A continuación presentamos una breve reseña que nos ayuda a conocer sobre las empresas obligadas a implementar SAGRILAFT y los parámetros a tener en cuenta en este proceso, de acuerdo con la Circular Externa 100-000016 de 24 de diciembre de 2020.
1. ¿Qué empresas tienen que implementar SAGRILAFT?
Empresas que durante el año anterior cumplan con las siguientes características:
Hay empresas que no están obligadas a SAGRILAFT, pero sí deben cumplir el régimen de medidas mínimas que son los APNFD, cabe resaltar que la Superintendencia de Sociedades está facultada para obligar compañías a implementar el régimen de medidas mínimas o SAGRILAFT.
La Superintendencia de Sociedades, en cumplimiento de su política de supervisión con enfoque basado en riesgos, ha identificado que una de las contingencias a las que están expuestas las entidades sujetas a su inspección, vigilancia y control, radica en la probabilidad de ser usadas o prestarse como medio en actividades de lavado de activos, financiamiento del terrorismo y financiamiento de la proliferación de armas destrucción masiva (SAGRILAFT).
Esta situación puede traducirse en riesgos operacionales, legales, reputacionales y de contagio, entre otros. Adicionalmente, puede afectar su buen nombre, competitividad, productividad y perdurabilidad. Para las entidades supervisadas por la Superintendencia de Sociedades, resulta imprescindible, implementar un sistema de autocontrol y gestión del riesgo integral de lavado de activos y de financiamiento del terrorismo.
2. ¿Cuánto tiempo tiene una empresa obligada para establecer SAGRILAFT?
Las empresas notificadas al 31 de diciembre de cualquier año, deberán poner en marcha el SAGRILAFT a más tardar el 31 de mayo del año siguiente al que fueron obligados. Por otro lado, el tiempo mínimo de permanencia es de 3 años a partir de la fecha establecida y un año a partir de dicha fecha, para el Régimen de Medidas Mínimas.
3. ¿Qué se debe de tener en cuenta al momento de implementar SAGRILAFT?
Al implementar SAGRILAFT se deberá tener en cuenta los riesgos propios de la Empresa Obligada, para lo cual se debe analizar el tipo de negocio, la operación, el tamaño, las Áreas Geográficas donde opera y demás características particulares. Para los anteriores fines, las Empresas Obligadas deberán contar con una Matriz de Riesgo LA/FT/FPADM u otro mecanismo equivalente de evaluación del Riesgo LA/FT/FPADM que les permita medir y auditar su evolución.
Asimismo, la Empresa Obligada deberá brindarles capacitación a aquellos empleados, asociados y, en general, a todas las partes interesadas que considere que deban conocer el SAGRILAFT, al menos una vez en el año y documentar la asistencia y constancia de su realización. Así pues La junta directiva o el representante legal está en la obligación de aprobar un manual de procedimientos SAGRILAFT, aprobar una Política LA/FT/FPADM.
Además, debe pronunciarse sobre informes de revisoría y auditorías relacionados con el SAGRILAFT y hacer seguimiento a observaciones y recomendaciones, registrando avances en actas. Implementar los criterios para aprobar la vinculación de Contraparte PEP, adicionalmente analizar oportunamente los reportes y solicitudes presentados por el representante legal y establecer el oficial de cumplimiento.
Al mismo tiempo, el representante legal y la junta directiva deberán disponer de las medidas operativas, económicas, físicas, tecnológicas y de recursos que sean necesarias para que el Oficial de Cumplimiento pueda desarrollar sus labores de manera adecuada.
4. ¿Cómo es la asignación del oficial de cumplimiento?
Inicialmente la junta directiva está en la obligación de designar un oficial de cumplimiento y un suplente, en caso de no haber junta directiva, será el representante legal quien propondrá la persona para cumplir el cargo de oficial de cumplimiento, en caso de que la empresa sea extranjera la casa matriz deberá seleccionar un oficial de cumplimiento, Cuando se seleccione el oficial de cumplimiento deberá notificarse por escrito en los siguiente 15 días a la superintendencia de sociedades, y adjuntar la siguiente información:
- El nombre, número de identificación, correo electrónico y número de teléfono del Oficial de Cumplimiento principal y suplente (Cuando sea procedente)
- Remitir la hoja de vida del Oficial de Cumplimiento, una copia del documento que dé cuenta del registro del Oficial de Cumplimiento ante el SIREL administrado por la UIAF
- Una copia del extracto del acta de la junta directiva o máximo órgano social en la que conste su designación.
La persona natural designada como Oficial de Cumplimiento debe cumplir como mínimo con estos requisitos: Gozar de la capacidad de tomar decisiones para gestionar el Riesgo LA/FT/FPADM, contar con conocimientos suficientes en materia de administración de riesgos, no pertenecer a la administración o a los órganos sociales, no desempeñarse comercialmente en más de 10 Empresas Obligadas, es decir que el oficial de cumplimiento se puede tercerizar y puede tener auxiliares que le ayuden a cumplir con sus obligaciones, pero el oficial es el responsable. Cabe resaltar, que el oficial de cumplimiento no puede ser el representante legal ni el revisor fiscal, ya que podría generarse un conflicto de intereses.
