 4.2.1 de la Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica de la Superintendencia Financiera, las políticas “son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el SARLAFT. Cada una de las etapas y elementos del sistema debe contar con unas políticas claras y efectivamente aplicables”. Por Por su parte, el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, señala que “el Sistema deberá establecer, entre otros elementos, una política de prevención y gestión del Riesgo de LA/FT.” En este sentido, las normas de prevención del lavado de activos y financiación de terrorismo son claras en señalar la obligatoriedad de contar con políticas que establezcan los lineamientos que guían el funcionamiento del sistema, lo cual debe igualmente aplicarse a la consulta en listas, debido a la importancia de este control para las debidas diligencias que realizan las compañías. Esto significa que la consagración expresa de políticas en el Manual, tanto de listas como de los otros temas que orientan el sistema, es una obligación legal exigibles por las autoridades en una eventual visita o requerimiento.

En todo caso, es importante tener en cuenta que las políticas constituyen declaraciones generales y que, como lineamientos, pueden resultar abstractos y amplios. En este sentido, resulta necesario que las políticas de consultas de listas cuenten con procedimientos claros que permitan su ejecución. Es por este motivo, que la norma de la Superintendencia Financiera señala que “las políticas que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del SARLAFT y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad y de sus accionistas.” Esto significa que, aunque contar con políticas claras y expresas sobre la revisión de listas constituye un factor de fundamental importancia para el correcto funcionamiento del sistema de prevención del riesgo, las políticas necesariamente deben ser instrumentalizadas a través de reglas y procedimientos que en la práctica las ejecuten; en otras palabras, las políticas no se deben convertir en un saludo a la bandera. Publicado originalmente el 26 de Septiembre de 2018

En materia de listas, vale la pena contar con políticas que establezcan la obligatoriedad de su consulta, de forma previa a la vinculación de contrapartes. Igualmente, se recomienda contar con políticas que establezcan si la empresa realiza o no operaciones con personas incluidas en listas, teniendo especial cuidado de analizar las diferencias entre dichas listas.

Mayo 2019 | Infolaft 37

Clave 4:

Contar con cláusulas contractuales Sobre este aspecto, es importante tener en cuenta que las cláusulas recomendadas para los contratos modelo de proveedores, empleados y clientes no siempre son iguales ni tienen el mismo objetivo. A continuación, resumimos algunos de los temas que pueden ser tenidos en cuenta a la hora de diseñar instrumentos contractuales, con un enfoque basado en la gestión de riesgo y con especial énfasis en la revisión de listas.

Cláusulas para solicitar autorización y legitimar el tratamiento de datos personales: Sobre el aspecto de la aplicación del derecho del hábeas data en materia de prevención y gestión del riesgo de LA/ FT, resulta fundamental mencionar el artículo 2, literal b de la Ley 1581 de 2012, en el cual se establece una excepción a la aplicación de dicha ley para las bases de datos, “(…) que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo”. De acuerdo a lo anterior, la norma general de protección de datos colombiana parece exceptuar de su aplicación a las bases de datos relacionadas con el control del LA/FT. Sin embargo, este artículo debe ser analizado a luz de su parágrafo, que establece que “los principios sobre protección de datos serán aplicables a todas las bases de datos, incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y sin reñir con los datos que tienen características de estar amparados por la reserva legal”. En este sentido, es posible interpretar que, aunque la norma contempla un régimen especial y excepcional para ciertas bases de datos, éstas no se encuentran eximidas completamente del régimen de protección de datos, pues los principios del artículo 4 de la Ley 1581 siguen siendo aplicables. Dentro de los principios contemplados, se encuentra el principio de finalidad, que señala que el tratamiento debe obedecer a una finalidad legítima; el principio de acceso y circulación restringida, que señala que el tratamiento sobre la información debe estar sujeto a los límites de la naturaleza de dichos datos y de la ley; y más importante aún, el principio de libertad que establecer que el tratamiento “(…) sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular”. 38 Infolaft | Mayo 2019

En este este sentido, siempre es recomendable que, en el contrato, o en un documento adicional, se solicite la autorización del titular de los datos personales y se le informe las finalidades del tratamiento, incluyendo el hecho de que será objeto de consulta en listas restrictivas. En todo caso, esta autorización puede ser utilizada para legitimar otros usos sobre la información diferentes a la prevención del LA/FT, tales como el envío de comunicaciones comerciales o el uso para la elaboración de estadísticas.

Cláusulas para prever riesgos de contrapartes: Como segundo punto, contar con cláusulas contractuales permite prever posibles riesgos, lo que a su vez posibilita su mitigación en caso de materializarse. En efecto, es recomendable contar con cláusulas contractuales que establezcan, por lo menos, lo siguiente: • Declaración de que el origen de los fondos o de cualquier activo utilizado para la suscripción y ejecución del contrato es de carácter lícito • Declaración de que los fondos o activos del contrato tendrán usos legales y no serán destinados a actividades ilícitas, especialmente la financiación del terrorismo • Declaración de que la contraparte y, en caso de personas jurídicas, su representante legal, administradores y beneficiarios finales, no se encuentran en listas restrictivas por actividades de LA/FT • Consecuencias de la inclusión en listas de la contraparte, su representante legal, administradores o beneficiarios finales De acuerdo con lo anterior, es recomendable que los modelos de contratos suscritos con las contrapartes establezcan un conjunto de obligaciones mínimas relacionadas con la prevención de LA/FT, especialmente respecto del origen y uso de los activos. Adicionalmente, es recomendable que se establezcan consecuencias claras en caso de que la contraparte sea incluida en alguna lista restrictiva o base de datos; dichas consecuencias usualmente se enmarcan en la posibilidad de dar por terminada la relación contractual. Con frecuencia, una cláusula contractual que prevea consecuencias negativas por la inclusión en listas, puede estar atada a una cláusula de incumplimiento e incluso, a la cláusula penal, por lo que la eventual coincidencia de la

10 AÑOS contraparte en listas podría dar lugar a la terminación del contrato y al pago de sumas dinerarias. En todo caso, este último aspecto debe ser tratado con cautela, pues recibir activos o dinero provenientes de una persona señalada de LA/FT podría implicar un riesgo de contagio, incluso si se origina por el incumplimiento del contrato.

una buena práctica, la verificación de listas por parte de terceros no necesariamente exime de la obligación de conocimiento de contrapartes de la empresa que establece la cláusula.

