Pasar al contenido principal

SAGRILAFT: ¿qué es y cómo implementarlo?

Enviado por Infolaft el

Artículo por: Infolaft

SAGRILAFT para prevenir lavado de activos. Imagen Rawpixel

SAGRILAFT para prevenir lavado de activos. Imagen Rawpixel

Para implementar el SAGRILAFT en una empresa se deben seguir una serie de pasos. En este artículo explicamos todo lo que necesita saber.

¿Qué norma regula el SAGRILAFT en Colombia?

SAGRILAFT es la sigla de Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos y Financiación del Terrorismo.

El SAGRILAFT está regulado en el Capítulo 10 de la Circular Básica Jurídica de la Superintendencia de Sociedades y dicho modelo ha sido adoptado por empresas de diferentes sectores económicos.

También le puede interesar: PTEE, el programa anticorrupción para empresas en Colombia

Además, a través de la emisión del SAGRILAFT, Colombia busca cumplir con la Recomendación 28 del GAFI, la cual señala la necesidad de establecer medidas antilavado de activos en las Actividades y Profesiones No Financieras Designadas APNFD.

Diplomado SAGRILAFT

Comprensión del riesgo en empresas no financieras

Debido a ello, Colombia comprendió que el riesgo de lavado de activos afecta a diversos sectores de la economía, superando así la falsa percepción de que el riesgo solo estaba presente en el sistema financiero.

Para el caso del SAGRILAFT de la Supersociedades, la obligación se extiende a las empresas del sector real. El SAGRILAFT, entendido como un sistema con etapas y elementos, tiene similitudes con sistemas como el SARLAFT financiero.

Para efectos ilustrativos, en este artículo nos referiremos al sistema simplemente como SAGRILAFT.

También le puede interesar: ¿Qué es extinción de dominio y cómo evitarla?

¿Quién está obligado a implementar el SAGRILAFT?

La Superintendencia de Sociedades obliga a las empresas vigiladas pertenecientes a diferentes sectores a tener un SAGRILAFT.

Por esa razón, los sectores inmobiliario, de servicios jurídicos, contables, de cobranza y construcción de edificios adquirieron ese deber. Las empresas de estos sectores estarán obligadas siempre que obtengan ingresos totales por año iguales o superiores a 30.000 SMMLV.

Igualmente, la obligación aplica para las empresas vigiladas de cualquier otro sector, que sean vigiladas por la Supersociedades, con ingresos totales iguales o superiores a 40.000 SMMLV.

Esto implica que alrededor de 8000 compañías se encuentran obligadas a implementar un SAGRILAFT en Colombia.

Listas SAGRILAFT PTEE

El riesgo de lavado de activos

Antes de revisar las características, elementos y etapas del SAGRILAFT, es importante definir el riesgo de LA/FT y sus riesgos asociados.

El riesgo de LA/FT se define como “la posibilidad de pérdida o daño que puede sufrir una empresa" si es utilizada para lavar activos.

También se incluye en ese riesgo la posible utilización para canalizar recursos hacia la realización de actividades terroristas”. Se entiende que el riesgo de LA/FT se manifiesta a través de riesgos asociados.

Por no estar definidos en la norma del SAGRILAFT, vale la pena revisar lo que dice el SARLAFT financiero.

Riesgos asociados

El primero es el riesgo reputacional, que se define como la posibilidad de pérdidas por desprestigio o mala imagen.

Otro riesgo es el legal, entendido como la posibilidad de pérdidas derivadas del incumplimiento de regulaciones o contratos.

Mientras que el riesgo operativo es la posibilidad de pérdidas por fallas en los procesos, recursos, tecnología e infraestructura.

A su vez, el riesgo de contagio consiste en la posibilidad de pérdidas por las acciones de una persona vinculada a la empresa.

En este sentido, uno de los principales objetivos del SAGRILAFT es reducir la posibilidad de que los riesgos de LA/FT ocurran.

También busca mitigar los efectos nocivos que puedan suceder en caso de que el riesgo de LA/FT llegue a materializarse, y esto solo se logrará a través del diseño e implementación de controles. 

Para esta labor, el SAGRILAFT, contiene elementos y etapas. A continuación, se exponen las características más importantes de este sistema.

¿Qué debe contener el SAGRILAFT?

¿Cuáles son las etapas del SAGRILAFT?

