Puede realizar búsquedas exactas dentro de este documento, ingrese el texto a buscar en la siguiente casilla:
CIRCULAR EXTERNA 20240000245 DE 2024
(febrero 14)
Diario Oficial No. 52.669 de 14 de febrero de 2024
SUPERINTENDENCIA DE VIGILANCIA Y SEGURIDAD PRIVADA
| PARA: | EMPRESAS TRANSPORTADORAS DE VALORES, EMPRESAS DE VIGILANCIA Y SEGURIDAD PRIVADA CON ARMAS Y SIN ARMAS, COOPERATIVAS DE VIGILANCIA Y SEGURIDAD PRIVADA, EMPRESAS BLINDADORAS DE VEHÍCULOS, EMPRESAS ARRENDADORAS DE VEHÍCULOS BLINDADOS, SERVICIOS COMUNITARIOS DE VIGILANCIA Y SEGURIDAD PRIVADA, EMPRESAS DE CAPACITACIÓN Y ENTRENAMIENTO EN VIGILANCIA Y SEGURIDAD PRIVADA, EMPRESAS DE ASESORÍA, CONSULTORÍA E INVESTIGACIÓN EN SEGURIDAD, Y EMPRESAS DE FABRICACIÓN, INSTALACIÓN, COMERCIALIZACIÓN Y UTILIZACIÓN DE EQUIPOS PARA VIGILANCIA Y SEGURIDAD PRIVADA Y DEPARTAMENTOS DE SEGURIDAD. |
| DE: | SUPERINTENDENCIA DE VIGILANCIA Y SEGURIDAD PRIVADA |
| ASUNTO: | SISTEMA DE ADMINISTRACIÓN DE RIESGO DE LAVADO DE ACTIVOS FINANCIACIÓN DEL TERRORISMO Y FINANCIACIÓN DE LA PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA (SARLAFT 2.0) |
| FECHA: | 14 DE FEBRERO DE 2024 |
Con el fin de actualizar y compilar la normatividad a las recomendaciones de organismos internacionales sobre Política General de Supervisión, Política Nacional Antilavado de Activos, Contra la Financiación del Terrorismo y Contra la Financiación de la Proliferación de Armas de Destrucción Masiva, es prioritario para esta entidad, actualizar, compilar e instruir sobre las disposiciones que regulan la actividad de los servicios vigilados, sujetos del cumplimiento normativo en esta materia, así como, fijar criterios técnicos y jurídicos que faciliten el cumplimiento de las normas legales, señalar procedimientos para su aplicación, e impartir órdenes e instrucciones que se requieran.
Que la presente circular tiene como objetivo principal profundizar el enfoque basado en riesgos tanto en la supervisión que adelanta la Superintendencia de Vigilancia y Seguridad Privada, como en la gestión de riesgos LA/FT/FP y reporte de operaciones sospechosas a la UIAF, por parte de los sujetos obligados pertenecientes al sector de vigilancia, así como en la identificación, segmentación, calificación, individualización, control y actualización de los factores de riesgos y los riesgos asociados a la probabilidad de que éstas puedan ser usadas o puedan prestarse como medio en actividades relacionadas con el lavado de activos, el financiamiento del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva.
Que la Superintendencia de Vigilancia y Seguridad Privada fija nuevos lineamientos sobre la manera en que se debe tratar el riesgo de lavado de activos y financiación del terrorismo, con el propósito de mejorar la eficacia en su manejo y, así, mitigar los efectos nocivos que puedan llegar a materializarse. Dentro de este ajuste, se pretende incorporar los requisitos establecidos en las Recomendaciones más actualizadas del Grupo de Acción Financiera Internacional (GAFI) y las Notas Interpretativas, que constituyen el estándar internacional para combatir el lavado de activos y el financiamiento del terrorismo.
1. Consideraciones generales
Que la Superintendencia de Vigilancia y Seguridad Privada, en cumplimiento de su política de supervisión con enfoque basado en riesgos ha identificado que una de las contingencias a las que están expuestas los servicios sujetos a su control, inspección y vigilancia, están en la probabilidad de incurrir en actividades de lavado de activos, de financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva.
Que el lavado de activos, el financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva, (en adelante LA/FT/FP) son fenómenos delictivos que generan consecuencias negativas para la economía del país y para las empresas del sector de Vigilancia y Seguridad Privada. Lo cual puede traducirse en el acaecimiento de riesgos operacionales, legales, reputacionales, de contagio y de mercado, entre otros riesgos.
