*Juan Pablo Rodríguez C
**René M Castro V
La importancia de efectuar una auditoria de cumplimiento
La Superintendencia de Sociedades de Colombia emitió la Circular Básica Jurídica No. 100-000005 de 2015, que obliga a las sociedades comerciales, empresas unipersonales y sucursales de sociedades extranjeras vigiladas por la Superintendencia de Sociedades que a 31 de diciembre de 2015 registraron ingresos iguales o superiores a 160.000 (SMMLV) salarios mínimos mensuales legales vigentes, ($103.096.000.000,00) para que diseñen e implementen el Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo (SAGRLAFT). Para las nuevas compañías que cumplan con este nivel de ingresos a 31 de diciembre de 2015, la adopción es obligatoria y deberá implementarse a más tardar el 31 de diciembre de 2016.
La Superintendencia también estableció una sanción (numeral 3 del artículo 86 de la Ley 222 de 1995) de hasta 200 SMMLV (doscientos salarios mínimos legales mensuales) o sea $137.891.000,00 (con la nueva cifra del salario mínimo para 2016 de $689.455,00) por el incumplimiento de lo establecido en esa Circular.
Sin embargo, hay que hacer un seguimiento juicioso al Proyecto de Ley 070 de 2015 sobre la modificación del Código de Comercio, que dentro de los potenciales cambios, adiciona como administradores de las empresas a los funcionarios de la Alta Gerencia, dentro de los que se encuentran, el presidente, el gerente, el subgerente, los vicepresidentes, el tesorero y los miembros de comités que tengan tal condición; por otro lado, se pretende aumentar el valor de las sanciones a las personas jurídicas hasta 10.000 SMMLV (diez mil salarios mínimos legales mensuales) es decir $6.894.550.000,00 y generar un régimen sancionatorio para las personas naturales vinculadas a las sociedades con multas de hasta 2.000 SMMLV (dos mil salarios mínimos legales mensuales) es decir $1.378.910.000,00, lo cual debe estar ahora en las prioridades de las agendas de las Juntas Directivas de las compañías.
Son muchos los retos para estos nuevos sujetos obligados durante 2016. Veamos algunos:
Conciencia
Los administradores, representantes legales, miembros de juntas directivas, directivos, oficiales de cumplimiento y en general todos los empleados, deberán tomar conciencia que al implementar el SAGRLAFT, no le están haciendo un favor al gobierno sino que por el contrario se estarán blindando a sí mismos y a sus compañías contra los delitos de lavado de activos y financiación del terrorismo y sus delitos fuente. Así mismo, al implementarlo deben tener la conciencia de haberlo hecho bien y no simplemente por cumplir una norma.
También deben ser conscientes de la responsabilidad penal que como administradores, representantes legales, miembros de juntas directivas, directivos, oficiales de cumplimiento y como empleados tienen en caso de presentarse un caso de lavado de activos o de financiación del terrorismo en sus empresas.
Es importante anotar, como ya se anotó, que en el Congreso de la República está siendo discutido el proyecto de ley No. 070 que modifica la Ley 222 de 1995 y el Código de Comercio de 1971 y redefine quienes se consideran administradores de una sociedad y esto también tendrá un efecto en este tema LA/FT.
En nuestra opinión, los empresarios del sector real tienen una ventaja sobre los empresarios de otros sectores ya obligados, porque al desconocer por completo el tema LA/FT y al estar aprendiendo del tema, no están prejuiciados y no creen tampoco que su sistema de administración de riesgo es perfecto. Por el contrario, saben que deben mejorar sus procesos, sus procedimientos y sus controles para mitigar el riesgo de lavado de activos y financiación del terrorismo.