Imponer obligaciones para contrapartes claves:

Finalmente, es importante tener en mente que la inclusión de cláusulas que contienen obligaciones de prevención de LA/FT se ha convertido en una práctica usual entre las empresas, ya sea por estar obligadas legalmente o como una buena práctica. En este sentido, es razonable esperar que las contrapartes soliciten la suscripción de cláusulas contractuales que establecen la obligatoriedad de revisar las listas restrictivas o que prohíban que sus contrapartes realicen negocios con personas incluidas en algunas listas. Por ejemplo, una empresa norteamericana puede considerar adecuado incluir una cláusula contractual, que obligue a declarar a sus contrapartes que no realizan ni han realizado negocios con personas sancionadas o reseñadas por la OFAC, con el fin de evitar el riesgo de contagio.

En ciertos casos específicos, el contrato puede servir como instrumento para la imposición de obligaciones de revisión de listas a la contraparte. Por ejemplo, una empresa que decida tercerizar una actividad a través de un proveedor que a su vez subcontrata a sus empleados, puede estar interesada en que el proveedor verifique adecuadamente a dichos empleados, especialmente cuando el servicio implique el traslado de personal, como es usual en empresas de vigilancia y servicios generales. En este sentido, es posible considerar la inclusión de una cláusula contractual, en donde se establezca que todas las personas contratadas por el proveedor deben ser verificados en listas y deben ser objeto de una debida diligencia. La especificidad de la obligación y los mecanismos que se adopten para hacerla efectiva dependerán de cada situación. En todo caso, y aunque resulta adecuado como

Clave 5:

Las obligaciones son de doble vía:

En este orden de ideas, no sobra señalar que las obligaciones de prevención de LA/FT incluidas en cláusulas contractuales deben ser cumplidas, incluso por quien las solicita. Publicado originalmente el 2 de Octubre de 2018

Acceder a la información Hasta el momento en este especial de las 15 claves para consultar listas, se ha dado un énfasis a los aspectos jurídicos y legalmente exigidos, para realizar una consulta lícita y apegada a las regulaciones de prevención de LA/FT. En esta ocasión, corresponde examinar algunos aspectos prácticos de la revisión de listas, especialmente relevantes para el acceso a la información consultada. Sobre este tema, es importante señalar que aunque la consulta de listas usualmente implica la recolección o provisión de información por parte de un tercero – autoridad, organización nacional o internacional o proveedor de listas – esta actividad no es de una sola vía, debido a que la empresa o persona que realiza la consulta debe garantizar la calidad y veracidad de la información. En este sentido, vale la pena recordar lo señalado en la Ley de Protección de Datos (Ley 1581 de 2012). En el artículo previo a este, que aborda la clave 4 de consulta de listas, se mencionó que, aunque la Ley 1581 excluye de su ámbito de aplicación a las bases de datos para la prevención, detección, monitoreo y control del LA/FT, esto no significa que estas bases de datos se encuentran

eximidas completamente del régimen de protección de datos, pues los principios del artículo 4 de la Ley 1581 siguen siendo aplicables. Uno de los principios que llaman la atención para los fines de este artículo es el de veracidad o calidad, que señala que “la información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error” En este orden de ideas, debe entenderse que el acceso a la información que se extrae de listas restrictivas no solamente implica la recolección unilateral de los resultados de las fuentes; también requiere que la información que va a ser consultada sea veraz, completa, exacta, actualizada, comprobable y comprensible. De lo contrario, la consulta podría dar lugar a resultados erróneos, con la potencialidad de infringir los derechos de los titulares y/o de restar efectividad y eficacia al sistema de prevención de LA/FT. Mayo 2019 | Infolaft 39

Adicionalmente, el acceso a la información requiere que la empresa que consulta las listas, cuente con herramientas tecnológicas para esta labor. Lo anterior no solamente es importante y recomendable, sino que se exige por la norma. En efecto, la Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica de la Superintendencia Financiera, establece como elemento del Sarlaft, junto con las políticas y procedimientos, la infraestructura tecnológica. En este sentido, el numeral 4.2.6 de la mencionada Circular establece los lineamientos y requisitos de la infraestructura tecnológica, señalando que “las entidades deben contar con la tecnología y los sistemas necesarios para garantizar la adecuada administración del riesgo de LA/FT. Para ello deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño (…)” En general, es claro que la norma no establece el tipo y características de la infraestructura requerida, salvo por el hecho de que la misma debe obedecer al tipo de actividades, operaciones, riesgo y tamaño de la empresa. De acuerdo con lo anterior, cada empresa puede determinar el tipo o características de la infraestructura tecnológica utilizada para la consulta de listas. En este

Clave 6:

tema, algunas empresas pueden considerar necesario adquirir hardware y desarrollar software in-house para la consulta de listas; otras empresas pueden considerar que resulta adecuado y suficiente adquirir un sistema de consulta de listas restrictivas a través de un proveedor; finalmente, otros podrían considerar la conveniencia de contar con un sistema mixto que comprenda desarrollos in-house y el acceso a un proveedor. Reiterando la importancia de la infraestructura tecnológica para el correcto funcionamiento de un sistema de prevención de LA/FT, el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, en su numeral 4.B.a., establece lo siguiente, sobre las responsabilidades del representante legal y la junta directiva: “El representante legal y la junta directiva, en los casos en que exista este órgano, deberán disponer de las medidas operativas, económicas, físicas, tecnológicas y de recursos que sean necesarias y requeridas para que el Oficial de Cumplimiento pueda desarrollar sus labores.” En igual sentido, y haciendo referencia a las responsabilidades de los órganos sociales, la Circular 170 de 2005 de la DIAN establece que la junta directiva o máximo órgano social debe adoptar procedimientos que incluyan entre otros, el “uso de herramientas tecnológicas acordes con la naturaleza y tamaño de la empresa”. Publicado originalmente el 10 de Octubre de 2018

No acceder a información ilegal Previamente, se ha señalado que, aunque la Ley 1581 de 2012 (Ley de Protección de Datos Personales) excluye de su ámbito de aplicación a las bases de datos para la prevención, detección, monitoreo y control del LA/FT, esto no significa que estas bases de datos se encuentran eximidas completamente del régimen de Protección de Datos, pues los principios del artículo 4 de la Ley 1581 siguen siendo aplicables.