El SAGRILAFT está conformado por cuatro etapas que sirven como hoja de ruta para una correcta prevención del lavado de activos y financiación del terrorismo.

Básicamente, se trata de las cuatro fases que permiten llevar a cabo una efectiva labor de gestión del riesgo. Las cuatro etapas del SAGRILAFT se definen a continuación:

Identificación del riesgo en el SAGRILAFT

En primer lugar, el SAGRILAFT requiere establecer metodologías para identificar los factores de riesgo.

Los oficiales de cumplimiento deben segmentar esos factores e identificar los diferentes eventos de riesgo a los que se expone la empresa.

¿Cuáles son los factores de riesgo en el SAGRILAFT?

Según el SAGRILAFT, los factores de riesgo son las contrapartes, productos, las actividades, los canales y las jurisdicciones donde se realizan negocios.

En todo caso, la determinación de dichos factores de riesgo es una de las labores requeridas dentro de la etapa de identificación del riesgo.

Tal identificación implica establecer unas metodologías para identificar los factores de riesgo y segmentarlos de acuerdo con sus características.

Esto permitirá analizarlos más fácilmente y así determinar los eventos a través de los cuales dichos factores pueden exponer a una empresa al riesgo de LA/FT.

Es importante señalar que la norma establece la obligatoriedad de tener metodologías para la identificación, pero no impone una metodología en específico.

En consecuencia, cada empresa podrá determinar la metodología que mejor se adapte a sus necesidades. Para ello deben tener en cuenta sus características y las condiciones de sus operaciones.

Medición o evaluación del riesgo

La medición, que se realiza con posterioridad a la identificación, implica medir la probabilidad de ocurrencia del riesgo identificado de lavado de activos o financiación del terrorismo.

Tal medición debe hacerse junto con un estimado del posible impacto que podría generar el riesgo en caso de que se materialice.

En este sentido, la etapa de medición da como resultado la determinación del perfil de riesgo inherente de LA/FT de la empresa. Es decir, el riesgo propio de la actividad de la empresa sin tener en cuenta controles o medidas de prevención.

Este perfil de riesgo usualmente se representa y/o materializa a través de una matriz de riesgo. Vale recordar que una matriz expone la relación de la probabilidad del evento de riesgo por el eventual impacto del riesgo materializado.

SAGRILAFT y el control del riesgo

A través de los controles se busca tomar las medidas conducentes para reducir el riesgo inherente de la compañía.

En este sentido, se requiere el diseño e implementación de controles que permitan la reducción de la probabilidad de ocurrencia del riesgo.

También la disminución del impacto, o la disminución de ambos. Como resultado de la etapa de control, el sistema debe permitir establecer el perfil de riesgo residual de la empresa.

Es decir, el nivel de riesgo de la empresa, luego de aplicar los controles.

Monitoreo del riesgo

Finalmente, el monitoreo del riesgo requiere que cada empresa realice un seguimiento o vigilancia de su perfil de riesgo.

Así mismo, un seguimiento y una vigilancia para la detección de operaciones inusuales y sospechosas. El objetivo de esta etapa no es otro que mantener una labor efectiva de gestión del riesgo.

¿Cómo lograrlo? por medio del constante seguimiento del riesgo y la continua aplicación de los elementos mencionados.

¿Cuáles son las etapas del SAGRILAFT?

De acuerdo con la norma de la Superintendencia de Sociedades, el SAGRILAFT requiere dar cumplimiento a tres etapas: diseño y aprobación, auditoría y cumplimiento, y divulgación y capacitación. 

Estas etapas establecen los pasos secuenciales que debe realizar la empresa para poner en marcha el sistema. 

En este sentido, las etapas del SAGRILAFT comprenden a los elementos y tienen como propósito la puesta en funcionamiento del sistema.

Diseño y aprobación del SAGRILAFT

La primera etapa corresponde al diseño del SAGRILAFT, actividad que debe ser supervisada y dirigida por el oficial de cumplimiento.

Adicionalmente, esta persona debe gozar de capacidad decisoria y acreditar conocimientos acerca de las operaciones empresariales. También debe acreditar conocimientos sobre administración de riesgos.

Una vez diseñado el sistema, se debe proceder con su aprobación por la junta directiva, dejando constancia en el acta de la reunión.