Conocimiento del cliente (Know your customer – KYC), un salto hacia el conocimiento del vinculado
Conocer verdaderamente al cliente no es simplemente incluir en una carpeta todos los documentos solicitados y proporcionados por el cliente. Conocer al cliente (que es la regla número uno en el mundo en la lucha contra el lavado de activos y financiación del terrorismo) significa la debida diligencia para establecer que ese cliente no es una amenaza o un riesgo para la compañía. Conocer al cliente es tener una entrevista personal con él (en el caso de personas jurídicas es tener una entrevista personal con el representante legal o alguno de sus directivos), es verificar físicamente su domicilio mediante una visita a la empresa, es verificar la información proporcionada en los documentos, es la verificación del cliente, de sus directivos, de sus socios, de sus auditores en las listas restrictivas (no solamente en la lista OFAC o lista Clinton), es conocer el tipo de operaciones que efectúa su cliente, es verificar por medios estadísticos cómo se comporta su cliente en su relación comercial con la compañía, en fin, es verdaderamente “conocer a su cliente” y no simplemente disponer de una carpeta con los documentos entregados por el cliente que nadie revisa o verifica sino que han sido solicitados por la empresa simplemente por cumplir con la norma.
Otro de los problemas que se presenta cuando hablamos de riesgo, es que casi siempre le damos al riesgo una connotación negativa. Sin embargo, existe el riesgo positivo (Sugerimos leer el interesante libro sobre este tema llamado Riesgo Positivo de Adrian Slywotzky) y en nuestra opinión creemos que es ahí donde cometemos el error en el conocimiento del cliente, porque asumimos que conocer al cliente es simplemente una obligación (negativa casi siempre) para que el cliente entregue unos documentos señalados por la norma o por la ley, pero si lo viéramos como un riesgo positivo nos daríamos cuenta que al conocer verdaderamente al cliente y saber sus necesidades le podríamos vender muchos más productos o servicios de nuestra empresa que los que realmente le estamos vendiendo en el momento.
En este caso es muy importante recordar cómo define el riesgo la norma ISO 31000 de 2009 sobre Gestión de Riesgo:
“Riesgo: Efecto de la incertidumbre sobre los objetivos.”
Como se puede observar en esta definición, el riesgo no tiene connotación ni positiva ni negativa.
Ese gran salto del conocimiento del cliente al conocimiento del vinculado o conocimiento de la contraparte, es obligado, ya que los denominados stakeholders o grupos de interés que de forma positiva o negativa tienen injerencia sobre las compañías, por lo que las políticas, procesos, procedimientos, cláusulas contractuales, formatos, guías, intructivos con los que se documenta el SAGRLAFT deben aplicar también para los accionistas, socios, asociados, miembros de junta directiva, empleados, trabajadores temporales, proveedores y contratistas, bajo el amparo del principio de la debida diligencia, por lo que se propone la nueva locución: “conozca su vinculado”.
Conocer el mercado o la industria
Así mismo, se supone que si pertenecemos a un mercado o una industria, verdaderamente la conocemos, pero en la mayoría de los casos, las empresas solo conocen a su competencia, pero nunca conocen verdaderamente su mercado, su sector o su industria. Si la conociéramos podríamos reaccionar inmediatamente a los cambios o podríamos innovar en nuestros productos o servicios.
Conocer el mercado o la industria en relación con la prevención y control del riesgo de lavado de activos y financiación del terrorismo, es saber cómo se comporta la industria en general y como su cliente puede estar comportándose diferente a la industria a la que pertenece, lo cual le debería llamar la atención para efectuar otro tipo de investigaciones para verificar la razonabilidad de sus operaciones. Un ejemplo claro de esto, es cuando toda una industria a la que pertenece su cliente, está dando pérdidas pero su cliente en el mismo periodo está generando grandes utilidades; en ese caso, algo debería estar pasando y usted debería hacer nuevos estudios, análisis o investigaciones para averiguar o confirmar la razonabilidad de las operaciones de sus clientes.