Qué para las entidades del sector de Vigilancia y Seguridad Privada, resulta imprescindible, en los términos de la presente circular, implementar un Sistema de Administración de Riesgo de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva SARLAFT20. En ese sentido, es importante seguir las recomendaciones que, en materia de prevención del Riesgo de LA/FT/FP, han establecido el Grupo de Acción Financiera Internacional (GAFI) y las convenciones internacionales sobre la materia.
Que con base en las normas, estándares internacionales y lineamentos expuestos más adelante, los servicios sujetos a la aplicación de esta circular deberán realizar un análisis de su exposición y establecer su propio Sistema de Administración de Riesgo LA/FT/FP, según las características y condiciones de su operación, negocio, bienes y servicios que ofrece, comercialización, áreas geográficas donde opera, contrapartes y de los beneficiarios finales de sus contrapartes, entre otros aspectos, que resulten relevantes en el diseño del mismo.
2. Marco normativo
A. Normas y estándares internacionales sobre LA/FT/FP
Colombia ha ratificado, entre otras, las siguientes convenciones y convenios de Naciones Unidas, con el fin de enfrentar las actividades delictivas relacionadas con el LA/FT/FP. A continuación, se cita el nombre de la convención, la ley aprobatoria y la sentencia de constitucionalidad proferida por la Corte Constitucional dentro del trámite de ratificación:
- Convención de Viena de 1988: Convención de las Naciones Unidas Contra el Tráfico de Estupefacientes y Sustancias Psicotrópicas (Aprobada por la Ley 67 de 1993 y Sentencia C-176 de 1994).
- Convenio de Naciones Unidas para la Represión de la Financiación del Terrorismo de 1999 (Aprobado por la Ley 808 de 2003 y Sentencia C-037 de 2004).
- Convención de Palermo de 2000: Convención de Naciones Unidas Contra la Delincuencia Organizada (Aprobada por la Ley 800 de 2003 y Sentencia C-962 de 2003).
- Convención de Mérida de 2003: Convención de Naciones Unidas Contra la Corrupción (Aprobada por la Ley 970 de 2005 y Sentencia C 172 de 2006).
Por su parte, el Grupo de Acción Financiera Internacional, diseñó las 40 Recomendaciones, con las cuales dicho organismo intergubernamental instó a los países a identificar los Riesgos LA/FT/FP a los que se exponen sus instituciones financieras y APNFD y, con base en ese riesgo, adoptar medidas para la mitigación de este, con un enfoque de supervisión basado en riesgos, con medidas más acordes con la naturaleza de los riesgos debidamente identificados (Recomendación GAFI número 1).
La nota interpretativa de la Recomendación 1 del GAFI señala que, al implementar un enfoque basado en riesgo, las Instituciones financieras y las APNFD deben tener establecidos procesos para identificar, evaluar, monitorear, administrar y mitigar los Riesgos LA/FT/FP. El principio general de un enfoque basado en riesgo es que, cuando existan riesgos mayores se deben ejecutar medidas intensificadas para administrar y mitigar esos riesgos; y que, por su parte, cuando los riesgos sean menores, puede permitirse la aplicación de medidas simplificadas. En todo caso, no se permiten medidas simplificadas cuando exista una sospecha de LA/FT/FP.
A su vez, la Recomendación 15 del GAFI insta a los países para gestionar y mitigar los riesgos que surjan de los activos virtuales, quienes deben garantizar que los proveedores de servicios de activos virtuales estén regulados para propósitos ALA/CFT, y tengan licencia o registro y estén sujetos a sistemas de monitoreo efectivo y asegurar el cumplimiento de las medidas relevantes requeridos en las Recomendaciones del GAFI.
Adicionalmente, la Recomendación 28 del GAFI señala que los países deben asegurar que las demás categorías de APNFD estén sujetas a sistemas eficaces para el monitoreo y asegurar el cumplimiento de los requisitos ALA/CFT. Esto debe hacerse de acuerdo al riesgo. Ello puede ser ejecutado por a) un supervisor o por b) un organismo autorregulador (OAR) apropiado, siempre que dicho organismo pueda asegurar que sus miembros cumplan con sus obligaciones para combatir el lavado de activos y el financiamiento del terrorismo.
Finalmente, GAFI considera que para que un sistema de supervisión tenga resultados efectivos, los países deben asegurar sanciones eficaces, proporcionales y disuasivas, ya sean penales, civiles o administrativas, aplicables a las personas naturales o jurídicas que incumplan con las medidas para combatir el LA/FT/FP, incluso a sus directores y a la alta gerencia.
