Email: info@ricsmanagement.com Teléfono: +57 1 638-6488
rics

SARO vs. SARLAFT: ¿Qué fue primero, el huevo o la gallina?

Publicado el: Thursday, March 20th, 2014

Advertencia:  Este es un artículo escrito con base en las normas administrivas antilavado y de riesgo operativo de Colombia, expedidas por la Superintendencia Financiera, pero teniendo en cuenta que en toda latinoamerica las regulaciones han tomado como ejemplo las normas de ese pais, debe leerse bajo ese entendido, sin que eso siginifique que podamos darle algún alcance según las leyes de otro jurisdicción.

 

Luego de cuatro años de vida de la norma sobre el Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo – SARLAFT, es necesario hacer algunas reflexiones que se desprenden de la aplicación de la referida Circular Externa 026 de la Superintendencia Financiera de Colombia, sin perder de vista que un año antes de su salida a circulación, el regulador había expedido el Sistema de Administración del Riesgo Operativo – SARO.

En consecuencia, debemos referirnos primero a sus similitudes y luego a sus diferencias, para al final ver, sí los requerimientos que las entidades financieras están atendiendo del supervisor tienen que ver más con uno que con el otro. Para empezar, ambos, por un lado, son riesgos de tipo no financiero, aunque tengan consecuencias económicas, y por el otro, son sistemas de administración de riesgo que comparten la misma metodología de identificación, medición y control de riesgos. También cuentan con una etapa de monitoreo del sistema; comparten como elementos, las políticas, los procedimientos, la documentación, la estructura organizacional, los órganos de control, la infraestructura o plataforma tecnológica, la documentación y la capacitación; finalmente, consideran como riesgos asociados, el riesgo legal, el riesgo reputacional, el riesgo de contagio y el riesgo operativo.

Aunque esta última característica común, parece ser el punto en el que empiezan las diferencias entre el SARO y el SARLAFT, toda vez que si el primero es un sistema independiente, como es que el riesgo operativo es un riesgo asociado al riesgo de lavado de activos y financiación del terrorismo, haciéndonos pensar, desde una mirada desprevenida, que el SARO está abarcado entre el SARLAFT. Una de las diferencias más protuberantes respecto del organigrama de las entidades financieras, es la altura del Oficial de Cumplimiento como empleado de segundo nivel, lo que contrasta con el empleado que dirige la Unidad de Riesgo Operativo – URO, del que la norma no hizo mención sobre su estatura en la organización, lo cual, a su turno, se tradujo en un acertijo para las Juntas Directivas de los sujetos obligados al momento de redefinir sus estructuras, como es el caso de la tan famosa hoy, Vicepresidencia de Riesgo, que de antaño, nunca se caracterizo por liderar el anterior SIPLA o los aspectos operativos del negocio. Y otra diferencia importante son los factores de riesgo, que en el SARO son los recursos humanos, los procesos, la tecnología, la infraestructura y los acontecimientos externos; mientras que en el SARLAFT son los clientes y usuarios, los productos y servicios, los canales de distribución y las jurisdicciones.

Para terminar con este comparativo, no debe olvidarse que la naturaleza del SARO descansa en la provisión de recursos para responder a los siniestros operativos, y la del SARLAFT en dos conductas delictivas lo suficientemente nocivas para la economía, la sociedad y la seguridad como son el lavado de activos y la financiación del terrorismo, que siniestrados pueden traer consecuencias letales para las entidades financieras como un severo daño reputacional. Y como si lo anterior, no fuera poco, debemos recordar que tanto el SARO como el SARLAFT utilizan la locución “fraude”, el primero para referirse a la clasificación de eventos de riesgo operativo, que pueden ser interno o externo; y el segundo, para hacer alusión a los delitos subyacentes, determinantes, fuente o grave.

Con todo, con base en lo que aquí hemos planteado, cabe preguntarse, ¿las entidades financieras están provisionando el valor de la sanción corporativa por incumplimiento a las disposiciones del SARLAFT?, ¿el concepto que las entidades financieras tienen de fraude, es el mismo en SARO que en SARLAFT?, ¿los riesgos de fraude identificados en el SARO irradiaron el mapa de riesgos del SARLAFT?, ¿son tan independientes el SARO y el SARLAFT?, ¿podrían las entidades financieras estar haciendo ROS de fraudes y denuncias penales de lavado de activos y financiación del terrorismo?, ¿estará lleno el escritorio del Oficial de Cumplimiento de casos de fraude y el de la Unidad de Riesgo Operativo de ROS?. Pero, las preguntas podrían aumentar si incluimos a esta receta, la normas de la SFC sobre Seguridad de la Información – SI y el Sistema de Control Interno – SCI, que también hablan de fraude, la primera, del fraude informático o delito informático y, la segunda de la necesidad de contar con una política antifraude y un programa antifraude, lo cual, nos deja en un escenario en el que se habla de riesgo de fraude y riesgo de corrupción, para aquellas entidades financieras que deben cumplir con requerimientos regulatorios como FCPA, CFPOA o UK Bribery y requerimientos de autorregulación como el Pacto Global de la ONU, tolo cual impone preguntarse, ¿si las áreas antifraude y de seguridad de la información se van a fusionar? y ¿si también van a empezar a utilizar las metodologías de riesgo del SARO y el SARLAFT?

Estos simplemente, son algunos interrogantes de la vida diaria de las entidades financieras que nos llevan a reflexionar en la línea doctrinal y normativa de la SFC, en la que a toda herramienta jurídica, sea circular externa, carta circular o concepto, se le está completando con el mismo prefijo: riesgo.

Entonces, ¿no será hora de hablar de un sistema integral de administración de riesgo – SIAR, y en esa medida, de una gran Vicepresidencia de Riesgo en las entidades financieras, bajo la cual se lidere la gerencia de los riesgos de crédito, liquidez, mercado, garantías, operativo, seguridad de la información, fraude, corrupción, lavado de activos y financiación el terrorismo?

No obstante, esta idea, para nosotros es claro que el SARO abarca el SARLAFT y no al contrario, todos los siniestros del SARO activan la posibilidad o probabilidad de que las entidades financieras estén siendo utilizadas para lavar activos o para canalizar recursos que financian el terrorismo. Por tanto, si todo en una entidad financiera empieza por la vinculación del cliente, ¿los errores, fallas de control o incumplimientos normativos, no son más bien una falta a las disposiciones del SARO y no un problema del SARLAFT?, ¿podría haber un cambio de competencia al interior de la SFC, en el caso de requerimientos a entidades financieras?, ¿será que el SARLAFT es el asunto menos “sexy” del negocio financiero, pero el que más preocupación genera en las Juntas Directivas y por tanto se confunden los siniestros operativos con incumplimientos de la Circular Externa 026 de 2008?

Sabemos que son más las dudas que las luces que brindamos en este corto artículo, pero tal vez, es tiempo de hacer un alto en el camino regulatorio y de supervisión para revisar, si supervisor y vigilados están “hablando el mismo idioma”.

 

JUAN PABLO RODRÍGUEZ CARDENAS

Consultor SARLAFT Asobancaria

Abogado Penalista

Socio de rics management

jrodriguez@ricsmanagement.com