Derechos de autor reservados - Prohibida su reproducción
|
|
Una vez recibida la queja contra una entidad vigilada, la dependencia competente le dará el traslado correspondiente, indicando el sentido y los puntos concretos sobre los cuales debe versar la respuesta y señalando, igualmente, el plazo dentro del cual se debe dar respuesta a la petición.
Dentro del plazo fijado para cada trámite en particular, la entidad vigilada deberá responder directamente y por escrito al quejoso en la forma señalada en este numeral, suministrando la información y las explicaciones que juzgue pertinentes. De dicha comunicación se enviará una copia a la Superintendencia Financiera* de Colombia, junto con los documentos que, como soporte, se hubieren entregado al peticionario. Así mismo, deberá suministrar, a la Superintendencia Financiera* de Colombia, las explicaciones que ésta le hubiere solicitado, sin perjuicio de las instrucciones y procedimientos específicos que, en ejercicio de sus facultades y para cada situación en particular, esta autoridad administrativa considere preciso aplicar en relación con la queja y la respuesta.
La respuesta de la entidad vigilada al quejoso, deberá ir fechada y con la dirección correcta. Además, deberá ser completa, clara, precisa y comprensible, contener la solución o aclaración de lo reclamado y los fundamentos legales, estatutarios o reglamentarios que soporten la posición de la entidad, junto con los documentos que, de acuerdo con las circunstancias, se estimen apropiados para respaldar las afirmaciones o conclusiones sostenidas por la institución.
El plazo a que se hace referencia en el presente numeral se entenderá incumplido o desatendido cuando quiera que la respuesta a la queja o a la solicitud de explicaciones se hubiere producido fuera del mismo, o se hubiere recibido incompleta, o cuando no hubiere sido recibida.
Cuando la queja sea presentada directamente a la entidad vigilada, ésta asumirá la responsabilidad de evacuarla en forma satisfactoria y de acuerdo con sus reglamentos internos. Sin embargo, la Superintendencia Financiera* de Colombia se reserva el derecho de revisar la actuación de cualquier institución ante la cual se haya presentado una queja, y de constatar si la misma fue resuelta en cumplimiento de las normas que regulan su actividad y bajo la observancia de los principios de adecuada prestación del servicio y de información necesaria al usuario.
En caso de que la queja se formule verbalmente, se aplicará lo dispuesto en el numeral 3.4 del presente capítulo.
10.5. QUEJAS POR MAL FUNCIONAMIENTO DE LOS SERVICIOS DE LA SUPERINTENDENCIA FINANCIERA* DE COLOMBIA.
Esta Superintendencia resolverá las reclamaciones que se presenten por mal funcionamiento de los servicios a su cargo y procederá a determinar la responsabilidad administrativa a que haya lugar o a ordenar las medidas que resulten pertinentes.
Las quejas por este motivo formuladas serán dirigidas por escrito al despacho del Superintendente Bancario, quien las remitirá a la dependencia competente para tramitarlas, la cual contará con un plazo de treinta (30) días hábiles para los fines pertinentes.
11.1. DEPENDENCIA ENCARGADA DE EXPEDIR CERTIFICACIONES.
De conformidad con la letra p) del numeral 1o. del artículo 332 del Estatuto Orgánico del Sistema Financiero, el Secretario General de la Superintendencia Bancaria expedirá las certificaciones que, por razones de su competencia y en virtud de las disposiciones legales, corresponda a la Superintendencia Financiera* de Colombia, sin perjuicio de lo dispuesto en el numeral 1o., literal o) del mismo artículo. Así mismo, la letra n) de la norma citada, señala que le corresponde al Secretario General expedir las certificaciones que requieran los órganos jurisdiccionales.
11.2. CERTIFICACIONES QUE DEBE EXPEDIR LA SUPERINTENDENCIA FINANCIERA* DE COLOMBIA.
Las certificaciones que expida la Superintendencia Financiera* de Colombia, deben circunscribirse, en todo caso, a los siguientes aspectos contemplados en la ley:
<TÍTULO I - Circular Externa 041 de 1996 - Página 63 Mayo de 1996>
a. De acuerdo con las modalidades propias de la naturaleza y estructura de las entidades sometidas a su inspección y control permanentes, expedir las certificaciones sobre su existencia y representación legal (letra a), numeral 6o. artículo 326 del Estatuto Orgánico del Sistema Financiero);
b. La tasa de interés bancario corriente con base en la información financiera y contable que le sea suministrada por los establecimientos bancarios (letra c), numeral 6o. artículo 326 Ibídem, art. 191 del Código de Procedimiento Civil y art. 67 de la Ley 45 de 1990);
La Superintendencia Financiera* de Colombia surtirá el trámite de certificación del interés bancario corriente, mediante su envío períodica a las Cámaras de Comercio, una vez haya sido expedida. De igual manera, publicará tales certificaciones en un diario de amplia circulación nacional. (Art. 98 de Decreto 2150 de1995).
<TÍTULO I - Circular Externa 041 de 1996 - Página 63-1 Mayo de 1996>
c. Acerca del monto líquido que arrojen, de conformidad con las constancias existentes en los libros y documentos de los bancos, los saldos en contra de los clientes de éstos por concepto de los pagos de sobregiros o descubiertos en cuenta corriente, y los provenientes de cartas de crédito abiertas por Entidades Bancarias de Colombia por orden de sus clientes y autorizadas por los beneficiarios, los cuales prestarán mérito ejecutivo (letra b), numeral 6o. del artículo 326 del Estatuto Orgánico del Sistema Financiero);
d. El interés cobrado por los bancos en los créditos ordinarios de libre asignación, para los efectos de lo establecido en el artículo 235 del Código Penal (letra d), numeral 6o. artículo 326 Ibídem);
e. El estado de saneamiento de una institución financiera oficializada que permita proceder a su venta (artículos 2o. y 3o. del Decreto 2915 de 1990);
f. Los intereses reales que reflejan la tasa del mercado financiero para efectos de establecer las condiciones financieras de los títulos en que se inviertan las reservas de los seguros de invalidez, vejez y muerte del Instituto de Seguros Sociales (artículo 2o. de la Ley 48 de 1990);
g. Las sumas que adeudan las sociedades administradoras de fondos de cesantías al Fondo de Garantías de Instituciones Financieras, por pagos que esta entidad hubiera hecho para que las primeras alcancen la rentabilidad mínima conforme a la ley (artículos 19 y 20 del Decreto 1063 de 1991);
h. Tasa de captación más representativa a 31 de diciembre del año gravable, para efectos de determinar el componente inflacionario de los rendimientos financieros que distribuyan los fondos mutuos de inversión y de valores;
i. La tasa de captación más representativa a 31 de diciembre del año inmediatamente anterior al gravable, para efectos de establecer el componente inflacionario de los rendimientos financieros percibidos por los contribuyentes distintos de personas naturales;
j. La tasa de colocación más representativa a 31 de diciembre del año inmediatamente anterior al gravable, para efectos de determinar el componente inflacionario de los intereses y demás costos y gastos financieros;
k. La tasa más alta que se haya autorizado cobrar a los establecimientos bancarios durante el respectivo período gravable, a fin de determinar la deducción por concepto de intereses pagados a personas o entidades distintas de las sometidas a la vigilancia de la Superintendencia Financiera* de Colombia;
l. La tasa de interés de captación más representativa del mercado a 31 de diciembre del año inmediatamente anterior, en orden a establecer la tasa de interés moratorio para efectos tributarios;
m. La tasa de cambio representativa del mercado (artículo 2.4.0.01 de la Resolución Externa No. 15 del 27 de noviembre de 1991, emanada de la Junta Directiva del Banco de la República).
n. <Literal adicionado por la Circular 16 de 2010. El nuevo texto es el siguiente:> La calidad de Defensor del Consumidor Financiero, principal o suplente, de las entidades sujetas a inspección y vigilancia de la Superintendencia Financiera de Colombia.
Adicionalmente, la Superintendencia Financiera* de Colombia puede certificar sobre los hechos o actos de su autoría, entre otros, la realización de visitas y la toma de posesión de los negocios, bienes y haberes de una entidad vigilada.
11.3. TRAMITE PARA LA SOLICITUD DE CERTIFICACIONES.
Las solicitudes de certificación deberán ser dirigidas a la Secretaría General de la Superintendencia Financiera* de Colombia , con excepción de las siguientes:
a. Las de existencia y representación legal de las Entidades vigiladas, las cuales deberán ser dirigidas al Grupo de Registro;
b. Las certificaciones señaladas en la letra C del numeral 11.2 del presente capítulo deberán dirigirse a la Dirección Administrativa y Financiera.
c. Las que se refieran a la tasa de cambio representativa del mercado, deberán dirigirse a la Secretaría de Desarrollo.
12. CERTIFICACION DE LA REPRESENTACION LEGAL.
<Numeral modificado por la Circular 16 de 2010. El nuevo texto es el siguiente:> De conformidad con lo establecido por el artículo 325 numeral 3o., subnumeral 20o. del Estatuto Orgánico del Sistema Financiero, y de acuerdo con lo dispuesto en la Circular Externa 01 de 1983 emanada de la Superintendencia Bancaria, Superintendencia de Industria y Comercio de de la Comisión Nacional de Valores- hoy Superintendencia de Valores- corresponde exclusivamente a la Superintendencia Financiera de Colombia la expedición de las certificaciones con las cuales se acredite la existencia y representación legal de las diferentes entidades vigiladas por esta entidad.
12.1. TRÁMITE DE CERTIFICACIONES.
La Superintendencia Financiera* de Colombia enviará mensualmente los certificados de existencia y representación legal a las entidades vigiladas. Así mismo, dispondrá el envío oportuno de la certificación correspondiente cuando quiera que se produzca alguna modificación en su contenido.
Cualquier aclaración o rectificación deberá solicitarse de inmediato al área de registro de la Superintendencia Bancaria para los efectos pertinentes.
12.2. CERTIFICACIÓN DE LA REPRESENTACIÓN LEGAL DE LAS SUCURSALES.
A continuación esta Superintendencia se permite transcribir el texto de la Circular Conjunta SB 040-SIC 008 de 1993, que regula la certificación de la representación legal de las sucursales de entidades financieras:
"Como es de público conocimiento, a partir del 30 de junio de 1993, de conformidad con el artículo 2o. del Decreto 2179 del 30 de diciembre de 1992, incorporado y sustituido por el artículo 74 numeral 2o. del Estatuto Orgánico del Sistema Financiero, la certificación de la representación legal de las sucursal (sic) de los establecimientos bancarios, corporaciones financieras, corporaciones de ahorro y vivienda, compañías de financiamiento comercial, sociedades de capitalización y sociedades de servicios financieros, se sujetará a lo dispuesto en el régimen general de sociedades. En consecuencia, la entidad encargada de la certificación de la representación legal de dichos establecimientos será la Cámara de Comercio con jurisdicción en el domicilio de la respectiva sucursal.
"Por lo anterior, a partir de la fecha señalada, las entidades vigiladas atrás citadas quedan relevadas de enviar los documentos relacionados con la designación de los gerentes de sucursal de que trata la Circular Externa No. 012 del 22 de febrero de 1993 a la Superintendencia Bancaria, sin perjuicio del cumplimiento de las obligaciones relacionadas con el registro mercantil.
"Por su parte, las Cámaras de Comercio deberán modificar los certificados de inscripción de documentos de sucursales de las entidades mencionadas, en el sentido de incluir la designación de sus representantes legales, así como las facultades y límites conferidos para el ejercicio de la representación legal, para lo cual deberán realizar los respectivos ajustes con el fin de lograr el estricto cumplimiento a lo preceptuado por el Decreto 2179 de 1992.
"Así mismo, los representantes legales de las entidades referidas deberán solicitar a la respectiva Cámara, mediante escrito presentado a la mayor brevedad, la modificación de los certificados en los términos anteriormente expuestos. Dicha solicitud deberá acompañarse del extracto del acta del órgano social competente, donde conste la designación del representante, en los casos en que, a esa fecha, no lo hubieran remitido.
"Ahora bien, a efectos de facilitar el correcto ejercicio de la función de inspección y vigilancia que corresponde a la Superintendencia Bancaria sobre las entidades relacionadas en el primer párrafo, los representantes legales de las mismas deberán, dentro de los cinco (5) días siguientes a la inscripción de nombramientos de nuevos representantes legales de sucursales, informar a la entidad vigilante dichas modificaciones, indicando el documento contentivo del nombramiento, la fecha y el número de inscripción."
13. ACTUACIONES INICIADAS DE OFICIO POR LA SUPERINTENDENCIA BANCARIA.
a. Identificación de los funcionarios asignados a la visita
Como medio de identificación para desarrollar las funciones de inspección y vigilancia esta Superintendencia ha expedido credenciales para algunos de sus funcionarios.
En consecuencia, para iniciar cualquier visita o trabajo oficial que requiera la Superintendencia dentro del marco de sus atribuciones legales, el funcionario comisionado deberá necesariamente identificarse con la credencial correspondiente y la carta de presentación firmada por el Superintendente Bancario, por los Superintendentes Delegados o por el Secretario General.
<TÍTULO I - CAPÍTULO DÉCIMO - Actuaciones ante la Superintendencia - Circular Externa 030 de 2005 - Página 65 - Septiembre de 2006>
b. Suministro de información a las comisiones de visita
La actividad que adelanta esta Superintendencia mediante la realización de visitas de inspección a las entidades sometidas a su control y vigilancia, tiene como uno de sus instrumentos el requerimiento de información que formulan las comisiones de visita a las instituciones o a las revisorías fiscales que están siendo visitadas. En tal sentido, y teniendo en cuenta que tanto las entidades como los revisores fiscales en ocasiones presentan demoras importantes en el suministro de la información que se requiere para adelantar las visitas programadas, así como inconsistencias en la información brindada a la comisión, resulta necesario que, en orden a facilitar el adecuado ejercicio de la facultad conferida a esta entidad por la letra a. numeral 4. del artículo 326 del Estatuto Orgánico del Sistema Financiero, se atiendan las siguientes instrucciones:
1) Los documentos e información que requieran las comisiones de visita designadas por esta Superintendencia, serán requeridas por escrito al representante legal de la entidad o al funcionario que el mismo designe al efecto, o al revisor fiscal principal. Tal solicitud será suscrita por el jefe de la comisión de visita, y en la misma se señalará el término para atender el requerimiento correspondiente.
2) La información y documentación que allegue la entidad a la comisión de visita, deberá acompañarse de la relación de los documentos que se adjuntan, y deberá ser suscrita por el representante legal de la entidad o por el funcionario que este haya designado al efecto, y por el revisor fiscal principal en su caso, o su suplente en caso de falta temporal o absoluta del primero.
En todo caso, cuando se trate de visitas que se realicen a la revisoría fiscal de las entidades, tal funcionario dentro de los dos días siguientes a la instalación de la visita deberá poner a disposición de la misma la totalidad de los papeles de trabajo que soporten y evidencien la labor adelantada hasta tal fecha. Bajo este entendido, una vez entregados los papeles de trabajo referidos no podrá adicionarse la documentación aportada, salvo que se trate de documentos de trabajo que evidencien labores adelantadas con posterioridad a la fecha de instalación de la visita.
3) La información y documentación que sea allegada a la comisión de visita en virtud de los requerimientos que esta formule, comprometerá institucionalmente a la entidad que la suministre, y personalmente al revisor fiscal de la entidad cuando sea tal órgano de control quien la aporte, se entenderán auténticas, y para los efectos legales del caso tendrán el carácter probatorio suficiente para la adopción de las decisiones administrativas que resulten pertinentes.
La documentación e informaciones referidas podrán ser corregidas por una sola vez, dentro de los cinco (5) días siguientes a la fecha en que la información o documentación correspondientes hayan sido debidamente entregadas a la comisión de visita, excepto en los eventos previstos para las visitas a las revisorías fiscales, caso en el cual se seguirá lo previsto en el inciso final del numeral precedente.
Sin perjuicio de lo anterior, las comisiones de visita podrán solicitar la ampliación de la información allegada, o nueva documentación adicional a la que anteriormente se haya solicitado, a través del procedimiento indicado en el numeral precedente.
13.2. CORRESPONDENCIA OFICIAL.
La correspondencia oficial, consultas y demás gestiones que en ejercicio del derecho de petición se adelanten ante esta Superintendencia, deberán sujetarse a las siguientes instrucciones:
a. Correspondencia con entidades vigiladas
La correspondencia oficial de las entidades sometidas a la vigilancia de esta Superintendencia debe ser dirigida a esta Superintendencia por conducto de los gerentes generales o presidentes, y por los subgerentes, vicepresidentes u otros funcionarios autorizados cuyas calidades aparezcan anotadas en nuestros registros oficiales.
Las informaciones que de conformidad al Código de Comercio, están obligados a remitir a esta Superintendencia los revisores fiscales, deberán ser suscritas por los revisores fiscales principales, encontrándose habilitados sus suplentes solamente ante las faltas temporales o absolutas de aquellos.
b. Consultas
Las consultas de cualquier orden que formulen las sucursales, agencias u oficinas de las entidades vigiladas, deberán ser dirigidas invariablemente a esta Superintendencia por intermedio de sus representantes legales y a través de las casas principales.
c. Descargos de carácter institucional y personal.
<TÍTULO I - Circular Externa 065 de 2001 - Página 66 - Diciembre de 2001>
Cuando se traslade información a una entidad vigilada o a sus funcionarios con el objeto de formular glosas u observaciones frente a las actuaciones que haya adelantado bien la institución o bien el funcionario en el desempeño de su cargo, es indispensable que la respuesta se remita acompañada de los documentos probatorios del caso, y concretamente referida a la responsabilidad personal o institucional que se esté imputando.
Cuando se trate de faltas cometidas a título personal por uno o más empleados de la entidad deberá indicarse así en los respectivos descargos.
