BúsquedaBUSCAR
ÍndiceÍNDICE

CIRCULAR EXTERNA 11 DE 2022

(mayo 20)

Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 629 de 31 de mayo de 2022

SUPERINTENDENCIA FINANCIERA

Señores

REPRESENTANTES LEGALES, REVISORES FISCALES Y OFICIALES DE CUMPLIMIENTO DE LAS ENTIDADES VIGILADAS

Referencia: Modificación de las instrucciones relativas a la administración del riesgo de lavado de activos y de la financiación del terrorismo

Apreciados señores:

La Superintendencia Financiera de Colombia continúa realizando esfuerzos para que el país obtenga una recalificación por parte del Grupo de Acción Financiera de Latinoamérica (GAFILAT). De igual forma, evalúa de manera permanente los mecanismos para que las entidades vigiladas gestionen de forma adecuada y eficiente el riesgo de lavado de activos y de la financiación del terrorismo (LAFT) asociado al desarrollo de sus operaciones.

Bajo este contexto, esta Superintendencia imparte instrucciones para: acoger integralmente las Recomendaciones del GAFI, así como la definición legal de beneficiario final prevista en el art. 631-5 del Estatuto Tributario, modificado el art. 16 de la Ley 2155 de 2021; reconocer las particularidades propias de la gestión del riesgo LAFT en el desarrollo de la actividad aseguradora; y ajustar las periodicidades de los informes del revisor fiscal y de la auditoría interna.

En virtud de lo anterior, este Despacho, en ejercicio de sus facultades, en particular, las conferidas en el parágrafo 1. del artículo 12 de la Ley 2195 de 2022, en el literal a) del numeral 3. del artículo 326 del Estatuto Orgánico del Sistema Financiero y en los numerales 4. y 5. del artículo 11.2.1.4.2. del Decreto 2555 de 2010, imparte las siguientes instrucciones:

PRIMERA: Modificar el Capítulo IV del Título IV de la Parte I de la Circular Básica Jurídica «Instrucciones relativas a la Administración de Riesgo de Lavado de Activos y de la Financiación del Terrorismo», con el fin de: (i) incluir el concepto de alta gerencia en los procedimientos de conocimiento de las personas expuestas políticamente, (ii) reconocer el reporte de operaciones sospechosas previsto en la Recomendación 10 del GAFI; (iii) acoger la definición de beneficiario final prevista en el art. 631-5 del Estatuto Tributario y la de estructuras sin personería jurídica prevista en el numeral 6. del art. 1 de la Resolución 000164 del 2021 expedida por la DIAN; (iv) incorporar el concepto de vehículos de inversión; (v) excluir a los corredores de seguros del ámbito de aplicación; (vi) dictar disposiciones especiales para los procedimientos de conocimiento del cliente en los contratos de seguros y de capitalización; (vii) modificar las periodicidades de los informes del revisor fiscal y de la auditoría interna; y (viii) definir el medio de transmisión de información a esta Superintendencia sobre la designación del funcionario responsable principal y suplente. <anexo 1>

SEGUNDA: Modificar el subnumeral 7.1.2. del Capítulo V del Título VI de la Parte III de la Circular Básica Jurídica «Distribución de Fondos de Inversión Colectiva» para renumerar la referencia realizada a la definición de «producto» prevista en el Capítulo IV del Título IV de la Parte I de la Circular Básica Jurídica «Instrucciones relativas a la Administración de Riesgo de Lavado de Activos y de la Financiación del Terrorismo». <anexo 2>

TERCERA. Régimen de transición: Las entidades destinatarias de la presente Circular tendrán hasta el 06 de enero de 2023 para ajustar su Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo – SARLAFT conforme a las instrucciones previstas en la presente Circular.

La presente Circular rige a partir de la fecha de su publicación.

Se anexan las páginas objeto de modificación.

Cordialmente,

JORGE CASTAÑO GUTIÉRREZ

Superintendente Financiero de Colombia

ANEXO 1.

PARTE I - TÍTULO IV - CAPÍTULO IV.

PARTE I

INSTRUCCIONES GENERALES APLICABLES A LAS ENTIDADES VIGILADAS

TÍTULO IV

DEBERES Y RESPONSABILIDADES

CAPÍTULO IV: INSTRUCCIONES RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO.

CONTENIDO

CONSIDERACIONES GENERALES

1. DEFINICIONES

2. ÁMBITO DE APLICACIÓN

2.1. Funcionario responsable de las medidas de control del lavado de activos y financiación del terrorismo.

3. DEFINICIÓN DEL RIESGO DE LA/FT

4. ALCANCE DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO

4.1. Etapas del SARLAFT

4.2. Elementos del SARLAFT

5. REGLAS ESPECIALES PARA TRANSFERENCIAS

5.1. Transferencias internacionales

5.2. Transferencias nacionales

5.3. Entidades vigiladas autorizadas para prestar servicios de transferencia de dinero

5.4. Documentación

6. SANCIONES FINANCIERAS DIRIGIDAS

7. PRÁCTICA INSEGURA

PARTE I

INSTRUCCIONES GENERALES APLICABLES A LAS ENTIDADES VIGILADAS

TÍTULO IV

DEBERES Y RESPONSABILIDADES

CAPÍTULO IV: INSTRUCCIONES RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO

CONSIDERACIONES GENERALES

El lavado de activos y la financiación del terrorismo representan una gran amenaza para la estabilidad del sistema financiero y la integridad de los mercados por su carácter global y las redes utilizadas para el manejo de tales recursos. Tal circunstancia destaca la importancia y urgencia de combatirlos, resultando esencial el papel que para tal propósito deben desempeñar las entidades vigiladas por la SFC y el supervisor financiero.

Partiendo de ello, esta Superintendencia requiere que las entidades vigiladas implementen un Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo –SARLAFT– con el fin de prevenir que sean utilizadas para: (i) dar apariencia de legalidad a activos provenientes de actividades delictivas y (ii) la canalización de recursos hacia la realización de actividades terroristas.

Así, en desarrollo de los arts. 102 y siguientes del EOSF, y en consonancia con el art. 22 de la Ley 964 de 2005, la SFC establece los criterios y parámetros mínimos que las entidades vigiladas deben atender en el diseño, implementación y funcionamiento del mencionado sistema.

El SARLAFT se compone de dos fases, a saber: la primera, que corresponde a la prevención del riesgo y cuyo objetivo es prevenir que se introduzcan al sistema financiero recursos provenientes de actividades relacionadas con el lavado de activos y/o de la financiación del terrorismo (en adelante, LA/FT); y la segunda, que corresponde al control y cuyo propósito consiste en detectar y reportar las operaciones que se pretendan realizar o se hayan realizado, para intentar dar apariencia de legalidad a operaciones vinculadas al LA/FT.

La administración del riesgo de LA/FT tiene una naturaleza diferente a la de los procesos de administración de los riesgos típicamente financieros (crédito, técnicos de seguros, mercado, liquidez, etc.), pues mientras que los mecanismos para la administración del primero se dirigen a prevenirlo, detectarlo y reportarlo -oportuna y eficazmente-, los mecanismos para la administración de los segundos se dirigen a asumirlos íntegra o parcialmente en función del perfil de riesgo de la entidad y la relación rentabilidad / riesgo.

1. DEFINICIONES

Para efectos del presente Capítulo, los siguientes términos deben entenderse de acuerdo con las definiciones que a continuación se establecen:

1.1. Agentes económicos: Son todas las personas naturales o jurídicas y estructuras sin personería jurídica que realizan operaciones económicas dentro de un sistema.

1.2. Alta Gerencia: Son las personas responsables de dirigir, ejecutar y supervisar las operaciones de la entidad bajo la dirección de la junta directiva.

1.3. Banco pantalla: Es una institución financiera que: (i) no tiene presencia física en el país en el que está constituido y recibe licencia, (ii) no pertenece a un conglomerado financiero que esté sujeto a una supervisión comprensiva y consolidada por parte de esta Superintendencia, y (iii) no es objeto de inspección, vigilancia y/o control o un grado de supervisión equivalente, por parte del supervisor de la jurisdicción donde se encuentre domiciliado o constituido.

1.4. Beneficiario final: Son las personas naturales a las que se refiere el art. 631-5 del Estatuto Tributario, o cualquier norma que lo modifique o sustituya.

1.5. Canales de distribución: Se entienden como tales los regulados en la Parte I, Título II, Capítulo I de la CBJ.

1.6. Cliente: Es toda persona natural o jurídica y estructuras sin personería jurídica con la cual la entidad establece y mantiene una relación contractual o legal para el suministro de cualquier producto propio de su actividad.

1.7. Contexto externo: Es el ambiente externo en el cual la organización busca alcanzar sus objetivos, que puede incluir: (i) el ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, bien sea internacional, nacional, regional o local; (ii) impulsores clave y tendencias que tienen impacto en los objetivos de la organización; y (iii) relaciones con personas y organizaciones que puede afectar, verse afectada, o percibirse a sí misma como afectada por una decisión o una actividad, y sus percepciones y valores.

1.8. Contexto interno: Es el ambiente interno en el cual la organización busca alcanzar sus objetivos, que puede incluir: (i) el gobierno, estructura organizacional, funciones y responsabilidades; (ii) políticas, objetivos y estrategias implementadas para lograrlos; (iii) las capacidades, entendidas en términos de recursos y conocimiento (vr.gr. capital, tiempo, personas, procesos, sistemas y tecnologías); (iv) sistemas de información, flujos de información y procesos para la toma de decisiones (tanto formales como informales); (v) la cultura de la organización; (vi) normas, directrices y modelos adoptados por la organización; y (vii) formas y extensión de las relaciones contractuales.

1.9. Corresponsalía trasnacional: Es la relación contractual entre dos instituciones financieras, el primero denominado "establecimiento corresponsal" y el segundo “establecimiento representado". Las instituciones financieras deben encontrarse en jurisdicciones diferentes. Son "establecimientos corresponsales" las entidades que le ofrecen/prestan determinados servicios a otras instituciones financieras y "establecimiento representado" aquellos que utilizan/reciben los servicios contratados con el "establecimiento corresponsal".

1.10. Empleados: Son aquellas personas naturales que se obligan a prestar un servicio a otra persona, natural o jurídica, bajo la continuada dependencia o subordinación de la segunda y mediante remuneración

1.11. Entidades beneficiarias: Son aquellas entidades que reciben una transferencia electrónica de una entidad que hace la orden, directamente o a través de una entidad intermediaria, y suministra los fondos al beneficiario.

1.12. Entidades intermediarias: Son aquellas entidades vigiladas en una cadena en serie o de pago de cobertura, que reciben y transmiten una transferencia electrónica en nombre de la entidad financiera que hace la orden y la entidad beneficiaria u otra entidad intermediaria.

1.13. Entidades ordenantes: Son aquellas entidades vigiladas que inician la transferencia electrónica y transfieren los fondos al recibir la respectiva solicitud del ordenante.

1.14. Estructuras sin personería jurídica: Son aquellas estructuras que se encuentran previstas en el núm. 6 del artículo 1 de la Resolución 000164 del 27 de diciembre de 2021 expedida por la Unidad Administrativa Especial Dirección de Impuestos y Aduanas Nacionales – DIAN, o cualquier norma que lo modifique o sustituya.

En todo caso, en la aplicación de los procedimientos de conocimiento del cliente se deben observar los lineamientos previstos en el subnumeral 4.2.2.2.1. del presente Capítulo.

