SAGRILAFT en Colombia: 6 puntos claves

En diciembre de 2020, la Superintendencia de Sociedades de Colombia modificó el Capítulo X de la Circular Básica Jurídica de 2017 con el objetivo de profundizar el enfoque basado en riesgos tanto en la supervisión de esta entidad como en la creación de políticas y matrices por parte de las entidades obligadas a cumplir con el autocontrol y gestión integral del riesgo LAFT/FPADM y reporte de operaciones sospechosas ante la Unidad de Información y Análisis Financiero, UIAF. 

A continuación te contamos 6 puntos claves que debes conocer sobre el Capítulo X de esta Circular, que entre otros detalla los elementos y las etapas del SAGRILAFT. 

1. Lavado de activos y financiamiento del terrorismo

De acuerdo con la Superintendencia de Sociedades, estos delitos impactan negativamente en la economía del país y en las empresas del sector real, pues en caso de materializarse pueden significar, entre otros, riesgos operacionales, legales, reputacionales y de contagio; lo que sin duda afectaría el buen nombre, la competitividad, la productividad y la continuidad de los negocios. 

Frente a esto, para prevenir estos delitos, las entidades supervisadas por la Superintendencia deben implementar un sistema de autocontrol y de gestión integral del riesgo de lavado de activos y financiamiento del terrorismo. Para hacerlo, deben tener en cuenta aspectos como las operaciones, los productos, los servicios y los contratos, al igual que a las contrapartes y a los beneficiarios finales de estas. 

2. Empresas obligadas a aplicar el Capítulo X

Entre las entidades que deben cumplir el Capítulo X de la Circular Básica Jurídica, es decir, implementar el sistema de autocontrol y gestión del riesgo integral de riesgos LAFT, están:

1. Empresas vigiladas por la Superintendencia de Sociedades que hayan obtenido Ingresos totales o tenido activos iguales o superiores a 40.000 SMLMV al 31 de diciembre del año anterior.
   
   
2. Empresas que pertenezcan a uno de los siguientes sectores y que, entre otros requisitos, al 31 de diciembre del año anterior hayan obtenido ingresos totales iguales o superiores a 30.000 SMLMV:

• Agentes inmobiliarios.
• Comercialización de metales preciosos y piedras preciosas.
• Servicios jurídicos.
• Servicios contables.
• Construcción de edificios y obras de ingeniería civil.
• Activos virtuales. En este caso, los ingresos totales obtenidos al 31 de diciembre del año anterior son iguales o superiores a 3.000 SMLMV y los activos son iguales o superiores a 5.000 SMLMV. 
• Supervisión especial o regímenes especiales, como lo son: Sociedades Administradoras de Planes de Autofinanciamiento Comercial, Sociedades Operadoras de Libranza, fondos ganaderos y sociedades que realizan actividades de factoring.

3. Elementos del SAGRILAFT

El Sistema de Autocontrol y Gestión del Riesgo LAFT está compuesto por los siguientes elementos:

1. Diseño y aprobación

Para el diseño de este sistema, la empresa obligada debe tener en cuenta su materialidad, sus características, su actividad y la identificación de los factores de riesgos LAFT.

Entre tanto, la aprobación del SAGRILAFT es responsabilidad de la junta directiva y en caso de no tener este órgano, del máximo órgano social de la empresa. Además, debe ser presentado conjuntamente por el representante legal y el oficial de cumplimiento.

2. Auditoría y cumplimiento

El oficial de cumplimiento será el responsable de la auditoría y verificación del cumplimiento de SAGRILAFT. La empresa debe certificar que la persona designada para desempeñar este rol cumple con los requisitos exigidos por este Capítulo X, además, debe informar a la Superintendencia de Sociedades el nombre, número de identificación, correo electrónico y número de teléfono del oficial de cumplimiento principal y suplente, si lo hay. 

Entre otros requisitos, el oficial de cumplimiento designado debe tener un título profesional, experiencia mínima de seis meses en cargos relacionados con SAGRILAFT y acreditar conocimientos en gestión del riesgo LAFT a través de especializaciones, cursos, diplomados, seminarios o congresos. 

3. Divulgación y capacitación

Para asegurar el cumplimiento de SAGRILAFT, la empresa está obligada a divulgarlo a todos sus empleados y a las partes interesadas por lo menos una vez al año. Así mismo debe brindarles capacitación para que lo cumplan adecuadamente.

A partir de la divulgación y la capacitación, las partes interesadas deben saber, por ejemplo, identificar una operación inusual o una operación sospechosa y cómo deben reportarla. 

4. Asignación de funciones a los responsables

La empresa debe establecer a quién corresponde el ejercicio de las facultades y funciones necesarias para la ejecución de las etapas, elementos y demás actividades asociadas al SAGRILAFT.  

En este sentido, la empresa debe tener claro que para el correcto funcionamiento, cumplimiento y efectividad de SAGRILAFT es necesaria la participación de varios sujetos y la interacción entre estos es fundamental.  Se deben considerar roles como los siguientes:

• Junta directiva o máximo órgano social
• Representante legal.
• Oficial de cumplimiento.
• Órganos de control.
• Revisoría fiscal.
• Auditoría interna.

4. Etapas del SAGRILAFT

Para identificar, prevenir, controlar y gestionar el riesgo LAFT, el SAGRILAFT debe tener, como mínimo, las siguientes etapas:

1. Identificación del riesgo LAFT

Para identificar este riesgo las empresas deben:

• Clasificar los factores de riesgo de acuerdo a la actividad económica de la empresa y su materialidad.
• Establecer la metodología para identificar el riesgo específico de LAFT y riesgos asociados.
• Establecer las condiciones de tiempo, modo y lugar, así como la relevancia y prioridad para llevar a cabo la debida diligencia.
• Disponer e implementar los mecanismos y medidas para el adecuado conocimiento, identificación e individualización de los factores de riesgo.

