SAGRILAFT para prevenir lavado de activos. Imagen Rawpixel
Para implementar el SAGRILAFT en una empresa se deben seguir una serie de pasos. En este artículo explicamos todo lo que necesita saber.
SAGRILAFT es la sigla de Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos y Financiación del Terrorismo.
Dicho modelo ha sido adoptado por empresas, debido a los ajustes hechos en diciembre de 2020 por la Supersociedades.
También le puede interesar: OFAC, ¿la agencia más importante para evitar lavado de activos?
Por medio de esta norma se dio aplicación a la Recomendación 28 del GAFI.
En esa recomendación se señala la necesidad de establecer medidas sobre Actividades y Profesiones No Financieras Designadas APNFD.
¿Cómo se crea una sociedad offshore?
Comprensión del riesgo en empresas no financieras
Debido a ello, Colombia comprendió que el riesgo de lavado de activos afecta a diversos sectores de la economía.
Superando así la falsa percepción de que el riesgo solo estaba presente en el sistema financiero.
Para el caso del SAGRILAFT de la Supersociedades, la obligación se extiende a las empresas del sector real.
El SAGRILAFT, entendido como un sistema con etapas y elementos, tiene similitudes con sistemas como el SARLAFT financiero.
Para efectos ilustrativos, en este artículo nos referiremos al sistema simplemente como SAGRILAFT.
También le puede interesar: ¿Qué es extinción de dominio y cómo evitarla?
SAGRILAFT: ámbito de aplicación
La Superintendencia de Sociedades obliga a las empresas vigiladas pertenecientes a diferentes sectores a tener un SAGRILAFT.
Por esa razón, los sectores inmobiliario, servicios jurídicos, contables, de cobranza y construcción de edificios adquirieron ese deber.
Las empresas estarán obligadas siempre que obtengan cierta cantidad de ingresos totales por año: iguales o superiores a 30.000 SMMLV.
Igualmente, la obligación aplica para las empresas vigiladas con ingresos totales iguales o superiores a 40.000 SMMLV.
Esto implica que alrededor de 8000 compañías se encuentran obligadas a implementar un SAGRILAFT en Colombia.
El riesgo de lavado de activos
Antes de revisar las características, elementos y etapas del SAGRILAFT, es importante definir el riesgo de LA/FT y sus riesgos asociados.
El riesgo de LA/FT se define como “la posibilidad de pérdida o daño que puede sufrir una empresa" si es utilizada para lavar activos.
También se incluye en ese riesgo la posible utilización para canalizar recursos hacia la realización de actividades terroristas”.
Se entiende que el riesgo de LA/FT se manifiesta a través de riesgos asociados.
Por no estar definidos en la norma del SAGRILAFT, vale la pena revisar lo que dice el SARLAFT financiero.
Riesgos asociados
El primero es el riesgo reputacional, que se define como la posibilidad de pérdidas por desprestigio o mala imagen.
Otro riesgo es el legal, entendido como la posibilidad de pérdidas derivadas del incumplimiento de regulaciones o contratos.
Mientras que el riesgo operativo es la posibilidad de pérdidas por fallas en los procesos, recursos, tecnología e infraestructura.
A su vez, el riesgo de contagio es la posibilidad de pérdidas por las acciones de una persona vinculada a la empresa.
En este sentido, uno de los principales objetivos del SAGRILAFT es reducir la posibilidad de que los riesgos de LA/FT ocurran.
También busca mitigar los efectos nocivos que puedan suceder en caso de que el riesgo de LA/FT llegue a materializarse.
Y esto solo se logrará a través del diseño e implementación de controles. Para esta labor, el SAGRILAFT, contiene elementos y etapas.
A continuación, se exponen las características más importantes de este sistema:
Listas restrictivas y habeas data
Elementos del SAGRILAFT
Podría decirse que los elementos del SAGRILAFT son pasos que permiten una efectiva labor de gestión del riesgo.
Los cuatro elementos del SAGRILAFT se definen a continuación:
Identificación del riesgo en el SAGRILAFT
En primer lugar, el SAGRILAFT requiere establecer metodologías para identificar los factores de riesgo.