En este sentido, resulta claro que, aunque el tratamiento de información y datos personales destinados a la prevención de LA/FT cuenta con fundamentos legales y obligaciones normativas, esto no implica que no existan reglas o que se pueda utilizar cualquier clase de información. Para mitigar los riesgos legales que puedan surgir de 40 Infolaft | Mayo 2019

un inadecuado uso de la información, es usual que la consulta de listas utilice información pública, proveniente de fuentes de acceso público, la cual suele tener una protección legal menor. En efecto, el Artículo 6 de la Ley 1266 de 2008 señala que la administración de información pública no requiere autorización del titular de los datos. En el mismo sentido, el Artículo 10 de la Ley 1581 de 2012 y el artículo 5 del Decreto 1377 de 2013 señalan que los datos de naturaleza pública pueden ser objeto de tratamiento sin necesidad de autorización del titular y pueden ser tratados por cualquier persona. Sin embargo, es importante tener en cuenta que la información pública no adquiere esta calidad por el sólo hecho de encontrarse a disposición del público. En otras palabras, la información que se encuentra abierta al público (por ejemplo, en internet), no es pública por este sólo hecho, sino que requiere de un análisis más profundo.

10 AÑOS La Superintendencia de Industria y Comercio, entidad encargada de velar por el cumplimiento de la legislación en materia de Protección de Datos Personales, a través del concepto de Radicado 18-94066-1 del 23 de abril de 2018, señaló que “(…) los datos personales que se encuentren en sitios de acceso público como internet por ese solo hecho no convierte a dichos datos personales en naturaleza pública y, por ello, el tratamiento de los mismos deberá realizarse garantizando el derecho de hábeas data y el derecho de la intimidad del titular dando aplicación a los principios de legalidad, finalidad, libertad, veracidad y calidad, transparencia, acceso y circulación restringida, seguridad, confidencialidad consagrados en el artículo 4 de la Ley 1581 de 2012”. Con base en lo anterior, Infolaft considera que las siguientes recomendaciones pueden ayudarle a mitigar riesgos legales en la consulta de información pública sobre contrapartes:

Clave 7:

• Es importante conocer adecuadamente los términos y condiciones, así como las políticas de Protección de Datos de las entidades u organismos que proveen información, bases de datos y listas, con el fin de determinar si existen restricciones para el tratamiento de la información. • Si las políticas o lineamientos no son claros, o siguen existiendo dudas sobre la legalidad del tratamiento, es recomendable presentar derechos de petición a la entidad que provee la información, con el fin de determinar si existen restricciones que impidan su tratamiento libre para los fines de prevenir el LA/FT • Es ideal apoyarse en un equipo legal para obtener una opinión experta sobre la información que puede consultarse y la que no debe revisarse • Siempre es recomendable solicitar la autorización de la persona que será consultada (titular de la información), con el fin de garantizar su derecho del hábeas data y respetar el principio de libertad de la Ley 1581 de 2012. Publicado originalmente el 5 de Marzo de 2019

Contar con las herramientas necesarias En las entregas anteriores, se ha señalado la importancia de realizar un manejo legal y respetuoso del derecho del hábeas data de la información de las listas y bases de datos para prevenir el LA/FT. Para dar cumplimiento a estos objetivos y, en la práctica, para poder realizar las debidas diligencias, las empresas obligadas deben disponer de herramientas para la consulta de listas. En este punto, vale la pena tener en cuenta que las normas de prevención de LA/FT no siempre establecen un requisito de contar con herramientas, plataformas o software especializado para la consulta de listas. En esencia, podría interpretarse que un oficial de cumplimiento estaría en la libertad de realizar una revisión manual e individual de cada una de las listas y bases de datos que resultan relevantes para prevenir el LA/FT. Sin embargo, esta sería una labor ardua y complicada. A modo de ejemplo, la plataforma de revisión de listas restrictivas de Infolaft actualmente incluye cerca de 300 fuentes de información y contiene alrededor de 400 mil registros. Aunque no todas estas fuentes son de obligatoria consulta, la esencia de la debida diligencia requiere de la valoración de múltiples fuentes de información para la toma de decisiones. Igualmente, y aunque no se haga referencia específica a las listas, las normas de prevención de LA/FT contienen

obligaciones de contar con ayuda tecnológica para la prevención y gestión del riesgo de LA/FT. Por ejemplo, el Capítulo X de la Circular Básica Jurídica de la Supersociedades señala que se debe disponer de las medidas tecnológicas requeridas para que el Oficial de Cumplimiento pueda desarrollar su labor. Igualmente, la Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica de la Superfinanciera señala que las entidades obligadas deben contar con tecnología y sistemas que permitan garantizar la administración del riesgo de LA/FT y que sean acorde a las actividades, operaciones, riesgo y tamaño de la entidad. En la práctica, y dependiendo precisamente del tamaño, así como de los medios y las necesidades de cada empresa, se suele optar por uno de dos caminos: 1. Desarrollar o contratar el desarrollo de herramientas adaptadas a las necesidades específicas de la organización y; 2. adquirir o licenciar herramientas o servicios de terceros.