Tratándose de contestar otro oficio o documento en el que se demanden informaciones, comentarios, aclaraciones u otro asunto en general que deba atenderse por solicitud de esta Superintendencia, tal respuesta deberá ser suministrada directamente por el representante legal de la entidad, o por el funcionario responsable del caso cuando al mismo se le dirija de manera directa el requerimiento.
d. Respuesta a informes de visita.
<TÍTULO I - Circular Externa 065 de 2001 - Página 66 - Diciembre de 2001>
La respuesta a todo informe de visita debe hacerse guardando el mismo orden de la formulación de cargos, dentro del término fijado en el mismo, de manera clara, concreta y objetiva. Cuando las observaciones señaladas en los informes remitidos se refieran a hechos que requieran probarse, se deberán anexar a la respuesta los documentos que soporten las explicaciones que se remitan.
Si se trata del traslado del informe con carácter institucional, su respuesta deberá surtirse invariablemente a través de las oficinas principales, y ser suscrita por los gerentes generales o presidentes, o por los subgerentes, vicepresidentes y demás funcionarios autorizados cuyas calidades estén debidamente registradas en esta Superintendencia.
Cuando el traslado del informe se efectúe con carácter personal a un funcionario determinado, la respuesta deberá ser suscrita por la persona a quien se le efectúa el requerimiento, y orientarse a explicar los hechos que se registren en el informe correspondiente frente al ámbito de la responsabilidad que le resulte exigible.
Cuando el traslado del informe se efectúe al revisor fiscal de la entidad, deberá orientar su respuesta a determinar, frente a las irregularidades reportadas en el informe de visita, el cumplimiento que la revisoría habría dado a sus obligaciones legales y a las instrucciones contenidas en el numeral 3. del Capítulo tercero del Título I de la presente Circular, acompañando los documentos probatorios del caso, particularmente tomados de los papeles de trabajo.
e. Solicitud de prórrogas
<TÍTULO I - Circular Externa 065 de 2001 - Página 65 - Diciembre de 2001>
Cuando se trate de solicitar prórrogas para contestar los requerimientos formulados por esta entidad, es necesario tener en cuenta lo siguiente:
1) Presentarse la debida solicitud, por escrito en papel, con anterioridad al vencimiento del plazo fijado inicialmente para dar contestación al oficio.
2) Deben fundamentarse plenamente los hechos o motivos que las justifiquen, exponiéndolos en forma correcta y objetiva.
3) Debe indicarse claramente el tiempo solicitado, el cual en ningún caso puede ser superior a 20 días, tal como lo dispone el literal b. del numeral 2. del artículo 337 del Estatuto Orgánico del Sistema Financiero.
f. Comunicaciones que deban ser sometidas al conocimiento de la Junta Directiva
Cuando en virtud de lo dispuesto en el numeral 3. del artículo 74 del Estatuto Orgánico del Sistema Financiero, debe la entidad someter al conocimiento de su Junta Directiva documentos o comunicaciones que le sean enviadas por esta Superintendencia, deberá proceder en tal sentido, sometiendo a consideración de tal órgano la respuesta que a dicho documento dé la Administración de la institución vigilada.
14. SANCIONES PECUNIARIAS IMPUESTAS POR LA SUPERINTENDENCIA BANCARIA Y VIA GUBERNATIVA.
Las resoluciones de esta Superintendencia, entre ellas aquellas por medio de las cuales se aplican sanciones pecuniarias, gozan como todo acto administrativo de una presunción de legalidad, es decir, que se presumen ajustadas a todas las normas de jerarquía superior que las gobiernan, mientras los jueces competentes no declaren lo contrario.
En consecuencia, dichas resoluciones cobran vigencia, o sea que empiezan a producir sus efectos, una vez que se hallen legalmente notificadas y ejecutoriadas, y sin necesidad de fallo jurisdiccional acerca de su legalidad. Por lo que respecta a la ejecutoria y a la notificación de las resoluciones en mención, deben tenerse presentes las reglas que en los siguientes puntos se establecen.
Los actos administrativos quedan ejecutoriados en los eventos previstos en el artículo 62 del Código Contencioso Administrativo.
También es requisito para la eficacia y obligatoriedad de los actos administrativos la notificación de los mismos a sus destinatarios de conformidad con lo previsto en el Código Contencioso Administrativo.
14.3. EJECUTORIEDAD Y EJECUTIVIDAD DE LA SANCIÓN.
Siendo eficaces a partir de su notificación y ejecutoria, como ha quedado dicho, los actos administrativos de la Superintendencia Bancaria son inmediatamente ejecutables o aplicables, y, en todo caso, de obligatorio cumplimiento por parte de las personas o entidades que vincula. Así, en tratándose de una multa, ésta debe ser pagada dentro del plazo señalado por la providencia que la impone o, a falta de la indicación de dicho plazo, "el día en que la providencia que la aplicó ya no es susceptible de recurso alguno por la vía gubernativa" (Consejo de Estado, Sentencia de Agosto 21 de 1972), so pena de aplicársele al efecto lo dispuesto en el numeral 1. del artículo 212 del Estatuto Orgánico del Sistema Financiero.
<TÍTULO I - Circular Externa 065 de 2001 - Página 67 - Diciembre de 2001>
El que al afectado le quede la posibilidad de acudir a la jurisdicción contencioso-administrativa en acción nulidad y restablecimiento del derecho para obtener la nulidad del acto sancionatorio y el restablecimiento de su derecho, no le resta eficacia ni obligatoriedad a dicho acto. Tiene la obligación legal de acatarlo. Debe pagar la multa dentro del plazo perentorio señalado en la providencia que la impone o, a falta de la fijación de dicho plazo, una vez ejecutoriada tal providencia, pues ella tiene valor por sí misma.
Por último, obsérvese que la instauración de demanda de nulidad y restablecimiento del derecho por la vía contencioso administrativa no suspende la eficacia de la resolución punitiva ni releva al sujeto multado del pago de la sanción. Sobre el particular ha dicho el Consejo de Estado: "(...) cuando dicha sanción (la multa) es aplicada por alguna autoridad administrativa, ha de entenderse también que el plazo para el pago de la multa vence el día en que la providencia que la aplicó ya no es susceptible de recurso alguno por la vía gubernativa (...). La impugnación de aquella o aquellas providencias punitivas ante la jurisdicción de lo contencioso administrativo que intente el sancionado será trámite distinto que no interrumpe el plazo hábil para cobrar compulsivamente el valor de la multa, puesto que el simple hecho de ser demandados ante los tribunales de los contencioso no priva a los actos de la Administración de la eficacia que les sea propia en cada caso, salvo, claro está, en el evento de que dichos tribunales lo suspendan provisionalmente por manifiesta ilegalidad (artículo 94 C.C.A.) (...). Precisamente, la existencia de esa facultad excepcional para los organismos de lo contencioso administrativo corrobora la tesis de que la impugnación que se haga ante tales organismos no deja por sí sola en suspenso la vigencia de los actos de los funcionarios gubernamentales, desde luego que si ello fuera así, resultaría redundante, superfluo e inútil el poder que la Constitución y el Código de la materia le confieren a esta jurisdicción para dejar sin efecto de modo provisto los actos administrativos que halle ostensiblemente contrarios a un texto de rango jurídico superior" (Sentencia citada del 21 de agosto de 1972).
15. DE LOS RECURSOS EN LA VIA GUBERNATIVA.
Contra los actos que pongan fin a las actuaciones administrativas adelantadas ante la Superintendencia Bancaria, procederán los recursos previstos en el artículo 50 del Código Contencioso Administrativo, con excepción de los actos expedidos por el Superintendente Bancario o los Superintendentes Delegados, contra los cuales sólo procederá el recurso de reposición.
15.2. OPORTUNIDAD Y PRESENTACIÓN.
Los recursos de reposición contra actos de la Superintendencia Bancaria deberán interponerse dentro del plazo legal de conformidad con lo dispuesto en el artículo 51 del Código Contencioso Administrativo y serán recibidos exclusivamente por la Secretaría General de la Superintendencia Bancaria.
La presentación del recurso debe ser personal ante el Secretario General o ante otra autoridad que esté facultada por la Ley para tal efecto (Juez o Notario) pero, en todo caso, el término dentro del cual debe presentarse sólo se interrumpe por el recibo del recurso por parte de la Superintendencia Bancaria y la consecuente anotación de su presentación en el registro que lleva la Secretaría General.
Después de radicados los recursos, éstos serán repartidos a la dependencia a la que corresponda su estudio.
a. Actuaciones que incluyan actos de apoderamiento
Las actuaciones ante la Superintendencia Bancaria podrán ser adelantadas directamente por el interesado - tratándose de personas naturales -, por intermedio de sus representantes legales - tratándose de personas jurídicas o incapaces -, o mediante apoderado.
Cuando se impulse una actuación por intermedio de apoderado, estos deberán ser abogados inscritos (artículo 35 del Decreto 196 de 1971). Cuando una misma persona sea apoderado de varias sociedades o compañías, deberá indicar claramente a nombre de quién actúa.
b. Trámite
Los poderes generales para toda clase de actuaciones deberán conferirse por medio de escritura pública. Una vez aceptado el poder expresamente o por su ejercicio, la Secretaría General de esta entidad elaborará el auto de reconocimiento respectivo. Estos autos, los poderes y las constancias de vigencia, reposarán en la Secretaría General, donde podrán ser consultados por los funcionarios y particulares interesados. En caso de que el poder general sea aportado únicamente para una actuación específica, como una notificación, no será necesario elaborar auto de reconocimiento.
Los poderes especiales para un trámite específico podrán conferirse por escritura pública o por documento privado; los que sean para varios procesos separados deberán conferirse por escritura pública. Del poder especial otorgado mediante documento privado deberá hacerse presentación personal por el otorgante ante notario, juez o en la Secretaria General de esta entidad y su aceptación por el apoderado podrá ser expresa o por su ejercicio. Hecha la presentación por el otorgante o tratándose de poder especial otorgado por escritura pública, la Secretaría General enviará el poder a la dependencia ante la cual se va a surtir el trámite o trámites respectivos, la cual decidirá si cumple o no con los requisitos legales y lo incorporará al expediente pertinente.
Si el poder especial es para varias actuaciones separadas que cursen o deban cursarse ante diferentes dependencias de la Superintendencia, la Secretaría General elaborará auto de reconocimiento, el cual se regirá por lo previsto para los autos de reconocimiento de apoderados generales.
<TÍTULO I - Circular Externa 065 de 2001 - Página 69 - Diciembre de 2001>
INSTRUCCIONES RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO.
CONTENIDO
<Consultar tabla de contenido oprimiendo la tecla <F3>
Consideraciones generales.
El lavado de activos y la financiación del terrorismo representan una gran amenaza para la estabilidad del sistema financiero y la integridad de los mercados por su carácter global y las redes utilizadas para el manejo de tales recursos. Tal circunstancia destaca la importancia y urgencia de combatirlos, resultando esencial el papel que para tal propósito deben desempeñar las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (en adelante las entidades vigiladas) y el supervisor financiero.
Conciente de ello y continuando con el enfoque actual de supervisión, esta Superintendencia imparte las presentes instrucciones a través de las cuales se busca que las entidades vigiladas implementen un Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo con el fin de prevenir que las mismas sean utilizadas para dar apariencia de legalidad a activos provenientes de actividades delictivas o para la canalización de recursos hacia la realización de actividades terroristas.
<Inciso modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Así, en desarrollo de lo señalado en los artículos 102 y siguientes del Estatuto Orgánico del Sistema Financiero, en consonancia con el artículo 22 de la Ley 964 de 2005 y demás normas complementarias, la Superintendencia Financiera de Colombia (en adelante SFC) mediante el presente capítulo establece los criterios y parámetros mínimos que las entidades vigiladas deben atender en el diseño, implementación y funcionamiento del Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo (en adelante SARLAFT).
<Inciso modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Cabe destacar que el SARLAFT se compone de dos fases a saber: la primera que corresponde a la prevención del riesgo y cuyo objetivo es prevenir que se introduzcan al sistema financiero recursos provenientes de actividades relacionadas con el lavado de activos y/o de la financiación del terrorismo (en adelante LA/FT); la segunda, que corresponde al control y cuyo propósito consiste en detectar y reportar las operaciones que se pretendan realizar o se hayan realizado, para intentar dar apariencia de legalidad a operaciones vinculadas al LA/FT.
Es necesario destacar que la administración del riesgo de LA/FT tiene una naturaleza diferente a la de los procesos de administración de los riesgos típicamente financieros (crédito, técnicos de seguros, mercado, liquidez, etc.), pues mientras que los mecanismos para la administración del primero se dirigen a prevenirlo, detectarlo y reportarlo (oportuna y eficazmente), los mecanismos para la administración de los segundos se dirigen a asumirlos íntegra o parcialmente en función del perfil de riesgo de la entidad y la relación rentabilidad / riesgo.
<Inciso modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Para los efectos del presente capítulo los siguientes términos deberán entenderse de acuerdo con las definiciones que a continuación se establecen:
<Inciso modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Son todas las personas naturales o jurídicas que realizan operaciones económicas dentro de un sistema.
Es toda persona natural o jurídica que, sin tener la condición de cliente, es la propietaria o destinataria de los recursos o bienes objeto del contrato o se encuentra autorizada o facultada para disponer de los mismos.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones relativas a la administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 71 - Abril de 2006>
Es toda persona natural o jurídica con la cual la entidad establece y mantiene una relación contractual o legal para el suministro de cualquier producto propio de su actividad.
Son los agentes generadores del riesgo de LA/FT. Para efectos del SARLAFT las entidades vigiladas deben tener en cuenta como mínimo los siguientes:
a) Clientes/usuarios,
b) Productos,
c) Canales de distribución y
d) Jurisdicciones.
<Texto en negrilla adicionado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Son las operaciones legalmente autorizadas que pueden adelantar las entidades vigiladas mediante la celebración de un contrato (V. gr. cuenta corriente o de ahorros, seguros, inversiones, CDT, giros, emisión de deuda, etc.)
1.6. RIESGOS ASOCIADOS AL LA/FT.
Son los riesgos a través de los cuales se materializa el riesgo de LA/FT: estos son: reputacional, legal, operativo y contagio.
Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
<Texto tachado eliminado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Es la posibilidad de pérdida en que incurre una entidad al ser sancionada, multada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.
El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.
Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.
<Inciso modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por una acción o experiencia de un vinculado.
<Inciso modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> El vinculado es el relacionado o asociado e incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la entidad.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones relativas a la administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 72 - Abril de 2007>
Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
Es el nivel resultante del riesgo después de aplicar los controles.
Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).
1.14. SERVICIOS. <1.15 original, reenumerada por la Circular 61 de 2007>
Son todas aquellas interacciones de las entidades sometidas a inspección y vigilancia de la SFC con personas diferentes a sus clientes.
1.15 TRANSFERENCIAS. <1.16 original, reenumerada por la Circular 61 de 2007>
<Texto en negrilla adicionado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Es la transacción efectuada por una persona natural o jurídica denominada ordenante, a través de una entidad autorizada en la respectiva jurisdicción para realizar transferencias nacionales y/o internacionales, mediante movimientos electrónicos o contables, con el fin de que una suma de dinero se ponga a disposición de una persona natural o jurídica denominada beneficiaria, en otra entidad autorizada para realizar este tipo de operaciones. El ordenante y el beneficiario pueden ser la misma persona.
1.16 USUARIOS. <1.17 original Reenumerada por la Circular 61 de 2007>
Son aquellas personas naturales o jurídicas a las que, sin ser clientes, la entidad les presta un servicio.
1.17. CORRESPONSALÍA TRASNACIONAL. <Numeral adicionado por la Circular 19 de 2010. El nuevo texto es el siguiente:> Se entiende por corresponsalía trasnacional, la relación contractual entre dos establecimientos de crédito, el primero denominado "establecimiento corresponsal" y el segundo “establecimiento representado". Los establecimientos de crédito deben encontrarse en jurisdicciones diferentes.
Son "establecimientos corresponsales" la entidad que le ofrece/presta determinados servicios a otro establecimiento de crédito.
Se entiende por "establecimiento representado", aquel que utiliza/recibe los servicios contratados con el "establecimiento corresponsal".
<Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:>
<Inciso modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Corresponde a las entidades vigiladas diseñar e implementar el SARLAFT, de acuerdo con los criterios y parámetros mínimos exigidos en el presente capítulo, sin perjuicio de advertir que de acuerdo con el literal e) del numeral 2 del artículo 102 del Estatuto Orgánico del Sistema Financiero (EOSF) deberá estar en consonancia con los estándares internacionales sobre la materia, especialmente los proferidos por el GAFI- GAFISUD.
<Inciso modificado por la Circular 10 de 2013. El nuevo texto es el siguiente:> Las siguientes entidades se encuentran exceptuadas de la aplicación de las presentes instrucciones, sin perjuicio del cumplimiento de los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero en lo que les resulte pertinente de acuerdo con su actividad: el Fondo de Garantías de Instituciones Financieras “Fogafin”, el Fondo de Garantías de Entidades Cooperativas “Fogacoop”, el Fondo Nacional de Garantías S.A. F.N.G., los Fondos Mutuos de Inversión sometidos a vigilancia permanente de la SFC, las Sociedades Calificadoras de Valores y/o Riesgo, las Oficinas de Representación de Instituciones Financieras y de Reaseguros del Exterior, los Intermediarios de Reaseguros, las Oficinas de Representación de Instituciones del Mercado de Valores del Exterior, los Organismos de Autorregulación y los proveedores de infraestructura de conformidad con la definición del artículo 11.2.1.6.4 del Decreto 2555 de 2010, con excepción de los almacenes generales de depósito y los administradores de sistemas de pago de bajo valor.
