El Sagrlaft impone numerosas obligaciones a los empresarios y oficiales de cumplimiento. Sepa cuáles son a través de este artículo, elaborado por consultores expertos en prevención del lavado de activos.

 

El Sagrlaft o el Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo ha sido ampliamente adoptado por compañías del sector real colombiano, gracias a la expedición y subsecuentes modificaciones del Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades.

Por medio de esta norma se dio aplicación a la Recomendación 28 del Gafi, en donde se señala la necesidad de establecer medidas de regulación y supervisión a Actividades y Profesiones No Financieras Designadas o Apnfd.

También le puede interesar: cartilla para oficiales de cumplimiento del sector real

En este sentido, Colombia ha adoptado la visión de que el riesgo de Lavado de Activos y Financiación del Terrorismo –el “LA/FT”– se encuentra presente en diversos sectores de la economía, y ya no solamente en el sector financiero, por lo que se ha ampliado la obligación de prevención a personas jurídicas que realizan actividades diversas consideradas más propensas a este riesgo.

En el caso del Sagrlaft de la Superintendencia de Sociedades, la obligación se extiende a las empresas del sector real de la economía.

El Sagrlaft, entendido como un sistema compuesto de etapas y elementos destinados a la prevención y gestión del riesgo de LA/FT, comparte una gran cantidad de similitudes con sistemas de similar naturaleza dirigidos a otros sectores, como es el Sarlaft para el sector financiero.

También le puede interesar: ¿Qué es Sarlaft?

 

Ámbito de aplicación del Sagrlaft

 

La norma de la Superintendencia de Sociedades obliga a contar con un Sagrlaft a las empresas vigiladas pertenecientes a los sectores inmobiliario, explotación de minas y canteras, servicios jurídicos, contables, de cobranza y de calificación crediticia, comercio de vehículos (con sus partes, piezas y accesorios) y construcción de edificios; siempre que dichas empresas obtengan cierta cantidad de ingresos totales por año, los cuales oscilan, dependiendo de cada sector, entre los 30.000 y los 130.000 salarios mínimos mensuales legales vigentes –Smlmv–.

Igualmente, la obligación de contar con un Sagrlaft se extiende para todas las empresas vigiladas por la Superintendencia de Sociedades que obtengan ingresos totales iguales o superiores a 160.000 Smlmv, independientemente de su actividad económica.

Esto implica que, en la actualidad, alrededor de 1000 compañías se encuentran obligadas a implementar un Sagrlaft en Colombia. Adicional a esto, vale la pena señalar que otras normas obligan a contar con sistemas de prevención del LA/FT en Colombia:

 

 

El Riesgo de LA/FT

 

Previo a realizar un examen de las diferentes características, elementos y etapas que componen el Sagrlaft, es importante definir el concepto del riesgo de LA/FT y de sus riesgos asociados, pues es precisamente a través del entendimiento del riesgo que se permite su prevención y gestión.

El riesgo de LA/FT se define como “la posibilidad de pérdida o daño que puede sufrir una empresa por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades”.

Se entiende que el riesgo de LA/FT se manifiesta a través de riesgos asociados. Por no estar definidos en la norma del Sagrlaft, acudimos a las definiciones de la norma Sarlaft (Parte I, Título IV, Capítulo IV de la Circular Básica Jurídica de la Superintendencia Financiera) que los define así:

 

  • Riesgo reputacional: es la posibilidad de pérdidas derivadas del desprestigio o mala imagen
  • Riesgo legal: es la posibilidad de pérdidas derivadas del incumplimiento de normas, regulaciones o contratos
  • Riesgo operativo: resulta de la posibilidad de pérdidas como consecuencia de deficiencias o fallas en los procesos, recursos, tecnología e infraestructura de la empresa
  • Riesgo de contagio, es la posibilidad de pérdidas por las acciones de una persona vinculada a la empresa

 

En este sentido, uno de los principales objetivos del Sagrlaft es reducir la posibilidad de que los riesgos de LA/FT ocurran en una organización, así como mitigar los efectos nocivos que puedan suceder, en caso de que el riesgo de LA/FT efectivamente llegue a materializarse, todo lo cual se logra a través del diseño e implementación de controles.

