Desde hace casi 20 años las entidades del sector financiero colombiano han tenido que implementar mecanismos de prevención del lavado de activos y la financiación del terrorismo. Aunque estamos frente a un sistema antilavado maduro que incorpora elementos exitosos, aún hay algunos componentes respecto de los cuales es necesario abrir un debate por su inoperancia o confusión.
La historia de las últimas cinco décadas en Colombia ha estado marcada por un conflicto armado interno que ha sido financiado, para el extremo de la subversión, por el narcotráfico. Esta conducta propició la aparición de fenómenos graves como el lavado de activos y la financiación del terrorismo, los cuales han generado impactos negativos para los indicadores macroeconómicos nacionales.
Sumados al conflicto colombiano y a la proliferación del tráfico de estupefacientes en todo el mundo, la globalización y el desarrollo tecnológico han sido otros dos factores que han impulsado el blanqueo de capitales a partir de la sofisticación de las tipologías y de la existencia de jurisdicciones de riesgo apetecidas por la laxitud de sus controles.
Estos elementos impulsaron un movimiento internacional para lanzar una lucha global conjunta contra el lavado de activos que ya no solo sugería enfocarse en fortalecer los castigos por la comisión de delitos sino que incorporó una visión mejorada que implicó que los países expidieran normas para que el sector privado, en especial el financiero, adoptara mecanismos de prevención que ayudaran al Estado a combatir estas conductas.
Dado este escenario y luego de varios intentos de hacerle frente al blanqueo de recursos, hace casi 20 años se expidió en Colombia una regulación antilavado basada en recomendaciones y compromisos internacionales que aplicaba a todo el sector financiero. Aunque ejecutar estos nuevos paradigmas implicó un esfuerzo importante para las entidades, hoy Colombia cuenta con un sistema maduro que, en general, ha dado buenos resultados.
A pesar de ello, el país continúa en el tope de la lista de mayores productores de cocaína del mundo y la nueva generación de narcotraficantes (en donde ya no se identifican grandes carteles dirigidos por capos sino células más pequeñas) obligan a no abandonar la persecución y los esfuerzos contra el lavado de activos, pues el sistema financiero continúa como el mejor lugar para darle apariencia de legalidad a los recursos de origen ilícito.
Para continuar con esta cruzada, se hace necesario hacer una evaluación objetiva acerca de los puntos más fuertes y los más débiles del Sarlaft con el fin de abrir el debate para introducir mejoras, ya sea desde la autoridad o desde las mejores prácticas corporativas de autorregulación o autogestión.
Lo que ha servido
Los artículos 102 y siguientes del Estatuto Orgánico del Sistema Financiero (con sus subsiguientes modificaciones) señalaron que todas las entidades bajo inspección, vigilancia y control de la Superintendencia Financiera deben adoptar medidas que eviten que las compañías del sector financiero sean utilizadas para movilizar, adquirir, administrar, depositar, aprovechar, invertir, manejar, ocultar o encubrir el origen de dinero obtenido de forma ilegal.
En desarrollo de este mandato, la Superintendencia Financiera expidió los lineamientos generales según los cuales se debe diseñar, implementar y ejecutar el Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo, tanto para prevenir los riesgos como para detectarlos, controlarlos y reportarlos. ¿Qué ha funcionado de todo lo anterior?
La gestión del riesgo
Los riesgos en sí mismos no son perjudiciales para una entidad financiera, pero su mala o nula gestión sí pueden constituir un problema corporativo. En ese sentido, la norma Sarlaft logró aproximarse de forma correcta al establecer parámetros de gestión de riesgo en sus elementos y etapas fundamentales.
Dentro de las etapas, que según la norma son los “pasos sistemáticos e interrelacionados mediante los cuales las entidades administran el riesgo de LA/FT”, se incluyen la identificación, la medición, el control y el monitoreo. Completar estas cuatro fases permite cumplir con el ciclo completo de gestión del riesgo y de prevención del lavado de activos.
En la primera etapa se reconocen cuáles son y cómo se deben segmentar los factores de riesgo inherentes al desarrollo del negocio y se establece que toda identificación es un paso previo a cualquier actividad de la empresa que implique modificar o lanzar productos, expandirse en nuevas jurisdicciones o cambiar los canales de distribución.
La evaluación o medición permite a las entidades determinar la probabilidad de ocurrencia de los riesgos identificados y cuál sería su impacto, para lo cual se exige conocer su propio perfil de riesgo. Durante la etapa de control se deben tomar medidas para mitigar los riesgos con el fin de que se disminuya de forma efectiva la posibilidad de su materialización. Por último, el monitoreo hace referencia al seguimiento que hacen las empresas de su perfil de riesgo y de cómo este evoluciona en el tiempo, de la efectividad del Sarlaft, y de los reportes que se deben enviar a autoridades.
