El
pasado 25 de junio la Superintendencia de Sociedades expidió la Circular
Externa 100-005 mediante la cual modificó el Sistema de Autocontrol y Gestión
del Riesgo de Lavado de Activos y Financiación del Terrorismo (SAGRLAFT),
establecido con la Circular Externa 304-001 del 19 de febrero de 2014.
La
nueva circular derogó en su totalidad la anterior y el SAGRLAFT vigente se puede
resumir y comparar con la anterior versión de la siguiente manera:
Todas
las sociedades vigiladas por la Superintendencia de Sociedades que a 31 de
diciembre de 2013 registraron ingresos brutos iguales o superiores a
160.000 Salarios Mínimos Mensuales Legales Vigentes (SMMLV) tienen la
obligación de adoptar el SARGLAFT. La norma anterior mencionaba “activos
superiores” a ese monto y no había claridad sobre el criterio a tener en cuenta
(¿activos o ingresos?).
Se
presenta un ejemplo para el ámbito de aplicación cuando una sociedad logre, en
octubre de 2014, el monto de ingresos señalados y se mantengan en los estados
financieros hasta el corte a 31 de diciembre de 2014. En este caso, la sociedad
estará obligada a implementar el SARGLAFT a más tardar el 31 de diciembre de
2015.
Para
las demás sociedades se recomienda la implementación del SAGRLAFT como una
protección contra el flagelo del lavado de activos y la financiación del
terrorismo, no solo en beneficio de los inversionistas, administradores y
empleados de la empresa, sino como protección contra el riesgo reputacional y
continuidad del negocio.
La
norma vigente incorpora la definición de “debida diligencia avanzada” como una
debida diligencia (due diligence) con
un nivel mayor de cuidado, diligencia e investigación.
En
la definición de listas nacionales e internacionales se señala el nuevo vínculo
que está en la página web de la Superintendencia de Sociedades para consultar
información relacionada con este tema (http://www.supersociedades.gov.co/inspeccion-vigilancia-y-control/asuntosdeinteres/prevencion-riesgo-lavado-de-activos/enlaces-de-interes/Paginas/default.aspx).
En
la definición de operación intentada y operación sospechosa se precisa que deben
ser reportadas única y exclusivamente a la UIAF.
Las
Personas Expuestas Públicamente (PEP) se definen como aquellas personas
nacionales o extranjeras que por razón de su cargo: a) manejan recursos
públicos, o b) detentan algún grado de poder público. Se suprimió de la
anterior definición, aquellas personas que “gozan de reconocimiento público”.
En
la definición de los sujetos obligados a adoptar medidas de prevención del
LA/FT, se reitera el criterio de los 160.000 SMMLV de ingresos brutos para las
sociedades comerciales, sucursales de sociedades extranjeras y empresas
unipersonales vigiladas por la Superintendencia de Sociedades (antes se
mencionaba también a las controladas).
En
cuanto al SAGRLAFT, se adiciona que para un adecuado autocontrol y gestión del
riesgo de LA/FT, las sociedades deberán hacer un análisis del riesgo de LA/FT y,
en consecuencia, hacer una debida gestión de riesgo en esta materia. Dicho sistema
de gestión de riesgo que se adopte debe ajustarse al riesgo propio de la
empresa, según su objeto social, tamaño, actividad económica, forma de
comercialización y demás características particulares.
El
proyecto de la política para la implementación del SAGRLAFT estará a cargo del
representante legal quien deberá diseñarla de acuerdo con las características
de la empresa. Si existen varios representantes legales, el diseño del SAGRLAFT
deberá estar a cargo de aquellos que tengan representación de áreas de mayor
exposición al riesgo de LA/FT. El representante legal deberá presentar dicho
proyecto a la Junta Directiva para su estudio y aprobación.
La
ejecución y cumplimiento de la política e instrucciones en materia de
prevención y control del LA/FT le corresponde al representante legal, quien
debe suministrar los recursos tecnológicos, humanos y físicos necesarios y
atenderá los requerimientos o recomendaciones del ente de control, asociados y
junta directiva (de la versión anterior se suprimió al revisor fiscal).
En
cuanto al seguimiento del SAGRLAFT se debe designar a un oficial de
cumplimiento, o quien haga sus veces, para rendir informes al representante
legal, por lo menos uno semestral (en la versión anterior el seguimiento le correspondía
al representante legal y le rendía informes a la junta directiva).
El
nuevo aparte de cumplimiento (numeral 4.4. de la circular), establece que la
junta directiva o el máximo órgano social exigirá al representante legal el
cumplimiento del SAGRLAFT. El sistema debe incluir un régimen de sanciones
y/o incentivos para garantizar su cumplimiento.
El
numeral 4.4. de la anterior circular correspondía a la verificación que debía hacer
el revisor fiscal para cerciorase del cumplimiento del SAGRLAFT, la cual fue
eliminada en la norma vigente.
La
comunicación de la política y procedimientos adoptados para la implementación
del SAGRLAFT deberá hacerse a aquellos empleados que, según el análisis de
riesgo efectuado, la sociedad determine que deben recibir información y
deban ser capacitados para dar cumplimiento (la norma anterior establecía
comunicación a todos los empleados, socios y cualquier otra persona
vinculada con la empresa).
Situación
similar ocurre con la capacitación que se debe brindar, por lo menos una vez al
año, a aquellos empleados que la empresa considere, de la forma y
frecuencia que deban ser capacitados para cumplir con el SAGRLAFT (la norma
anterior establecía capacitación para todos sus empleados).
