*Juan Pablo Rodríguez C
**René M. Castro V
*** Camilo A. Rueda B
Un ajuste regulatorio que impacta la cultura de cumplimiento de las empresas del sector real colombiano desde 2009
Con la Circular Externa 004 de 2009, la Superintendencia de Sociedades invitó al empresariado colombiano a diseñar e implementar medidas de debida diligencia en el marco del Buen Gobierno Corporativo para gestionar el riesgo de lavado de activos y la financiación del terrorismo. Luego, en 2014, el supervisor pasó de la invitación a la obligación impuesta a las empresas que cumplían con un monto de ingresos y de activos y, entre 2015 y 2017, además de dejar claro que las empresas obligadas a tener SAGRLAFT son las que tienen 160 mil SMMLV en ingresos totales, también incluyó como sujetos obligados al sector inmobiliario, explotación de minas y canteras, servicios jurídicos, servicios contables, de cobranza y calificación crediticia, comercio de vehículos, sus partes piezas y accesorios y construcción de edificios, con unos umbrales de SMMLV específicos por ingresos brutos.
No se puede olvidar que las 40 Recomendaciones del GAFI de 2012 y revisadas en 2018, denominan al sector real con el nombre de Actividades y Profesiones No Financieras Designadas – APNFDs, pero solo enlistó 6 actividades económicas y profesiones liberales: los abogados, los contadores, los notarios, los casinos, la minería y el sector inmobiliario y constructor. En el caso colombiano, la regulación ha sido más amplia y hasta la fecha de este artículo, la Superintendencia de Servicios Públicos y la Superintendencia de Subsidio Familiar son las únicas que no cuentan con una norma Anti-Lavado de Activos y Contra la Financiación del Terrorismo (en adelante ALA/CFT).
Ahora se presenta este Proyecto de Circular (en adelante PC) que pretende modificar la Circular Externa 100-000005 de 2017 vigente sobre el SAGRLAFT expedida por la Superintendencia de Sociedades, por lo que a continuación exponemos nuestros comentarios en el orden de la norma.
1. Consideraciones generales
a. El proyecto de modificación afirma que la intención es cumplir con las 40 recomendaciones y sus notas interpretativa, caso en el cual debería mencionar expresamente el riesgo de Financiación de la Proliferación de Armas de Destrucción Masiva – FPADM.
b. Aunque no es un cambio, el PC habla de riesgo de mercado como un riesgo asociado al riesgo LA/FT, dejando de lado que se trata de un riesgo financiero y no tiene la naturaleza de los riesgos asociados típicos, como es el caso del legal, operativo, reputacional y de contagio, aunque en el acápite de definiciones solo se mencione el reputacional y no los otros tres.
2. Marco normativo
A. Normas y Estándares sobre LA/FT
a. La referencia a las 40 Recomendaciones del GAFI de 2012 está desactualizada, ya que en 2018 se revisaron y se incluyeron aspectos relativos a las criptomonedas.
b. El PC agrega el texto:
“Así, en la recomendación 1, el GAFI establece que los países deben exigir a las instituciones financieras y a las actividades y profesiones no financieras designadas (APNFD) que identifiquen, evalúen y tomen acciones eficaces para mitigar sus riesgos de lavado de activos y financiamiento del terrorismo”.
B. Normas nacionales
a. El PC cambia de orden algunos párrafos.
b. EL PC no elimina ni adiciona textos.
3. Definiciones
a. El PC incluye la siguiente definición:
“Activo virtual: Representación digital de valor que se puede comercializar o transferir digitalmente y se puede utilizar para pagos o inversiones. Los activos virtuales no incluyen representaciones digitales de moneda fiat, valores y otros activos financieros que ya están cubiertos en otras partes de las Recomendaciones del GAFI”.
Comentario: La nueva definición de Beneficiario Final genera inseguridad jurídica, ya que quitó el porcentaje del 25% en relación con la información del accionista y debería dejarlo reducido a 10% que es la regla general de la regulaciones ALA/CFT.
b. La definición de Beneficiario Final o Beneficiario Real se amplía y aclara, así:
“De acuerdo con lo señalado en el Glosario General de las Recomendaciones del GAFI, hace referencia a la(s) persona(s) natural(es) que finalmente posee(n) o controla(n) a un cliente o a una Contraparte o a la persona natural en cuyo nombre se realiza una transacción. Incluye también a la(s) persona(s) que ejerce(n) el control efectivo final sobre una persona jurídica u otra estructura jurídica.
La referencia a ‘que finalmente posee(n) o controla(n)’ y a ‘control efectivo final’ hace alusión a las situaciones en las que la titularidad o el control se ejerce mediante una cadena de titularidad o a través de otros medios de control diferentes al control directo, en los términos del artículo 261 del Código de Comercio”.
Comentario: La nueva definición de Beneficiario Final genera inseguridad jurídica, ya que quitó el porcentaje del 25% en relación con la información del accionista y debería dejarlo reducido a 10% que es la regla general de la regulaciones ALA/CFT.
c. EL PC incluye la definición de Factores de riesgo LA/FT así:
“Elementos o causas generadoras del riesgo de LA/FT para cualquier empresa. La Empresa deberá tener en cuenta a las contrapartes, los productos, los activos y las jurisdicciones”.
Comentario: Hablar de contrapartes y no solo de clientes es un reconocimiento de que el riesgo de LA/FT está presente en relaciones con empleados, proveedores y accionistas, por mencionar algunos.
d. El PC incluye la definición de Actividades fuente de riesgo de LA/FT, así:
“Actividades propias del giro ordinario del negocio y del funcionamiento de la Empresa en las que se puede presentar un riesgo de LA/FT”.
Comentario: La nueva definición implica para los sujetos obligados identificar cómo su naturaleza jurídica y el objeto social que cumple pueden generar nuevas fuentes de riesgo de LA/FT, pero es innecesaria, ya que se suple con la definición de factores de riesgo.
e. El PC incluye a GAFILAT, lo cual es acertado, especialmente tras la desaparición del GAFISUD.
f. El PC incluye la definición de Listas Restrictivas, así:
“Bases de datos nacionales e internacionales que recogen información, reportes y antecedentes de personas naturales y jurídicas, que pueden estar vinculadas a investigaciones, procesos, condenas o sanciones relacionados con LA/FT”.
Comentario: No se puede olvidar que si bien hay listas restrictivas, según la Ley 1121 de 2006 Colombia está obligado a aplicar las listas del Consejo de Seguridad de las Naciones Unidas, que son vinculantes para los sujetos obligados.
g. El PC incluye la definición de Matriz de Riesgo de LA/FT, así:
“Instrumento que le permite a una Empresa identificar y evaluar los riesgos de LA/FT a los que se ve expuesta”.
Comentario: Debería incluirse en la definición el verbo “controlar” debido a su importancia en la ISO 31000 de 2018 sobre gestión de riesgo.
h. El PC elimina la definición de operación intentada.
Comentario: La eliminación de la definición implica un incumplimiento de las 40 Recomendaciones del GAFI, ya que las operaciones sospechosas, son tanto las consumadas como las intentadas y ambas deben ser reportas a la respectiva Unidad de Inteligencia Financiera (UIAF en el caso colombiano).
i. El PC elimina la definición de período mínimo de permanencia. Pero más adelante la norma lo menciona en el régimen general.
j. El PC reduce la definición de PEPs a “Los individuos que desempeñan funciones públicas destacadas o que por su cargo, manejan o administran recursos públicos”.
Comentario: La reducción de la definición implica que se aplica lo establecido en Decreto 1674 de 2016 y las otras categorías quedan sin vigencia.
k. El PC elimina la definición de plazo de cumplimiento.