1.15. Factores de riesgo: Son los agentes generadores del riesgo de LA/FT. Para efectos del SARLAFT las entidades vigiladas deben tener en cuenta como mínimo los siguientes:

1.15.1. Clientes y usuarios

1.15.2. Productos

1.15.3. Canales de distribución

1.15.4. Jurisdicciones

1.16. Financiación del terrorismo: Es el conjunto de actividades encaminadas a canalizar recursos lícitos o ilícitos para promover, sufragar o patrocinar individuos, grupos o actividades terroristas.

1.17. Lavado de activos: Es el conjunto de actividades encaminadas a ocultar el origen ilícito o a dar apariencia de legalidad a recursos obtenidos producto de la ejecución de actividades ilícitas.

1.18. Listas internacionales vinculantes para Colombia: Son aquellas listas de personas y entidades asociadas con organizaciones terroristas que son vinculantes para Colombia conforme al Derecho Internacional, incluyendo pero sin limitarse a las Resoluciones 1267 de 1999, 1988 de 2011, 1373 de 2001, 1718 y 1737 de 2006 y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas, a todas aquellas que le sucedan, relacionen y complementen, y cualquiera otra lista que se adopte en el país.

1.19. Mandatario: Es aquella persona que se obliga a celebrar o ejecutar uno o más actos por cuenta de otra.

1.20. Matriz de riesgo: Es una herramienta que facilita una evaluación de riesgos holística, que debe cumplir con las disposiciones del subnumeral 4.2.2.3.5. del presente Capítulo.

1.21. Personas expuestas políticamente: Corresponde a las personas definidas en el art. 2.1.4.2.3. del Decreto 1081 de 2015, y demás normas que lo modifiquen, complementen, sustituyan o adicionen.

1.22. Personas expuestas políticamente extranjeras: Corresponde a las personas definidas en el art. 2.1.4.2.9. del Decreto 1081 de 2015, y demás normas que lo modifiquen, complementen, sustituyan o adicionen.

1.23. Potencial cliente: Es la persona natural o jurídica o estructura sin personería jurídica que se encuentra en la fase previa de tratativas preliminares con la entidad vigilada respecto de los productos o servicios ofrecidos por esta.

1.24. Producto: Son las operaciones legalmente autorizadas que pueden adelantar las entidades vigiladas mediante la celebración de un contrato (vr.gr. cuenta corriente o de ahorros, seguros, inversiones, CDT, giros, emisión de deuda, compra venta de valores, negocios fiduciarios, etc.).

1.25. Proveedores: Son aquellas personas naturales o jurídicas que proveen o abastecen de bienes o servicios necesarios a una entidad vigilada, para el desarrollo de su actividad y funcionamiento, a través de la celebración de un contrato.

1.26. Riesgos asociados al LA/FT: Son los riesgos a través de los cuales se materializa el riesgo de LA/FT. Estos son: reputacional, legal operativo y de contagio.

1.26.1. Riesgo reputacional: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

1.26.2. Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. Surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

1.26.3. Riesgo operativo: Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

1.26.4. Riesgo de contagio: Es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por una acción o experiencia de un vinculado. El vinculado es el relacionado o asociado e incluye personas naturales o jurídicas o estructuras sin personería jurídica que tienen posibilidad de ejercer influencia sobre la entidad.

1.27. Riesgo inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

1.28. Riesgo residual o neto: Es el nivel resultante del riesgo después de aplicar los controles.

1.29. Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).

1.30. Servicios: Son todas aquellas interacciones de las entidades sometidas a inspección y vigilancia de la SFC con personas o estructuras sin personería jurídica diferentes a sus clientes.

1.31. Transferencia: Es la transacción efectuada por una persona natural o jurídica o estructura sin personería jurídica denominada “ordenante”, a través de una entidad autorizada en la respectiva jurisdicción para realizar transferencias nacionales y/o internacionales, mediante movimientos electrónicos o contables, con el fin de que una suma de dinero se ponga a disposición de una persona natural o jurídica o estructura sin personería jurídica denominada “beneficiaria”, en otra entidad autorizada para realizar este tipo de operaciones. El ordenante y el beneficiario pueden ser la misma persona.

1.32. Usuarios: Son aquellas personas naturales o jurídicas o estructuras sin personería jurídica a las que, sin ser clientes, la entidad les presta un servicio.

1.33. Vehículos de inversión: Son aquellas estructuras sin personería jurídica que son administradas por entidades vigiladas, tales como: patrimonios autónomos, fondos de inversión, fondos voluntarios de pensión, fondos de pensiones y cesantías, entre otros.

1.34. Vinculados: Son aquellos que cumplen alguno de los criterios previstos en el artículo 2.39.3.1.2. del Decreto 2555 de 2010 en los términos establecidos en dicho artículo.

2. ÁMBITO DE APLICACIÓN

Corresponde a las entidades vigiladas diseñar e implementar un SARLAFT efectivo de acuerdo con los criterios y parámetros mínimos exigidos en este Capítulo, sin perjuicio de advertir que de acuerdo con el literal e. del numeral 2 del art. 102 del EOSF debe estar en consonancia con los estándares internacionales sobre la materia, especialmente los proferidos por el GAFI - GAFILAT.

Salvo en lo dispuesto en el numeral 2.1. de este Capítulo, las siguientes entidades se encuentran exceptuadas de la aplicación de las instrucciones contenidas en el presente Capítulo: el Fondo de Garantías de Instituciones Financieras “Fogafin”, el Fondo de Garantías de Entidades Cooperativas “Fogacoop”, el Fondo Nacional de Garantías S.A. “F.N.G.”, los fondos mutuos de inversión sometidos a vigilancia permanente de la SFC, las sociedades calificadoras de valores y/o riesgo, las oficinas de representación de instituciones financieras y de reaseguros del exterior, las sociedades corredoras de seguros, los intermediarios de reaseguros, las oficinas de representación de instituciones del mercado de valores del exterior, los organismos de autorregulación, los INFIS, las sociedades de financiación colaborativa a través de valores, las bolsas de valores y los sistemas de negociación o registro de valores que realicen la actividad de financiación colaborativa (“SOFICO”), los proveedores de infraestructura de conformidad con la definición del art. 11.2.1.6.4. del Decreto 2555 de 2010, con excepción de los almacenes generales de depósito y los administradores de sistemas de pago de bajo valor. Estas excepciones no afectan el deber legal de dichas entidades de cumplir lo establecido en los arts. 102 a 107 del EOSF, en lo que les resulte pertinente de acuerdo con su actividad, especialmente respecto al envío de los reportes de transacciones en efectivo, clientes exonerados y ROS a la UIAF para lo cual deben emplear los documentos técnicos e instructivos correspondientes, anexos al presente capítulo.

Igualmente, se encuentran exceptuadas de las presentes instrucciones las entidades administradoras del régimen de prima media con prestación definida, excepto aquellas que se encuentran autorizadas por la ley para recibir nuevos afiliados.

Las entidades sometidas a la inspección y vigilancia de la SFC que deban implementar el SARLAFT, y que en el desarrollo de su actividad pretendan vincular como clientes a entidades vigiladas por esta Superintendencia, se encuentran facultadas para exceptuar del cumplimiento de las instrucciones relativas al conocimiento del cliente a tales clientes.

El SARLAFT que implementen las entidades vigiladas en desarrollo de lo dispuesto en las presentes instrucciones debe atender a la naturaleza, objeto social y demás características particulares de cada una de ellas.

2.1. Funcionario responsable de las medidas de control del lavado de activos y financiación del terrorismo

De acuerdo con el numeral 3 del art. 102 del EOSF, las entidades vigiladas deben diseñar y poner en práctica procedimientos específicos para el control del riesgo de LA/FT y designar funcionarios responsables de verificar el adecuado cumplimiento de dichos procedimientos.

Para tal efecto, las entidades vigiladas exceptuadas de la aplicación de las demás instrucciones establecidas en este Capítulo, de acuerdo con lo establecido en el numeral 2 (en adelante entidades vigiladas exceptuadas), deben atender las siguientes instrucciones:

2.1.1. Funciones

Las entidades vigiladas exceptuadas deben designar un funcionario, con su respectivo suplente, responsable de la administración de las medidas de control diseñadas para prevenir que en la realización de sus operaciones puedan ser utilizadas como instrumento para el ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u otros bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos vinculados con las mismas, el cual debe:

2.1.1.1. Participar en el diseño de los procedimientos contra el LA/FT.

2.1.1.2. Velar por el cumplimiento de dichos procedimientos y por la implementación de los correctivos establecidos para superar las deficiencias identificadas.

2.1.1.3. Presentar informes de gestión a la junta directiva u órgano que haga sus veces con una periodicidad mínima semestral. En caso de que por su naturaleza jurídica no exista dicho órgano, estas funciones corresponderán al representante legal.

2.1.1.4. Proponer a la administración la creación y actualización de manuales de procedimientos y velar por su divulgación a los funcionarios de la respectiva entidad.

2.1.1.5. Evaluar los informes de auditoría interna y externa de la entidad y diseñar las medidas para afrontar las deficiencias identificadas en los mismos, respecto a las medidas de control de los riesgos de LA/FT.

2.1.1.6. Atender y coordinar cualquier requerimiento, solicitud, o diligencia de autoridad competente judicial o administrativa en esta materia.

2.1.1.7. Velar por el cumplimiento de lo establecido en el numeral 2 del art. 102 del EOSF.

2.1.1.8. Cumplir las obligaciones relacionadas con sanciones financieras dirigidas, establecidas en este Capítulo.

2.1.1.9. Cumplir las obligaciones relacionadas con la consulta de sus clientes en listas vinculantes para Colombia de conformidad con el subnumeral 4.2.2.1.4. del presente Capítulo.

Las entidades vigiladas exceptuadas no deben contar con un oficial de cumplimiento de acuerdo con las disposiciones contenidas en el subnumeral 4.2.4.3 del presente Capítulo.

2.1.2. Deberes respecto del funcionario responsable

Las entidades vigiladas exceptuadas deben:

2.1.2.1. Designar al funcionario responsable principal, con su respectivo suplente, mediante la junta directiva o el órgano que haga sus veces. En caso de que por su naturaleza jurídica no exista dicho órgano, el representante legal deberá designarlo.

2.1.2.2. Garantizar que las labores adicionales que se asignen al funcionario responsable no generen conflictos de interés con las funciones listadas en el subnumeral 2.1.1 de este Capítulo.

2.1.2.3. Verificar que el funcionario responsable cuente con conocimientos suficientes del régimen legal y los estándares internacionales en materia de LA/FT.

2.1.2.4. Verificar que el funcionario responsable no se encuentre en una lista internacional vinculante para Colombia.

2.1.2.5. Registrar, dentro de los 15 días calendario siguientes a su designación, al funcionario responsable principal o suplente, según sea el caso. Para ello, se debe enviar la información correspondiente al nombre, al número de identificación, al teléfono y al correo electrónico de dichos funcionarios a través de los canales dispuestos por la SFC para tal efecto. Será responsabilidad del representante legal de la entidad el diligenciamiento y la verificación de los datos descritos en este subnumeral.

3. DEFINICIÓN DEL RIESGO DE LA/FT

Para los efectos del presente Capítulo, se entiende por riesgo de LA/FT la posibilidad de pérdida o daño que puede sufrir una entidad vigilada por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos, canalización de recursos hacia la realización de actividades terroristas y/o financiación de armas de destrucción masiva, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de LA/FT se materializa a través de los riesgos asociados, estos son: el legal, reputacional, operativo y de contagio, a los que se expone la entidad, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando es utilizada para tales actividades.

