SARLAFT como modelo para evitar lavado de activos. Imagen Freepik
El SARLAFT en Colombia tiene cuatro etapas y ocho elementos para prevenir el lavado de activos. Infolaft le explica cómo evaluar e implementar este modelo.
Definición del SARLAFT
Antes de responder ¿qué es SARLAFT? es importante recordar que en septiembre de 2020 la Superintendencia Financiera expidió el nuevo SARLAFT 4.0.
El SARLAFT 4.0, por esa razón, se ha convertido en el nuevo modelo para el sector financiero.
Lea también: SAGRILAFT, sistema para prevenir lavado de activos en empresas
Es importante mencionar que el SARLAFT es diferente al SAGRILAFT de la Supersociedades, el cual aplica a empresas no financieras.
Le puede interesar: ¿OFAC, la agencia más importante para prevenir lavado de activos?
Dicho lo anterior, si queremos desarrollar la definición de SARLAFT, podríamos decir que es un sistema compuesto de etapas y elementos.
Su finalidad es que las entidades financieras gestionen el riesgo de ser utilizadas para dar apariencia de legalidad a activos provenientes de actividades delictivas.
De igual manera, su propósito es evitar que tales entidades sean usadas como instrumento para la canalización de recursos hacia la realización de actividades terroristas.
¿Cómo se crea una sociedad offshore?
Las etapas consisten en identificar, medir, controlar y hacer monitoreo de los riesgos de lavado de activos y financiación del terrorismo.
Los elementos son: políticas, procedimientos, documentación, estructura organizacional, órganos de control, infraestructura tecnológica, divulgación de información y capacitación.
En 2008 la Superintendencia Financiera decidió actualizar y mejorar el sistema anterior, conocido como Sistema Integral para la Prevención del Lavado de Activos SIPLA.
SARLAFT: no hay un sistema único
Un primer paso para responder la pregunta ¿qué es SARLAFT? es comprender que no existe un SARLAFT tipo o modelo.
Cada entidad tiene que crear, desarrollar y perfeccionar su propio SARLAFT o sistema de gestión del riesgo de lavado de activos y financiación del terrorismo.
Por tal motivo habrá tantos SARLAFT como entidades que apliquen esta norma de la Superintendencia Financiera.
Dicho SARLAFT debe entenderse desde el punto de vista legal como una norma de la autoridad reguladora.
Se trata de un estándar mínimo que debe ser desarrollado, y una recopilación de mejores prácticas que se elevan a una norma de naturaleza obligatoria.
Pero, desde el punto de vista interno, el SARLAFT se desarrolla y se personaliza para volverse el SARLAFT de la entidad.
En este punto comienza a ser un sistema vivo y dinámico con recursos, presupuesto y responsables.
Un SARLAFT, para los funcionarios de la entidad, se da a conocer mediante políticas y procedimientos que se convierten en el manual SARLAFT.
Adicionalmente, se le asignan funciones a un área que se denomina de diferentes formas, pero a la cual se le suele dar el nombre de área SARLAFT
Se puede llegar a crear el comité SARLAFT, el aplicativo SARLAFT, el examen SARLAFT y de esta manera pasamos de lo abstracto a lo concreto.
También le puede interesar: cuatro principales modalidades de lavado de activos en Colombia
Marco legal del SARLAFT
Actualmente el SARLAFT está dentro del Capítulo IV del Título IV en la Parte I de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia.
Esta norma da pautas acerca de la forma como se debe cumplir el Estatuto Orgánico del Sistema Financiero.
Concretamente en lo relativo a su artículo 102 y siguientes, los cuales desarrollan el tema de la prevención de actividades delictivas.
Tal estatuto ha tenido modificaciones expresas en materia de LA/FT mediante el Estatuto Anticorrupción y la Ley Contra la Financiación del Terrorismo.
Etapas del SARLAFT
La Superintendencia Financiera establece que la gestión del riesgo se debe desarrollar mediante las siguientes etapas:
- Identificación del riesgo de LA/FT
- Medición de la probabilidad y el impacto del riesgo de LA/FT
- Control del riesgo de LA/FT
- Monitoreo del riesgo de LA/FT
También le puede interesar: lo que busca la Superfinanciera en una segmentación de factores de riesgo
Elementos del SARLAFT
Las etapas por sí solas no constituyen el SARLAFT.
Éstas deben ser implementadas mediante una serie de acciones y recursos que la norma ha denominado elementos.