Auditoría y cumplimiento

A su vez, la segunda etapa exige la designación de un oficial de cumplimiento principal, quien será la persona responsable de la auditoría y verificación del cumplimiento del SAGRILAFT.

En este sentido, la norma solicita a las empresas evaluar la opción de designar un oficial de cumplimiento suplente "para evitar la suspensión de actividades" del profesional principal.

Además, en esta etapa se obliga a las empresas a establecer sanciones para los empleados, administradores, asociados o terceros que incumplan con las disposiciones del sistema.

Divulgación del SAGRILAFT y capacitación

Finalmente, la tercera etapa requiere la divulgación del sistema y la realización de capacitaciones a las personas que lo requieran.

Es usual que las empresas determinen que algunas áreas requieren capacitaciones más complejas. Tal es el caso de recursos humanos, gestión comercial y compras, entre otras.

En todo caso, cada compañía determinará los cargos relevantes para la capacitación, de acuerdo con su perfil de riesgo.

Debida diligencia en el SAGRILAFT

Las empresas obligadas a tener un SAGRILAFT deben establecer procedimientos que permitan identificar a todas sus contrapartes.

Tales contrapartes son las personas naturales o jurídicas con las que se tengan vínculos comerciales, de negocios, contractuales o jurídicos.

Entre ellos se encuentran los accionistas, socios y empleados de la empresa, y los clientes y proveedores de bienes y servicios.

En otras palabras, las empresas deben realizar diligencias o gestiones enfocadas a la identificación de sus contrapartes.

Dentro de la debida diligencia se debe verificar información que permita establecer el riesgo de dicha contraparte, en caso de ser vinculada.

Lea también: ¿Qué es debida diligencia?

Debida diligencia como control

Vale la pena señalar que la debida diligencia en el conocimiento de contrapartes constituye un control del riesgo de LA/FT.

En efecto, como control, permite la reducción de la probabilidad de ocurrencia del riesgo. Esto debido a que disminuye la probabilidad de vinculación o de efectuar operaciones con personas con alta exposición al riesgo.

Así mismo, este control puede disminuir el impacto, pues de materializarse el riesgo, evidencia diligencia y cuidado. Hay que decir que en materia de gestión de riesgo, la debida diligencia se suele efectuar con la verificación de información pública.

Lo que debe saber sobre beneficiarios finales

Los beneficiarios finales o reales se definen como “las personas naturales en cuyo nombre se realiza una operación o negocio”. En este sentido, se incluye a cualquier persona que funja como controlante (ejerce un control efectivo) sobre una persona jurídica.

Particularmente la atención debe centrarse en los titulares del 5% o más del capital social de una persona jurídica. Estos requisitos generales de debida diligencia son aplicables en el conocimiento de todas las contrapartes.

Sin embargo, la norma incluye un conjunto de medidas específicas de conocimiento, siempre dependiendo de la relación o características de la contraparte.

Conocimiento de clientes

¿Qué hacer en los casos donde la comercialización de productos no permite una identificación eficiente del cliente?

La norma recomienda enfocar los esfuerzos del conocimiento en aquellos clientes que realicen negocios con mayor exposición al riesgo. En este sentido, se requiere un análisis del riesgo para determinar el tipo de operaciones que puedan considerarse inusuales.

Por ejemplo, en una empresa de retail, se esperaría que realice una identificación de las operaciones que no sean habituales. Para este y cualquier otro caso, se requiere que el conocimiento del cliente contenga ciertas actividades básicas.

Las actividades básicas requeridas son las siguientes:

  • Conocer por cualquier medio legal el origen de los recursos.
  • Verificar la identidad del cliente.
  • Validar y confirmar sus datos de contacto y su actividad económica.
  • Solicitar cualquier documentación adicional que se considere pertinente.

Conocimiento de proveedores en el SAGRILAFT

Respecto a proveedores, los cuales hacen parte del factor de riesgo contrapartes, el proceso requiere de herramientas para verificar que los pagos no sean utilizados para financiar el terrorismo.

Para ello se recomienda que el sistema permita identificar lo siguiente:

  • En caso de proveedores de productos, verificar si los productos provienen o no de actividades legales.
  • Verificar la adecuada nacionalización de productos importados.
  • Validar que los productos no sean de contrabando.
  • Para el caso de productos de venta restringida, verificar que se cuente con la debida autorización o licencia.