2.1. Normas nacionales
Según lo dispuesto en el artículo 7o del Decreto Ley 356 de 1994, le corresponde a la Superintendencia de Vigilancia y Seguridad Privada, ejercer control, inspección y vigilancia sobre todas las personas naturales o jurídicas que desarrollen actividades de vigilancia y seguridad privada y sus usuarios de conformidad con lo establecido en la ley.
Que en virtud de lo establecido en los artículos 2o y 4o numeral 14 del Decreto número 2355 de 2006, es función de la Superintendencia de Vigilancia y Seguridad Privada vigilar el cumplimiento de las disposiciones legales que regulan el servicio de vigilancia y seguridad privada, ejerciendo el control, inspección y vigilancia sobre la industria y los servicios de vigilancia y seguridad privada, para alcanzar sus objetivos.
El Artículo 76 del Decreto Ley 356 de 1994 señala que la Superintendencia de Vigilancia y Seguridad privada está facultada para imponer sanciones o multas, sucesivas o no, hasta por cien (100) SMLMV, a quienes infrinjan lo dispuesto en el estatuto de vigilancia.
El artículo 10 de la Ley 526 de 1999, señala que las autoridades que ejerzan funciones de inspección, vigilancia y control deben instruir a sus supervisados sobre las características, periodicidad y controles en relación con la información por reportar a la UIAF, de acuerdo con los criterios e indicaciones que se reciban de esa entidad.
Así mismo, el artículo 10 de la Ley 1121 de 2006 refiere que “La aplicación del procedimiento e imposición de las sanciones será realizada por la respectiva autoridad que ejerza las funciones de inspección, control o vigilancia, para lo cual dará cumplimiento a las normas administrativas de carácter especial que le sean aplicables o en su defecto dará aplicación al procedimiento contemplado en el Código Contencioso Administrativo”.
El artículo 20 de la Ley 1121 de 2006 regula el procedimiento para la publicación y cumplimiento de las obligaciones relacionadas con listas vinculantes para Colombia de conformidad con el Derecho Internacional, para lo cual dispone que Relaciones Exteriores transmitirá las listas de personas y entidades asociadas con organizaciones terroristas, vinculantes para Colombia conforme al Derecho Internacional y solicitará a las autoridades competentes que realicen una verificación en las bases de datos con el fin de determinar la posible presencia o tránsito de personas incluidas en las listas y bienes o fondos relacionados con estas.
Que el Conpes 4042 de 2021, establece la Política Nacional Antilavado de Activos Contra la Financiación del Terrorismo y Contra la Financiación de la Proliferación de Armas de Destrucción Masiva.
A través de la Ley 1186 de 2008, declarada exequible mediante la sentencia de constitucionalidad C-685 de 2009, se aprobó entre otros, el “Memorando de entendimiento entre los gobiernos de los estados del Grupo de Acción Financiera de Sudamérica contra el lavado de activos (CAFISUD)”; por medio del cual se creó y puso en funcionamiento el Grupo de Acción Financiera de Sudamérica contra el Lavado de Activos (hoy GAFILAT) y se determinó, como objetivo, reconocer y aplicar las Recomendaciones GAFI contra el blanqueo de capitales y las recomendaciones y medidas que en el futuro adopte ese organismo.
El artículo 110 del Decreto Ley 356 de 1994 dispone: “CIRCULARES. La Superintendencia de Vigilancia y Seguridad Privada, emitirá circulares a los entes vigilados para divulgar información, instruir sobre las disposiciones que regulan su actividad, fijar criterios técnicos y jurídicos que faciliten el cumplimiento de las normas legales, señalar procedimientos para su aplicación e impartir órdenes e instrucciones que se requieran en desarrollo de su función de vigilancia, inspección y control” (negrilla fuera de texto).
Que el artículo 2.1.4.2 del Decreto número 1068 de 2015, dispone que las entidades públicas y privadas pertenecientes a sectores diferentes al financiero, asegurador y bursátil, deben reportar Operaciones Sospechosas a la UIAF, de acuerdo con el literal d) del numeral 2 del artículo 102 y los artículos 103 y 104 del Estatuto Orgánico del Sistema Financiero, cuando dicha Unidad lo solicite, en la forma y oportunidad que les señale.