4. ALCANCE DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO

El SARLAFT, como sistema de administración que deben implementar las entidades vigiladas para gestionar el riesgo de LA/FT, se instrumenta a través de las etapas y elementos que más adelante se describen, correspondiendo las primeras a las fases o pasos sistemáticos e interrelacionados mediante los cuales las entidades administran el riesgo de LA/FT, y los segundos al conjunto de componentes a través de los cuales se instrumenta de forma organizada y metódica la administración del riesgo de LA/FT en las entidades.

El SARLAFT debe abarcar todas las actividades que realizan las entidades vigiladas en desarrollo de su objeto social principal y prever, además, procedimientos y metodologías efectivas para que las entidades se protejan de ser utilizadas en forma directa, es decir, a través de sus accionistas, beneficiarios finales, administradores en los términos del art. 22 de la ley 222 de 1995, empleados, proveedores y vinculados, como instrumento para el lavado de activos, canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.

Es deber de las entidades vigiladas revisar periódicamente las etapas y elementos del SARLAFT a fin de realizar los ajustes que consideren necesarios para su efectivo, eficiente y oportuno funcionamiento. Esta revisión se debe llevar a cabo, como mínimo, semestralmente, sin perjuicio de que se pueda hacer en un periodo inferior por decisión de la junta directiva de la entidad vigilada conforme a su análisis de riesgo de LA/FT o de esta Superintendencia en desarrollo de sus actividades de supervisión. En todo caso, las entidades vigiladas deberán realizar esta revisión siempre que se presenten situaciones que requieran la adopción de medidas efectivas para fortalecer el SARLAFT. Las entidades vigiladas deben tener a disposición de esta Superintendencia los medios verificables a través de los cuales se demuestre la realización de dicha revisión.

El SARLAFT que implementen y desarrollen las entidades vigiladas que se encuentren en las situaciones previstas en los arts. 260 y 261 del C.Cio. y el art. 28 de la Ley 222 de 1995 debe tener características similares con el fin de eliminar posibles arbitrajes entre ellas.

(...)

4.1.4.1. Desarrollar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias del SARLAFT. Dicho seguimiento debe tener una periodicidad acorde con el perfil de riesgo residual de LA/FT de la entidad, pero en todo caso, debe realizarse con una periodicidad mínima semestral.

4.1.4.2. Realizar el seguimiento y comparación del riesgo inherente y residual de cada factor de riesgo y de los riesgos asociados.

4.1.4.3. Asegurar que los controles sean comprensivos de todos los riesgos y que cuenten con un diseño e implementación adecuados, de tal forma que su funcionamiento sea oportuno, efectivo y eficiente. En el momento en que las entidades determinen que los controles implementados no están siendo efectivos, las entidades deben implementar, de manera inmediata, un plan de acción de ajuste para efectos de garantizar la efectividad de los mismos.

4.1.4.4. Establecer indicadores descriptivos y/o prospectivos que evidencien potenciales fuentes de riesgo de LA/FT.

4.1.4.5. Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.

4.2. Elementos del SARLAFT

El SARLAFT que implementen las entidades vigiladas debe tener como mínimo los siguientes elementos, los cuales deben desarrollar, siempre que resulte aplicable, las etapas del sistema:

4.2.1. Políticas

4.2.2. Procedimientos

4.2.3. Documentación

4.2.4. Estructura organizacional

4.2.5. Órganos de control

4.2.6. Infraestructura tecnológica

4.2.7. Divulgación de información

4.2.8. Capacitación

4.2.1. Políticas

Son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el SARLAFT. Cada una de las etapas y elementos del sistema debe contar con unas políticas claras y efectivamente aplicables.

Las políticas que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del SARLAFT y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad y de sus accionistas.

Las políticas deben incorporarse en un código de ética que oriente la actuación de los funcionarios de la entidad para el funcionamiento del SARLAFT y establezca procedimientos sancionatorios frente a su inobservancia. Así mismo, debe establecer las consecuencias que genera su incumplimiento.

Las políticas que adopten las entidades deben cumplir con los siguientes requisitos mínimos:

4.2.1.1. Impulsar a nivel institucional la cultura en materia de administración del riesgo de LA/FT.

4.2.1.2. Consagrar el deber de los órganos de administración y de control de las entidades vigiladas, del oficial de cumplimiento, así como de todos los funcionarios, de asegurar el cumplimiento de los reglamentos internos y demás disposiciones relacionadas con el SARLAFT.

4.2.1.3. Establecer lineamientos para la prevención y resolución de conflictos de interés.

4.2.1.4. Consagrar lineamientos más exigentes de vinculación de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que, por su perfil o por las funciones que desempeñan, pueden exponer en mayor grado a la entidad al riesgo de LA/FT.

4.2.1.5. Señalar los lineamientos que debe adoptar la entidad frente a los factores de riesgo y los riesgos asociados de LA/FT.

4.2.1.6. Garantizar la reserva de la información reportada conforme lo establece el art. 105 del EOSF.

4.2.1.7. Establecer las consecuencias que genera el incumplimiento del SARLAFT.

4.2.1.8. Consagrar la exigencia de que los funcionarios antepongan el cumplimiento de las normas en materia de administración de riesgo de LA/FT al logro de las metas comerciales.

4.2.2. Procedimientos

Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT.

4.2.2.1. Requisitos que deben cumplir los procedimientos:

4.2.2.1.1. Instrumentar las diferentes etapas y elementos del SARLAFT, que se pueden realizar a través de la parametrización de las herramientas tecnológicas establecidas por la entidad para soportar el funcionamiento del mismo.

4.2.2.1.2. Identificar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual.

4.2.2.1.3. Atender los requerimientos de información por parte de autoridades competentes.

4.2.2.1.4. Dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia, de conformidad con el derecho internacional y disponer lo necesario para que se consulten en dichas listas: (i) al potencial cliente, (ii) a los beneficiarios finales del potencial cliente, siempre que el potencial cliente sea persona jurídica o estructura sin personería jurídica, (iii) a los accionistas y asociados del potencial cliente, siempre que potencial cliente sea persona jurídica, y (iv) a los empleados, proveedores y administradores de la entidad, en los términos del artículo 22 de la Ley 222 de 1995.

Esta consulta debe realizarse de manera previa a la vinculación de un potencial cliente y de los empleados, proveedores y administradores de la entidad vigilada, en los términos del artículo 22 de la Ley 222 de 1995. Adicionalmente, estos procedimientos deben contemplar medidas efectivas para disponer lo necesario para consultar estas listas de forma permanente durante la duración de la relación contractual o legal.

4.2.2.1.5. Para dar cumplimiento de las obligaciones internacionales de Colombia relativas al congelamiento y prohibición de manejo de fondos u otros activos de personas y entidades señaladas por el Consejo de Seguridad de las Naciones Unidas, asociadas al financiamiento del terrorismo y de la proliferación de armas de destrucción masiva, en consonancia con el art. 20 de la Ley 1121 de 2006 y las Recomendaciones del GAFI en esta materia, las entidades vigiladas deben implementar medidas efectivas para consultar de forma permanente las listas internacionales vinculantes para Colombia.

4.2.2.1.6. Consagrar las sanciones por incumplimiento a las normas relacionadas con el SARLAFT, así como los procesos para su imposición.

4.2.2.1.7. Implementar las metodologías para la detección de operaciones inusuales y sospechosas, y el oportuno y eficiente reporte de éstas últimas a las autoridades competentes.

4.2.2.1.8. Prever procesos para llevar a cabo un efectivo, eficiente y oportuno conocimiento de los clientes actuales y potenciales, así como la verificación de la información suministrada y sus correspondientes soportes, atendiendo como mínimo los requisitos establecidos en el presente instructivo.

4.2.2.1.9. Establecer procedimientos especiales respecto de países de mayor riesgo

Las entidades vigiladas deben revisar permanentemente los países de mayor riesgo contenidos en los listados del GAFI de países no cooperantes y jurisdicciones de alto riesgo (high risk and other monitored jurisdictions).

Respecto de las relaciones comerciales y transacciones con personas naturales y jurídicas, estructuras sin personería jurídica e instituciones financieras de países de mayor riesgo, los procedimientos especiales que establezcan las entidades vigiladas deben contemplar, entre otras medidas, las siguientes:

4.2.2.1.9.1. La aplicación de medidas intensificadas de conocimiento del cliente y de monitoreo de aquellas relaciones comerciales y transaccionales con personas naturales y jurídicas, estructuras sin personería jurídica e instituciones financieras, procedentes de países listados como de mayor riesgo por GAFI. Las entidades vigiladas pueden aplicar las medidas intensificadas señaladas en el subnumeral 4.2.2.2.1.1.3.4. del presente Capítulo, así como cualquier otra medida intensificada que sea eficaz y proporcional a los riesgos identificados por entidad.

4.2.2.1.9.2. La aplicación de contramedidas apropiadas en relación con las mencionadas relaciones comerciales y transacciones cuando el GAFI haga un llamado para hacerlo o, con independencia de que el mismo se haya efectuado cuando la entidad vigilada así lo considere. Estas contramedidas deben ser eficaces y proporcionales a los riesgos y pueden contemplar, entre otras:

4.2.2.1.9.2.1. La realización de los reportes externos establecidos en el subnumeral 4.2.7.2. del presente Capítulo.

4.2.2.1.9.2.2. La exigencia de una labor de auditoría externa intensificada y/o de requisitos más estrictos para las sucursales y filiales de instituciones financieras ubicadas en los países listados como de mayor riesgo por GAFI.

4.2.2.1.9.2.3. Las demás contramedidas previstas en el numeral 2 de la nota interpretativa de la recomendación 19 emitida por el GAFI y las que la modifiquen.

4.2.2.2. Mecanismos

Las entidades deben adoptar mecanismos que les permitan como mínimo efectuar un adecuado:

4.2.2.2.1. Conocimiento del cliente

4.2.2.2.2. Conocimiento del mercado

4.2.2.2.3. Identificación y análisis de operaciones inusuales

4.2.2.2.4. Determinación y reporte de operaciones sospechosas

4.2.2.2.1. Conocimiento del cliente

El SARLAFT debe contar con procedimientos para obtener un conocimiento efectivo, eficiente y oportuno de todos los clientes actuales y potenciales, así como para verificar la información y los soportes de la misma.

Los procedimientos de conocimiento del cliente aplicados por otras entidades vigiladas con relación al mismo cliente potencial, no eximen de responsabilidad a la entidad de conocerlo, aún cuando pertenezcan a un mismo grupo.

Las entidades vigiladas no pueden iniciar relaciones contractuales o legales con el potencial cliente mientras no se haya (i) recolectado la información necesaria para adelantar el procedimiento del conocimiento de cliente; (ii) verificado la información necesaria, en particular la identidad del potencial cliente; y (iii) aprobado la vinculación del mismo, como mínimo. La vinculación de personas jurídicas debe estar soportada por un documento actualizado que certifique la existencia y representación de la misma, expedido por una entidad competente. La vinculación de estructuras sin personería jurídica debe estar soportada por un documento que certifique o de cuenta de su existencia, tales como: el contrato de fiducia, la ficha de inscripción de negocios en el módulo de registro de negocios administrado por la SFC, el documento en donde se acredite la autorización de funcionamiento o de no objeción de los fondos de inversión.