Comentario: La eliminación del plazo de cumplimiento implica que la empresa que cumpla con el nivel de ingresos brutos debe diseñar e implementar un SAGRLAFT de forma inmediata.
l. El PC incluye la definición de Riesgo Reputacional, así:
“Es la posibilidad de pérdida en que incurre una Empresa por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales”.
Comentario: La inclusión del concepto es muy acertada, pero debe ir acompañada de una definición de riesgos asociados y luego definir riesgo legal, riesgo operativo y riesgo de contagio.
4. Ámbito de aplicación del régimen general:
a. La descripción del SAGRLAFT, que antes era el numeral 4, ahora pasa a ser el 7.
b. Crea el concepto de régimen general que antes no existía.
A. Sector de agentes inmobiliarios (antes se llamaba sector inmobiliario):
a. El PC incluyó la siguiente definición:
“Que se dediquen habitualmente a la prestación de servicios de intermediación en la compra o venta de bienes inmuebles a favor de sus clientes” en reemplazo de la anterior “Que su actividad económica inscrita en el registro mercantil o la actividad económica que produzca para la Empresa el mayor ingreso operacional o el mayor ingreso de actividades ordinarias, según las normas aplicables, sea la identificada con el código L6810 y/o L6820 de la Clasificación Industrial Internacional Uniforme, revisión 4, adoptado para Colombia (CIIU Rey. 4 A.C.)”.
b. El PC reduce el monto de ingresos totales de 60 mil a 30 mil SMMLV.
Comentario: La reducción de los SMMLV implica la ampliación de la base de estos sujetos obligados.
B. Sector de comercialización metales y piedras preciosas (antes se llamaba de explotación de minas y canteras):
a. El PC incluyó la siguiente definición:
“Que se dediquen habitualmente a la comercialización de metales preciosos y piedras preciosas” en reemplazo de la anterior “Que su actividad económica inscrita en el registro mercantil o la actividad económica que produzca para la Empresa el mayor ingreso operacional o el mayor ingreso de actividades ordinarias, según las normas aplicables, sea la identificada con el código inicial de la categoría B05 y/o B07 y/o B08 del CIIU Rey. 4A.C.”.
Comentario: Cambiar de explotación a comercialización implica dejar por fuera las empresas mineras que exploran y explotan como sujetos obligados y dejando de reconocer un fenómeno criminal como la minería ilegal.
b. El PC reduce el monto de ingresos totales de 60 mil a 30 mil SMMLV.
Comentario: La reducción de los SMMLV implica la ampliación de la base de estos sujetos obligados.
C. Sector de servicios jurídicos
a. Se elimina la obligación para empresas con actividad CIIU N8291.
b. Se mantiene el monto de ingresos totales de 30 mil SMMLV.
D. Sector de servicios contables (antes el título también incluía “de cobranza y/o de calificación crediticia”, aunque la de cobranza se retoma más adelante):
a. Se elimina la obligación para empresas con actividad CIIU N8291.
b. Se mantiene el monto de ingresos totales de 30 mil SMMLV
Comentario: La reducción de los SMMLV implica la ampliación de la base de estos sujetos obligados.
Se elimina el sector de comercio de vehículos, sus partes, piezas y accesorios
E. Sector de construcción de edificios
El PC no impone cambios.
Nuevos sectores económicos obligados
Comentario: Podría evaluarse la posibilidad de establecer como sujetos obligados otros sectores de la economía como el sector de turismo, operadores, agencias de viaje, las cajas de compensación y las empresas de servicios públicos y las empresas de transporte aéreo de pasajeros.
F. Proveedores de servicios de activos virtuales
a. El PC incluye como sujetos obligados a las empresas de este sector que estén sujetas a la supervisión de la Superintendencia de Sociedades (inspección, vigilancia o control) según lo previsto en los artículos 83, 84 y 85 de la Ley 222 de 1995.
b. El PC clasifica como empresas obligadas las que realicen, para o en nombre de, otra persona natural o jurídica, una o más de las siguientes actividades u operaciones:
i. Intercambio entre activos virtuales y monedas fiat;
ii. Intercambio entre una o más formas de activos virtuales;
iii. Transferencia de activos virtuales;
iv. Custodia y/o administración de activos virtuales o instrumentos que permitan el control sobre activos virtuales; y
v. Participación y provisión de servicios financieros relacionados con la oferta de un emisor o venta de un activo virtual.
c. El PC afirma que son sujetos obligados las empresas que a 31 de diciembre del año inmediatamente anterior hubieren obtenido ingresos totales iguales o superiores a 3.000 salarios mínimos mensuales legales vigentes (SMMLV).
Comentario: La clasificación de las empresas de proveedores de servicios de activos virtuales es el reconocimiento expreso en una norma de un regulador independientemente de la postura de la SFC y del Banco de la República sobre los criptoactivos.
G. Sector estaciones de servicio
a. El PC incluye como sujetos obligados a las empresas de este sector que estén sujetas a la supervisión de la Superintendencia de Sociedades conforme lo previsto en los artículos 84 y 85 de la Ley 222 de 1995.
b. El PC clasifica como empresas obligadas a las que por su actividad económica inscrita en el registro mercantil o la actividad económica que genera para la empresa el mayor ingreso total según las normas aplicables sea la identificada con el código 4661 o 4731 del CIIU Rev. 4 A.C.
c. El PC afirma que son sujetos obligados las empresas que a 31 de diciembre del año inmediatamente anterior hubieren obtenido ingresos totales iguales o superiores a 30 mil salarios mínimos mensuales legales vigentes (SMMLV).
H. Sectores de supervisión especial
a. El PC incluye como sujetos obligados a las Sociedades Autoadministradoras de Planes de Autofinanciamiento Comercial (SAPAC).
b. El PC incluye como sujetos obligados a las sociedades operadoras de libranza, vigiladas por la Superintendencia de Sociedades.
c. El PC incluye como sujetos obligados a las sociedades que lleven a cabo las actividades de mercadeo multinivel, siempre que a 31 de diciembre del año inmediatamente anterior hubieren obtenido ingresos totales iguales o superiores a 30 mil salarios mínimos mensuales legales vigentes (SMMLV).
I. Régimen aplicable a los clubes con deportistas profesionales (este sector previamente se refería exclusivamente a los clubes de fútbol)
a. El PC incluye como sujetos obligados a los clubes con deportistas profesionales sujetos a la vigilancia o control de la Superintendencia de Sociedades están sometidos a lo previsto en la Circular Externa No. 005 del 04 de noviembre de 2016, expedida por Coldeportes, o a la norma que la sustituya, modifique o complemente.
b. Previamente decía: “Los clubes de fútbol con deportistas profesionales sujetos a la inspección o vigilancia de la Superintendencia de Sociedades, están sometidos a lo previsto en la Circular Externa No. 2 de] 16 de julio de 2013, expedida por Coldeportes, o a la norma que la sustituya, modifique o complemente.
En el evento de que la referida norma fuere derogada, sin que hubiere sido sustituida por Coldeportes por medio de otra disposición que regule integralmente la materia, todos los clubes de fútbol con deportistas profesionales sujetos a la inspección o vigilancia de la Superintendencia de Sociedades quedarán obligados al cumplimiento de lo previsto en el presente Capítulo X”.
J. Cualquier otro sector
a. El PC adiciona el siguiente texto:
“En todo caso, la Superintendencia de Sociedades podrá impartir la instrucción específica a cualquier entidad sometida a su supervisión, de que implemente las medidas señaladas en este Capítulo, cuando encuentre pertinente su aplicación, con base en la información a su disposición. Ello, en ejercicio de la función de instruir a las entidades sujetas a su supervisión, sobre las medidas que deben adoptar para la prevención del riesgo de lavado de activos y de financiamiento del terrorismo, prevista en el numeral 26 del artículo 7º del Decreto 1023 de 2012.
