Las empresas del sector real vigiladas por la Superintendencia de Sociedades de Colombia y que cumplan con unos requisitos específicos deben implementar el Sistema de Autocontrol de Gestión del Riesgo Integral de Lavado de Activos y Financiamiento del Terrorismo, SAGRILAFT.
La Superintendencia de Sociedades de Colombia, también conocida como la Supersociedades, es consciente de que las empresas que están bajo su vigilancia y control pueden verse involucradas o ser usadas en actividades relacionadas con el lavado de activos (LA), financiación del terrorismo (FT) y financiamiento de la proliferación de armas de destrucción masiva (FPADM), delitos que impactan negativamente en la economía del país y en la de las empresas, en este caso, las que pertenecen al sector real.
Adicionalmente, como sabemos, estos delitos pueden significar la materialización de riesgos operacionales, legales, reputacionales y de contagio para las empresas involucradas y esto, sin duda, afectaría su buen nombre, competitividad, productividad, sostenibilidad y continuidad en el corto, mediano y largo plazo.
Por esta razón, para prevenir los riesgos asociados a LAFT / FPADM en las empresas del sector real, en diciembre de 2020, la Supersociedades modificó el Capítulo X de la Circular Básica Jurídica (Circular Externa No. 100-000005 del 22 de noviembre de 2017), en el que establece que estas empresas deben implementar un Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos y de Financiamiento del Terrorismo, es decir, el SAGRILAFT.
Las empresas obligadas, que son vigiladas por la Supersociedades y que cumplen algunas características y requisitos específicos, “deberán realizar un análisis con un enfoque basado en el riesgo y su materialidad de acuerdo con sus características propias, teniendo en cuenta las operaciones, productos, servicios y contratos que lleve a cabo o pretenda desarrollar, así como sus contrapartes, y de los beneficiarios finales de estas, al igual que los países o áreas geográficas de operación y canales y demás características particulares”, así lo establece el Capítulo X de la mencionada Circular.
Dado que son muchas las empresas del sector real en Colombia que deben implementar SAGRILAFT para evitar ser utilizadas como instrumento para la realización de actividades delictivas, a continuación te contaremos todo lo que necesitas saber sobre este sistema: qué empresas están obligadas y cuál es el plazo para hacerlo, cuáles son los elementos y las etapas del SAGRILAFT, cómo hacer el reporte de operaciones sospechosas ante la Unidad de Información y Análisis Financiero (UIAF) y cómo aprovechar la tecnología para implementar y cumplir de manera eficiente este sistema de prevención del lavado de activos y financiación del terrorismo.
Las empresas obligadas a dar aplicación a lo dispuesto en el Capítulo X de la Circular Básica Jurídica sobre SAGRILAFT son:
*Los sectores de supervisión especial o regímenes especiales son:
Entre otros, uno de los requisitos que deben cumplir, por ejemplo, las empresas del sector de agentes inmobiliarios, de comercialización de metales y piedras preciosas, de servicios jurídicos, de servicios contables y de construcción de edificios y obras de ingeniería es que al 31 de diciembre del año anterior hayan obtenido ingresos totales iguales o superiores a 30.000 SMLMV.
En cuanto a las empresas de servicios de activos virtuales, algunos requisitos son:
Realizar una o más de las siguientes actividades u operaciones iguales o superiores a 100 SMLMV:Que al 31 de diciembre del año anterior hayan obtenido ingresos totales iguales o superiores a 3.000 SMLMV o tenido activos iguales o superiores a 5.000 SMLMV.
En el caso de estas empresas de servicios de activos virtuales, este Capítulo X también especifica que deben dar cumplimiento al proceso de debida diligencia intensificada para conocer a sus contrapartes.