Un punto fundamental que ha sido ventajoso en el sistema es que cada una de las etapas enumeradas debe concretarse en la estructuración y ejecución de metodologías estandarizadas y difundidas, lo que genera la posibilidad de recopilar información homogénea comparable tanto dentro de cada una de las entidades como por parte de las autoridades.
Asimismo, la norma ha establecido una serie de elementos (políticas, procedimientos, documentación, estructura organizacional, órganos de control, infraestructura tecnológica, divulgación y capacitación) que son los instrumentos principales para la gestión del riesgo así como los responsables de desarrollar las tareas correspondientes.
Así, el sistema es robusto pues regula todo el ciclo de gestión del riesgo y señala mediante qué herramientas y quiénes son los responsables de dicha gestión.
Axel
Gobierno corporativo
En desarrollo del punto anterior, un elemento que vale la pena destacar es el de estructura organizacional, que hace referencia a los funcionarios responsables de la prevención de riesgos de LA/FT. Según la norma, cada entidad debe establecer un mínimo de funciones a cargo del oficial de cumplimiento y de los órganos de dirección, administración y control con el fin de tener un gobierno corporativo competente y eficaz.
La norma establece unas competencias mínimas que debe desarollar la junta directiva, el representante legal, el oficial de cumplimiento, el área de revisoría fiscal y el área de auditoría, e incluso ha precisado la periodicidad en la que se deben presentar informes de seguimiento cuando estos son necesarios.
Este es un logro indiscutible de la norma, que creó un esquema en el cual hay una distribución de funciones equilibrada y un sistema en el que hay frenos y contrapesos entre los colaboradores investidos de responsabilidad de gestión de riesgos de LA/FT.
Conocimiento de clientes
La estructuración y conservación de un registro de clientes verificable que contenga información completa de su identidad y de sus actividades ha sido un instrumento muy útil en la lucha contra el lavado de activos pues ha logrado instaurar un clima de transparencia que, palabras más palabras menos, cura en salud a los sujetos de la relación.
Tal como lo señala la norma, las entidades deben adoptar mecanismos que les permitan efectuar un adecuado conocimiento del cliente actual y potencial. Para ello, establece una muy minuciosa lista de datos indispensables que se deben conocer y que se deben mantener actualizados, dentro de los que se incluye tanto la identificación de la persona natural como la estructura de propiedad de una persona jurídica, su actividad económica principal y la procedencia de los ingresos.
Lo destacable del Sarlaft en cuanto al conocimiento del cliente es que ha detallado de forma precisa los mecanismos para cumplir con este deber: los formularios a utilizar y su contenido, las directrices de cómo se debe proceder cuando es imposible conocer al cliente, los parámetros de tratamiento para clientes que deben ser especialmente tratados (como las Personas Expuestas Públicamente, los organismos multilaterales, etc.), los procedimientos de actualización de datos y las posibilidades de manejo de clientes respecto de determinados productos.
Sistema de reportes
La norma determina que “las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes”.
Este parámetro es relevante porque pone a circular información pública necesaria con el fin de que el mercado evalúe los riesgos de LA/FT mientras que en paralelo sintoniza y coordina a todos los actores. Si bien aún hoy existen fallas menores en la presentación de los reportes internos y externos, se considera que este esquema ha sido exitoso porque ha puesto a dialogar a los responsables, tanto dentro de las entidades como fuera de ellas, respecto a cómo se debe enfrentar el fenómeno de lavado de activos y cuáles son los puntos débiles que se deben mejorar.
Dentro de este subcapítulo, se estableció una categorización pormenorizada de los informes y su contenido, lo que resulta en una ventaja de conocimiento real y objetivo de las situaciones potencialmente riesgosas en términos de blanqueo de capitales.
En lo referente específicamente a la obligación de reporte a las autoridades competentes acerca de todas aquellas operaciones sospechosas, la norma Sarlaft no se limitó a delimitar la obligación de informar aquellas transacciones que se salieran del giro ordinario de los negocios, sino que estableció la forma de hacerlo e impuso un sistema de ausencia de responsabilidad penal para los funcionarios reportantes.
La universalización de la capacitación
Con el enunciado “las entidades deben diseñar, programar y coordinar planes de capacitación sobre el Sarlaft dirigidos a todas las áreas y funcionarios de la entidad”, la norma Sarlaft hizo universal dentro de una corporación el conocimiento de las políticas y procedimientos de prevención de lavado de activos.
Esto ha sido importante en tanto extiende el conocimiento de los mecanismos antilavado a todos los que hacen parte de la entidad e invita a que todos los colaboradores participen activamente en la cruzada contra el blanqueo de capitales.