Las entidades vigiladas pueden realizar los procedimientos de conocimiento del cliente de manera presencial o no presencial a través del uso de canales digitales o electrónicos.

Las entidades vigiladas pueden obtener la información necesaria para realizar los procedimientos de conocimiento del cliente utilizando datos e información de fuentes confiables e independientes. En este sentido, las entidades vigiladas pueden utilizar bases de datos públicos, de prestadores de servicios ciudadanos digitales, de bases de datos propias y/o de bases de datos externas, siempre que: (i) individualicen al potencial cliente a través de la verificación de sus datos de identificación; y (ii) den cumplimiento a las reglas establecidas en la Ley 1581 de 2012 sobre tratamiento de datos personales y demás normas que las modifiquen, complementen, sustituyan o adicionen. Adicionalmente, en el evento en que utilicen bases de datos externos, las entidades vigiladas deben realizar un análisis de riesgo asociado a dicha fuente, en el cual se evalúe la calidad de los datos, su confiabilidad y la pertinencia de la misma en la gestión del riesgo de LA/FT. Las entidades vigiladas deben tener a disposición de esta Superintendencia los medios verificables a través de los cuales se demuestre la realización de dicho análisis de riesgo. Por último, las entidades vigiladas deben realizar una revisión semestral de dicho análisis de riesgo, el cual también debe estar a disposición de esta Superintendencia en los términos anteriormente mencionados.

Las entidades vigiladas pueden aplicar los procedimientos de conocimiento del cliente de manera proporcional en atención a su análisis del riesgo LA/FT, siempre en cumplimiento de lo dispuesto en el subnumeral 4.2.2.2.1.1. del presente Capítulo. No obstante, en aquellos eventos en que hayan identificado que el perfil de riesgo de un potencial cliente esté calificado como de alto riesgo, las entidades vigiladas deben aplicar medidas intensificadas en los procedimientos de conocimiento del cliente. Dicha calificación debe tener en cuenta la valoración integral de los factores de riesgo. Las entidades vigiladas deben tener a disposición de esta Superintendencia los medios verificables a través de los cuales se demuestre la realización del análisis del riesgo de LA/FT, y que la metodología mediante la cual se realizó dicho análisis fue aprobada por la junta directiva o el órgano que haga sus veces.

En los contratos de seguros y capitalización diferentes a seguros de vida y otras pólizas de vida con componente de ahorro e inversión, las entidades aseguradoras y de capitalización deben aplicar los procedimientos de conocimiento del cliente al tomador o suscriptor de manera previa a la suscripción del contrato. Respecto de los asegurados, afianzados o beneficiarios, dichos procedimientos se deben aplicar, a más tardar, en el momento en que se individualicen o cuando se presente la reclamación, vencimiento y pago del título de capitalización, rescisión del mismo, pago del sorteo o presentación de la solicitud del préstamo sobre el título.

Las entidades vigiladas que administran vehículos de inversión están obligadas a conocer a los inversionistas, fideicomitentes, beneficiarios, adherentes o sus equivalentes como clientes, dando aplicación a los procedimientos de conocimiento del cliente previstos en el presente Capítulo, en cumplimiento del art. 12 de la Ley 2195 de 2022, o las normas que lo modifiquen o sustituyan.

En el caso de las sociedades fiduciarias y en desarrollo de la línea de negocio de fiducia inmobiliaria, el conocimiento del cliente se debe adelantar a más tardar, al tercer día hábil siguiente a la recepción de los recursos siempre y cuando éstos sean destinados a negociar unidades inmobiliarias y no superen los 3 SMMLV.

Las entidades vigiladas deben aplicar los procedimientos de conocimiento del cliente que resulten aplicables respecto de cada una de las partes de un contrato de colaboración empresarial.

En el evento en que el potencial cliente se retracte y/o desista de continuar con los procedimientos de conocimiento al cliente, la entidad vigilada debe reportar tal circunstancia como una tentativa de vinculación comercial a la UIAF en los términos del subumeral 4.2.7.2.1. del presente Capítulo.

La entidad vigilada puede abstenerse de realizar los procedimientos de conocimiento del cliente cuando en el establecimiento de la relación comercial: (i) sospeche que puede ser utilizada por el potencial cliente para dar apariencia de legalidad a activos provenientes de actividades delictivas, o canalizar recursos hacia la realización de actividades terroristas, y (ii) considere razonablemente que si realiza dichos procedimientos puede alertar al potencial cliente. En estos eventos, la entidad debe presentar un reporte de operaciones sospechosas en los términos previstos en el subnumeral 4.2.7.2.1. del presente Capítulo.

Las instrucciones contenidas en el presente subnumeral deben aplicarse igualmente respecto de las personas naturales, jurídicas o estructuras sin personería jurídica que pretendan adquirir activos fijos de una entidad vigilada y a los empleados, proveedores y administradores (en los términos del artículo 22 de la Ley 222 de 1995) de la entidad vigilada.

En todo caso, el alcance de los procedimientos de conocimiento de cliente aplicables a los empleados, proveedores y administradores (en los términos del artículo 22 de la Ley 222 de 1995) de la entidad vigilada, debe comprender, como mínimo, el cumplimiento del subnumeral 4.2.2.1.4. del presente Capítulo, siempre que aquella medida le permita a la entidad vigilada adelantar una adecuada y efectiva gestión del riesgo LA/FT conforme a su análisis de riesgo LA/FT. En el caso en que la entidad determine que aquellos suponen un mayor riesgo de la LA/FT, la entidad vigilada debe aplicar los procedimientos de conocimiento de cliente previstas en el subnumeral 4.2.2.2.1.1. del presente Capítulo.

4.2.2.2.1.1. Procedimientos ordinarios de conocimiento del cliente:

4.2.2.2.1.1.1. Identificación

4.2.2.2.1.1.1.1. Identificación del cliente. Las entidades vigiladas deben contar con políticas y procedimientos que les permitan identificar y verificar la identidad del potencial cliente, sea persona natural, persona jurídica o estructura sin personería jurídica, al momento de su vinculación en ambientes presenciales y no presenciales.

Para el caso de personas naturales, dichas políticas y procedimientos deben consistir en verificar el documento de identidad expedido por la autoridad competente; para el caso de las personas jurídicas, el documento actualizado que certifique la existencia y representación de la misma expedido por la autoridad competente; y para el caso de las estructuras sin personería jurídica, un documento que certifique o de cuenta de su existencia.

Adicionalmente, dichas políticas y procedimientos deben prever la verificación efectiva de la identidad de los potenciales clientes al momento de su vinculación utilizando datos e información de fuentes confiables e independientes. Para el efecto, las entidades vigiladas pueden utilizar: (i) certificados de firma digital, de acuerdo a lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios, o las normas que la modifiquen, deroguen o subroguen; (ii) biometría, conforme a las instrucciones impartidas por esta Superintendencia en el Capítulo I del Título II de la Parte I de esta CBJ; (iii) mecanismos fuertes de autenticación, conforme a las instrucciones impartidas por esta Superintendencia en el Capítulo I del Título II de la Parte I de esta CBJ; (iv) la información disponible en los bancos de datos administrados por operadores de información (vr.gr. centrales de riesgo) en los términos previstos en la Ley 1266 de 2008 y sus decretos reglamentarios, o las normas que la modifiquen, deroguen o subroguen; y/o (v) cualquier otro mecanismo tecnológico que garantice la realización de una verificación efectiva de la identidad del potencial cliente conforme a lo establecido en el Capítulo I del Título II de la Parte I de esta CBJ

Las entidades vigiladas que celebren negocios fiduciarios deben identificar todos los sujetos relacionados con el negocio fiduciario, es decir, identificar a los fideicomitentes y a quien ejerza el control del fideicomitente, de acuerdo con lo establecido en los arts. 26 y 27 de la Ley 222 de 1995 y, además a los adherentes y a los beneficiarios (que para los efectos del presente Capítulo tienen la calidad de clientes o potenciales clientes, según sea aplicable), incluyendo los beneficiarios finales de los recursos objeto de dichos negocios fiduciarios.

Cuando por virtud de la naturaleza o estructura de un contrato, en el momento de la vinculación del cliente no sea posible conocer la identidad de otras personas que se vinculan como clientes, (vr.gr. beneficiarios y beneficiarios finales de los recursos objeto del negocio fiduciario en caso de que su identidad sólo se pueda establecer en el futuro) la información encaminada a identificarlos debe obtenerse en el momento en el que se individualicen, debiendo, en todo caso, realizar esta verificación al momento del pago.

En el evento, en que un mandatario actúe en nombre del potencial cliente, para efectos de adelantar los procedimientos de conocimiento del cliente, las entidades deben: (i) verificar el documento que acredita dicha facultad o autorización e (ii) identificar y verificar la identidad del mandatario.

4.2.2.2.1.1.1.2. Identificación del beneficiario final de estructuras sin personería jurídica y de personas jurídicas, accionistas y/o asociados. El procedimiento de conocimiento del cliente supone identificar y tomar medidas razonables para verificar la identidad de(l) (los) beneficiario(s) final(es) de estructuras sin personería jurídica y de personas jurídicas, así como de los accionistas y/o asociados de personas jurídicas que tengan directamente más del 5% del capital social, aporte o participación del potencial cliente.

Cuando el potencial cliente: (i) esté inscrito en el Registro Nacional de Valores y Emisores (RNVE) y esté sujeto a requisitos de revelación de información en el mercado de valores, o (ii) esté listado en una bolsa de valores internacional que exija requisitos de revelación de información equivalentes a los inscritos en el RNVE, no será necesario verificar la identidad de los beneficiarios finales y/o accionistas y/o asociados.

Las entidades deben tomar medidas razonables para consultar el nombre y el número de identificación de los beneficiarios finales y accionistas y/o asociados en, como mínimo, las listas internacionales vinculantes para Colombia.

4.2.2.2.1.1.1.3. Identificación del beneficiario de los productos. Es deber permanente de las entidades vigiladas identificar al (a los) beneficiario(s) de todos los productos que suministren.

4.2.2.2.1.1.1.3.1. En los contratos de seguros y capitalización diferentes a seguros de vida y otras pólizas de vida con componente de ahorro e inversión, las entidades aseguradoras y de capitalización deben identificar y verificar la identidad del tomador o suscriptor de manera previa a la suscripción del contrato. Respecto de los asegurados, afianzados o beneficiarios, las entidades deben identificar y verificar su identidad, a más tardar, en el momento en que se individualicen o cuando se presente la reclamación, vencimiento y pago del título de capitalización, rescisión del mismo, pago del sorteo o presentación de la solicitud del préstamo sobre el título.

4.2.2.2.1.1.1.3.2. Las entidades aseguradoras deben adoptar las siguientes medidas con respecto al beneficiario de un seguro de vida y otras pólizas de seguro de vida con componente de ahorro e inversión, tan pronto como se identifique o designe al beneficiario, debiendo, en todo caso, recaudar la información del beneficiario en el momento del pago en los términos del subnumeral 4.2.2.2.1.1.3. del presente Capítulo.

4.2.2.2.1.1.1.3.2.1. Cuando en el momento de la vinculación del cliente se designe en calidad de beneficiario a una persona natural o jurídica con nombre específico, se debe identificar y verificar la identidad de éste en el momento de la celebración del contrato.