Igualmente se encuentran exceptuadas de las presentes instrucciones las Entidades Administradoras del Régimen de Prima Media con prestación definida, excepto aquellas que se encuentran autorizadas por la ley para recibir nuevos afiliados.
Las entidades sometidas a la inspección y vigilancia de la SFC que deban implementar el SARLAFT y que en el desarrollo de su actividad pretendan vincular como clientes a entidades vigiladas por esta Superintendencia, se encuentran facultadas para exceptuar del cumplimiento de las presentes instrucciones a tales clientes.
El SARLAFT que implementen las entidades vigiladas en desarrollo de lo dispuesto en las presentes instrucciones deberá atender a la naturaleza, objeto social y demás características particulares de cada una de ellas.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 73 - Abril de 2007>
3. DEFINICIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO.
<Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:>
Para los efectos del presente capítulo, se entiende por riesgo de LA/FT la posibilidad de pérdida o daño que puede sufrir una entidad vigilada por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de LA/FT se materializa a través de los riesgos asociados, estos son: el legal, reputacional, operativo y de contagio, a los que se expone la entidad, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando es utilizada para tales actividades.
<Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:>
El SARLAFT es el sistema de administración que deben implementar las entidades vigiladas para gestionar el riesgo de LA/FT y se instrumenta a través de las etapas y elementos que más adelante se describen, correspondiendo las primeras a las fases o pasos sistemáticos e interrelacionados mediante los cuales las entidades administran el riesgo de LA/FT y, los segundos al conjunto de componentes a través de los cuales se instrumenta de forma organizada y metódica la administración del riesgo de LA/FT en las entidades.
El SARLAFT debe abarcar todas las actividades que realizan las entidades vigiladas en desarrollo de su objeto social principal y deberá prever además procedimientos y metodologías para que las entidades se protejan de ser utilizadas en forma directa, es decir a través de sus accionistas, administradores y vinculados como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.
Es deber de las entidades vigiladas revisar periódicamente las etapas y elementos del SARLAFT a fin de realizar los ajustes que consideren necesarios para su efectivo, eficiente y oportuno funcionamiento.
El SARLAFT que implementen y desarrollen las entidades vigiladas que se encuentren en las situaciones previstas en los artículos 260 del Código de Comercio y el artículo 28 de la Ley 222 de 1995 y normas que los modifiquen o adicionen, debe tener características similares con el fin de eliminar posibles arbitrajes entre ellas.
El SARLAFT que implementen las entidades vigiladas debe comprender como mínimo las siguientes etapas:
1. Identificación <Numeral 1 modificado por la Circular 26 de 27 de junio de 2008>
2. Medición o evaluación,
3. Control, y
4. Monitoreo.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 74 - Abril de 2007>
<Título e inciso 1o. modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> El SARLAFT debe permitir a las entidades vigiladas identificar los riesgos de LA/FT inherentes al desarrollo de su actividad, teniendo en cuenta los factores de riesgo definidos en el presente capítulo.
Esta etapa debe realizarse previamente al lanzamiento de cualquier producto, la modificación de sus características, la incursión en un nuevo mercado, la apertura de operaciones en nuevas jurisdicciones y el lanzamiento o modificación de los canales de distribución.
Para identificar el riesgo de LA/FT las entidades vigiladas deben como mínimo:
a) Establecer las metodologías para la segmentación de los factores de riesgo.
b) Con base en las metodologías establecidas en desarrollo del literal anterior, segmentar los factores de riesgo.
c) <Texto en negrilla adicionado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Establecer las metodologías para la identificación del riesgo de LA/FT y sus riesgos asociados respecto de cada uno de los factores de riesgo segmentados.
d) Con base en las metodologías establecidas en desarrollo del literal anterior, identificar las formas a través de las cuales se puede presentar el riesgo de LA/FT.
Como resultado de esta etapa las entidades vigiladas deben estar en capacidad de identificar los factores de riesgo y los riesgos asociados a los cuales se ven expuestas en relación al riesgo de LA/FT.
Concluida la etapa de identificación, el SARLAFT debe permitirle a las entidades vigiladas medir la posibilidad o probabilidad de ocurrencia del riesgo inherente de LA/FT frente a cada uno de los factores de riesgo, así como el impacto en caso de materializarse mediante los riesgos asociados. Estas mediciones podrán ser de carácter cualitativo o cuantitativo.
Para medir el riesgo de LA/FT las entidades deben como mínimo:
a) Establecer las metodologías de medición o evaluación con el fin de determinar la posibilidad o probabilidad de ocurrencia del riesgo de LA/FT y su impacto en caso de materializarse frente a cada uno de los factores de riesgo y los riesgos asociados.
b) Aplicar las metodologías establecidas en desarrollo del literal anterior, para realizar una medición o evaluación consolidada de los factores de riesgo y los riesgos asociados.
<Inciso modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Como resultado de esta etapa las entidades deben estar en capacidad de establecer el perfil de riesgo inherente de LA/FT de la entidad y las mediciones agregadas en cada factor de riesgo y en sus riesgos asociados.
En esta etapa las entidades vigiladas deben tomar las medidas conducentes a controlar el riesgo inherente al que se ven expuestas, en razón de los factores de riesgo y de los riesgos asociados.
Para controlar el riesgo de LA/FT las entidades deben como mínimo:
a) Establecer las metodologías para definir las medidas de control del riesgo de LA/FT.
b) Aplicar las metodologías establecidas en desarrollo del literal anterior sobre cada uno de los factores de riesgo y los riesgos asociados.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 75 - Abril de 2007>
a) Establecer los niveles de exposición en razón de la calificación dada a los factores de riesgo en la etapa de medición.
b) Realizar los reportes de operaciones sospechosas a la Unidad Administrativa Especial de Información y Análisis Financiero – UIAF.
<Inciso modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Como resultado de esta etapa la entidad debe establecer el perfil de riesgo residual de LA/FT. El control debe traducirse en una disminución de la posibilidad de ocurrencia y/o del impacto del riesgo de LA/FT en caso de materializarse.
<Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:>
Esta etapa debe permitir a las entidades vigiladas hacer seguimiento del perfil de riesgo y, en general, del SARLAFT, así como llevar a cabo la detección de operaciones inusuales y/o sospechosas.
Para monitorear el riesgo de LA/FT las entidades deben como mínimo:
a) Desarrollar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias del SARLAFT. Dicho seguimiento debe tener una periodicidad acorde con el perfil de riesgo residual de LA/FT de la entidad, pero en todo caso debe realizarse con una periodicidad mínima semestral.
b) Realizar el seguimiento y comparación del riesgo inherente y residual de cada factor de riesgo y de los riesgos asociados.
c) Asegurar que los controles sean comprensivos de todos los riesgos y que los mismos estén funcionando en forma oportuna, efectiva y eficiente.
d) Establecer indicadores descriptivos y/o prospectivos que evidencien potenciales fuentes de riesgo de LA/FT.
e) Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.
El monitoreo debe permitir a las entidades comparar la evolución del perfil de riesgo inherente con el perfil de riesgo residual de LA/FT de la entidad.
Como resultado de esta etapa la entidad debe desarrollar reportes que permitan establecer las evoluciones del riesgo de la misma, así como la eficiencia de los controles implementados. Así mismo en esta etapa se deben determinar las operaciones inusuales y sospechosas, sin perjuicio de lo establecido en el literal d) del numeral anterior.
El SARLAFT que implementen las entidades vigiladas debe tener como mínimo los siguientes elementos, los cuales deben desarrollar, siempre que resulte aplicable, las etapas del sistema:
1. Políticas.
2. Procedimientos.
3. Documentación.
4. Estructura organizacional.
5. Órganos de control.
6. Infraestructura tecnológica.
7. Divulgación de información.
8. Capacitación.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 76 - Abril de 2007>
Son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el SARLAFT. Cada una de las etapas y elementos del sistema debe contar con unas políticas claras y efectivamente aplicables.
Las políticas que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del SARLAFT y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad y de sus accionistas.
Las políticas que adopten las entidades deben cumplir con los siguientes requisitos mínimos:
a) Impulsar a nivel institucional la cultura en materia de SARLAFT.
b) Consagrar el deber de los órganos de administración y de control de las entidades vigiladas, del oficial de cumplimiento, así como de todos los funcionarios, de asegurar el cumplimiento de los reglamentos internos y demás disposiciones relacionadas con el SARLAFT.
c) Establecer lineamientos para la prevención y resolución de conflictos de interés.
d) Consagrar lineamientos más exigentes de vinculación de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT.
e) Señalar los lineamientos que adoptará la entidad frente a los factores de riesgo y los riesgos asociados de LA/FT.
f) Garantizar la reserva de la información reportada conforme lo establece el artículo 105 de EOSF.
g) Establecer las consecuencias que genera el incumplimiento del SARLAFT.
h) Consagrar la exigencia de que los funcionarios antepongan el cumplimiento de las normas en materia de administración de riesgo de LA/FT al logro de las metas comerciales.
Las políticas deben incorporarse en un código de ética que oriente la actuación de los funcionarios de la entidad para el funcionamiento del SARLAFT y establezca procedimientos sancionatorios frente a su inobservancia. Así mismo debe establecer las consecuencias que genera su incumplimiento.
Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT.
Los procedimientos que en esta materia adopten las entidades deben cumplir, como mínimo, con los siguientes requisitos:
a) Instrumentar las diferentes etapas y elementos del SARLAFT.
b) <Texto en negrilla adicionado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Identificar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual.
c) Atender los requerimientos de información por parte de autoridades competentes.
d) <Literal modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia, de conformidad con el derecho internacional y disponer lo necesario para que se consulten dichas listas, de manera previa y obligatoria a la vinculación de un potencial cliente a la entidad.
e) Consagrar las sanciones por incumplimiento a las normas relacionadas con el SARLAFT, así como los procesos para su imposición.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 77 - Abril de 2007>
f) Implementar las metodologías para la detección de operaciones inusuales y sospechosas, y el oportuno y eficiente reporte de éstas últimas a las autoridades competentes.
g) <Literal modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Prever procesos para llevar a cabo un efectivo, eficiente y oportuno conocimiento de los clientes actuales y potenciales, así como la verificación de la información suministrada y sus correspondientes soportes, atendiendo como mínimo los requisitos establecidos en el presente instructivo.
<Inciso modificado por la Circular 7 de 2013. El nuevo texto es el siguiente:> En el caso de las cuentas de ahorro electrónicas de que trata el Decreto 4590 de 2008 y los créditos educativos de fomento para personas naturales a los que se refiere el Decreto 2792 de 2009 y demás normas que lo modifiquen, sustituyan o adicionen, el proceso para llevar a cabo el conocimiento de estos clientes comprenderá la individualización de los mismos a través de la verificación de la información contenida en el documento de identidad. Para este efecto, las entidades deberán contar y verificar como mínimo con la siguiente información contenida en el documento de identidad de los clientes: el nombre, el número y la fecha de expedición del documento de identificación.
<Inciso modificado por la Circular 7 de 2013. El nuevo texto es el siguiente:> Tratándose de cuentas de ahorro con trámite simplificado para su apertura, a las que se refiere el numeral 6o. del Capítulo Cuarto del Título II de la Circular Básica Jurídica y los depósitos de dinero electrónico que cumplan las características previstas en los numerales 7.1 y 7.2 de la misma disposición, los establecimientos de crédito, como mínimo, deberán obtener y verificar la siguiente información contenida en el documento de identificación de los clientes: el nombre, el número y la fecha de expedición del documento de identificación.
<Inciso adicionado por la Circular 7 de 2013. El nuevo texto es el siguiente:> Las excepciones y reglas especiales contenidas en el presente capítulo para tales trámites o productos, aplicarán únicamente respecto de los mismos. Por lo tanto, en el evento en que un cliente que cuente con uno de tales productos, decida adquirir un producto o servicio diferente de aquéllos, los establecimientos de crédito deberán dar pleno cumplimiento a las disposiciones vigentes.
h) <Literal adicionado por la Circular 19 de 2010. El nuevo texto es el siguiente:> Establecer procedimientos más estrictos para la iniciación y seguimiento a las relaciones comerciales y operaciones con clientes de países donde no se aplican las Recomendaciones del GAFI o no se las aplica suficientemente. El SARLAFT debe contemplar las medidas que se adoptarán en el caso que ese país siga sin aplicar o aplicando de modo insuficiente las Recomendaciones del GAFI.
Las entidades deben adoptar mecanismos que les permitan como mínimo:
1. Conocer al cliente actual y potencial,
2. Conocer el mercado,
3. Identificar y analizar las operaciones inusuales,
4. Determinar y reportar las operaciones sospechosas.
4.2.2.1.1. CONOCIMIENTO DEL CLIENTE.
El SARLAFT debe contar con procedimientos para obtener un conocimiento efectivo, eficiente y oportuno de todos los clientes actuales y potenciales, así como para verificar la información y los soportes de la misma. El conocimiento del cliente implica conocer de manera permanente y actualizada, cuando menos, los siguientes datos:
a) Identificación. <Literal modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Identificación. Supone el conocimiento y verificación de los datos exigidos en el formulario que permiten individualizar plenamente la persona natural o jurídica que se pretende vincular.
Tratándose de la vinculación de personas jurídicas, el conocimiento del cliente supone, además de lo dispuesto en el formulario, conocer la estructura de su propiedad, es decir, la identidad de los accionistas o asociados que tengan directa o indirectamente más del 5% de su capital social, aporte o participación en la entidad.
<Inciso modificado por la Circular 7 de 2013. El nuevo texto es el siguiente:> Respecto de las cuentas de ahorro electrónicas de que trata el Decreto 4590 de 2008 y demás normas que lo modifiquen, sustituyan o adicionen, las cuentas de ahorro con trámite simplificado para su apertura y los depósitos de dinero electrónico a los que se refieren los numerales 6 y 7 del Capítulo Cuarto del Título II de la Circular Básica Jurídica, la identificación y verificación del cliente se llevará a cabo según lo dispuesto sobre el particular en el inciso segundo y tercero del literal g) del numeral 4.2.2. del presente capítulo.
b) Actividad económica.
c) Características, montos y procedencia de sus ingresos y egresos.
d) Respecto de clientes vigentes, las características y montos de sus transacciones y operaciones.
Las metodologías para conocer al cliente deben permitir a las entidades cuando menos:
I. Recaudar la información que le permita comparar las características de sus transacciones con las de su actividad económica.
II. Monitorear continuamente las operaciones de los clientes.
III. Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos clientes y determinar la existencia de operaciones sospechosas.
<Inciso modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Para estos efectos, las entidades deben diseñar y adoptar formularios de solicitud de vinculación de clientes que contengan cuando menos la información que más adelante se indica, los cuales deben diligenciarse de acuerdo con las instrucciones señaladas en el presente instructivo. Salvo en los casos expresamente exceptuados en el presente capítulo, las entidades deben obtener de los potenciales clientes, el diligenciamiento de los formularios de solicitud de vinculación para el suministro de productos o prestación de servicios. Dicho formulario debe también ser diligenciado por toda persona que se encuentre facultada o autorizada para disponer de los recursos o bienes objeto del contrato, caso en el cual deberá la entidad verificar el documento que acredita dicha facultad o autorización.
La recolección de la firma y la huella del potencial cliente podrán contratarse con terceros.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 78 - Abril de 2007>
<Inciso adicionado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Tratándose de clientes de los almacenes generales de depósito que depositen sus mercancías en los Depósitos Públicos Habilitados de que trata el Decreto 2685 de 1999 (Estatuto Aduanero) y demás normas que lo sustituyan, modifiquen o adicionen, las entidades vigiladas procurarán actuar con la mayor diligencia y hacer el mejor esfuerzo con la finalidad de obtener la información necesaria para conocer al cliente. En el evento que el cliente se rehúse a suministrar dicha información, la entidad deberá evaluar las acciones que deba adelantar.
<Texto adicionado por la Circular 19 de 2010. El nuevo texto es el siguiente:> Igualmente, tratándose de relaciones de corresponsalía trasnacional, las entidades vigiladas deberán establecer mecanismos que les permitan:
I. Obtener la aprobación de los funcionarios de alto nivel jerárquico antes de establecer relaciones de corresponsalía trasnacional;
II. Reunir información suficiente sobre el establecimiento representado que les permita comprender cabalmente la naturaleza de sus negocios, incluyendo si ha sido objeto de sanción o intervención de la autoridad de control por lavado de activos o financiación del terrorismo, así como cualquier otra información que permita establecer una relación de corresponsalía trasnacional con transparencia para ambas partes.
III. Determinar que la entidad tenga controles para prevenir y controlar el lavado de activos y la financiación del terrorismo;
IV. Documentar las respectivas responsabilidades de cada institución frente al LA/FT.
V. Aplicar procedimientos más estrictos para el seguimiento a tales relaciones
VI. Asegurarse de que el establecimiento representado cumpla con las medidas de conocimiento del cliente.
Los formularios de solicitud de vinculación de clientes que diseñen las entidades vigiladas deben contener espacios para recolectar, cuando menos, los datos que a continuación se señalan, sin perjuicio de la información adicional que cada entidad haya determinado como relevante y necesaria para controlar el riesgo de LA/FT.