Las Empresas que estén sujetas a la vigilancia o control de otra entidad no quedarán obligadas a lo previsto en este Capítulo.”
b. Se mantiene el tope de 160 mil SMMLV de ingresos totales.
Comentario: La aclaración de la norma acerca de la concurrencia de normas ALA/CFT en vez de aclarar la situación, la complica, ya que las empresas que tienen la obligación legal de tener un SIPLA producto de la aplicación de la Circular Externa 170 de 2002 de la DIAN, que está vigente, estarán rezagadas en la gestión del riesgo si no implementan un SAGRLAFT.
La otra implicación tiene que ver con los sujetos obligados inscritos en el SIREL de la UIAF que como hasta ahora un mismo NIT de una empresa puede tener que hacer diferentes reportes a la UIAF según la regulación que le aplique, por ejemplo, SIPLA de DIAN y SAGRLAFT de la Superintendencia de Sociedades.
5. Plazo para el cumplimiento régimen general
a. Las empresas que a partir del 31 de diciembre de 2019 adquieran la calidad de Empresas Obligadas, conforme con los criterios señalados en el numeral anterior, deberán poner en marcha el Sistema en un término que no podrá superar los doce meses a partir del primero de enero de 2020.
b. Para los periodos posteriores, el plazo de doce meses se contará a partir del primero de enero del año siguiente a aquel en el que se cumplan los requisitos señalados en el ámbito de aplicación.
c. En caso de que a 31 de diciembre de un ejercicio determinado una Empresa Obligada dejare de cumplir con los requisitos previstos en el numeral anterior, tal empresa deberá cumplir con un periodo mínimo de permanencia adicional de tres años a partir de dicha fecha, de modo que seguirá estando obligada en los términos del presente capítulo, por tal periodo.
Comentario: Si bien en las definiciones el PC eliminó el periodo de permanencia, en este apartado, la situación se mantiene como la norma vigente con un periodo de 3 años.
6. Periodo de Transición régimen general
a. Las Empresas que a la fecha de expedición de la presente Circular ya tengan la calidad de Empresas Obligadas, deberán, en un término máximo de seis meses contados a partir del 1º de enero de 2020, revisar y ajustar su política o sistema de prevención y gestión del Riesgo de LA/FT, para verificar que se ajuste a lo dispuesto en este Capítulo X.
b. Las Empresas que a la fecha de expedición de la presente Circular dejen de estar incursas en los requisitos previstos en el ámbito de aplicación, seguirán dando cumplimiento a las disposiciones de este capítulo hasta el 31 de diciembre de 2020 y no tendrán que aplicar el periodo mínimo de permanencia previsto en el tercer párrafo del numeral anterior”.
7. Contenido del sistema de Autocontrol y Gestión del Riesgo LA/FT- SAGRLAFT
a. El PC dice que los sujetos obligados:
“… deberán contar con una matriz de Riesgo u otro mecanismo equivalente de evaluación del riesgo de LA/FT que les permita medir y supervisar su evolución”.
Comentario: Anteriormente decía “monitorear”, con lo cual, asumimos, se quiere evitar esa confusión que existe entre monitorear el sistema y monitorear las operaciones. Esta redacción es más acertada.
b. El PC eliminó, al menos en esta parte, el párrafo que decía:
“Cuando en un grupo empresarial, tal como se define en el artículo 28 de la Ley 222 de 1995, exista más de una Empresa Obligada, cada una de ellas deberá adoptar su propio Sistema, conforme a lo previsto en este Capítulo X”.
Comentario: A pesar de la eliminción, se menciona más adelante en el apartado de “supervisión y cumplimiento”.
A. Elementos del sistema
a. La CE vigente habla de “identificación, medición, control y monitoreo del riesgo” como elementos de la administración del riesgo. Ahora los elementos son i) diseño y aprobación, ii) supervisión y cumplimiento y iii) divulgación y capacitación.
i) Diseño y aprobación
a. El PC dice que:
“El diseño del Sistema estará bajo la supervisión y dirección del Oficial de Cumplimiento, para lo cual deberá tener en cuenta las características propias de la Empresa y su actividad, así como la identificación de los factores y actividades fuente de Riesgo de LA/FT (Matriz de Riesgo u otro mecanismo de evaluación del Riesgo de LA/FT)”.
Comentario: Ahora es más amplia la obligación porque exige a los sujetos obligados tener una matriz de riesgos de LA/FT.
ii) Supervisión y cumplimiento
a. El PC dice que “se deberá designar un Oficial de Cumplimiento que deberá ser empleado de la Empresa”.
b. En la CE vigente, en esta parte se describían las funciones del OC, las cuales ahora se describen más adelante.
c. El PC agrega el siguiente texto:
“Dentro del cumplimiento del Sistema se debe incluir el señalamiento de sanciones o consecuencias para empleados, administradores, socios o terceros, por el incumplimiento o inobservancia de sus disposiciones”.
Comentario: Se deja más explícito que el Oficial de Cumplimiento tiene que ser empleado y se elimina, al menos en esta parte, la prohibición de “contratarse con terceros las funciones asignadas al Oficial de Cumplimiento, ni aquellas relacionadas con la identificación de Operaciones Inusuales o con la determinación y reporte de Operaciones Sospechosas”.
Nuevos apartados del sistema
B. Asignación de Funciones
i. Funciones de la junta directiva o del máximo órgano social
a. El PC establece las siguientes funciones para la JD o el máximo órgano social:
“La junta directiva, o el máximo órgano social cuando aquella no existe, es el órgano responsable de la implementación, cumplimiento y efectividad del SAGRLAFT. Para ello deberá disponer de la estructura organizacional que asegure el logro efectivo de estos propósitos.
A continuación, se relaciona un listado mínimo de funciones que deberán ser expresamente asignadas al órgano de dirección o a la junta directiva, según el caso:
1.1 Establecer y aprobar para la Empresa Obligada una política de prevención, autocontrol y gestión del riesgo de LA/FT.
1.2 Aprobar el Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo –SAGRLAFT– presentado por el representante legal y el oficial de cumplimiento.
1.3 Aprobar el manual de procedimientos SAGRLAFT y sus actualizaciones.
1.4 Seleccionar y designar al oficial de cumplimiento y su respectivo suplente (cuando sea procedente). En los eventos en que no se cuente con una junta directiva, el máximo órgano social tendrá como función autorizar la designación hecha por el representante legal.
1.5 Analizar los informes que presente el oficial de cumplimiento o representante legal y tomar decisiones respecto de la totalidad de los temas allí tratados. Esto deberá constar en las actas del órgano correspondiente.
1.6 Pronunciarse sobre los informes presentados por la Revisoría Fiscal o las auditorías interna y externa, que tengan relación con la implementación del SAGRLAFT, y hacer el seguimiento a las observaciones o recomendaciones en ellos incluidas. Ese seguimiento y sus avances periódicos deberán estar señalados en las actas correspondientes.
1.7 Ordenar y garantizar los recursos técnicos, logísticos y humanos necesarios para implementar y mantener en funcionamiento el SAGRLAFT, según los requerimientos que para el efecto realice el Oficial de Cumplimiento.
1.8 Establecer los criterios para aprobar la vinculación de contrapartes cuando se trate de Personas Expuestas Políticamente, tanto nacionales como internacionales.
1.9 Establecer pautas y determinar los responsables de realizar una evaluación del cumplimiento y efectividad del SAGRLAFT de forma periódica.
