La obligación de identificación establecida en el Sarlaft debe ser cumplida por las entidades vigiladas atendiendo lo señalado en el numeral 4.1.1. del mencionado sistema. En este artículo infolaft presenta los requisitos legales que se deben cumplir para identificar los eventos de riesgo de LA/FT.
Aspectos generales
La primera de las cuatro etapas del Sarlaft es la identificación del riesgo de LA/FT y se encuentra establecida en el numeral 4.1.1. del Capítulo XI del Título I de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia (Sarlaft). Según el citado numeral los riesgos que deben identificar las entidades vigiladas son los inherentes al desarrollo de la actividad de la entidad y deben tener en cuenta los cuatro factores de riesgo definidos en el Sarlaft.
Teniendo en cuenta lo anterior, el análisis que debe realizar el oficial de cumplimiento cuando esté diseñando esta etapa tiene que estar dirigido a examinar que los riesgos identificados respondan a la actividad propia de la entidad, es decir, debe asegurarse de que los riesgos respondan a la actividad que desarrolle, por ejemplo, un banco, una fiduciaria, una comisionista de bolsa, una aseguradora, entre otras, y también debe tener en cuenta a los clientes, los productos, los canales de distribución y las jurisdicciones de la entidad.
El resultado de esta etapa es “(…) identificar los factores de riesgo y los riesgos asociados a los cuales se ven expuestas en relación al riesgo de LA/FT”. Se entiende que la obligación no hace referencia a la identificación de los factores de riesgo ni de los riesgos asociados, pues los mismos ya fueron definidos en el Sarlaft en los numerales 1.4. y 1.6. respectivamente, sino a la identificación de las situaciones que se pueden presentar en la entidad y que estén relacionadas con actividades de lavado de activos y financiación del terrorismo (LA/FT).
Esto implica que el oficial de cumplimiento, según los factores de riesgo y los riesgos asociados definidos en la Circular, debe identificar las formas a través de las cuales se puede presentar el riesgo de LA/FT.
Conforme a lo anterior, se considera que el resultado de la identificación debe ser una lista de eventos de riesgo que responda al desarrollo de la actividad propia de la entidad y que haya tenido en cuenta los tipos de clientes que tiene dicha entidad, los productos que ofrece, los canales de distribución que pone a disposición del cliente y las jurisdicciones en las cuales opera. En este respecto el primer párrafo del numeral 4.1.1. del Capítulo XI del Título I de la Circular Básica Jurídica señala lo siguiente:
“El Sarlaft debe permitir a las entidades vigiladas identificar los riesgos de LA/FT inherentes al desarrollo de su actividad, teniendo en cuenta los factores de riesgo definidos en el presente capítulo”.
La importancia de identificar los eventos de riesgo de LA/FT a través de los factores de riesgo radica en el hecho de que los eventos identificados estarían reflejando la realidad de una operación financiera: donde un cliente, mediante un producto, acude a un canal en una jurisdicción.
¿Cómo hacer el proceso de identificación?
De acuerdo con el literal c) del citado numeral, la entidad debe “establecer las metodologías para la identificación del riesgo de LA/FT (…)”. Existen varias metodologías para llevar a cabo esta labor, sin embargo, hay que resaltar que la forma por medio de la cual se va a concretar esta obligación normativa tendrá que ver directamente con la metodología que se seleccione.
Una de las metodologías más utilizadas en materia de gestión de riesgo es la Norma Técnica Colombiana NTC – ISO 31000 del Icontec. Esta metodología fue el reemplazo de la NTC 5254, la cual fue anulada. Otra metodología que por lo general es utilizada es la COSO ERM (Enterprise Risk Management).
La metodología de identificación que adopte la entidad vigilada debe ser aprobada por la junta directiva. Aunque la Circular no lo dice textualmente, de dicha aprobación se debe dejar constancia en la respectiva acta.
Por otro lado, el citado numeral c) también indica que la metodología establecida debe servir para identificar los riesgos de LA/FT “(…) respecto de cada uno de los factores de riesgo segmentados”. Lo anterior implica que la labor de identificación debe partir de cada uno de los factores de riesgo ya segmentados, es decir, que una vez se tengan los segmentos resultantes por cada uno de los factores de riesgo se debe proceder a identificar los eventos de riesgo de LA/FT.
No obstante lo anterior y con fines de simplificar el modelo, se propone identificar los riesgos de LA/FT de la entidad conforme se indicó anteriormente, esto es, teniendo en cuenta el desarrollo de la actividad de la entidad y los factores de riesgo, y una vez se cuente con tales riesgos vincularlos a cada segmento resultante de cada uno de los factores de riesgo.