Que el artículo 1o del Decreto número 1479 de 2022, establece que, en todo caso, las Superintendencias y la Dirección de Impuestos y Aduanas Nacionales (DIAN), informarán a la Unidad de Información y Análisis Financiero sobre las operaciones que puedan estar vinculadas al lavado de activos de las que tengan conocimiento por virtud de sus funciones.
3. Definiciones
Para efectos de la presente circular, los siguientes términos deben entenderse de acuerdo con las definiciones que a continuación se establecen:
Contexto externo: es el ambiente externo en el cual la organización busca alcanzar sus objetivos, que puede incluir: (i) el ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, bien sea internacional, nacional, regional o local; (ii) impulsores clave y tendencias que tienen impacto en los objetivos de la organización; y (iii) relaciones con personas y organizaciones que puede afectar, verse afectada, o percibirse a sí misma como afectada por una decisión o una actividad, y sus percepciones y valores.
Contexto interno: es el ambiente interno en el cual la organización busca alcanzar sus objetivos, como: (i) el gobierno, estructura organizacional, funciones y responsabilidades; (ii) políticas, objetivos y estrategias; (iii) capacidades, entendidas en términos de recursos y conocimiento (capital, tiempo, personas, procesos, sistemas y tecnología); (iv) sistemas de información, flujos de información y procesos para la toma de decisiones (formales e informales); (v) cultura organizacional; (vi) normas, directrices y modelos adoptados por la organización; y (vii) formas y extensión de relaciones contractuales.
Activo virtual: es la representación digital de valor que se puede comercializar o transferir digitalmente y se puede utilizar para pagos o inversiones. Los activos virtuales no incluyen representaciones digitales de moneda FIAT, valores y otros activos financieros que ya están cubiertos en otras partes de las Recomendaciones GAFI.
Activos: es un recurso económico presente controlado por la Empresa como resultado de sucesos pasados.
Área geográfica: es la zona del territorio en donde la Empresa desarrolla su actividad.
Beneficiario final: es la(s) persona(s) natural(es) que finalmente posee(n) o controla(n) directa o indirectamente a un cliente y/o a la persona natural en cuyo nombre se realiza una transacción. Incluye también a la(s) persona(s) naturales que ejerzan el control efectivo y/o final, directa o indirectamente, sobre una persona jurídica u otra estructura sin personería jurídica.
1. Son beneficiarios finales de la persona jurídica los siguientes:
a. Persona natural que, actuando individual o conjuntamente, ejerza control sobre la persona jurídica, en los términos del artículo 260 y siguientes del Código de Comercio;
b. Persona natural que, actuando individual o conjuntamente, sea titular, directa o indirectamente, del cinco por ciento (5%) o más del capital o los derechos de voto de la persona jurídica, y/o se beneficie en un cinco por ciento (5%) o más de los rendimientos, utilidades o activos de la persona jurídica;
c. Cuando no se identifique ninguna persona natural en los numerales 1 y 2, se debe identificar la persona natural que ostente el cargo de representante legal, salvo que exista una persona natural que ostente una mayor autoridad en relación con las funciones de gestión o dirección de la persona jurídica.
2. Son Beneficiarios Finales de un contrato fiduciario, de una estructura sin personería jurídica o de una estructura jurídica similar, las siguientes personas naturales que ostenten la calidad de: i. Fiduciante(s), fideicomitente(s), constituyente(s) o posición similar o equivalente; ii. Comité fiduciario, comité financiero o posición similar o equivalente; iii. Fideicomisario(s), beneficiario(s) o beneficiarios condicionados; y iv. Cualquier otra persona natural que ejerza el control efectivo y/o final, o que tenga derecho a gozar y/o disponer de los activos, beneficios, resultados o utilidades.
3. En caso de que una persona jurídica ostente alguna de las calidades establecidas previamente para la estructura sin personería jurídica o estructuras similares, será beneficiario final la persona natural que sea beneficiario final de dicha persona jurídica conforme al presente artículo.
Contraparte: es cualquier persona natural o jurídica con la que la Empresa tenga vínculos comerciales, de negocios, contractuales o jurídicos de cualquier orden. Entre otros, son contrapartes los asociados, empleados, clientes, contratistas y proveedores de productos de la Empresa.
Debida Diligencia: es el proceso mediante el cual la Empresa adopta medidas para el conocimiento de la Contraparte, de su negocio, operaciones, y productos y el volumen de sus transacciones, que se desarrolla establecido en el numeral 5.4.3 de esta circular.