Para esta labor, el Sagrlaft, al igual que el Sarlaft, contiene elementos y etapas. Así mismo, el Sagrlaft establece un conjunto mínimo de medidas de prevención y gestión del riesgo de LA/FT, entendidos como controles para reducir y mitigar el riesgo. A continuación, se exponen las características más importantes de este Sistema:

 

Elementos del Sagrlaft

 

Podría decirse que los elementos del Sagrlaft son principalmente pasos o componentes que permiten una efectiva labor de gestión del riesgo y que conlleva a que exista una coordinación en la organización enfocada a controlar el riesgo de LA/FT. Los cuatro elementos del Sagrlaft se definen a continuación:

 

Identificación del riesgo

 

En primer lugar, el Sagrlaft requiere establecer metodologías para identificar los factores de riesgo, segmentarlos e identificar los diferentes eventos a través de los cuales los factores de riesgo pueden exponer a la empresa a los riesgos de LA/FT.

Según la norma del Sagrlaft, algunos factores de riesgo o agentes que pueden generar riesgos de LA/FT, son las contrapartes y las operaciones, negocios y contratos. Sin embargo, es frecuente considerar que las jurisdicciones territoriales en donde se encuentran ubicadas las contrapartes o en donde se ejecuten negocios, pueden también ser factores generadores del riesgo de LA/FT; igualmente, es frecuente considerar los activos como factores de riesgo.

En todo caso, la determinación de dichos factores para cada empresa también constituye una de las labores requeridas dentro del elemento de identificación del riesgo.

En la práctica, el elemento de identificación implica establecer una(s) metodología(s) que permita(n) identificar los factores de riesgo, segmentarlos de acuerdo con sus características a fin de analizarlos con mayor facilidad y determinar los eventos a través de los cuales dichos factores pueden exponer a un riesgo de LA/FT a la organización.

En este aspecto, es importante señalar que, aunque se establezca la obligatoriedad de contar con metodologías para la identificación, no se establece el tipo de metodología preferente.

En cambio, cada empresa podrá determinar la metodología que mejor se adapte a sus necesidades, en razón a sus características y las condiciones de sus operaciones, negocios, área geográfica donde opera, etc.

También le puede interesar: Descargue nuestra cartilla sobre segmentación de factores de riesgo

 

Medición o evaluación del riesgo

 

La medición, que se realiza con posterioridad a la identificación, implica medir la probabilidad de ocurrencia del riesgo identificado, junto con un estimado del posible impacto que podría generar el riesgo en caso de que se materialice.

En este sentido, la etapa de medición da como resultado la determinación del perfil de riesgo inherente de LA/FT de la empresa, esto es, el riesgo propio de la actividad de la empresa sin tener en cuenta controles o medidas de prevención.

Este perfil de riesgo usualmente se represente y/o materializa a través de una matriz de riesgo que, utilizando un plano cartesiano, expone la relación de la probabilidad de ocurrencia del evento de riesgo por el eventual impacto del riesgo materializado.

 

Control del riesgo

 

A través del elemento de control del riesgo, se buscar tomar las medidas conducentes para reducir el riesgo inherente presente en la compañía. En este sentido, se requiere el diseño e implementación de medidas o controles que permitan la reducción de la probabilidad de ocurrencia del riesgo, la disminución del impacto, o la disminución de ambos.

Como resultado del elemento de control, el sistema debe permitir establecer el perfil de riesgo residual de la empresa, esto eso, el nivel de riesgo de la empresa, luego de aplicar los controles.