Adicional a todo lo anterior, es importante tener en cuenta que las empresas de los sectores de agentes inmobiliarios, de comercialización de metales y piedras preciosas, de servicios jurídicos y de servicios contables que no cumplan con los requisitos, pero que al 31 de diciembre del año anterior hayan obtenido ingresos totales iguales o superiores a 3.000 SMLMV o tenido activos iguales o superiores a 5.000 SMLMV deben dar cumplimiento al régimen de medidas mínimas.
Entre otras, las medidas mínimas que están obligadas a adoptar son:
Según lo establecido por la Supersociedades en el Capítulo X de la Circular Básica Jurídica, las empresas del sector real que a partir del 31 de diciembre de cualquier año adquieran la calidad de empresas obligadas al cumplimiento del SAGRILAFT o al régimen de medidas mínimas, deben poner en marcha este sistema o régimen a más tardar el 31 de mayo del año siguiente.
Para la puesta en marcha y cumplimiento del SAGRILAFT, las empresas obligadas deberán tener en cuenta los siguientes elementos:
Para el diseño del SAGRILAFT las empresas deben tener en cuenta: su materialidad, sus características, su actividad y la identificación de los factores de riesgo LAFT a través de herramientas como la matriz de riesgo. Es importante que tanto el representante legal como la junta directiva dispongan de las medidas y recursos que sean necesarios para que el oficial de cumplimiento pueda realizar sus labores adecuadamente.
Entre tanto, la aprobación del SAGRILAFT es responsabilidad de la junta directiva y en caso de no contar con este órgano, del máximo órgano social de la empresa. Además, debe ser presentado conjuntamente por el representante legal y el oficial de cumplimiento.
El oficial de cumplimiento es la persona encargada de la auditoría y verificación del cumplimiento del SAGRILAFT. La empresa debe certificar que la persona elegida para desempeñar este cargo cumple con los requisitos exigidos, así mismo, debe informar a la Superintendencia de Sociedades, dentro de los 15 días hábiles siguientes a su designación, estos datos:
Además, debe enviar la hoja de vida del oficial de cumplimiento y copia del acta en la que conste la designación para este cargo.
Y es clave que las empresas tengan en cuenta que la persona elegida debe tener: título profesional, experiencia mínima de seis meses en cargos relacionados con SAGRILAFT y acreditar conocimientos en gestión del riesgo LAFT por medio de especializaciones, cursos, diplomados, seminarios u otros espacios académicos.
Para asegurar el adecuado cumplimiento del SAGRILAFT se debe divulgar a todos los empleados y a las partes interesadas de la empresa, mínimo una vez al año.
Así mismo, la empresa debe brindar espacios de capacitación sobre este sistema a todas las partes interesadas. Como resultado de la divulgación y capacitación, empleados y demás deben conocer cómo identificar operaciones inusuales o sospechosas y cómo reportarlas oportunamente.
Las capacitaciones deben realizarse como mínimo una vez al año y se debe dejar constancia de su realización, al igual que el nombre de las personas que participen, la fecha y los temas trabajados.
Las empresas deben establecer y asignar quiénes son los responsables de las facultades y funciones necesarias para la ejecución de las etapas, elementos y actividades asociadas al SAGRILAFT. Estas funciones y facultades deben traducirse en reglas de conducta para la actuación de todas las partes involucradas con la empresa.
Así mismo, deben tener claro que para el adecuado funcionamiento de este sistema es necesario contar con la participación de varios sujetos y aunque existen funciones específicas para cada uno, es fundamental garantizar la interacción entre todos los responsables para lograr su funcionamiento, cumplimiento y efectividad del SAGRILAFT.
Algunas de las funciones que tienen la junta directiva o el máximo órgano social de la empresa son:
La persona que desempeñe este rol, tiene entre sus responsabilidades:
Entre las principales funciones que debe cumplir esta persona están:
En general, de acuerdo con el artículo 207 del Código de Comercio, quien cumple este papel tiene la obligación de reportar ante la UIAF las operaciones sospechosas cuando sean advertidas en el desarrollo ordinario de sus labores. Para el envío de este reporte (ROS), el revisor fiscal debe solicitar usuario y contraseña en el SIREL, que es administrado por la UIAF.
