Durante la última semana de junio de este año la Superintendencia Financiera de Colombia impuso a una compañía de seguros colombiana una multa de COP 200 millones, la tercera multa más alta hasta la fecha por incumplimientos a la norma Sarlaft.
Según la superintendencia, “el Manual de Procedimientos Sarlaft de [la aseguradora] no cumple con los estándares mínimos necesarios para que el mismo sea el pilar fundamental de la prevención del riesgo de lavado de activos y de la financiación del terrorismo”.
La Superfinanciera presentó los seis cargos y todos los argumentos que la llevaron a sancionar a la aseguradora en una nutrida resolución de 72 páginas.
Las fallas que señaló la entidad está relacionadas con insuficiencias en el manual de procedimiento Sarlaft, la inexistencia de un área de cumplimiento para gestionar el riesgo de LA/FT, debilidades en el proceso de conocimiento del cliente, la ausencia de metodología de segmentación y la falta de señales de alerta efectivas.
Los cargosManual de Procedimientos del Sarlaft
Según la Superintendencia Financiera de Colombia, el Manual de Procedimientos Sarlaft de la compañía de seguros “no contempla los aspectos mínimos requeridos en el Capítulo IV”, por lo que procedió a hacer un listado de lo que, a su juicio, le faltaba al manual:
- Las consecuencias y sanciones que genera incumplir el Sarlaft así como su proceso de imposición.
- La exigencia de que los funcionarios antepongan el cumplimiento de gestión de riesgo de LA/FT por sobre las metas comerciales.
- Las vías de atención a los requerimientos de autoridades.
- Los procedimientos para dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia, incluidos los procesos de cargue, consulta y actualización.
- Procedimientos más exigentes de monitoreo de Personas Expuestas Públicamente (PEP).
- El procedimiento y el responsable para cumplir con las obligaciones de reporte externo a la Unidad de Información y Análisis Financiero (Uiaf)
- Aspectos mínimos de consolidación electrónica de operaciones
- Programas de capacitación
De acuerdo con la resolución de, la falta de estos elementos en el manual Sarlaft le impedía a la empresa “y específicamente a los funcionarios pertinentes, conocer los lineamientos que seguía la entidad en la aplicación de todo el sistema de administración en la prevención del riesgo de LA/FT, así como la manera en que debían actuar para llegar a cabo la implementación y funcionamiento del mismo”.
Además de lo anterior, en este punto la autoridad encontró un aspecto “de suma importancia que es inaceptable” contenido en el Manual y es que la empresa “definía un apetito de riesgo de LA/FT”, lo que a los ojos de la autoridad “implica un margen de tolerancia del riesgo” que en materia de lavado de activos resulta “totalmente rechazable”.
En otras palabras, lo que señaló la superintendencia es que el solo hecho de definir un “apetito de riesgo” de LA/FT en el manual confiesa una tolerancia a este riesgo que no es admisible en ningún margen.
En relación con las fallas en el manejo de las PEP, la autoridad dijo que la entidad no tenía procedimientos más exigentes de monitoreo de las operaciones realizadas por ellos “desconociendo no sólo la instrucción impartida en el numeral 4.2.2.2.1.7. del Capítulo IV, sino también la importancia que reviste el hecho de que las actuaciones de personas con tales características generan mayor riesgo de ser utilizadas para el LA/FT, por lo que se requiere para estos efectos un tratamiento especial consistente en establecer mayores exigencias de monitoreo que el resto de los clientes”.
Para finalizar el cargo, la Superfinanciera hizo énfasis en que “para el correcto manejo del sistema de administración del riesgo de LA/FT se requiere que el Manual de Procedimientos contenga todas las instrucciones que resulten necesarias para su aplicación, pues de lo contrario se constituye en un documento incompleto que no permite la adecuada gestión de este riesgo”.
Oficial de cumplimiento
La justificación de este cargo inicia diciendo que “a pesar de que la entidad contaba con presencia administrativa y operativa en todos los departamentos de Colombia, que operaba con más de mil empleados y 54 puntos de atención en todo el país (…) no tenía definida un área de cumplimiento ni una estructura de gobierno concreta para gestionar el riesgo de LA/FT”.