Capacitación diferencial continua y permanente
La capacitación sobre el riesgo de lavado de activos y financiación del terrorismo, no es un tema más de capacitación. Es una obligación que debe ser permanente. La mayoría de las empresas cometen el error de hacer una capacitación anual creyendo que eso es todo, solo porque la norma dice que se debe hacer una capacitación anual a los empleados que tengan relación directa con este riesgo, como si en este tema las actividades ilícitas solo se dieran una vez al año o sí solo una porción de la plantilla de la empresa estuviera expuesta y las otras áreas estuvieran cubiertas de los riesgos asociados como el operativo, legal, contagio y reputacional. La capacitación debe ser permanente, todo el tiempo, porque los negocios son dinámicos, no estáticos. Cada día los delincuentes encuentran nuevas formas de lavar activos o financiar el terrorismo. También, las capacitaciones deben cambiar la temática tradicional, no debe ser una capacitación leyendo unas diapositivas con unos textos trasnochados. La capacitación debe hacerse sobre casos reales, mostrando las vulnerabilidades de los sistemas de control interno pero también los mecanismos de defensa para luchar contra estos delitos. Además, las capacitaciones deben ser eficaces y para eso se necesita que se hagan evaluaciones al final de la capacitación no para certificar que los empleados asistieron a la capacitación, sino para evaluar si los empleados comprendieron los conceptos emitidos en la capacitación, si los pueden aplicar a su vida profesional y sobretodo personal, y además, se debe dejar evidencia de ello.
Asignación de recursos
La Circular Básica Jurídica No. 100-000005 de 2015 establece:
“El representante legal deberá hacer cumplir la política e instrucciones que en materia de prevención y control de LA/FT sean aprobadas por la junta directiva o el máximo órgano social. Igualmente, suministrará los recursos tecnológicos, humanos y físicos necesarios para la implementación del sistema y atenderá los requerimientos o recomendaciones realizados por el ente de control, asociados y junta directiva, para su adecuado cumplimiento.”
De acuerdo con lo anterior, el representante legal suministrará los recursos tecnológicos, humanos y físicos necesarios para la implementación del sistema, sin embargo, uno de los problemas expuestos por los Oficiales de Cumplimiento es la falta de recursos de todo tipo (tecnológicos, humanos y físicos) para desarrollar sus funciones en forma adecuada. Por este motivo, la Alta Gerencia, así como las Juntas Directivas de los nuevos sujetos obligados deben asignar los recursos necesarios no solo para implementar el sistema SAGRLAFT sino para garantizar su adecuado cumplimiento.
Uno de los aspectos fundamentales de cualquier sistema de administración de riesgos es su monitoreo y seguimiento que compromete la asignación de recursos para garantizar su eficacia y eficiencia.
Las empresas deben garantizar y asignar un presupuesto anual al área de cumplimiento que pueda ejecutar durante todo el año y no como está pasado en muchas empresas en las que el Oficial de Cumplimiento debe justificar y hacer aprobar ante todas las instancias de la empresa cualquier gasto que deba efectuar (por mínimo que sea) en el ejercicio de sus funciones (capacitación, personal, software especializado, material didáctico para promocionar el tema LA/FT, etc.). En cuanto al personal que debe dar el soporte al Oficial de Cumplimiento debe ser personal especializado y no personal en entrenamiento o en pasantía, que aunque tienen muy buena voluntad no conocen del tema y una vez se capacitan en él, se les termina el contrato y se van de la compañía y nuevamente se debe entrenar al nuevo personal asignado.
Revisión de la matriz de riesgo
Como lo expusimos anteriormente, los negocios no son estáticos, son dinámicos y como tal, esa matriz de riesgo elaborada debe ser revisada y evaluada para verificar que los riesgos identificados aún permanecen y son debidamente tratados, para identificar nuevos riesgos que afecten las operaciones o el negocio, para confirmar que las calificaciones dadas a los riesgos identificados son adecuadas teniendo en cuenta las nuevas condiciones del mercado en que se desenvuelve la empresa, para identificar que en los nuevos productos o servicios ofrecidos por la empresa no existe el riesgo de LA/FT y que en caso de existir ese riesgo ha sido debidamente evaluado y calificado. Muchas veces, la estrategia empresarial de las empresas no es analizada desde la perspectiva del riesgo y mucho menos desde la perspectiva del riesgo de LA/FT y desde la misma estrategia se podría generar sin saberlo el riesgo de LA/FT.
También es muy importante verificar que los responsables de los riesgos identificados estén actuando conforme a las responsabilidades asignadas cuando se identificaron los riesgos y que en el transcurso del tiempo han actuado proactivamente informando al Oficial de Cumplimiento de los cambios en los procesos o actividades que a su vez han modificado los riesgos y sus controles y que se han tomado las medidas necesarios para adaptarse a las nuevas realidades.