PN: Vinculación de persona natural PJ: Vinculación de persona jurídica
| Descripción | PN | PJ |
| Nombre y apellidos completos o Razón Social. | X | X |
| <Texto en negrilla adicionado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Personas Nacionales: Número de identificación: NIT, registro civil de nacimiento, cédula de ciudadanía o tarjeta de identidad. | X | X |
| Personas Extranjeras: Número de identificación: Cédula de extranjería, pasaporte vigente para titulares de visa de turista o visitante u otra clase de visa con vigencia inferior a tres (3) meses, o carné expedido por la Dirección de Protocolo del Ministerio de Relaciones Exteriores para titulares de Visas Preferenciales (diplomático, consular, de servicio, de organismos internacionales o administrativo, según el caso, y de acuerdo con las normas migratorias vigentes). | X | |
| Nacionales turistas de los países miembros de la Comunidad Andina de Naciones. Número de identificación: Documento de identificación válido y vigente en el país emisor con el cual ingresó a Colombia. | X | |
| Nombre y apellidos completos del representante, apoderado y número de identificación. | X | X |
| Dirección y teléfono del representante. | X | |
| Lugar y fecha de nacimiento. | X | |
| Dirección y teléfono residencia. | X | |
| Ocupación, oficio o profesión. | X | |
| Descripción actividad: - Independiente, dependiente, cargo que ocupa. - Actividad económica principal: comercial, industrial, transporte, construcción, agroindustria, servicios financieros, etc., acorde con lo establecido en el código internacional CIIU. | X | X |
| Nombre, dirección, fax y teléfono de la oficina, empresa o negocio donde trabaja si aplica. Dirección, teléfono, fax y ciudad de la oficina principal y de la sucursal o agencia que actúe como cliente. | X | X |
| Identificación de los accionistas o asociados que tengan directa o indirectamente más del 5% del capital social, aporte o participación. | X | |
| Tipo de empresa: privada, pública, mixta. | X | |
| Declaración de origen de los bienes y/o fondos, según el caso (puede ser un anexo). | X | X |
| Ingresos y egresos mensuales. | X | X |
| <Inciso modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Detalle de otros ingresos, ingresos no operacionales u originados en actividades diferentes a la principal. | X | X |
| Total activos y pasivos. | X | X |
| En el caso de fiducia, la clase de recursos e identificación del bien que se entrega. | X | X |
| Autorización para consulta y reporte a las centrales de riesgo. | X | X |
| Manifestación sobre la realización de actividades en moneda extranjera. | X | X |
| Firma y huella del solicitante. | X | X |
| Fecha de diligenciamiento. | X | X |
Si la actividad del potencial cliente involucra transacciones en moneda extranjera, el formulario debe contener espacios para recolectar la siguiente información:
| Descripción | PN | PJ |
| El tipo de operaciones en moneda extranjera que normalmente realiza. | X | X |
| Productos financieros que posea en moneda extranjera especificando como mínimo: Tipo de producto, identificación del producto, entidad, monto, ciudad, país y moneda. | X | X |
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 79 - Abril de 2007>
En el evento en que el potencial cliente no cuente con la información solicitada, se deberá consignar dicha circunstancia en el espacio correspondiente.
La información soporte de la vinculación de los clientes deberá tenerse en cuenta para el diseño e implementación de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la detección oportuna de operaciones inusuales.
Es deber permanente de las entidades vigiladas identificar al (os) beneficiario(s) final(es) de todos los productos que suministren. En el caso de contratos de seguros se debe solicitar la siguiente información adicional: a) vínculos existentes entre el tomador, asegurado, afianzado y beneficiario; b) relación de las reclamaciones presentadas e indemnizaciones recibidas por concepto de seguros, respecto de cualquier asegurador, en los dos últimos años; c) inventario general de los bienes objeto del seguro, salvo cuando se trate de pólizas flotantes o automáticas.
En los contratos de seguros y capitalización, cuando el asegurado, afianzado y/o beneficiario, sea una persona diferente al tomador o suscriptor, deberá recaudarse la información al momento de la vinculación, salvo que el tomador o suscriptor señale claramente las razones que le impiden suministrar la información de aquellos y la entidad las encuentre justificadas, en cuyo caso tal información debe recaudarse al momento de la presentación de la reclamación, vencimiento y pago del título, rescisión del mismo, pago del sorteo o presentación de la solicitud de préstamo sobre el título. En los eventos en que el asegurado, afianzado y/o beneficiario, no suministren la información exigida en el presente instructivo, la operación debe calificarse como inusual.
En todo caso, cuando por virtud de la naturaleza o estructura de un contrato en el momento de la vinculación del cliente no sea posible conocer la identidad de otras personas que se vinculan como clientes, (p. ej. beneficiarios de contratos de seguro y fiducia, cuya identidad sólo se establece en el futuro) la información relativa a ellos debe obtenerse en el momento en que se individualicen.
En el evento en que la contratación de los productos ofrecidos por las entidades aseguradoras o de capitalización se lleve a cabo por parte de intermediarios de seguros o de capitalización, el proceso de conocimiento del cliente podrá dejarse a cargo del intermediario, siempre que se haga bajo los parámetros, procedimientos y metodologías previamente establecidos por la entidad vigilada contratante y la responsabilidad seguirá radicada en cabeza de ésta última.
Las instrucciones contenidas en el presente numeral deben aplicarse igualmente respecto de las personas naturales o jurídicas que pretendan adquirir activos fijos de una entidad.
4.2.2.1.1.1. CONOCIMIENTO DEL CLIENTE POR PARTE DE GRUPOS.
Las entidades vigiladas que se encuentren en las situaciones previstas en los artículos 260 del Código de Comercio y el artículo 28 de la Ley 222 de 1995 y normas que los modifiquen o adicionen, pueden llevar a cabo la vinculación de clientes, a través de la entidad del grupo que establezca una relación contractual y lo vincule por primera vez, siempre y cuando se dé cumplimiento a las siguientes reglas:
a) La responsabilidad de adelantar todas las gestiones necesarias tendientes a confirmar y actualizar, como mínimo, en forma anual la información corresponderá a la entidad vigilada que el grupo designe para el efecto o, en su defecto, a la matriz.
b) <Literal modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> El grupo debe diseñar un formato único de vinculación de clientes que contenga, cuando menos, la totalidad de los requisitos de información exigidos en el presente instructivo, así como la información requerida respecto de todos los productos que ofrezcan las entidades del grupo. Así mismo, el formato debe contener una estipulación en la que el cliente autorice de manera expresa e inequívoca su remisión a las demás entidades del mismo grupo a las que sucesivamente se vincule. En todo caso corresponderá a la entidad con la cual se pretende vincular el potencial cliente determinar cuál información, además de la mínima exigida en el presente capítulo, debe suministrarle para llevar a cabo su vinculación.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 80 - Abril de 2007>
c) La responsabilidad de actualizar la información adicional a la mínima estará en cabeza de cada una de las entidades con las cuales el cliente mantenga una relación contractual, sin perjuicio de dar cumplimiento a las demás normas del SARLAFT.
d) Es obligación permanente de cada una de las entidades vigiladas que conforman un grupo incluir las modificaciones y solicitar la información adicional que como resultado de la evaluación y seguimiento de los factores de riesgo haya determinado cada una de ellas como relevante y necesaria para controlar el riesgo de LA/FT.
<Inciso modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> En estos casos corresponderá a la matriz del grupo siempre que se trate de una entidad vigilada o, en su defecto, a la que el grupo designe, realizar la consolidación y evaluación del perfil de riesgo residual de LA/FT del grupo.
En el desarrollo de los procedimientos de conocimiento del cliente, las entidades no están obligadas a exigir el formulario de solicitud de vinculación ni realizar entrevista al potencial cliente cuando quiera que se trate de alguna de las siguientes operaciones, productos o servicios:
a) Operaciones realizadas con organismos multilaterales.
b) La constitución de fiducias de administración para el pago de obligaciones pensionales.
c) En los títulos de capitalización colocados mediante mercadeo masivo o contratos de red, siempre que el pago de las cuotas se haga mediante descuento directo de cuenta de ahorros, cuenta corriente o tarjeta de crédito, y que el cliente haya autorizado expresamente el traslado.
d) En los siguientes seguros:
I. Los tomados por entidades financieras, aseguradoras o sociedades administradoras de fondos de pensiones por cuenta de sus clientes.
II. Los relativos a la seguridad social.
III. Aquellos en que el tomador, asegurado, afianzado o beneficiario sea una persona jurídica bajo el régimen de derecho público, salvo los tomados por empresas industriales y comerciales del Estado y/o sociedades de economía mixta que no estén sometidas a inspección y vigilancia de la SFC.
IV. Los contratos de reaseguro.
V. Los tomados mediante mercadeo masivo o bancaseguros siempre que el pago de las primas se haga mediante descuento directo de cuenta de ahorros, cuenta corriente o tarjeta de crédito, y que el cliente haya autorizado expresamente el traslado.
VI. Aquellos tomados por personas naturales o jurídicas por cuenta y a favor de sus empleados, cuyo origen sea un contrato de trabajo o relación laboral, respecto de la información del asegurado y el beneficiario. En lo que hace al tomador, la información debe solicitarse en su totalidad.
VII. Aquellos que las entidades aseguradoras están obligadas a expedir por disposición legal.
VIII. Aquellos otorgados mediante procesos de licitación pública.
IX. De cumplimiento cuando se celebren para garantizar el cumplimiento de contratos con entidades de carácter público.
X. De accidentes personales en vuelo.
XI. Los contratos de coaseguro para las compañías distintas a la líder.
XII. Pólizas judiciales.
XIII. De salud.
XIV. Exequiales.
XV. <Ordinal adicionado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Aquellos tomados por personas naturales o jurídicas en una misma entidad aseguradora, que cumplan los siguientes requisitos en forma simultánea: (i). Que el valor asegurado sea igual o inferior a 135 salarios mínimos legales mensuales vigentes; y (ii). Que el máximo pago bimestral (cada dos meses) de la prima sea igual o inferior a la doceava parte de un (1) salario mínimo legal mensual vigente. Sin perjuicio de lo anterior, al momento del siniestro las entidades aseguradoras deberán darle cumplimiento a las disposiciones sobre conocimiento del cliente de que trata el presente capítulo.
e) Cuentas de ahorro abiertas exclusivamente para el manejo y pago de pasivos pensionales.
f) En los créditos que se instrumentan a través de libranza siempre que estas no excedan de seis (6) salarios mínimos legales mensuales y sean otorgadas a empleados de empresas
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 81 - Abril de 2007>
que se encuentren previamente vinculadas en calidad de cliente con la entidad vigilada otorgante del crédito.
g) La vinculación a entidades administradoras del sistema general de pensiones en cuanto a los aportes obligatorios.
h) <Literal eliminado por la Circular 61 de 2007.>
h) i) <reenumerada> La vinculación a entidades administradoras de cesantías en lo relacionado con los recursos provenientes de dicha prestación.
i) <Literal reenumerado y modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Los productos o servicios financieros abiertos a nombre de los beneficiarios del programa “Familias en Acción” y “Familias Guardabosques” que hacen parte del programa “Contra Cultivos Ilícitos” administrados por la Agencia Presidencial para la Acción Social y la Cooperación Internacional (Acción Social), siempre que estén destinadas exclusivamente al manejo de los recursos provenientes de dichos programas.
j) <Literal adicionado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Aquellas operaciones, productos o servicios financieros en los cuales la información del potencial cliente se suministre directamente por una caja de compensación legalmente constituida y contenga cuando menos, la información de que trata el numeral 4.2.2.1.1.
k) <Literal adicionado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Cuentas de ahorro abiertas exclusivamente para el pago de nómina. Cuando se manejen otros recursos en tales cuentas, no se aplicará dicha excepción.
l) <Literal adicionado por la Circular 8 de 2009. El nuevo texto es el siguiente:> Cuentas de ahorro electrónicas de que trata el Decreto 4590 de 2008 y demás normas que lo modifiquen, sustituyan o adicionen.
m) <Literal adicionado por la Circular 9 de 2009. El nuevo texto es el siguiente:> Las carteras colectivas en las que se inviertan los recursos recuperados que se restituyan a los afectados por los captadores o recaudadores no autorizados, a que se refiere el Decreto 4334 de 2008 y demás normas que lo que lo modifiquen, sustituyan o adicionen. Dicha excepción se aplicará exclusivamente para la inversión de los citados recursos.
n) <Literal adicionado por la Circular 53 de 2009. El nuevo texto es el siguiente:> Las cuentas de ahorro con trámite simplificado para su apertura, a las que se refiere el numeral 6o del Capítulo IV del Título II de la Circular Básica Jurídica.
o) <Literal adicionado por la Circular 19 de 2010. El nuevo texto es el siguiente:> Los créditos educativos de que trata el artículo 10.7.1.1.8. el Decreto 2555 de 2010, otorgados a personas naturales. Para que proceda esta excepción, el Instituto Colombiano de Crédito y Estudios Técnicos en el Exterior -ICETEX- deberá contar con mecanismos alternativos que le permitan realizar un adecuado conocimiento de los destinatarios de tales créditos y que reconozcan la naturaleza de las operaciones que realiza.
p) <Literal adicionado por la Circular 4 de 2011. El nuevo texto es el siguiente:> Las transferencias de recursos de que trata el artículo 1o del Decreto 4830 de 2010, realizadas por el Fondo Nacional de Calamidades a entidades públicas del orden nacional o territorial para ser administrados por éstas.
Tratándose de los ordenadores del gasto y de las firmas autorizadas que puedan disponer de los recursos que el Fondo sitúe en las carteras colectivas de la Fiduciaria Previsora S.A. o de la entidad que para el efecto designe el Gobierno Nacional para la Administración del Fondo, contarán con veinte (20) días para obtener la información respectiva.
q) <Literal modificado por la Circular 13 de 2013. El nuevo texto es el siguiente:> Los depósitos de dinero electrónico a los que se refiere el inciso primero del artículo 2.1.15.1.2 del Decreto 2555 de 2010 que cumplan con las características previstas en los numerales 7.1 y 7.2 del Capítulo Cuarto del Título II de la presente circular y las cuentas de ahorro con trámite simplificado cuyos saldos máximos no excedan en ningún momento tres (3) salarios mínimos legales mensuales vigentes, de acuerdo con lo señalado por el numeral 6.4 del mencionado capítulo. Tales depósitos y cuentas de ahorro estarán exceptuadas además, de las obligaciones contenidas en las siguientes disposiciones del presente capítulo:
(i) Los literales b) y c) del numeral 4.2.2.1.1 “Conocimiento del cliente”;
(ii) El numeral 4.2.2.1.1.3 “Personas públicamente expuestas”; y
(iii) El numeral 4.2.2.1.2 “Conocimiento del mercado”.
<Inciso modificado por la Circular 13 de 2013. El nuevo texto es el siguiente:> Adicionalmente, para los mencionados depósitos y cuentas de ahorro, la segmentación de los factores de riesgo a la que se refiere el numeral 4.2.2.2.2 del presente capítulo, deberá realizarse con la información que tengan disponible las entidades.
<Inciso adicionado por la Circular 7 de 2013. El nuevo texto es el siguiente:> En todo caso, los establecimientos de crédito, a medida que cuenten con información adicional, deberán dar cumplimiento a las instrucciones del presente capítulo.
<Inciso modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Las anteriores excepciones no eximen a las entidades vigiladas de llevar a cabo el conocimiento de sus clientes de acuerdo con los parámetros establecidos en el presente capítulo.
4.2.2.1.1.3. PERSONAS PÚBLICAMENTE EXPUESTAS.
El SARLAFT debe prever procedimientos más exigentes de vinculación de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT, tales como: personas que por razón de su cargo manejan recursos públicos, detentan algún grado de poder público o gozan de reconocimiento público.
En tal sentido, el SARLAFT debe contener mecanismos efectivos, eficientes y oportunos que permitan identificar los casos de clientes que responden a tales perfiles, así como procedimientos de control y monitoreo más exigentes respecto de las operaciones que realizan.
<Inciso modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> En todo caso, el estudio y aprobación de la vinculación de tales clientes deberá llevarse a cabo por una instancia o empleado de jerarquía superior al que normalmente aprueba las vinculaciones en la entidad.
<Inciso modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> El evento en que un cliente o beneficiario final pase a ser una persona públicamente expuesta en los términos señalados en el presente numeral, deberá informarse a la instancia o empleado de jerarquía superior encargado de tales vinculaciones.
4.2.2.1.1.4. PARÁMETROS DE LOS PROCEDIMIENTOS DE CONOCIMIENTO DEL CLIENTE.
Los procedimientos que implementen las entidades vigiladas para el conocimiento del cliente deben atender los siguientes parámetros mínimos:
a) Permitir la realización de todas las diligencias necesarias para confirmar y actualizar como mínimo anualmente los datos suministrados en el formulario de solicitud de vinculación de clientes que por su naturaleza puedan variar (dirección, teléfono, actividad, origen de los recursos etc.). Para el caso de productos inactivos la actualización se llevará a cabo cuando el producto deje de tener tal condición. En el evento en que cambie la participación de los accionistas o asociados en los términos exigidos en el formulario de vinculación, corresponderá a las entidades determinar una periodicidad menor para la actualización la información, atendiendo el nivel de riesgo de cada cliente.
b) Salvo lo dispuesto en el siguiente numeral, contemplar la realización de una entrevista presencial al potencial cliente de la cual deberá dejarse constancia documental, indicando el empleado de la entidad que la realizó, la fecha y hora en que se efectuó, así como los resultados de la misma.
c) El diligenciamiento del formulario así como el recaudo de los documentos y la firma de los mismos puede efectuarse de acuerdo con el procedimiento señalado en la Ley 527 de 1999 o normas que la sustituyan, modifiquen o adicionen. Sin embargo, el empleo de dichos procedimientos no sustituye la entrevista al potencial cliente.
Los procedimientos de conocimiento del cliente deben ser incorporados en los manuales y sistemas de administración del riesgo de lavado de las entidades subordinadas en el extranjero.
Los procedimientos de conocimiento del cliente aplicados por otras entidades vigiladas con relación al mismo cliente potencial, no eximen de responsabilidad a la entidad de conocerlo, aún cuando pertenezcan a un mismo grupo.