Debida Diligencia Intensificada: es el proceso mediante el cual la Empresa adopta medidas adicionales y con mayor intensidad para el conocimiento de la contraparte, de su negocio, operaciones, productos y el volumen de sus transacciones, conforme se establece en el numeral 5.4.4 de esta circular.
Financiamiento del Terrorismo o FT: es el delito regulado en el artículo 345 del Código Penal Colombiano. El que directa o indirectamente provea, recolecte, entregue, reciba, administre, aporte, custodie o guarde fondos, bienes o recursos, o realice cualquier otro acto que promueva, organice, apoye, mantenga, financie o sostenga económicamente a grupos de delincuencia organizada, grupos armados al margen de la ley o a sus integrantes, o a grupos terroristas nacionales o extranjeros, o a terroristas nacionales o extranjeros, o a actividades terroristas, incurrirá en prisión de trece (13) a veintidós (22) años y multa de mil trescientos (1.300) a quince mil (15.000) salarios mínimos legales mensuales vigentes.
Financiamiento de la Proliferación de Armas de Destrucción Masiva o FP: es todo acto que provea fondos o utilice servicios financieros, en todo o en parte, para la fabricación, adquisición, posesión, desarrollo, exportación, trasiego de material, fraccionamiento, transporte, trasferencia, depósito o uso dual para propósitos ilegítimos en contravención de las leyes nacionales u obligaciones internacionales, cuando esto último sea aplicable.
Factores de Riesgo LA/FT/FP: son los posibles elementos o causas generadoras del Riesgo de LA/FT/FP. Los servicios obligados deberá identificarlos teniendo en cuenta a las contrapartes, los productos, las actividades, los canales y las jurisdicciones, entre otros.
GAFI: es el Grupo de Acción Financiera Internacional. Grupo intergubernamental creado en 1989 con el fin de expedir estándares a los países para la lucha contra el LA, el FT y el FP.
GAFILAT: Grupo de Acción Financiera de Latinoamérica, organización intergubernamental de base regional que agrupa a 18 países de América del Sur, Centroamérica y América del Norte, entre estos Colombia y fue creada en el año 2000.
LA/FT/FP: para efectos de la presente circular, significa Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva.
Lavado de Activos o LA: es el delito tipificado en el artículo 323 del Código Penal Colombiano. El que adquiera, resguarde, invierta, transporte, transforme, almacene conserve, custodie o administre bienes que tengan su origen mediato o inmediato en actividades de tráfico de migrantes, trata de personas, extorsión, enriquecimiento ilícito, secuestro extorsivo, rebelión, tráfico de armas, tráfico de menores de edad, financiación del terrorismo y administración de recursos relacionados con actividades terroristas, tráfico de drogas tóxicas, estupefacientes o sustancias psicotrópicas, delitos contra el sistema financiero, delitos contra la administración pública, o vinculados con el productos de delitos ejecutados bajo concierto para delinquir, o les dé a los bienes provenientes de dichas actividades apariencia de legalidad o los legalice, oculte o encubra la verdadera naturaleza, origen, ubicación, destino, movimiento o derecho sobre tales bienes o realice cualquier otro acto para ocultar o encubrir su origen ilícito, incurrirá por esa sola conducta, en prisión de diez (10) a treinta (30) años y multa de seiscientos cincuenta (650) a cincuenta mil (50.000) salarios mínimos legales mensuales vigentes.
Listas Vinculantes: son aquellas listas de personas y entidades asociadas con organizaciones terroristas que son vinculantes para Colombia bajo la legislación Colombiana (artículo 20 de la Ley 1121 de 2006) y conforme al Derecho Internacional, incluyendo pero sin limitarse a las Resoluciones 1267 de 1999, 1373 de 2001, 1718 y 1737 de 2006, 1988 y 1989 de 2011, y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas, y todas aquellas que le sucedan, relacionen y complementen, y cualquiera otra lista vinculante para Colombia (como las listas de terroristas de los Estados Unidos de América, la lista de la Unión Europea de Organizaciones Terroristas y la lista de la Unión Europea de Personas Catalogadas como Terroristas). La Superintendencia de Vigilancia y Seguridad Privada mantendrá en su página web un listado de las Listas Vinculantes para Colombia como una guía, sin que estas sean taxativas.
Matriz de Riesgo LA/FT/FP: es uno de los instrumentos que le permite a una Empresa identificar, individualizar, segmentar, evaluar y controlar los Riesgos LA/FT/FP a los que se podría ver expuesta, conforme a los Factores de Riesgo LA/FT/FP identificados.