4.2.2.2.1.1.1.3.2.2. Cuando en el momento de la vinculación del cliente no sea posible conocer la identidad del beneficiario, se debe identificar y verificar la identidad al momento del pago. La entidad vigilada debe contar con información suficiente que le permita establecer la identidad del beneficiario al momento del pago, en el evento en que el beneficiario sea designado por características, por clase o por otros medios.

4.2.2.2.1.1.1.3.2.3. Incluir al beneficiario de una póliza de seguro de vida como un cliente para determinar si cabe aplicar mayores medidas de conocimiento del cliente.

Cuando el beneficiario de una póliza de seguro de vida sea una persona jurídica y la entidad aseguradora determine que este beneficiario representa un mayor riesgo, la entidad vigilada debe tomar mayores medidas, las cuales deben incluir medidas efectivas para que, al momento del pago, se identifique y verifique la identidad del beneficiario final de este beneficiario del seguro.

4.2.2.2.1.1.1.3.3. En el evento en que la contratación de los productos ofrecidos por las entidades aseguradoras o de capitalización se lleve a cabo por parte de intermediarios de seguros o de capitalización, los procedimientos de conocimiento del cliente pueden dejarse a cargo del intermediario, siempre que se haga bajo los parámetros, procedimientos y metodologías previamente establecidos por la entidad aseguradora o de capitalización. Dichos parámetros deben incorporar lineamientos respecto al suministro efectivo de información a las entidades aseguradoras o de capitalización por parte de los intermediarios. Las entidades aseguradoras son responsables por la efectiva implementación y cumplimiento de su SARLAFT.

4.2.2.2.1.1.1.3.4. Las entidades deben tomar medidas para consultar el nombre y el número de identificación de los asegurados, afianzados y/o beneficiarios en, como mínimo, las listas internacionales vinculantes para Colombia.

4.2.2.2.1.1.1.3.5. Tratándose de clientes de los almacenes generales de depósito que depositen sus mercancías en los depósitos públicos habilitados de que trata el Decreto 1165 de 2019 -Estatuto Aduanero-, las entidades vigiladas deben procurar actuar con la mayor diligencia y hacer el mejor esfuerzo con la finalidad de obtener la identidad del potencial cliente.

4.2.2.2.1.1.2. Relación comercial.

4.2.2.2.1.1.2.1. Las entidades vigiladas deben entender y obtener información sobre el propósito que se pretende dar a la relación contractual con los clientes.

4.2.2.2.1.1.2.2. Las entidades vigiladas deben realizar una debida diligencia permanente de la relación comercial y examinar las transacciones llevadas a cabo a lo largo de dicha relación, para: (i) monitorear que las transacciones que se realicen sean consistentes con el conocimiento que tiene la entidad sobre el cliente, su actividad comercial y el perfil de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos; y (ii) asegurar que los documentos, datos o información recopilada en virtud del proceso de conocimiento del cliente, se mantengan actualizados, en especial en los casos de clientes incluidos en las categorías de mayor riesgo de conformidad con el subnumeral 4.2.2.2.1.6. del presente Capítulo.

4.2.2.2.1.1.3. Información.

4.2.2.2.1.1.3.1. Para efectos del conocimiento del cliente, las entidades vigiladas deben obtener la información básica, socioeconómica, financiera y transaccional del potencial cliente que les permitan adelantar una adecuada y efectiva gestión del riesgo de LA/FT conforme a su análisis de riesgo LA/FT.

(...)

autoridad bancaria o de valores, y que el país de origen es miembro del GAFI o pertenece a un miembro asociado del GAFI (FATF associate members).

4.2.2.2.1.2.4.3. Confirmar que la entidad tenga controles para prevenir y controlar el LA/FT.

4.2.2.2.1.2.4.4. Documentar las respectivas responsabilidades de cada institución frente al LA/FT.

4.2.2.2.1.2.4.5. Aplicar procedimientos más estrictos para el seguimiento a tales relaciones.

4.2.2.2.1.2.4.6. Prohibir iniciar o continuar una relación de corresponsalía trasnacional con bancos pantalla. Adicionalmente, las entidades deben implementar medidas para impedir que sus cuentas sean utilizadas por bancos pantalla.

4.2.2.2.1.2.4.7. Suministrar información relacionada con el conocimiento del cliente al establecimiento corresponsal, asegurando el cumplimiento de las normas vigentes relacionadas con la circulación de datos personales.

4.2.2.2.1.2.4.8. Implementar medidas respecto a las “cuentas de transferencias de pagos en otras plazas”, según la definición de GAFI, que estén encaminadas a garantizar que el banco representado ha llevado a cabo un adecuado conocimiento de los clientes que tienen acceso directo a las cuentas del banco corresponsal, y que es capaz de suministrar la información relevante en materia de conocimiento del cliente, cuando el banco corresponsal lo solicite.

4.2.2.2.1.3. Conocimiento del cliente en conglomerados financieros

Las entidades vigiladas que conforman un conglomerado financiero en los términos de la Ley 1870 de 2017 pueden compartir la información de sus clientes obtenida durante su procedimiento de conocimiento de cliente con otras entidades vigiladas receptoras, siempre y cuando se dé cumplimiento a las reglas que se encuentran a continuación.

4.2.2.2.1.3.1 Las entidades vigiladas emisores y receptores pertenezcan a un mismo conglomerado financiero.

4.2.2.2.1.3.2. La respectiva holding financiera imparta las directrices para el intercambio de la información entre las entidades vigiladas que integran el conglomerado financiero. Dichas directrices deben incluir políticas que propendan por la integridad, suficiencia y veracidad de la información que se obtenga en los procedimientos de conocimiento de cliente que sean objeto a los procesos de intercambio de información entre las entidades; así como, el pleno cumplimiento de las normas relacionadas con protección de datos y habeas data.

4.2.2.2.1.3.3. Le corresponde a la respectiva entidad financiera receptora (i) evaluar la suficiencia y pertinencia de la información recibida según su modelo de negocios, perfil de cliente y perfil de riesgo de LA/FT; y (ii) solicitar la información adicional que considere relevante y necesaria para adelantar una adecuada y efectiva gestión del riesgo LA/FT.

4.2.2.2.1.3.4. La responsabilidad de actualizar la información está en cabeza de cada una de las entidades con las cuales el cliente mantenga una relación contractual, sin perjuicio de dar cumplimiento a las demás normas del SARLAFT.

4.2.2.2.1.3.5. Es obligación permanente de cada una de las entidades vigiladas que conforman un conglomerado financiero incluir las modificaciones y solicitar la información adicional que como resultado de la evaluación y seguimiento de los factores de riesgo haya determinado cada una de ellas como relevante y necesaria para controlar el riesgo de LA/FT.

En todo caso, las entidades vigiladas son responsables por la efectiva implementación de su SARLAFT.

4.2.2.2.1.4. Procedimientos simplificados de conocimiento del cliente

En el desarrollo de los procedimientos de conocimiento del cliente, las entidades vigiladas pueden implementar procedimientos simplificados de conocimiento del cliente para las operaciones, productos o servicios que se encuentran listados en este subnumeral.

Los procedimientos simplificados de conocimiento del cliente para personas naturales deben comprender, como mínimo, la individualización de los potenciales clientes a través de la verificación de su identidad al momento de su vinculación con la siguiente información: el tipo de documento de identificación, el nombre, el número y la fecha de expedición del documento de identificación, así como el cumplimiento de lo establecido en el subnumeral 4.2.2.1.4. del presente Capítulo. Las entidades deben dar cumplimiento a lo dispuesto en los subnumerales 4.2.2.2.1.1.2.1. y 4.2.2.2.1.5. del presente Capítulo, y solicitar cualquier otra información que estimen pertinente para dar aplicación a los procedimientos del SARLAFT, dentro de los 3 días hábiles siguientes a la fecha de vinculación.

Los procedimientos simplificados de conocimiento del cliente para personas jurídicas aplican únicamente para entidades de naturaleza privada y deben comprender, como mínimo, la verificación, al momento de su vinculación, del documento que certifique la existencia y representación legal de la persona jurídica expedido por la autoridad competente. Dicho documento no podrá tener una vigencia superior a 30 días calendario. Las entidades deben dar cumplimiento a lo dispuesto en los subnumerales 4.2.2.1.4., 4.2.2.2.1.1.1.2., 4.2.2.2.1.1.2.1. y 4.2.2.2.1.5. del presente Capítulo, y solicitar cualquier otra información que estimen pertinente para dar aplicación a los procedimientos del SARLAFT, a más tardar al momento del pago o desembolso de los recursos.

Los procedimientos simplificados de conocimiento del cliente para estructuras sin personería jurídica deben comprender, como mínimo, la verificación, al momento de su vinculación, de un documento que certifique o de cuenta de su existencia. En todo caso, las entidades deben dar cumplimiento a lo dispuesto en los subnumerales 4.2.2.1.4., 4.2.2.2.1.1.1.2., 4.2.2.2.1.1.2.1. y 4.2.2.2.1.5. del presente Capítulo, y solicitar cualquier otra información que estimen pertinente para dar aplicación a los procedimientos del SARLAFT, a más tardar, al momento del pago o desembolso de los recursos.

Los procedimientos simplificados de conocimiento del cliente implican un tratamiento diferencial de las entidades vigiladas en las gestiones de conocimiento de sus clientes, poblamiento de la base de datos y el respectivo monitoreo de los factores de riesgo, pero en ningún caso las exime de cumplir con las demás disposiciones aplicables, incluyendo las del subnumeral 4.2.2.2.1.1.2.2. del presente Capítulo.

Para los mencionados tipos de clientes, productos, operaciones, servicios, la segmentación de los factores de riesgo referido en el numeral 4.2.2.3.2. del presente Capítulo, debe realizarse con la información que tengan disponible las entidades. En todo caso, las entidades vigiladas, a medida que cuenten con información adicional, deben dar cumplimiento a las instrucciones del presente Capítulo.

Las instrucciones especiales del procedimiento simplificado de conocimiento del cliente aplican únicamente para los siguientes trámites y productos. Por lo tanto, en el evento en que un cliente que cuente con alguno de estos productos decida adquirir un producto o servicio diferente, las entidades vigiladas deben obtener de manera completa la información de conocimiento del cliente requerida de acuerdo con lo previsto en el subnumeral 4.2.2.2.1.1.3. del presente Capítulo, de manera previa a la realización de cualquier operación.

4.2.2.2.1.4.1. Operaciones realizadas con organismos multilaterales.

4.2.2.2.1.4.2. La constitución de fiducias de administración para el pago de obligaciones pensionales.

4.2.2.2.1.4.3. En los títulos de capitalización colocados mediante mercadeo masivo o contratos de red, siempre que el pago de las cuotas se haga mediante descuento directo de cuenta de ahorros, cuenta corriente o tarjeta de crédito, y que el cliente haya autorizado expresamente el traslado.

4.2.2.2.1.4.4. En los siguientes seguros:

4.2.2.2.1.4.4.1. Los tomados por entidades financieras, aseguradoras o sociedades administradoras de fondos de pensiones por cuenta de sus clientes.

4.2.2.2.1.4.4.2. Los relativos a la seguridad social.

4.2.2.2.1.4.4.3. Aquellos en que el tomador, asegurado, afianzado o beneficiario sea una persona jurídica bajo el régimen de derecho público, salvo los tomados por empresas industriales y comerciales del Estado y/o sociedades de economía mixta que no estén sometidas a inspección y vigilancia de la SFC.

