Las circulares externas relativas a la prevención del lavado de activos y la financiación del terrorismo hablan de la necesidad de utilizar herramientas tecnológicas para facilitar el cumplimiento de las obligaciones allí establecidas. Por ello, dependiendo del sector regulado, existen requisitos mínimos que deben cumplir las empresas o entidades para no ser sancionadas.
El uso de la tecnología ha facilitado considerablemente el giro ordinario de los negocios en todos los sectores ya que permite que los procesos sean más expeditos, organizados y económicos. La tecnología hace parte de las circulares emitidas por las entidades reguladoras en prevención LA/FT quizá porque ha sido clara su importancia y porque facilita las labores de identificación, medición, control y monitoreo del riesgo.
En la siguiente tabla se encuentran relacionados los diferentes sectores, la mención de la obligación o no de contar con una infraestructura tecnológica y la referencia a la existencia de parámetros mínimos en sus respectivas regulaciones:
La tecnología Sarlaft en el sistema financiero
De acuerdo con la Parte I Titulo IV Capítulo IV de la Circular Básica Jurídica de la Superintendencia Financiera, uno de los elementos del Sarlaft es la infraestructura tecnológica. Dicha Superintendencia establece que sus vigiladas deben contar con la tecnología y los sistemas necesarios para garantizar la adecuada administración del riesgo de LA/FT y por ello el Sarlaft debe contar con un soporte tecnológico acorde con las actividades, operaciones, riesgo y tamaño de la entidad.
La Circular Básica Jurídica de la Superintendencia Financiera establece las siguientes características mínimas de la infraestructura tecnológica exigida por el Sarlaft:
- Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo.
- Consolidar las operaciones de los distintos factores de riesgo de acuerdo con los criterios establecidos por la entidad.
- Centralizar los registros correspondientes a cada uno de los factores de riesgo y en forma particular a cada uno de los clientes.
- Generar de forma automática los reportes internos y externos, distintos de los relativos a operaciones sospechosas, sin perjuicio de que todos los reportes a la Uiaf sean enviados en forma electrónica.
Adicionalmente, según varios conceptos de la Superintendencia Financiera, las comisionistas de bolsa, como administradoras de los sistemas electrónicos de ruteo de órdenes, están facultadas para realizar los desarrollos tecnológicos de manera interna o a través de contratación con terceros. Así mismo, están en la obligación de velar porque tales sistemas operen de forma adecuada en todo momento.
Entidades vigiladas por la Supersociedades
Las exigencias legales sobre soporte tecnológico para la prevención del LA/FT en las sociedades vigiladas por la Superintendencia de Sociedades dependen de cuál es su régimen aplicable.
Para las sociedades que tengan ingresos brutos iguales o superiores a 160 000 salarios mínimos legales, es decir, poco más de $103 000 millones de pesos, la Circular 100-000005 de 2014 será su marco normativo, mientras que las sociedades que no superen dicho umbral están cobijadas por la Circular 100-000004 de 2009.
De acuerdo con la Circular 100-5 de 2014 las sociedades vigiladas están obligadas a establecer herramientas para identificar operaciones inusuales o sospechosas. Según la norma, “dichas herramientas pueden consistir en aplicativos tecnológicos que generen alertas, hojas electrónicas cuya información pueda ser consolidada periódicamente o indicadores a partir de los cuales se pueda inferir la existencia de situaciones que escapan al giro ordinario de sus operaciones”; en otras palabras, las empresas están facultadas para utilizar soportes de tipo tecnológico para prevenir el LA/FT, bien sea a nivel interno o mediante un contrato con terceros.
Las herramientas tecnológicas que use la entidad deben estar de acuerdo con la naturaleza específica de cada empresa teniendo en cuenta sus características particulares, tales como el tamaño, la ubicación, las clases de bienes o servicios que ofrece o cualquier otro criterio que a su juicio (de la empresa) resulte adecuado para controlar el riesgo.
Para las demás sociedades sometidas a la supervisión, inspección y control de la Superintendencia de Sociedades, la Circular 100-4 de 2009 trae una serie de recomendaciones respecto a la adopción de buenas prácticas de gobierno corporativo, entre las que está la de apoyarse en la tecnología para determinar clientes, mercados y operaciones riesgosas.
Empresas regidas por la Circular 170 de 2002 de la Dian
Para aquellas sociedades que deban cumplir con las disposiciones de la Circular 170 de 2002 de la Dirección de Impuestos y Aduanas Nacionales (Dian) en la adopción del manual de procedimientos para la prevención del LA/FT es obligatorio consagrar el uso de herramientas tecnológicas que vayan de acuerdo con la naturaleza y tamaño de la empresa. Sin embargo, la Dian no consagró ningún requisito para estas herramientas.
El caso de los operadores de servicios postales de pago
En la Resolución 3677 de 2013 del Ministerio de las Tecnologías de la Información y las comunicaciones (Mintic) se consagra la obligación que tienen los operadores de servicios postales de pago de contar con aplicaciones y desarrollos tecnológicos que permitan, al menos, las siguientes funciones mínimas:
- Consulta de listas según los requerimientos de cada operador y la legislación que le sea aplicable.
- Consolidación electrónica de operaciones.
- Reporte de operaciones inusuales y sospechosas.
- Señales de alerta automáticas.
- Seguimiento automático de las operaciones de servicio postal de pago mediante el reporte de informes producto de consultas efectuadas con base en criterios definidos.
El Mintic agrega que el desarrollo tecnológico adoptado debe facilitar la debida identificación de los clientes y usuarios y la actualización de sus datos.
Adicionalmente y para soportar el proceso de administración del riesgo de LA/FT, los operadores deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño, que cuente con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo y que permita consolidar las operaciones de los distintos factores de riesgo de acuerdo con los criterios establecidos por la empresa.
Visto lo anterior, es claro que las exigencias legales para estas empresas son las más rigurosas, siendo indispensable contar con un buen sistema informático para prevenir el LA/FT.
Poca claridad en la norma de cooperativas
A las cooperativas de ahorro y crédito se les exige que cuenten con herramientas tecnológicas que les permitan implementar adecuadamente el Siplaft, especialmente en lo relacionado con los mecanismos e instrumentos del sistema.
Empresas transportadoras de valores, de vigilancia y seguridad privada
En el caso de las empresas destinatarias de la Circular 8 de 2011 de la Superintendencia de Vigilancia y Seguridad Privada (las empresas transportadores de valores, de vigilancia y seguridad privada) la junta directiva u órgano que haga sus veces tiene la función de destinar el presupuesto necesario para el adecuado funcionamiento del Sarlaft, el mejoramiento de los mecanismos de prevención y el uso de nuevas tecnologías.
Al mismo tiempo, es una función del representante legal de la sociedad “garantizar que las bases de datos y la plataforma tecnológica cumplan con los criterios y requisitos establecidos en la presente circular”.
Así pues, las empresas transportadoras de valores y empresas de vigilancia que operan con dicha modalidad deben contar con la tecnología y los sistemas necesarios para garantizar la adecuada administración del riesgo de LA/FT, para lo cual deben contar con un soporte tecnológico que cumpla con los mismos requisitos mínimos que tienen las entidades vigiladas por la Superintendencia Financiera, mencionados anteriormente.