Segmentación: es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).
Medidas Razonables: son las acciones suficientes, apropiadas y medibles en calidad y cantidad para mitigar el Riesgo LA/FT/FP, teniendo en cuenta los riesgos propios de los servicios obligados y su materialidad.
Oficial de Cumplimiento: es la persona natural designada por la empresa obligada que está encargada de promover, desarrollar y velar por el cumplimiento de las políticas y los procedimientos específicos de prevención, actualización y mitigación del Riesgo LA/ FT/FP.
Operación Inusual: es aquella operación irregular que por su cantidad o características no es acorde a la actividad económica que realiza la contraparte o se sale de los parámetros normales establecidos para esta o su industria.
Operación Sospechosa: es aquella operación que, por su número, cantidad o características no se enmarca dentro del sistema y prácticas normales del negocio, de una industria o de un sector determinado y, además que de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada.
PEP: sus siglas significan Personas Expuestas Políticamente, es decir, son los servidores públicos de cualquier sistema de nomenclatura y clasificación de empleos de la administración pública nacional y territorial, cuando en los cargos que ocupen, tengan en las funciones del área a la que pertenecen o en las de la ficha del empleo que ocupan, bajo su responsabilidad directa o por delegación, la dirección general, de formulación de políticas institucionales y de adopción de planes, programas y proyectos, el manejo directo de bienes, dineros o valores del Estado. Estos pueden ser a través de ordenación de gasto, contratación pública, gerencia de proyectos de inversión, pagos, liquidaciones, administración de bienes muebles e inmuebles. Incluye también a las PEP Extranjeras y las PEP de Organizaciones Internacionales.
PEP de Organizaciones Internacionales: son aquellas personas naturales que ejercen funciones directivas en una organización internacional, tales como la Organización de Naciones Unidas, Organización para la Cooperación y el Desarrollo Económicos, el Fondo de las Naciones Unidas para la Infancia (UNICEF) y la Organización de Estados Americanos, entre otros (vr.gr. directores, subdirectores, miembros de junta directiva o cualquier persona que ejerza una función equivalente).
PEP Extranjeras: son aquellas personas naturales que desempeñan funciones públicas prominentes y destacadas en otro país. En especial, las siguientes personas: (i) jefes de estado, jefes de gobierno, ministros, subsecretarios o secretarios de estado; (ii) congresistas o parlamentarios; (iii) miembros de tribunales supremos, tribunales constitucionales u otras altas instancias judiciales cuyas decisiones no admitan normalmente recurso, salvo en circunstancias excepcionales; (iv) miembros de tribunales o de las juntas directivas de bancos centrales; (v) embajadores; (vi) encargados de negocios; (vii) altos funcionarios de las fuerzas armadas; (viii) miembros de los órganos administrativos, de gestión o de supervisión de empresas de propiedad estatal; (ix) miembros de familias reales reinantes; (x) dirigentes destacados de partidos o movimientos políticos; y (xi) representantes legales, directores, subdirectores, miembros de la alta gerencia y miembros de la Junta de una organización internacional (vr.gr. jefes de estado, políticos, funcionarios gubernamentales, judiciales o militares de alta jerarquía y altos ejecutivos de empresas estatales).
Política LA/FT/FP: son los lineamientos generales que debe adoptar cada Servicio Obligado para cumplir las condiciones de identificar, evaluar, prevenir y mitigar el Riesgo LA/FT/FP y los riesgos asociados. Cada una de las etapas y elementos del SARLAFT debe contar con un documento denominado Política LA/FT/FP en el que se establezcan reglas claras y efectivamente aplicables. Las políticas deben incorporarse en el manual de procedimientos que oriente la actuación de los funcionarios de los servicios obligados para el funcionamiento del SARLAFT y establecer consecuencias y las sanciones frente a su inobservancia.
Productos: son los bienes y servicios que produce, comercializa, transforma u ofrece la Empresa o adquiere de un tercero.
40 Recomendaciones GAFI: son las recomendaciones diseñadas por el GAFI con sus notas interpretativas, para prevenir el Riesgo de LA/FT/FP, las cuales fueron objeto de revisión en febrero de 2012 y de actualización en julio de 2022. El resultado de esta revisión es el documento denominado “Estándares internacionales sobre la lucha Contra el Lavado de Activos, el Financiamiento del Terrorismo y el Financiamiento de la Proliferación de Armas de Destrucción Masiva”.