En cuanto a los controles establecidos, se deben hacer pruebas de recorrido para verificar que los controles implementados para cada uno de los riesgos identificados de LA/FT son eficaces y eficientes. Estos controles, además, deben estar siendo efectuados no porque lo dice el procedimiento o el manual LA/FT sino porque todos los involucrados en el proceso están convencidos que de esta forma estamos blindando a la compañía que pueda ser usada para lavar activos o para financiar el terrorismo.
Hay que recordar que en lo que respecta a la prevención y control del riesgo de lavado de activos y financiaron del terrorismo, el margen de tolerancia debe ser “cero”, porque en todos los escenarios posibles de materialización del riesgo de LA/FT será de una inmensa pérdida para la compañía y no solo por el riesgo de LA/FT sino por los riesgos asociados: Legal, Operativo, Reputacional y de Contagio, por lo que es responsabilidad de la Junta Directiva definir el “apetito de riesgo de LA/FT” que en ningún caso puede trasgredir la ley y a este concepto deben sumar los de “tolerancia al riesgo de LA/FT” y “capacidad de riesgo de LA/FT”, los cuales en terminos de controles y requisitos podrían coincidir con los de “debida diligencia simplificada”, “debida diligencia tradicional” y “debida diligencia mejorada”.
Enfoque Basado en Riesgo (“Risk-Based Approach”)
Es primordial analizar todas las operaciones y transacciones de la empresa desde un enfoque basado en riesgo, porque efectivamente el riesgo de lavado de activos y financiación del terrorismo se puede presentar en todas y cada una de las actividades desarrolladas por la empresa. Si se minimiza el riesgo de LA/FT (como sucede en la mayoría de los casos) debido a la confiabilidad que generan los clientes, proveedores, empleados, accionistas, aliados estratégicos, etc., se está ante la eventualidad de que estos riesgos se materialicen e impacten negativamente a la empresa.
El grado de escepticismo en este tema es fundamental para prevenir que el riesgo de LA/FT se materialice. Uno de los principales problemas con el riesgo de LA/FT, es que los empleados por la familiaridad y el conocimiento que tienen de todas sus contrapartes (clientes, proveedores, empleados, accionistas, aliados estratégicos, etc.) no generan un grado de escepticismo mayor con ellos; por el contrario, a medida que más los conocen, más confían en ellos, sin hacer ninguna prueba o análisis de sus operaciones o actividades.
Un caso que merece una especial atención es el de los “referidos” (entendiéndose como “referido”, a aquellas contrapartes que son recomendadas o remitidas por algún miembro de la Alta Gerencia o aún por empleados al interior de la organización), en cuyo caso, se obvian los estudios, aprobaciones o controles, cuando por el contrario, se debería efectuar un análisis y un conocimiento más detallado de sus operaciones y negocios, efectuando una debida diligencia mejorada o reforzada.
Listas Restrictivas
Muchos empresarios y muchos Oficiales de Cumplimiento (lo que es más grave, por el desconocimiento que ello implica) afirman que el único control eficaz en el riesgo de LA/FT es someter a las contrapartes a una revisión en las listas restrictivas, donde además, solo incluyen a la Lista OFAC o Lista Clinton y a la Lista de Naciones Unidas en la que se designan a los terroristas, pensando seguramente porque el acceso a dichas listas es gratuito y no les cuesta nada. En este sentido, es importante mencionar que existen más de 500 listas restrictivas en todo el mundo y que muchos de los programas (software) que se venden en el mercado verifican las contrapartes en todas esas listas e incluso algunos programas revisan también lo publicado en medios de comunicación haciendo más completo el análisis de dichas listas.
Existen algunas empresas que hacen esta revisión en estas dos listas (OFAC y Naciones Unidas) por su cuenta para minimizar gastos y la primera pregunta que haríamos para verificar si están haciendo bien la tarea es: Cuáles contrapartes están revisando en las listas? Solo Clientes? Con qué periodicidad están revisando sus contrapartes? Cómo garantizan que la lista contra la que están verificando las contrapartes, es la lista más reciente emitida por OFAC y Naciones Unidas? Se está dejando evidencia de dicha revisión?. Como ven, son muchos aspectos que deben ser revisados y verificados y el hecho de hacerlo a través de un software o por su cuenta no garantiza efectivamente que la tarea se esté haciendo bien.