Comentario: La Junta Directiva ahora debe selecciona y no solamente nombrar al Oficial de Cumplimiento y establecer los criterios para aprobar las vinculaciones de los PEPs. Sobre la evaluación del cumplimiento y efectividad del SAGRLAFT i) no menciona cuál debe ser la periodicidad mínima y ii) se podría entender que la debe hacer un tercero, pero tampoco lo especifica.
ii. Funciones del representante legal
a. El PC establece las siguientes funciones para el representante legal:
“El SAGRLAFT debe contemplar, como mínimo, las siguientes funciones a cargo del representante legal:
2.1 Presentar para aprobación de la junta directiva o el máximo órgano social, la propuesta del SAGRLAFT diseñada, así como su respectivo manual de procedimientos.
2.2 Divulgar, promover y verificar el cumplimiento de la política de prevención, Autocontrol y Gestión del Riesgo de LA/FT aprobada por la junta directiva o el máximo órgano social según el caso.
2.3 Estudiar los resultados de la evaluación y segmentación de Riesgo de LA/FT y, de forma conjunta con el Oficial de Cumplimiento, establecer los planes de acción que correspondan.
2.4 Asignar de manera eficiente los recursos técnicos y humanos, determinados por la junta directiva o el máximo órgano social, necesarios para implementar el SAGRLAFT.
2.5 Prestar efectivo, eficiente y oportuno apoyo al Oficial de Cumplimiento en el diseño, dirección, supervisión y monitoreo del SAGRLAFT.
2.6 Presentar a la Junta Directiva o al máximo órgano social, los reportes, solicitudes y alertas que considere que deban ser tratados por dichos órganos y que estén relacionados con el Sistema.
2.7 Asegurarse de que las actividades que resulten del desarrollo del SAGRLAFT se encuentran debidamente documentadas, de modo que se permita que la información responda a unos criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad.
2.8 Certificar ante la Superintendencia de Sociedades el cumplimiento de lo previsto en el presente Capítulo X, cuando lo requiera esta entidad de supervisión.
2.9 En los casos en que no exista una Junta Directiva, el Representante Legal deberá designar al Oficial de Cumplimiento, y solicitar la correspondiente autorización de parte del máximo órgano social.”
Comentario: El representante legal debe estudiar los resultados de la segmentación, pero no se especifica una definición al respecto en el apartado respectivo.
iii. Oficial de cumplimiento
a. El PC establece las siguientes funciones para el Oficial de Cumplimiento:
“El oficial de cumplimiento debe participar activamente en los procedimientos de diseño, dirección, supervisión y monitoreo del Sistema, y estar en capacidad de tomar decisiones frente a la gestión del Riesgo de LA/FT. Por su parte, la administración de la Empresa Obligada deberá brindarle un apoyo efectivo y los recursos humanos (contar con un técnico en caso de que sea procedente), físicos, financieros y técnicos necesarios para llevar a cabo la implementación y cumplimiento del SAGRLAFT.
La persona designada como Oficial de Cumplimiento debe gozar de la capacidad de tomar decisiones para gestionar el Riesgo de LA/FT, lo cual deberá ser considerado por la Empresa al momento de determinar el perfil, las incompatibilidades e inhabilidades, y las funciones específicas que se le asignen al empleado que tenga dicha responsabilidad. La persona designada debe contar con conocimientos suficientes en materia de administración de riesgos y entender el giro ordinario de las actividades de la Empresa.”
Comentario: El PC no exige expresamente que el Oficial de Cumplimiento debe tener conocimientos sobre LA/FT, el cual consideramos es un requisito indispensable. Por otro lado, aunque se dice que se deben tener en cuenta las inhabilidades e incompatibilidades, es necesario que la norma diga expresamente (como la regulación de la Superintendencia de Salud), que el Auditor Interno no puede ejercer dichas funciones.
“3.2 Promover la adopción de correctivos y actualizaciones al Sistema. Para ello podrá presentar a la Junta Directiva o al máximo órgano social, según el caso, las propuestas y justificaciones de los correctivos y actualizaciones sugeridas. Esta función incluye la revisión periódica del Sistema, que deberá realizarse por lo menos anualmente, y en caso de que no se considere necesaria la realización de ajustes, así debe indicarlo mediante una comunicación dirigida al Representante Legal”.
Comentario: El PC en este apartado es confuso, ya que en una parte dice podrá y en otra deberá, lo que no permite su interpretación de forma sistemática.
“3.4 Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, y los informes que presente el Revisor Fiscal, y adoptar las medidas del caso frente a las deficiencias informadas. Si las medidas que deben ser adoptadas requieren de una autorización de otros órganos, deberá promover que estos asuntos sean puestos en conocimiento de los órganos competentes.”
Comentario: El PC reconoce con este apartado que el Oficial de Cumplimiento no tiene la autoridad suficiente para promover los correctivos del SAGRLAFT.
“3.8 Diseñar las metodologías de segmentación, identificación, medición y control del Riesgo de LA/FT que formarán parte del Sistema.
3.9 Realizar la evaluación de los riesgos de LA/FT a los que se encuentra expuesta la Empresa.”
Comentario: El PC incluye el numeral 3.9 para ser coherente con la obligación de tener una matriz de riesgo de LA/FT.
Nuevos apartados del sistema
a. El PC establece órganos de control para el SAGRLAFT, así:
iv. Órganos y funciones de control
“Las empresas deben establecer órganos e instancias encargadas de efectuar una evaluación del cumplimiento y efectividad del SAGRLAFT, teniendo en cuenta las políticas de prevención, autocontrol y gestión del riesgo de LA/FT adoptadas por la Junta Directiva o el órgano correspondiente. Las fallas o debilidades detectadas deben ser informadas a las instancias pertinentes.”
v. Revisoría Fiscal
“Las funciones de este órgano se encuentran expresamente señaladas en la ley, principalmente en el artículo 207 del Código de Comercio, especialmente la relacionada con la obligación de reporte a la UIAF de las operaciones catalogadas como sospechosas, cuando las adviertan dentro del giro ordinario de sus labores.
En todo caso, el Revisor Fiscal, en virtud de la responsabilidad inherente a sus funciones, tiene el deber de revelar información cuando así lo exija la ley. Así por ejemplo, cuando en el curso de su trabajo un Revisor Fiscal o contador descubre información que lleva a la sospecha de posibles actos de lavado de activos o financiación del terrorismo, tiene la obligación de remitir estas sospechas a la autoridad competente.
Se debe tener en cuenta que los revisores fiscales se encuentran cobijados por el deber general de denuncia al que están sujetos los ciudadanos (artículo 67 CPP). Adicionalmente, el parágrafo del artículo 10 de la Ley 43 de 1990 establece lo siguiente:
“(…) Los contadores públicos, cuando otorguen fe pública en materia contable, se asimilarán a funcionarios públicos para efectos de las sanciones penales por los delitos que cometieren en el ejercicio de las actividades propias de su profesión, sin perjuicio de las responsabilidades de orden civil que hubiere lugar conforme a las leyes (…)”.
A su turno, el artículo 32 de la Ley 1778 de 20165, le impone a los revisores fiscales, el deber de denunciar ante las autoridades penales, disciplinarias y administrativas, la presunta realización de un delito contra el orden económico y social, como el de lavado de activos, que detecte en el ejercicio de su cargo, aún, a pesar del secreto profesional. También deberán poner estos hechos en conocimiento de los órganos sociales y de la administración de la sociedad. Las denuncias correspondientes deberán presentarse dentro de los seis (6) meses siguientes al momento en que el Revisor Fiscal hubiere tenido conocimiento de los hechos.
En calidad de funcionarios públicos, los cobija el deber previsto en el artículo 38 de la Ley 1952 de 2019 (por la cual se expide el Código General Disciplinario) que señala como deber de todos los servidores públicos:
“25. Denunciar los delitos, contravenciones y faltas disciplinarias de los cuales tuviere conocimiento, salvo las excepciones de ley”.