Nuestro artículo no pretende abarcar todos los elementos del SARLAFT y algunos se tratan en forma tangencial cuando se relacionan con las etapas.
A continuación se hará una breve descripción de los elementos, pero el lector seguramente necesitará consultar la norma para conocer más sobre estos temas.
Elementos y su alcance
Políticas:
Son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el SARLAFT.
Cada una de las etapas y elementos del sistema debe contar con unas políticas claras y efectivamente aplicables.
Procedimientos:
Todas las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y etapas del SARLAFT.
Documentación:
Las etapas y los elementos del SARLAFT implementados por la entidad deben constar en documentos y registros.
Además, se debe garantizar la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida.
Estructura organizacional:
Deben establecer y asignar las facultades y funciones en relación con las distintas etapas y elementos del SARLAFT.
Órganos de control:
Hay que establecer órganos e instancias responsables de efectuar una evaluación del Sarlaft.
Todo esto con el fin de que se puedan determinar sus fallas o debilidades e informarlas a las instancias pertinentes.
Infraestructura tecnológica:
Muy importante es contar con la tecnología y los sistemas necesarios para garantizar la adecuada administración del riesgo de LA/FT.
Para ello deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño.
Divulgación de información:
Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes, tanto internos como externos.
Tales reportes tiene que garantizar el funcionamiento de los procedimientos y atención de requerimientos de las autoridades.
Capacitación:
Se precisa diseñar, programar y coordinar planes de capacitación sobre el SARLAFT dirigidos a todas las áreas y funcionarios de la entidad.
Tal vez el elemento más complejo por la diversidad de temas que lo conforman es el de los procedimientos.
En su momento, el SARLAFT fue un invento nuevo, un esfuerzo por mejorar lo que se venía haciendo para transformarlo en algo más efectivo.
No existe una sola forma de desarrollar el SARLAFT, pues la norma permite que cada entidad seleccione sus propias metodologías.
Como el SARLAFT desarrolla los Artículos 102 al 107 del Estatuto Orgánico del Sistema Financiero, siempre es necesario tener presente esa norma, de mayor jerarquía.
Consulte también: Compliance, ¿qué es y cómo mejorarlo?
De la teoría a la práctica
La actividad de consultoría y de docencia nos ha dado la posibilidad de comparar nuestra visión del SARLAFT con nuestros clientes y con académicos.
También hemos sido invitados por la Superintendencia Financiera a exponer nuestros puntos de vista y mediante un diálogo constructivo hemos enriquecido mutuamente nuestras posiciones.
Pero el ejercicio más retador, y por lo tanto el más fructífero, es el que se ha dado al interior de las entidades vigiladas.
Las diferentes áreas de las entidades, cada una con intereses, enfoques y necesidades propias, nos retaron intelectualmente.
Sin lugar a dudas, todo ello nos permitió probar y perfeccionar en la práctica las bases teóricas que habíamos construido.
Del KYC al KYR
La forma como la humanidad enfrenta el lavado de activos ha cambiado y, consecuentemente, ha transformado nuestro rol.
Desde hace más de treinta años la lucha contra el lavado de activos se ha centrado en una idea simple y ambiciosa: conozca a su cliente.
Este concepto se ha vuelto un mandato imperioso para todos los profesionales que deben ejercer una debida diligencia.
Recientemente el concepto de conocer al cliente le ha dado paso a otro más complejo y exigente: conozca su riesgo.
Ya no basta con identificar los clientes, solicitarles documentos de soporte y monitorear sus operaciones para detectar inusualidades.
Adicionalmente, las entidades vigiladas deben emplear métodos técnicos de gestión de riesgo que permitan descomponer los factores que generan algún tipo de amenaza para la entidad.
Lo anterior es lógico, pues el riesgo no proviene simplemente del cliente: puede provenir de un usuario, un canal, un producto o una jurisdicción.
Este avance, propuesto por el regulador, fue acogido de una forma crítica, pero constructiva por las entidades vigiladas.
Muy pronto, estas dispusieron de enormes presupuestos para poner a tono sus sistemas de control y avanzar en la gestión integral del riesgo de lavado de activos.
Oficiales de cumplimiento más profesionales
Una nueva dinámica muy interesante en el sector financiero, con la implementación del SARLAFT, tuvo que ver con los oficiales de cumplimento.
Dichas personas se profesionalizaron mediante la capacitación en gestión del riesgo.