En este punto se puede concluir que para llevar a cabo la etapa de identificación se deben cumplir los siguientes requisitos:
- Identificar los riesgos de LA/FT inherentes al desarrollo de la actividad de la entidad (primer párrafo del numeral 4.1.1.).
- Tener en cuenta los factores de riesgo definidos en el Sarlaft para poder identificar el riesgo de LA/FT (primer párrafo del numeral 4.1.1.).
- Establecer una metodología de identificación del riesgo de LA/FT (literal c) del numeral 4.1.1.).
- Que la junta directiva de la entidad apruebe la metodología y dejar constancia de dicha aprobación (literal l) del numeral 4.2.4.1).
- Identificar los riesgos de LA/FT respecto de cada uno de los factores de riesgo segmentados (primer párrafo del numeral 4.1.1.).
Una vez se haya escogido la metodología de identificación se deberán “(…) identificar las formas a través de las cuales se puede presentar el riesgo de LA/FT”, de acuerdo con lo indicado en el literal d) del numeral 4.1.1. del Sarlaft.
En relación con lo establecido en el citado numeral, cuando el Sarlaft señala que lo que se debe identificar son “las formas a través de las cuales se presenta el riesgo de LA/FT”, se puede llegar a entender que son eventos y no riesgos aquello que se debe identificar.
De conformidad con lo establecido en la NTC ISO 31000 del Icontec, el riesgo está caracterizado por los eventos potenciales que podrían ocurrir al interior de la entidad; por tal motivo, la propuesta es que el vértice de la etapa de identificación sea el evento del riesgo.
En este sentido, la entidad debe establecer un procedimiento para poder aplicar lo establecido por la metodología adoptada. En términos de la NTC ISO 31000 del Icontec, la entidad debe contar con “(…) herramientas y técnicas para la identificación del riesgo que sean adecuadas a sus objetivos y capacidades, y a los riesgos que se enfrentan”.
Desde este punto de vista la etapa de identificación debe terminar con una lista exhaustiva de eventos de riesgo de LA/FT que van a ser gestionados por la entidad.
Otra conclusión para el desarrollo de esta etapa es la siguiente:
- Identificar los eventos de riesgo de LA/FT que se puedan presentar en la entidad con base en la metodología adoptada.
Documentación de la etapa de identificación
La metodología adoptada y el procedimiento llevado a cabo para identificar los eventos de riesgo de LA/FT deben estar incorporados en el manual de procedimientos del Sarlaft, de conformidad con lo establecido en los puntos II y VI del numeral 4.2.3. de la Circular.
De acuerdo con lo anterior, la descripción de la metodología de identificación adoptada por la junta directiva y su desarrollo a través de los procedimientos implementados deberá constar dentro del manual Sarlaft diseñado por la entidad. Conforme el literal c) del numeral 4.2.4.1. (funciones de la junta directiva) la junta directiva de la entidad deberá aprobar el manual de procedimientos Sarlaft.
Por otro lado, el literal b) del numeral 4.2.3. de la Circular consagra que la documentación del Sarlaft deberá comprender cuando menos “los documentos y registros que evidencien la operación efectiva del Sarlaft”. De conformidad con lo anterior, los papeles de trabajo que resulten de la aplicación de la metodología adoptada deben constar de documentos y registros que permitan evidenciar que efectivamente se cumplió con lo establecido en el numeral 4.1.1. citado. Si, por ejemplo, se escogió como técnica de identificación los juicios de expertos, se deberá dejar constancia, a través del acta, tanto de las sesiones realizadas como de los resultados obtenidos.
Tal documentación debe garantizar integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida, es decir, que los documentos deben contar con versiones claramente identificables, no deben tener tachones o enmendaduras y se deben encontrar de una manera oportuna cuando se consulte la información.
Nuevos productos, canales y jurisdicciones
Finalmente, el segundo párrafo del numeral 4.1.1. del Sarlaft indica que previo “(…) al lanzamiento de cualquier producto, la modificación de sus características, la incursión en un nuevo mercado, la apertura de operaciones en nuevas jurisdicciones y el lanzamiento o modificación de canales de distribución”, debe realizarse la etapa de identificación.
Esto quiere decir que frente a alguna de las situaciones indicadas el oficial de cumplimiento de la entidad deberá identificar eventos de riesgo de LA/FT, para lo cual deberá aplicar la metodología y el procedimiento adoptado, así como los factores de riesgo involucrados.