 

Monitoreo del riesgo

 

Finalmente, el elemento de monitoreo del riesgo requiere que cada empresa realice un seguimiento o vigilancia de su perfil de riesgo, así como un seguimiento y una vigilancia para la detección de operaciones inusuales y sospechosas. El objetivo de este elemento no es otro que mantener una labor efectiva de gestión del riesgo, por medio del constante seguimiento del riesgo de LA/FT y la continua aplicación de los elementos previamente mencionados.

 

Etapas del Sagrlaft

 

De acuerdo con la norma de la Superintendencia de Sociedades, el Sagrlaft requiere dar cumplimiento a tres etapas. Estas etapas establecen los pasos secuenciales que debe realizar la empresa para poner en marcha el Sistema. En este sentido, las etapas del Sagrlaft comprenden a los elementos, y tienen como propósito la puesta en funcionamiento del Sistema:

 

Diseño y aprobación del Sagrlaft

 

La primera etapa corresponde al diseño del Sagrlaft, actividad que debe ser supervisada y dirigida por el Oficial de Cumplimiento de la empresa. Ya que se establece una obligación exclusiva del Oficial de Cumplimiento, se señala que las funciones de este cargo no pueden ser contratadas con terceros y, adicionalmente, esta persona debe gozar de capacidad decisoria y acreditar conocimientos sobre las operaciones de la compañía y en materia de administración de riesgos.

Una vez diseñado el sistema, de donde se infiere que también fueron diseñados los elementos de identificación, medición y control del Sistema, se procede con su aprobación por la junta directiva de la empresa, dejando constancia en el acta de la reunión.

 

Sagrlaft: supervisión y cumplimiento

 

Como segunda etapa, la empresa debe disponer las medidas operativas, económicas, físicas, tecnológicas y de recursos para poner en marcha el Sistema. Se entiende que esta es una labor que recae en el Oficial de Cumplimiento, quien adicionalmente debe presentar informes periódicos al representante legal y a la junta directiva, velar por el eficiente, efectivo y oportuno funcionamiento del sistema, promover la adopción de correctivos al Sistema, entre otros.

 

Divulgación del Sagrlaft y capacitación

 

Finalmente, la tercera etapa requiera la divulgación del Sistema y la realización de capacitaciones a las personas interesas que lo requieran. Es usual que las empresas determinen que áreas como la de recursos humanos, gestión comercial, compras y seguridad, requieran de capacitaciones más intensas y completas. En todo caso, cada compañía determinará los cargos relevantes para la capacitación, de acuerdo con sus características y perfil de riesgo.

 

Procedimientos de debida diligencia

 

Las empresas obligadas a contar con un Sagrlaft deben establecer procedimientos que permitan identificar adecuadamente a todas sus contrapartes, éstas entendidas como “cualquier persona natural o jurídica con la que la empresa tenga vínculos comerciales, de negocios, contractuales o jurídicos, [como] accionistas, socios y empleados de la empresa y los clientes y proveedores de bienes y servicios”.

En otras palabras, las empresas deben realizar diligencias o gestiones enfocadas a la identificación de sus contrapartes, buscando verificar información que permita extraer conclusiones sobre el riesgo de LA/FT al que expone dicha contraparte en caso de que sea vinculada.

También le puede interesar: ¿Qué es debida diligencia?

Vale la pena señalar que el procedimiento de debida diligencia en el conocimiento de contrapartes constituye un control del riesgo de LA/FT. En efecto, como control, permite la reducción de la probabilidad de ocurrencia del riesgo, pues disminuye la probabilidad de vinculación o de efectuar operaciones con personas señaladas o con antecedentes relevantes relacionados con LA/FT; y, así mismo, tiene la potencialidad de disminuir el impacto, pues de materializarse un riesgo de LA/FT, evidencia diligencia y cuidado frente a las autoridades.