Así mismo, las juntas directivas de las entidades aprobaron metodologías, manuales y mediciones.
Ya no basta con conocer los clientes, en inglés KYC (Know Your Client), debido a que esta forma de enfrentar el problema se volvió obsoleta.
¿Cuál fue la razón de esto?
Sencillamente los delincuentes aprendieron a suplantar clientes, comprar compañías, infiltrar negocios lícitos, entre otras tipologías.
Debido a lo anterior -infortunadamente- hay que entender a la entidad como un sistema que ofrece ‘oportunidades’ a los delincuentes.
Hay que estar vigilantes de todos los aspectos de la operación, la cual incluye los clientes, pero también sus usuarios, canales transaccionales y de ventas.
Es recomendable también prestar atención a los productos y jurisdicciones en las cuales se tienen presencia o intereses.
Con lo anterior en mente es claro que debemos pasar del KYC a lo que podríamos denominar el KYR (Know Your Risk) o en español: conozca su riesgo.
Antecedentes del SARLAFT
La gestión profesional del riesgo en las entidades financieras y en las empresas no es un tema nuevo; tampoco lo es la prevención del lavado de activos y la financiación del terrorismo.
Lo novedoso del SARLAFT radicó en que varias organizaciones y autoridades a nivel mundial en este campo coincidieron en recomendar el enfoque de gestión de riesgo para el tema de LA/FT.
Como lo veremos en este punto, ya existía en Colombia una norma encaminada en este sentido.
También las 40 Recomendaciones del Gafi contemplan esta filosofía, y varios países tienen sistemas que involucran este enfoque.
El SARLAFT colombiano ha sido entendido por varios observadores como una propuesta ambiciosa y muy completa dentro de esta tendencia.
Primeras normas relacionadas con el SARLAFT
Para el caso colombiano, el principal antecedente del enfoque de gestión de riesgo fue incluido en 1993 en el Estatuto Orgánico del Sistema Financiero colombiano, norma que en su Artículo 102 Numeral 4 establece:
"Alcance y cobertura del control. Los mecanismos y auditoría de que trata este artículo podrán versar exclusivamente sobre las transacciones, operaciones o saldos cuyas cuantías sean superiores a las que se fijen como razonables y suficientes.
El artículo 102 también señala que las cuantías se basarán en el "tipo de negocios que realiza, amplitud de su red, los procedimientos de selección de clientes, el mercadeo de sus productos, capacidad operativa y nivel de desarrollo tecnológico".
Esta norma, actualmente vigente, sirvió para establecer el marco general del antiguo SIPLA, y hoy se desarrolla ampliamente en el SARLAFT.
En el fragmento anterior se observa que las entidades le podrán dar un tratamiento diferente a los controles, según “las transacciones, operaciones o saldos cuyas cuantías sean superiores a las que se fijen como razonables y suficientes”.
Base internacional del SARLAFT
En el año 2006, la Reserva Federal de los Estados Unidos, por intermedio del Consejo de Supervisión de Instituciones Financieras, publicó el Manual de Supervisión de los Sistemas Antilavado.
Este documento contiene el concepto de gestión del riesgo de acuerdo con la exposición de la entidad.
Además, incluye una matriz de riesgo y un esquema del sistema de cumplimiento basado en riesgo.
Por otro lado, Australia, uno de los países líderes en la lucha contra el LA/FT, expidió en 2006 una nueva ley sobre control de LA/FT: Anti-Money Laundering and Counter Terrorism Financing Act 2006.
Esta norma también desarrolla el enfoque de gestión de riesgo.
Posteriormente, en 2007 Austrac, la Unidad de Inteligencia Financiera de dicho país, publicó una Guía de Gestión de Riesgo para LA/FT: Austrac Guidance Note Risk Management and AML/CTF Programs.
En dicha guía se recomienda por obvias razones que las entidades apliquen el estándar australiano de gestión de riesgo conocido como AS/NZS 4360:2004 (hoy AS/NZS ISO 31000:2009).
¿Qué dijo el GAFI?
Igualmente, el Grupo de Acción Financiera Internacional (GAFI) publicó en el año 2007 una guía con un enfoque basado en la gestión del riesgo de lavado de activos y financiación del terrorismo.
Además, las Recomendaciones del GAFI contienen unos principios que permiten que los países –hasta cierto grado– adopten un enfoque basado en riesgo.
Es decir, de cierta manera autorizan a los países a permitir que las entidades financieras usen un sistema de gestión de riesgo para que flexibilicen algunas de sus obligaciones de prevención del LA/FT.