Desarrollo de herramientas para uso interno Algunas empresas pueden optar por realizar un desarrollo tecnológico de software específicamente adaptado a sus necesidades, a través de un equipo de desarrolladores internos o externos. Esta alternativa suele responder mejor a las necesidades de compañías de gran tamaño, como bancos y empresas multinacionales. Mayo 2019 | Infolaft 41

Sin embargo, es claro que el desarrollo de una herramienta interna reviste diversos desafíos. Además de la carga operativa y económica que implica la contratación y dirección de un equipo de desarrollo, también se requiere alimentar la plataforma con listas, bases de datos y otra información pública actualizada. En este sentido, además del desarrollo del software o plataforma, la adopción de un sistema externo requiere planear las maneras en las que se recolectará la información, ya sea a través de un equipo interno, o contratando terceros especializados. Por otro lado, la mencionada Circular Básica Jurídica de la Superfinanciera indica que la documentación del sistema de gestión de riesgo debe contar con medidas que permitan establecer con seguridad que sólo son consultados por quienes están autorizados para ello, obligación consecuente con el principio de seguridad de la información consagrado en el artículo 4 (g) de la Ley 1581 de 2012, que señala que “la información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar

Clave 8:

seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”. En este sentido, el desarrollo de un sistema de listas requiere establecer medidas de control que permitan otorgar seguridad a la información, tales como las contempladas en la Norma ISO 27001.

Adquisición o licenciamiento de herramientas de terceros También es perfectamente válido apoyarse en un proveedor externo para la consulta de información pública, listas y bases de datos. Esta opción suele adaptarse mejor a las empresas que no se encuentran en la capacidad o simplemente prefieren evitar las cargas que implica el desarrollo de un software y la alimentación de la información. En todo caso, es recomendable que se verifique que el proveedor de información realiza un tratamiento que sea acorde con las normas de Protección de Datos Personales y que la información que provea siga los lineamientos internos establecidos por la empresa en materia de hábeas data y seguridad de la información. Publicado originalmente el 19 de Marzo de 2019

Entrenar a los directamente responsables ¿Quiénes juegan un papel importante y directo al interior de las empresas frente al proceso de cruce de contrapartes en listas restrictivas y bases de datos? Pues bien, son tres las instancias fundamentales en esta fase: los órganos de dirección, el Oficial de Cumplimiento y el equipo de cumplimiento.

En relación con los órganos de dirección basta decir que, al ser los máximos responsables de las decisiones en las compañías, están en la obligación de crear las políticas, de establecer los procedimientos que se deben seguir en la consulta en listas y, en general, de promover una cultura de integridad en el proceso de debida diligencia y, más específicamente, de la consulta en listas. Para ello, es indispensable que todos los órganos de dirección, que para el efecto son la máxima cabeza administrativa, el representante legal, la junta directiva y otras instancias de nivel superior si las hubiere (como el revisor fiscal, por ejemplo), deben estar capacitados y conocer a profundidad los riesgos que se busca gestionar 42 Infolaft | Mayo 2019

a través del proceso de debida diligencia y de la consulta en listas. Estar instruidos en la materia implica tener un conocimiento, así sea básico, de gestión del riesgo, de las leyes y mejores prácticas que gobiernan los procesos de cruce de contrapartes con el fin de no salirse de ese marco, de los detalles técnicos de listas y bases de datos a utilizar (catálogo existente, autoridades que las emiten, ventajas y dificultades en su consulta, etc.) y de gestión documental que compruebe la realización del cruce de contrapartes. El encargado de impartir esta capacitación, y de entregar toda la información necesaria para la instrucción de los órganos de dirección, es el Oficial de Cumplimiento, que por definición es la persona que más sabe de gestión del riesgo de LA/FT en una empresa y que mejor conoce su sistema de prevención de estos fenómenos.

10 AÑOS En segundo lugar aparece el equipo de cumplimiento, que son los funcionarios que materialmente realizan la consulta en listas en los software y herramientas establecidos para ello. La capacitación de ellos depende tanto del proveedor de las listas, quien será el encargado de explicar el paso a paso y demás detalles técnicos necesarios, como del Oficial de Cumplimiento que en esta escena adquiere un rol más de coordinación.

Esta capacitación debe ser permanente, efectiva y oportuna, para lo cual conviene establecer en los manuales de procedimientos Sarlaft y otros documentos de procesos que se realice semestralmente o en caso de que existan cambios en las herramientas. Publicado originalmente el 4 de Abril de 2019

Clave 9:

Establecer los procedimientos Esta novena clave para del hecho de que el diseño de procedimientos permite llevar a la realidad las políticas y demás elementos del sistema de prevención de LA/FT. Lo primero que debe señalarse es que, en materia de administración del riesgo de LA/FT, el término “procedimiento” se encuentra especialmente relacionado con las normas del sector financiero. En efecto, el Numeral 4.2.2 de la Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica de la Superintendencia Financiera, señala que las entidades deben establece “los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT”. Esta norma entiende que los procedimientos son uno de los elementos del SARLAFT y que, como tal, instrumentalizan y permiten la aplicación de los demás elementos y etapas del sistema. En este sentido, y aunque no esté expresamente señalado en las demás normas, es claro que los sistemas de prevención del riesgo de LA/FT siempre contienen procedimientos que permiten hacer efectiva la gestión del riesgo y los demás componentes del sistema. En este entendido, es claro que la revisión y la gestión de las listas requiere un procedimiento establecido en el sistema que le permita a los empleados aterrizar a la realidad las políticas de la compañía en materia de revisión y coincidencia de listas.