En efecto, si bien en el organigrama de la aseguradora se mencionaban los roles de Oficial de Cumplimiento principal y suplente, estos funcionarios tenían a cargo otras responsabilidades “que les relegaban la importancia de la gestión de riesgo de LA/FT”, además de que el recurso humano que apoyaba estas labores se limitaba a un solo funcionario.
En este escenario, según la autoridad, la compañía incumplió las normas pues no tenía una estructura funcional, no contaba con los recursos técnicos y humanos necesarios para implementar y mantener el funcionamiento del Sarlaft, y el Oficial de Cumplimiento no estaba apoyado por un equipo de trabajo idóneo acorde con la naturaleza del objeto social y demás características del mercado asegurador.
Procedimiento de conocimiento del cliente
La superintendencia explicó que hizo un sondeo en el que tomó una muestra de 13 formularios de vinculación o actualización de información de clientes persona jurídica de la empresa de los cuales seis de ellos presentaban “debilidades en su diligenciamiento”, como campos no diligenciados o incongruencias de información entre la contenida en el formulario versus los sistemas de captura de datos general.
Metodología de segmentación de los factores de riesgo
La Superfinanciera abrió el cargo por fallas en la metodología de segmentación con la siguiente frase que bien puede resumir todo el detalle subsiguiente de la resolución: “aun cuando es obligatorio que las entidades vigiladas establezcan metodologías para la segmentación de los factores de riesgo, [la empresa] no contaba con ella, situación que le impedía determinar señales de alerta a efectos de detectar inusualidades de operaciones que podrían llegar a ser sospechosas”.
De acuerdo con la argumentación de la superintendencia, la metodología de segmentación que estableció la aseguradora no estaba diseñada a partir de técnicas de análisis de bases de datos que buscaran efectuar la separación de los elementos en grupos homogéneos al interior y heterogéneos entre ellos “aún a pesar de que la segmentación de los factores de riesgo se constituye en una herramienta fundamental para prevenir que las entidades sean usadas para el lavado de activos”, dijo el ente de control.
En concordancia con esto, la superintendencia fue severa no sólo al decir que “lo presentado por la [aseguradora] no atendía siquiera las variables mínimas dispuestas en los numerales 4.2.2.3.2.1. a 4.2.2.3.2.4. del Capítulo IV”, sino cuando afirmó que la compañía “confundía la metodología de segmentación de los factores de riesgo: clientes, productos, canales de distribución y jurisdicciones, con la metodología de identificación y medición de riesgos”.
Finalmente, la Superfinanciera cuestionó que lo que la empresa adujo ser la metodología de segmentación de los factores de riesgo del manual Sarlaft no estaba debidamente aprobada y que no tenía fechas de elaboración ni autores “hecho que demuestra además que la Junta Directiva no estaba aprobando la metodología que la Entidad tenía por segmentación de los factores de riesgo”, según se lee en la resolución.
Señales de alerta y procedimiento de identificación y análisis de operaciones inusuales
Según la superintendencia, el máximo error en el catálogo de banderas rojas es que “las señales de alerta descritas en el Manual Sarlaft de [la aseguradora] correspondían al factor de riesgo clientes, de manera que no existían señales de alerta para los factores de riesgo mínimos como, productos, canales de distribución y jurisdicciones”.
De este asunto se deriva, continúa la entidad, que “el funcionamiento parcial del sistema, pues solo una mínima parte de los hechos y situaciones de las operaciones serán evaluadas”.
En adición a que no había señales de alerta para todos los factores de riesgo, las banderas rojas que la empresa presentó eran todas cualitativas, pues no incorporaban parámetros numéricos” a pesar de que el manual Sarlaft de la entidad indicaba que la empresa tendría tanto señales de alerta cuantitativas como cualitativas.
Metodología de identificación de riesgos
La resolución de sanción señala que la compañía de seguros no tiene metodologías adecuadas que le permitan identificar los riesgos de LA/FT porque no están establecidos los nichos de mercado al que están dirigidos los productos, ni la naturaleza de las operaciones ni los riesgos asociados, ni cuáles son los canales de distribución a verificar.
