El Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo es una herramienta empleada con el fin de mitigar o prevenir los eventos en los cuales se pueden desarrollar operaciones de lavado de activos o tendientes a la financiación del terrorismo. Consiste, entonces, en establecer una serie de controles y alertas tempranas encaminadas a prevenir que las sociedades vigiladas, propensas por su actividad económica al riesgo de la realización de este tipo de operaciones, se vean afectadas por la concreción de estas.
El SARLAFT que implementen las entidades vigiladas en desarrollo de lo dispuesto en las presentes instrucciones debe atender a la naturaleza, objeto social y demás características particulares de cada una de ellas. El SARLAFT implementado por las entidades vigiladas debe comprender como mínimo estas etapas, según la superintendencia financiera de Colombia:
1) Identificación: las entidades vigiladas deben identificar los riesgos de LA/FT inherentes al desarrollo de su actividad. Esta etapa debe realizarse previamente al lanzamiento de cualquier producto, la modificación de sus características, la incursión en un nuevo mercado, la apertura de operaciones en nuevas jurisdicciones y el lanzamiento o modificación de los canales de distribución.
Como resultado de esta etapa las entidades vigiladas deben identificar los factores de riesgo y riesgos asociados a los que se ven expuestas frente a la posibilidad de LA/FT, para esto deberán:
- Establecer metodologías para la segmentación de los factores de riesgo.
- Segmentar los factores de riesgo.
- Establecer metodologías para la identificación del riesgo de LA/FT y sus riesgos asociados respecto de cada uno de los factores de riesgo segmentados.
- Identificar las formas a través de las cuales se puede presentar el riesgo de LA/FT.
2) Medición o evaluación: el SARLAFT debe permitirle a las entidades vigiladas medir la posibilidad o probabilidad de ocurrencia del riesgo inherente de LA/FT frente a cada uno de los factores de riesgo, así como el impacto en caso de materializarse mediante los riesgos asociados. Estas mediciones podrán ser de carácter cualitativo o cuantitativo.
Es así como las entidades deben estar en capacidad de establecer el perfil de riesgo inherente de LA/FT de la entidad y las mediciones agregadas en cada factor de riesgo y en sus riesgos asociados. Para medir el riesgo las entidades deben:
- Establecer metodologías de evaluación con el fin de determinar la posibilidad o probabilidad de ocurrencia de LA/FT y su impacto en caso de materializarse frente a cada uno de los factores de riesgo y los riesgos asociados.
- Aplicar las metodologías establecidas en el punto anterior (identificación), para realizar una medición o evaluación consolidada de los factores de riesgo y los riesgos asociados.
3) Control: las entidades deben tomar las medidas para controlar el riesgo inherente al que se ven expuestas. Para esto deben establecer el perfil de riesgo residual de LA/FT. El control debe traducirse en una disminución de la posibilidad de ocurrencia y/o del impacto del riesgo de LA/FT en caso de materializarse. Para controlar el riesgo de LA/FT las entidades deben:
- Establecer las metodologías para definir las medidas de control del riesgo de LA/FT.
- Aplicar las metodologías establecidas como medición o evaluación sobre cada uno de los factores de riesgo y los riesgos asociados.
- Establecer los niveles de exposición en razón de la calificación dada a los factores de riesgo en la etapa de medición.
- Realizar los reportes de operaciones sospechosas a la Unidad Administrativa Especial de Información y Análisis Financiero –UIAF–.
4) Monitoreo: esta etapa permite a las entidades vigiladas hacer seguimiento del perfil de riesgo y, en general, del SARLAFT, así como llevar a cabo la detección de operaciones sospechosas. Como resultado de esta etapa, la entidad debe realizar reportes que permitan establecer las evoluciones del riesgo de la misma, así como la eficiencia de los controles implementados.
Para monitorear el riesgo de LA/FT las entidades deben:
- Desarrollar un proceso de seguimiento que facilite la rápida detección y corrección de las deficiencias del SARLAFT.
- Realizar el seguimiento y comparación del riesgo inherente y residual de cada factor de riesgo y de los riesgos asociados.
- Asegurar que los controles sean comprensivos de todos los riesgos y que los mismos estén funcionando en forma oportuna, efectiva y eficiente.
- Establecer indicadores descriptivos que evidencien potenciales fuentes de riesgo de LA/FT.
- Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.
Al respecto, la Circular Externa 0055 del 2016, estableció lo siguiente:
“Corresponde a las entidades vigiladas diseñar e implementar el SARLAFT de acuerdo con los criterios y parámetros mínimos exigidos en este Capítulo, sin perjuicio de advertir que de acuerdo con el literal e, del numeral 2 del art. 102 del EOSF, debe estar en consonancia con los estándares internacionales sobre la materia, especialmente los proferidos por el GAFI – GAFISUD (…) El SARLAFT que implementen las entidades vigiladas en desarrollo de lo dispuesto en las presentes instrucciones debe atender a la naturaleza, objeto social y demás características particulares de cada una de ellas.
María Camila Pulgarín Ramírez
Asesora legal