En materia de gestión de riesgo, la debida diligencia en el conocimiento de contrapartes se efectúa en gran medida a través de la verificación de información pública, en el internet, medios noticiosos y prensa y boletines, listados y bases de datos de autoridades y otras organizaciones de diferentes tipos.

En general, la norma no establece un listado de bases de datos o fuentes de consulta de información, aunque sugiere “consultar las demás listas restrictivas emitidas por otras autoridades extranjeras, aun cuando no sean vinculantes”.

De esto, se infiere que cada empresa contará con la facultad para determinar las fuentes de información que considere adecuadas, y que permitan deducir conclusiones sobre el eventual riesgo de LA/FT al que expone una contraparte.

No obstante lo anterior, la norma es clara en señalar que, en cumplimiento de las obligaciones internacionales de Colombia, se deben verificar de forma obligatoria las sanciones a terroristas emitidas por el Consejo de Seguridad de las Naciones Unidas, adoptadas por el artículo 20 de la Ley 1121 de 2006. La coincidencia de una contraparte en estos listados implica un procedimiento de denuncia especial frente a, entre otros, la Fiscalía General de la Nación.

También le puede interesar: 15 Claves para consultar listas: 1. Determinar el Marco legal

Otro aspecto de especial relevancia es la obligación de conocer a los beneficiarios reales, o beneficiarios finales y/o a los controlantes de las contrapartes. Los beneficiarios finales o reales se definen como “las personas naturales en cuyo nombre se realiza una operación o negocio”.

En este sentido, se incluye a cualquier persona que funja como controlante (ejerce un control efectivo) sobre una persona jurídica y, en particular, los titulares del 25% o más del capital social de una persona jurídica.

Estos requisitos generales de debida diligencia son aplicables en el conocimiento de todas las contrapartes. Sin embargo, la norma incluye un conjunto de medidas específicas de conocimiento, dependiendo de la relación o características de la contraparte:

También le puede interesar: Cartilla sobre lista Clinton: exclusiva para lectores de Infolaft

 

Conocimiento de clientes

 

En los casos en donde la comercialización de los productos no permita una identificación sencilla y eficiente del cliente, como por ejemplo en las ventas masivas y por Retail, la norma recomienda enfocar los esfuerzos del conocimiento en aquellos clientes que realicen negocios que tengan una mayor exposición al riesgo o que se consideren operaciones inusuales.

En este sentido, se requiere un análisis del riesgo, probablemente enmarcado dentro de las etapas y elementos del Sagrlaft mencionados en este artículo, para determinar el tipo de operaciones que puedan considerarse inusuales.

Por ejemplo, en el caso de una empresa de Retail y ventas masivas, se espera que se realice una identificación de las operaciones que por su volumen, frecuencia o cualquier otra características relevante, no se enmarca dentro de las pautas de normalidad o usualidad.

Para este y cualquier otro caso, se requiere que el conocimiento del cliente contenga ciertas actividades básicas, en cuanto las condiciones lo permitan. Las actividades básicas requeridas son las siguientes:

  • Conocer por cualquier medio legal el origen de los recursos
  • Verificar la identidad del cliente
  • Verificar y confirmar sus datos de contacto y su actividad económica
  • Solicitar cualquier documentación adicional que se considere pertinente

 

Conocimiento de proveedores

 

Diferente a lo que ocurre con los clientes, en la medida en que la relación con proveedores implica pagos por parte de la empresa obligada, el conocimiento de contrapartes requiere disponer de herramientas para verificar que los activos no sean utilizados para el financiamiento del terrorismo o para la proliferación de armas de destrucción masiva. Para ello, se recomienda que el Sistema permita identificar lo siguiente:

  • En caso de proveedores de productos, verificar si los productos provienen o no de actividades legales
  • Verificar la adecuada nacionalización de productos importados
  • Verificar que los productos no sean de contrabando
  • Para el caso de productos de venta restringida, verificar que se cuente con la debida autorización o licencia

 

Conocimiento de Personas Expuestas Políticamente (PEP)

 

Las Personas Expuestas Políticamente –PEP– son los “individuos que desempeñan funciones públicas destacadas o que por su cargo, manejan o administran recursos públicos. Esta definición también incluye a los individuos que hayan desempeñado funciones públicas destacadas o que por su cargo, hayan manejado o administrado recursos públicos”. La calidad de PEP se  mantiene hasta por dos años luego de que la persona deje de desempeñar el cargo que le otorgó esta condición.