Eso sí, todo dentro del principio de que los riesgos deben ser identificados para poder hacer un mejor uso de los recursos.
Así, el principio es que si se tienen claras las prioridades se pueden invertir los recursos en una forma más efectiva y así lograr más éxito.
Limitaciones y diferencias del SARLAFT
El SARLAFT se fundamenta en las técnicas de gestión de riesgo comúnmente empleadas en la industria financiera y en otras industrias, tales como Coso, ERM y el AS/NZS ISO 31000.
También se nutre y se complementa, desde el punto de vista técnico, con los demás sistemas de administración de riesgo obligatorios para las entidades vigiladas.
Esos sistemas son: Sistemas de Administración de Riesgo Operativo (SARO), Sistemas de Administración de Riesgo Crediticio (SARC), Sistemas de Administración del Riesgo de mercado (SARM) y Sistemas de Administración de Riesgo de Liquidez (SARL).
Como similitudes entre los sistemas de gestión de riesgo del sector financiero se pueden nombrar:
- Todos definen y delimitan el riesgo al cual hacen referencia.
- Establecen una metodología de gestión de riesgo.
- Involucran ciertos elementos, para los cuales hacen requerimientos precisos.
Entre las diferencias con los sistemas hermanos se encuentran las siguientes:
SARLAFT otorga libertad metodológica
Dentro del SARLAFT se pueden emplear mediciones de carácter cuantitativo o cualitativo.
Debido a que la norma no desarrolla el tema a profundidad, las entidades tienen libertad para seleccionar la metodología más apropiada.
Hay que entender que no existen desarrollos técnicos ni información histórica suficiente para construir bases conceptuales sólidas para el SARLAFT.
Por lo tanto no se le puede exigir a este sistema el mismo rigor que a los demás sistemas de gestión de riesgo como el SARM, el cual es más riguroso en sus estándares cuantitativos.
El SARLAFT no tiene equivalencia económica
Dentro del SARLAFT no se pide el cálculo de la pérdida esperada, ni de provisiones, y tampoco se hace referencia a la revelación contable del riesgo.
La estrategia para gestionar el riesgo es más limitada
En principio el SARLAFT no permite aceptar ni trasladar el riesgo.
Desde el punto de vista práctico, el impacto de ciertos riesgos se puede aceptar o trasladar, como es el caso de los impactos operativos o los impactos legales, principalmente de naturaleza contractual.
Hay que tener en cuenta que en la gestión del riesgo de LA/FT, el profesional muchas veces debe conciliar aspectos contradictorios, lo que conlleva a enfrentar el dilema de “escoger entre dos males el menos malo”.
Es el caso de la entidad que para evitar un riesgo reputacional decide incumplir un contrato o, por el contrario, para evitar una sanción acepta una medida impopular que la lleva a una pérdida de imagen.
Para muchos, este concepto resulta difícil de entender, pero la realidad nos enseña que el administrador de riesgos muchas veces debe escoger el menor entre dos males
No es obligación registrar eventos materializados
En SARO se establece la obligación de registrar los eventos de riesgo que se materialicen, mientras que en SARLAFT no existe tal obligación, pero sí una obligación particular de reportar operaciones sospechosas.
Características especiales del SARLAFT
No obstante las similitudes y características comunes, debemos entender la naturaleza única y especial del SARLAFT.
En su aplicación práctica, hemos encontrado las siguientes características que marcan la diferencia con los otros sistemas de administración de riesgo:
Imperceptibilidad del riesgo
Todos los riesgos financieros son fácilmente detectables. Basta con consultar el saldo de la obligación para determinar si el cliente está en mora o no.
Se debe tener en cuenta que hay conceptos como siniestro, pérdida y default que, como tales, no se aplican en el SARLAFT.
Los riesgos operativos son perceptibles por los sentidos y dejan consecuencias económicas que normalmente son fáciles de cuantificar y contabilizar.
Mientras que los riesgos relacionados con lavado de activos y financiación del terrorismo requieren de grandes esfuerzos de detección.
Esfuerzos que, valga decir, nunca serán definitivos, pues quien define si una operación fue o no ilícita es un juez, algún tiempo después de ocurrida
Confidencialidad y sensibilidad de la información
En los demás riesgos, la información y la transparencia son sanas y recomendables.
