La administración o gestión del riesgo integral es un componente profundamente importante para las empresas y organizaciones, pues, salvaguarda la responsabilidad y el éxito de los negocios. Una de las herramientas más importantes para lograr esto es la implementación del SAGRILAFT, Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo.
Este sistema de procedimientos, políticas y controles se debe implementar en las empresas para reconocer, medir, supervisar y controlar el riesgo de las empresas de ser usadas para lavado de activos o financiación del terrorismo. Cumplir con el SAGRILAFT permite no solo evitar sanciones, sino que al cumplir con la normativa se promueve la confianza en el negocio por parte de clientes, socios y colaboradores.
¿Qué es SAGRILAFT (Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo)?
El SAGRILAFT es el Sistema de Autocontrol de Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva (LA/FT/FPADM) tiene como objetivo prevenir y gestionar los riesgos a los que se enfrentan las entidades vigiladas por la Superintendencia de Sociedades de Colombia.
El SAGRILAFT está regulado por el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades e incluye la identificación y evaluación del riesgo, implementación de control interno, capacitación de personal y la revisión y mejora del sistema.
Según la norma, esta obligación “deberá establecer, entre otros elementos, una Política LA/FT/FPADM y un manual de procedimientos de gestión del Riesgo LA/FT/FPADM. El SAGRILAFT deberá tener en cuenta los riesgos propios de la Empresa Obligada y la materialidad, relacionados con LA/FT/FPADM, para lo cual se debe analizar el tipo de negocio, la operación, el tamaño, las Áreas Geográficas donde opera y demás características particulares”.
Por ello, las empresas que están obligadas a implementar el SAGRILAFT deben tener una Matriz de Riesgo LA/FT/FPADM o mecanismos que permitan evaluar el riesgo y que permita medir y auditar su evolución. Así, el sistema se maneja “con la premisa que a mayor riesgo se debe tener mayor control”.
¿Quiénes deben implementar el SAGRILAFT?
De acuerdo con el Capítulo X de la Circular Básica Jurídica, las empresas que deben implementarlo son aquellas que cumplan con las siguientes características:
Aquellas sujetas a vigilancia o control de la Superintendencia de Sociedades que tuvieran ingresos totales o activos iguales o superiores a cuarenta mil (40.000) SMLMV, con corte al 31 de diciembre del año inmediatamente anterior.
Las Empresas que pertenezcan a los sectores de agentes inmobiliarios, de comercialización de metales preciosos y piedras preciosas, de servicios jurídicos, de servicios contables y de construcción de edificios y obras de ingeniería civil que estén bajo la vigilancia o control de la Superintendencia de Sociedades previstas en los artículos 84 y 85 de la Ley 222 de 1995 y que a 31 de diciembre del año inmediatamente anterior, hubieren obtenido Ingresos Totales iguales o superiores a treinta mil (30.000) SMLMV. Adicionalmente, en el caso de los agentes inmobiliarios aquellas que el año calendario inmediatamente anterior hayan realizado negocios o transacciones iguales o superiores a cien (100) SMLMV.
Sectores de supervisión especial o regímenes especiales:
Las Sociedades Administradoras de Planes de Autofinanciamiento Comercial (SAPAC).
Las Sociedades Operadoras de Libranza, vigiladas por la Superintendencia de Sociedades.
Las sociedades que lleven a cabo Actividades de Mercadeo Multinivel.
Los fondos ganaderos.
Las sociedades que realizan actividades de factoring, vigiladas por la Superintendencia de Sociedades.
Servicios de Activos Virtuales que a 31 de diciembre del año inmediatamente anterior hubieran obtenido ingresos totales iguales o superiores a tres mil (3.000) SMLMV o tuviera activos iguales o superiores a cinco mil (50.000) SMLMV y que las empresas realicen, para o en nombre de, otra persona natural o jurídica, una o más de las siguientes actividades u operaciones iguales o superiores (individualmente o en conjunto) a cien (100) SMLMV:
Intercambio entre Activos Virtuales y monedas fiat.
Intercambio entre una o más formas de Activos Virtuales.
Transferencia de Activos Virtuales.
Custodia o administración de Activos Virtuales o instrumentos que permitan el control sobre Activos Virtuales.
Participación y provisión de servicios financieros relacionados con la oferta de un emisor o venta de un Activo Virtual.
En general, servicios relacionados con Activos Virtuales.
En total, se estima que alrededor de 8.000 empresas colombianas están obligadas a implementar el SAGRILAFT.
