Luego
de cuatro años de vida de la norma sobre el Sistema de Administración del
Riesgo de Lavado de Activos y Financiación del Terrorismo – SARLAFT, es
necesario hacer algunas reflexiones que se desprenden de la aplicación de la
referida Circular Externa 026 de la Superintendencia Financiera de Colombia,
sin perder de vista que un año antes de su salida a circulación, el regulador
había expedido el Sistema de Administración del Riesgo Operativo – SARO.
En
consecuencia, debemos referirnos primero a sus similitudes y luego a sus
diferencias, para al final ver, si los requerimientos que las entidades
financieras están atendiendo del supervisor tienen que ver más con uno que con
el otro. Para empezar, ambos, por un lado, son riesgos de tipo no financiero,
aunque tengan consecuencias económicas, y por el otro, son sistemas de
administración de riesgo que comparten la misma metodología de identificación,
medición y control de riesgos. También cuentan con una etapa de monitoreo del
sistema; comparten como elementos, las políticas, los procedimientos, la
documentación, la estructura organizacional, los órganos de control, la
infraestructura o plataforma tecnológica, la documentación y la capacitación;
finalmente, consideran como riesgos asociados, el riesgo legal, el riesgo
reputacional, el riesgo de contagio y el riesgo operativo.
Aunque
esta última característica común, parece ser el punto en el que empiezan las
diferencias entre el SARO y el SARLAFT, toda vez que si el primero es un
sistema independiente, como es que el riesgo operativo es un riesgo asociado al
riesgo de lavado de activos y financiación del terrorismo, haciéndonos pensar,
desde una mirada desprevenida, que el SARO está abarcado entre el SARLAFT. Una
de las diferencias más protuberantes respecto del organigrama de las entidades
financieras, es la altura del Oficial de Cumplimiento como empleado de segundo
nivel, lo que contrasta con el empleado que dirige la Unidad de Riesgo Operativo
– URO, del que la norma no hizo mención sobre su estatura en la organización,
lo cual, a su turno, se tradujo en un acertijo para las Juntas Directivas de
los sujetos obligados al momento de redefinir sus estructuras, como es el caso
de la tan famosa hoy, Vicepresidencia de Riesgo, que de antaño, nunca se
caracterizo por liderar el anterior SIPLA o los aspectos operativos del
negocio. Y otra diferencia importante son los factores de riesgo, que en el
SARO son los recursos humanos, los procesos, la tecnología, la infraestructura
y los acontecimientos externos; mientras que en el SARLAFT son los clientes y
usuarios, los productos y servicios, los canales de distribución y las
jurisdicciones.
Para
terminar con este comparativo, no debe olvidarse que la naturaleza del SARO
descansa en la provisión de recursos para responder a los siniestros
operativos, y la del SARLAFT en dos conductas delictivas lo suficientemente
nocivas para la economía, la sociedad y la seguridad como son el lavado de
activos y la financiación del terrorismo, que siniestrados pueden traer
consecuencias letales para las entidades financieras como un severo daño
reputacional. Y como si lo anterior, no fuera poco, debemos recordar que tanto
el SARO como el SARLAFT utilizan la locución “fraude”, el primero para
referirse a la clasificación de eventos de riesgo operativo, que pueden ser
interno o externo; y el segundo, para hacer alusión a los delitos subyacentes,
determinantes, fuente o grave.
Con
todo, con base en lo que aquí hemos planteado, cabe preguntarse, ¿las entidades
financieras están provisionando el valor de la sanción corporativa por
incumplimiento a las disposiciones del SARLAFT?, ¿el concepto que las entidades
financieras tienen de fraude, es el mismo en SARO que en SARLAFT?, ¿los riesgos
de fraude identificados en el SARO irradiaron el mapa de riesgos del SARLAFT?,
¿son tan independientes el SARO y el SARLAFT?, ¿podrían las entidades
financieras estar haciendo ROS de fraudes y denuncias penales de lavado de
activos y financiación del terrorismo?, ¿estará lleno el escritorio del Oficial
de Cumplimiento de casos de fraude y el de la Unidad de Riesgo Operativo de
ROS?. Pero, las preguntas podrían aumentar si incluimos a esta receta, la
normas de la SFC sobre Seguridad de la Información – SI y el Sistema de Control
Interno – SCI, que también hablan de fraude, la primera, del fraude informático
o delito informático y, la segunda de la necesidad de contar con una política
antifraude y un programa antifraude, lo cual, nos deja en un escenario en el
que se habla de riesgo de fraude y riesgo de corrupción, para aquellas
entidades financieras que deben cumplir con requerimientos regulatorios como
FCPA, CFPOA o UK Bribery y requerimientos de autorregulación como el Pacto
Global de la ONU, tolo cual impone preguntarse, ¿si las áreas antifraude y de
seguridad de la información se van a fusionar? y ¿si también van a empezar a
utilizar las metodologías de riesgo del SARO y el SARLAFT?
Estos
simplemente, son algunos interrogantes de la vida diaria de las entidades
financieras que nos llevan a reflexionar en la línea doctrinal y normativa de
la SFC, en la que a toda herramienta jurídica, sea circular externa, carta
circular o concepto, se le está completando con el mismo prefijo: riesgo.
Entonces,
¿no será hora de hablar de un sistema integral de administración de riesgo –
SIAR, y en esa medida, de una gran Vicepresidencia de Riesgo en las entidades
financieras, bajo la cual se lidere la gerencia de los riesgos de crédito,
liquidez, mercado, garantías, operativo, seguridad de la información, fraude,
corrupción, lavado de activos y financiación el terrorismo?
No
obstante, esta idea, para nosotros es claro que el SARO abarca el SARLAFT y no
al contrario, todos los siniestros del SARO activan la posibilidad o
probabilidad de que las entidades financieras estén siendo utilizadas para
lavar activos o para canalizar recursos que financian el terrorismo. Por tanto,
si todo en una entidad financiera empieza por la vinculación del cliente, ¿los
errores, fallas de control o incumplimientos normativos, no son más bien una
falta a las disposiciones del SARO y no un problema del SARLAFT?, ¿podría haber
un cambio de competencia al interior de la SFC, en el caso de requerimientos a
entidades financieras?, ¿será que el SARLAFT es el asunto menos “sexy” del
negocio financiero, pero el que más preocupación genera en las Juntas
Directivas y por tanto se confunden los siniestros operativos con
incumplimientos de la Circular Externa 026 de 2008?
Sabemos
que son más las dudas que las luces que brindamos en este corto artículo, pero
tal vez, es tiempo de hacer un alto en el camino regulatorio y de supervisión
para revisar, si supervisor y vigilados están “hablando el mismo idioma”.