Dicho esto, no es conveniente que los delincuentes conozcan las vulnerabilidades de las entidades ni las estrategias empleadas para evitar el lavado de activos.
La información de identificación y medición del riesgo es muy útil para los funcionarios de la entidad que la van a utilizar en forma constructiva y proactiva.
Pero la misma información fuera de contexto y utilizada por alguien que no entienda la naturaleza de la misma podría conllevar graves consecuencias.
Por ejemplo, una entidad que logra reducir su riesgo de suplantación en el producto de cuentas corrientes de cien a diez casos al año.
Alguien con poco tino podría decir que la entidad está admitiendo de antemano que sufrirá de lavado de activos diez veces al año y por lo tanto está aceptando y tolerando está conducta.
Imposibilidad de eliminar el riesgo
El delincuente muta, se transforma y espera el mejor momento para penetrar las entidades vigiladas.
Los controles, por muy efectivos que sean no pueden ser infalibles, pues se topan con barreras naturales que deben ser respetadas.
Entre tales barreras están las libertades civiles, los derechos de los consumidores, el derecho al buen nombre y la presunción de buena fe.
A su vez, los controles deben ser operativos, prácticos y costo eficientes para que las entidades puedan cumplir con su objeto social y su fin esencial.
Hay que tener en cuenta que no se ha podido eliminar el riesgo por completo en otras disciplinas que ponen en peligro un bien jurídico más valioso como es la vida humana.
Por lo tanto, sería utópico pensar que en este campo se pueda lograr por simple decisión.
Aunque lo anterior no riñe con la obligación de ejercer la debida vigilancia y gestionar adecuadamente todos los riesgos.
Esfuerzo constante
La imposibilidad de eliminar el riesgo implica que la gestión del riesgo de lavado de activos y financiación del terrorismo nunca llega a su fin.
Nunca cesa la labor de disminuir la probabilidad o el impacto del riesgo mediante la implementación y el perfeccionamiento de controles.
Vale la pena recalcar que esta obligación es de medios y no de resultados, por lo tanto nunca cesa.
Como en cualquier sistema, siempre que se fortalezca un elemento, los demás quedan relativamente más vulnerables y si se quiere fortalecer el sistema como un todo deben fortalecerse sus partes más débiles.
En síntesis, hay mucho que aprender de los demás sistemas de riesgo.
Pero ante todo hay que entender la naturaleza especial del SARLAFT y crear una serie de principios y técnicas especiales para las características antes descritas.
Aporte para la toma de decisiones
Ante el esfuerzo significativo que implicó convertir el antiguo SIPLA en un SARLAFT, las entidades tendieron a perder el rumbo y creer que la finalidad única del SARLAFT era el SARLAFT mismo.
Esto, afortunadamente, no es así.
El SARLAFT de la Superintendencia Financiera tiene muchas ventajas. Hemos visto en los diferentes proyectos en los cuales participamos que un buen SARLAFT implica, entre otros, los siguientes beneficios:
- Profesionalización de las labores relacionadas con la prevención del lavado de activos y la financiación del terrorismo.
- Pautas más objetivas para la determinación de operaciones sospechosas.
- Uniformidad de criterios en torno a los riesgos aceptables.
- Distribución de las funciones de prevención entre las diferentes áreas de la entidad, alejándose de la falsa concepción de que el único responsable es el oficial de cumplimiento.
- Análisis sistemático de las vulnerabilidades de la entidad.
- Estudio del costo-beneficio de los controles existentes.
- Generación de indicadores de gestión relacionados con la prevención de lavado de activos y financiación del terrorismo.
SARLAFT: insumo para los negocios
Pero tal vez el mayor beneficio que hemos visto en los proyectos SARLAFT en los que hemos participado es que las entidades obtuvieron una herramienta valiosa para la toma de decisiones.
El SARLAFT, permite unificar criterios y contar con elementos de juicio para tomar decisiones propias del negocio, tales como:
- Selección del mercado objetivo.
- Determinación de los productos o canales que deben ser lanzados.
- Áreas u oficinas que deben ser auditadas.
- Funcionarios que deben tener refuerzos en capacitación.
- Inversión más eficiente en software y hardware de control.
- Segmentos de clientes que pueden tener un trámite de vinculación simplificado.
- Grupos de clientes que deben tener un trámite de vinculación más estricto.
- Operaciones que requieren monitoreo especial.
- Clientes con los cuales se debe terminar la relación comercial.
- Áreas para aplicar la debida diligencia y la debida diligencia mejorada.