También es responsabilidad del revisor fiscal informar a las autoridades competentes sobre posibles actos de LAFT / FPADM que descubra.
Como buena práctica es recomendable que quienes cumplen esta labor dentro de la organización incluyan en sus planes de auditoría anual la revisión de la efectividad y cumplimiento adecuado del SAGRILAFT, para de esta forma poder determinar si hay deficiencias y qué medidas tomar para corregirlas.
El resultado de la auditoría interna al sistema debe informarse al oficial de cumplimiento, al representante legal y a la junta directiva o máximo órgano social de la empresa.
Como ocurre con otros sistemas de gestión de riesgos, de acuerdo con lo dispuesto por la Supersociedades, el SAGRILAFT a implementar por las empresas obligadas debe incluir como mínimo las siguientes etapas:
SAGRILAFT debe permitir a las empresas identificar los factores de riesgo LAFT / FPADM y los riesgos asociados a estos. Para llevar a cabo esta primera etapa del sistema, las empresas deben:
En esta etapa, las empresas obligadas deben medir la probabilidad de ocurrencia del riesgo inherente frente a cada uno de los factores de riesgo LAFT / FPADM, además del impacto que este puede tener en caso de materializarse a través de los riesgos asociados. A partir de esta medición o evaluación, se establece el perfil de riesgo inherente de la empresa.
Algunas de las actividades que se deben cumplir en esta etapa del sistema son:
Esta tercera etapa consiste en tomar medidas razonables para el control del riesgo inherente al que están expuestas las empresas. A partir de los controles implementados, se debe establecer el perfil de riesgo residual y hay que tener en cuenta que estos deben contribuir a disminuir la probabilidad de ocurrencia del riesgo o el impacto que pueden tener si se materializan.
En esta etapa también se debe crear una matriz de riesgo LAFT / FPADM que ayude a definir los mecanismos de control más adecuados y su aplicación a los factores de riesgo. Adicionalmente, la empresa debe:
Esta última etapa tiene como objetivo vigilar el perfil de riesgo de la empresa y tener la capacidad de detectar operaciones inusuales y sospechosas de manera oportuna. Como mínimo las empresas deben:
La debida diligencia es una de las principales herramientas para la prevención y control del riesgo LAFT / FPADM.
Las empresas obligadas a implementar y cumplir SAGRILAFT deben aplicar medidas de debida diligencia de la contraparte, con un enfoque basado en el riesgo y su materialidad y teniendo en cuenta la naturaleza y el tamaño de su negocio.
Algunas de las medidas mínimas a adoptar son:
La Supersociedades también indica que las empresas pueden definir y diseñar formatos propios para el conocimiento de sus contrapartes, eso sí, deben ajustarse a las características de cada industria o sector económico al que pertenecen y tener en cuenta los factores de riesgo LAFT / FPADM identificados, la matriz de riesgos y la materialidad del riesgo.
Por otro lado, la empresa obligada debe construir una base de datos para el análisis de las operaciones con las contrapartes para identificar alertas presentes y futuras. Entre otros datos, esta base debe incluir: nombre de la contraparte, identificación, domicilio, beneficiario final, nombre del representante legal, persona de contacto, cargo y fecha en la que se realizó el conocimiento o monitoreo de la contraparte.
Adicional a lo anterior, para un adecuado proceso de debida diligencia de la contraparte, es importante que la empresa considere aquellas operaciones que se realizan en efectivo, las ventas masivas y las transacciones con activos virtuales.
Este proceso, de acuerdo con la Superintendencia de Sociedades, requiere un conocimiento avanzado de la contraparte y del origen de los activos que se reciben, por eso, incluye actividades adicionales a las realizadas en la debida diligencia.
¿A quiénes se les debe realizar este proceso?