Lea también: Superfinanciera exigirá mayor calidad narrativa en los ROS
La defensa de la empresa
Antes de tratar de desvirtuar uno a uno los cargos, la compañía de seguros advirtió de manera general que el supervisor sobrepasó su capacidad sancionatoria y violó el principio de proporcionalidad de la sanción por dos hechos: no haber tenido en cuenta que el sujeto vigilado se encuentra en un sector de riesgo de LA/FT muy bajo según la Evaluación Nacional del Riesgo de LA/FT de 2016 realizada por la Uiaf y que las auditorías adelantadas por la Revisoría Fiscal y la Oficina de Control Interno validaron el pleno funcionamiento del sistema.
Frente a estas dos defensas genéricas, la Superfinanciera señaló que “sorprende a la Superintendencia que [la aseguradora] dentro de sus argumentos de defensa cuestione la manera cómo la Superintendencia Financiera de Colombia llevó a cabo el proceso de supervisión de esa entidad, pues este hecho no es objeto de debate”, y que “aún cuando la Auditoría Externa como la Oficina de Control Interno afirman a través de sus informes que el Sarlaft de la aseguradora, para la época de los hechos cuestionados, acataba la normatividad vigente es claro para esta Superintendencia que ello no era así”.
Moraleja: cumpla lo que dice su manual
Esta la tercera sanción más alta impuesta hasta la fecha por incumplimiento de la normatividad Sarlaft. Lo que tienen en común estos tres procesos sancionatorios es en que en cada uno de ellos la autoridad ha sustentado la imposición de la multa en que los manuales de los sujetos sancionados tenían mandatos y disposiciones que fueron flagrantemente incumplidas:
A través de la Resolución 1876 del 26 de diciembre de 2017,la Superintendencia Financiera de Colombia impuso la mayor multa hasta ahora decretada contra una entidad financiera por fallas en su sistema Sarlaft, luego de haber confirmado seis sanciones por un total de COP 420 millonesque había a una entidad bancaria de nacionalidad extranjera pero con filial en Colombia desde junio de 2011.
En dicha sanción, la Superfinanciera señaló que la entidad financiera no cumplió con los requisitos de idoneidad del recurso humano definidos previamente por el banco en su manual antilavado para quienes debían conformar el equipo del Oficial de Cumplimiento.
La segunda sanción más alta por incumplimientos del Sarlaft fue publicada el 16 de diciembre de 2011 y se dirigió contra una entidad fiduciaria que, según la autoridad, en la práctica presentaba graves omisiones en los procesos de vinculación y conocimiento de clientes establecidos en el manual así como en la metodología de segmentación, que no resultaba ser más que la descripción superficial o mero resumen de la metodología. En esa ocasión la multa fue de COP 350 millones.
En la sanción que hemos estudiado en este artículo la Superfinanciera cuestionó que la aseguradora hubiese incluido en su manual de procedimientos Sarlaft directrices acerca del “apetito de riesgo” que la compañía tenía frente a los riesgos de LA/FT.
Además, la entidad de vigilancia señaló que en el manual decía que la entidad tendría señales de alerta cualitativas y cuantitativas, pero que sólo existían las segundas.
De esta manera, Infolaft extiende un llamado a sus lectores, usuarios y clientes para que hagan una revisión detallada que verifique si las obligaciones y disposiciones de contenidas en el manual Sarlaft son plenamente operativas y eficaces, y que no den lugar a malas interpretaciones.
Lea también: Superfinanciera sanciona a entidad financiera por fallas en su Sarlaft
Habrá más sanciones
En octubre de 2017 Infolaft conoció que, a esa fecha, existían 26 procesos sancionatorios en curso al interior de la Delegatura de para el Riesgo de Lavado de Activos y Financiación del Terrorismo de la Superfinanciera cuyos resultados hemos empezado a ver desde entonces, que se han publicado cuatro sanciones por más de COP 500 millones de pesos en multas acumuladas.
Lea también: 26 procesos sancionatorios en curso por fallas en el Sarlaft