SAGRILAFT - Superintendencia de Sociedades Circular Externa No. 100-000016 de 24 de diciembre de 2020

Capítulo X   Régimen de autocontrol y gestión del riesgo integral LA/FT/FPADM y reporte de operaciones sospechosas a la UIAF.

CIRCULAR EXTERNASUPERINTENDENCIA DE SOCIEDADES

Señores

Representantes legales, Contadores, Revisores Fiscales y Liquidadores de sociedades comerciales, sucursales de sociedades extranjeras y empresas unipersonales

Referencia:

Modificación Integral al Capítulo X de la Circular Básica Jurídica de 2017

Apreciados señores:

Con el fin de actualizar la normatividad a las recomendaciones de organismos internacionales, a la política general de supervisión de la Superintendencia de Sociedades y a la coyuntura actual, es prioritaria para esta Entidad modificar el Capítulo X de su Circular Básica Jurídica (Circular Externa No. 100-000005 del 22 de noviembre de 2017).

La modificación al mencionado Capítulo X tiene como objetivo principal profundizar el enfoque basado en riesgos tanto en la supervisión de esta Entidad como en la creación de políticas y matrices por parte de las sociedades comerciales, sucursales de sociedades extranjeras y empresas unipersonales, obligadas al cumplimiento del régimen de AUTOCONTROL Y GESTIÓN DEL RIESGO INTEGRAL LA/FT/FPADM y REPORTE DE OPERACIONES SOSPECHOSAS A LA UIAF, y en la identificación, segmentación, calificación, individualización, control y actualización de los factores de riesgos y los riesgos asociados a la probabilidad de que éstos puedan ser usados o puedan prestarse como medio en actividades relacionadas con el lavado de activos, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva.

Teniendo en cuenta lo anterior, con fundamento en las facultades legales que le corresponden a la Superintendencia de Sociedades, y en especial las previstas en el numeral 34 del artículo 8° del Decreto 1736 de 2020, en virtud del presente acto administrativo, se modifica integralmente el Capítulo X de la Circular Externa No. 100-000005 del 22 de noviembre de 2017 (Ver ANEXO 1).

Esta Circular Externa, rige a partir de la fecha de su publicación.

Publíquese, cúmplase y ríndase.

ANEXO 1CAPÍTULO X - AUTOCONTROL Y GESTIÓN DEL RIESGO INTEGRAL LA/FT/FPADM Y REPORTE DE OPERACIONES SOSPECHOSAS A LA UIAF

1. Consideraciones generales

La Superintendencia de Sociedades, en cumplimiento de su política de supervisión con enfoque basado en riesgos, ha identificado que una de las contingencias a las que están expuestas las entidades sujetas a su inspección, vigilancia y control, radica en la probabilidad de ser usadas o prestarse como medio en actividades de lavado de activos, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva.

El lavado de activos, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva son fenómenos delictivos que generan consecuencias negativas para la economía del país y para las empresas del sector real. Pueden traducirse en el acceso a entidades de riesgos operacionales, legales, reputacionales y de contagio, entre otros. Esta situación, puede afectar su buen nombre, competitividad, productividad y rentabilidad.

Para las entidades supervisadas por la Superintendencia de Sociedades, resulta imprescindible, en los términos del presente Capítulo X, implementar un sistema de autocontrol y gestión del riesgo integral de lavado de activos y de financiamiento del terrorismo. En ese sentido, es fundamental seguir las recomendaciones del Grupo de Acción Financiera Internacional y las convenciones internacionales sobre la materia, entre otras, adoptadas por Colombia mediante las leyes que se exponen más adelante.

Con base en los asuntos, estándares internacionales y lineamientos expuestos más adelante, las Empresas Obligadas (término que se define posteriormente en este capítulo como sujeto obligado) deberán realizar un análisis con un enfoque basado en el riesgo y su debida gestión al acuerdo con sus características propias, teniendo en cuenta las condiciones particulares de los sectores que las rodean, el tamaño de la empresa, la naturaleza de sus operaciones, y de los beneficiarios finales de estas, al igual que los países o jurisdicciones de operación y canales y demás características particulares.

2. Definiciones

Para efectos del presente Capítulo X, los siguientes términos deben entenderse de acuerdo con las definiciones que a continuación se establecen, independientemente de que ellos se utilicen en singular o en plural:

• Activo Virtual: es la representación digital de valor que se puede comercializar o transferir digitalmente y se puede utilizar para pagos o inversiones. Los activos virtuales no incluyen representaciones digitales de moneda fiat, valores y otros activos financieros que ya estén cubiertos en otras partes de las Recomendaciones GAFI.

• Activos: es un recurso económico presente controlado por la Empresa como resultado de sucesos pasados.

• APNFD: son las actividades y profesiones no financieras designadas de Empresas, que para los efectos de la presente circular son los notarios; los abogados; los agentes inmobiliarios; el sector de comercialización de metales preciosos y piedras preciosas; y, los revisores de servicios contables; y los de servicios jurídicos.

• Área Geográfica: es la zona del territorio en donde la Empresa desarrolla su actividad.

• Beneficiario Final: es la(s) persona(s) natural(es) que finalmente pose(n) o controla(n) a un cliente y/o la persona natural en cuyo nombre se realiza una transacción. Incluye también a la(s) persona(s) que ejerzan el control efectivo y/o final, directa o indirectamente, sobre una persona jurídica o sobre una estructura sin personería jurídica. Son Beneficiarios Finales de una persona jurídica los siguientes:

  • a. Persona natural que, actuando individual o conjuntamente, ejerza control sobre la persona jurídica, en los términos del artículo 260 y siguientes del Código de Comercio; o

  • b. Persona natural que, actuando individual o conjuntamente, sea titular, directa o indirectamente, del cinco por ciento (5%) o más del capital o derechos de voto de la persona jurídica, y/o se beneficie en un cinco por ciento (5%) o más de los rendimientos o ingresos de Activos de la persona jurídica;

  • c. Cuando no se identifique alguna persona natural en los numerales 1) y 2), la persona natural que ostente un cargo ejecutivo relevante, según los estatutos de la persona jurídica, con capacidad de tomar decisiones en relación con las funciones de gestión o dirección de la persona jurídica.

• Son Beneficiarios Finales de un contrato fiduciario, de una estructura sin personería jurídica o de una persona jurídica similar, las siguientes personas naturales que ejercen el control efectivo:

  • i. Constituyente(s), fideicomitente(s), contribuyente(s) u otro similar o equivalente;

  • ii. Comité fiduciario, comité financiero o puesto similar o equivalente;

  • iii. Fideicomisario(s), beneficiario(s), o equivalente;

  • iv. Cualquier otra persona natural que ejerza el control efectivo y/o final, o que tenga derecho a gozar y/o disponer de los Activos, beneficios, resultados o rendimientos de la estructura.

• Contraparte: es cualquier persona natural o jurídica con la que la Empresa tenga vínculos comerciales, de negocios, contractuales o jurídicos de cualquier orden. Entre otras, se incluyen los proveedores, empleados, clientes, contratistas y proveedores de productos de la Empresa.

• Debida Diligencia: es el proceso mediante el cual la Empresa adopta medidas para el conocimiento de la Contraparte, de sus negocios, operaciones, y de la finalidad y volumen de sus transacciones, que se desarrolla detalladamente en el numeral 5.3.1 de este Capítulo X.

• Debida Diligencia Intensificada: es el proceso mediante el cual la Empresa adopta medidas adicionales y/o en mayor extensión con relación a la Contraparte, de sus negocios, operaciones y el volumen de sus transacciones, conforme se establece en el numeral 5.3.2 de este Capítulo X.

• Empresa: se refiere a toda sociedad comercial, empresa unipersonal o sucursal de sociedad extranjera supervisada por la Superintendencia de Sociedades.

• Empresa Obligada: es la Empresa que debe dar cumplimiento a lo previsto en el presente Capítulo X, en atención al tipo de actividad económica que desarrolla.

• Financiamiento del Terrorismo o FT: es el delito tipificado en el artículo 345 del Código Penal Colombiano, o el que lo sustituya o modifique.

• Financiamiento de la Proliferación de Armas de Destrucción Masiva o FPADM: es el delito tipificado en la normativa internacional vigente, descrito, en todo o en parte, para la prevención de este fenómeno.

Definición con asterisco:

• Factores de Riesgo LA/FT/FPADM: son los posibles elementos o causas generadoras de Riesgo de LA/FT/FPADM para cualquier Empresa Obligada. La Empresa Obligada deberá identificar estos factores en cuanto a las Contrapartes, los Productos, las Actividades, los Canales y las Jurisdicciones, entre otros.

• GAFI: es el Grupo de Acción Financiera Internacional. Grupo intergubernamental creado con el objeto de establecer estándares, y promover la implementación de medidas legales, regulatorias y operativas para combatir el lavado de activos, el FT y el FPADM.

• GAFILAT: es el Grupo de Acción Financiera de Latinoamérica, organismo de base intergubernamental, del cual son país miembro en la parte Colombia.

• Ingresos Totales: son todos los ingresos reconocidos en el estado de resultado del periodo que se tome de referencia sobre la actividad financiera o contable de la Empresa para el período sobre el cual se hace la evaluación. De acuerdo con los criterios de valoración estos incluyen: Ingresos de Actividades Ordinarias, otros ingresos, ganancias por partes atribuibles a la participación de ingresos pero que no son Ingresos de Actividades Ordinarias y ingresos financieros.

• Ingresos de Actividades Ordinarias: son aquellos que se generan en el curso de las actividades ordinarias del negocio de la Empresa.

• LA/FT/FPADM: para efectos de este Capítulo X, significa Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva.

• Lavado de Activos o LA: es el delito tipificado en el artículo 323 del Código Penal Colombiano (o el que lo sustituya o modifique).

• Listas Vinculantes: son aquellas listas de personas y entidades asociadas con sanciones internacionales que son vinculantes para Colombia bajo la legislación colombiana (artículo 20 de la Ley 1121 de 2006) y conforme al derecho internacional, en especial a lo establecido en las Resoluciones 1267 de 1999, 1373 de 2001, 1718 y 1737 de 2006, 1988 y 1989 de 2011, y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas, y todas aquellas que le sucedan, relacionen y complementen, y respecto de las que la República de Colombia haya determinado que son de obligatorio cumplimiento. Incluye la lista de la Unión Europea de Organizaciones Terroristas y la lista de la Unión Europea de Personas Catalogadas como Terroristas. La UIAF (Unidad de Información y Análisis Financiero) divulgará en su sitio web estas Listas Vinculantes para Colombia como una guía, sin que estas sean taxativas.

• Matriz de Riesgo LA/FT/FPADM: es uno de los instrumentos que le permite a una Empresa identificar, individualizar, segmentar, evaluar y controlar los Riesgos LA/FT/FPADM a los que se podría ver expuesta, conforme a los Factores de Riesgo LA/FT/FPADM identificados.