5. ¿Cuáles son las funciones del oficial de cumplimiento?
- Inicialmente velar por el cumplimiento del SAGRILAFT.
- Presentar al menos 1 vez al año informes a la junta directiva o al máximo órgano social. Los reportes deben incluir evaluación y análisis de la eficiencia y efectividad del SAGRILAFT, además proponer mejoras si es necesario demostrando la gestión del Oficial de Cumplimiento y la administración de la Empresa en el cumplimiento del SAGRILAFT.
- Certificar ante la Superintendencia de Sociedades el cumplimiento de SAGRILAFT, según sea requerido.
- Verificar cumplimiento de procedimiento de Debida Diligencia y Diligencia Intensificada en la Empresa.
- Cuidar el adecuado Archivo de soportes documentales e información sobre gestión y prevención del Riesgo LA/FT/FPADM. Además, Diseñar metodologías de clasificación, identificación, medición, control del Riesgo y evaluación del riesgo LA/FT/FPADM para SAGRILAFT.
- Realizar el Reporte de operaciones sospechosas a la UIAF y cualquier informe requerido por las normas.
- Promover actualizaciones y correcciones del SAGRILAFT, mínimo cada 2 años. Para ello deberá presentar a la junta directiva, las propuestas y justificaciones de los correctivos y actualizaciones sugeridas al SAGRILAFT. También, coordinar programas de capacitación interna. Evaluar informes de auditoría interna o similar y adoptar medidas frente a deficiencias en informes de revisoría fiscal o externa.
- Debe estar registrado en el SIREL administrado por la UIAF. Para lo anterior, deberá solicitar ante la UIAF, el usuario y contraseña a través de la plataforma SIREL. Una vez hecho esto se debe enviar adjunto evidencia a la superintendencia.
6. ¿Qué responsabilidad tiene el revisor fiscal frente a SAGRILAFT?
El revisor fiscal tiene el deber de revelar información cuando la ley lo exija, reportar a la autoridad competente y poner en conocimiento de los órganos social y la administración de la sociedad, según el artículo 32 de la ley 1778 de 2016, esta ley está por encima jerárquicamente de los secretos profesionales.
7. ¿A quién se le debe realizar la debida diligencia intensificada?
- La Empresa Obligada considere que representan un mayor riesgo
- Sean identificadas como PEP y sus familiares.
- Se encuentren ubicadas en países no cooperantes en los listados del GAFI y jurisdicciones de alto riesgo
- Ser aplicados por todas las Empresas Obligadas que desarrollen actividades con Activos Virtuales.
Con respecto a la auditoría anual Se recomienda incluir la revisión del SAGRILAFT para detectar deficiencias y posibles mejoras, estos informes se deben dar a conocer a el oficial de cumplimiento y a la junta directiva con el fin de mostrar los resultados, análisis, evaluaciones y correctivos en la implementación, gestión, avance, cumplimiento, dificultades y efectividad alcanzados mediante el SAGRILAFT.
8. ¿Cuáles son las Etapas al implementar SAGRILAFT?
Control de riesgo
El SAGRILAFT permite a las empresas obligadas tomar medidas razonables para controlar su riesgo, esto se logra a partir de implementar metodologías y una matriz de riesgo, apoyadas en herramientas para la detección de operaciones inusuales y operaciones sospechosas con base en los Riesgos LA/FT/FPADM identificados en la clasificación, segmentación e individualización de los Factores de Riesgo LA/FT/FPADM y conforme a la Matriz de Riesgo LA/FT/FPADM, teniendo en cuenta que a mayor riesgo mayor control.
Monitoreo del riego
Se debe tener como mínimo un seguimiento periodico que facilite la rápida detección y corrección de las deficiencias del SAGRILAFT. Dicha verificación y revisión debe tener una periodicidad acorde con el perfil de Riesgo Residual de la empresa obligada.
Debida diligencia
Las empresas obligadas debe adoptar las siguientes medidas de debida diligencia:
- Identificar a la Contraparte y verificar su identidad utilizando documentos, datos o información confiable, de fuentes independientes.
- Identificar al Beneficiario Final de la Contraparte y tomar Medidas Razonables para verificar su identidad
- Para personas jurídicas se debe conocer la estructura de su propiedad con el objetivo de tener nombre, número de identificación de los beneficiarios finales. Las medidas que se tomen deben ser apropiadas al nivel de riesgo según la naturaleza de cada contraparte.
- Entender, y cuando corresponda, obtener información sobre el propósito y el carácter que se pretende dar a la relación comercial.
- Las transacciones durante la relación deben examinarse con el objetivo de conocer la actividad de la Contraparte, el perfil de riesgo y también cuando sea necesario, la fuente de los fondos.
Esta información puede ser recolectada por medio de formatos que pueden ser definidos y diseñados por la empresa obligada, según las características de la contraparte, se debe construir una base de datos debe contener, como mínimo, el nombre de la Contraparte, ya sea persona natural o jurídica, la identificación, el domicilio, el Beneficiario Final, el nombre del representante legal, el nombre de la persona de contacto, el cargo que desempeñó, fecha del proceso de conocimiento o monitoreo de la Contraparte.