Para cumplir con su deber, el Revisor Fiscal, en el análisis de información contable y financiera, debe prestar atención a los indicadores que pueden dar lugar a sospecha de un acto relacionado con un posible lavado de activos y financiación del terrorismo. Se sugiere tener en cuenta las Normas Internacionales de Auditoria – NIA 200, 240 y 250 y consultar la Guía sobre el papel de la revisoría fiscal en la lucha contra el soborno transnacional, el lavado de activos y la financiación del terrorismo, disponible en el sitio de Internet de la Superintendencia.
Comentario: El PC invita a la Revisoría Fiscal a tener en cuenta la guía mencionada como insumo para hacer su trabajo.
vi. Auditoría Interna
“Sin perjuicio de las funciones asignadas en otras disposiciones a la auditoría interna, se sugiere que las personas a cargo del ejercicio de estas funciones incluyan dentro de sus planes anuales de auditoría la revisión de la efectividad y cumplimiento del SAGRLAFT, con el fin de servir de fundamento para que tanto el Oficial de Cumplimiento y la administración de la empresa puedan determinar la existencia de deficiencias del Sistema y sus posibles soluciones. En ese sentido, el resultado de dichas auditorías internas debe ser comunicadas al representante legal, al oficial de cumplimiento y a la junta directiva o al máximo órgano social.”
Comentario: El PC debería prohibir expresamente que el Oficial de Cumplimiento sea el Auditor Interno.
vii. Contenido de los informes a cargo de los diferentes órganos
“Los informes que deban presentar el representante legal, el oficial de cumplimiento o los órganos internos de control, según el caso, deberán dar cuenta de los resultados, análisis y evaluaciones en la implementación, gestión, avance, cumplimiento, dificultades y efectividad alcanzados mediante el SAGRLAFT. La Revisoría Fiscal y la auditoría interna, podrán incluir propuestas de mejora cuando ello sea pertinente.”
viii. Incompatibilidades e inhabilidades de los diferentes órganos
“En el establecimiento de los órganos e instancias encargadas de efectuar una evaluación del cumplimiento y efectividad del SAGRLAFT, la Empresa Obligada deberá tener en cuenta los conflictos de interés, las incompatibilidades y las inhabilidades de los responsables en el desempeño de sus funciones. Para ello se recomienda revisar lo establecido por el Comité de Supervisión Bancario de Basilea sobre las tres líneas de defensa para prevenir y controlar el riesgo de ser objeto de actividades de LA/FT.
En ese sentido, debido a la diferencia de las funciones que corresponden al órgano de Revisoría Fiscal y al Oficial de Cumplimiento, en particular, debido a las incompatibilidades que puede dar lugar el ejercicio de las mismas, no deberá designarse en cabeza de una misma persona el desarrollo de ambos roles.”
Comentario: El PC debería prohibir expresamente que el Oficial de Cumplimiento sea el Auditor Interno, ya que las 3 líneas de defensa impiden que haya un conflicto de interés en las funciones de auditoría interna y oficial de cumplimiento en la misma persona.
C. Etapas del Sistema (lo que antes eran elementos)
i. Identificación del riesgo
a. El PC dice:
“Establecer metodologías para la segmentación de los Factores de Riesgo de LA/FT de conformidad con la actividad de la empresa y, con base en esa metodología, segmentarlos.”
Comentario: El PC quita la palabra “clasificar” y deja “segmentación” lo cual implica aplicar metodologías basadas en matemáticas y estadística.
“Una vez segmentados los Factores de Riesgo, se deben establecer metodologías para identificar el riesgo específico de LA/FT que puede llegar a enfrentar la empresa, así como otros posibles riesgos relacionados que se pueden presentar (ej. riesgo de contagio, operacional, legal, financiero)”.
Comentario: El PC debería definir los riesgos que menciona: contagio, operacional, legal, financiero y no dejarlo a la interpretación del sujeto obligado.
Con base en esa metodología, se deben señalar, de forma específica, los riesgos identificados.
Comentario: El PC con la expresión “de forma específica” implica que cada evento de riesgo segmentado debe tener una explicación y eso va en contravía de la teoría de la segmentación.
ii. Medición o evaluación del riesgo:
a. El PC incluyó el siguiente párrafo:
“Dentro de la medición o evaluación del riesgo de LA/FT, las entidades deben, como mínimo:
a. Establecer las metodologías para la medición o evaluación del riesgo, con el fin de determinar la posibilidad o probabilidad de su ocurrencia y el impacto en caso de materializarse.
b. Las mediciones o evaluaciones del riesgo deben ser individuales y consolidadas frente a cada uno de los Factores de Riesgo y los riesgos específicos que fueron identificados.”
Comentario: El PC hace mucha más exigente la gestión del riesgo de LA/FT.
iii. Control del riesgo:
a. El PC dice:
“Para controlar el riesgo de LA/FT, la Empresa Obligada debe, como mínimo:
a. Establecer las metodologías para definir las medidas de control del riesgo de LA/FT.
b. Aplicar las metodologías a cada uno de los Factores de Riesgo de LA/FT y los riesgos asociados.
c. Establecer metodologías y herramientas para la detección de operaciones inusuales, con base en los riesgos LA/FT identificados en la segmentación de los Factores de Riesgo, que permitan también realizar los reportes de operaciones sospechosas a la Unidad de Información y Análisis Financiero – UIAF.”
Comentario: El PC hace mucho más exigente la gestión del riesgo de LA/FT, pero podría mencionar el estándar COSO como guía para los sujetos obligados.
iv. Monitoreo del riesgo:
a. El PC dice e incluyó unas modificaciones:
Para vigilar el Riesgo de LA/FT, las Empresas Obligadas deben, como mínimo:
“a. Realizar el seguimiento periódico y comparativo del riesgo inherente y residual de cada factor y de los riesgos asociados. Esto se agregó
b. Desarrollar un proceso de vigilancia efectiva que facilite la rápida detección y corrección de las deficiencias del Sistema. Dicha supervisión debe tener una periodicidad acorde con el perfil de Riesgo Residual de LA/FT de la Empresa. En la versión anterior se hablaba de periodicidad mínima semestral
c. Asegurar que los controles sean integrales y se refieran a todos los riesgos y que funcionen en forma oportuna, efectiva y eficiente.
d. Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la Empresa.”
Comentario: El PC hace mucho más exigente la gestión del riesgo de LA/FT y tiene apartados muy parecidos de la norma del sector financiero.
D. La debida diligencia y otras medidas de prevención y gestión del riesgo
a. El PC dice e incluyó unas modificaciones:
“En primer lugar, el Sistema debe identificar las actividades fuente de riesgo de LA/FT aplicables a la Empresa, las cuales dependen de las operaciones, negocios y contratos que esta desarrolle o pretenda desarrollar.
A continuación, se enuncian algunas actividades fuente de riesgo de LA/FT que puede encontrar una Empresa” (antes se hablaba de “casos que pueden ser factores de riesgo”)
(…)
Una vez identificadas las Actividades fuente de riesgo de LA/FT, se debe documentar el análisis específico que se realice frente a cada una de ellas, y en el que se determinen los controles escogidos para su mitigación, así como la forma en que se hará su seguimiento.”
Comentario: El PC habla de identificar riesgos y no de situaciones de riesgo como la norma vigente y obliga a los sujetos obligados a identificar actividades fuente de riesgo, lo cual se tiene cumplido con los factores de riesgo: contraparte, producto/servicio, canal de distribución y jurídicción.