• Medidas Razonables: son las acciones suficientes, apropiadas y medibles en calidad y cantidad, para mitigar el Riesgo LA/FT/FPADM, teniendo en cuenta los riesgos propios de la Empresa.

• Oficial de Cumplimiento: es la persona natural designada* por la Empresa Obligada que tiene a su cargo la responsabilidad de diseñar, implementar y verificar el cumplimiento del Sistema de Autocontrol, actualización y mitigación del Riesgo LA/FT/FPADM de acuerdo con lo dispuesto en este Capítulo X.

• Operaciones Inusuales: son aquellas cuya cuantía o características no guardan relación con la actividad económica o el perfil financiero de la Empresa Obligada, que por su número, cantidad o características no guardan relación con los movimientos habituales del mercado, y que no tienen justificación económica o legal, o que no son claras.

• Operaciones Sospechosas: son aquellas que por su número, cantidad o características no guardan relación con las actividades u operaciones habituales de una clase de Empresa Obligada o de un usuario.

• Persona Expuesta Políticamente: es una persona que, por el rol o función que desempeña o haya desempeñado, se le considere de riesgo por su nivel de exposición pública, nacional o extranjera.

Este tipo de operaciones incluye las operaciones intentadas o rechazadas que contengan características que les otorguen el carácter de sospechosas.

• PEP: significa personas expuestas políticamente, es decir, son los servidores públicos de cualquier sistema de nomenclatura y clasificación de empleos de la administración pública nacional o territorial, en todos los cargos que ocupen, tengan o las funciones del área a la que pertenecen o en las de la ficha del empleo que ocupen, bajo su responsabilidad directa o en delegación, la dirección general, el control de manejo de decisiones institucionales y de adopción de planes, programas y proyectos, en el manejo de bienes, dineros o valores del Estado. Esto puede ser a través de ordenación del gasto público, adjudicación de proyectos de inversión, pagos, liquidaciones, administración de bienes muebles e inmuebles. Incluye también a las PEP Extranjeras y las PEP de Organizaciones Internacionales.

• PEP de Organizaciones Internacionales: son aquellas personas naturales que ejercen funciones directivas en una organización internacional, tales como la Organización de Naciones Unidas, Organización para la Cooperación y el Desarrollo Económicos, el Fondo de las Naciones Unidas para la Infancia (UNICEF) y la Organización de Estados Americanos (OEA), entre otros (directores, subdirectores, miembros de junta directiva o cualquier persona que ejerza una función equivalente).

• PEP Extranjeras: son aquellas personas naturales que desempeñen funciones públicas en un país distinto al país en mención. Se incluyen las siguientes personas:

  • (i) jefes de estado, jefes de gobierno, ministros, subsecretarios o secretarios de estado;(ii) congresistas o parlamentarios;

  • (iii) miembros de tribunales supremos, tribunales constitucionales y otras altas instancias judiciales cuyas decisiones no admitan normalmente recurso, salvo en circunstancias excepcionales;

  • (iv) miembros de tribunales de las juntas directivas de bancos centrales;

  • (v) embajadores;

  • (vi) encargados de negocios o altos oficiales de las fuerzas armadas;

  • (vii) miembros de los órganos administrativos, de gestión o de supervisión de empresas de propiedad estatal;

  • (viii) miembros de familias reales (reyes, príncipes, duques, etc.);

  • (ix) presidentes, vicepresidentes legales, directores, subdirectores, miembros de junta directiva o miembros de la Junta de una organización internacional (v.gr. jefes de misiones diplomáticas o consulares, administradores o jefes de alta jerarquía y altos ejecutivos de empresas estatales).

• Política LA/FT/FPADM: son los lineamientos generales que debe adoptar cada Empresa Obligada para que esté en condiciones de identificar, evaluar, prevenir y mitigar el Riesgo LA/FT/FPADM y los riesgos asociados. Cada una de las etapas y elementos del SAGRILAFT deberán aplicar con políticas claras y efectivamente aplicables. Las políticas deben estar alineadas al proceso de autocontrol y gestión del riesgo, los lineamientos de la Empresa en el funcionamiento del SAGRILAFT y establecer instrucciones para el personal, así como el procedimiento que debe adoptarse respecto de:a. los bienes y servicios que se produce, comercializa, transforma u ofrece la Empresa;b. el cliente o el usuario.

• Recomendaciones GAFI: son las 40 recomendaciones diseñadas por el GAFI con sus interpretaciones, para prevenir el Riesgo de LA/FT/FPADM. Las cuales fueron objeto de revisión, actualización y modificación en junio de 2019. El resultado de esta revisión es el documento denominado “Estándares Internacionales sobre la Lucha Contra el Lavado de Activos, el Financiamiento del Terrorismo y el Financiamiento de la Proliferación de Armas de Destrucción Masiva”.

• Sistema de Autocontrol y Gestión del Riesgo Integral LA/FT/FPADM: es el SAGRILAFT y debe entenderse en los términos de este Capítulo X.

• Requisitos Mínimos: son las obligaciones en materia de autogestión y control del Riesgo LA/FT/FPADM, previstas en el numeral 8 del presente Capítulo X.

• Señales de Alerta: son las características de determinadas operaciones o comportamientos de una Contraparte que, directa o a través de sus operaciones u operaciones intentadas, no justificadas o rechazadas, deben generar la revisión de la operación por parte de la Empresa en cuanto a si el Financiamiento del Terrorismo o el Lavado de Activos o la Proliferación de Armas de Destrucción Masiva se pudiera estar presentando o si pudiera representar una situación que, sin tener certeza de actividades inherentes al LA/FT/FPADM, se materializaría en una Operación Sospechosa.

  
  

Publicación disponible en: https://www.fatf-gafi.org

través de riesgos tales como el Riesgo de Contagio, Riesgo Legal, Riesgo Operativo, Riesgo Reputacional y los demás a los que se expone la Empresa, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera, cuando es utilizada para tales actividades.

• Riesgo de Contagio: es la posibilidad de pérdida que una Empresa puede sufrir, directa o indirectamente, por la unión o experiencia de una Contraparte.

• Riesgo Legal: es la posibilidad de pérdida que incurra una Empresa al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas, regulaciones u obligaciones contractuales. Surge también como consecuencia de fallas en los contratos y transacciones, derivadas de una inadecuada formalización de los mismos o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

• Riesgo Operativo: es la posibilidad de incurrir en pérdidas por deficiencias, fallas o insuficiencias en el recurso humano, los procesos, la tecnología, la información o en los controles, incluyendo actos intencionales o no, relacionados con el Riesgo Legal y el Riesgo Reputacional, entre otros factores.

• Riesgo Reputacional: es la posibilidad de pérdida en que incurre una Empresa por desprestigio, mala imagen, publicidad negativa, o por la percepción negativa de sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

• Riesgo Inherente: es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

• Riesgo Residual: es el nivel resultante del riesgo después de aplicar los controles.

• ROS: es el Reporte de Operaciones Sospechosas. Es aquella operación que por su número, cantidad o características no se enmarca dentro del sistema y prácticas normales, en contexto de actividades de un sector determinado, y además que de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada.

• SIREL: es el sistema de reporte en línea administrado por la UIAF. Es una herramienta web que permite a las entidades reportantes cargar y reportar en línea la información que deben suministrar de acuerdo con la normativa de cada sector, de forma eficiente y segura, disponible las 24 horas del día, 7 días a la semana y 365 días al año.*

• SAGRILAFT: es el Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM establecido en este Capítulo X.

• SMLMV: es el salario mínimo legal mensual vigente.

• UIAF: es la Unidad de Información y Análisis Financiero, la cual es la unidad de inteligencia financiera de Colombia, con las funciones de intervenir en la economía para prevenir y detectar el LA/FT/FPADM.

  
  

3. Marco normativo

3.1. Normas y Estándares Internacionales sobre LA/FT/FPADM

Con la finalidad de afrontar, entre otras, las siguientes convenciones y convenios de Naciones Unidas, con el fin de enfrentar las actividades delictivas relacionadas con el LA/FT/FPADM, Colombia ha ratificado los siguientes instrumentos, lo que fue aprobado ya sea por la ley ordinaria proferida por la Corte Constitucional dentro del trámite de ratificación:

• Convención de Viena de 1988: Convención de las Naciones Unidas Contra el Tráfico de Estupefacientes y Sustancias Psicotrópicas (Aprobada por la Ley 67 de 1993 – Sentencia C-176 de 1994).

• Convención de Palermo de 2000: Sobre la Represión de la Financiación del Terrorismo de las Naciones Unidas (Ley 808 de 2003 – Sentencia C-037 de 2004).

• Convención de Palermo de 2000: Convención de las Naciones Unidas Contra la Delincuencia Organizada (Aprobada por la Ley 800 de 2003 – Sentencia C-962 de 2003).

• Convención de Mérida de 2003: Convención de Naciones Unidas Contra la Corrupción (Aprobada por la Ley 970 de 2005 – Sentencia C–172 de 2006).

  
  

Por su parte, el GAFI diseñó las Recomendaciones GAFI, en las cuales dicho organismo intergubernamental insta a los países a identificar los Riesgos LA/FT/FPADM a los que se exponen sus instituciones financieras y APNFD, y con base en ese riesgo, adoptar medidas para la mitigación del mismo, con un enfoque de supervisión basado en riesgos, con medidas más sólidas y acordes con la naturaleza de las actividades de las entidades identificadas (Recomendación GAFI No. 1).

La implementación de la Recomendación GAFI No. 1 señala que, al implementar un enfoque basado en riesgo, las APNFD deben tener establecidos procesos para identificar, evaluar, monitorear, administrar y mitigar los Riesgos LA/FT/FPADM. El principio general de un enfoque basado en riesgo es que, cuando existan riesgos mayores se deben ejecutar medidas más intensas de manejo y mitigación de riesgos; y que, por su parte, cuando los riesgos identificados sean menores, se apliquen medidas menos estrictas. En todo caso no se permiten medidas simplificadas cuando exista una sospecha de LA/FT/FPADM.

A su vez, la Recomendación GAFI No. 15 insta a los países a que tomen medidas para administrar y mitigar los Riesgos LA/FT/FPADM asociados a los Activos Virtuales, para lo cual deben regular a los proveedores de servicios de Activos Virtuales y, a fin de que se ajusten a sistemas de monitoreo efectivo, cumplan con las Recomendaciones GAFI, entre estas, la de Debida Diligencia (Rec. 10).

Adicionalmente, en la Recomendación GAFI No. 28, literal b), se señala que los países deben asegurar que las APNFD, estén sujetas a sistemas eficaces de regulación y supervisión. Esta actividad debe ser ejecutada por un supervisor o por un organismo autorregulador apropiado, siempre que dicho organismo pueda asegurar que sus miembros cumplan con las obligaciones para controlar el LA/FT/FPADM.