4.2.2.2.1.4.4.4. Los contratos de reaseguro.

4.2.2.2.1.4.4.5. Los tomados mediante mercadeo masivo, bancaseguros, corresponsales y uso de red siempre que el pago de las primas se haga mediante descuento directo de cuenta de ahorros, cuenta corriente, tarjeta de crédito o cualquier forma de crédito otorgado por un establecimiento de crédito, y que el cliente haya autorizado expresamente el traslado.

4.2.2.2.1.4.4.6. Aquellos tomados por personas naturales o jurídicas por cuenta y a favor de sus empleados, cuyo origen sea un contrato de trabajo o relación laboral, respecto de la información del asegurado y el beneficiario. En lo que hace al tomador, la información debe solicitarse en su totalidad.

4.2.2.2.1.4.4.7. Aquellos que las entidades aseguradoras están obligadas a expedir por disposición legal. Para este tipo de seguros, la individualización de los potenciales clientes personas naturales se realiza con la verificación de los siguientes datos del documento de identificación: nombre, tipo y número. En todo caso, las entidades aseguradoras deben consultar al cliente en listas internacionales vinculantes para Colombia dentro de los 3 días hábiles siguientes a la vinculación de éste.

4.2.2.2.1.4.4.8. Aquellos otorgados mediante procesos de licitación pública.

4.2.2.2.1.4.4.9. De cumplimiento cuando se celebren para garantizar el cumplimiento de contratos con entidades de carácter público.

4.2.2.2.1.4.4.10. De accidentes personales en vuelo.

4.2.2.2.1.4.4.11. Los contratos de coaseguro para las compañías distintas a la líder.

4.2.2.2.1.4.4.12. Pólizas judiciales.

4.2.2.2.1.4.4.13. De salud.

4.2.2.2.1.4.4.14. Exequiales.

4.2.2.2.1.4.4.15. Los seguros tomados que cumplan con los siguientes requisitos de forma simultánea: (i) que el valor asegurado sea igual o inferior a 135 SMMLV y (ii) que el máximo pago anual de la prima sea igual o inferior a 6 SMMLV.

La cobertura de responsabilidad civil extracontractual no computa dentro del límite del valor asegurado del que trata el presente subnumeral.

4.2.2.2.1.4.5. Cuentas de ahorro abiertas exclusivamente para el manejo y pago de pasivos pensionales.

4.2.2.2.1.4.6. En los créditos que se instrumentan a través de libranza siempre que estas no excedan de 6 SMMLV y sean otorgadas a empleados de empresas que se encuentren previamente vinculadas en calidad de cliente con la entidad vigilada otorgante del crédito.

4.2.2.2.1.4.7. Ahorro pensional correspondiente al recaudo de aportes obligatorios de los regímenes pensionales a los que se refiere la Ley 100 de 1993.

4.2.2.2.1.4.8. Cuentas del auxilio de cesantías al que se refieren los art. 98 y siguientes de la Ley 50 de 1990. Para estos productos, la verificación de la identidad del potencial cliente en los términos descritos en el subnumeral 4.2.2.2.1.4. del presente Capítulo se podrá realizar al momento del retiro de los recursos.

4.2.2.2.1.4.9. Los productos o servicios financieros abiertos a nombre de los beneficiarios del programa “Familias en Acción” y “Familias Guardabosques” que hacen parte del programa “Contra Cultivos Ilícitos” administrados por la Departamento Administrativo para la Prosperidad Social siempre que estén destinadas exclusivamente al manejo de los recursos provenientes de dichos programas.

4.2.2.2.1.4.10. Aquellas operaciones, productos o servicios financieros en los cuales la información del potencial cliente se suministre directamente por una caja de compensación legalmente constituida y contenga cuando menos, la información de que trata el subnumeral 4.2.2.2.1. del “Conocimiento del cliente”.

4.2.2.2.1.4.11. Cuentas de ahorro abiertas exclusivamente para el pago de nómina. Cuando se manejen otros recursos en tales cuentas, no se aplica dicha excepción.

4.2.2.2.1.4.12. Los fondos de inversión colectiva en los que se inviertan los recursos recuperados que se restituyan a los afectados por los captadores o recaudadores no autorizados, a que se refiere el Decreto 4334 de 2008. Dicha excepción se aplica exclusivamente para la inversión de los citados recursos.

4.2.2.2.1.4.13. Los créditos educativos de que trata el art. 10.7.1.1.8. del Decreto 2555 de 2010, otorgados a personas naturales. Para que proceda esta excepción, el Instituto Colombiano de Crédito y Estudios Técnicos en el Exterior -ICETEX-debe contar con mecanismos alternativos que le permitan realizar un adecuado conocimiento de los destinatarios de tales créditos y que reconozcan la naturaleza de las operaciones que realiza.

4.2.2.2.1.4.14. Las transferencias de recursos de que trata el art. 1 del Decreto 4830 de 2010, realizadas por el Fondo Nacional de Calamidades a entidades públicas del orden nacional o territorial para ser administrados por éstas. Tratándose de los ordenadores del gasto y de las firmas autorizadas que puedan disponer de los recursos que el Fondo sitúe en los fondos de inversión colectiva de la Fiduciaria Previsora S.A. o de la entidad que para el efecto designe el Gobierno Nacional para la Administración del Fondo, cuentan con 20 días para obtener la información respectiva.

(...)

4.2.2.2.1.5.1. El concepto de Personas Expuestas Políticamente (PEP) comprende a las personas expuestas políticamente y a las personas expuestas políticamente extranjeras definidas en el Decreto 1081 de 2015, y demás normas que lo modifiquen, complementen, sustituyan o adicionen.

4.2.2.2.1.5.2. El SARLAFT debe contener mecanismos efectivos, eficientes y oportunos que permitan identificar que un cliente y/o potencial cliente: (i) detenta la calidad de PEP; (ii) tiene una sociedad conyugal, de hecho o de derecho con un PEP; (iii) sea familiar hasta el segundo grado de consanguinidad, segundo de afinidad y primero civil de un PEP; y (iv) tenga la calidad de asociado cercano, en los términos del art. 2.1.4.2.10 del Decreto 1081 de 2015, y demás normas que lo modifiquen, complementen, sustituyan o adicionen. Adicionalmente, dichos mecanismos deben permitir identificar al beneficiario final de un cliente y/o potencial cliente que detente la calidad de PEP. Para efectos de identificar a dicho beneficiario final, las entidades pueden emplear los procedimientos establecidos en el numeral 4.2.2.2.1.1.1.2. del presente Capítulo.

4.2.2.2.1.5.3. Con respecto a los clientes y/o potenciales clientes que detentan la calidad de PEP, las entidades vigiladas, además de aplicar las medidas normales de procedimiento de conocimiento del cliente, deben: (i) obtener la aprobación de la alta gerencia para la vinculación del cliente o para continuar con la relación comercial; (ii) adoptar medidas para establecer el origen de los recursos; (iii) prever procedimientos más exigentes de vinculación; y (iv) realizar un monitoreo continúo e intensificado de la relación comercial.

Para efectos de la aprobación para la vinculación de los clientes que detentan la calidad de PEP o para continuar con la relación comercial, el concepto de alta gerencia no incluye al oficial de cumplimiento.

4.2.2.2.1.5.4. Con respecto a las demás personas identificadas en el subnumeral 4.2.2.2.1.5.2. del presente Capítulo (con excepción de quien detenta la calidad de PEP), las entidades vigiladas deben establecer su perfil de riesgo. En aquellos casos en que el perfil de riesgo de la respectiva persona esté calificado por las entidades como de alto riesgo, las entidades vigiladas deben aplicar las medidas intensificadas de conocimiento del cliente contempladas en el subnumeral 4.2.2.2.1.5.3 del presente Capítulo.

4.2.2.2.1.6. Actualización de la información del cliente

Las entidades vigiladas deben contar con políticas y procedimientos para actualizar los datos de sus clientes conforme a las siguientes reglas:

4.2.2.2.1.6.1. Permitir la realización de todas las diligencias necesarias para verificar y actualizar los datos recolectados de los clientes que por su naturaleza puedan variar (dirección, teléfono, actividad económica, origen de los recursos, composición accionaria etc.). En este sentido, a partir del perfil del riesgo de LA/FT que se haya estimado para cada cliente como resultado de la aplicación de los procedimientos del SARLAFT, las entidades vigiladas pueden definir la periodicidad con la cual se debe realizar la actualización de estos datos que, en todo caso, no puede ser superior a tres años. No obstante, para aquellos clientes que se determine que pueden exponer a la entidad en un mayor grado al riesgo de LA/FT, la actualización de estos datos debe realizarse, como mínimo, anualmente. En el evento en que un cliente pase a ser catalogado de alto riesgo por la entidad y no se haya actualizado sus datos en más de un año, las entidades deben realizar todas las diligencias necesarias para actualizar los datos del mismo dentro del mes siguiente al cambio de categorización.

4.2.2.2.1.6.2. Las entidades vigiladas deben realizar la actualización de estos datos, siempre que se presenten situaciones que requieran recaudar información adicional para permitirle a la entidad comparar las características de las transacciones del cliente con su actividad económica y/o características del monto de sus ingresos o egresos. Para lo anterior, las entidades deben realizar todas las diligencias necesarias para actualizar los datos dentro del mes siguiente a la fecha del conocimiento de dicha situación.

4.2.2.2.1.6.3. En el evento en que cambie la participación de los accionistas o asociados que tengan directa o indirectamente más del 5% de su capital social, aporte o participación en el cliente o algún beneficiario final, corresponde a las entidades realizar todas las diligencias necesarias para obtener la información sobre la actualización de los datos de los mismos. A partir del perfil del riesgo de LA/FT que haya determinado la entidad como resultado de la aplicación de los procedimientos del SARLAFT, las juntas directivas de las entidades vigiladas pueden definir la periodicidad con la cual se debe realizar la actualización de estos datos que, en todo caso, no puede ser superior a tres años. No obstante, en aquellos casos que se determine que pueden exponer a la entidad en mayor grado al riesgo de LA/FT, las entidades deben realizar todas las diligencias necesarias para actualizar estos datos, como mínimo, anualmente. En el evento en que alguno de los accionistas o asociados que tengan directa o indirectamente más del 5% de su capital social, aporte o participación en el cliente, o su beneficiario final pase a ser catalogado de

(...)

4.2.5.1. Revisoría fiscal

Sin perjuicio de las funciones asignadas en otras disposiciones al revisor fiscal, éste debe elaborar un reporte anual dirigido a la junta directiva u órgano que haga sus veces, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARLAFT.

Además, debe poner en conocimiento del oficial de cumplimiento las inconsistencias y fallas detectadas en el SARLAFT y, en general, todo incumplimiento que detecte a las disposiciones que regulan la materia.

Igualmente el revisor fiscal debe reportar operaciones sospechosas a la UIAF, en cumplimiento del numeral 10 del art. 207 del C. de Cio. Para tal efecto, debe registrarse en la plataforma Sistema de Reporte en Línea (SIREL), administrado por la UIAF o en cualquier otro sistema que dicha entidad desarrolle para el reporte de operaciones sospechosas.

4.2.5.2. Auditoría Interna o quien ejecute funciones similares o haga sus veces

Sin perjuicio de las funciones asignadas en otras disposiciones a la auditoría interna, o quien ejecute funciones similares o haga sus veces, ésta debe evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT, con el fin de determinar las deficiencias y sus posibles soluciones en los términos del subnumeral 4 del presente Capítulo. Así mismo, debe informar los resultados de la evaluación al oficial de cumplimiento y a la junta directiva.