Sin embargo, el hecho de que el sistema deba establecer procedimiento sobre las listas o bases de datos para revisar contrapartes no significa que estos procedimientos deban ser excesivamente exhaustivos o demasiado restrictivos para los negocios de la empresa. En efecto, es común que los oficiales de cumplimiento se encuentren frente a situaciones en donde una coincidencia en una lista restrictiva o base de datos para la prevención de LA/FT no arroje una respuesta clara y concisa para todos los casos. En otras palabras, no siempre es fácil establecer, con base en una coincidencia en listas, si rechazar o aprobar la vinculación de una contraparte y con frecuencia, la coincidencia de varias contrapartes en la misma lista o base de datos puede dar resultados diferentes, de acuerdo al análisis de cada caso. Es recomendable que los procedimientos que se establezcan en el sistema de prevención respecto de las listas sean lo suficientemente comprehensivos como para permitir que la revisión y gestión de las bases de datos sea efectivo de acuerdo a las políticas, pero que no sean tan exhaustivo como para limitar o afectar negativamente los negocios de la compañía. En este sentido, la elaboración de los procedimientos y, consecuentemente, las políticas de listas, debe contar con un análisis juicioso de las bases de datos que serán consultadas. Se recomienda otorgar un margen de acción al oficial de cumplimiento de forma que mantenga la capacidad de analizar casos difíciles o controversiales. Publicado originalmente el 9 de Abril de 2019

Mayo 2019 | Infolaft 43

Clave 10:

Establecer un procedimiento de análisis de coincidencias En el artículo anterior, se explicó la importancia de contar con procedimientos que permitan aterrizar las políticas y demás elementos del sistema. Sin embargo, se señaló que, aunque los procedimientos deben permitir una efectiva gestión de las listas restrictivas, éstos no deben ser tan exhaustivos o restrictivos como para limitar o afectar negativamente los negocios de la compañía. Se reitera, pues, que la coincidencia en una lista no siempre lleva a las mismas conclusiones, sobre si se puede o no vincular una contraparte, o si se continúa o no una relación con dicha contraparte. Esto ocurren pues, en esencia, las listas restrictivas no señalan quien es un lavador de activos, un terrorista o un financiador del terrorismo. En cambio, nuestro ordenamiento jurídico contemplan solamente una lista vinculante, que es la de la ONU, y, a veces, recomienda revisar otras listas, que solamente informan sobre el riesgo de entablar relaciones con ciertas personas. En otras palabras, las listas no otorgan certezas sobre la calidad de criminal (o no) de una persona, sino que informan de un riesgo; esto es, el riesgo de iniciar relaciones contractuales o de otro tipo con una persona que puede o no ser un criminal. En este sentido, es claro que las empresas, además de contar con procedimientos sobre la revisión de listas, deben contar con procedimientos sobre la forma en la que se analizará y se tomará una decisión sobre una coincidencia en las listas restrictivas o bases de datos para la prevención del LA/FT. Igualmente, esto conlleva a reiterar lo señalado en la clave 9, en el sentido de que los procedimientos de análisis deben otorgar un suficiente margen de acción como para no restringir de forma innecesaria los negocios de la empresa. Procedimientos que establezcan decisiones generales sobre ciertas listas pueden funcionar respecto de algunas bases de datos, pero no respecto de otras. Por ejemplo, algunas empresas pueden tener claridad y establecer en sus políticas que no realizarán negocios con personas

44 Infolaft | Mayo 2019

incluidas en la Lista ONU, Interpol y que, por su relación con Estados Unidos, no vincularán a personas incluidas en la Lista OFAC, o que residan en jurisdicciones sancionadas por la OFAC. Sin embargo, existen innumerables excepciones. Algunos negocios pueden considerar que, al no contar con relaciones con Estados Unidos, pueden eventualmente admitir negocios con jurisdicciones sancionadas por la OFAC, como por ejemplo Cuba o Irán. El problema principal radica especialmente en las listas diferentes a las de la ONU, la Ofac y la Interpol. Por ejemplo, las bases de datos que hacen referencia a sanciones administrativas, o que, aunque tengan relación con delitos, no necesariamente se vinculen al LA/FT, suelen ser mayores fuentes de controversia. En estos casos, políticas y procedimientos con decisiones generales que, por ejemplo, impliquen la negación de la vinculación en todos los casos de coincidencia tienen la potencialidad de afectar negativamente la competitividad de la empresa, al restringir innecesariamente su capacidad de hacer negocios con ciertas personas. Para los fines de analizar coincidencias en bases de datos y listas restrictivas, muchas empresas han optado por someter las decisiones sobre las coincidencias a la deliberación de órganos internos compuestos por varias personas, por encima de establecer decisiones concretas e inamovibles. En este sentido, es común establecer procedimientos y políticas para someter la decisión sobre las coincidencias de ciertas listas o bases de datos (las de mayor controversia), al análisis y la conclusión a la que llegue un equipo plural de cumplimiento y/o de un órgano con un número plural de personas. De esta manera se somete la decisión (de vincular, continuar la relación, o de negar o cancelar dicha relación) a la opinión de varias personas, que pueden aportar un punto de vista más consciente y objetivo de los negocios de la empresa. Publicado originalmente el 11 de Abril de 2019

Clave 11:

10 AÑOS

Atención al contexto Asimismo, conocer el contexto permite entender la evolución de las estructuras criminales que cada día evidencian más su carácter trasnacional, su actuar coordinado con carteles o mafias que ya no están restringidas a un país o región. Y como denominador común se encuentra el lavado de activos.

El punto de arranque para cualquier administrador de riesgos es conocer el contexto en el que debe ejercer sus funciones, por lo cual los Oficiales de Cumplimiento y sus colaboradores deben mantenerse informados no solo de lo que ya pasó, del riesgo que ya se materializó o de la tipología que se utilizó, sino hacia dónde pueden migrar dichos fenómenos. Y en particular para la consulta en listas, vale la pena poner el foco en los individuos y empresas protagonistas de los hechos.

Con Infolaft recibe toda la información de contexto

Aunque no se trate de aprenderse de memoria a los sujetos implicados en las noticias de contexto, el estar empapado permanentemente de ellas habilitará al profesional de cumplimiento para empezar a cultivar un gran portafolio de elementos de análisis que le permitirá inferir y detectar señales de alerta a partir de los meros hechos.