Asimismo, GAFI considera que un sistema de supervisión tenga resultados efectivos, los países deben asegurar sanciones eficaces, proporcionales y disuasivas, ya que ellas permiten desincentivar riesgos, aplicables a las personas naturales o jurídicas que incumplan con las medidas para combatir el LA/FT/FPADM, incluso si sus directores ya no la integran.

3.2. Normas Nacionales

Según lo dispuesto en el artículo 84 de la Ley 222 de 1995 y en el Decreto 1074 de 2015, corresponde a la Superintendencia de Sociedades ejercer la vigilancia de las Empresas.

El numeral 3º del artículo 86 de la Ley 222 de 1995 señala que la Superintendencia de Sociedades está facultada para imponer sanciones a los gerentes, sucesores o hasta por doscientos (200) SMLMV, a quienes incumplan sus órdenes, la ley o los estatutos.

El artículo 4 de la Ley 526 de 1999, modificado por la Ley 1121 de 2006, señala que las autoridades que ejerzan funciones de inspección, vigilancia y control deben instruir a sus supervisados sobre la obligación de verificar si una persona natural o jurídica con la que se pretenda establecer relaciones contractuales, se encuentra en listas de indicación que se relacionen con LA/FT/FPADM.

El artículo 20 de la Ley 1121 de 2006 regula lo concerniente para la publicación y divulgación de las Listas Relacionadas con las Listas Vinculantes para Colombia, de conformidad con lo dispuesto en los tratados y convenios que el Ministerio de Relaciones Exteriores haya ratificado por Colombia conforme al Derecho Internacional y con la autorización de las autoridades competentes que realizan una verificación en las listas con el fin de determinar la posible presencia o tránsito de personas incluidas en las listas y su vinculación con el delito.

A través de la Ley 1186 de 2009, declarada exequible mediante la sentencia de constitucionalidad C-685 de 2009, se aprobó, entre otros, el:

“Memorando de entendimiento entre los gobiernos de los estados del Grupo de Acción Financiera de Sudamérica contra el lavado de activos (GAFISUD)”, por medio del cual se creó y puso en funcionamiento el Grupo de Acción Financiera de Sudamérica contra el Lavado de Activos (hoy GAFILAT), y se determinó, como objetivo, reconocer y aplicar las Recomendaciones GAFI contra el lavado de capitales y las recomendaciones y medidas que en su futuro adopte ese organismo.

El artículo 7º del Decreto 1736 de 2020 establece, en su numeral 28, que una función de la Superintendencia de Sociedades “instruir, en la forma que lo determine, a entidades sujetas a su supervisión sobre los mecanismos que deben promover la transparencia y la prevención en actos de corrupción, del lavado de activos, del soborno transnacional y de la financiación del terrorismo, al igual que mecanismos de gestión para la prevención de riesgos asociados al lavado de activos, la financiación del terrorismo y de la proliferación de armas de destrucción masiva para parte de sus supervisados”.

El artículo 2.14.4.2.1 del Decreto 1068 de 2015, dispone que las entidades públicas y privadas pertenecientes a sectores diferentes al financiero, asegurador y bursátil, deben reportar Operaciones Sospechosas a la UIAF, de acuerdo con el literal j) del numeral 2º del artículo 102 y los artículos 103 y 104 del Estatuto Orgánico del Sistema Financiero, cuando dicha remisión se realice, en la forma y oportunidad que se les señale.

4. Ámbito de aplicación del Régimen de Autocontrol y Gestión del Riesgo Integral LA/FT/FPADM

Están obligadas a dar aplicación al Capítulo X:

4.1.Las Empresas* sujetas a la vigilancia o al control que ejerce la Superintendencia de Sociedades que hubieren obtenido Ingresos Totales e iguales o superiores a cuarenta mil (40.000) SMLMV, con corte al 31 de diciembre del año inmediatamente anterior.

Estas Empresas deberán dar cumplimiento a lo dispuesto en el numeral 5 del presente Capítulo X (SAGRILAFT).

4.2.Las Empresas* que pertenezcan a cualquiera de los sectores que se señalan a continuación, deberán dar cumplimiento a lo dispuesto en el numeral 5 del presente Capítulo X (SAGRILAFT):

4.2.1. Sector de agentes inmobiliarios

a. Que estén sujetas a la vigilancia o al control que ejerce la Superintendencia de Sociedades conforme lo previsto en los artículos 84 y 85 de la Ley 222 de 1995;

b. Que en su objeto social puedan desarrollar la actividad inmobiliaria (entendida como la prestación de servicios de intermediación en la compra, venta, permuta o arrendamiento de bienes inmuebles a favor de sus clientes) y que en el año calendario inmediatamente anterior hayan realizado negocios o transacciones en relación con dicha actividad, con personas naturales o jurídicas nacionales o extranjeras de derecho público o privado iguales o superiores a cien (100) SMLMV; y

c. Que, a 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a treinta mil (30.000) SMLMV.

4.2.2. Sector de comercialización de metales preciosos y piedras preciosas

a. Que estén sujetas a la vigilancia o al control que ejerce la Superintendencia de Sociedades conforme lo previsto en los artículos 84 y 85 de la Ley 222 de 1995;

b. Que se dediquen habitualmente a la comercialización de metales preciosos y piedras preciosas; y

c. Que, al 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a treinta mil (30.000) SMLMV.

4.2.3. Sector de servicios jurídicos

a. Que estén sujetas a la vigilancia o al control que ejerce la Superintendencia de Sociedades conforme lo previsto en los artículos 84 y 85 de la Ley 222 de 1995;

b. Que su actividad económica esté inscrita en el registro mercantil y la actividad económica generadora para la Empresa el mayor ingreso de Actividad Ordinaria sea, según las normas aplicables, sea la identificada con el código 6910 del CIIU Rev. 4 A.C.; y

c. Que, al 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a treinta mil (30.000) SMLMV.

4.2.4. Sector de servicios contables

a. Que estén sujetas a la vigilancia o al control que ejerce la Superintendencia de Sociedades conforme lo previsto en los artículos 84 y 85 de la Ley 222 de 1995;

b. Que su actividad económica esté inscrita en el registro mercantil y la actividad económica generadora para la Empresa el mayor ingreso de Actividad Ordinaria sea, según las normas aplicables, sea la identificada con el código 6920 del CIIU Rev. 4 A.C.; y

c. Que, al 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a treinta mil (30.000) SMLMV.

4.2.5. Sector de construcción de edificios y obras de ingeniería civil

a. Que estén sujetas a la vigilancia o al control que ejerce la Superintendencia de Sociedades conforme lo previsto en los artículos 84 y 85 de la Ley 222 de 1995;

b. Que su actividad económica esté en el registro mercantil y la actividad económica generadora para la Empresa el mayor ingreso de Actividad Ordinaria, según normas aplicables, sea la identificada con los códigos 4111, 4112, 4210, 4220 o 4290 del CIIU Rev. 4 A.C.; y

c. Que, al 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a treinta mil (30.000) SMLMV.

4.2.6. Servicios de Activos Virtuales

a. Que las Empresas realicen, en nombre propio o de terceros, personas naturales o jurídicas, una o más de las siguientes actividades u operaciones iguales o superiores (individualmente o en conjunto) a cien (100) SMLMV:

i. Intercambio entre Activos Virtuales y monedas fíat;

ii. Intercambio entre una o más formas de Activos Virtuales;

iii. Transferencia de Activos Virtuales;iv. Administración o custodia de Activos Virtuales o instrumentos que permitan el control sobre estos;

v. Participación y provisión de servicios financieros relacionados con la oferta de un emisor o la venta de Activos Virtuales; y

vi. Otras actividades u operaciones con Activos Virtuales; y

b. Que, al 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a tres mil (3.000) SMLMV o tenido Activos iguales o superiores a cinco mil (5.000) SMLMV.

Las Empresas que pertenezcan al sector de Activos Virtuales deberán dar cumplimiento, además de lo dispuesto en el numeral 5 del presente Capítulo X (SAGRILAFT), al proceso de Debida Diligencia Intensificada para conocer a su Contraparte y a los Activos Virtuales, establecido en el numeral 5.3.2 del presente Capítulo X.

4.2.7. Sectores de supervisión especial o regímenes especiales*

a. Las Sociedades Administradoras de Planes de Autofinanciamiento Comercial (SAPAC).

b. Las Sociedades Operadoras de Libranza, vigiladas por la Superintendencia de Sociedades.

c. Las Sociedades que lleven a cabo Actividades de Mercado Multinivel.d. Los fondos ganaderos.

e. Las Sociedades que realicen actividades de factoring, vigiladas por la Superintendencia de Sociedades.

4.2.8. Régimen aplicable a las Empresas que reciban aportes en Activos Virtuales

Las Empresas que, al 31 de diciembre del año inmediatamente anterior, hubieren recibido uno o varios aportes de Activos Virtuales iguales o superiores (individualmente o en conjunto) a cien (100) SMLMV, deberán dar cumplimiento a lo dispuesto en el numeral 5 del presente Capítulo X (SAGRILAFT) y deberán aplicar el proceso de Debida Diligencia Intensificada para conocer a su Contraparte y a los Activos Virtuales, establecido en el numeral 5.3.2 del presente Capítulo X.

4.3. Las APNFD** que pertenezcan a cualquiera de los sectores que se señalan a continuación, siempre y cuando cumplan con todos los requisitos que se indican para el respectivo sector, deberán dar cumplimiento a lo dispuesto en el numeral 6 del presente Capítulo X (Régimen de Medidas Mínimas):

4.3.1. Sector de agentes inmobiliarios

a. Que se dediquen habitualmente a la prestación de servicios de intermediación en la compra, venta o arrendamiento de bienes inmuebles a favor de sus clientes; y

b. Que, a 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a tres mil (3.000) SMLMV o tenido Activos iguales o superiores a cinco mil (5.000) SMLMV.

4.3.2. Sector de comercialización de metales preciosos y piedras preciosas

a. Que se dediquen habitualmente a la comercialización de metales preciosos y piedras preciosas; y

b. Que, al 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a tres mil (3.000) SMLMV o tenido Activos iguales o superiores a cinco mil (5.000) SMLMV.

4.3.3. Sector de servicios jurídicos

a. Que su actividad económica esté inscrita en el registro mercantil y la actividad económica generadora para la Empresa del mayor ingreso de Actividad Ordinaria esté, según normas aplicables, identificada con el código 6910 del CIIU Rev. 4 A.C. y

b. Que, a 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a tres mil (3.000) SMLMV o tenido Activos iguales o superiores a cinco mil (5.000) SMLMV.