Las entidades vigiladas no podrán iniciar relaciones contractuales o legales con el potencial cliente mientras no se haya diligenciado en su integridad el formulario, realizado la entrevista, adjuntados los soportes exigidos y aprobado la vinculación del mismo, como mínimo.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 82 - Abril de 2007>
4.2.2.1.1.4.1. PROCEDIMIENTOS ESPECIALES PARA LA REALIZACIÓN DE ENTREVISTAS.
<Título modificado por la Circular 26 de 27 de junio de 2008>
Podrán emplearse metodologías y procedimientos de conocimiento del cliente que consideren la realización de entrevistas no presenciales, o la realización de entrevistas por personal que no tenga la condición de empleado de la entidad, bajo las siguientes condiciones:
a) Señalar en el procedimiento, las razones objetivas por las cuales se considera necesaria su implementación, atendiendo los objetivos del SARLAFT.
b) Contemplar un seguimiento más estricto de los clientes vinculados bajo tales modalidades.
<Inciso modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> En aquellos casos en que alguno de los factores de riesgo involucrados esté calificado por la entidad como de alto riesgo, con excepción de la jurisdicción, deben realizarse entrevistas presenciales y por personal que tenga la condición de empleado de la entidad.
<Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:>
De conformidad con lo establecido en el presente instructivo, se considera que las campañas políticas y los partidos políticos exponen en mayor grado a la entidad al riesgo de LA/FT, por lo que corresponde a las entidades vigiladas que manejen productos a través de los cuales se reciban y administren recursos o bienes para las campañas políticas y partidos políticos, acordar con las gerencias o los responsables de los mismos el diseño y adopción de metodologías efectivas, eficientes y oportunas de identificación y conocimiento de sus donantes y aportantes de manera que permitan un control y monitoreo estricto de las operaciones que se realicen.
Dichas metodologías deben permitir también como mínimo:
a) Identificar las operaciones inusuales y reportar las sospechosas vinculadas a donaciones o aportes.
b) Identificar los funcionarios de las campañas políticas y partidos políticos autorizados para efectuar retiros, traslados o disponer de los bienes.
c) Controlar los aportes o donaciones en efectivo.
Adicionalmente y también en coordinación con los gerentes o los responsables de las campañas y partidos, las entidades vigiladas podrán establecer, entre otros, mecanismos mediante los cuales:
I. Se exija la autorización del gerente o responsable de la campaña y/o partido para permitir la recepción de aportes, donaciones, o la admisión de traslados o transferencias de recursos de cualquier otra cuenta o producto financiero a la cuenta de la campaña y/o partido, como regla general o a partir de determinada cuantía.
II. Se establezca un procedimiento para la devolución de aportes o donaciones que a juicio del gerente o responsable de la campaña y/o partido no deban contribuir a la financiación de la misma.
III. Se fije una cuantía máxima para el depósito o retiro de sumas en efectivo.
IV. Se establezca un procedimiento general y expedito de información al público sobre los movimientos de dichas cuentas.
Los citados mecanismos e instrumentos deben quedar consignados en un documento suscrito por el representante legal de la entidad vigilada y el gerente o responsable de la campaña y/o partido, el cual deberá estar a disposición de esta Superintendencia y de las autoridades competentes.
<Inciso eliminado por la Circular 26 de 27 de junio de 2008>
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 83 - Abril de 2007>
4.2.2.1.2. CONOCIMIENTO DEL MERCADO.
Las entidades deben conocer a fondo las características particulares de las actividades económicas de sus clientes, así como de las operaciones que estos realizan en los diferentes mercados. El SARLAFT debe incorporar y adoptar procedimientos que le permitan a la entidad conocer a fondo el mercado al cuál se dirigen los productos que ofrece. El conocimiento del mercado debe permitirle a la entidad establecer con claridad cuáles son las características usuales de los agentes económicos que participan en él y las transacciones que desarrollan.
La entidad deberá establecer las variables relevantes que le permitan realizar el conocimiento del mercado para cada uno de los factores de riesgo.
4.2.2.1.3. IDENTIFICACIÓN Y ANÁLISIS DE OPERACIONES INUSUALES.
El SARLAFT debe permitir a las entidades establecer cuándo una operación se considera como inusual. Para ello debe contar con metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales, entendidas éstas como aquellas transacciones que cumplen, cuando menos con las siguientes características: 1) no guardan relación con la actividad económica o se salen de los parámetros adicionales fijados por la entidad y, 2) respecto de las cuales la entidad no ha encontrado explicación o justificación que se considere razonable.
En el caso de identificación y análisis de las operaciones de usuarios, las entidades deberán determinar cuáles de éstas resultan relevantes, teniendo en cuenta el riesgo al que exponen a la entidad y basados en los criterios previamente establecidos por las mismas.
Las entidades deben dejar constancia de cada una de las operaciones inusuales detectadas, así como del responsable o responsables de su análisis y los resultados del mismo.
4.2.2.1.4. DETERMINACIÓN Y REPORTE DE OPERACIONES SOSPECHOSAS.
La confrontación de las operaciones detectadas como inusuales, con la información acerca de los clientes o usuarios y de los mercados, debe permitir, conforme a las razones objetivas establecidas por la entidad, identificar si una operación es o no sospechosa y reportarlo de forma oportuna y eficiente a la UIAF.
Los procedimientos de detección y reporte de operaciones sospechosas deben tener en cuenta que las entidades están en la obligación de informar a las autoridades competentes de manera inmediata y eficiente sobre cada operación de este tipo que conozcan.
Para que los mecanismos adoptados por las entidades operen de manera efectiva, eficiente y oportuna, el SARLAFT deberá contar como mínimo con los siguientes instrumentos:
1. <Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Señales de alerta o alertas tempranas
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 84 - Abril de 2007>
2. Segmentación de los factores de riesgo en relación al mercado,
3. <Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Seguimiento de operaciones,
4. Consolidación electrónica de operaciones.
4.2.2.2.1. SEÑALES DE ALERTA O ALERTAS TEMPRANAS. <Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:>
Son los hechos, situaciones, eventos, cuantías, indicadores cuantitativos y cualitativos, razones financieras y demás información que la entidad determine como relevante, a partir de los cuales se puede inferir oportuna y/o prospectivamente la posible existencia de un hecho o situación que escapa a lo que la entidad, en el desarrollo del SARLAFT, ha determinado como normal.
Estas señales deben considerar cada uno de los factores de riesgo y las características de sus operaciones, así como cualquier otro criterio que a juicio de la entidad resulte adecuado.
4.2.2.2.2. SEGMENTACIÓN DE LOS FACTORES DE RIESGO.
<Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Las entidades deben segmentar cada uno de los factores de riesgo de acuerdo con las características particulares de cada uno de ellos, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos, según la metodología que previamente haya establecido la entidad. Sin perjuicio de cualquier otro criterio que establezca la entidad, deben segmentar atendiendo como mínimo los siguientes:
a) Clientes: actividad económica, volumen o frecuencia de sus transacciones y monto de ingresos, egresos y patrimonio.
b) Productos: naturaleza, características y nicho de mercado o destinatarios.
c) Canales de distribución: naturaleza y características.
d) Jurisdicciones: ubicación, características y naturaleza de las transacciones.
A través de la segmentación las entidades deben determinar las características usuales de las transacciones que se desarrollan y compararlas con aquellas que realicen los clientes, a efectos de detectar las operaciones inusuales.
4.2.2.2.3. SEGUIMIENTO DE OPERACIONES. <Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:>
Las entidades deben estar en capacidad de hacer seguimiento a las operaciones que realicen sus clientes y usuarios a través de los demás factores de riesgo.
Para dar cumplimiento a lo anterior las entidades deben como mínimo:
a) Realizar seguimiento a las operaciones con una frecuencia acorde a la evaluación de riesgo de los factores de riesgo involucrados en las operaciones.
b) Monitorear las operaciones realizadas en cada uno de los segmentos de los factores de riesgo.
En el caso del seguimiento de operaciones de usuarios, las entidades deberán determinar cuáles de éstas resultan relevantes, teniendo en cuenta el riesgo al que exponen a la entidad y basados en los criterios previamente establecidos por las mismas.
<Inciso adicionado por la Circular 8 de 2009. El nuevo texto es el siguiente:> Tratándose de las operaciones, productos o servicios que trata el numeral 4.2.2.1.1.2. del presente Capítulo y especialmente en aquellos casos en los cuales la apertura de los productos se realice sin la presencia física del cliente, el seguimiento a las operaciones que realicen las entidades vigiladas les deberá permitir administrar el riesgo de lavado de activos y de la financiación del terrorismo.
4.2.2.2.4. CONSOLIDACIÓN ELECTRÓNICA DE OPERACIONES.
Las entidades deben estar en capacidad de consolidar electrónicamente las operaciones que realicen sus clientes y usuarios a través de los productos, canales de distribución y jurisdicciones, según sea el caso.
Para dar cumplimiento a lo anterior las entidades deben como mínimo:
a) Consolidar electrónicamente por lo menos en forma mensual todas las operaciones, según su naturaleza, es decir activas, pasivas y neutras por cada uno de los clientes y usuarios.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 85 - Abril de 2007>
b) Consolidar electrónicamente por lo menos en forma mensual todos los productos, canales de distribución y jurisdicciones empleados por cada cliente y usuario.
En el caso de consolidación electrónica de operaciones de usuarios, las entidades deberán determinar cuáles de éstas resultan relevantes, teniendo en cuenta el riesgo al que exponen a la entidad y basados en los criterios previamente establecidos por las mismas.
Las etapas y los elementos del SARLAFT implementados por la entidad deben constar en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida. La documentación como mínimo deberá:
1. Contar con un respaldo físico.
2. Contar con requisitos de seguridad de forma tal que se permita su consulta sólo por quienes estén autorizados.
3. <Ordinal modificado por la Circular 10 de 2013. El nuevo texto es el siguiente:> Contar con los criterios y procesos de manejo, guarda y conservación de la misma, de conformidad con el artículo 96 del EOSF, según el cual, los libros y papeles de las instituciones vigiladas por la Superintendencia Financiera de Colombia, deberán conservarse por un período no menor de cinco años (5) años, desde la fecha del respectivo asiento, sin perjuicio de los términos establecidos en normas especiales. Vencido este lapso, podrán ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.
La documentación deberá comprender por lo menos:
a) Manual de procedimientos del SARLAFT, el cual deberá contemplar como mínimo:
I. Las políticas para la administración del riesgo de LA/FT.
II. Las metodologías para la segmentación, identificación, medición y control del riesgo de LA/FT.
III. La estructura organizacional del SARLAFT.
IV. Las funciones y responsabilidades de quienes participan en la administración del riesgo de LA/FT.
V. Las medidas necesarias para asegurar el cumplimiento de las políticas del SARLAFT.
VI. Los procedimientos para identificar, medir, controlar y monitorear el riesgo de LA/FT.
VII. Los procedimientos de control interno y revisión del SARLAFT.
VIII. Los programas de capacitación del SARLAFT.
IX. Los procedimientos establecidos en el numeral 4.2.2.
b) Los documentos y registros que evidencien la operación efectiva del SARLAFT.
c) Los informes de la junta directiva, el representante legal, el oficial de cumplimiento y los órganos de control.
4.2.4. ESTRUCTURA ORGANIZACIONAL.
Las entidades deben establecer y asignar las facultades y funciones en relación con las distintas etapas y elementos del SARLAFT.
En todo caso y sin perjuicio de las funciones asignadas por otras disposiciones, deben establecer como mínimo las siguientes funciones a cargo de los órganos de dirección, administración, control y del oficial de cumplimiento.
4.2.4.1. FUNCIONES DE LA JUNTA DIRECTIVA U ÓRGANO QUE HAGA SUS VECES.
El SARLAFT debe contemplar como mínimo las siguientes funciones a cargo de la Junta Directiva u órgano que haga sus veces. En caso de que por su naturaleza jurídica no exista dicho órgano, estas funciones corresponderán al representante legal:
a) Establecer las políticas del SARLAFT.
b) Adoptar el código de ética en relación con el SARLAFT.
c) Aprobar el manual de procedimientos y sus actualizaciones.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 86 - Abril de 2007>
d) Designar al oficial de cumplimiento y su respectivo suplente.
e) Aprobar el procedimiento para la vinculación de los clientes que pueden exponer en mayor grado a la entidad al riesgo de LA/FT, así como las instancias responsables, atendiendo que las mismas deben involucrar funcionarios de la alta gerencia.
f) Hacer seguimiento y pronunciarse periódicamente sobre el perfil de riesgo de LA/FT de la entidad.
g) Pronunciarse respecto de cada uno de los puntos que contengan los informes que presente el oficial de cumplimiento, dejando la expresa constancia en la respectiva acta.
h) Pronunciarse sobre los informes presentados por la Revisoría Fiscal y la Auditoria Interna o quien ejecute funciones similares o haga sus veces, y hacer seguimiento a las observaciones o recomendaciones adoptadas, dejando la expresa constancia en la respectiva acta.
i) Ordenar los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT.
j) Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y reporte de las operaciones sospechosas.
k) Establecer y hacer seguimiento a las metodologías para la realización de entrevistas no presenciales y/o la realización de entrevistas por personal que no tenga la condición de empleado de la entidad.
l) Aprobar las metodologías de segmentación, identificación, medición y control del SARLAFT.
m) Designar la (s) instancia (s) autorizada (s) para exonerar clientes del diligenciamiento del formulario de transacciones en efectivo.
n) Designar la (s) instancia (s) responsable (s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.
o) En el caso de grupos en los términos previstos 4.2.2.1.1.1, corresponderá además a las juntas directivas de las matrices impartir los lineamientos y adoptar las medidas necesarias para que cada una de las subordinadas del grupo aplique procedimientos similares a los implementados por la matriz, atendiendo en todo caso las características particulares de la actividad desarrollada por cada una de ellas.
4.2.4.2. FUNCIONES DEL REPRESENTANTE LEGAL.
El SARLAFT debe contemplar como mínimo las siguientes funciones a cargo del Representante Legal o quien haga sus veces:
a) Someter a aprobación de la junta directiva u órgano que haga sus veces en coordinación con el oficial de cumplimiento, el manual de procedimientos del SARLAFT y sus actualizaciones.
b) Verificar que los procedimientos establecidos, desarrollen todas las políticas adoptadas por la Junta Directiva u órgano que haga sus veces.
c) Adoptar las medidas adecuadas como resultado de la evolución de los perfiles de riesgo de los factores de riesgo y de los riesgos asociados.
d) <Literal modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Garantizar que las bases de datos y la plataforma tecnológica cumplan con los criterios y requisitos establecidos en el presente capítulo.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 87 - Abril de 2007>
e) Proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT.
f) Prestar efectivo, eficiente y oportuno apoyo al oficial de cumplimiento.
g) Garantizar que los registros utilizados en el SARLAFT cumplan con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.
h) Aprobar los criterios, metodologías y procedimientos para la selección, seguimiento y cancelación de los contratos celebrados con terceros para la realización de aquellas funciones relacionadas con el SARLAFT que pueden realizarse por éstos, de acuerdo con lo señalado en la presente circular.
4.2.4.3. REQUISITOS Y FUNCIONES DEL OFICIAL DE CUMPLIMIENTO PRINCIPAL Y SUPLENTE.
<Título modificado por la Circular 26 de 27 de junio de 2008. >
<Inciso modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> El oficial de cumplimiento debe cumplir como mínimo con los siguientes requisitos:
<Requisitos modificados por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:>
1. Ser como mínimo de segundo nivel jerárquico dentro de la entidad.
2. Tener capacidad decisoria.
3. Acreditar conocimiento en materia de administración de riesgos.
4. Estar apoyado por un equipo de trabajo humano y técnico, de acuerdo con el riesgo de LA/FT y el tamaño de la entidad.
5. No pertenecer a órganos de control ni a las áreas directamente relacionadas con las actividades previstas en el objeto social principal.
6. Ser empleado de la entidad, salvo el de los grupos financieros, en cuyo caso podrá ser empleado de la matriz. En este evento debe ser designado además por las juntas directivas de las entidades del grupo en las cuales se va desempeñar en tal calidad.
7. Estar posesionado ante la SFC.
<Inciso adicionado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> El oficial de cumplimiento suplente debe cumplir como mínimo, los requisitos establecidos en los subnumerales 2 al 7 del presente numeral.
El SARLAFT debe contemplar como mínimo las siguientes funciones a cargo del Oficial de Cumplimiento:
a) Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el SARLAFT.
b) <Inciso modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Presentar, cuando menos en forma trimestral, informes presenciales y escritos a la junta directiva u órgano que haga sus veces, en los cuales debe referirse como mínimo a los siguientes aspectos:
I. Los resultados de la gestión desarrollada.
II. El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades.
III. La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgos asociados.
IV. <Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> La efectividad de los mecanismos e instrumentos establecidos en el presente capítulo, así como de las medidas adoptadas para corregir las fallas en el SARLAFT.
V. Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces.
VI. Los documentos y pronunciamientos emanados de las entidades de control y de la Unidad Administrativa Especial de Información y Análisis Financiero – UIAF.
c) Promover la adopción de correctivos al SARLAFT.
d) Coordinar el desarrollo de programas internos de capacitación.
e) Proponer a la administración la actualización del manual de procedimientos y velar por su divulgación a los funcionarios.
f) Colaborar con la instancia designada por la Junta Directiva en el diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 88 - Abril de 2007>
g) Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, y los informes que presente el Revisor Fiscal y adoptar las medidas del caso frente a las deficiencias informadas.
h) Diseñar las metodologías de segmentación, identificación, medición y control del SARLAFT.
i) Elaborar y someter a la aprobación de la Junta Directiva o el órgano que haga sus veces, los criterios objetivos para la determinación de las operaciones sospechosas, así como aquellos para determinar cuáles de las operaciones efectuadas por usuarios serán objeto de consolidación, monitoreo y análisis de inusualidad.