Personas Expuestas Política y Públicamente (PEPs)
Este es un tema muy complicado donde ni los reguladores ni los sujetos obligados ni los sujetos de reporte relacionados con el riesgo de LA/FT han entendido la importancia de lo que significan los PEPs. (En una próxima oportunidad escribiremos exclusivamente sobre este tema).
Solo cuando se hace público un caso de LA/FT o sus delitos fuente, las empresas, los gobiernos, los medios de comunicación, los Oficiales de Cumplimiento reaccionan y sólo lo hacen por el riesgo reputacional que eso representa. Para comprobar esta afirmación, tomemos como ejemplo, el caso de corrupción de la FIFA y en particular este mismo caso de la FIFA a través del organismo regional de la Conmebol en Suramérica. La primera pregunta que nos deberíamos hacer es: Teníamos identificados como PEPs a los directivos de las Federaciones de Futbol nacionales, y no solo a ellos, sino a todos los miembros del Consejo Directivo, a sus administradores, a los contadores, a los auditores, a los revisores fiscales? Hoy diríamos que sí, porque ya conocemos el resultado de las investigaciones, pero estamos seguros que la mayoría de las empresas que interactuaron con ellos no los tenían identificados y ni siquiera los conocían ni tenían un control sobre ellos y como dice la norma no es solo conocerlos sino efectuar una debida diligencia mejorada o reforzada sobre ellos. Adicionalmente, se debe dejar evidencia de dichas revisiones y controles. Siguiendo con el caso de la FIFA, se acaban de reunir en Guayaquil, Ecuador, los Fiscales Generales de Ecuador, Bolivia, Brasil, Paraguay, Argentina y Perú para intercambiar información sobre el caso de corrupción de los directivos de las distintas federaciones, porque consideran que aún no han sido identificados todos los implicados. Eso comprueba que esos PEPs involucrados en este proceso no han sido identificados y por consiguiente todas las contrapartes que tuvieron relaciones con ellos no efectuaron la debida diligencia y ni siquiera los conocieron como clientes.
Es preocupante, lo que dijo un reconocido cantante en una reciente entrevista de televisión, él (que no es sujeto obligado) no tenía por qué conocer a su cliente que lo contrató para una presentación ni tampoco se le hizo extraño que le pagara una alta suma de dinero en efectivo por sus servicios. Con esto se demuestra que no somos conscientes de la importancia que juegan los PEPs en nuestros negocios pero sobretodo del riesgo que ellos representan para nuestras empresas.
En otras jurisdicciones, se ha hecho un esfuerzo importante por parte de los gobiernos, donde al menos esos gobiernos han emitido una lista de los PEPs (al menos de los políticos) para que los sujetos obligados efectúan la debida diligencia sobre ellos. En Colombia, el gobierno está en mora de hacer dicha tarea.
Monitoreo y seguimiento
Algunas empresas consideran que cuando se habla del conocimiento del cliente, lo único que deberíamos hacer es la actualización de los datos de los clientes y olvidan que lo más importante es verificar a través de la transaccionalidad del cliente durante un periodo determinado, la razonabilidad de las operaciones del cliente comparado no solo con su competencia sino con el resultado del sector o la industria a la que pertenece. Esto es lo que determina la inusualidad o lo sospechoso de sus operaciones o transacciones.
Este monitoreo y seguimiento debe ser constante y oportuno. No debe ser anual o semestral, debe ser continuo y para esto se deben desarrollar herramientas, análisis y tareas que permitan verificar la transparencia de sus operaciones y se debe dejar evidencia de ello.
Si nuevamente retomamos el caso de corrupción de la Conmebol, comprobaremos que esto es cierto. Sólo a raíz de las investigaciones por parte de los fiscales, se pudieron comprobar transacciones cruzadas de dinero entre los directivos de las diferentes agremiaciones nacionales, que pretendían desviar el beneficiario final de dichos dineros. Sin embargo, si se hubiera efectuado la verificación de la transaccionalidad se hubiera detectado que los montos girados no correspondían con la naturaleza de las operaciones ni tenían los soportes que justificaran dichos desembolsos.