SARLAFT: es el Sistema de Administración de Riesgos de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva. Mecanismo que permite a las entidades prevenir la pérdida o daño que pueden sufrir por su propensión a ser utilizadas como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, por sus clientes o usuarios.
Riesgo LA/FT/FP: es la posibilidad de pérdida o daño que puede sufrir una Empresa por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el Lavado de Activos y/o canalización de recursos hacia la realización de actividades terroristas o el Financiamiento de la Proliferación de Armas de Destrucción Masiva, o cuando se pretenda el ocultamiento de Activos provenientes de dichas actividades. Las contingencias inherentes al LA/FT/FP se materializan a través de riesgos tales como el Riesgo de Contagio, Riesgo Legal, Riesgo Operativo, Riesgo Reputacional y los demás a los que se expone la Empresa, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera, cuando es utilizada para tales actividades.
Riesgo de Contagio: es la posibilidad de pérdida que una Empresa puede sufrir, directa o indirectamente, por una acción o experiencia de una Contraparte esta puede ser natural o jurídica y que pueda ejercer influencia en la empresa.
Riesgo Legal: es la posibilidad de pérdida en que incurre una Empresa al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. Surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.
Riesgo Operativo: es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el Riesgo Legal y el Riesgo Reputacional, asociados a tales factores.
Riesgo Reputacional: es la posibilidad de pérdida en que incurre una Empresa por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la organización y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
Riesgo Inherente: es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
Riesgo Residual: es el nivel resultante del riesgo después de aplicar los controles.
Servicios Obligados: son aquellos servicios de vigilancia y seguridad privada que deben dar cumplimiento a lo previsto en la presente circular tales como empresas transportadoras de valores, empresas de vigilancia y seguridad privada con armas y sin armas, cooperativas de vigilancia y seguridad privada, empresas blindadoras de vehículos, empresas arrendadoras de vehículos blindados, servicios comunitarios de vigilancia y seguridad privada, empresas de capacitación y entrenamiento en vigilancia y seguridad privada, empresas de asesoría, consultoría e investigación en seguridad, y empresas de fabricación, instalación, comercialización y utilización de equipos para vigilancia y seguridad privada y departamentos de seguridad.
SIREL: es el sistema de reporte en línea administrado por la UIAF. Es una herramienta WEB que permite a las entidades reportantes cargar y/o reportar en línea la información de las obligaciones establecidas en la normativa de cada sector, de forma eficiente y segura, disponible las 24 horas del día, 7 días a la semana y 365 días al año.
UIAF: es la Unidad de Información y Análisis Financiero, Creada mediante la Ley 526 de 1999, y el organismo de INTELIGENCIA ECONÓMICA Y FINANCIERA que centraliza, sistematiza y analiza la información recaudada suministrada por las entidades reportantes y otras fuentes, para prevenir y detectar posibles operaciones de lavado de activos, y el financiamiento del terrorismo.
4. Ámbito de aplicación del Sistema de Administración del Riesgo SARLAFT 2.0.
Corresponde a las organizaciones vigiladas por parte de la Superintendencia de Vigilancia y Seguridad Privada, diseñar e implementar el SARLAFT 2.0. de manera eficaz, conforme a los parámetros aquí establecidos en consonancia con el marco normativo nacional y los estándares internacionales al respecto, en especial los proferidos por el GAFI - GAFILAT.
SARLAFT 2.0. Debe abarcar las actividades que realizan las organizaciones vigiladas en desarrollo de su objeto social y prever mecanismos eficaces para que estén protegidas de ser utilizadas en forma directa, es decir, a través de sus accionistas, beneficiarios finales, administradores, empleados, proveedores y/o clientes, como instrumento para el lavado de activos, canalización de recursos hacia la realización de actividades terroristas, financiación de la proliferación de armas de destrucción masiva o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.
4.1. Están obligadas a implementar el SARLAFT 2.0.
Los servicios de vigilancia y seguridad privada sujetos a la inspección, vigilancia y control que ejerce la Superintendencia de Vigilancia y Seguridad Privada y que, se señalan a continuación, deberán implementar y dar cumplimiento a lo dispuesto en el numeral 5 de la presente circular SARLAFT2.0.
4.1.1.Las empresas transportadoras de valores
Empresas de transporte de valores, legalmente constituida cuyo objeto social consiste en la prestación remunerada de servicios de transporte, custodia y manejo de valores y sus actividades conexas.