Infolaft es el proveedor de listas más importante de Colombia para prevenir los riesgos de LA/FT, fraude y corrupción. Dentro de su plataforma están contenidas más de 80 listas de Colombia y el mundo provenientes de más de 300 fuentes de información. A partir de este flujo de datos, Infolaft ofrece las mejores soluciones del mercado para anticiparse y controlar posibles situaciones de riesgo sobre operaciones inusuales y sospechosas.

Por ejemplo, el administrador de riesgos de lavado de activos en Colombia que esté enterado que el gobierno de Estados Unidos, a través de la Oficina de Control de Activos en el Extranjero (Ofac), ha iniciado una ofensiva sin precedentes en la imposición de sanciones financieras contra los regímenes de Venezuela y de Nicaragua, podrá estar en mayor grado de atención y diligencia cuando analice operaciones con actores ubicados en estas jurisdicciones.

Adicionalmente, Infolaft ofrece un listado de Personas Expuestas Políticamente que se encuentra alineado con las disposiciones del Decreto 1674 de 2016 así como una base de datos con miles de entradas de personas con exposición pública (dentro de la que se encuentran algunos políticos excluidos de la lista de PEP, artistas y deportistas). Publicado originalmente el 23 de Abril de 2019

Clave 12:

Hacer prueba de auditoría De acuerdo con la American Accounting Association, la auditoría puede definirse como el proceso sistemático que busca la obtención de evidencias y la evaluación de las mismas, relacionadas con las actividades de una organización, con el fin de determinar el grado de correspondencia de estas evidencias con los criterios que establezca la organización o la ley. En otras palabras y para los fines de la prevención de LA/FT, entendemos que el proceso de auditoría tiene como finalidad principal obtener evidencias y determinar si los procesos o actividades de una organización se ajustan a sus metas, políticas y procedimientos, ya sean establecidos por cuenta propia o por la ley.

En materia de revisión de listas restrictivas, un proceso de auditoría adecuado no es nada diferente a la evaluación de los procesos que realice la empresa para esta gestión y la evaluación de adecuación de estos procesos con las políticas y procedimientos que establezca la compañía. Lo anterior implica que el proceso de auditoría debe tener en cuenta los lineamientos que la compañía internamente señale para la revisión de listas, y debe determinar si estos procedimientos están siendo cumplidos por la organización y sus responsables.

Mayo 2019 | Infolaft 45

El proceso de auditoría permite extraer una conclusión que no siempre es tan evidente ni tan tenida en cuenta dentro de las organizaciones: que las políticas y los procedimientos de revisión de listas deben ser realizables y, por ende, deben guardar correspondencia con las particularidades de la empresa. En efecto, las conclusiones negativas de la auditoria del proceso de revisión y gestión de listas no siempre ocurren por el descuido de la organización o los responsables, sino

también por la existencia de políticas y procedimientos de difícil o imposible aplicación. En este sentido, previo incluso a la auditoría pero con miras a ésta, las empresas deben proceder a diseñar sus procedimientos y políticas y deben evaluar adecuadamente que éstos sean posibles, realizables, eficientes y efectivos para los fines y de acuerdo a las características de la empresa. Publicado originalmente el 24 de Abril de 2019

Clave 13:

Capacite a toda la organización

Más allá de la capacitación a los funcionarios directamente responsables del sistema de prevención del LA/FT, y en especial del proceso de consulta en listas es necesario que la organización de a conocer a todos sus colaboradores cómo funciona en términos generales su sistema ALA/CFT, lo que implica también comentar algunos pormenores del funcionamiento y objetivos del proceso de consulta en listas. El mensaje cardinal, del que se desprenderá toda la capacitación, es que ‘prevenir el lavado de activos y la financiación del terrorismo es importante y también depende de mí’. Una vez comprendido esto, se deben estructurar unos mensajes secundarios por temas que refuercen la idea principal. En concreto con la capacitación general acerca del sistema de listas los mensajes y consejos deben ser: Hay un gran respaldo de la alta gerencia: es importante hacer notar que existe apoyo de la junta y de los administrativos al sistema de prevención del LA/FT y, por ende, a las herramientas seleccionadas para realizar el cruce de contrapartes en listados restrictivos y de sanción. Se trata principalmente de generar confianza en todos los colaboradores acerca de que la organización está protegida y que cuenta con los mecanismos idóneos para bloquearle la entrada a contrapartes indeseadas.

46 Infolaft | Mayo 2019

El sistema de prevención del LA/FT y de consulta en listas no se refiere únicamente temas técnicos: a un funcionario que no se dedique a las actividades diarias de cumplimiento no debería en principio interesarle la minucia técnica que rodea la lucha contra el lavado de activos y la financiación del terrorismo. Así, por ejemplo, existen datos que pueden omitirse de la capacitación como que la consulta en listas es una obligación contenida en una de las 40 recomendaciones del Gafi. Rellenar la capacitación con esta información no generará mayor impacto en sus funcionarios, como sí lo haría presentar casos prácticos de coincidencias. Divida la capacitación por áreas: ¿será que a un funcionario del área operativa le interesa saber el catálogo completo de listas que consulta la empresa? Lo más seguro es que no, porque el cruce de contrapartes está lejos de tocarlo en sus funciones diarias. Uno de los errores más frecuentes que cometen los oficiales y analistas de cumplimiento es diseñar una sola capacitación para entidades con cientos o miles de empleados, porque a todos no les interesan los mismos temas así pertenezcan a la misma compañía. Si bien toma más trabajo, sería muy conveniente que la capacitación se fraccionara para facilitar la entrega del mensaje de acuerdo a un enfoque a la medida. Atención a la logística: un evento o jornada desorganizada o con improvisaciones se notará de inmediato. Es importante que los oficiales y analistas