Las empresas deben disponer de herramientas que permitan a través de la tecnología detectar operaciones inusuales y sospechosas que deben ser verificadas, analizadas y reportadas en caso de ser necesario. Mantener estadísticas, informes, reportes de las transacciones no solo de los clientes sino de todas las contrapartes garantizan que el monitoreo y el seguimiento sean verdaderamente eficientes.
Tipologías
Una de las tareas importantes no solo del Oficial de Cumplimiento sino de todos los empleados es conocer verdaderamente al cliente, conocer su industria, conocer su sector y lo que es más importante en el tema LA/FT, conocer las diferentes tipologías utilizadas por los delincuentes para lavar activos o financiar el terrorismo en su industria. La Universidad Externado acaba de publicar un extenso estudio sobre la Minería en Colombia, en el que por ejemplo, expone la asociación de las bandas criminales con la minería ilegal, que genera entre otros, lavado de activos, financiación del terrorismo y otras actividades ilícitas.
Sin embargo, teniendo en cuenta que los delincuentes innovan en sus formas de delinquir, las empresas no se pueden quedar en estudiar las tipologías detectadas por las autoridades, sino estar a la vanguardia estudiando las nuevas formas de delinquir y como esas nuevas formas podrían impactar su negocio. Este conocimiento, en teoría, le podría generar a la empresa las señales de alerta necesarias para detectar el lavado de activos y la financiación del terrorismo.
Se supone que si las empresas conocen verdaderamente su negocio, podría determinar claramente las señales de alerta de lavado de activos y financiación del terrorismo pero por nuestra experiencia podemos afirmar que son muy pocas las empresas que luego de un juicioso estudio hayan podido establecer las señales de alerta necesarias para prevenir o detectar estos delitos en su empresa.
Aprendizaje continúo
Para los nuevos sujetos obligados (empresas del sector real) es un reto primordial seguir capacitándose en el tema de LA/FT, y lo que es mejor, no creer que su modelo de administración de riesgo es perfecto o infalible, sino que por el contrario es susceptible de mejora y que una vez implementado debe ser medido, revisado y ajustado preferiblemente por un ente externo para garantizar la mejora continua del sistema.
Capítulo aparte merece el tema de financiación del terrorismo. En un artículo anterior titulado: “Los retos pendientes para identificar el riesgo de financiación del terrorismo”, decíamos que los mitos que se tienen en relación con la financiación del terrorismo, nos ponen de presenten los riesgos a los que se exponen las empresas del sector financiero y del sector empresarial por su desconocimiento sobre el fenómeno de financiación del terrorismo. Las experiencias que se han tenido en todo el mundo han sido desalentadoras, debido a que los gobiernos, las autoridades regulatorias, los organismos internacionales, las empresas, los expertos y los ciudadanos en general desconocen casi por completo este delito y la forma de prevenirlo.
Esto lo corrobora en un reciente informe, el Grupo de Acción Financiera Internacional (GAFI), que afirma que el mundo ha minimizado el riesgo de financiación del terrorismo y que por el contrario los terroristas han modificado su forma de operar mientras que los gobiernos, los reguladores y las entidades de control se han quedado rezagadas en el conocimiento y en la investigación de este delito. Por todo lo anterior, es importante estudiar y conocer en detalle este tema, sus tipologías, sus actores y la forma como pueden impactar a las empresas.
Jurisdicciones
Muchas empresas no han tomado muy en serio, este factor de riesgo. Algunos manifiestan que estando en Colombia, el riesgo de LA/FT es alto sin importar la región donde se opera y eso no es tan cierto. Por el contrario, algunas pocas empresas que si han hecho cuidadosamente la tarea al identificar el factor de riesgo de la jurisdicción y al analizar el riesgo tan alto que tenían en algunas jurisdicciones han determinado cerrar sus operaciones en dichas regiones sin importar el efecto de dichas decisiones en sus utilidades, porque están conscientes del impacto en la empresa y en sus utilidades que se generaría al materializarse un riesgo de LA/FT.