2. Medición o evaluación del riesgo LAFT

En esta etapa, las empresas deben medir la probabilidad de ocurrencia del riesgo inherente frente a cada uno de los factores de riesgo LAFT, así como el impacto en caso de materializarse. A partir de esto se debe establecer el perfil de riesgo inherente de la empresa. 

Para realizar la medición / evaluación las empresas deben:

• Establecer la metodología para determinar la probabilidad de ocurrencia y el impacto de los riesgos.
• Evaluar el riesgo LAFT al incursionar en nuevos mercados u ofrecer nuevos productos.

3. Control del riesgo LAFT 

Las medidas para controlar el riesgo inherente al que se ven expuestas las empresas deben permitir disminuir la probabilidad de ocurrencia del riesgo o del impacto en caso de materializarse.  

Entre otras, las empresas deben establecer la metodología para definir las medidas de control y aplicar esta metodología a cada uno de los factores de riesgo; además, crear la matriz de riesgo LAFT y establecer los controles y herramientas para la detección de operaciones inusuales y sospechosas con base en los riesgos identificados, los factores de riesgo y esta matriz.

4. Monitoreo del riesgo LAFT

En esta etapa la empresa debe:

• Realizar el seguimiento periódico del riesgo inherente y riesgo residual de cada factor de riesgo.
• Hacer un seguimiento continuo y efectivo para detectar y corregir rápidamente las deficiencias del SAGRILAFT.
• Garantizar que los controles son integrales y funcionan de manera oportuna, efectiva y eficiente.
• Asegurar que los riesgos residuales están en los niveles de aceptación definidos por la empresa.

A través de una herramienta tecnológica como Pirani, ayudamos a las empresas a cumplir con cada una de estas etapas que debe tener el SAGRILAFT.

Con este software los oficiales de cumplimiento y personal encargado de la gestión de riesgos LAFT podrán identificar los riesgos, hacer la medición de la probabilidad de ocurrencia y el impacto de estos, implementar controles y realizar un monitoreo efectivo para tomar decisiones de manera oportuna.

5. Debida diligencia y debida diligencia intensificada

La debida diligencia de la contraparte es uno de los principales instrumentos para prevenir los riesgos LAFT. El alcance de este proceso debe ser el apropiado para la naturaleza y tamaño del negocio.

Algunas de las medidas mínimas que se deben aplicar en la debida diligencia son:

• Identificar a la contraparte y verificar su identidad con documentos, datos o información confiable.
• Identificar al beneficiario final de la contraparte y verificar su identidad.  
• En personas jurídicas tomar medidas para conocer la estructura de su propiedad para obtener el nombre y el número de identificación de los beneficiarios finales.
• Entender y tener información sobre el propósito y el carácter que se le dará a la relación comercial.  
• Realizar una debida diligencia continua de la relación comercial y revisar las transacciones realizadas a lo largo de esa relación para asegurar que son consistentes con el conocimiento que tiene la empresa sobre la contraparte, su actividad comercial y el perfil de riesgo.

Al realizar la debida diligencia y analizar las operaciones de las contrapartes, la empresa debe considerar también aquellas operaciones en las que se maneje efectivo, ventas masivas y transacciones con activos virtuales. 

Con respecto a la debida diligencia intensificada, el Capítulo X de la Circular Básica Jurídica, establece que este proceso requiere un conocimiento avanzado de la contraparte y del origen de los activos y debe aplicarse a las contrapartes que la empresa considera que representan un mayor riesgo; a las personas expuestas políticamente (PEP); y a quienes están ubicados en países no cooperantes y jurisdicciones de alto riesgo. Así mismo, debe aplicarse a quienes realicen actividades con activos virtuales. 

6. Señales de alerta

De acuerdo a los factores de riesgo LAFT identificados, así como a la matriz de riesgos y la materialidad del riesgo, la empresa debe tener en cuenta señales de alerta como:

• Operaciones o actividades con contrapartes, por ejemplo, personas naturales o jurídicas que no estén plenamente identificadas o nuevos asociados a los que no se les haya verificado el origen de los recursos que aportan.
  
  
• Operaciones, negocios o contratos que involucren, entre otros, alto volumen en efectivo; donaciones que no tengan un beneficiario final aparente; operaciones comerciales o negocios con personas incluidas en listas vinculantes; operaciones con productos provenientes de actividades ilegales y operaciones con productos de venta restringida que no cuenten con autorizaciones o licencias.  

• Operaciones con efectivo proveniente o relacionado con países con un alto nivel de corrupción; documentación injustificada sobre el origen o el propietario; cantidad, valor o divisa no concordante con las circunstancias del portador; gran aumento de facturación o ventas en efectivo procedentes de clientes no identificables; préstamos del extranjero recibidos en efectivo y en moneda local; entre otros. 

A través de Pirani ayudamos a las empresas a hacer una segmentación por los cuatro factores de riesgos LAFT (clientes, productos, canales y jurisdicciones), además, les permitimos generar señales de alerta que puedan desencadenar en la materialización de los riesgos a los que están expuestas. 

Adicional a los anteriores puntos, el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades incluye la documentación de las actividades del SAGRILAFT, que en términos generales, debe garantizar la integridad, oportunidad, confiabilidad, reserva y disponibilidad de la información.

También habla sobre el reporte de operaciones sospechosas a la UIAF y menciona que la empresa debe implementar herramientas y aplicativos tecnológicos para identificar tanto las operaciones inusuales como sospechosas.