10 AÑOS de cumplimiento presten atención a la logística y a la organización de horarios de asistencia de los empleados para evitar periodos de tiempo demasiado concurridos o con muy baja asistencia. Para la demostración práctica de la consulta en listas es menester tener organizados los equipos a utilizar, contar con las claves de acceso, y tener un plan o esquema de cómo se hará la demostración. No olvide las normas LA/FT: aunque como ya se mencionó es recomendable prescindir de los temas más técnicos, las

Clave 14:

normas de prevención del LA/FT tienen unas exigencias básicas en cuanto a la consulta en listas que conviene que conozcan todos los colaboradores de la empresa. Por ejemplo, es necesario reconocer que la única lista verdaderamente vinculante para Colombia es la de terroristas del Consejo de Seguridad de la ONU, o que existen listas y bases de datos cuyo uso está prohibido. De acuerdo a sus necesidades extraiga de la norma los postulados generales que le convenga difundir y, de forma precisa y sencilla, expóngalos. Publicado originalmente el 25 de Abril de 2019

Evalúe su sistema de listas Cuando se habla de evaluación del sistema la primera reacción suele ser pensar en qué es lo que falta y qué fallas se encuentran, y se omite analizar qué es lo que se ha hecho bien, cuáles son las lecciones aprendidas y los éxitos logrados. Sería arriesgado y quizás mentiroso afirmar que el sistema de consulta en listas es perfecto, pero no pierda de vista que el esfuerzo realizado y los logros conseguidos son el punto de partida de esta evaluación. Una vez conoce las fortalezas de su sistema, la recomendación de Infolaft es abordar su evaluación como si se tratara de una revisión de calidad o un proceso de auditoría interna. Para empezar, resulta necesario delimitar claramente cuál es el sistema a evaluar y el referente o la norma contra la cual queremos llevar a cabo la evaluación. En el caso de las listas, vale la pena tener en cuenta la normatividad del sector aplicable y el decreto de Personas Expuestas Políticamente (PEP – Decreto 1674 de 2016). Vale la pena tener en cuenta que esta lista de chequeo no puede ser muy instrumentalista, es decir que se fije sólo en la existencia o inexistencia de componentes o en la realización o no realización de procesos. Por el contrario, mientras recorre su sistema para verificar los mínimos elementos exigibles mire también si los procesos son coherentes con la organización, si el sistema logra sus objetivos y si tiene mecanismos de mejora. A modo de guía, conviene responder estas preguntas de cara a su sistema de consulta en listas. En caso de que exista alguna respuesta negativa o que haga saltar una alarma conviene ponerse en marcha: • ¿Su lista de Personas Expuestas Políticamete (PEP) incluye a los alcaldes de los más de 1.100 municipios del país, que son considerados PEP según el Decreto 1674 de 2016?

• ¿Con qué frecuencia se actualizan las listas en su sistema, en especial la de PEP? • ¿Su sistema de listas lo alerta cada vez que un registro previamente consultado es reseñado en alguna lista? • ¿Tiene la certeza de que todas las listas que consulta cumplen con todas las normas colombianas? (derecho de autor, hábeas data, reserva de la información, entre otras) • ¿Su sistema consulta las bases de datos de la Procuraduría y de la Rama Judicial? ¿Sabe si se requieren certificados o permisos para consultar en línea y a través de un software las listas de Procuraduría o la base de datos de Rama Judicial? • ¿Su sistema de listas se complementa con noticias de prensa e información pública? • ¿Con qué frecuencia se incluyen nuevas listas dentro de su sistema? • ¿Sabe cómo está organizado su proveedor de listas para consultar las fuentes de información y para actualizar las listas? (metodología de trabajo) • ¿Con qué frecuencia se comunica con su proveedor de listas? • ¿Existe un verdadero compromiso de la alta dirección? • ¿Se ha definido y establecido algún tipo de normatividad, políticas, lineamientos y procedimientos del proceso coherentes con la organización? • ¿En general, siente que su sistema de listas está en capacidad para proteger a la empresa de ser utilizada para delitos de LA/FT u otras conductas asociadas? • ¿Existen mecanismos para que los encargados del sistema de consulta en listas ‘levanten la mano’ en caso de detectar situaciones que puedan exponer la empresa? Publicado originalmente el 29 de Abril de 2019

Mayo 2019 | Infolaft 47

Clave 15:

Tener un plan de mejora continua Esta última clave coincide con el orden de las etapas de gestión del riesgo del Sarlaft y el Sagrlaft, las cuales señalan que una vez diseñado e implementado el sistema, éste debe ser objeto de un monitoreo constante que permita encontrar deficiencias y oportunidades de mejora. Recordemos que, de acuerdo con el Capítulo X de la CBJ de la Superintendencia de Sociedades, el monitoreo debe asegurar que los controles sean integrales, se refieran a todos los riesgos, y que funcionen de forma oportuna, efectiva y eficiente. En el mismo sentido, la Parte I, Título IV, Capítulo IV de la CBJ de la Superintendencia Financiera señala que el monitoreo debe permitir evaluar la eficiencia, efectividad y oportunidad de los controles implementados. Teniendo en cuenta que la revisión de listas restrictivas constituye uno de los controles más importantes para la prevención del LA/FT, es claro que el proceso de monitoreo debe comprender la posibilidad de asegurar que este control funcione de forma oportuna, efectiva y eficiente. El proceso de monitoreo debe estar alimentado por los resultados de la evaluación de auditoría y la opinión de otras personas relevantes para el sistema. Sobre la auditoría, la norma de la Superintendencia de Sociedades señala que el Oficial de Cumplimiento debe “[e]valuar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces y los informes que presenten el revisor fiscal y adoptar las medidas del caso frente a las deficiencias informadas”. La norma del sector financiero señala que la junta directiva o el órgano que haga sus veces debe “pronunciarse sobre los informes presentados por la revisoría fiscal y la auditoría interna o quien ejecute funciones similares o haga sus veces, y hacer seguimiento a las observaciones o recomendaciones adoptadas, dejando la expresa constancia en la respectiva acta”. En este sentido, es importante que el monitoreo que se efectúe sobre la revisión de listas sea un proceso alimentado por diferentes fuentes de información, incluyendo la información provista por la revisoría fiscal y las auditorías internas y/o externas. 48 Infolaft | Mayo 2019