Conocimiento de Personas Expuestas Políticamente (PEP)

Las Personas Expuestas Políticamente PEP son servidores públicos que ocupen o tengan algunas funciones específicas. Entre ellas la dirección general, formulación de políticas institucionales y adopción de planes, programas y proyectos.

Incluso, se deben tener en cuenta a aquellos con manejo directo de bienes, dineros o valores del Estado.

El SAGRILAFT también define dentro de esta categoría a las PEP extranjeras y las PEP de organizaciones internacionales. 

Mientras que las PEP de organizaciones internacionales "son aquellas personas naturales que ejercen funciones directivas en una organización internacional". Tal es el caso de los directivos de la ONU, la UNICEF, la OCDE y la OEA, entre otras.

Mientras que las PEP extranjeras son "aquellas personas naturales que desempeñan funciones públicas prominentes y destacadas en otro país".

Conocimiento de asociados

Los socios y accionistas de la empresa no se encuentran omitidos de la aplicación de controles, ya que la obligación de debida diligencia en este caso se extiende principalmente a la identificación y conocimiento del beneficiario final.

Incluye, por demás, la verificación de los recursos que tengan contacto con la empresa para prevenir el riesgo de contagio.

¿Conocimiento de trabajadores?

Si bien no es una obligación expresa del SAGRILAFT, se recomienda a las empresas verificar los antecedentes de personas que pretendan contratar como empleados.

Como particularidad, usualmente el proceso de conocimiento de trabajadores se realiza por las áreas de recursos humanos al momento del ingreso y en algunos casos realizan validaciones anuales.

Sin embargo, para un adecuado conocimiento es recomendable que la información de los trabajadores y de cualquier otra contraparte se actualice periódicamente.

Esto último sin importar la calidad de dicha contraparte o del tipo de su vinculación.

Reporte de operaciones sospechosas en el SAGRILAFT

Resultan particularmente importantes los aspectos relacionados con el Reporte de Operaciones Sospechosas ROS, debido a que a través de ellos se materializa, en gran medida, la labor de gestión del riesgo de la empresa.

Pero, adicionalmente, porque es una herramienta para que las autoridades sepan qué personas realizan actividades ilícitas.

El ROS se efectúa cuando, al realizar un examen de una operación inusual, se determina que no existe una justificación razonable.

En este momento, en donde la operación inusual se convierte en sospechosa, el oficial de cumplimiento tiene que presentar un ROS ante la Unidad de Información y Análisis Financiero UIAF.

Envío de ROS y consecuencias

Su envío debe hacerse a la Unidad de Información y Análisis Financiero UIAF a través del aplicativo en línea conocido como SIREL

Sobre este reporte, la norma es clara en señalar que “la presentación de un ROS no constituye una denuncia penal. Por lo tanto, para los efectos del reporte, no es necesario que la empresa tenga certeza de que se trata de una actividad delictiva.

Tampoco se requiere identificar el tipo penal o verificar que los recursos tengan origen ilícito.

SAGRILAFT: principales conclusiones

En este artículo se expusieron las características y conceptos más importantes del SAGRILAFT.

Así como las obligaciones y reglas establecidas para la prevención y gestión del riesgo de LA/FT para el sector real. Como se ve, el SAGRILAFT establece la obligación de tener un verdadero sistema de gestión del riesgo.

Este sistema cobra una importancia especial en Colombia, teniendo en cuenta que incluye una gran cantidad de actividades económicas.

Para concluir, es importante entender que a cada empresa le corresponde realizar un análisis detallado de sus negocios y por ello se recomienda que hagan un análisis de su riesgo para establecer medidas o controles.

Siempre teniendo en cuenta que deben ayudar a disminuir la probabilidad de ocurrencia de un riesgo y/o mitigar su impacto en caso de materializarse.

Recomendados

SAGRILAFT: dura sanción contra representante legal

En una nueva sanción en contra de una empresa que incumplió la adopción del...

SAGRILAFT y matriz de riesgo: ¿es suficiente presentar un Excel?

Una reconocida empresa de domicilios en Colombia fue sancionada debido a que no...

SAGRILAFT y PTEE: nuevo plazo para cámaras de comercio y ESAL extranjeras

Inicialmente, las cámaras de comercio y las entidades sin ánimo lucro...