Con la expedición del Decreto 1674 de 2016, se establecieron los cargos que se consideran PEP en Colombia, dentro de los que se incluye al presidente, vicepresidente, superintendentes, gobernadores, alcaldes, magistrados, directivos de empresas públicas, entre muchos otros.

Debido a la asunción de que la vinculación de un PEP puede representar un riesgo de LA/FT superior, teniendo en cuenta las características de los cargos y la cercanía con dineros públicos, se exige establecer un procedimiento de debida diligencia más avanzado que el que se requiere con otro tipo de contrapartes.

Aunque la norma parece dejar al arbitrio de las entidades el contenido de una debida diligencia ampliada, es explícita al requerir que la aprobación de operaciones y negocios sea realizada por una instancia superior al encargado del proceso ordinario.

Si bien no se menciona, resulta lógico asumir que la aprobación de la instancia superior se requiere igualmente para la vinculación, y no solamente para las operaciones y negocios posteriores a dicha vinculación.

También le puede interesar: La Supersociedades se pronuncia sobre las PEP

 

Conocimiento de asociados

 

Los socios y accionistas de la empresa no se encuentran omitidos de controles. La obligación de debida diligencia en este caso se extiende principalmente a la identificación y conocimiento del beneficiario final y a la verificación de los recursos que tengan contacto con la empresa, con el fin de prevenir el riesgo de contagio derivado de los activos que ingresen de inversionistas.

 

Conocimiento de trabajadores

 

Se exige a las empresas verificar los antecedentes de personas que pretendan contratar como empleados. Como particularidad, el conocimiento de trabajadores es el único en el que expresamente se exige actualizar los datos, para este caso de forma anual. Sin embargo, para un adecuado conocimiento de las contrapartes, es recomendable que para todas ellas, la información se actualice de forma periódica, independientemente de la calidad de dicha contraparte o del tipo de su vinculación.

 

Negocios virtuales o presenciales

 

En este punto, la norma es amplia y general al requerir que las empresas reglamenten el manejo de dinero en efectivo, con el fin de evitar que sean utilizadas para el LA/FT. Debido a que la exigencia se encuentra dentro del capítulo de debida diligencia en el conocimiento de contrapartes, es posible asumir que las empresas deben diseñar políticas y procedimientos que establezcan los criterios de usualidad e inusualidad de operaciones en efectivo, reglas claras sobre el manejo de éste – si se permite o se prohíbe el manejo de efectivo, y los casos aplicables a ambos – y procedimientos que permitan conocer mejor al cliente y descartar sospechas, cuando la operación se considere inusual o levante señales de alerta.

 

Medidas de prevención y gestión del riesgo de LA/FT

 

El Sagrlaft, según se expuso previamente, obliga a las empresas a contar con un elemento de control, que establece la necesidad de contar con medidas o controles conducentes a la reducción de la probabilidad de ocurrencia del riesgo y/o a la disminución del potencial impacto. Se espera que estos controles sean especialmente diseñados de acuerdo con el perfil de riesgo y las características de la empresa.

Adicionalmente, la norma obliga a que se establezcan otros controles mínimos para impedir la realización de operaciones no ajustadas a la ley y a las políticas. Uno de estos controles es el procedimiento de debida diligencian en el conocimiento de contrapartes, que se mencionó previamente.