4.3.4. Sector de servicios contables

a. Que su actividad económica esté inscrita en el registro mercantil o la actividad económica generadora para la Empresa del mayor Ingreso de Actividad Ordinaria sea, según las normas aplicables, la identificada con el código 6920 del CIIU Rev. 4 A.C.; y

b. Que, al 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a tres mil (3.000) SMLMV o tenido Activos iguales o superiores a cinco mil (5.000).

5. Sistema de Autocontrol y Gestión del Riesgo LA/FT/FPADM - SAGRILAFT

Las Empresas Obligadas, mencionadas en los numerales 4.1 y 4.2 del presente Capítulo X, deberán poner en marcha un SAGRILAFT, en los términos establecidos en este Capítulo.

El SAGRILAFT deberá establecer, entre otros elementos, una Política LA/FT/FPADM y un manual de procedimientos de gestión del Riesgo LA/FT/FPADM.

El SAGRILAFT deberá tener en cuenta los riesgos propios de la Empresa Obligada** y la materialidad, relacionados con LA/FT/FPADM, por lo cual se debe analizar el tipo de actividad, el tamaño, las Áreas Geográficas donde operan y demás características particulares. Para los anteriores fines, las Empresas Obligadas deberán elaborar y adoptar una Matriz de Riesgo LA/FT/FPADM con una metodología de identificación del Riesgo LA/FT/FPADM que les permita medir y auditar su evolución.

El objetivo es identificar y manejar los Riesgos LA/FT/FPADM de cada Empresa Obligada, con la premisa de que a mayor riesgo se debe tener mayor control.

5.1. Elementos del SAGRILAFT

La puesta en marcha del SAGRILAFT requiere del cumplimiento efectivo de la Política LA/FT/FPADM y los procedimientos de diseño, aprobación, seguimiento, divulgación y capacitación incluidos en el manual, en los términos descritos más adelante, y debe ser debidamente difundido al interior de la Empresa: a sus empleados, asociados, administradores y demás vinculados o partes interesadas.

Dentro de los elementos del SAGRILAFT se incluyen:

5.1.1. Diseño y aprobación

El diseño del SAGRILAFT estará a cargo de la Empresa Obligada, para lo cual deberá tener en cuenta los riesgos y demás características propias de la Empresa y su actividad, así como la determinación de los Factores de Riesgo LA/FT/FPADM (Matriz de Riesgo LA/FT/FPADM), su individualización, identificación y segmentación de riesgos, evaluación y monitoreo, establecimiento de medidas de mitigación, el mínimo riesgo social aceptable o tolerable, definición y ejecución de las medidas operativas, técnicas, humanas, tecnológicas y de otra índole que deben tomarse para que el Oficial de Cumplimiento pueda desarrollar sus labores de manera adecuada.

La aprobación del SAGRILAFT será responsabilidad de la junta directiva en las Empresas

que cuenten con este órgano, o del máximo órgano social en los demás casos. El proyecto

de SAGRILAFT deberá ser presentado conjuntamente por el representante legal y el Oficial

de Cumplimiento. La aprobación deberá constar en el acta de la reunión correspondiente.

5.1.2. Auditoría y cumplimiento del SAGRILAFT

Con el fin de que en la Empresa Obligada haya una persona responsable de la auditoría y verificación del cumplimiento del SAGRILAFT, se deberá designar un Oficial de Cumplimiento.

Para evitar la suspensión de actividades del Oficial de Cumplimiento principal, la Empresa Obligada deberá evaluar y, si es del caso, realizar la designación de un Oficial de Cumplimiento suplente.

La junta directiva deberá realizar esa designación. En el evento de que no exista junta directiva, la representación legal propondrá la persona que ocupará la función de Oficial de Cumplimiento, para la designación por parte del máximo órgano social.

La Empresa Obligada deberá certificar que el Oficial de Cumplimiento cumple con los requisitos exigidos en el presente Capítulo X y deberá informar por escrito a la Superintendencia de Sociedades, dirigido a la Delegatura de Asuntos Económicos y Societarios, dentro de los quince (15) días hábiles siguientes a la designación, el nombre, identificación, dirección, correo electrónico y número de teléfono del Oficial de Cumplimiento principal y suplente (cuando sea procedente).

La anterior información se deberá remitir la hoja de vida del Oficial de Cumplimiento y copia del acta de la junta directiva o máximo órgano social en la que conste la designación o autorización para ser designado, según corresponda.

El mismo procedimiento deberá efectuarse cuando ocurra el cambio de Oficial de Cumplimiento.

El Oficial de Cumplimiento deberá tener un título profesional y acreditar experiencia mínima de seis (6) meses en el desempeño de cargos relacionados con la administración del SAGRILAFT, y adicionalmente, acreditar conocimiento en materia de administración del Riesgo LA/FT/FPADM a través de especialización, cursos, diplomados, seminarios, congresos o cualquier otro sistema, incluyendo pero sin limitarse a cualquier programa ofrecido por la UIAF o las entidades que la UIAF a los efectos del sistema nacional contra el lavado de activos y contra la financiación del terrorismo.

En la Empresa Obligada, su representante legal y la junta directiva, en los casos en que exista este órgano, deben asegurarse de tener las medidas operativas, económicas, físicas, tecnológicas y humanas necesarias para la puesta en marcha del SAGRILAFT, proporcionando adecuado uso de las labores de auditoría y cumplimiento del mismo.

El SAGRILAFT debe incluir las sanciones o consecuencias para empleados, administradores, asociados y terceros, por el incumplimiento o inobservancia de sus disposiciones.

5.1.3. Divulgación y capacitación

El SAGRILAFT deberá ser divulgado dentro de la Empresa Obligada y a las demás partes interesadas, de forma permanente, con el fin de asegurar su adecuado cumplimiento, como mínimo, una (1) vez al año.

Igualmente, la Empresa Obligada deberá brindarles capacitación a aquellos empleados,

asociados y, en general, a todas las partes interesadas que considere que deban conocer el

SAGRILAFT, lo cual se hará en la forma y frecuencia que la Empresa Obligada determine,

con el propósito de asegurar su adecuado cumplimiento. Como resultado de esta divulgación y capacitación, todas las partes interesadas deberán estar en capacidad de

identificar qué es una Operación Inusual o qué es una Operación Sospechosa, y el

contenido y la forma como debe reportarse, entre otras.

La capacitación en Empresas Obligadas debe hacerse de forma que el SAGRILAFT sea asimilado por los interesados y por quienes deban ponerlo en marcha, de manera que forme parte de la cultura de la Empresa Obligada. Si bien la periodicidad de esas capacitaciones estará determinada por cada Empresa Obligada, estas deberán tener lugar por lo menos una (1) vez al año, y se deberá dejar constancia de su realización, así como de los nombres de los asistentes, la fecha y los asuntos tratados.

5.1.4. Asignación de funciones a los responsables y otras generalidades

Las Empresas Obligadas deben establecer y asignar de forma clara, a quién corresponde el ejercicio de las facultades y funciones necesarias frente a la ejecución de las distintas etapas, elementos y demás actividades asociadas al SAGRILAFT.

Al hacerlo, la Empresa Obligada deberá tener en cuenta que esas funciones y facultades deben traducirse en acciones de coordinación orientadas a la actuación de la Empresa Obligada, empleados, asociados, administradores, terceros y demás partes interesadas.

De esta forma, con la implementación del SAGRILAFT y el cumplimiento cabal de todas las medidas de prevención y control que así se señalen, se busca que en la Empresa Obligada y sus administradores se tengan insumos que les permitan tomar decisiones informadas y que faciliten la mitigación del Riesgo LA/FT/FPADM.

En tal sentido, para la Empresa Obligada debe ser claro que el funcionamiento del SAGRILAFT requiere de la participación de varios sujetos, y si bien existen funciones específicas para algunos, la actuación de todos los responsables es fundamental para un adecuado funcionamiento, cumplimiento y efectividad del SAGRILAFT.

Además de las funciones particulares que se asignen, las Empresas Obligadas deberán establecer en el SAGRILAFT como mínimo las siguientes atribuciones generales:

5.1.4.1. Funciones de la junta directiva o del máximo órgano social

La junta directiva o el máximo órgano social (cuando aquella no existe), es el órgano responsable de la puesta en marcha y efectividad del SAGRILAFT. Para ello, deberá ejercer funciones de direccionamiento que aseguren el logro efectivo de estos propósitos.

A continuación, se relaciona un listado mínimo de funciones que deberán ser expresamente asignadas a la junta directiva, o el máximo órgano social cuando sea el caso, según el caso:

a. Establecer y aprobar para la Empresa Obligada una Política LA/FT/FPADM.

b. Aprobar el SAGRILAFT y sus actualizaciones, presentadas por el representante legal y el Oficial de Cumplimiento.

c. Aprobar el manual de procedimientos SAGRILAFT y sus actualizaciones.

d. Seleccionar y designar al Oficial de Cumplimiento y su respectivo suplente, cuando sea aplicable.

e. Analizar oportunamente los informes sobre el funcionamiento del SAGRILAFT, sobre los reportes que estén relacionados con la administración del sistema por parte del Oficial de Cumplimiento, y con las gestiones respecto de la totalidad de los temas allí tratados.

f. Conocer los reportes de las denuncias y solicitudes presentadas por el representante legal, empleados u otras partes interesadas.

g. Conocer los resultados de los informes presentados de la revisión fiscal o las auditorías externas e internas, sobre el cumplimiento del SAGRILAFT.

h. Establecer y garantizar los recursos técnicos, logísticos y humanos necesarios para implementar y mantener en funcionamiento el SAGRILAFT, según los requerimientos que para el efecto realice el Oficial de Cumplimiento.

i. Establecer los criterios para aprobar la vinculación de Contraparte cuando sea una PEP.

j. Establecer pautas y determinar los responsables de realizar auditorías sobre el cumplimiento y efectividad del SAGRILAFT, en caso de que así lo determine.

k. Verificar que el Oficial de Cumplimiento cuente con la disponibilidad y capacidad necesaria para desarrollar sus funciones.

l. Constatar que la Empresa Obligada, el Oficial de Cumplimiento y el representante legal desarrollen las actividades designadas en este Capítulo X y en el SAGRILAFT.