Además, se debe actualizar mínimo cada dos años , las empresas obligadas deben consulta listas vinculante designadas por el consejo de seguridad de las naciones unidas, en el caso de encontrar coincidencia de alguno de los vinculados en estas lista se debe reportar, el oficial de cumplimiento debe reportar a la UIAF por medio [email protected]. y ponerlo en conocimiento de la Fiscalía General.
En cuanto a los casos especiales, se recomienda considerar que si las operaciones se realizan en efectivo se establezca una conducta normal teniendo en cuenta las características y actividad económica de la empresa, con el objetivo que si hay operaciones que se salgan de la conducta normal se puede considerar como una alerta. Al mismo tiempo, las ventas masivas por su naturaleza es de difícil conocimiento de la contraparte por lo que se vuelve de vital importancia estar pendiente de las operaciones inusuales.Por otra parte, las transacciones de activos virtuales se necesita la plena identificación de la contraparte, cabe subrayar que podría ser requeridas a reportar estas transacciones a la Superintendencia de Sociedades.
Diligencia ampliada
La empresa debe implementar para:
- – La Empresa Obligada considere que representan un mayor riesgo;
- – A los PEP;
- – Aquellas ubicadas en países no cooperantes del GAFI y jurisdicciones de alto riesgo y ser aplicados por todas las Empresas Obligadas que desarrollen actividades con Activos Virtuales que hubieran tenido aportes superiores a 100 SMLMV.
Las Señales de alerta que la empresa de tener en cuenta, sin demeritar el desarrollo de sus propias aletas:
- Personas naturales o jurídicas que no estén plenamente identificadas.
- Asociados o empleados con antecedentes judiciales de LA/FT.
- Nuevos asociados que hayan sido aceptados o vinculados sin verificar
- Previamente el origen de los recursos que aportan.
- Alto volumen en efectivo sin justificación aparente
- Bienes muebles o inmuebles que tenga un precio muy diferente al del mercado
- Donaciones sin Beneficiario Final aparente, origen desconocido o de jurisdicciones de alto riesgo.
- Operaciones sin contrato escrito
- Pagos giros internacionales múltiples
- Operaciones con subcontratistas sin identificar.
- Operaciones comerciales con personas en Listas Vinculantes
- Operaciones con contrapartes en Áreas No Cooperantes según GAFI”.
- Operaciones con Productos provenientes de actividades ilegales
- Operaciones de productos sin su debida nacionalización
- Operaciones de productos sin las licencias requeridas
Operaciones en efectivo
- Países con un alto nivel de corrupción y de inestabilidad política.
- Depósitos de efectivo en cuentas bancarias a partir de fuentes sin explicar.
- Documentación injustificada o indebida sobre el origen.
- Cantidad, valor o divisa no concordante con las circunstancias del portador.
- Transporte oculto de efectivo.
- Riesgo claro de seguridad en el método de transporte.
- Transporte con costos elevados en comparación con métodos alternativos de
- transporte.
- Facturación o ventas en efectivo no comunes en el sector económico.
- Gran aumento de facturación o ventas en efectivo procedentes de clientes no
identificables.
- Préstamos del extranjero recibidos en efectivo y en moneda local.
Las actividades de implementación y ejecución del SAGRILAFT deben tener documentación que garantice la integridad y disponibilidad de la información. La información y verificación de la Contraparte debe documentarse con fecha y hora. El desarrollo del SAGRILAFT por la Empresa Obligada debe respetar las leyes de protección de datos y las normas aplicables. Los soportes deben conservarse según el artículo 28 de la Ley 962.
En cuanto a las operaciones sospechosas y reportes de la UIAF, la empresa obligada deberá establecer herramientas y aplicativos, preferiblemente tecnológicos, tecnológicos, que permitan identificar Operaciones Inusuales y Operaciones Sospechosas, la herramienta debe generar indicadores que permiten evaluar que la conducta de alguna contraparte esté actuando de manera sospechosa comparado con el sector.
9. ¿Qué pasa si no salen operaciones sospechosas?
Si pasan 3 meses sin reportar, después de los primeros 10 días de este acontecimiento el oficial de cumplimiento deberá reportar un informe de ausencia ROS o Aros a través del SIREL.
10. ¿Hay sanciones para las empresas que están obligadas y deciden no implementar SAGRILAFT?
Si, ante el incumplimiento da lugar a investigaciones que conlleven a sanciones administrativas pertinentes a la empresa obligada, la Supersociedades puede imponer sanciones o multas, sucesivas o no, hasta de 200 salarios mínimos legales mensuales vigentes (SMLMV).
11. ¿Se puede implementar SAGRILAFT aunque no sea una empresa obligada?
Si, de hecho la superintendencia de sociedades lo recomienda como buenas prácticas empresariales, que puede ayudar a resguardar el patrimonio, buen nombre y preparación para una eventual obligatoriedad.
En Agnos podemos acompañarte en el proceso de implementación de SAGRILAFT y sus controles a partir de los modelos de segmentación y monitoreo transaccional.