El objetivo: efectividad y eficiencia
La estructura y contenido de la norma Sarlaft propende porque los sistemas sean útiles y funcionales, pues solo así se puede alcanzar la meta de golpear las finanzas del crimen organizado. Desde que se enuncia la etapa de monitoreo se establece que uno de los objetivos permanentes es verificar la eficiencia del sistema, mientras que cuando se enuncian los deberes de órganos específicos se imponen obligaciones relacionadas con estas características.
Por ejemplo, la regulación estableció que el Oficial de Cumplimiento debe, en su informe presencial y escrito a la junta directiva, referirse a “la efectividad de los mecanismos e instrumentos establecidos, así como de las medidas adoptadas para corregir las fallas en el Sarlaft”.
A su turno, el Representante Legal tiene la función de “garantizar que los registros utilizados en el Sarlaft cumplan con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida”, mientras que la Auditoría Interna o quien haga sus veces debe “evaluar anualmente la efectividad del sistema”.
Esta serie de obligaciones ha sido ventajosa porque implica que el sistema esté en constante autoevaluación y corrección, lo que es coherente con el rápido avance y sofisticación en los métodos de lavado y de canalización de recursos hacia el crimen organizado.
Lo que no ha funcionado
Mala calidad en la información
A pesar de que la norma Sarlaft ha sido minuciosa en la descripción de las etapas y elementos del sistema, las entidades sometidas a dicha regulación aún presentan fallas en su gestión documental y en la calidad de información contenida tanto en los informes periódicos como en los reportes de operaciones sospechosas.
Se ha detectado que ha habido ocasiones en que los informes internos no contienen pronunciamientos sobre los mínimos exigidos y no evalúan el Sarlaft para promover mejoras o ajustes. Además de esto, en lo que refiere a los ROS se ha evidenciado que muchas veces no se reporta, se reporta lo que no se debe reportar o se reporta sin tener un sustento documental que justifique la acción.
Una posible solución a esta falla es entender de forma correcta e idónea lo que se debe reportar y cómo se debe hacerlo, así como establecer un diálogo cordial y colaborativo con las autoridades.
Fallas en la segmentación
Brandon Thai
En la segmentación de los factores de riesgo es muy común que las entidades omitan la utilización de metodologías idóneas, no segmenten todos los factores de riesgo por concentrarse únicamente en los clientes y dejen de utilizar variables de segmentación o utilicen algunas que no sean adecuadas o sobre las cuales no poseen información.
Adicionalmente, en la norma no queda claro si se segmenta para gestionar el riesgo o para llevar a cabo procedimientos de detección. En el primero de los casos, el procedimiento consiste en agrupar los factores de riesgo según sus características comunes con el fin de gestionarlos a todos de igual manera, mientras que en el segundo de los escenarios, si bien el proceso arranca con la agrupación de los factores de riesgo según sus características, la finalidad es monitorear cuando alguno de esos factores se salga de su comportamiento usual para tener una señal de alerta.
Problemas en la medición
En muchas ocasiones el proceso de medición quedó como una fotografía al 1 de julio de 2008, lo que ha ocasionado que los sistemas no hayan sido alimentados con información verídica posterior y, por consiguiente, que los controles antilavado tengan algunos puntos débiles o vacíos peligrosos.
La detección debería ser mucho más amplia
Más que una falla práctica, en este punto nos encontramos frente a un problema conceptual. La detección que enuncia la norma Sarlaft hace referencia a las operaciones inusuales o sospechosas únicamente, mientras que lo correcto es entender que la detección no es exclusiva de este tipo de operaciones y no está concebida solo para la etapa de monitoreo sino que tiene un espectro más amplio.
Sarlaft macro frente a Sarlaft micro
La norma Sarlaft no es específica en señalar que las entidades financieras deben adoptar dos tipos de sistemas antilavado dentro de sus manuales. El primero debe hacer referencia al perfil de riesgo de la entidad, a la evaluación de todos los riesgos reales y potenciales y al establecimiento de políticas que guíen el día a día de la lucha antilavado en todos los procesos corporativos establecidos. Por su parte, el segundo debe hacer referencia a la gestión del riesgo específica y determinada para cada una de las transacciones y operaciones que adelante la entidad en el giro ordinario de sus negocios.
Si bien es cierto que no es necesario incorporarlos de forma diferenciada en los manuales, sí debería haber una diferenciación clara pues, mientras que el primero tendería a ser más estático (sus mejoras deben ser evaluadas de forma pausada y los cambios introducidos de forma gradual), el segundo tiene la característica de ser más dinámico e inmediato, por lo que debe tener mecanismos de eficacia y velocidad que lo hagan funcional.