No podrán contratarse con terceros las funciones asignadas al Oficial de cumplimiento, ni aquellas relacionadas con la identificación y reporte de operaciones inusuales, así como las relacionadas con la determinación y reporte de operaciones sospechosas.
Las entidades deben establecer órganos e instancias responsables de efectuar una evaluación del SARLAFT, a fin de que se puedan determinar sus fallas o debilidades e informarlas a las instancias pertinentes. Sin embargo, los órganos de control que se establezcan para el efecto no son responsables de las etapas de la administración del riesgo de LA/FT.
Los órganos de control serán por lo menos los siguientes: Revisoría Fiscal y Auditoría Interna o quien ejecute funciones similares o haga sus veces.
Sin perjuicio de las funciones asignadas en otras disposiciones al Revisor Fiscal, éste deberá elaborar un reporte trimestral dirigido a la Junta Directiva u órgano que haga sus veces, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARLAFT.
Además, deberá poner en conocimiento del oficial de cumplimiento, las inconsistencias y fallas detectadas en el SARLAFT y, en general, todo incumplimiento que detecte a las disposiciones que regulan la materia.
4.2.5.2. AUDITORÍA INTERNA O QUIEN EJECUTE FUNCIONES SIMILARES O HAGA SUS VECES.
Sin perjuicio de las funciones asignadas en otras disposiciones a la auditoría interna, o quien ejecute funciones similares o haga sus veces, ésta deberá evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT, con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, deberá informar los resultados de la evaluación al oficial de cumplimiento y a la junta directiva.
La auditoría interna, o quien ejecute funciones similares o haga sus veces, deberá realizar una revisión periódica de los procesos relacionados con las exoneraciones y parametrizaciones de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico.
4.2.6. INFRAESTRUCTURA TECNOLÓGICA.
Las entidades deben contar con la tecnología y los sistemas necesarios para garantizar la adecuada administración del riesgo de LA/FT. Para ello deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño, que cumpla como mínimo con las siguientes características:
Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 89 - Abril de 2007>
b) Consolidar las operaciones de los distintos factores de riesgo de acuerdo con los criterios establecidos por la entidad.
c) Centralizar los registros correspondientes a cada uno de los factores de riesgo y en forma particular a cada uno de los clientes.
d) Generar en forma automática los reportes internos y externos, distintos de los relativos a operaciones sospechosas, sin perjuicio de que todos los reportes a la UIAF sean enviados en forma electrónica.
4.2.7. DIVULGACIÓN DE LA INFORMACIÓN.
Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes.
En concordancia con el artículo 97 del Estatuto Orgánico del Sistema Financiero, con sus modificaciones y /o adiciones y demás disposiciones legales vigentes sobre la materia, las entidades deben suministrar al público la información necesaria con el fin de que el mercado pueda evaluar las estrategias de administración del riesgo de lavado de activos y financiación del terrorismo.
Los siguientes son los reportes mínimos que deber tener en cuenta las entidades en el diseño del SARLAFT:
Los reportes internos son de uso exclusivo de la entidad.
4.2.7.1.1. TRANSACCIONES INUSUALES.
La entidad debe prever dentro del SARLAFT los procedimientos para que el responsable de la detección de operaciones inusuales, reporte las mismas a la instancia competente de analizarlas. El reporte debe indicar las razones que determinan la calificación de la operación como inusual.
4.2.7.1.2. OPERACIONES SOSPECHOSAS.
<Inciso adicionado por la Circular 10 de 2013. El nuevo texto es el siguiente:> De conformidad con el literal d del artículo 102 del EOSF, constituye una operación sospechosa cualquier información relevante sobre manejo de activos, pasivos u otros recursos, cuya cuantía o características no guarden relación con la actividad económica de sus clientes, o sobre transacciones de sus usuarios que por su número, por las cantidades transadas o por las características particulares de las mismas, puedan conducir razonablemente a sospechar que los mismos están usando a la entidad para transferir, manejar, aprovechar o invertir dineros o recursos provenientes de actividades delictivas o destinados a su financiación.
El SARLAFT debe prever los procedimientos de reporte al funcionario o instancia competente, con las razones objetivas que ameritaron tal calificación.
4.2.7.1.3. REPORTES DE LA ETAPA DE MONITOREO.
Como resultado del monitoreo deben elaborarse reportes trimestrales que permitan establecer el perfil de riesgo residual de la entidad, la evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y de los riesgos asociados.
Los administradores de la entidad en su informe de gestión al cierre de cada ejercicio contable, deben incluir una indicación sobre la gestión adelantada en materia de administración de riesgo de LA/FT.
<Numeral modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Los reportes externos deben ser enviados a la UIAF y/o a las demás autoridades competentes.
4.2.7.2.1. REPORTE DE OPERACIONES SOSPECHOSAS (ROS).
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 89 - Abril de 2007>
<Inciso modificado por la Circular 19 de 2010. El nuevo texto es el siguiente:> Corresponde a las entidades reportar a la UIAF en forma inmediata las operaciones que determinen como sospechosas, de acuerdo con el instructivo y la proforma del Anexo I del presente capítulo. Así mismo, las entidades deberán reportar las operaciones intentadas o rechazadas que contengan características que les otorguen el carácter de sospechosas. También deben reportarse como operaciones sospechosas, las tentativas de vinculación comercial. Los reportes sobre operaciones sospechosas deben ajustarse a los criterios objetivos establecidos por la entidad.
En estos casos no se requiere que la entidad tenga certeza de que se trata de una actividad delictiva, ni identificar el tipo penal o que los recursos involucrados provienen de tales actividades.
<Inciso modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> En el evento en que durante el respectivo mes, las entidades no hayan determinado la existencia de operaciones sospechosas, deben informar este hecho a la citada Unidad, de acuerdo con las instrucciones establecidas en el instructivo del Anexo I del presente capítulo.
En el caso de almacenes generales de depósito, los procedimientos de determinación de operaciones sospechosas también deben versar sobre aquellas sustancias importadas y/o almacenadas en la entidad.
<Inciso eliminado por la Circular 26 de 27 de junio de 2008>
De acuerdo con lo consagrado en el artículo 42 de la Ley 190 de 1995, el reporte de operaciones sospechosas no dará lugar a ningún tipo de responsabilidad para la persona jurídica informante, ni para los directivos o empleados de la entidad que hayan participado en su detección y/o reporte.
4.2.7.2.2. REPORTE DE TRANSACCIONES EN EFECTIVO.
<Numeral modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:>
Además de lo dispuesto en el numeral 1º del artículo 103 EOSF, el cual impone a las entidades vigiladas la obligación de dejar constancia en formulario especialmente diseñado para el efecto, de la información relativa a las transacciones en efectivo cuyo valor sea igual o superior a las cuantías establecidas en el instructivo del Anexo II, las entidades deben remitir a la UIAF el informe mensual sobre transacciones en efectivo diligenciando la proforma citada, de acuerdo con los montos e indicaciones señaladas en su correspondiente instructivo, ambos contenidos en el Anexo II del presente capítulo.
Se entenderá por transacciones en efectivo, todas aquellas transacciones que en desarrollo del giro ordinario de los negocios de los clientes, involucren entrega o recibo de dinero en billetes y/o en monedas nacional o extranjera.
El reporte de transacciones en efectivo se compone de (i) Reporte de transacciones múltiples en efectivo y (ii) Reporte de transacciones individuales en efectivo.
Se encuentran exceptuadas del reporte de transacciones múltiples en efectivo, las siguientes:
a) Recaudo de impuestos nacionales, distritales y municipales.
b) Recaudo de Contribución de Valorización
c) Recaudo de aportes para salud y pensiones obligatorias
d) Recaudo de servicios públicos domiciliarios
e) Recaudo de telefonía móvil celular
f) Recaudo de aportes al sistema de riesgos profesionales (ARP)
A su turno, se encuentran exceptuadas del reporte de transacciones individuales en efectivo, las transacciones enunciadas en los literales c), d), e) y f) del párrafo anterior.
Cuando se celebre un contrato de uso de red entre un establecimiento de crédito y alguna entidad autorizada en la Ley 389 de 1997 y el Decreto Reglamentario 2805 del mismo año, o se acuerde algún mecanismo para recaudar o manejar efectivo, el reporte de transacciones individuales debe ser remitido tanto por la entidad usuaria de la red, como por el establecimiento que presta el servicio. En este último caso, el reporte debe realizarse a nombre del quien fue efectuada la transacción en efectivo, esto es, la entidad usuaria de la red.
4.2.7.2.3. REPORTE DE CLIENTES EXONERADOS DEL REPORTE DE TRANSACCIONES EN EFECTIVO.
<Numeral modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Las entidades deben informar a la UIAF los nombres e identidades de todos los clientes exonerados del reporte a que se refiere el anterior numeral, diligenciando la proforma del Anexo III, de acuerdo con las indicaciones señaladas en su correspondiente instructivo.
Para tal efecto, se deben remitir los nombres e identidades todos los clientes exonerados del reporte de transacciones en efectivo.
Copia del estudio que soporte la existencia de las condiciones de exoneración debe ser conservado y archivado por la entidad de manera centralizada.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 91 - Abril de 2007>
4.2.7.2.4. REPORTE SOBRE OPERACIONES DE TRANSFERENCIA, REMESA, COMPRA Y VENTA DE DIVISAS.
<Numeral modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:> Las entidades deben remitir a la UIAF la información correspondiente a las siguientes operaciones, de acuerdo con las instrucciones establecidas en el instructivo y la proforma del Anexo IV del presente capítulo:
(i) Operaciones individuales de transferencia de divisas desde o hacia el exterior. Es decir, aquellas operaciones en virtud de las cuales salen o ingresan divisas al país mediante movimientos electrónicos o contables. Los intermediarios del mercado cambiario, también deben reportar bajo este concepto las operaciones de monetización de divisas desde o hacia el exterior.
(ii) Remesas de divisas desde o hacia el exterior, las cuales corresponden a las operaciones de traslado físico de divisas desde o hacia el exterior.
(iii) Operaciones de compra y venta de divisas por ventanilla. Corresponden a las operaciones de compra y venta de divisas efectuadas por ventanilla, realizadas por los intermediarios del mercado cambiario en las modalidades de efectivo o cheque, las cuales no implican movimiento electrónico de divisas.
Para tales efectos, las entidades deben incluir en el reporte:
a. Las divisas que deben canalizarse en forma obligatoria a través de los intermediarios autorizados, así como aquellas que, no obstante encontrarse exentas de dicha obligación, se canalicen voluntariamente a través de los mismos; y
b. Las divisas no monetizadas. Para los efectos de dicho reporte, se entiende por divisas no monetizadas, aquellas que no se han convertido a moneda legal colombiana.
Los intermediarios del mercado cambiario deben reportar bajo el concepto de transferencias internacionales, las operaciones de recepción o envío de giros de divisas desde o hacia el exterior. No se deben reportar operaciones de derivados sobre divisas, ni aquellas celebradas con el Banco de la República o con otras entidades vigiladas.
<Numeral modificado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:>
Las entidades vigiladas que administren o representen franquicias como: Visa, Diners, Master Card, American Express, Credencial, entre otras, deberán reportar a la UIAF de acuerdo con las indicaciones establecidas en el correspondiente instructivo del Anexo V, las operaciones compensadas con tarjetas crédito o debito expedidas en el exterior y realizadas a través de cajeros electrónicos o sistemas de pago de bajo valor.
4.2.7.2.6. REPORTE SOBRE PRODUCTOS OFRECIDOS POR LAS ENTIDADES VIGILADAS.
<Numeral adicionado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:>
<Inciso modificado por la Circular 10 de 2013. El nuevo texto es el siguiente:> Las entidades vigiladas deberán remitir a la UIAF la información correspondiente a la existencia de todos los productos vigentes, activos o inactivos, que representen operaciones activas y/o pasivas, diligenciando la proforma del Anexo VI del presente capítulo, de acuerdo con las indicaciones establecidas en su correspondiente instructivo.
Se exceptúan del presente reporte, los productos constituidos con entidades vigiladas por la Superintendencia Financiera de Colombia incluyendo el Banco de la República.
4.2.7.2.7. REPORTES DE LOS ALMACENES GENERALES DE DEPÓSITO A OTRAS AUTORIDADES.
<Numeral adicionado por la Circular 61 de 2007. Reenumerado por la Circular 26 de 27 de junio de 2008. El nuevo texto es el siguiente:>
De acuerdo con las normas legales, los almacenes generales de depósito deben efectuar un reporte sobre operaciones sospechosas vinculadas con sustancias almacenadas, y remitirlo a la Sección de Control Químico de la Dirección Antinarcóticos de la Policía Nacional, destacando los elementos esenciales en los que se funda la presunción.
4.2.7.2.8. REPORTE DE PATRIMONIOS AUTÓNOMOS ADMINISTRADOS POR ENTIDADES VIGILADAS. <Numeral adicionado por la Circular 10 de 2013. El nuevo texto es el siguiente:> Las sociedades fiduciarias que administren patrimonios autónomos en virtud de los proyectos dispuestos por la ley 1508 de 2012, una vez constituido el patrimonio autónomo, deberán dentro de los tres (3) días hábiles siguientes reportar a la UIAF el nombre del fideicomitente, del beneficiario, el valor de los recursos administrados a través del patrimonio autónomo constituido por el contratista, diligenciando la proforma del anexo VII del presente capítulo, de acuerdo con las indicaciones establecidas en el correspondiente instructivo.
4.2.7.2.9. REPORTE DE INFORMACIÓN SOBRE CAMPAÑAS POLÍTICAS Y PARTIDOS POLÍTICOS. <Numeral adicionado por la Circular 18 de 2013. El nuevo texto es el siguiente:> Sin perjuicio de lo señalado en el numeral 4.2.2.1.1.5 del presente capítulo, las entidades vigiladas que manejen productos y servicios financieros para las campañas políticas y partidos políticos, deben reportar a la UIAF la información de que trata el Anexo VIII del presente capítulo, de conformidad con el instructivo que allí se incorpora.
Las entidades deben diseñar, programar y coordinar planes de capacitación sobre el SARLAFT dirigidos a todas las áreas y funcionarios de la entidad.
Tales programas deben, cuando menos, cumplir con las siguientes condiciones:
a) Periodicidad anual.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 92 - Abril de 2007>
b) <Literal modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:> Ser impartidos durante el proceso de inducción de los nuevos funcionarios y a los terceros (no empleados de la entidad) cuando sea procedente su contratación en los términos del presente capítulo.
c) Ser constantemente revisados y actualizados.
d) Contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos.
e) Señalar el alcance de estos programas, los medios que se emplearán para ejecutarlos y los procedimientos que se adelantarán para evaluarlos. Los programas deben constar por escrito.
5. REGLAS ESPECIALES PARA TRANSFERENCIAS. <Numeral modificado por la Circular 61 de 2007. El nuevo texto es el siguiente:>
En las transferencias de fondos realizadas dentro del territorio nacional, así como en las transferencias internacionales, es decir, aquellas operaciones en virtud de las cuales salen o ingresan divisas al país, debe capturarse y conservarse la información relacionada con el ordenante y con el beneficiario de acuerdo con las instrucciones del presente numeral.
En toda transferencia se debe capturar y conservar toda la información que aparezca en el mensaje relacionada con el/los ordenante(s) y el/los beneficiario(s).
Las transferencias que se realicen a través de entidades vigiladas por la SFC y en las cuales el ordenante y el beneficiario sean clientes de las mismas se encuentran exceptuadas del presente numeral.
<Inciso modificado por la Circular 53 de 2009. El nuevo texto es el siguiente:> Quien realice como ordenante, o reciba como beneficiario, tres (3) o más operaciones de transferencia en el trimestre, o cinco (5) o más en el semestre, o seis (6) o más en un año, cuyo monto individual sea superior a medio salario mínimo legal mensual vigente, se considerará como cliente.
<Inciso adicionado por la Circular 53 de 2009. El nuevo texto es el siguiente:> Así mismo, quien realice como ordenante o reciba como beneficiario más de tres (3) operaciones de transferencia en el trimestre, más de seis (6) al semestre, o más de doce (12) en un año, cuyo monto individual sea igual o inferior a medio salario mínimo legal mensual vigente, se considerará como cliente.
5.1. TRANSFERENCIAS INTERNACIONALES. <Numeral 5. modificado por la Circular 61 de 2007>
5.1.1. TRANSFERENCIAS REALIZADAS A TRAVÉS DE SWIFT. <Numeral 5. modificado por la Circular 61 de 2007>
5.1.1.1. Información del ordenante
La siguiente es la información mínima del ordenante que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: nombre/s y apellido/s, dirección, país, ciudad y entidad financiera originadora.
En el caso en que el mensaje relacionado contenga información adicional debe capturarse tal información.
5.1.1.2. Información del beneficiario
La siguiente es la información mínima del beneficiario que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: nombre/s y apellido/s, dirección, país y ciudad.
5.1.1.3. Pagos de transferencias
Al momento de pagar transferencias del exterior, las entidades vigiladas deben exigir a las personas que sin ser clientes sean beneficiarias de la transferencia la siguiente información:
· En el caso de personas naturales: nombre/s y apellido/s; tipo y número de identificación, domicilio y número telefónico.
· En el caso de personas jurídicas: Nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal, domicilio y número telefónico.
Cuando se actúe a través de mandatario deberá exigirse además el nombre/s y apellido/s y tipo y número de identificación.
5.1.2. TRANSFERENCIAS REALIZADAS A TRAVÉS DE MONEY REMITTERS O CUALQUIER OTRO SISTEMA. <Numeral 5. modificado por la Circular 61 de 2007>
5.1.2.1. Información del ordenante
La siguiente es la información mínima del ordenante que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: nombres y apellidos, país, ciudad y entidad originadora/Money Remitters.