Los oficiales de cumplimiento deben segmentar esos factores e identificar los diferentes eventos de riesgo a los que se expone la empresa.
Según el SAGRILAFT, algunos factores de riesgo son las contrapartes y las operaciones, negocios y contratos.
Sin embargo, es frecuente considerar como factores de riesgo a las jurisdicciones donde se encuentran ubicadas las contrapartes.
Igualmente, es frecuente considerar los activos como factores de riesgo.
En todo caso, la determinación de dichos factores es una de las labores requeridas dentro de la etapa de identificación del riesgo.
Identificación, en la práctica
La identificación implica establecer unas metodologías para identificar los factores de riesgo y segmentarlos de acuerdo con sus características.
Esto permitirá analizarlos más fácilmente y así determinar los eventos a través de los cuales dichos factores pueden exponer al riesgo de LA/FT.
Es importante señalar que la norma establece la obligatoriedad de tener metodologías para la identificación, pero no impone una metodología.
En consecuencia, cada empresa podrá determinar la metodología que mejor se adapte a sus necesidades.
Para ello deben tener en cuenta sus características y las condiciones de sus operaciones.
También le puede interesar: Descargue nuestra cartilla sobre segmentación de factores de riesgo
Medición o evaluación del riesgo
La medición, que se realiza con posterioridad a la identificación, implica medir la probabilidad de ocurrencia del riesgo identificado.
Tal medición debe hacerse junto con un estimado del posible impacto que podría generar el riesgo en caso de que se materialice.
En este sentido, la etapa de medición da como resultado la determinación del perfil de riesgo inherente de LA/FT de la empresa.
Es decir, el riesgo propio de la actividad de la empresa sin tener en cuenta controles o medidas de prevención.
Este perfil de riesgo usualmente se representa y/o materializa a través de una matriz de riesgo.
Vale recordar que una matriz expone la relación de la probabilidad del evento de riesgo por el eventual impacto del riesgo materializado.
SAGRILAFT y el control del riesgo
A través de los controles control se buscar tomar las medidas conducentes para reducir el riesgo inherente de la compañía.
En este sentido, se requiere el diseño e implementación de controles que permitan la reducción de la probabilidad de ocurrencia del riesgo.
También la disminución del impacto, o la disminución de ambos.
Como resultado del elemento de control, el sistema debe permitir establecer el perfil de riesgo residual de la empresa.
Es decir, el nivel de riesgo de la empresa, luego de aplicar los controles.
Monitoreo del riesgo
Finalmente, el monitoreo del riesgo requiere que cada empresa realice un seguimiento o vigilancia de su perfil de riesgo.
Así mismo, un seguimiento y una vigilancia para la detección de operaciones inusuales y sospechosas.
El objetivo de este elemento no es otro que mantener una labor efectiva de gestión del riesgo.
¿Cómo lograrlo? por medio del constante seguimiento del riesgo y la continua aplicación de los elementos mencionados.
SAGRILAFT: etapas
De acuerdo con la norma de la Superintendencia de Sociedades, el SAGRILAFT requiere dar cumplimiento a tres etapas.
Estas etapas establecen los pasos secuenciales que debe realizar la empresa para poner en marcha el sistema.
En este sentido, las etapas del SAGRILAFT comprenden a los elementos y tienen como propósito la puesta en funcionamiento del sistema.
Diseño y aprobación del SAGRILAFT
La primera etapa corresponde al diseño del SAGRILAFT, actividad que debe ser supervisada y dirigida por el oficial de cumplimiento.
Adicionalmente, esta persona debe gozar de capacidad decisoria y acreditar conocimientos acerca de las operaciones empresariales.
También debe acreditar conocimientos sobre administración de riesgos.
Una vez diseñado el sistema, se debe proceder con su aprobación por la junta directiva, dejando constancia en el acta de la reunión.
Divulgación del SAGRILAFT y capacitación
Finalmente, la tercera etapa requiere la divulgación del sistema y la realización de capacitaciones a las personas que lo requieran.
Es usual que las empresas determinen que algunas áreas requieren capacitaciones más complejas.
