A continuación infolaft presenta un paso a paso de cómo las empresas del sector real puedan implementar adecuadamente el sistema de autocontrol y gestión del riesgo LA/FT, formulado por la Circular 304-000001 de la Superintendencia de Sociedades.
Una vez validado que la empresa cumple con los parámetros para adoptar de manera obligatoria esta norma, la compañía deberá estructurar un plan que le permita dar cumplimiento a la adopción e implementación del sistema de autocontrol y gestión de riesgo LA/FT, antes del 31 de diciembre del año 2014, razón por la cual infolaft recomienda como mínimo contemplar las siguientes fases para el desarrollo de este proyecto:
Fase 1: planificación
La fase de planificación inicia con el análisis de que se tiene actualmente en materia de prevención de riesgos LA/FT y el análisis de la brecha de las obligaciones a implementar.
Un vez realizada esta actividad, el representante legal deberá presentar el proyecto a la junta directiva para aprobación, este documento debe contener el alcance, la planificación de los recursos: humanos, tecnológicos, monetarios y un cronograma que indique las actividades necesarias para desarrollarlo. Esta fase puede llevar alrededor de un mes.
Fase 2: diseño de políticas y procedimientos
Esta es tal vez una de las fases más complejas, pues la entidad en cabeza del representante legal o quien haga sus veces, para orientar este proceso debe conocer y entender de las normas nacionales, internacionales y buenas prácticas en materia de prevención del lavado de activos y financiación del terrorismo
El diseño de políticas implica definir como primera medida el marco normativo y clarificar conceptos básicos LA/FT y documentarlos en un manual. Una vez se tenga claridad en este aspecto, deberá definirse los eventos generadores de riesgo en operaciones, negocios y contratos a partir de las fuentes de riesgo externas e internas. Este análisis incluye también la definición de roles y responsabilidades de quienes participaran en la administración de riesgo (junta directiva, representante legal, revisor fiscal, responsables de procesos y equipo de trabajo). El resultado de este proceso es la identificación de riesgos y se estima dure alrededor de dos meses, incluso un poco más dependiendo el tipo de entidad.
La norma indica que las empresas deberán adoptar también procedimientos para la implementación de la debida diligencia en sus actividades, referentes a conocimiento de: clientes, personas públicamente expuestas (PEP), asociados y trabajadores, al igual que establecer procesos para el manejo de efectivo y la definición de otras medidas de debida diligencia. Es decir, deberán profundizar en la estructuración de estos procedimientos y hacer uso de técnicas y herramientas que faciliten su realización.
Como parte de la fase de diseño del sistema de autocontrol y gestión de riesgo, se incluye el diseño e implementación de medidas de control, es decir, definir controles y establecer herramientas para identificación de operaciones, establecer procedimientos para la acreditación de soportes en negocios y por ultimo definir el procedimiento para la emisión de reportes internos y externos.
Las políticas descritas en estos procedimientos deberán presentarse a la junta directiva o máximo órgano social para su aprobación, dejando constancia en el acta respectiva o incluirlo en el informe de gestión.
Fase 3: Desarrollo
La fase de implantación tiene 4 grandes sub-entregables:
1. Implementación del manual: es el desarrollo de y puesta en ejecución de la fase 2, es decir de las acciones de mitigación de riesgo descritas en el manual (listas de chequeo, listas PEPs, formatos de conocimiento del cliente, clausulas en contratos, señales de alerta, entre otros).
2. Herramientas tecnológicas: hace referencia al análisis y recopilación de bases de datos de clientes, proveedores y empleados para consolidarlas e iniciar la implementación de aplicaciones que admitan la gestión del riesgo y el diseño de reglas o parámetros que permitan identificar operaciones inusuales o sospechosas, así como establecer indicadores de control e inferir reportes periódicos. En el mercado existen actualmente aplicativos tecnológicos que facilitan esta función, sin embargo otra alternativa es la utilización de hojas de datos electrónicas, al final la decisión debe estar basada en la naturaleza de las empresas y sus características. Según la complejidad de la herramienta este entregable puede llegar a tardar hasta tres meses para su implementación.
Como parte de este entregable los representantes legales deben prever el acceso a listas de verificación que les permitan indagar acerca de las personas con las cuales se relacionan al interior y fuera de la organización, de tal forma que este mecanismo junto con las demás acciones ejecutadas apoyen la minimización riesgos legales, reputaciones, operacionales y de contagio.
3. Divulgación y capacitación: estas políticas y procedimientos deberán ser comunicados a los empleados, socios, accionistas y proveedores. El representante legal es responsable de programar planes de capacitación que se enfoquen en la socialización de los riesgos identificados, los controles establecidos y los roles y responsabilidades de las personas dentro del sistema. Recuerde siempre dejar soporte de estas capacitaciones.
Este entregable puede desarrollarse en simultaneo con las herramientas tecnológicas, realizando primero la divulgación y luego la capacitación.
4. Realizar seguimiento al cumplimiento: de no realizarse seguimiento constante al proyecto probablemente no se obtenga los resultados esperados, sumado a la desventaja de que el sistema debe implementarse antes del 31 de diciembre y estamos iniciando casi en el segundo trimestre del año, es decir, se cuenta con menos de nueve meses para su cumplimiento. Tenga presente que tal como lo indica la norma debe emitir informes periódicos a la junta directiva, en el cual se indique el avance en la implementación del sistema.
Fase 4: Puesta en marcha y monitoreo
Una vez este montado el sistema el representante legal deberá presentar informes de gestión por lo menos una vez al año, igualmente el revisor fiscal tendrá la responsabilidad de verificar el cumplimiento de las políticas y el funcionamiento del sistema de autocontrol dejando constancia en los papeles de trabajo. En caso de que no exista revisor fiscal el representante legal deberá detallarlo en el informe de gestión de los avances del proyecto.
En un panorama ideal la puesta en marcha se estaría dando en el mes de noviembre, de tal forma que un mes después pueda obtener los primeros resultados que le permitan a la entidad evaluar y realizar los primeros ajustes. En términos generales y como se observa el diagrama de Gantt dada la premura del proyecto casi todas las actividades representan ruta crítica, pues de la aprobación de cada una de las fases se puede dar inicio a la siguiente, por tanto el retraso en la ejecución una de ellas impactara el inicio de la siguiente fase.
Como recomendación recuerde que el éxito del proyecto se basa, primero en involucrar a los diferentes grupos de interés desde el inicio proyecto ya que esto evitará reprocesos en la etapa de diseño e implementación; y segundo en el compromiso de los directivos de la entidad, pues este proyecto tiene un impacto significativo en la cultura organizacional que requerirá de su respaldo.