Adicionalmente, la norma establece otros controles mínimos requeridos. Por ejemplo, cuando se importan mercancías, “la empresa deberá verificar el origen (…) mediante los documentos que expiden las autoridades aduaneras o establecer formularios y procedimientos específicos para realizar el conocimiento de sus clientes y contrapartes”.

También se requiere que, para la identificación de operaciones inusuales y operaciones sospechosas, las empresas deben contar con herramientas y aplicativos, de preferencia tecnológicos. Estos aplicativos deben estar orientados a consolidar información y generar indicadores y alertas sobre la posible ocurrencia de operaciones inusuales.

En este sentido, la norma le sugiere a las empresas que establezcan aplicativos tecnológicos y, presumiblemente automatizados, que reduzcan la falibilidad de los operadores humanos y permitan una identificación más efectiva y eficiente de operaciones inusuales.

La norma da importancia a la necesidad de mantener soportes de las operaciones, negocios y contratos, así como de las alertas generadas por aplicativos tecnológicos. Lo anterior busca mantener una trazabilidad de los negocios y operaciones, así como conservar evidencia de la debida diligencia de la empresa en la prevención del riesgo de LA/FT.

 

Reporte de Operaciones Sospechosas

 

Resultan particularmente importantes los aspectos relacionados con el Reporte de Operaciones Sospechosas –ROS– pues es esta la forma a través de la cual se materializa en gran medida la labor de gestión del riesgo de la empresa, pero adicionalmente porque es una de las formas principales para que las autoridades tengan conocimiento de personas que realizan actividades ilícitas vinculadas con el LA/FT.

El ROS se efectúa cuando una entidad, al realizar un examen de una operación inusual, esto es, una operación que se sale de los márgenes de normalidad establecidos por la empresa, determina que no existe una justificación razonable para dicha operación.

En este momento, en donde la operación inusual se convierte en una operación sospechosa, el oficial de cumplimiento se encuentra en la obligación de presentar un ROS frente a la Unidad de Información y Análisis Financiero –Uiaf– a través del aplicativo en línea Sirel, diseñado para este propósito.

Sobre este reporte, la norma es clara en señalar que “la presentación de un ROS no constituye una denuncia penal. Por lo tanto, para los efectos del reporte, no es necesario que la Empresa tenga certeza de que se trata de una actividad delictiva ni se requiere identificar el tipo penal o verificar que los recursos tengan origen ilícito”.

También son objeto de ROS las operaciones intentadas. Una operación intentada se define como “aquella operación en la que una persona natural o jurídica tiene la intención de realizar una Operación Sospechosa, pero ésta no se perfecciona porque quien pretende llevarla a cabo desiste o, porque los controles establecidos o definidos no le han permitido realizarla”.

 

Conclusión

 

En este artículo se expusieron las características y conceptos más importantes del Sagrlaft, así como las obligaciones y reglas establecidas para la prevención y gestión del riesgo de LA/FT para el sector real. Como se ve, el Sagrlaft es un sistema comprehensivo que, aunque no tiene el alcance y el detalle del Sarlaft del sector financiero, establece la obligación de contar con un verdadero sistema de gestión del riesgo.

Este sistema cobra una importancia especial en Colombia, teniendo en cuenta que incluye una gran cantidad de actividades económicas dentro del sector real de la economía, buscando cubrir las consideradas de mayor riesgo de LA/FT, conocidas como Actividades y Profesiones No Financieras Designadas – Apnfd.

Para concluir, es importante entender que, aunque la norma del Sarglaft incluye una cantidad importante de provisiones que deben ser respetadas y tenidas en cuenta por los sujetos obligados, éstos son criterios marco, usualmente amplios y generales.

En este sentido, le corresponde a cada empresa obligada realizar un análisis detallado y comprehensivo de sus características y particularidades, así como de su perfil de riesgo, para que, con base en esta información, se establezcan las medidas o controles que mejor permitan disminuir la probabilidad de ocurrencia de un riesgo y/o mitigar su impacto en caso de materializarse.