Tal es el caso de recursos humanos, gestión comercial y compras, entre otras.
En todo caso, cada compañía determinará los cargos relevantes para la capacitación, de acuerdo con su perfil de riesgo.
Debida diligencia en el SAGRILAFT
Las empresas obligadas a tener un SAGRILAFT deben establecer procedimientos que permitan identificar a todas sus contrapartes.
Tales contrapartes son personas naturales o jurídicas con las que se tengan vínculos comerciales, de negocios, contractuales o jurídicos.
Entre ellos se encuentran los accionistas, socios y empleados de la empresa, y los clientes y proveedores de bienes y servicios.
En otras palabras, las empresas deben realizar diligencias o gestiones enfocadas a la identificación de sus contrapartes.
Dentro de la debida diligencia se debe verificar información que permita establecer el riesgo de dicha contraparte, en caso de ser vinculada.
Lea también: ¿Qué es debida diligencia?
Debida diligencia como control
Vale la pena señalar que la debida diligencia en el conocimiento de contrapartes constituye un control del riesgo de LA/FT.
En efecto, como control, permite la reducción de la probabilidad de ocurrencia del riesgo.
Esto debido a que disminuye la probabilidad de vinculación o de efectuar operaciones con personas con alta exposición al riesgo.
Así mismo, este control puede disminuir el impacto, pues de materializarse el riesgo, evidencia diligencia y cuidado.
En materia de gestión de riesgo, la debida diligencia se suele efectuar con la verificación de información pública.
Listas restrictivas en el SAGRILAFT
En general, la norma no establece un listado de bases de datos o fuentes de consulta de información.
Aunque sugiere “consultar las demás listas restrictivas emitidas por otras autoridades extranjeras, aun cuando no sean vinculantes”.
De esto, se infiere que cada empresa contará con la facultad para determinar las fuentes de información que considere adecuadas.
No obstante, la norma aclara que se deben verificar obligatoriamente las listas del Consejo de Seguridad de las Naciones Unidas.
La coincidencia de una contraparte en estos listados implica un procedimiento de denuncia especial frente a la Fiscalía General.
Otro aspecto de especial relevancia es la obligación de conocer a los beneficiarios reales, finales y controlantes de las contrapartes.
Lo que debe saber sobre beneficiarios finales
Los beneficiarios finales o reales se definen como “las personas naturales en cuyo nombre se realiza una operación o negocio”.
En este sentido, se incluye a cualquier persona que funja como controlante (ejerce un control efectivo) sobre una persona jurídica.
Particularmente la atención debe centrarse en los titulares del 25% o más del capital social de una persona jurídica.
Estos requisitos generales de debida diligencia son aplicables en el conocimiento de todas las contrapartes.
Sin embargo, la norma incluye un conjunto de medidas específicas de conocimiento.
Siempre dependiendo de la relación o características de la contraparte.
Conocimiento de clientes
¿Qué hacer en los casos donde la comercialización de productos no permite una identificación eficiente del cliente?
La norma recomienda enfocar los esfuerzos del conocimiento en aquellos clientes que realicen negocios con mayor exposición al riesgo.
En este sentido, se requiere un análisis del riesgo para determinar el tipo de operaciones que puedan considerarse inusuales.
Por ejemplo, en una empresa de retail, se esperaría que realice una identificación de las operaciones que no sean habituales.
Para este y cualquier otro caso, se requiere que el conocimiento del cliente contenga ciertas actividades básicas.
Las actividades básicas requeridas son las siguientes:
- Conocer por cualquier medio legal el origen de los recursos.
- Verificar la identidad del cliente.
- Validar y confirmar sus datos de contacto y su actividad económica.
- Solicitar cualquier documentación adicional que se considere pertinente.
Conocimiento de proveedores en el SAGRILAFT
Respecto a proveedores, el proceso requiere de herramientas para verificar que los pagos no sean utilizados para financiar el terrorismo.
Para ello se recomienda que el sistema permita identificar lo siguiente:
- En caso de proveedores de productos, verificar si los productos provienen o no de actividades legales.
- Verificar la adecuada nacionalización de productos importados.