Las variaciones en la redacción pueden cambiar el sentido de la interpretación y el alcance de la norma, ya que usa varias locuciones como “factores”, “fuentes” y “actividades” de riesgo.
v. Procedimientos de debida diligencia
a. El PC dice e incluyó unas modificaciones:
“Uno de los principales instrumentos para prevenir y controlar los riesgos de LA/FT a los que se encuentra expuesta una empresa, es la aplicación de procedimientos de debida diligencia a los factores y actividades fuente de riesgo que hayan sido identificados. Cada Empresa debe aplicar las medidas de debida diligencia. Para determinar su alcance debe utilizar un enfoque basado en riesgo de acuerdo con sus características propias, teniendo en cuenta tamaño, actividad económica, forma de comercialización, país, áreas geográficas de operación y tipos de clientes, así como las demás características particulares.
La identificación de los factores y actividades fuente de riesgo de LA/FT, le permitirá a la Empresa establecer las condiciones de tiempo, modo y lugar, así como la relevancia y la prioridad con que se deben aplicar los procedimientos de debida diligencia.”
Comentario: El PC cambió la redacción pero el objetivo de la norma en este apartado sigue siendo el mismo.
“La empresa deberá disponer de los mecanismos y medidas que le permitan un adecuado conocimiento de los factores y actividades fuente de riesgo de LA/FT que le resultan aplicables. Esto incluye:
La identificación de las contrapartes y conocimiento de los beneficiarios finales.
Tratándose de Personas Jurídicas, se deben tomar medidas razonables para conocer la estructura de su propiedad con el fin de obtener el nombre y el número de identificación de los beneficiarios finales, haciendo uso de las herramientas de que disponga.
El adecuado conocimiento de los mercados en que operan y de las actividades que desarrollan las Contrapartes
Las Empresas podrán diseñar y definir formatos para el adecuado conocimiento de las Contrapartes. Estos formatos podrán ajustarse de acuerdo con las características de cada industria o sector económico al que pertenezcan.
Verificar los datos de contacto de la Contraparte, su actividad económica y solicitar cualquier documentación adicional que se considere pertinente.”
Comentario: El PC implica que los sujetos obligados tengan estudios de mercado que soporten su modelo de riesgo de LA/FT. Por otro lado, debería especificarse el porcentaje para la aplicación de la norma de beneficiario final.
“Para el análisis de las operaciones con clientes, proveedores, asociados, trabajadores y demás contrapartes, la Empresa debe construir una base de datos u otro mecanismo que le permita consolidar e identificar alertas presentes o futuras. Esta base de datos debe contener, como mínimo, el nombre de la contraparte ya sea persona natural o jurídica, la identificación, el domicilio, el beneficiario final, el nombre del representante legal, el nombre de la persona de contacto, el cargo que desempeña, fecha del proceso de conocimiento o monitoreo de la contraparte.”
Comentario: El PC incluye este apartado y esto implica que se exige la sistematización de esta información y que para cada contraparte se tengan como mínimo estos datos, lo que previamente era una sugerencia.
“El monitoreo y actualización del proceso de debida diligencia a los clientes y demás Contrapartes deberá hacerse con la periodicidad y regularidad establecidas por la Empresa Obligada y no sólo en el momento de su vinculación.
Se debe consultar de manera permanente la lista elaborada por el Consejo de Seguridad de las Naciones Unidas.
Para garantizar el cumplimiento de las obligaciones internacionales de Colombia relativas a la aplicación de disposiciones sobre congelamiento y prohibición de manejo de fondos u otros activos de personas y entidades designadas por el Consejo de Seguridad de las Naciones Unidas, relacionadas con el Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva, en consonancia con el artículo 20 de la Ley 1121 de 2006 y las Recomendaciones 6 y 7 del GAFI, las Empresas Obligadas, deberán hacer supervisión y vigilancia permanentes a las Resoluciones 1267 de 1999, 1373 de 2001, 1718 y 1737 de 2006 y 2178 de 2014, del Consejo de Seguridad de las Naciones Unidas y a todas aquellas que las modifiquen o sustituyan.
En el evento de que se identifique o verifique cualquier bien, activo, producto, fondo o derecho de titularidad a nombre o bajo la administración o control de cualquier país, persona o entidad designada por estas Resoluciones, el Oficial de Cumplimiento o funcionario responsable, de manera inmediata, deberá reportarlo a la UIAF y ponerlo en conocimiento de la Fiscalía General de la Nación.
Las Empresas Obligadas no deben iniciar relaciones contractuales o legales mientras no se hayan cumplido en su totalidad los procedimientos de debida diligencia que forman parte del Sistema, o sin que se hayan adjuntado los soportes exigidos o requeridos. Tampoco debe iniciar relaciones antes de que la vinculación correspondiente haya sido aprobada por el funcionario o persona encargada, de acuerdo con la política LA/FT de la Empresa Obligada.
A continuación, se incluyen algunas buenas prácticas específicas frente a procedimientos de debida diligencia de clientes, proveedores, socios, trabajadores, PEP y transacciones con activos virtuales.
En todo caso, se sugiere consultar las demás listas restrictivas emitidas por otras autoridades extranjeras, aun cuando no sean vinculantes.
La Superintendencia de Sociedades podrá diseñar y definir formatos que deberán ser utilizados y acatados por las Empresas Obligadas para el adecuado conocimiento de las Contrapartes. Estos formatos podrán ajustarse de acuerdo con las características de cada industria o sector económico al que pertenezcan las diferentes Empresas Obligadas.”
Comentario: El PC cambia la expresión Vicefiscal por Fiscalía, pero debe evaluarse quién tiene la competencia de acuerdo con la regulación respectiva. Por otra parte, se reconoce la importancia de las listas de restricción, aunque no sean vinculantes.
Se deja abierta la posibilidad que el regulador disponga formatos que deben aplicar los sujetos obligados.
a. Debida Diligencia para el Conocimiento de los clientes:
a. El PC eliminó el siguiente párrafo:
“Cuando la comercialización de los productos no permita con facilidad y eficiencia la identificación plena del cliente, como en el caso de las ventas masivas, se recomienda concentrar los esfuerzos de conocimiento del cliente en las personas naturales o jurídicas con las que se celebren negocios que puedan ser considerados Operaciones Inusuales o que estén por fuera del giro ordinario de los negocios de la Empresa.”
Comentario: El PC, con esa eliminación, deja abierta a la interpretación que los sujetos obligados que se dedican a ventas masivas tengan que aplicar medidas de debida diligencia a todas los clientes de ventas masivas, lo que puede afectar la operación del negocio.
b. El PC tiene la siguiente redacción:
“i) Identificar al cliente y verificar su identidad utilizando documentos, datos o información confiable, de fuentes independientes.
ii) Identificar al beneficiario final y tomar medidas razonables para verificar su identidad.
iii) Entender, y cuando corresponda, obtener información sobre el propósito y el carácter que se pretende dar a la relación comercial.
iv) Realizar una debida diligencia continua de la relación comercial y examinar las transacciones llevadas a cabo a lo largo de esa relación para asegurar que las transacciones que se realicen sean consistentes con el conocimiento que tiene la Empresa sobre el cliente, su actividad comercial y el perfil de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos.”
Comentario: El PC implica que la labor de identificación de los clientes debe estar soportada documentalmente, debe ser continua la debida diligencia, así como el propósito de la relación con el sujeto obligado y es más exigente que la norma vigente.
b. Debida Diligencia para el Conocimiento de los proveedores:
a. El PC eliminó la expresión FPADM
Comentario: Se eliminó la referencia a FPADM lo cual llama la atención porque si en las aclaraciones iniciales se dice que la idea es adaptarse a las recomendaciones GAFI y sus notas interpretativas, sorprende la ausencia del tema y que la única referencia que había se haya retirado.
b. El PC agrega la exigencia de identificar una cuarta circunstancia:
“iv) Valores de los productos o servicios ofrecidos que se puedan considerar como operaciones inusuales.”