Finalmente, Infolaft recomienda tener en cuenta los siguientes aspectos a la hora de monitorear el correcto funcionamiento del sistema de listas: • Los que mejor conocen el funcionamiento y posibles deficiencias del sistema de listas son quienes las consultan directamente. Por este motivo, es recomendable que no se excluya a los empleados de la posibilidad de proveer retroalimentaciones sobre este control. • Es importante verificar que las listas estén actualizadas a la fecha, con el fin de evitar inconsistencias o la vinculación de personas indeseadas para la empresa. • Se deben respetar los derechos del hábeas data y la intimidad de los titulares, cuidando que la información que alimente las listas sea preferiblemente pública y de libre acceso. • Es importante no limitarse únicamente a las listas restrictivas obligatorias o recomendadas. Recuerde que el proceso de debida diligencia comprende todas las actividades encaminadas a conocer a la contraparte, por lo que se recomienda acceder a otra información pública disponible en internet y en medios de comunicación. Publicado originalmente el 30 de Abril de 2019

“Teniendo en cuenta que la revisión de listas restrictivas constituye uno de los controles más importantes para la prevención del LA/FT, es claro que el proceso de monitoreo debe comprender la posibilidad de asegurar que este control funcione de forma oportuna, efectiva y eficiente”.

10 AÑOS

Lo que debería ser noticia en los próximos 10 años

Por: Daniel Jiménez

Diversos informes, análisis, normas, noticias y estudios nacionales, extranjeros y multilaterales elaborados en los últimos dos años permiten identificar las principales preocupaciones, intereses y prioridades de las autoridades en materia de administración del riesgo derivado del lavado de activos y del financiamiento del terrorismo. Así las cosas, las noticias de la revista Infolaft, para los próximos diez años en gran parte deberían estar enmarcadas en la resolución de esas preocupaciones, la materialización de estos intereses y la debida ejecución de aquellas prioridades. Si las autoridades cuentan con los recursos y tienen la voluntad para hacerlo, los titulares de las principales noticias deberían ser las siguientes:

En el mundo: • El incremento del consumo de heroína y de drogas sintéticas a base de opioides de alta calidad y bajo coste en Europa y los Estados Unidos disminuye la demanda de la hoja de coca sembrada en Colombia. • Sale de circulación el billete de quinientos euros. Europa cesa los programas de visados de oro, mediante los cuales se concede la ciudadanía a cambio de inversión financiera. • Se establecen controles antilaft sobre las criptomonedas. • Se garantiza el intercambio automático de información entre las autoridades fiscales, aduaneras y policiales y Europol, especialmente sobre titularidad efectiva y transacciones realizadas en puertos francos.

En Colombia: • El fortalecimiento del estado de derecho en las zonas de narco cultivo, los programas de comercialización agropecuaria, la expansión de la red vial, el desarrollo de cultivos alternativos, la erradicación y, particularmente la modificación del ADN de la mata para inhibir la producción del alcaloide, disminuyen sustancialmente la oferta de hoja coca sembrada en Colombia. • Se prioriza la autonomía personal, el libre desarrollo de la personalidad y la dignidad humana de las personas consumidoras de sustancias psicoactivas mediante terapias de sustitución, kits para inyección segura y aseguramiento en salud entre otras medidas y se deroga la potestad policial de decomisar la dosis personal de sustancias psicoactivas y de multar a su portador. • El plan de prevención migratoria permite reducir los riesgos de infiltración de organizaciones criminales transnacionales y el tráfico de migrantes en el territorio. • Se fortalecen los controles sobre las transacciones de bienes raíces, casinos, juegos de azar, loterías,

minería ilegal, transferencias bancarias electrónicas internas e internacionales, giros postales de pago, organizaciones sin ánimo de lucro particularmente las religiosas y extranjeras, precursores químicos, abogados, contadores, notarios, agentes inmobiliarios y criptomonedas. • Se establecen controles sobre la compraventa de ganado vacuno y los comercializadores de joyas y metales preciosos. • El incremento de la planta de personal, las mejoras en las metodologías de investigación y el aumento del nivel de preparación de los funcionarios aumenta las sentencias definitivas de extinción de dominio por delitos distintos al narcotráfico. • Articulan esfuerzos la Dian y la Fiscalía para detectar el contrabando, la evasión especialmente la omisión de agente retenedor, las exportaciones ficticias, el tráfico de precursores químicos y el de moneda extranjera en efectivo en puertos y aeropuertos. • Se unifican y simplifican los criterios de los diferentes supervisores sobre los sistemas de administración de riesgos derivados del LA/FT al tiempo que se fortalecen sus capacidades técnicas, funcionales y operativas, lo que facilita la aplicación de una supervisión con enfoque basado en riesgos, la coordinación interinstitucional y el incremento en el número de sanciones por incumplimiento de los deberes Sarlaft. • Nueva normatividad para todos los sectores impone el deber de identificar y verificar la identidad del beneficiario final, entender y obtener información sobre el propósito y la naturaleza pretendida de la relación comercial y entender la estructura de titularidad y control del cliente. • Mejora la capacidad de las autoridades para brindar y recibir cooperación internacional judicial en materia de lavado de activos, corrupción y extinción de dominio. • Se fortalece la responsabilidad penal de las personas jurídicas. • Se regula el congelamiento de activos relacionados con las Resoluciones del Consejo de Seguridad de las Naciones Unidas sobre terrorismo, proliferación de armas de destrucción masiva y su financiamiento. • Se amplía el concepto de PEP a los servidores públicos extranjeros. Mayo 2019 | Infolaft 49