Reportes a la Unidad de Información y Análisis Financiero (UIAF)
Al respecto se debe profundizar un poco más, porque muchas empresas no han comprendido lo que significa un reporte a la UIAF.
Algunas empresas efectúan un reporte negativo, es decir, reportan que en sus empresas no ha pasado nada anormal o sospechoso durante un periodo determinado. Sin embargo, muchas lo hacen, porque no han tenido el tiempo necesario para efectuar verdaderos análisis de las operaciones de sus clientes, proveedores, empleados, etc., y creen que enviando el reporte negativo están cumpliendo con la tarea, cuando en realidad el riesgo LA/FT lo sigue asumiendo la empresa.
Por eso, es muy importante efectuar análisis concienzudos y detallados de las operaciones dejando evidencia de ello y así efectivamente establecer el control de sus operaciones y de la tarea encomendada en la norma.
Gestión documental
Por último y no menos importante, está la gestión documental al interior de las empresas. En este mundo informático, donde ya muchas de las transacciones se hacen electrónicamente, se piensa erróneamente que por este motivo las transacciones, las decisiones, las operaciones no tienen soporte documental y esto está creando un problema muy grande en el futuro para demostrar la razonabilidad de las operaciones en caso de una investigación. En el caso de la Conmebol, cuando un fiscal preguntó por el soporte de una operación sospechosa, el contador y el tesorero de la entidad contestaron que la creación, la decisión, y la aprobación de la transacción había sido efectuada verbalmente por un funcionario de la entidad y que no tenían un soporte para demostrar la operación. La entidad financiera intermediaria de la transacción tampoco tenía un soporte documental. Nos preguntamos: Tal vez no tenía el soporte documental debido a la familiaridad e importancia de la cuenta bancaria? No tenemos la respuesta, solo generamos la inquietud.
Por eso, la gestión documental adquiere una gran importancia en la prevención y control del riesgo de lavado de activos y financiación del terrorismo al interior de las organizaciones.
Por qué de una auditoria de cumplimiento del riesgo LA/FT?
De acuerdo con todo lo expresado anteriormente y teniendo en cuenta que así la empresa haya contratado una firma de consultoría para implementar el SAGRLAFT o lo haya hecho con recurso humano interno, es necesario que las empresas efectúen una auditoria de cumplimiento que verifique no solo el cumplimiento de la normativa vigente expedida por la entidad de control correspondiente, sino que cumpla con los estándares internacionales para minimizar el riesgo de lavado de activos y financiación del terrorismo.
Esta tarea debería ser desarrollada por una entidad externa especializada en el tema, que garantice una mirada objetiva e imparcial del trabajo efectuado al interior de la empresa en el último año, no solo por el Oficial de Cumplimiento sino por la Alta Gerencia, por los gestores de riesgo, por los empleados, por la auditoria interna, por la revisoría fiscal y en general por todos y cada uno de los empleados comprometidos en la gestión del riesgo de lavado de activos y financiación del terrorismo.
En este riesgo de lavado de activos y financiación del terrorismo, la principal consideración que se debe tener en cuenta es que en caso de que se materialice el impacto en la empresa es catastrófico, no solo por la multa impuesta por las autoridades (en este caso, $137.891.000,00) que sería lo de menos, sino por los riesgos asociados: Legal, Operativo, Reputacional y de Contagio que impactarán significativamente a la empresa.
Hay tareas pendientes, sintonizar el SAGRLAFT con los riesgos de fraude, soborno, corrupción y contrabando, ajustar los modelos de negocio de las compañías colombianas que operan en el exterior con la Ley 1778 de 2016 sobre soborno transnacional y de las compañías que tiene operaciones de comercio exterior con la Ley 1762 de 2015 o Estatuto Anticontrabando.
Por eso, cuando piense en el riesgo de LA/FT:
“Ignorar los riesgos no es una opción.”
*Juan Pablo Rodríguez C.
Escritor, conferencista y consultor internacional.
Presidente y Socio de Rics Management.
**René M Castro V.
Escritor, conferencista y consultor internacional.
Certificate on Corporate Compliance and Ethics, New York University.
Vice-Presidente & Socio RICS Management