Comentario: El PC implica que la anterior circuntancia debe estar en consonancia con la obligación de tener un estudio de mercado que le permita identificar operaciones inusuales.
f. Debida Diligencia en el caso de transacciones con activos virtuales:
a. El PC elimina el apartado sobre “negocios virtuales o no presenciales”.
Comentario: El PC no debe confundir los negocios relacionados con activos virtuales con negocios virtuales o no presenciales, como es el caso del e-commerce.
b. El PC incluye nota aclaratoria:
“En este sentido, vale recalcar que, bajo la regulación vigente en Colombia, los diversos riesgos derivados de las transacciones sobre activos virtuales recaen exclusivamente sobre quien voluntariamente, por su propia cuenta y riesgo, participe en dichas actividades.”
Comentario: El PC supone una autorización explicita al funcionamiento en Colombia de las monedas virtuales, pero vale la pena conocer las postura de la Superintendencia Financiera y del Banco de la República sobre este apartado de la norma.
E. Documentación de las actividades del sistema
a. El PC incluye este apartado:
“Acreditar con soportes todas las operaciones, negocios y contratos. De cualquier forma, el desarrollo e implementación del Sistema por parte de la Empresa Obligada deberá respetar las disposiciones legales en materia de protección de datos personales.”
Comentario: El PC implica el desconocimiento del literal b) del art 2 de la Ley 1581 de 2012 que regula la protección de datos personales, pero excepciona los casos de prevención y control del riesgo de LA/FT.
8. Reportes de Operaciones Sospechosas a la Unidad de Información y Análisis Financiero – UIAF
a. El PC eliminó el siguiente apartado:
“…se entenderá que forman parte de las Operaciones Sospechosas y que, por lo tanto, también son objeto de reporte, las Operaciones Intentadas”.
Comentario: El PC implica desconocer las 40 Recomendaciones del GAFI sobre operaciones intentadas, lo cual va a ir en detrimento del trabajo de la UIAF en la lucha contra el crimen organizado.
b. El PC eliminó los siguientes apartados:
“En el evento de que una Empresa Obligada también deba realizar un reporte de Operaciones Sospechosas (ROS) o un “Aros” a la UIAF, por virtud de un acto administrativo de la UIAF o de la Dirección de Impuestos y Aduanas Nacionales (DIAN), para efectos del cumplimiento de la obligación prevista en este aparte del Capítulo X, bastará con que se realice el correspondiente reporte de la respectiva Operación Sospechosa, o el reporte “Aros”, según el caso, una sola vez, aun cuando el reporte se haga con base en lo ordenado por la UIAF o la DIAN.
Lo anterior sólo será aplicable para los reportes ROS y para los “Aros” relacionados con las actividades u operaciones objeto de regulación por el respectivo acto administrativo de la DIAN o de la UIAF. Las demás actividades u operaciones de la Empresa Obligada, que no estén sometidas a la regulación de la DIAN o de la UIAF o que no tengan relación con ellas, seguirán sometidas a lo previsto en e! presente Capítulo X y, por lo tanto, respecto de ellas, se deberán hacer de manera independiente los “Aros” y los reportes ROS, en caso de identificarse una Operación Sospechosa.
Comentario: La aclaración de la norma acerca de la concurrencia de normas ALA/CFT, en vez de aclarar la situación, la complica, ya que las empresas que tienen la obligación legal de tener un SIPLA producto de la aplicación de la Circular Externa 170 de 2002 de la DIAN, que está vigente, estarán rezagadas en la gestión del riesgo si no implementan un SAGRLAFT.
En todo caso, de conformidad con la nota interpretativa a la recomendación 23 del GAFI, los abogados, notarios y contadores, no estarán obligados a reportar Operaciones Sospechosas, si la información correspondiente se obtuvo en circunstancias que están sometidas al secreto profesional.”
Comentario: La eliminación de este apartado no implica un cambio radical, ya que en otras normas estos sujetos obligados deben hacer ROS.
Apartados nuevos en relación con los sectores económicos obligados
“10. Régimen de medidas mínimas
10.1 Ámbito de aplicación régimen de medidas mínimas
Están obligadas a adoptar el régimen de medidas mínimas y, por lo tanto, deberán darle cumplimiento a lo previsto en el numeral 10 del presente Capítulo X, las Empresas que pertenezcan a cualquiera de los sectores que se señalan a continuación, siempre y cuando cumplan con todos los requisitos que enseguida se indican para el respectivo sector:
A. Sector de agentes inmobiliarios
a. Que estén sujetas a la inspección, vigilancia o control que ejerce la Superintendencia de Sociedades conforme lo previsto en los artículos 83, 84 y 85 de la Ley 222 de 1995,
b. Que se dediquen habitualmente a la prestación de servicios de intermediación en la compra o venta de bienes inmuebles a favor de sus clientes y
c. Que a 31 de diciembre del año inmediatamente anterior, hubieren obtenido ingresos totales iguales o superiores a 3.000 salarios mínimos mensuales legales vigentes (SMMLV) o posean activos totales iguales o superiores a 5.000 SMMLV, en ambos casos, sus ingresos totales a la misma fecha, deben ser inferiores a 30.000 SMMLV. Si los ingresos son superiores, deberán cumplir con el régimen general.
B. Sector de comercialización metales y piedras preciosas
a. Que estén sujetas a la inspección, vigilancia o control que ejerce la Superintendencia de Sociedades conforme lo previsto en los artículos 83, 84 y 85 de la Ley 222 de 1995,
b. Que se dediquen habitualmente a la comercialización de metales preciosos y piedras preciosas y
c. Que a 31 de diciembre del año inmediatamente anterior, hubieren obtenido ingresos totales iguales o superiores a 3.000 salarios mínimos mensuales legales vigentes (SMMLV) o posean activos totales iguales o superiores a 5.000 SMMLV, en ambos casos, sus ingresos totales a la misma fecha, deben ser inferiores a 30.000 SMMLV. Si los ingresos son superiores, deberán cumplir con el régimen general.
C. Sector de servicios jurídicos
a. Que estén sujetas a la inspección, vigilancia o control que ejerce la Superintendencia de Sociedades conforme lo previsto en los artículos 83, 84 y 85 de la Ley 222 de 1995,
b. Que su actividad económica inscrita en el registro mercantil o la actividad económica que genera para la Empresa el mayor ingreso total según las normas aplicables, sea la identificada con el código 6910 del CIIU Rev. 4 A.C y
c. Que a 31 de diciembre del año inmediatamente anterior, hubieren obtenido ingresos totales iguales o superiores a 3.000 salarios mínimos mensuales legales vigentes (SMMLV) o posean activos totales iguales o superiores a 5.000 SMMLV, en ambos casos, sus ingresos totales a la misma fecha, deben ser inferiores a 30.000 SMMLV. Si los ingresos son superiores, deberán cumplir con el régimen general.
D. Sector de servicios contables
a. Que estén sujetas a la inspección, vigilancia o control que ejerce la Superintendencia de Sociedades conforme lo previsto en los artículos 83, 84 y 85 de la Ley 222 de 1995,
b. Que su actividad económica inscrita en el registro mercantil o la actividad económica que genera para la Empresa el mayor ingreso total según las normas aplicables, sea la identificada con el código 6920 del CIIU Rev. 4 A.C y
c. Que a 31 de diciembre del año inmediatamente anterior, hubieren obtenido ingresos totales iguales o superiores a 3.000 salarios mínimos mensuales legales vigentes (SMMLV) o posean activos totales iguales o superiores a 5.000 SMMLV, en ambos casos, sus ingresos totales a la misma fecha, deben ser inferiores a 30.000 SMMLV. Si los ingresos son superiores, deberán cumplir con el régimen general.”