En
lo que se refiere al conocimiento de los clientes, la sociedad debe definir, de
acuerdo con sus riesgos, la importancia o no de conocer sus clientes y la forma
de hacerlo. Si se trata de ventas masivas que no permiten su identificación, se
recomienda conocer a las personas naturales o jurídicas con las que se
hagan transacciones que no sean del giro ordinario de los negocios (la norma
anterior obligaba al conocimiento de estas personas en casos de
transacciones que no se ajusten a la normalidad del negocio).
La
norma vigente recomienda conocer, por cualquier medio que así lo permita,
el origen de los recursos y verificar la identidad, ubicación, características
de la negociación y cualquier otra información pertinente (antes la empresa debía
preguntar el origen de los recursos y demás aspectos señalados).
Como
parte del SAGRLAFT, la empresa debe determinar qué clientes potenciales
constituyen mayor riesgo de LA/FT para su negocio.
Para
el conocimiento de las PEP (personas expuestas públicamente), los procesos
deben ser más estrictos, exigir más controles, realizar una debida
diligencia avanzada y tener una aprobación de una instancia superior. La norma
anterior consideraba la obligación de indagar, en la celebración de operaciones
con estas personas, sobre la autorización para contratar o manejar recursos
públicos.
Al
igual que con los clientes, el conocimiento de los proveedores la sociedad debe
definir, de conformidad con sus riesgos, la importancia o no de conocer sus proveedores
y la forma de hacerlo. Se recomienda que la sociedad tenga un sistema para
identificar si los bienes o servicios provienen de actividades legales, han
sido debidamente nacionalizados, no son producto de contrabando, no son
elementos de venta restringida y si lo son, que tengan las autorizaciones o licencias
respectivas. La norma anterior obligaba
a conocer los representantes legales, experiencia en el sector, el origen de
los recursos, los socios u accionistas y cualquier otra información pertinente de
los proveedores.
Se
debe tener especial diligencia cuando el precio del bien o servicio que
ofrece el proveedor sea notablemente inferior al del mercado.
Para
el conocimiento de nuevos socios o accionistas se recomienda hacer una
debida diligencia y consultar las listas de la página web de la Superintendencia
de Sociedades para evitar recibir aportes en dinero o en especie que puedan
contagiar a la empresa del riesgo de LA/FT. La norma anterior exigía la
adopción de herramientas que permitieran establecer plenamente la identidad de
los socios y accionistas, confirmar sus datos y tenerlos actualizados
permanentemente; así mismo, conocer la procedencia de sus aportes en dinero o
especie.
Con
sus empleados, la empresa debe verificar los antecedentes tanto vinculados como
por vincular y realizar, por lo menos una vez al año, una actualización de sus
datos.
Es
indispensable que la empresa adopte las medidas necesarias para la identificación
plena de la persona natural o jurídica con quien realice determinada
negociación que no requiera la presencia física de las partes.
En
los casos en que sea posible identificar plenamente a la contraparte de
cualquier negocio y la cuantía lo amerite, se deben consultar sus nombres en
las listas vinculantes para Colombia (Consejo de Seguridad de las Naciones
Unidas).
Para
aquellas operaciones que le generen mayores riesgos, la empresa deberá tomar
medidas necesarias que le permitan identificar el beneficiario final de
los bienes o servicios comercializados.
La
norma vigente recomienda que la empresa debe establecer controles y
procedimientos para reglamentar la cantidad máxima de dinero en efectivo que
puede utilizar con clientes y proveedores y en lo posible utilizar medios de
pago que ofrezcan las entidades financieras (la norma anterior establecía la
obligación de reglamentar la cantidad máxima de dinero en efectivo).
La
norma vigente reitera las medidas para el control del riesgo de LA/FT que deben
tener las empresas para reducir la posibilidad de que sus operaciones, negocios
y contratos se utilicen o intenten dar apariencia de legalidad a actividades
ilícitas. El control implica la detección de operaciones que no son normales y
podrían ser sospechosas.
Las
medidas para el control que deben implementar las empresas son: a) crear
controles para reducir las situaciones que generen riesgo de LA/FT; b) establecer
herramientas para identificar operaciones inusuales y sospechosas; c) establecer
reglas específicas que prohíban la realización de actividades, negocios y
contratos sin soporte interno o externo; d) reportar a la UIAF las operaciones
sospechosas e intentadas, de manera inmediata.
Se
reiteran que además de las sanciones administrativas, civiles o penales
derivadas de los delitos de LA/FT, existen riesgos asociados que le
pueden ocasionar consecuencias negativas a la empresa. Estos riesgos son el
riesgo legal, reputacional, operacional y de contagio.
Para
la implementación del SAGFLAFT, las empresas se pueden apoyar en el “Modelo de
Gestión del Riesgo de LA/FT en el sector
real” de la Oficina de las Naciones Unidas contra la Droga y el Delito UNODC.
Finalmente,
todas las sociedades supervisadas por la Superintendencia de Sociedades
deben revisar permanentemente si son sujetos de reportar operaciones a la UIAF
(www.uiaf.gov.co). La norma anterior
establecía esta obligación únicamente para las sociedades vigiladas por
esta superintendencia.
El
término para la implementación del SAGRLAFT es a más tardar el 31 de diciembre
de 2014 y su resultado se debe presentar por parte del representante legal en
el correspondiente informe de gestión en la sesión ordinaria que se lleve a
cabo en 2015.