Las empresas obligadas deben hacer una debida diligencia intensificada a las contrapartes que consideran que representan un mayor riesgo, a las personas políticamente expuestas (PEP) y a quienes están ubicados en países no cooperantes y jurisdicciones de alto riesgo.
Igualmente, como lo establece la Supersociedades, este proceso debe aplicarse a las empresas que realizan actividades con activos virtuales.
Teniendo en cuenta los factores de riesgo LAFT / FPADM identificados, la matriz de riesgos y la materialidad del riesgo, algunas de las señales de alerta que las empresas deben considerar son:
Tal como lo establece la Supersociedades, las empresas obligadas a implementar y cumplir el SAGRILAFT deben contar con herramientas tecnológicas para la identificación de operaciones inusuales y sospechosas de sus contrapartes. Estas herramientas deben generar indicadores y alertas que permitan advertir situaciones anormales que no se ajustan a lo establecido por la empresa con respecto a su contraparte.
Todas las operaciones sospechosas que sean detectadas por la empresa deben ser reportadas a la Unidad de Información y Análisis Financiero (UIAF) de manera inmediata, con naturaleza de ROS y a través del SIREL, que es el sistema para reportar la información requerida por la UIAF. A este sistema debe registrarse el oficial de cumplimiento de la empresa, que debe solicitar a la UIAF su usuario y contraseña para ingresar.
Teniendo en cuenta la Ley 526 de 1999, tanto la empresa como su oficial de cumplimiento deben garantizar la reserva del reporte de una operación sospechosa remitido a la UIAF.
Una de las maneras más eficientes y recomendables para implementar y cumplir adecuadamente el SAGRILAFT, evitando así posibles investigaciones administrativas que den lugar a sanciones, es apoyarse en herramientas tecnológicas que faciliten la puesta en marcha de este sistema en las empresas obligadas del sector real.
En Pirani, a través del sistema de gestión de riesgos de lavado de activos, podemos ayudar a las empresas a cumplir de una manera simple la identificación de riesgos LAFT y su ciclo de gestión, es decir:
Identificación del riesgo LAFT / FPADM
Las empresas pueden identificar los factores de riesgo y asociarlos a la caracterización de los segmentos en función de robustecer la debida diligencia.
Medición o evaluación del riesgo LAFT / FPADM
A través de la matriz de riesgos, las empresas pueden establecer y medir tanto la probabilidad de los riesgos como el impacto que tendrían en caso de materializarse.
Control del riesgo LAFT / FPADM
Las empresas pueden crear los controles que consideren necesarios para la prevención o detección de los riesgos LAFT a los que están expuestas. Estos controles pueden calificarlos teniendo en cuenta su diseño, ejecución y solidez, además, pueden asociarlos a riesgos y a las personas responsables de su supervisión.
Los delitos de lavado de activos, financiación del terrorismo y financiamiento de la proliferación de armas de destrucción masiva impactan negativamente en el orden económico, político y social de los países.
Para hacer frente a estos delitos, en Colombia la Superintendencia de Sociedades obliga a las empresas del sector real que están bajo su vigilancia y control a implementar el Sistema de Autocontrol de Gestión del Riesgo Integral de Lavado de Activos y Financiamiento del Terrorismo, SAGRILAFT.
Este sistema se caracteriza por:
Además, la Supersociedades indica en el Capítulo X de la Circular Básica Jurídica cómo las empresas obligadas deben realizar el proceso de debida diligencia y diligencia intensificada para el conocimiento de las contrapartes y cómo hacer el reporte de operaciones inusuales o sospechosas ante la UIAF.
El SAGRILAFT es de obligatorio cumplimiento para las empresas del sector real que cumplan con los requisitos establecidos por la Supersociedades y debe ponerse en marcha a más tardar el 31 de mayo de cada año.
Solicita ayuda aquí si eres cliente →
Somos Pirani → 