La auditoría interna, o quien ejecute funciones similares o haga sus veces, debe realizar una revisión periódica de los procesos relacionados con las parametrizaciones de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico.

4.2.6. Infraestructura tecnológica

Las entidades deben contar con la tecnología y los sistemas necesarios para garantizar la adecuada administración del riesgo de LA/FT. Para ello deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño, que cumpla como mínimo con las siguientes características:

4.2.6.1. Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo, garantizando que la estructura de datos definida para la captura de la información de los mismos contemple la totalidad de los campos necesarios para la adecuada administración del riesgo LAFT.

4.2.6.2. Consolidar las operaciones de los distintos factores de riesgo de acuerdo con los criterios establecidos por la entidad.

4.2.6.3. Centralizar los registros correspondientes a cada uno de los factores de riesgo y en forma particular a cada uno de los clientes.

4.2.6.4. Generar en forma automática los reportes internos y externos, distintos de los relativos a operaciones sospechosas, sin perjuicio de que todos los reportes a la UIAF sean enviados en forma electrónica.

4.2.7. Divulgación de la Información

Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes.

En concordancia con el art. 97 del EOSF y demás disposiciones legales vigentes sobre la materia, las entidades deben suministrar al público la información necesaria con el fin de que el mercado pueda evaluar las estrategias de administración del riesgo de LA/FT. Para el cumplimiento de las obligaciones de reporte establecidas en los arts. 102 a 107 del EOSF, todas las entidades vigiladas, incluyendo aquellas exceptuadas de la aplicación de este capítulo, deben cumplir sus obligaciones de reporte ante las autoridades competentes, conforme a los documentos técnicos e instructivos anexos a este capítulo.

Los siguientes son los reportes mínimos que deber tener en cuenta las entidades en el diseño del SARLAFT:

4.2.7.1. Reportes internos

Los reportes internos son de uso exclusivo de la entidad.

4.2.7.1.1. Transacciones inusuales

La entidad debe prever dentro del SARLAFT los procedimientos para que el responsable de la detección de operaciones inusuales, reporte las mismas a la instancia competente de analizarlas. El reporte debe indicar las razones que determinan la calificación de la operación como inusual.

4.2.7.1.2. Operaciones sospechosas

De conformidad con el numeral 2. literal d. del art. 102 del EOSF, constituye una operación sospechosa cualquier información relevante sobre manejo de activos, pasivos u otros recursos, cuya cuantía o características no guarden relación con la actividad económica de sus clientes, o sobre transacciones de sus usuarios que por su número, por las cantidades transadas o por las características particulares de las mismas, puedan conducir razonablemente a sospechar que los mismos están usando a la entidad para transferir, manejar, aprovechar o invertir dineros o recursos provenientes de actividades delictivas o destinados a su financiación.

El SARLAFT debe prever los procedimientos de reporte al funcionario o instancia competente, con las razones objetivas que ameritaron tal calificación.

4.2.7.1.3. Reportes de la etapa de monitoreo

Como resultado del monitoreo deben elaborarse reportes que permitan establecer el perfil de riesgo residual de la entidad, la evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y de los riesgos asociados. Dichos reportes deben tener una periodicidad acorde con el perfil de riesgo residual de LA/FT de la entidad, pero en todo caso, deben realizarse con una periodicidad mínima semestral

(...)

4.2.8.5. Señalar el alcance de estos programas, los medios que se emplearán para ejecutarlos y los procedimientos que se adelantarán para evaluarlos. Los programas deben constar por escrito.

4.2.8.6. Considerar la realización de cualquier programa de entrenamiento que sea o vaya ser ofrecido por la UIAF, que esté dirigido a los actores del sistema nacional antilavado de activos y contra financiación al terrorismo, en los términos que señale dicha entidad.

5. REGLAS ESPECIALES PARA TRANSFERENCIAS

En las transferencias de fondos realizadas dentro del territorio nacional, así como en las transferencias internacionales, es decir, aquellas operaciones en virtud de las cuales salen o ingresan divisas al país, debe capturarse y conservarse la información relacionada con el ordenante y con el beneficiario de acuerdo con las instrucciones del presente numeral.

En toda transferencia se debe capturar y conservar toda la información que aparezca en el mensaje relacionada con el/los ordenante(s) y el/los beneficiario(s).

Las transferencias que se realicen a través de entidades vigiladas por la SFC y en las cuales el ordenante y el beneficiario sean clientes de las mismas se encuentran exceptuadas del presente numeral.

Quien realice como ordenante o reciba como beneficiario, 3 o más operaciones de transferencia en el trimestre, o 5 o más en el semestre, o 6 o más en un año, cuyo monto individual sea superior a medio salario mínimo legal mensual vigente, se considera como cliente.

Así mismo, quien realice como ordenante o reciba como beneficiario más de 3 operaciones de transferencia en el trimestre, más de 6 al semestre, o más de 12 en un año, cuyo monto individual sea igual o inferior a medio salario mínimo legal mensual vigente, se considera como cliente.

5.1. Transferencias internacionales

Las entidades ordenantes deben garantizar que las transferencias internacionales contengan la información necesaria y precisa sobre el ordenante, así como la información necesaria sobre el beneficiario de conformidad con las instrucciones aquí descritas:

5.1.1. Transferencias realizadas a través de SWIFT

5.1.1.1. Información del ordenante

La siguiente es la información mínima del ordenante que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: (i) nombre/s y apellido/s (en caso de personas naturales), o nombre o razón social (en caso de personas jurídicas o estructuras sin personería jurídica); (ii) dirección, indicando el país y la ciudad, o el número del documento identidad, o el número de identificación del cliente, o la fecha y el lugar de nacimiento; (iii) el número de cuenta o número de referencia de la transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla; y (iv) la entidad ordenante. Las entidades ordenantes deben comprobar la exactitud de la información necesaria sobre el ordenante.

Sin embargo, en el evento en que el monto de la transferencia sea igual o menor del equivalente a mil dólares estadounidenses (USD 1.000), las entidades ordenantes deben solicitar, como mínimo, la siguiente información respecto del ordenante: (i) nombre/s y apellido/s (en caso de personas naturales), o nombre o razón social (en caso de personas jurídicas o estructuras sin personería jurídica), y (ii) el número de cuenta o número de referencia de la transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla. En este caso, las entidades ordenantes deben comprobar la exactitud de la información mínima requerida sobre el ordenante siempre que, de acuerdo con el análisis de riesgo de la entidad, exista riesgo de materialización del riesgo LA/FT con respecto de dicha transferencia. La información mínima requerida del ordenante debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago.

En el caso en que el mensaje relacionado contenga información adicional debe capturarse tal información.

5.1.1.2. Información del beneficiario

Las entidades ordenantes deben solicitar la siguiente información mínima del beneficiario, que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: (i) nombre/s y apellido/s en caso de personas naturales), o nombre o razón social (en caso de personas jurídicas o estructuras sin personería jurídica), y (ii) el número de cuenta o número de referencia de transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla.

5.1.1.3. Pagos de transferencias

Al momento de pagar transferencias del exterior, las entidades beneficiarias deben exigir a las personas que sean beneficiarias de la transferencia (sin ser clientes) la siguiente información:

5.1.1.3.1. En el caso de personas naturales: (i) nombre/s y apellido/s; (ii) tipo y número de identificación, domicilio, número telefónico, y (iii) número de cuenta o número de referencia de la transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla.

5.1.1.3.2. En el caso de personas jurídicas o estructuras sin personería jurídica: (i) nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal, domicilio, número telefónico, y (ii) número de cuenta o número de referencia de transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla.

Las entidades beneficiarias deben comprobar la exactitud de la información necesaria sobre el beneficiario, en particular, su identidad, siempre que dicha información no haya sido verificada con anterioridad. Sin perjuicio de lo anterior, las entidades beneficiarias no deben comprobar la exactitud de la información necesaria del beneficiario siempre que: (i) el monto de la transferencia sea igual o menor del equivalente a mil dólares estadounidenses (USD 1.000); y (ii) de acuerdo con su análisis de riesgo de la entidad beneficiaria, no exista riesgo de materialización del riesgo LA/FT con respecto al pago de dicha transferencia.

Cuando se actúe a través de mandatario debe exigirse además el nombre/s y apellido/s y tipo y número de identificación.

5.1.2. Transferencias realizadas a través de money remitters o cualquier otro sistema

La siguiente es la información mínima del ordenante que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: (i) nombres y apellidos (en caso de personas naturales), o nombre o razón social (en caso de personas jurídicas o estructuras sin personería jurídica); (ii) dirección, indicando el país y la ciudad, o el número del documento nacional de identidad, o el número de identificación del cliente, o la fecha y el lugar de nacimiento; (iii) la entidad originadora / money remitters; y (iv) el número de cuenta o número de referencia de transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla. En el caso en que el mensaje relacionado contenga información adicional debe capturarse tal información. Las entidades ordenantes deben comprobar la exactitud de la información necesaria sobre el ordenante.

Sin perjuicio de lo anterior, en el evento en que el monto de la transferencia sea igual o menor del equivalente a mil dólares estadounidenses (USD 1.000), las entidades ordenantes pueden solicitar, como mínimo, la siguiente información respecto del ordenante: (i) nombre/s y apellido/s (en caso de personas naturales), o nombre o razón social (en caso de personas jurídicas o estructuras sin personería jurídica), y (ii) el número de cuenta o número de referencia de la transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla. En este caso, las entidades ordenantes deben comprobar la exactitud de la información mínima requerida sobre el ordenante siempre que, de acuerdo con el análisis de riesgo de la entidad, exista riesgo de materialización del riesgo LA/FT con respecto de dicha transferencia. La información mínima requerida del ordenante debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago.

Cuando se actúe a través de mandatario debe exigirse además el nombre/s y apellido/s y tipo y número de identificación.

5.1.2.1. Información del beneficiario

Las entidades ordenantes deben solicitar la siguiente información del beneficiario, que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: (i) nombre/s y apellido/s en caso de personas naturales), o nombre o razón social (en caso de personas jurídicas o estructuras sin personería jurídica), y (ii) el número de cuenta o número de referencia de transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla.

5.1.2.2. Pagos de transferencias

Al momento de pagar transferencias del exterior, las entidades beneficiarias deben exigir a las personas que sin ser clientes sean beneficiarias de la transferencia, la siguiente información:

5.1.2.2.1. En el caso de personas naturales: (i) nombre/s y apellido/s; (ii) tipo y número de identificación, domicilio, número telefónico; (iii) tipo y número de identificación, domicilio, número telefónico, y número de cuenta o número de referencia de transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla.

5.1.2.2.2. En el caso de personas jurídicas o estructuras sin personería jurídica: Nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal, domicilio, número telefónico, y número de cuenta o número de referencia de transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla.

Cuando se actúe a través de mandatario debe exigirse además el nombre/s y apellido/s y tipo y número de identificación.

Las entidades beneficiarias deben comprobar la exactitud de la información necesaria sobre el beneficiario, en particular, su identidad, siempre que dicha información no haya sido verificada con anterioridad. Sin perjuicio de lo anterior, las entidades beneficiarias no deben comprobar la exactitud de la información necesaria del beneficiario siempre que: (i) el monto de la transferencia sea igual o menor del equivalente a mil dólares estadounidenses (USD 1.000); y (ii) de acuerdo con su análisis de riesgo de la entidad beneficiaria, no exista riesgo de materialización del riesgo LA/FT con respecto al pago de dicha transferencia.