En el caso en que el mensaje relacionado contenga información adicional debe capturarse tal información.
5.1.2.2. Pagos de transferencias
Al momento de pagar transferencias del exterior, las entidades vigiladas deben exigir a las personas que sin ser clientes sean beneficiarias de la transferencia, la siguiente información:
· En el caso de personas naturales: nombre/s y apellido/s; tipo y número de identificación, domicilio y número telefónico.
· En el caso de personas jurídicas: Nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal, domicilio y número telefónico.
Cuando se actúe a través de mandatario deberá exigirse además el nombre/s y apellido/s y tipo y número de identificación.
5.2. TRANSFERENCIAS NACIONALES. <Numeral 5. modificado por la Circular 61 de 2007>
En el caso de transferencias nacionales, la siguiente es la información mínima del ordenante y beneficiario que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago:
· En el caso de personas naturales: nombre/s y apellido/s; tipo y número de identificación, domicilio, número telefónico y ciudad.
· En el caso de personas jurídicas: Nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal, domicilio, número telefónico y ciudad.
Cuando se actúe a través de mandatario deberá exigirse además el nombre/s y apellido/s y tipo y número de identificación.
<Inciso modificado por la Circular 13 de 2013. El nuevo texto es el siguiente:> Tratándose de las cuentas de ahorro electrónicas de que trata el Decreto 4590 de 2008 y demás normas que lo modifiquen, sustituyan o adicionen, así como las cuentas de ahorro con trámite simplificado para su apertura a que se refieren el numeral 6° del Capítulo IV del Título II de la Circular Básica Jurídica, la información mínima del ordenante que deberá permanecer con la transferencia o mensaje relacionado a través de la cadena de pago, será el nombre, el número de identificación y la fecha de expedición del respectivo documento de identidad.
<Inciso adicionado por la Circular 7 de 2013. El nuevo texto es el siguiente:> En el caso de los depósitos de dinero electrónico de que tratan los numerales 7.1 y 7.2 del Capítulo Cuarto del Título II de la Circular Básica Jurídica, la información mínima del ordenante que deberá permanecer con la transferencia o mensaje será: el nombre, el número de identificación y la fecha de expedición del respectivo documento de identidad.
<TÍTULO I - CAPÍTULO DÉCIMO PRIMERO - Instrucciones Relativas a la Administración del riesgo de lavado de activos y de la financiación del terrorismo - Circular Externa 022 de 2007 - Página 93 - Abril de 2007>
La SFC califica como práctica insegura y no autorizada, conforme lo establecido en el literal a. del numeral 5º del artículo 326 EOSF, la realización de operaciones sin el cumplimiento de las disposiciones contenidas en el presente capítulo.
REQUERIMIENTOS MÍNIMOS DE SEGURIDAD Y CALIDAD PARA LA REALIZACIÓN DE OPERACIONES.
1. ÁMBITO DE APLICACIÓN. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Las instrucciones de que trata el presente capitulo deberán ser adoptadas por todas las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC), con excepción de las siguientes: el Fondo de Garantías de Instituciones Financieras “Fogafín”, el Fondo de Garantías de Entidades Cooperativas “Fogacoop”, el Fondo Nacional de Garantías S.A. “F.N.G. S.A.”, el Fondo Financiero de Proyectos de Desarrollo “Fonade”, los Almacenes Generales de Depósito, los Fondos de Garantía que se constituyan en el mercado público de valores, los Fondos Mutuos de Inversión, los Fondos Ganaderos, las Sociedades Calificadoras de Valores y/o Riesgo, las Oficinas de Representación de Instituciones Financieras y de Reaseguros del Exterior, los Corredores de Seguros y de Reaseguros, los Comisionistas Independientes de Valores, las Sociedades Comisionistas de Bolsas Agropecuarias y los Organismos de Autorregulación.
Sin embargo, las entidades exceptuadas de la aplicación del presente capítulo citadas en el párrafo anterior, deberán dar cumplimiento a los criterios de seguridad y calidad de la información, establecidos en los numerales 2.1. y 2.2 del presente capítulo.
El numeral 3.1.13 “Elaborar el perfil de las costumbres transacciones de cada uno de sus clientes …” deberá ser aplicado únicamente por los establecimientos de crédito, sin perjuicio de que las demás entidades, cuando lo consideren conveniente, pongan en práctica las instrucciones allí contenidas.
El numeral 7 “Análisis de vulnerabilidades” deberá ser aplicado únicamente por los establecimientos de crédito y los administradores de sistemas de pago de bajo valor, sin perjuicio de que las demás entidades, cuando lo consideren conveniente, pongan en práctica las instrucciones allí contenidas.
<Inciso modificado por la Circular 26 de 2011. El nuevo texto es el siguiente:> Las entidades vigiladas que presten sus servicios a través de corresponsales deberán sujetarse, para el uso de este canal de distribución, a las instrucciones contenidas en el capítulo décimo quinto de este título.
En todo caso las entidades vigiladas destinatarias de las instrucciones del presente numeral, deberán implementar los requerimientos exigidos atendiendo la naturaleza, objeto social y demás características particulares de su actividad.
2. DEFINICIONES Y CRITERIOS DE SEGURIDAD Y CALIDAD. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Para el cumplimiento de los requerimientos mínimos de seguridad y calidad de la información que se maneja a través de canales e instrumentos para la realización de operaciones, las entidades deberán tener en cuenta las siguientes definiciones y criterios:
2.1. CRITERIOS DE SEGURIDAD DE LA INFORMACIÓN. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
a) Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada.
b) Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.
c) Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.
2.2. CRITERIOS DE CALIDAD DE LA INFORMACIÓN. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
a) Efectividad: La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente.
b) Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.
c) Confiabilidad: La información debe ser la apropiada para la administración de la entidad y el cumplimiento de sus obligaciones.
2.3. CANALES DE DISTRIBUCIÓN DE SERVICIOS FINANCIEROS. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
<Inciso modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Para los efectos del presente capítulo son canales de distribución de servicios financieros, entre otros, los siguientes:
a) Oficinas.
b) Cajeros Automáticos (ATM).
c) Receptores de cheques
d) Receptores de dinero en efectivo
e) POS (incluye PIN Pad).
f) Sistemas de Audio Respuesta (IVR).
g) Centro de atención telefónica (Call Center, Contact Center).
h) Sistemas de acceso remoto para clientes (RAS).
i) Internet.
j) Banca móvil. <Literal modificado por la Circular 42 de 2012>
2.4. INSTRUMENTOS PARA LA REALIZACIÓN DE OPERACIONES. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Son los elementos con los que se imparten las órdenes para la realización de operaciones a través de los canales de distribución, los cuales son, entre otros, los siguientes:
a) Tarjetas débito.
b) Tarjetas crédito.
c) Dispositivos móviles. <Literal modificado por la Circular 42 de 2012>
d) Órdenes electrónicas para la transferencia de fondos.
2.5. VULNERABILIDAD INFORMÁTICA.
<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Ausencia o deficiencia de los controles informáticos que permiten el acceso no autorizado a los canales de distribución o a los sistemas informáticos de la entidad.
<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Técnicas de codificación para protección de la información que utilizan algoritmos reconocidos internacionalmente, brindando al menos los niveles de seguridad ofrecidos por 3DES o AES.
2.7. SISTEMA DE ACCESO REMOTO (RAS).
<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Acceso brindado por las entidades vigiladas a sus clientes para la realización de operaciones mediante el uso de aplicaciones personalizadas, utilizando generalmente enlaces dedicados.
<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:>
2.8.1. Operaciones no monetarias
Son las acciones a través de las cuales se desarrollan, ejecutan o materializan los productos o servicios que prestan las entidades a sus clientes o usuarios y que no conllevan movimiento, manejo o transferencia de dinero.
2.8.2. Operaciones monetarias
Son las acciones que implican o conllevan movimiento, manejo o transferencia de dinero.
2.9. CLIENTE. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Es toda persona natural o jurídica con la cual la entidad establece y mantiene una relación contractual o legal para el suministro de cualquier producto o servicio propio de su actividad.
2.10. USUARIO. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Aquella persona natural o jurídica a la que, sin ser cliente, la entidad le presta un servicio.
<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Son las operaciones legalmente autorizadas que pueden adelantar las entidades vigiladas mediante la celebración de un contrato o que tienen origen en la ley.
2.12. SERVICIO. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Es toda aquella interacción de las entidades sometidas a inspección y vigilancia de la SFC con sus clientes y usuarios para el desarrollo de su objeto social.
2.13. DISPOSITIVO. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Mecanismo, máquina o aparato dispuesto para producir una función determinada.
2.14. INFORMACIÓN CONFIDENCIAL. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
<Inciso modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Atendiendo lo dispuesto en el artículo 15 de la Constitución Política de Colombia y sin perjuicio de lo establecido en el numeral 4 Capítulo Noveno de la presente Circular y demás normas aplicables sobre la materia, se considerará confidencial para efectos de la aplicación del presente Capitulo, toda aquella información amparada por la reserva bancaria.
Las entidades podrán clasificar como confidencial otro tipo de información. Esta clasificación deberá estar debidamente documentada y a disposición de la Superintendencia Financiera de Colombia.
2.15. AUTENTICACIÓN. <Numeral adicionado por la Circular 42 de 2012. El nuevo texto es el siguiente:>
Conjunto de técnicas y procedimientos utilizados para verificar la identidad de un cliente, entidad o usuario. Los factores de autenticación son: algo que se sabe, algo que se tiene, algo que se es.
2.16. MECANISMOS FUERTES DE AUTENTICACIÓN. <Numeral adicionado por la Circular 42 de 2012. El nuevo texto es el siguiente:>
Se entenderán como mecanismos fuertes de autenticación los siguientes:
2.16.1. Biometría.
2.16.2. Certificados de firma digital.
2.16.3 OTP (One Time Password), en combinación con un segundo factor de autenticación.
2.16.4. Tarjetas que cumplan el estándar EMV, en combinación con un segundo factor de autenticación.
2.16.5. Registro y validación de algunas características de los computadores o equipos móviles desde los cuales se realizarán las operaciones, en combinación con un segundo factor de autenticación.
2.17. BANCA MÓVIL. <Numeral adicionado por la Circular 42 de 2012. El nuevo texto es el siguiente:>
Canal de banca electrónica en el cual el dispositivo móvil es utilizado para realizar operaciones y su número de línea es asociado al servicio.
Los servicios que se presten a través de dispositivos móviles y utilicen navegadores Web, son considerados banca por Internet.
2.18. PROVEEDORES DE REDES Y SERVICIOS DE TELECOMUNICACIONES. <Numeral adicionado por la Circular 42 de 2012. El nuevo texto es el siguiente:>
Empresas reguladas por la Comisión de Regulación de Comunicaciones y debidamente habilitadas por el Ministerio de Tecnologías de la Información y las Comunicaciones, responsables de la operación de redes y/o de la provisión de servicios de telecomunicaciones a terceros (de acuerdo a lo establecido en la resolución 202 de 2010 art.1).
3. OBLIGACIONES GENERALES. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
En desarrollo de lo dispuesto en el presente Capitulo, las entidades deberán incluir en sus políticas y procedimientos relativos a la administración de la información, los criterios de que tratan los numerales 2.1 y 2.2.
Adicionalmente, para dar aplicación a dichos criterios las entidades deberán adoptar, al menos, las medidas que se relacionan a continuación:
3.1. SEGURIDAD Y CALIDAD. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
<Inciso modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> En desarrollo de los criterios de seguridad y calidad las entidades deberán cumplir, como mínimo, con los siguientes requerimientos:
3.1.1. Disponer de hardware, software y equipos de telecomunicaciones, así como de los procedimientos y controles necesarios, que permitan prestar los servicios y manejar la información en condiciones de seguridad y calidad.
3.1.2. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Gestionar la seguridad de la información, para lo cual podrán tener como referencia el estándar ISO 27000, o el que lo sustituya.
3.1.3. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Disponer que el envío de información confidencial y de los instrumentos para la realización de operaciones a sus clientes, se haga en condiciones de seguridad. Cuando dicha información se envíe como parte de, o adjunta a un correo electrónico, ésta deberá estar cifrada.
3.1.4. Dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de la entidad.
3.1.5. Velar porque la información enviada a los clientes esté libre de software malicioso.
3.1.6. Proteger las claves de acceso a los sistemas de información. En desarrollo de esta obligación, las entidades deberán evitar el uso de claves compartidas, genéricas o para grupos. La identificación y autenticación en los dispositivos y sistemas de cómputo de las entidades deberá ser única y personalizada.
3.1.7. <Numeral modificado por la Circular 42 de 2012. El nuevo texto es el siguiente:> Dotar a sus terminales, equipos de cómputo y redes locales de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones.
3.1.8. Velar porque los niveles de seguridad de los elementos usados en los canales no se vean disminuidos durante toda su vida útil.
3.1.9. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Ofrecer los mecanismos necesarios para que los clientes tengan la posibilidad de personalizar las condiciones bajo las cuales realicen operaciones monetarias por los diferentes canales, siempre y cuando éstos lo permitan. En estos eventos se puede permitir que el cliente inscriba las cuentas a las cuales realizará transferencias, registre las direcciones IP fijas y el o los números de telefonía móvil desde los cuales operará.
3.1.10.<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Ofrecer la posibilidad de manejar contraseñas diferentes para los instrumentos o canales, en caso de que éstos lo requieran y/o lo permitan.
3.1.11.<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Establecer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo sólo pueda ser realizado por personal debidamente autorizado.
3.1.12.<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Establecer procedimientos para el bloqueo de canales o de instrumentos para la realización de operaciones, cuando existan situaciones o hechos que lo ameriten o después de un número de intentos de accesos fallidos por parte de un cliente, así como las medidas operativas y de seguridad para la reactivación de los mismos.
3.1.13.<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Elaborar el perfil de las costumbres transaccionales de cada uno de sus clientes y definir procedimientos para la confirmación oportuna de las operaciones monetarias que no correspondan a sus hábitos.
3.1.14.<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Realizar una adecuada segregación de funciones del personal que administre, opere, mantenga y, en general, tenga la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales e instrumentos para la realización de operaciones. En desarrollo de lo anterior, las entidades deberán establecer los procedimientos y controles para el alistamiento, transporte, instalación y mantenimiento de los dispositivos usados en los canales de distribución de servicios.
3.1.15.Definir los procedimientos y medidas que se deberán ejecutar cuando se encuentre evidencia de la alteración de los dispositivos usados en los canales de distribución de servicios financieros.
3.1.16.Sincronizar todos los relojes de los sistemas de información de la entidad involucrados en los canales de distribución. Se deberá tener como referencia la hora oficial suministrada por la Superintendencia de Industria y Comercio.
3.1.17.<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Tener en operación sólo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros, necesarios para el desarrollo de su actividad.
3.1.18.Contar con controles y alarmas que informen sobre el estado de los canales, y además permitan identificar y corregir las fallas oportunamente.
3.1.19.Incluir en el informe de gestión a que se refiere el articulo 47 de la ley 222 de 1995 y sus modificaciones, un análisis sobre el cumplimiento de las obligaciones enumeradas en la presente Circular.
3.1.20.<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Considerar en sus políticas y procedimientos relativos a los canales de distribución, la atención a personas con discapacidades físicas, con el fin de que no se vea menoscabada la seguridad de su información.
3.2. TERCERIZACIÓN-OUTSOURCING. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Las entidades que contraten bajo la modalidad de outsourcing o tercerización, a personas naturales o jurídicas, para la atención parcial o total de los distintos canales o de los dispositivos usados en ellos, o que en desarrollo de su actividad tengan acceso a información confidencial de la entidad o de sus clientes, deberán cumplir, como mínimo, con los siguientes requerimientos:
3.2.1. Definir los criterios y procedimientos a partir de los cuales se seleccionarán los terceros y los servicios que serán atendidos por ellos.
3.2.2. Incluir en los contratos que se celebren con terceros o en aquellos que se prorroguen a partir de la entrada en vigencia del presente Capitulo, por lo menos, los siguientes aspectos:
a) Niveles de servicio y operación.
b) Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas.
c) Propiedad de la información.
d) Restricciones sobre el software empleado.
e) Normas de seguridad informática y física a ser aplicadas.
f) <Literal modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de dispositivos o información.
g) Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el servicio.
<Inciso adicionado por la Circular 42 de 2012. El nuevo texto es el siguiente:> Las entidades contarán con los procedimientos necesarios para verificar el cumplimiento de las obligaciones señaladas en el presente numeral, los cuales deberán ser informados previamente a la auditoría interna o quien ejerza sus funciones.
3.2.3. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deberán verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.
3.2.4. Establecer procedimientos que permitan identificar físicamente, de manera inequívoca, a los funcionarios de los terceros contratados.
3.2.5. Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados.
3.3. DOCUMENTACIÓN. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
En materia de documentación las entidades deben cumplir, como mínimo, con los siguientes requerimientos:
3.3.1. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> 1.1.1. Dejar constancia de todas las operaciones que se realicen a través de los distintos canales, la cual deberá contener cuando menos lo siguiente: fecha, hora, código del dispositivo (para operaciones realizadas a través de IVR: el número del teléfono desde el cual se hizo la llamada; para operaciones por Internet: la dirección IP desde la cual se hizo la misma; para operaciones con dispositivos móviles, el número desde el cual se hizo la conexión), cuenta(s), número de la operación y costo de la misma para el cliente o usuario.
En los casos de operaciones que obedecen a convenios, se dejará constancia del costo al que se refiere el presente numeral, cuando ello sea posible.
3.3.2. Velar por que los órganos de control, incluyan en sus informes la evaluación acerca del cumplimiento de los procedimientos, controles y seguridades, establecidos por la entidad y las normas vigentes, para la prestación de los servicios a los clientes y usuarios, a través de los diferentes canales de distribución.