Etapas del SAGRILAFT
De acuerdo con el manual, el SAGRILAFT debe cumplir como mínimo con las principales etapas para prevenir, controlar y gestionar el riesgo de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva, estas son:
1. Identificación del riesgo LA/FT/FPADM
Durante la etapa inicial, el SAGRILAFT necesita establecer metodologías para identificar el riesgo existente en la compañía, pues, se necesita conocer el problema para actuar sobre él. Para ello, se deben clasificar los factores de riesgo de acuerdo con la actividad económica de la empresa y su materialidad. Luego de ser identificados, individualizados, segmentados y clasificados los riesgos a los que puede estar sujeta la empresa, es necesario crear establecer metodologías para identificar el riesgo. También, es necesario que una vez sean clasificados y segmentados, se establezcan las condiciones del tiempo, modo, lugar, relevancia y prioridad con que se deben ejecutar las medidas de Debida Diligencia. Finalmente, es necesario disponer e implementar mecanismos que permitan el conocimiento de dichos riesgos.
2. Medición y evaluación del riesgo LA/FT/FPADM
Luego de identificar el riesgo, es importante que las empresas conozcan la posibilidad o probabilidad de riesgo inherente a cada uno de esos factores de riesgo y el impacto que puede tener en caso de materializarse. Para ello, las empresas como mínimo deben establecer metodologías para medir o evaluar el riesgo para comprender la probabilidad de que ocurra y el impacto que esto conllevaría. Así, se deben incluir mediciones o evaluaciones de riesgo de forma individual frente a cada riesgo. También, se debe evaluar el riesgo de LA/FT/FPADM cuando se incursione en nuevos mercados o productos.
3. Control del riesgo
Para esta etapa es necesario que las empresas tomen las medidas necesarias y razonables para controlar el riesgo inherente al que puedan enfrentarse. Este control debe traducirse a la mayor disminución posible de la probabilidad de que el riesgo se pueda materializar, ya que debe adoptar medidas, metodologías y matrices de riesgo para definir y poner en marcha los mecanismos de control más efectivos. Para lograrlo, además de la creación de metodologías y de la aplicación de estas, es necesario establecer controles y herramientas para detectar esas operaciones inusuales que pueden dar paso a factores de riesgo.
4. Monitoreo del riesgo
La implementación de estas medidas debe estar acompañada de un sistema que le permita vigilar el perfil del riesgo y, así, detectar esas operaciones inusuales o sospechosas. Para lograrlo, es necesario hacer un seguimiento constante y comparativo del riesgo inherente y residual de cada factor de riesgo, así como desarrollar un proceso de seguimiento periódico y continuo que facilite la detección y corrección de aquellas cosas que se puedan mejorar en el SAGRILAFT. Además, es necesario asegurarse que estos controles sean integrales y que se encuentren en los niveles de aceptación establecidos por la empresa.
Elementos del SAGRILAFT
De acuerdo con el manual, la puesta en marcha de esta obligación requiere del cumplimiento efectivo de la política LA/FT/FPADM, para ello, establece cuatro fases que permiten gestionar el riesgo de la mejor manera. Esas cuatro etapas son las siguientes:
1. Diseño y aprobación
Este proceso está a cargo de la empresa y se debe tener en cuenta la materialidad, las características propias de la empresa y su actividad, la identificación de los factores de riesgo LA/FT/FPADM (matriz de riesgo u otros mecanismo de evaluación, individualización, identificación y segmentación). Así, el representante legal, la junta directiva o el máximo órgano social debe disponer de las medidas operativas, económicas, físicas, tecnológicas y de recursos que sean necesarias para que el Oficial de Cumplimiento desarrolle sus actividades de la mejor forma. La aprobación del SAGRILAFT es responsabilidad de la junta directiva o del máximo órgano social de la empresa obligada.
2. Auditoría y cumplimiento del SAGRILAFT
La empresa debe asignar un Oficial de Cumplimiento encargado de la auditoría y verificación. del cumplimiento de estas políticas y medidas. Así, la empresa “deberá informar por escrito a la Superintendencia de Sociedades, dirigido a la Delegatura de Asuntos Económicos y Societarios, dentro de los quince (15) días hábiles siguientes a la designación, el nombre, número de identificación, correo electrónico y número de teléfono del Oficial de Cumplimiento principal y suplente (cuando sea procedente)”. Este Oficial de Cumplimiento debe tener un título profesional, debe acreditar una experiencia de al menos seis (6) meses en la administración del SAGRILAFT y tiene que acreditar el conocimiento en administración del riesgo LA/FT/FPADM por medio de cursos, especializaciones, diplomados y demás. Igualmente, debe incluir las sanciones o consecuencias para todos los colaboradores, directivos y terceros por el incumplimiento de las disposiciones.
3. Divulgación y capacitación
Esta política debe divulgarse en la forma y frecuencia que permita asegurar su cumplimiento, como mínimo una (1) vez al año. Esto incluye la capacitación de todas las partes asociadas que se considere que deben conocer el SAGRILAFT. Según el manual, el resultado debe ser que “todas las partes interesadas deben estar en capacidad de identificar qué es una Operación Inusual o qué es una Operación Sospechosa, y el contenido y la forma como debe reportarse”. Para ello, la empresa debe comprender cuál es su perfil de riesgo y realizar la capacitación a partir de allí.