5.1.4.2. Funciones del representante legal

El SAGRILAFT debe contemplar, como mínimo, las siguientes funciones a cargo del representante legal:

a. Presentar con el Oficial de Cumplimiento, para aprobación de la junta directiva o el máximo órgano social, la propuesta del SAGRILAFT y sus actualizaciones, así como su respectivo manual de procedimientos.

b. Estudiar los resultados de la evaluación del Riesgo LA/FT/FPADM efectuada por el Oficial de Cumplimiento y establecer los planes de acción que correspondan.

c. Asignar de manera eficiente los recursos técnicos y humanos, determinados por la junta directiva o el máximo órgano social, necesarios para implementar el SAGRILAFT.

d. Verificar que el Oficial de Cumplimiento cuente con la disponibilidad y capacidad necesarias para desarrollar sus funciones.

e. Prestar efectiva, directa y oportuno apoyo al Oficial de Cumplimiento en el diseño, implementación, auditoría y verificación del SAGRILAFT.

f. Presentar a la junta directiva o al máximo órgano social, los reportes, solicitudes y alertas que surjan de sus funciones, sobre los temas que se relacionen con el SAGRILAFT.

g. Asegurar que las actividades que resulten del desarrollo del SAGRILAFT se documenten de manera oportuna y confiable, y que se permita que la información responda a unos criterios de integridad, confidencialidad, disponibilidad y trazabilidad, incluyendo la información registrada.

h. Certificar ante la Superintendencia de Sociedades, en los términos de lo previsto en el presente Capítulo X, cuando lo requiera esta Superintendencia.

i. Someter ante la junta directiva o el máximo órgano social la propuesta del nombre de la persona que ocupará la función de Oficial de Cumplimiento, para la designación por parte de dicho órgano.

j. Poner en marcha y mantener actualizada la Política LA/FT/FPADM adoptada por la junta directiva o máximo órgano social en caso que no exista junta directiva.

5.1.4.3. Oficial de Cumplimiento

El Oficial de Cumplimiento debe participar activamente en los procedimientos de diseño,

dirección, implementación, auditoría, verificación del cumplimiento y monitoreo del

SAGRILAFT, y estar en capacidad de tomar decisiones frente a la gestión del Riesgo

LA/FT/FPADM. Por su parte, la administración de la Empresa Obligada deberá brindarle un

apoyo efectivo y los recursos humanos, físicos, financieros y técnicos necesarios para llevar

a cabo la implementación, auditoría y cumplimiento del SAGRILAFT.

La Empresa deberá determinar de manera expresa:

• (i) el perfil del Oficial de Cumplimiento;

• (ii) las incompatibilidades o inhabilidades;

• (iii) administración de conflictos de interés; y

• (iv) todas las funciones específicas que se le asignen a la persona que tenga dicha responsabilidad, adicionales a las establecidas en este Capítulo X.

  
  

5.1.4.3.1. Requisitos mínimos para ser designado como Oficial de Cumplimiento

La persona natural designada como Oficial de Cumplimiento debe cumplir como mínimo con los siguientes requisitos:

a. Gozar de la capacidad de tomar decisiones para gestionar el Riesgo LA/FT/FPADM y tener comunicación directa con, y depender directamente de, la junta directiva o el máximo órgano social en caso de que no exista junta directiva.

b. Contar con conocimientos suficientes en materia de administración del riesgo en relación con el giro ordinario de las actividades de la Empresa, de conformidad con lo establecido en el numeral 5.1.2 del presente Capítulo X.

c. Tener el perfil adecuado, el cargo de trabajo y funciones, de acuerdo con el Riesgo LA/FT/FPADM y el tamaño de la Empresa Obligada.

d. No pertenecer a la administración o a los órganos de control, ni de auditoría o control interno, en caso de que existan (o vinculado a empresas que ejerzan funciones sobre estos entes, si es el caso) o que tengan funciones similares o haga sus veces.

e. No fungir como Oficial de Cumplimiento en más de diez (10) Empresas Obligadas. Cuando el Oficial de Cumplimiento de más de una Empresa Obligada (i) deba ser objeto de verificación externa adicional, y (ii) por algún caso especial, la Oficial de Cumplimiento deberá verificar que el Oficial de Cumplimiento no actúa como tal en más empresas que cumplen este límite.

f. Cuando el Oficial de Cumplimiento no se encuentre vinculado laboralmente a la Empresa Obligada, esta persona natural y la persona jurídica a la que esté vinculado, si es del caso, deberán demostrar que en sus actividades profesionales cumplen con las medidas mínimas establecidas en la sección 5.3.1 (Debida Diligencia) de este Capítulo X.

g. Cuando exista un grupo empresarial o una situación de control declarada, el Oficial de Cumplimiento de la matriz o controlante podrá ser la misma persona para todas las Empresas que pertenezcan al grupo o conglomerado, independientemente del número de Empresas que lo conformen.

5.1.4.3.2. Funciones del Oficial de Cumplimiento

Además de las funciones que se le asignen al Oficial de Cumplimiento en el SAGRILAFT de cada Empresa Obligada, deberá cumplir, como mínimo, las siguientes:

a. Velar por el cumplimiento efectivo, eficiente y oportuno del SAGRILAFT.

b. Presentar, por lo menos una vez al año, informes a la junta directiva o, en su defecto, al máximo órgano social. Como mínimo, los reportes deberán contener una evaluación y análisis sobre la eficiencia y efectividad del SAGRILAFT y, de ser el caso, proponer las mejoras respectivas. Asimismo, demostrar los resultados de la gestión del Oficial de Cumplimiento y de los reportes derivados de la Empresa, en general, en el cumplimiento del SAGRILAFT.

c. Promover la adopción de correctivos y actualizaciones al SAGRILAFT, cuando sea necesario, presentando por lo menos una vez cada dos (2) años. Para ello deberá presentar justificaciones ante el máximo órgano social, según el caso, las propuestas y justificaciones que soporten las modificaciones sugeridas al SAGRILAFT.

d. Impulsar el desarrollo de programas internos de capacitación.

e. Evaluar los informes de las auditorías externas o internas que evalúen funciones similares a las suyas, los informes que presente el revisor fiscal o la auditoría externa, si es del caso, y aplicar las Medidas Razonables frente a las recomendaciones contenidas en estos. Dichas medidas deben ser adoptadas oportunamente en coordinación con el área jurídica, siempre que sus actuaciones sean ajustadas a los requerimientos de la Empresa.

f. Certificar ante la Superintendencia de Sociedades el cumplimiento de lo previsto en el presente Capítulo X, cuando lo requiera la Superintendencia de Sociedades.

g. Verificar el cumplimiento de los procedimientos de Debida Diligencia y Debida Diligencia Intensificada, aplicables a la Empresa.

h. Velar por el adecuado archivo de los soportes documentales y demás información relativa a la gestión y prevención del Riesgo LA/FT/FPADM.

i. Diseñar las metodologías de clasificación, identificación, medición y control del Riesgo LA/FT/FPADM que formarán parte del SAGRILAFT.

j. Realizar la evaluación del Riesgo LA/FT/FPADM a los que se encuentra expuesta la Empresa.

k. Realizar el Reporte de las Operaciones Sospechosas a la UIAF y cualquier otro reporte que le exija por las disposiciones vigentes, conforme lo establezca dichas normas y este Capítulo X.

5.1.4.4. Órganos y funciones de control adicionales

Además de los órganos e instancias enunciadas, las Empresas Obligadas pueden establecer otros adicionales encargados de efectuar una evaluación del cumplimiento y efectividad del SAGRILAFT, teniendo en cuenta la Política LA/FT/FPADM adoptada por la junta directiva o el máximo órgano social, conforme fuere aplicable.

5.1.4.5. Revisor fiscal

Las funciones de este órgano se encuentran expresamente señaladas en la ley, en particular el artículo 207 del Código de Comercio, el cual señala, especialmente, la relacionada con la obligación de reporte a la UIAF de las Operaciones Sospechosas, cuando las adviertan dentro del giro ordinario de sus labores, conforme lo señala el numeral 10 de dicho artículo.

Para efectos de lo previsto en el numeral 10 del artículo 207 citado, el revisor fiscal debe solicitar usuario y contraseña en el SIREL, administrado por la UIAF, para el envío de los ROS.

En todo caso, el revisor fiscal, a pesar de la obligación de guardar la reserva profesional en todo aquello que conozca en razón de su oficio, no podrá invocar la reserva, en virtud de la responsabilidad inherente a sus funciones y conforme a la legislación vigente. Así, por tanto, deberá levantarla, cuando se deba informar revelación con base en la ley. Así, por ejemplo, en los casos de detección de posibles hechos asociados al lavado de activos o financiación del terrorismo, tiene la obligación de remitir estas sospechas a la autoridad competente.

Igualmente, se debe tener en cuenta que los revisores fiscales se encuentran cobijados por el deber de denuncia, en cuanto a que están sujetos los ciudadanos (artículo 67 CPP¹).

Adicionalmente, el parágrafo del artículo 10 de la Ley 43 de 1990 establece lo siguiente:

A su turno, el artículo 32 de la Ley 1778 de 2016², le impone a los revisores fiscales, el deber de denunciar ante las autoridades penales, disciplinarias y administrativas competentes, cualquier acto de corrupción o conducta en ejercicio del encargo social, como el de LA, que detecte en el ejercicio de sus funciones, en perjuicio de la Empresa o sus asociados. También podrá hacerlo ante la asamblea o el máximo órgano social de la administración de la sociedad.

¹ Artículo 67, Deber de denunciar. Toda persona debe denunciar a la autoridad los delitos de cuya comisión tenga conocimiento y que deban ser perseguidos de oficio.² “Si en desarrollo de una investigación de los entes de control, se iniciara sin tratar a su conocimiento actos de corrupción, los revisores fiscales deben poner en conocimiento de las autoridades competentes, sin que ello constituya violación a la reserva profesional.”

📌 Modificado por el numeral 26 de la Ley 43 de 1990.

denuncias correspondientes deberán presentarse dentro de los seis (6) meses siguientes al momento en que el revisor fiscal hubiere tenido conocimiento de los hechos.¹⁴

En calidad de funcionarios públicos, los cobija el deber previsto en el artículo 38 de la Ley 1952 de 2019 (por la cual se expide el Código General Disciplinario) que señala como deber de todos los servidores públicos:

Para cumplir con su deber, el revisor fiscal, en el análisis de información contable y financiera, debe prestar atención a los indicadores que puedan dar lugar a sospecha de un comportamiento en posible LA/FT/FPADM. Se sugiere tener en cuenta las Normas Internacionales de Auditoría – NIA 200, 240 y 250 y consultar la Guía sobre el papel de la revisoría fiscal en la lucha contra el soborno transnacional y LA/FT/FPADM, disponible en el sitio de Internet de la Superintendencia.

5.1.4.6. Auditoría Interna

Sin perjuicio de las funciones asignadas en otras disposiciones a la auditoría interna, se

recomienda como una buena práctica empresarial que las personas a cargo del ejercicio de

estas funciones, incluyan dentro de sus planes anuales de auditoría la revisión de la

efectividad y cumplimiento del SAGRILAFT, con el fin de servir de fundamento para que,

tanto el Oficial de Cumplimiento y la administración de la Empresa Obligada, puedan

determinar la existencia de deficiencias del SAGRILAFT y sus posibles soluciones. En ese

sentido, el resultado de dichas auditorías internas debe ser comunicado al representante

legal, al Oficial de Cumplimiento y a la junta directiva o al máximo órgano social.