- Validar que los productos no sean de contrabando.
- Para el caso de productos de venta restringida, verificar que se cuente con la debida autorización o licencia.
Conocimiento de Personas Expuestas Políticamente (PEP)
Las Personas Expuestas Políticamente PEP son servidores públicos que ocupen o tengan algunas funciones específicas.
Entre ellas la dirección general, formulación de políticas institucionales y adopción de planes, programas y proyectos.
Incluso, se deben tener en cuenta a aquellos con manejo directo de bienes, dineros o valores del Estado.
El SAGRILAFT también define dentro de esta categoría a las PEP extranjeras y las PEP de organizaciones internacionales.
Las PEP de organizaciones internacionales "son aquellas personas naturales que ejercen funciones directivas en una organización internacional".
Tal es el caso de los directivos de la ONU, la UNICEF, la OCDE y la OEA, entre otras.
Mientras que las PEP extranjeras son "aquellas personas naturales que desempeñan funciones públicas prominentes y destacadas en otro país".
En este caso la Superintendencia de Sociedades provee un listado no taxativo de cargos.
Conocimiento de asociados
Los socios y accionistas de la empresa no se encuentran omitidos de la aplicación de controles.
La obligación de debida diligencia en este caso se extiende principalmente a la identificación y conocimiento del beneficiario final.
Incluye, por demás, la verificación de los recursos que tengan contacto con la empresa para prevenir el riesgo de contagio.
Conocimiento de trabajadores
Se exige a las empresas verificar los antecedentes de personas que pretendan contratar como empleados.
Como particularidad, el conocimiento de trabajadores es el único en el que expresamente se exige actualizar los datos de forma anual.
Sin embargo, para un adecuado conocimiento es recomendable que la información se actualice periódicamente para todas las contrapartes.
Esto último sin importar la calidad de dicha contraparte o del tipo de su vinculación.
Reporte de operaciones sospechosas en el SAGRILAFT
Resultan particularmente importantes los aspectos relacionados con el Reporte de Operaciones Sospechosas ROS.
La razón es porque a través de ellos se materializa, en gran medida, la labor de gestión del riesgo de la empresa.
Pero, adicionalmente, porque es una herramienta para que las autoridades sepan qué personas realizan actividades ilícitas.
El ROS se efectúa cuando, al realizar un examen de una operación inusual, se determina que no existe una justificación razonable.
En este momento, en donde la operación inusual se convierte en sospechosa, el oficial de cumplimiento tiene que presentar un ROS.
Envío de ROS y consecuencias
Su envío debe hacerse a la Unidad de Información y Análisis Financiero UIAF a través del aplicativo en línea conocido como SIREL
Sobre este reporte, la norma es clara en señalar que “la presentación de un ROS no constituye una denuncia penal.
Por lo tanto, para los efectos del reporte, no es necesario que la Empresa tenga certeza de que se trata de una actividad delictiva.
Tampoco se requiere identificar el tipo penal o verificar que los recursos tengan origen ilícito.
Vale la pena recordar que también son objeto de ROS las operaciones intentadas.
Una operación intentada se define como aquella operación en la que alguien tiene la intención de realizar una operación, pero ésta no se lleva a cabo.
Bien porque quien pretende llevarla a cabo desiste o porque los controles definidos no le permitieron realizarla.
SAGRILAFT: principales conclusiones
En este artículo se expusieron las características y conceptos más importantes del SAGRILAFT.
Así como las obligaciones y reglas establecidas para la prevención y gestión del riesgo de LA/FT para el sector real.
Como se ve, el SAGRILAFT establece la obligación de tener un verdadero sistema de gestión del riesgo.
Este sistema cobra una importancia especial en Colombia, teniendo en cuenta que incluye una gran cantidad de actividades económicas.
Para concluir, es importante entender que a cada empresa le corresponde realizar un análisis detallado de sus negocios.
Se recomienda que hagan un análisis de su riesgo para establecer medidas o controles.
Siempre teniendo en cuenta que deben ayudar a disminuir la probabilidad de ocurrencia de un riesgo y/o mitigar su impacto en caso de materializarse.