3.3.3. <Numeral modificado por la Circular 42 de 2012. El nuevo texto es el siguiente:> Generar informes trimestrales sobre la disponibilidad y número de operaciones realizadas en cada uno de los canales de distribución. Esta información deberá ser conservada por un término de dos (2) años.
3.3.4. Cuando a través de los distintos canales se pidan y se realicen donaciones, se deberá generar y entregar un soporte incluyendo el valor de la donación y el nombre del beneficiario.
3.3.5. Conservar todos los soportes y documentos donde se hayan establecido los compromisos, tanto de las entidades como de sus clientes y las condiciones bajo las cuales éstas prestarán sus servicios. Se debe dejar evidencia documentada de que los clientes las han conocido y aceptado. Esta información deberá ser conservada por lo menos por dos (2) años, contados a partir de la fecha de terminación de la relación contractual o en caso de que la información sea objeto o soporte de una reclamación o queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
3.3.6. Llevar un registro de las consultas realizadas por los funcionarios de la entidad sobre la información confidencial de los clientes, que contenga al menos lo siguiente: identificación del funcionario que realizó la consulta, canal utilizado, identificación del equipo, fecha y hora. En desarrollo de lo anterior, se deberán establecer mecanismos que restrinjan el acceso a dicha información, para que solo pueda ser usada por el personal que lo requiera en función de su trabajo.
3.3.7. Llevar el registro de las actividades adelantadas sobre los dispositivos finales a cargo de la entidad, usados en los canales de distribución de servicios, cuando se realice su alistamiento, transporte, mantenimiento, instalación y activación.
3.3.8. Dejar constancia del cumplimiento de la obligación establecida en el numeral 3.4.4.
3.3.9. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Grabar las llamadas realizadas por los clientes a los centros de atención telefónica cuando consulten o actualicen su información.
3.3.10. La información a que se refieren los numerales 3.3.1, 3.3.6 y 3.3.9 deberá ser conservada por lo menos por dos (2) años. En el caso en que la información respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
3.4. DIVULGACIÓN DE INFORMACIÓN. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
En materia de divulgación de información las entidades deberán cumplir, como mínimo, con los siguientes requerimientos:
3.4.1. En concordancia con lo dispuesto en el artículo 97 del E.O.S.F., suministrar a los clientes información clara, completa y oportuna de los productos, servicios y operaciones.
3.4.2. Dar a conocer a sus clientes y usuarios, por el respectivo canal y en forma previa a la realización de la operación, el costo de la misma, si lo hay, brindándoles la posibilidad de efectuarla o no. Tratándose de cajeros automáticos la obligación solo aplica para operaciones realizadas en el territorio nacional y cuyo autorizador tenga domicilio en Colombia.
3.4.3. Establecer las condiciones bajo las cuales los clientes podrán ser informados en línea acerca de las operaciones realizadas con sus productos.
3.4.4. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Informar adecuadamente a los clientes respecto de las medidas de seguridad que deberán tener en cuenta para la realización de operaciones por cada canal, así como los procedimientos para el bloqueo, inactivación, reactivación y cancelación de los productos y servicios ofrecidos.
3.4.5. Establecer y publicar por los canales de distribución, en los que sea posible, las medidas de seguridad que deberá adoptar el cliente para el uso de los mismos.
3.4.6. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> 1.1.1. Diseñar procedimientos para dar a conocer a los clientes, usuarios y funcionarios, los riesgos derivados del uso de los diferentes canales e instrumentos para la realización de operaciones.
3.4.7. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Generar un soporte al momento de la realización de cada operación monetaria. Dicho soporte deberá contener al menos la siguiente información: fecha, hora (hora y minuto), código del dispositivo (para Internet: la dirección IP desde la cual se hizo la misma; para dispositivos móviles: el número desde el cual se hizo la conexión), número de la operación, costo para el cliente o usuario, tipo de operación, entidades involucradas (si a ello hay lugar) y número de las cuentas que afectan. Se deberán ocultar los números de las cuentas con excepción de los últimos cuatro (4) caracteres, salvo cuando se trate de la cuenta que recibe una transferencia. Cuando no se pueda generar el soporte, se deberá advertir previamente al cliente o usuario de esta situación. Para el caso de IVR y dispositivos móviles se entenderá cumplido el requisito establecido en este numeral cuando se informe el número de la operación. En relación con el costo de la operación y tratándose de cajeros automáticos, la obligación sólo aplica para operaciones realizadas en el territorio nacional y cuyo autorizador tenga domicilio en Colombia. Tratándose de pagos inferiores a dos (2) salarios mínimos legales diarios vigentes SMLDV, no será obligatorio la generación del soporte al que se refiere el presente numeral.
3.4.8. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Dentro de los procedimiento de cancelación o terminación de un producto, siempre que el cliente lo solicite, las entidades deberán entregar constancia en la que se advierta encontrarse a paz y salvo por todo concepto, asegurándose que los futuros reportes a los operadores de bancos de datos de que trata la Ley 1266 de 2008 sean consistentes con su estado de cuenta. Tratándose de tarjetas de crédito dicha constancia deberá entregarse al cliente en un tiempo máximo de cuarenta y cinco (45) días, contados a partir de la fecha de solicitud de la cancelación.
4. OBLIGACIONES ADICIONALES POR TIPO DE CANAL. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
4.1. OFICINAS. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
<Inciso modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Para las oficinas donde se realicen operaciones monetarias las entidades deberán cumplir, como mínimo, con los siguientes requerimientos:
4.1.1. Los sistemas informáticos empleados para la prestación de servicios en las oficinas deben contar con soporte por parte del fabricante o proveedor.
4.1.2. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Los sistemas operacionales de los equipos empleados en las oficinas deben cumplir con niveles de seguridad adecuados que garanticen protección de acceso controlado.
4.1.3. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Contar con cámaras de video, las cuales deben cubrir al menos el acceso principal y las áreas de atención al público. Las imágenes deberán ser conservadas por lo menos ocho (8) meses o en el caso en que la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
4.1.4. Disponer de los mecanismos necesarios para evitar que personas no autorizadas atiendan a los clientes o usuarios en nombre de la entidad.
4.1.5. La información que viaja entre las oficinas y los sitios centrales de las entidades deberá estar cifrada usando hardware de propósito específico, o software, o una combinación de los anteriores. Para los Establecimientos de Crédito el hardware o software empleados deberán ser totalmente separados e independientes de cualquier otro dispositivo o elemento de procesamiento de información, de seguridad informática, de transmisión y/o recepción de datos, de comunicaciones, de conmutación, de enrutamiento, de gateways, servidores de acceso remoto (RAS) y/o de concentradores. En cualquiera de los casos anteriores se deberá emplear cifrado fuerte. Las entidades deberán evaluar con regularidad la efectividad y vigencia de los mecanismos de cifrado adoptados.
4.1.6. Establecer procedimientos necesarios para atender de manera segura y eficiente a sus clientes en todo momento, en particular cuando se presenten situaciones especiales tales como: fallas en los sistemas, restricciones en los servicios, fechas y horas de mayor congestión, posible alteración del orden público, entre otras, así como para el retorno a la normalidad. Las medidas adoptadas deberán ser informadas oportunamente a los clientes y usuarios.
4.1.7. Contar con los elementos necesarios para la debida atención del público, tales como: lectores de código de barras, contadores de billetes y monedas, PIN Pad, entre otros, que cumplan con las condiciones de seguridad y calidad, de acuerdo con los productos y servicios ofrecidos en cada oficina.
4.2. CAJEROS AUTOMÁTICOS (ATM).
<Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Los cajeros automáticos deberán cumplir, como mínimo, con los siguientes requerimientos:
4.2.1. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Contar con sistemas de video grabación que asocien los datos y las imágenes de cada operación monetaria. Las imágenes deberán ser conservadas por lo menos ocho (8) meses o en el caso en que la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
4.2.2. Cuando el cajero automático no se encuentre físicamente conectado a una oficina, la información que viaja entre este y su respectivo sitio central de procesamiento se deberá proteger utilizando cifrado fuerte, empleando para ello hardware de propósito específico independiente. Las entidades deberán evaluar con regularidad la efectividad y vigencia del mecanismo de cifrado adoptado.
4.2.3. Los dispositivos utilizados para la autenticación del cliente o usuario en el cajero deben emplear cifrado.
4.2.4. Implementar el intercambio dinámico de llaves entre los sistemas de cifrado, con la frecuencia necesaria para dotar de seguridad a las operaciones realizadas.
4.2.5. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Los sitios donde se instalen los cajeros automáticos deberán contar con las medidas de seguridad físicas para su operación y estar acordes con las especificaciones del fabricante. Adicionalmente, deben tener mecanismos que garanticen la privacidad en la realización de operaciones para que la información usada en ellas no quede a la vista de terceros.
4.2.6. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Implementar mecanismos de autenticación que permitan confirmar que el cajero es un dispositivo autorizado dentro de la red de la entidad.
4.2.7 <Numeral adicionado por la Circular 42 de 2012. El nuevo texto es el siguiente:> Estar en capacidad de operar con las tarjetas a que aluden los numerales 6.11 y 6.12 del presente capítulo.
4.3. RECEPTORES DE CHEQUES. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Los dispositivos electrónicos que permitan la recepción o consignación de cheques deberán cumplir, como mínimo, con los siguientes requerimientos:
4.3.1. Contar con mecanismos que identifiquen y acepten los cheques, leyendo automáticamente, al menos, los siguientes datos: la entidad emisora, el número de cuenta y el número de cheque.
4.3.2. Los cheques o documentos no aceptados por el módulo para recepción de cheques no podrán ser retenidos y deberán ser retornados inmediatamente al cliente o usuario, informando la causa del reintegro.
4.3.3. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> 1.1.1. Una vez el cliente o usuario deposite el cheque, el sistema deberá mostrar una imagen del mismo y la información asociada a la operación monetaria, para confirmar los datos de la misma y proceder o no a su realización. En caso negativo deberá devolver el cheque o documento, dejando un registro de la operación.
4.3.4. Como parte del procedimiento de consignación del cheque se le debe poner una marca que indique que este fue depositado en el módulo.
4.4. RECEPTORES DE DINERO EN EFECTIVO. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Los dispositivos que permitan la recepción de dinero en efectivo deberán cumplir, como mínimo, con los siguientes requerimientos:
4.4.1. Contar con mecanismos que verifiquen la autenticidad y denominación de los billetes.
4.4.2. Totalizar el monto de la operación con los billetes aceptados y permitir que el cliente o usuario confirme o no su realización. En este último caso se debe devolver la totalidad de los billetes entregados, generando el respectivo registro.
4.4.3. Las operaciones en efectivo deben realizarse en línea, afectando el saldo de la respectiva cuenta. La operación no quedará sujeta a verificación.
4.4.4. Los billetes no aceptados no podrán ser retenidos y deben ser retornados inmediatamente al cliente o usuario.
4.5. POS (INCLUYE PIN PAD). <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Los POS deberán cumplir, como mínimo, con los siguientes requerimientos:
4.5.1. La lectura de tarjetas solo se deberá hacer a través de la lectora de los datáfonos y los PIN Pad.
4.5.2. Cumplir el estándar EMV (Europay, MasterCard, VISA).
4.5.3. Los administradores de las redes de este canal deberán validar automáticamente la autenticidad del datáfono que se intenta conectar a ellos, así como el medio de comunicación a través del cual operará.
4.5.4. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Establecer procedimientos que le permitan a los responsables de los datáfonos en los establecimientos comerciales, confirmar la identidad de los funcionarios autorizados para retirar o hacerle mantenimiento a los dispositivos.
4.5.5. Velar porque la información confidencial de los clientes y usuarios no sea almacenada o retenida en el lugar en donde los POS estén siendo utilizados.
4.5.6. Contar con mecanismos que reduzcan la posibilidad de que terceros puedan ver la clave digitada por el cliente o usuario.
4.6. SISTEMAS DE AUDIO RESPUESTA (IVR). <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Los sistemas de audio respuesta deberán cumplir, como mínimo, con los siguientes requerimientos:
4.6.1. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> 1.1.1. Permitir al cliente confirmar la información suministrada en la realización de la operación monetaria.
4.6.2. Permitir transferir la llamada a un operador, al menos en los horarios hábiles de atención al público.
4.6.3 <Numeral adicionado por la Circular 42 de 2012. El nuevo texto es el siguiente:> Las entidades que permitan realizar operaciones monetarias por este canal, deben ofrecer a sus clientes mecanismos fuertes de autenticación.
4.7. CENTRO DE ATENCIÓN TELEFÓNICA (CALL CENTER, CONTACT CENTER). <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Los centros de atención telefónica deberán cumplir, como mínimo, con los siguientes requerimientos:
4.7.1. Destinar un área dedicada exclusivamente para la operación de los recursos necesarios en la prestación del servicio, la cual deberá contar con los controles físicos y lógicos que impidan el ingreso de personas no autorizadas, así como la extracción de la información manejada.
4.7.2. Impedir el ingreso de dispositivos que permitan almacenar o copiar cualquier tipo de información, o medios de comunicación, que no sean suministrados por la entidad.
4.7.3. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Dotar a los equipos de cómputo que operan en el centro de atención telefónica de los elementos necesarios que impidan el uso de dispositivos de almacenamiento no autorizados por la entidad. Igualmente, se deberá bloquear cualquier tipo de conexión a red distinta a la usada para la prestación del servicio.
4.7.4. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Garantizar que los equipos de cómputo destinados a los centros de atención telefónica solo serán utilizados en la prestación de servicios por ese canal.
4.7.5. <Numeral modificado por la Circular 42 de 2012. El nuevo texto es el siguiente:> En los equipos de cómputo usados en los centros de atención telefónica no se permitirá la navegación por Internet, el envío o recepción de correo electrónico, la mensajería instantánea, ni ningún otro servicio que permita el intercambio de información, a menos que se cuente con un sistema de registro de la información enviada y recibida. Estos registros deberán ser conservados por lo menos ocho (8) meses o en el caso en que la información respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
4.8. SISTEMAS DE ACCESO REMOTO PARA CLIENTES.
<Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Las entidades que ofrezcan servicio de acceso remoto para la realización de operaciones monetarias deberán contar con un módulo de seguridad de hardware para el sistema, que cumpla al menos con el estándar de seguridad FIPS-140-2 (Federal Information Processing Standard), el cual deberá ser de propósito específico (appliance) totalmente separado e independiente de cualquier otro dispositivo o elemento de procesamiento de información, de seguridad informática, de transmisión y/o recepción de datos, de comunicaciones, de conmutación, de enrutamiento, de gateways, de servidores de acceso remoto (RAS) y/o de concentradores.
4.9. INTERNET. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Las entidades que ofrezcan la realización de operaciones por Internet deberán cumplir con los siguientes requerimientos:
4.9.1. Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura.
4.9.2. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Realizar como mínimo dos veces al año una prueba de vulnerabilidad y penetración a los equipos, dispositivos y medios de comunicación usados en la realización de operaciones monetarias por este canal. Sin embargo, cuando se realicen cambios en la plataforma que afecten la seguridad del canal, deberá realizarse una prueba adicional.
4.9.3. <Numeral modificado por la Circular 22 de 2010. El nuevo texto es el siguiente:> Promover y poner a disposición de sus clientes mecanismos que reduzcan la posibilidad de que la información de sus operaciones monetarias pueda ser capturada por terceros no autorizados durante cada sesión.
4.9.4. Establecer el tiempo máximo de inactividad, después del cual se deberá dar por cancelada la sesión, exigiendo un nuevo proceso de autenticación para realizar otras operaciones.
4.9.5. Informar al cliente, al inicio de cada sesión, la fecha y hora del último ingreso a este canal.
4.9.6. Implementar mecanismos que permitan a la entidad financiera verificar constantemente que no sean modificados los enlaces (links) de su sitio Web, ni suplantados sus certificados digitales, ni modificada indebidamente la resolución de sus DNS.
4.9.7 <Numeral adicionado por la Circular 42 de 2012. El nuevo texto es el siguiente:> Contar con mecanismos para incrementar la seguridad de los portales, protegiéndolos de ataques de negación de servicio, inyección de código malicioso u objetos maliciosos, que afecten la seguridad de la operación o su conclusión exitosa.
4.9.8 <Numeral adicionado por la Circular 42 de 2012. El nuevo texto es el siguiente:> Las entidades que permitan realizar operaciones monetarias por este canal deben ofrecer a sus clientes mecanismos fuertes de autenticación.
4.10. PRESTACIÓN DE SERVICIOS A TRAVÉS DE NUEVOS CANALES. <Numeral adicionado por la Circular 52 de 2007. El nuevo texto es el siguiente:>
Cuando la entidad decida iniciar la prestación de servicios a través de nuevos canales, diferentes a los que tiene en uso, además del cumplimiento de las instrucciones generales de seguridad y calidad, deberá adelantar el respectivo análisis de riesgos del nuevo canal. Dicho análisis deberá ser puesto en conocimiento de la junta directiva y los órganos de control.
La entidad deberá remitir a la SFC, con al menos quince (15) días calendario de antelación a la fecha prevista para el inicio de la distribución de servicios a través del nuevo canal, la siguiente información:
a) Descripción del procedimiento que se adoptará para la prestación del servicio.
b) Tecnología que utilizará el nuevo canal.
c) Análisis de riesgos y medidas de seguridad y control del nuevo canal.
d) Planes de contingencia y continuidad para la operación del canal.
e) Plan de capacitación dirigido a los clientes y usuarios, para el uso del nuevo canal, así como para mitigar los riesgos a los que se verían expuestos.
"Normograma - Colpensiones - Administradora Colombiana de Pensiones"
ISSN [2256-1633 (En linea)]
Última actualización: 31 de agosto de 2019
Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación, reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono 617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas de uso de la información aquí contenida.