5.1.4.7. Contenido de los informes a cargo de los diferentes órganos

Los informes que deban presentar el representante legal, el Oficial de Cumplimiento o los

órganos internos de control, según el caso, deberán dar cuenta de los resultados, análisis,

evaluaciones y correctivos en la implementación, gestión, avance, cumplimiento, dificultades

y efectividad alcanzados mediante el SAGRILAFT. La revisoría fiscal y la auditoría interna,

podrán incluir propuestas de mejora cuando ello sea pertinente.

5.1.4.8. Incompatibilidades e inhabilidades de los diferentes órganos

En el establecimiento de los órganos e instancias encargados de efectuar una evaluación del cumplimiento y efectividad del SAGRILAFT, la Empresa Obligada deberá tener en cuenta los conflictos de interés, las incompatibilidades y las inhabilidades de los responsables de la ejecución de sus funciones. Para ello, se recomienda revisar lo establecido por el Comité de Supervisión Bancaria de Basilea sobre las tres (3) líneas de defensa para prevenir y controlar el Riesgo LA/FT/FPADM.¹⁵

En ese sentido y dada la diferencia de las funciones que corresponden al revisor fiscal, al representante legal y al Oficial de Cumplimiento, no se deberá designar revisor fiscal o al representante legal como Oficial de Cumplimiento.

¹⁴ Artículo 7°. Responsabilidad de los revisores fiscales. Adiciónese un numeral 5 al artículo 26 de la Ley 43 de 1990, el cual quedará así:

“5. Deber de denunciar. Toda persona debe denunciar a la autoridad los delitos de cuya comisión tenga conocimiento y que deban ser perseguidos de oficio…”

¹⁵ Comité de Supervisión Bancaria de Basilea “Auditoría interna en bancos”: la normativa recomienda que la auditoría interna evalúe continuamente la eficacia del sistema general de control interno, incluidos los controles sobre actividades de cumplimiento normativo relacionadas con el lavado de activos y la financiación del terrorismo. También sugiere que se realicen evaluaciones periódicas de la eficacia de los programas de cumplimiento y que se establezcan líneas claras de responsabilidad para mitigar los riesgos de integridad financiera.

5.2. Etapas del SAGRILAFT

El SAGRILAFT deberá contemplar, como mínimo, las siguientes etapas para identificar, prevenir, controlar y gestionar el Riesgo de LA/FT/FPADM y las consecuencias de su materialización:

5.2.1. Identificación del Riesgo LA/FT/FPADM

El SAGRILAFT debe permitirle a las Empresas Obligadas identificar los Factores de Riesgo LA/FT/FPADM, así como los riesgos asociados con ellos.

Para identificar el Riesgo LA/FT/FPADM, las Empresas Obligadas deben, como mínimo:

a. Clasificar los Factores de Riesgo LA/FT/FPADM de conformidad con la actividad económica de la Empresa Obligada y su materialidad.

b. Establecer, una vez sean identificados, individualizados y segmentados los Factores de Riesgo LA/FT/FPADM, las metodologías para identificar el riesgo específico, como el Riesgo Reputacional, el Riesgo Operativo, el Riesgo Legal, entre otros posibles riesgos asociados. Con base en esa clasificación y segmentación, se deben señalar, identificar e individualizar los riesgos.

c. Establecer, una vez clasificados y segmentados los Factores de Riesgo LA/FT/FPADM, las condiciones de tiempo, modo y lugar, así como la relevancia y la prioridad con que se deben ejecutar las medidas de Debida Diligencia.

d. Disponer e implementar los mecanismos y medidas que les permitan un adecuado conocimiento, identificación e individualización de los Factores de Riesgo LA/FT/FPADM que le resultan aplicables.

5.2.2. Medición o evaluación del Riesgo LA/FT/FPADM

Concluida la etapa de identificación, el SAGRILAFT debe permitir a las Empresas Obligadas evaluar la posibilidad o probabilidad de que el Riesgo Inherente frente a cada uno de los Factores de Riesgo LA/FT/FPADM, así como el impacto en caso de materializarse los riesgos asociados. Estas mediciones podrán tener carácter cualitativo o cuantitativo.

Como resultado de esta etapa, las Empresas Obligadas deben estar en capacidad de establecer el perfil de Riesgo Inherente de la Empresa, de las medidas agregadas en cada Factor de Riesgo LA/FT/FPADM y en sus riesgos asociados.

Dentro de la medición o evaluación del Riesgo LA/FT/FPADM, las Empresas Obligadas deben, como mínimo:

a. Establecer las metodologías para la medición o evaluación del Riesgo LA/FT/FPADM, con el fin de determinar la posibilidad o probabilidad de ocurrencia y el impacto en caso de materializarse.

b. Evaluar los niveles de los Factores de Riesgo LA/FT/FPADM de manera individual y conjunta, con base en cada uno de los Factores de Riesgo LA/FT/FPADM y los riesgos asociados que fueron identificados.

c. Determinar si el Riesgo LA/FT/FPADM cuando incurrieren en nuevos mercados u ofrezca nuevos productos.

5.2.3. Control del riesgo

El SAGRILAFT debe permitirle a las Empresas Obligadas tomar las Medidas Razonables para el control del Riesgo Inherente al que se vean expuestas.

Como resultado de la aplicación de los controles respectivos, las Empresas Obligadas deben estar en capacidad de establecer su perfil de Riesgo Residual. El control debe traducirse en una disminución de la posibilidad o probabilidad de acaecer el Riesgo LA/FT/FPADM o del impacto en caso de materializarse.

Para controlar el Riesgo LA/FT/FPADM, las Empresas Obligadas deben adoptar, entre otras medidas, el establecimiento de metodologías y la creación de una Matriz de Riesgo LA/FT/FPADM para definir los mecanismos de control más adecuados y su aplicación a los Factores de Riesgo LA/FT/FPADM identificados.

Para controlar el Riesgo LA/FT/FPADM, la Empresa Obligada debe, como mínimo:

a. Establecer las metodologías para definir las Medidas Razonables de control del Riesgo LA/FT/FPADM.

b. Aplicar las metodologías a cada uno de los Factores de Riesgo LA/FT/FPADM.

c. Establecer controles y herramientas para la detección de Operaciones Inusuales y Operaciones Sospechosas, tanto en los factores Operacionales como en los de Identificación, segmentación e individualización de los Factores de Riesgo LA/FT/FPADM y conforme a la Matriz de Riesgo LA/FT/FPADM, teniendo en cuenta que a mayor riesgo, mayor control.

5.2.4. Monitoreo del riesgo

El SAGRILAFT debe permitirle a las Empresas Obligadas ejercer vigilancia respecto del perfil de riesgo y, en general, estar en condiciones de detectar Operaciones Inusuales y Operaciones Sospechosas.

Para monitorear el Riesgo LA/FT/FPADM, las Empresas Obligadas deben, como mínimo:

a. Realizar el seguimiento periódico y comparativo del Riesgo Inherente y Riesgo Residual asociados al Riesgo LA/FT/FPADM y de los factores que lo componen.

b. Desarrollar un proceso de seguimiento continuo y efectivo que facilite la rápida detección y corrección de las deficiencias del SAGRILAFT. Dicha verificación y revisión de controles deberá coincidir con el perfil de Riesgo Residual de la Empresa Obligada.

c. Asegurar que los controles sean integrales y se actualicen cuando los riesgos y que funcionen en forma oportuna, efectiva y eficiente.

d. Verificar que los controles sean conocidos y estén en niveles de aceptación establecidos por la Empresa Obligada.

5.3. Procedimientos de Debida Diligencia y Debida Diligencia Intensificada

Uno de los principales instrumentos para prevenir y controlar los Riesgos LA/FT/FPADM a los que se expone una Empresa Obligada es la adopción de los procedimientos de Debida Diligencia. Cada Empresa Obligada debe aplicar las medidas de Debida Diligencia que resulten adecuadas conforme al riesgo asociado con su modelo de negocio.

Para aplicar este instrumento, las Empresas Obligadas deben utilizar un enfoque basado en el riesgo, y establecer procedimientos adecuados conforme a los productos, canales y operaciones. Productos y contratos que lleve a cabo o pretenda desarrollar, así como sus Contrapartes, Países o Áreas Geográficas de operación y demás características asociadas. Los procedimientos de Debida Diligencia se aplicarán de acuerdo con la naturaleza y el tamaño del negocio.

5.3.1. Debida Diligencia

En todo caso, las Empresas Obligadas siempre deben adoptar Medidas Razonables de Debida Diligencia de la Contraparte, con un enfoque basado en riesgo y la materialidad del mismo.

Para tal efecto, deben adoptar las siguientes medidas mínimas conforme a la materialidad, entre otras:

a. Identificar a la Contraparte y verificar su identidad utilizando documentos, datos o información confiable, de fuentes independientes.

b. Identificar al Beneficiario Final de la Contraparte y tomar Medidas Razonables para verificar su identidad.

c. Conocer la estructura de propiedad de la Contraparte, tomar Medidas Razonables para conocer la estructura de su propiedad con el fin de obtener el nombre y la información de los Beneficiarios Finales, haciendo uso de las fuentes que se consideren apropiadas. Las Empresas deberán asegurarse de que el tipo y el alcance de la materialidad de la complejidad incluida en la estructura utilizada del negocio esté justificada y no oculte su propósito.

d. Entender, y cuando sea posible, obtener información sobre el propósito y el tipo de negocio que se pretende dar a conocer con la relación.

e. Realizar una Debida Diligencia continua en la relación comercial y examinar las transacciones llevadas a cabo a lo largo de esa relación para asegurar que las transacciones que se realicen sean consistentes con el conocimiento que tiene la Empresa Obligada sobre la Contraparte, su actividad comercial y el perfil de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos.

Las Empresas Obligadas podrán diseñar y definir formatos para el adecuado conocimiento de las Contrapartes. Estos formatos podrán ajustarse de acuerdo con las características de cada industria o sector económico al que pertenezcan, y conforme a los Factores de Riesgo LA/FT/FPADM identificados, a la Matriz de Riesgo LA/FT/FPADM y la materialidad del Riesgo LA/FT/FPADM.

Para el análisis de las operaciones con las Contrapartes, la Empresa Obligada debe construir una base de datos o documento que le permita consolidar e identificar alertas presentes o futuras. Esta base debe contener, como mínimo, el nombre de la Contraparte, ya sea persona natural o jurídica, la identificación, el domicilio, el Beneficiario Final, el nombre del representante legal, el nombre de la persona de contacto, el cargo que desempeña, fecha del proceso de conocimiento o monitoreo de la Contraparte.