5.1.3. Transferencias electrónicas agrupadas

Cuando varias transferencias internacionales de un único ordenante estén agrupadas en un solo archivo de procesamiento por lotes para su transferencia a varios beneficiarios, el archivo debe contener la siguiente información mínima del ordenante que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: (i) nombre/s y apellido/s (en caso de personas naturales), o nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal (en caso de personas jurídicas o estructuras sin personería jurídica); (ii) dirección, indicando el país y la ciudad, o el número del documento nacional de identidad, o el número de identificación del cliente, o la fecha y el lugar de nacimiento; (iii) el número de cuenta o número de referencia de la transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla; y (iv) entidad financiera originadora.

Así mismo, este archivo debe contener la siguiente la información mínima de los beneficiarios que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: (i) nombre/s y apellido/s (en caso de personas naturales), o nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal (en caso de personas jurídicas o estructuras sin personería jurídica) y (ii) el número de cuenta o número de referencia de transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla.

Las entidades vigiladas deben comprobar la exactitud de la información necesaria sobre el ordenante y el beneficiario.

5.1.4. Entidades intermediarias

Para las transferencias electrónicas internacionales, las entidades que actúen como intermediario deben garantizar que toda la información sobre el ordenante y el beneficiario que acompaña la transferencia electrónica se conserve con la misma.

Las entidades intermediarias deben cumplir con lo dispuesto en el numeral 5.4. del presente Capítulo.

La entidad intermediaria debe tomar medidas razonables, que correspondan con los procesos de pago directo, para identificar las transferencias electrónicas internacionales que carecen de la información necesaria sobre el ordenante o sobre el beneficiario.

La entidad intermediaria debe contar con políticas y procedimientos basados en riesgo para determinar: (i) cuándo ejecutar, rechazar o suspender una transferencia electrónica que carezca de la información necesaria sobre el ordenante o la información necesaria sobre el beneficiario; y (ii) la acción de seguimiento apropiada.

5.1.5. Entidades beneficiarias

Las entidades beneficiarias deben tomar medidas razonables para identificar las transferencias internacionales que carecen de la información necesaria sobre el ordenante o la información necesaria sobre el beneficiario. Estas medidas pueden incluir el monitoreo posterior o en tiempo real, cuando sea factible.

Para las transferencias electrónicas, las entidades beneficiarias deben verificar la identidad del beneficiario, si la identidad no ha sido verificada con anterioridad, y mantener esta información por un período de al menos cinco años.

La entidad beneficiaria debe contar con políticas y procedimientos eficaces basados en el riesgo para determinar: (i) cuándo ejecutar, rechazar o suspender una transferencia electrónica que carezca de la información necesaria sobre el ordenante o el beneficiario; y (ii) la acción de seguimiento apropiada.

5.2. Transferencias nacionales

En el caso de transferencias nacionales, la siguiente es la información mínima del ordenante y beneficiario que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago, sin perjuicio de cualquier información adicional que cada entidad considere relevante.

5.2.1. En el caso de personas naturales: (i) nombre/s y apellido/s; (ii) tipo y número de identificación, domicilio, número telefónico, ciudad, y (iii) número de cuenta o número de referencia de transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla.

5.2.2. En el caso de personas jurídicas o estructuras sin personería jurídica: (i) nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal, domicilio, número telefónico, ciudad, y (ii) número de cuenta o número de referencia de transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla.

En todo caso, la transferencia nacional puede incluir la información acerca del número de cuenta o número de referencia de transacción o, en su defecto, un único número de referencia de la transacción que permita rastrearla, siempre que: (i) este número permita rastrear la transacción hasta el ordenante y/o el beneficiario, y (ii) la entidad beneficiaria pueda obtener la información del ordenante por otros medios verificables.

Cuando se actúe a través de mandatario debe exigirse además el nombre/s y apellido/s y tipo y número de identificación.

Tratándose de los depósitos de bajo monto que cumplan con las características del artículo 2.1.15.1.2. del Decreto 2555 de 2010, la información mínima del ordenante que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago, es el nombre/s y apellido/s; tipo y número de identificación y la fecha de expedición del respectivo documento de identidad.

5.3. Reportes de operaciones sospechosas

Cuando tanto el ordenante como el beneficiario de una transferencia hagan uso de la misma entidad vigilada, aquella debe, además de lo señalado en su SARLAFT, tener en cuenta toda la información, tanto del ordenante como del beneficiario, con el fin de dar cumplimiento al deber de reporte contenido en el subnumeral 4.2.7.2.1. del presente Capítulo.

5.4. Documentación

Las entidades vigiladas deben cumplir con los criterios y procesos de manejo, guarda y conservación de la información obtenida del ordenante y del beneficiario, de conformidad con el art. 96 del EOSF.

6. SANCIONES FINANCIERAS DIRIGIDAS

Para garantizar el cumplimiento de las obligaciones internacionales de Colombia relativas al congelamiento y prohibición de manejo de fondos u otros activos de personas y entidades señaladas por el Consejo de Seguridad de las Naciones Unidas, asociadas a financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva, en consonancia con el art. 20 de la Ley 1121 de 2006 y las Recomendaciones del GAFI en esta materia, las entidades vigiladas deben hacer seguimiento y monitoreo permanentemente a las Resoluciones 1267 de 1999, 1988 de 2011, 1373 de 2001, 1718 y 1737 de 2006 y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas y a todas aquellas que le sucedan, relacionen y complementen.

En línea con lo dispuesto en las Cartas Circulares 110 de 2015 y 58 de 2016, en el evento de encontrar cualquier bien, activo, producto, fondo o derecho de titularidad a nombre, administración o control de cualquier país, persona y/o entidad señalada por estas resoluciones, la entidad vigilada, de manera inmediata, debe ponerlo en conocimiento del Vicefiscal General de la Nación y de la UIAF a través de los canales electrónicos seguros que determinen estas entidades, guardando la respectiva reserva legal.

7. PRÁCTICA INSEGURA

ANEXO 2.

PARTE III - TÍTULO VI - CAPITULO V.

6.3.2. Certificación expedida por el representante legal donde manifieste:

6.3.2.1 Que ha verificado que la sociedad administradora de los fondos del exterior que pretende distribuir cumple con los requisitos establecidos en el Libro 6 de la Parte 3 del Decreto 2555 de 2010.

6.3.2.2 Que el acuerdo de distribución suscrito con la sociedad administradora de los fondos del exterior incluye las reglas particulares necesarias para que el distribuidor pueda cumplir plenamente con las obligaciones derivadas de la actividad de distribución de fondos de inversión del exterior en Colombia.

El acuerdo de distribución celebrado con la sociedad administradora de fondos de inversión del exterior debe estar a disposición de la SFC cuando ésta lo requiera.

6.4. Obligaciones especiales para la distribución del fondos del exterior a través de cuentas ómnibus.

El distribuidor especializado de fondos de inversión del exterior debe cumplir con las obligaciones de los distribuidores especializados a través de cuentas ómnibus contenidos en el numeral 3 de este capítulo.

Adicionalmente, durante la etapa de promoción y vinculación debe entregar a cada inversionista un documento resumen del fondo de inversión del exterior, que incluya:

6.4.1. Identificación de la entidad administradora del fondo.

6.4.2. Identificación de la autoridad encargada de la supervisión de la entidad administradora y del fondo en la jurisdicción de origen.

6.4.3. Identificación del custodio profesional y de la autoridad encargada de su supervisión en la jurisdicción de origen.

6.4.4. Los requisitos de vinculación establecidos por el reglamento del fondo de inversión del exterior y por el régimen legal aplicable en la respectiva jurisdicción, así como el tipo de inversionista que puede adquirir o enajenar sus participaciones.

6.4.5. Tipo de fondo de inversión y política de redención de participaciones del fondo.

6.4.6. Breve resumen de la política de inversión que incluya el objetivo del fondo y principales riesgos asociados a la inversión.

6.4.7. Los mecanismos mediante los cuales los inversionistas pueden acceder a la información relacionada el numeral 2 del artículo 3.6.1.1.2 del Decreto 2555 de 2010.

6.4.8. Todas las tarifas y comisiones a cobrarse al cliente, incluyendo comisiones de entrada, salida, rendimientos y/o cualquier otra imputable al inversionista.

6.4.9. La calificación del fondo de inversión, si aplica.

6.4.10. La manifestación de que el administrador de la cuenta ómnibus responderá hasta la culpa leve en el cumplimiento de sus funciones como experto prudente y diligente.

6.4.11. La manifestación de que la supervisión tanto del fondo de inversión del exterior como de su entidad administradora se realiza por parte de la autoridad de supervisión de la jurisdicción de origen y no por parte de la SFC.

7. ADQUISICIÓN DE PARTICIPACIONES DE BAJO MONTO EN FICS

7.1 Características

Se entiende por adquisición de participaciones de bajo monto en FICs aquellas que cumplan con las siguientes condiciones:

7.1.1. Los inversionistas que las realizan: (i) sean personas naturales, (ii) sean los mismos beneficiarios finales de las operaciones de adquisición o redención de participaciones en los FICs, y (iii) no sean consideradas como personas expuestas políticamente.

7.1.2. Los recursos para la adquisición de participaciones de bajo monto en FICs provienen de productos de titularidad del inversionista. Para efectos del subnumeral 7 del presente Capítulo, “producto” tiene el significado asignado en el Capítulo IV del Título IV de la Parte 1 de la CBJ.

7.1.3 Los montos de las operaciones de adquisición o redención de participaciones del inversionista en todos los FICs administrados por la misma sociedad administradora o distribuidos a través de cuenta ómnibus por el distribuidor especializado no superen en el mes calendario sesenta y seis mil Unidades de Valor Real (66.000 UVR) vigentes al 31 de diciembre del año inmediatamente anterior.

7.1.4. El monto total de las participaciones del inversionista en todos los FICs administrados por la misma sociedad administradora o distribuidos a través de cuenta ómnibus, no excedan sesenta y seis mil Unidades de Valor Real (66.000 UVR) vigentes al 31 de diciembre del año inmediatamente anterior.

7.2. Vinculación simplificada

Las sociedades administradoras o los distribuidores especializados pueden vincular inversionistas mediante el trámite contemplado en el presente numeral para la adquisición de participaciones de bajo monto en FICs. En estos casos, el proceso para llevar a cabo el conocimiento de los clientes debe comprender la individualización de éstos a través de la verificación de la siguiente información contenida en el documento de identidad de los clientes: el tipo de documento de identidad, el nombre, el número y la fecha de expedición. Esta verificación se debe llevar a cabo al momento de la vinculación del cliente. Adicionalmente, las entidades deben dar cumplimiento a lo dispuesto en los subnumerales 4.2.2.1.4. y 4.2.2.2.1.1.2. del Capítulo IV del Título IV de la Parte 1 de la CBJ.

Las excepciones y reglas especiales contenidas en el presente numeral para la vinculación de clientes aplican únicamente para la adquisición de participaciones de bajo monto en FICs. Por lo tanto, en el evento en que el inversionista (i) decida realizar una operación que supere el monto de sesenta y seis mil Unidades de Valor Real (66.000 UVR) vigentes al 31 de

×