Teniendo en cuenta la expedición de la Circular 100-5 de la Supersociedades, infolaft ha realizado un análisis entre la Circular citada y la Circular Externa 170 de octubre de 2002 emitida por la Dian, dado que se considera que esa directriz ha sido la guía para que algunas empresas del sector real cuenten actualmente con medidas y acciones frente al lavado de activos y la financiación del terrorismo.
Con la promulgación de la Circular Externa 100-5 publicada por la Superintendencia de Sociedades el 25 de junio de 2014, algunas sociedades comerciales, sucursales de sociedades extranjeras y empresas unipersonales vigiladas por esa Superintendencia, que por razón de su objeto social ya venían aplicando controles para prevenir, detectar, controlar y reportar operaciones sospechosas, deberán ampliar sus prácticas o acciones para minimizar el riesgo LA/FT en las operaciones, negocios o contratos que realicen.
Antes de abordar el tema es importante mencionar que, de acuerdo con los estándares internacionales de gestión de riesgo, la palabra control se define como “medida que modifica el riesgo” y por ende “los controles incluyen procesos, políticas, dispositivos, u otras acciones que modifican al riesgo”.
Teniendo en cuenta la anterior definición, en la actualidad las empresas a quienes les aplica la Circular 170/02 de la Dian mantienen controles para conocer al cliente, conocer el mercado, detectar y reportar operaciones en efectivo tanto inusuales como sospechosas, conservar la documentación que soporta el sistema y dar atención oportuna a los requerimientos de las autoridades. A partir de lo anterior, se identificará la brecha que las separa desde el punto de vista de controles del cumplimiento de la Circular Externa 100 de junio 25 de 2014.
Para iniciar, un detalle que se debe tener en cuenta es que la norma de la Dian contempla un sistema integral para la prevención de lavado de activos (Sipla), mientras que la de la Superintendencia de Sociedades determina un sistema de autocontrol y gestión del riesgo no solo frente al lavado de activos sino también frente al delito de financiación del terrorismo e integra el reporte obligatorio de información a la Uiaf.
Así las cosas, las empresas del sector real incluidas dentro del alcance deberán reemplazar su Sipla por un sistema de autocontrol y gestión de riesgo que contemple controles nuevos como los que se citan a continuación:
1. Determinar el contexto estratégico, organizacional y de administración de riesgos de la empresa.
2. Determinar las fuentes de riesgo que deben ser objeto de administración y control.
3. Definir metodologías y herramientas para gestionar las situaciones de riesgo identificadas.
4. Implementar en cada una de las fuentes de riesgo la identificación de las situaciones de riesgo actuales y las que se visualicen cada vez que incursionen en nuevos mercados u ofrezcan nuevos bienes y servicios.
5. Identificar los controles o medidas que existen actualmente en la empresa para mitigar las situaciones de riesgo identificadas.
6. Asociar las situaciones de riesgo a los controles existentes, establecer su seguimiento y evaluar su efectividad.
7. Determinar nuevos controles en los casos en que se requiera.
8. Definir los procedimientos en los que se aplicarán los controles.
9. Establecer seguimiento y control sobre las operaciones de proveedores, empleados, socios y accionistas.
10. Definir la aplicación de la debida diligencia para el conocimiento del cliente de acuerdo con la forma de comercialización de los productos y en especial:
- Construir una base de datos de clientes que permita a la empresa consolidar e identificar alertas presentes o futuras.
- Conocer a las personas expuestas públicamente, identificarlas y establecer un órgano competente al interior de la empresa que autorice su vinculación y determine el origen de los recursos cuando los bienes adquiridos no sean para su beneficio personal.
11. Aplicar la debida diligencia para el conocimiento de otras contrapartes como los empleados, los proveedores, los socios y accionistas, así:
Empleados
- Verificar antecedentes antes de su vinculación y realizar una actualización anual de los datos del empleado. Detectar comportamientos inusuales y analizar la conducta.
Proveedores
- Considerar las consecuencias negativas que pueden generar y a partir de allí establecer las medidas de debida diligencia que considere necesarias, a saber: conocer a sus representantes legales, experiencia en el sector, origen de los recursos, socios o accionistas.
- Construir una base de datos (nombre del proveedor, tipo de persona natural o jurídica, identificación, domicilio, nombre del representante legal, nombre de la persona de contacto y cargo que desempeña) que le permita consolidar e identificar alertas presentes o futuras.
Asociados
- Contemplar herramientas para establecer plenamente su identidad, confirmar sus datos, conocer la procedencia de sus aportes y mantenerlos actualizados permanentemente.
- Establecer herramientas para identificar operaciones inusuales y sospechosas. Dichas herramientas pueden ser, por ejemplo, parámetros de normalidad de las transacciones a partir del análisis de cantidades transadas y medios de pago.
- Proveer un sistema de documentos y registros.
- Establecer un programa de divulgación de las políticas y procedimientos del sistema tanto a nivel interno como externo.
- Establecer un programa de capacitación que garantice el entrenamiento de los empleados para detectar operaciones inusuales, sospechosas e intentadas que son sospechosas.
- Incluir un régimen de sanciones y/o incentivos con el fin de garantizar el cumplimiento del sistema.