Las Empresas Obligadas no deben ser requeridas a reportar esta información a la Superintendencia de Sociedades, en la oportunidad y condiciones que la entidad lo establezca.

El monitoreo y actualización del proceso de Debida Diligencia deberá hacerse con la periodicidad que determine el riesgo por la Empresa Obligada y por lo menos cada dos (2) años o cada vez que aparezca necesidad, conforme a los cambios de las condiciones jurídicas y reputacionales de la Contraparte, no sólo en el momento de su vinculación.

En atención al cumplimiento de las obligaciones internacionales de Colombia, relativas a la prohibición de disposiciones sobre comercio y prohibición de manejo de bienes y activos por parte de personas o entidades enlistadas, entre otras, las empresas y entidades Obligadas al cumplimiento de las Resoluciones de las Naciones Unidas, relacionadas con el Financiamiento del Terrorismo, en consonancia con el artículo 20 de la Ley 1121 de 2006 y las Recomendaciones GAFI No. 6 y 7, las Empresas Obligadas deben consultar permanentemente las Listas Vinculantes.

En el evento en el que se identifique o verifique cualquier bien, Activo, Producto, fondo o derecho de propiedad o de beneficio de la administración o control por cualquier persona o entidad incluida en las Listas Vinculantes, el Oficial de Cumplimiento, de manera inmediata, deberá reportarlo a la UIAF y poner en conocimiento de la Fiscalía General de la Nación. La información se enviará a la UIAF a través del correo electrónico:

Las Empresas Obligadas, previo al inicio de la relación contractual o legal, deberán haber cumplido con los procedimientos de Debida Diligencia que forman parte del SAGRILAFT, entregando para tal efecto los soportes exigidos o requeridos. De igual manera, la vinculación de la Contraparte debe haber sido aprobada por el funcionario o persona encargada, de acuerdo con la Política LA/FT/FPADM de la Empresa Obligada. Si la Empresa Obligada no puede llevar a cabo la Debida Diligencia satisfactoriamente, deberá abstenerse de iniciar o de mantener la relación legal o contractual, así como también la ejecución del respectivo negocio u operación.

Excepcionalmente, las Empresas Obligadas pueden completar la verificación después de establecer la relación comercial o jurídica, si así ha sido establecido en su Política LA/FT/FPADM, siempre que esto ocurra en un lazo y razonablemente posible. La Política LA/FT/FPADM deberá indicar los procedimientos en los que una operación o una relación contractual pueda hacerse sin previo cumplimiento del conocimiento normal de la operación. En todo caso, deberá haber una justificación documentada del motivo del inicio de dicha relación sin los debidos documentos de Debida Diligencia, así como el riesgo que se establece a las condiciones bajo las cuales la Contraparte puede utilizar la relación antes de esta verificación.

Si no se puede completar la Debida Diligencia satisfactoriamente con posterioridad al inicio de la relación contractual, la Empresa Obligada deberá evaluar de acuerdo con su Política LA/FT si debe continuar con la relación contractual y si es procedente hacer un ROS en relación con la Contraparte.

5.3.1.1. Consideraciones adicionales sobre la Debida Diligencia:

a. Operaciones de efectivo:

La realización de operaciones en las que se maneje efectivo constituyen un Factor de Riesgo LA/FT/FPADM. Por lo tanto, la Empresa Obligada que realice operaciones en efectivo, deberá reglamentar la forma en que se manejará dicho dinero en los procesos con sus Contrapartes, para lo cual, habrá de tenerse en cuenta, cuando menos, las características del tipo de operación y del cliente o usuario de la Empresa Obligada.

Es deber de la Empresa Obligada diseñar y establecer patrones que se consideren anormales en su funcionamiento para que, aquellas operaciones en efectivo que se aparten del mismo, puedan ser consideradas como una señal de alerta.

b. Ventas masivas:

Cuando la comercialización de los Productos se hace mediante ventas masivas o retail que se realizan con facilidad y eficiencia, llevar a cabo la Debida Diligencia de la Contraparte, lo cual debe estar evaluado y documentado, con los umbrales dispuestos aplicables, se deben establecer los controles sobre la relación de la Contraparte en las Operaciones Inusuales.

c. Transacciones con Activos Virtuales:

Si determinado negocio involucra transacciones con Activos Virtuales, es indispensable que la Empresa Obligada adopte las Medidas Razonables para la identificación de la Contraparte (persona natural o jurídica con quien se realizará la operación) y de los riesgos asociados con, y tipo de, Activos Virtuales16.

Las Empresas Obligadas podrán ser requeridas a reportar estas transacciones a la Superintendencia de Sociedades, en la oportunidad y condiciones que la entidad lo establezca.

¹⁶ En este sentido, vale resaltar que los diversos riesgos derivados de las transacciones sobre Activos Virtuales recaen exclusivamente sobre quien ejecute la transacción, por su propia cuenta y riesgo, partícipe en dicha acción.

5.3.2. Debida Diligencia Intensificada

El proceso de Debida Diligencia Intensificada implica un conocimiento avanzado de la Contraparte y del origen de los Activos que se reciben, que incluye actividades adicionales a las llevadas a cabo en la Debida Diligencia.

Estos procedimientos deben:(A) aplicarse a aquellas Contrapartes que:(i) la Empresa Obligada considere que representan un mayor riesgo;(ii) a los PEP; y(iii) a aquellas ubicadas en países, jurisdicciones de alto riesgo (según listas de GAFI);

y(B) ser aplicados por las Empresas Obligadas que desarrollen actividades con Activos Virtuales, establecidas en los numerales 4.2.6 y 4.2.8, sobre las Contrapartes de estas operaciones, incluidos los Activos Virtuales recibidos.

Respecto de los procesos para el conocimiento de PEP, estos implican una Debida Diligencia Intensificada, que deben ser más estrictos y exigir mayores controles. El SAGRILAFT debe contener mecanismos que permitan identificar al menos el nombre o el Beneficiario Final detectado en la lista de PEP.

Además de las medidas comunes de procedimiento de conocimiento de la Contraparte, las Empresas Obligadas en este tipo de relaciones intensificadas deben:(i) obtener la aprobación de la instancia o empleado de jerarquía superior para la vinculación o para continuar con la relación contractual;(ii) adoptar Medidas Razonables para establecer el origen de los recursos; y(iii) realizar un monitoreo continuo e intensificado de la relación contractual.

Las Empresas Obligadas deben revisar permanentemente los países de mayor riesgo contenidos en los listados de GAFI de países no cooperantes y jurisdicciones de alto riesgo. En caso de que estas operaciones se realicen con Contrapartes ubicadas en dichos países, se deben aplicar las medidas de Debida Diligencia Intensificada contenidas en el numeral anterior.

Asimismo, las Empresas Obligadas señaladas en los numerales 4.2.6 y 4.2.8, deberán realizar Debida Diligencia Intensificada a las actividades con Activos Virtuales con el fin de identificar si las Contrapartes en estas operaciones y los Activos Virtuales por sí se representan un Riesgo LA/FT/FPADM, conforme a las señales de alerta establecidas por el GAFI en el documento denominado “Indicadores de Riesgo LA/FT sobre activos virtuales”¹⁷.

5.4. Señales de alerta:

A continuación, se enuncian algunas señales de alerta de Riesgo LA/FT/FPADM que la Empresa Obligada debe tener en cuenta, con base en los Factores de Riesgo LA/FT/FPADM identificados, conforme a la Matriz de Riesgo LA/FT/FPADM y de acuerdo con la materialidad del riesgo, sin perjuicio del desarrollo de sus propias alertas:

a. Respecto de operaciones o actividades con Contrapartes, relacionadas con:

1. Personas naturales o jurídicas que no estén plenamente identificadas;

2. Asociaciones con antecedentes penales o señales de LA/FT; y

3. Nuevos asociados que hayan sido aceptados o vinculados sin verificar antecedentes ni tipo de relación, operación, empresa, etc.

b. Respecto de operaciones, productos o contratos que representen, tengan por objeto o produzcan:

1. Alto volumen de efectivo sin justificación aparente;

2. Transacciones con países, jurisdicciones o sectores económicamente distintos a los normales del mercado.

¹⁷ 17 Los países o jurisdicciones de alto riesgo según la definición de GAFI se encuentran publicados en el siguiente enlace: https://www.uiaf.gov.co/asuntos_internacionales/lista_paises_no_cooperantes_29282

18https://www.uiaf.gov.co/asuntos_internacionales/documentos_interes/documento_gafi_indicadores_riesgo_30593

3. Donaciones que no tengan un Beneficiario Final aparente, no se conozca su origen o que este se encuentre domiciliado en un país o una jurisdicción de alto riesgo¹⁹;

4. Operaciones, negocios o contratos relevantes que no consten por escrito;

5. Pagos de operaciones con recursos provenientes de giros internacionales provenientes de varios remitentes a favor de un mismo beneficiario, o de un mismo remitente a favor de varios destinatarios sin una justificación que lo sustente;

6. Operaciones comerciales o negocios con las personas incluidas en las Listas Vinculantes;

7. Operaciones celebradas con Contrapartes domiciliadas o ubicadas en Áreas Geográficas designadas por GAFI como no cooperantes;

8. Operaciones con productos que puedan ser utilizados en actividades ilícitas (explosivos, armamento, etc. o contrabando);

9. Operaciones con Productos que no han sido debidamente nacionalizados; y

10. Operaciones con Productos de venta restringida que no cuenten con las debidas autorizaciones o licencias.

c. Respecto de operaciones con efectivo proveniente de, o relacionado con:

1. Países con un alto nivel de corrupción y de inestabilidad política;

2. Depósitos de efectivo en cuentas bancarias personales o de empresas a partir de un origen sin explicar;

3. Documentación injustificada sobre, o no correspondan con, el origen o el propietario;

4. Cantidad, valor o frecuencia de los montos no circunstancias del portador;

5. Transporte oculto del efectivo;

6. El efectivo se ha escondido en el método de transporte;

7. Transporte con costos elevados en comparación con métodos alternativos de transporte;

8. Facturación o ventas en efectivo no esperadas en el sector económico;

9. Gran aumento de facturación o ventas en efectivo procedentes de clientes no identificables; y

10. Préstamos del extranjero recibidos en efectivo y en moneda local.

11. 
    

5.5. Documentación de las actividades del SAGRILAFT

Las actividades adoptadas por la Empresa Obligada, en desarrollo de la implementación y ejecución del SAGRILAFT, deben reposar en documentos y registros que garanticen la integridad, oportunidad, confidencialidad, reserva y disponibilidad de la información.