Apartados nuevos en relación con las medidas mínimas del modelo
“10.2 Contenido del régimen de medidas mínimas de Autocontrol y Gestión del Riesgo LA/FT
Las Empresas Obligadas deberán tener en cuenta los riesgos relacionados con LA/FT, para lo cual deben analizar el tipo de negocio, la operación, el tamaño, las áreas geográficas y países donde opera y demás características particulares de su actividad, así como el perfil de sus clientes. Con base en ese análisis deberán formular una política de prevención y gestión del Riesgo de LA/FT.
Para llevar a cabo tal proceso pueden apoyarse en los documentos y tipologías de LA/FT aplicables al sector de su actividad, disponibles en los sitios de Internet de la Unidad de Información y Análisis Financiero –UIAF-, el Grupo de Acción Financiera Internacional –GAFI/FATF-, Grupo de Acción Financiera de Latinoamérica – GAFILAT – GAFILAFT, la Organización de los Estados Americanos –OEA-, la Oficina de las Naciones Unidas contra la Droga y el Delito –UNODC, la Superintendencia de Sociedades, entre otros.
Las Empresas Obligadas deberán adoptar las siguientes medidas mínimas:
a. La adopción de una Política de Prevención y Control del Riesgo de LA/FT por parte de la alta dirección y máximo órgano de gobierno de la Empresa Obligada.
b. En desarrollo de la política de LA/FT de la Empresa, llevar a cabo las actividades de identificación y evaluación del Riesgo de LA/FT de acuerdo con las características de la entidad, así como adoptar medidas de prevención y control según las políticas de LA/FT y los riesgos identificados.
c. Realizar procesos de debida diligencia en el conocimiento del cliente, de forma previa a su vinculación y luego, efectuar la actualización y el monitoreo periódico, con un enfoque de acuerdo con el nivel de riesgo del cliente y la política adoptada, para determinar el alcance de tales medidas.
d. Adoptar medidas suficientes para el conocimiento, monitoreo y actualización de los Beneficiarios Finales de los clientes, según la política de prevención y control del riesgo.
e. Nombrar un funcionario de la Empresa responsable de promocionar la política de prevención y control del riesgo de LA/FT en la empresa y de gestionar la implementación de las medidas adoptadas en desarrollo de la misma. Dicho funcionario será el responsable de presentar a la UIAF los reportes de las operaciones sospechosas detectadas.
f. Reportar Operaciones Sospechosas ROS ante la UIAF: Definir, adoptar y monitorear acciones y herramientas para la detección y reporte a la UIAF, de operaciones inusuales y sospechosas. Adicionalmente, la Empresa debe adoptar las medidas para exigir y garantizar la reserva de la información, so pena de incurrir en las sanciones correspondientes a tal omisión.
g. Comunicar y divulgar la política de prevención y control del riesgo de LA/FT y las medidas mínimas que la Empresa adoptó en desarrollo de la misma.
h. Disponer el mantenimiento de registros y documentos de soporte de los procesos de Debida Diligencia en el Conocimiento y vinculación de Clientes, de los Reportes ante la UIAF, y de la implementación y seguimiento a las medidas de prevención y control del riesgo de LA/FT, según lo previsto en el artículo 28 de la Ley 962 de 2005 o la norma que la modifique o sustituya.
i. Dar respuesta oportuna a los requerimientos de información relacionados con la implementación y avance del régimen de medidas mínimas de prevención y control del riesgo de LA/FT que efectúe la Superintendencia de Sociedades.
Lo dispuesto para el régimen general puede servir como lineamiento para profundizar en el diseño que cada Empresa adopte bajo el presente régimen.
Comentario: La obligación de llevar a cabo actividades de debida diligencia para el conocimiento de clientes y no para las otras contrapartes puede exponer a una mayor riesgo de LA/FT a los sujetos obligados a medidas mínimas.
Se debe aclarar si la expresión “funcionario” se equipara a “empleado” del sujeto obligado para ocupar la función de Oficial de Cumplimiento.
“10.3 Plazo para el cumplimiento del régimen de medidas mínimas
Las Empresas que, a partir del 31 de diciembre de 2019, adquieran la calidad de Empresas Obligadas, conforme con los criterios señalados en el numeral 10.1, deberán poner en marcha las medidas mínimas en un término que no podrá superar los doce meses a partir del primero de enero de 2020.
Para los periodos posteriores, el plazo de doce meses se contará a partir del primero de enero del año siguiente a aquel en el que se cumplan los requisitos señalados en el numeral 10.1.
En caso de que a 31 de diciembre de un ejercicio determinado una Empresa Obligada a adoptar el régimen de medidas mínimas dejare de cumplir con los requisitos previstos para su adopción, tal Empresa deberá cumplir a partir de dicha fecha, con un periodo mínimo de permanencia de un año, de modo que seguirá obligada a mantener el régimen durante el año siguiente al que deje de cumplir con los requisitos señalados.
10.4 Periodo de Transición entre regímenes general y de medidas mínimas
Las Empresas que al 31 de diciembre de cada año cumplan con los requisitos para cambiar sus obligaciones, del régimen de medidas mínimas al régimen general, deberán, en un término máximo de seis meses, revisar y ajustar sus medidas con el fin de que se ajusten a lo dispuesto en este Capítulo X para el régimen general.
Igualmente, las Empresas Obligadas a cumplir con el régimen general, que dejen de cumplir con el monto de ingresos exigido, podrán desmontar las medidas del régimen general al de medidas mínimas, después de tres años de haber dejado de cumplir con el valor de ingresos solicitado en el régimen general.
11. Recomendaciones para las sociedades no obligadas
La Superintendencia de Sociedades recomienda a las Empresas sometidas a la inspección, vigilancia o control por parte de esta entidad, que no se encuentren obligadas a adoptar las indicaciones del presente Capítulo, estudiar de forma específica si se encuentran expuestas a un riesgo de LA/FT o riesgos asociados, de modo que las medidas acá señaladas se adopten de forma voluntaria como parte de la auto gestión y control de los riesgos que corresponde a toda sociedad.
La puesta en marcha de lo aquí previsto permitirá prevenir y combatir adecuadamente los Riesgos de LA/FT, en beneficio de los inversionistas, administradores y demás empleados de la Empresa.
Asimismo, la implementación de medidas de prevención de este riesgo tiene utilidad significativa pues éste, a su vez, genera otros riesgos asociados, como son los operacionales, legales, reputacionales y de contagio, que pueden afectar la competitividad, productividad y perdurabilidad de las empresas.”
Comentario: Se destaca la invitación de las empresas que no sean sujeto obligados a contar con medidas para la gestión del riesgo de LA/FT.
Conclusiones y recomendaciones para el proyecto de norma
Los autores dejan en consideración de la Superintendencia de Sociedades las siguientes propuestas derivadas de la comparación de la norma vigente con el proyecto y la regulación colombiana más los estándares internacionales.
*Juan Pablo Rodríguez C.
Abogado Penalista
Escritor, conferencista y consultor internacional.
Certified Professional in Anti-Money Laundering – CPAML de FIBA (Florida International Bankers Association).
Certificate on Governance, Risk Management and Compliance Professional (GRCP) y GRC Fundamentals de Open Compliance and Ethics Group (OCEG), 2016
Presidente y Socio de RICS Management.
**René M. Castro V.
Contador Público con Magister en Contabilidad y Auditoría de Gestión
Escritor, conferencista y consultor internacional.
Certificate on Financial Services and Market Regulation, London School of Economics, 2016
Certificate on Corporate Compliance and Ethics, New York University, 2015.
Vice-Presidente & Socio RICS Management
*** Camilo A. Rueda B.
Profesional de Finanzas, Gobierno y Relaciones Internacionales
Escritor, conferencista y consultor internacional.
Certified Anti-Money Laundering – CPAML de FIBA (Florida International Bankers Association).
Consultor Asociado de RICS Management