4. Asignación de funciones a los responsables y otras generalidades
Para el correcto funcionamiento del SAGRILAFT, la empresa debe establecer y asignar a la persona encargada de las facultades y funciones necesarias para la ejecución de dicha obligación. Al hacerlo, esto debe resultar en reglas de conducta que orienten las actividades de la empresa y todas las personas asociadas a su actividad. Además, estas empresas deben establecer en el SAGRILAFT como mínimo los siguientes aspectos:
Funciones de la junta directiva o del máximo órgano social.
Funciones del representante legal.
Oficial de cumplimiento (requisitos mínimos, funciones, órganos y funciones de control adicionales, revisoría fiscal, auditoría interna, contenido de los informes a cargo de los diferentes órganos, incompatibilidades e inhabilidades).
Oficial de cumplimiento
El Oficial de Cumplimiento es el encargado de participar en cada una de las etapas del SAGRILAFT, pues, cuenta con los conocimientos y con la experiencia para tomar las decisiones más estratégicas a la hora de gestionar y disminuir el riesgo LA/FT/FPADM. Para cumplir con sus labores, debe contar con pago en efectivo y con la asignación de recursos (humanos, físicos, financieros y técnicos) para llevar a cabo sus labores de la mejor manera.
Según el manual, “la empresa deberá determinar de manera expresa (i) el perfil del Oficial de Cumplimiento; (ii) las incompatibilidades e inhabilidades; (iii) administración de conflictos de interés; y (iv) las funciones específicas que se le asignen a la persona que tenga dicha responsabilidad”.
Plazo de cumplimiento para el SAGRILAFT o Régimen de Autocontrol y Gestión del Riesgo Integral LA/FT/FPADM
Según el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, las empresas obligadas a implementar el SAGRILAFT y que se encuentren en el Régimen de Medidas Mínimas a partir del 31 de diciembre de cualquier año, deben establecer el SAGRILAFT a más tardar el 31 de mayo del año siguiente a su categorización como empresas obligadas.
En dado caso de que una empresa deje de cumplir con las condiciones para ser considerada de esta manera, debe cumplir un periodo mínimo de permanencia de tres (3) años a partir de dicha fecha para dejar de estar obligada a implementar el SAGRILAFT.
Debida diligencia en el SAGRILAFT
Este es un instrumento que previene y controla los riesgos LA/FT/FPADM a los que se puede enfrentar una empresa obligada, por medio de la aplicación de medidas que reconozcan la materialidad y características propias del riesgo. Para lograrlo, debe tenerse en cuenta las operaciones, productos y contratos que se lleven a cabo o que se pretendan lograr, así mismo como las contrapartes, países o áreas geográficas de operación y canales de acuerdo con la naturaleza y tamaño del negocio.
Para lograrlo, se deben adoptar la siguientes medidas mínimas, según el manual:
Identificar a la Contraparte y verificar su identidad utilizando documentos, datos o información confiable, de fuentes independientes.
Identificar al Beneficiario Final de la Contraparte y tomar medidas razonables para verificar su identidad.
Tratándose de Personas Jurídicas, se deben tomar medidas razonables para conocer la estructura de su propiedad con el fin de obtener el nombre y el número de identificación de los Beneficiarios Finales, haciendo uso de las herramientas de que disponga. Las medidas tomadas deben ser proporcionales al nivel del riesgo y su materialidad o complejidad inducida por la estructura de titularidad de la sociedad mercantil o la naturaleza de los asociados mayoritarios.
Entender, y cuando corresponda, obtener información sobre el propósito y el carácter que se pretende dar a la relación comercial.
Realizar una Debida Diligencia continua de la relación comercial y examinar las transacciones llevadas a cabo a lo largo de esa relación para asegurar que las transacciones que se realicen sean consistentes con el conocimiento que tiene la Empresa Obligada sobre la Contraparte, su actividad comercial y el perfil de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos.
Para analizar las operaciones de la contraparte, la empresa debe diseñar y definir formatos de conocimiento. Se recomienda contar con una base de datos o un mecanismo similar que permita consolidar e identificar alertas presentes y futuras.
¿Cómo te puede ayudar Faroo Legal a implementar el SAGRILAFT?
Faroo Legal cuenta con una comunidad de abogados especializados en diversas áreas del conocimiento legal y laboral, lo que nos permite brindarte el servicio más completo en el cumplimiento de las etapas y los elementos del SAGRILAFT. Para ello, contamos con un abogado especializado en el tema, que cumple con la normativa y que puede cumplir con las necesidades de servicio de oficial de cumplimiento.
Te ofrecemos: elaboración de matriz de riesgo, estructuración del manual de cumplimiento, diseño y socialización de la política, elaboración del Acta de la Junta Directiva donde se apruebe el programa y se designa al oficial de cumplimiento, comunicación con la Superintendencia de Sociedades con los datos del Oficial de Cumplimiento y la elaboración del documento en el que se asignan las funciones y obligaciones. También la elaboración del paquete de documentos para la divulgación del programa y las capacitaciones necesarias.