La información suministrada por la Contraparte, como parte del proceso de Debida Diligencia y Debida Diligencia Intensificada, así como la información que se le pueda requerir, deben quedar debidamente documentadas con fecha y hora, a fin de permitir la trazabilidad de la debida diligencia aplicada por parte de la Empresa Obligada. De cualquier forma, la conservación de los documentos del SAGRILAFT por parte de la Empresa Obligada deberá hacerse por un término mínimo de diez (10) años, en medio electrónico o físico, conforme a lo dispuesto en las Leyes 1266 de 2008, 1581 de 2012, y demás normas aplicables.

Sin perjuicio de lo anterior, los documentos estarán a disposición para el efecto del artículo 28 de la Ley 962 de 2005, o la norma que lo modifique o sustituya.

5.6. Reportes de Operaciones Sospechosas y otros reportes a la UIAF

5.6.1. Reporte de Operaciones Sospechosas (ROS)

¹⁹ Los países o jurisdicciones de alto riesgo según la definición de GAFI se encuentran publicados en el siguiente enlace:🔗 https://www.uiaf.gov.co/auto_inspeccion/altoriesgo_paises_no_cooperantes_29282

La Empresa Obligada deberá establecer herramientas y aplicativos, preferiblemente tecnológicos, que permitan identificar Operaciones Inusuales y Operaciones Sospechosas. Mediante la consolidación de información, estas plataformas tecnológicas deben generar indicadores y alertas a partir de los cuales se pueda inferir o advertir la existencia de operaciones que no se ajustan a los patrones de normalidad establecidos por la Empresa Obligada para un sector, una industria o una clase de Contraparte.

Una vez identificada y analizada una Operación Inusual o una Operación Sospechosa, deberán conservarse los soportes que dieron lugar a calificarla en una u otra categoría, de conformidad con lo dispuesto en la Ley 962 de 2005, o la norma que la modifique o sustituya, sobre conservación de libros y papeles de comercio.

Las Empresas Obligadas deben reportar a la UIAF todas las Operaciones Sospechosas que detecten en el giro ordinario de sus negocios o actividades. El reporte deberá hacerse de manera inmediata oportuna, sin necesidad de esperar confirmaciones o el cierre del mes, conforme a lo señalado por la UIAF en el “Manual de Usuario SIREL”.

El “Manual de Usuario SIREL” y la forma en que se debe efectuar el reporte de operaciones deberán ser consultados en el sitio web www.uiaf.gov.co.

El Oficial de Cumplimiento, para el caso de las Empresas Obligadas, deberá registrarse en el SIREL administrado por la UIAF. Para lo anterior, dicho funcionario deberá solicitar ante la UIAF el usuario y contraseña a través de la plataforma SIREL.

El reporte de un ROS no constituye una denuncia penal. Por lo tanto, para los efectos del reporte, no se requiere que la Empresa Obligada tenga certeza del delito ni de la actividad delictiva ni se requiere identificar el tipo penal o verificar que los recursos tengan origen ilícito. Solo se requiere que la Operación Sospechosa cumpla con los términos definidos en el presente Capítulo X. No obstante, por no tratarse de una denuncia penal, no se exime a la Empresa Obligada ni a la UIAF de administrarlas de la obligación de denuncia, cuando así lo determine la ley.

La Empresa Obligada y el Oficial de Cumplimiento deberán garantizar la reserva del reporte de una Operación Sospechosa, en los términos señalados en la Ley 526 de 1999 y demás normas que las adicionen, modifiquen o sustituyan.

En el caso de que transcurran más de diez (10) días calendario siguientes al vencimiento del respectivo trimestre, sin que la Empresa Obligada haya realizado un ROS, el Oficial de Cumplimiento deberá informar en línea la "ausencia de ROS" o “Aros” a través del SIREL, en la forma y términos que correspondan, de acuerdo con los instructivos de esa plataforma.

5.6.2. Otros reportes a la UIAF

De conformidad con el artículo 3° de la Ley 526 de 1999, la UIAF:

6. Régimen de Medidas Mínimas

6.1. Ámbito de aplicación Régimen de Medidas Mínimas

Están obligadas a adoptar el Régimen de Medidas Mínimas las APNFD que pertenezcan a cualquiera de los sectores señalados, y conforme a los criterios mencionados en el numeral

6.2. Contenido del Régimen de Medidas Mínimas

Las Empresas Obligadas deberán tener en cuenta los riesgos relacionados con LA/FT/FPADM, para lo cual deben analizar la materialidad del riesgo, el tipo de negocio, la operación, la procedencia, los países y jurisdicciones con operaciones y demás características particulares de su actividad, así como el perfil de sus Contrapartes.

Para llevar a cabo tal proceso pueden apoyarse en los documentos y tipologías de LA/FT/FPADM aplicables al sector de su actividad, disponibles en los sitios de internet de la UIAF, GAFI, GAFILAT, la Oficina de las Naciones Unidas contra la Droga y el Delito –UNODC, la Superintendencia de Sociedades, entre otros.

El representante legal de la Empresa Obligada será el encargado y responsable de supervisar y verificar el cumplimiento del Régimen de Medidas Mínimas.

Las Empresas Obligadas deberán adoptar las siguientes medidas mínimas:

a. Instruir, a través de su representante legal, a los empleados y asociados sobre los Riesgos LA/FT/FPADM, por lo menos una (1) vez al año;

b. Comunicar y divulgar, a través del representante legal, las medidas mínimas que la Empresa adopta para prevenir y mitigar los Riesgos LA/FT/FPADM;

c. Identificar a la Contraparte y verificar su identidad utilizando documentos, datos o información confiable, de fuentes independientes;

d. Identificar al Beneficiario Final de la Contraparte y tomar Medidas Razonables para verificar su identidad;

e. Tomar Medidas Razonables para conocer la estructura de propiedad de la Contraparte, incluyendo los nombres y números de identificación de los Beneficiarios Finales, haciendo uso de las herramientas de que disponga;

f. Obtener información sobre el propósito de la relación comercial o legal y el carácter que se pretende dar a la relación comercial con la Contraparte;

g. Realizar una Debida Diligencia continua de la relación comercial y examinar las transacciones a lo largo de esa relación para asegurar que sean consistentes con el conocimiento que tiene la Empresa Obligada sobre la Contraparte, su actividad comercial y el perfil de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos;

h. Establecer y conservar los documentos de soporte de la ejecución e implementación del Régimen de Medidas Mínimas;

i. Reportar ante la UIAF y poner en conocimiento de la Fiscalía General de la Nación, en los términos establecidos en esta Circular, cualquier bien, Activo, Producto, fondo o derecho de propiedad o beneficio de administración o control por parte de personas o entidades incluidas en las Listas Vinculantes. Para tal fin, deberán consultar permanentemente las Listas Vinculantes;

j. Adoptar mecanismos, aplicativos y herramientas para la detección de Operaciones Inusuales y Operaciones Sospechosas, así como el reporte efectivo a la UIAF;k. Registrar al representante legal en el SIREL y responsabilizarlo para que sea el encargado de efectuar los reportes ante la UIAF por los eventos señalados en el literal j de este artículo;l. Responder de manera oportuna a los requerimientos de información emitidos por la Superintendencia de Sociedades, relacionados con la implementación y ejecución de este Régimen de Medidas Mínimas.

Lo dispuesto para el SAGRILAFT puede servir como lineamiento para profundizar en el diseño que cada Empresa adopte bajo el presente Régimen de Medidas Mínimas.

7. Consideraciones adicionales sobre el ámbito de aplicación

La Superintendencia de Sociedades impartirá en cualquier tiempo la instrucción específica a cualquier Empresa sometida a su supervisión, que no sea una Empresa Obligada al SAGRILAFT o al Régimen de Medidas Mínimas, para que implemente las medidas señaladas en este Capítulo X, si los riesgos que enfrenta dicha Empresa así lo ameritan, conforme con sus funciones de instrucción y supervisión.

Lo anterior, en ejercicio de la función de instruir a las entidades sujetas a su supervisión, sobre las medidas que deben adoptar para la prevención del Riesgo de LA/FT/FPADM, prevista en el numeral 28 del artículo 7° del Decreto 1736 de 2020.

7.1. Plazo para el cumplimiento del Régimen de Autocontrol y Gestión del Riesgo Integral LA/FT/FPADM

Las Empresas que adquieran la calidad de Empresas Obligadas al SAGRILAFT o al Régimen de Medidas Mínimas a partir del 31 de diciembre de cualquier año, deberán poner en marcha el SAGRILAFT o el Régimen de Medidas Mínimas, respectivamente, a más tardar el 31 de mayo del año siguiente al de adquirida la calidad de Empresas Obligadas.

En el caso de que una Empresa deje de ser considerada como Empresa Obligada de acuerdo con los requisitos previstos en el numeral anterior, tendrá un plazo de implementación mínimo de permanencia adicional de:

• tres (3) años a partir de dicha fecha, para el SAGRILAFT; y

• un (1) año a partir de dicha fecha, para el Régimen de Medidas Mínimas, momento desde el cual podrá dejar de aplicar los requisitos exigidos, sin perjuicio de lo que determine esta Superintendencia.

• 
  

7.2. Período de Transición para el Régimen de Autocontrol y Gestión del Riesgo Integral LA/FT/FPADM

Las empresas que a la fecha de expedición de la presente Circular se encuentren obligadas conforme a lo dispuesto por la Circular No. 100-000005 de 2017, deberán revisar y ajustar su Política LA/FT/FPADM y su Régimen para verificar que se ajuste a lo dispuesto en este Capítulo X, a más tardar el 31 de mayo de 2021.

8. Sanciones

El incumplimiento de las órdenes e instrucciones impartidas en el presente Capítulo X, dará lugar a las investigaciones y sanciones administrativas que haya lugar, conforme a las normas administrativas pertinentes a la Empresa Obligada, el Oficial de Cumplimiento, revisor fiscal, y demás personas, sin perjuicio de las sanciones que correspondan a otras autoridades.

Conforme a la Ley 222 de 1995, el incumplimiento de las instrucciones de esta Superintendencia es sancionable.

9. Recomendaciones para las Empresas no obligadas (como una buena práctica empresarial)

La Superintendencia de Sociedades, como una buena práctica empresarial recomienda que, de manera voluntaria, las Empresas sometidas a su supervisión, que no se encuentren obligadas a implementar el presente Capítulo X, evalúen si deben adoptar las medidas necesarias para identificar y mitigar los riesgos asociados al Riesgo LA/FT/FPADM. Esto es aplicable cuando su actividad, volumen de operaciones o relaciones internacionales con terceros así lo sugiera.

El diseño e implementación del SAGRILAFT podrá constituirse en una herramienta útil para prevenir y mitigar los riesgos inherentes al LA/FT/FPADM como parte de la autogestión y control de los riesgos que corresponde a toda Empresa.

La puesta en marcha de lo aquí previsto permitirá prevenir y combatir adecuadamente los Riesgos LA/FT/FPADM, en beneficio de los inversionistas, administradores y demás empleados de la Empresa, y del orden público económico en general.