4.1.2 Las empresas blindadoras
Empresas blindadoras legalmente constituidas cuyo objeto social consiste en la prestación remunerada de servicios de vigilancia y seguridad privada, a través de la adecuación de cualquiera de los tipos de blindajes, y que tengan licencia de funcionamiento vigente.
4.1.3.Las empresas arrendadoras
Empresas Arrendadoras legalmente constituidas cuyo objeto social consiste en la prestación remunerada de servicios de vigilancia y seguridad privada, a través de operaciones de Arrendamiento de vehículos blindados, y que tengan licencia de funcionamiento vigente.
4.1.4.Las empresas de vigilancia y seguridad privada con armas de fuego o con cualquier otro medio humano, animal, tecnológico o material
Empresa de vigilancia y seguridad privada, legalmente constituida que, cuyo objeto social consista en la prestación remunerada de servicios de vigilancia y seguridad privada, en la modalidad de vigilancia fija, móvil y/o escoltas, mediante la utilización de cualquiera de los medios establecidos en el Decreto Ley 356 de 1994.
4.1.5.Los departamentos de seguridad
Es la dependencia que, al interior de una empresa u organización empresarial o entidad de derecho público o privado, se establece para proveer el servicio de vigilancia y seguridad privada de bienes, instalaciones y personas vinculadas a la misma.
4.1.6.Las cooperativas de vigilancia y seguridad privada
Se entiende por cooperativa de vigilancia y seguridad privada, la empresa asociativa sin ánimo de lucro en la cual los trabajadores, son simultáneamente los aportantes y gestores de la empresa, creada con el objeto de prestar servicios de vigilancia y seguridad privada en forma remunerada a terceros en los términos establecidos en el Decreto Ley 356 de 1994 y el desarrollo de servicios conexos, como los de asesoría, consultoría e investigación en seguridad.
4.1.7. Empresas de capacitación y entrenamiento en vigilancia y seguridad privada
Empresas legalmente constituidas cuyo único objeto social es proveer enseñanza, capacitación, entrenamiento y actualización de conocimientos relacionados con vigilancia y seguridad privada.
4.1.8. Empresas de asesoría, consultoría e investigación en seguridad
Empresas de vigilancia y seguridad privada legalmente constituida que, cuyo objeto social consista en la prestación de servicios de asesoría, consultoría e investigación en seguridad.
4.1.9. Empresas de vigilancia autorizadas para la fabricación, instalación, comercialización y utilización de equipos para vigilancia y seguridad privada
Empresas legalmente constituidas que realicen actividades de fabricación, importación, comercialización, instalación o arrendamiento de equipos para la vigilancia y seguridad privada.
4.1.10. Las empresas de vigilancia y seguridad privada sin armas
Empresas de vigilancia y seguridad privada legalmente constituida que, cuyo objeto social consista en la prestación remunerada de servicios de vigilancia y seguridad privada empleando para ello cualquier medio humano, animal, material o tecnológico distinto de armas de fuego, tales como centrales de monitoreo y alarma, circuitos cerrados, equipos de visión y escuchar remotos, equipos de detección, controles de acceso, controles perimétricos y similares.
4.1.11. Servicios comunitarios de vigilancia y seguridad privada
Se entiende por servicio comunitario de vigilancia y seguridad privada, la organización de la comunidad en forma de cooperativa, junta de acción comunal o empresa comunitaria, con el objeto de proveer vigilancia y seguridad privada a sus cooperadores o miembros dentro del área donde tiene asiento la respectiva comunidad.
5. Contenido del Sistema de Administración de Riesgo de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva SARLAFT 2.0.
Los Servicios Obligados, mencionados en el numeral 4.1. de la presente circular, deberán implementar y poner en marcha SARLAFT 2.0. en los términos previstos en la presente circular, deberá establecer, entre otros los riesgos propios de los servicios obligados y la materialidad, relacionados con LA/FT/FP, para lo cual se debe analizar el tipo de negocio, la operación, el tamaño, las Áreas Geográficas donde opera y demás características particulares.
Para los anteriores fines, los servicios obligados deberán contar con mecanismos equivalente de evaluación que les permita identificar, medir, evaluar y monitorear riesgos de LA/FT/FP, con la premisa que a “mayor riesgo - mayor control”.
La aprobación del SARLAFT 2.0. será responsabilidad del máximo órgano societario (Asamblea General de Accionistas o Junta de Socios). El proyecto de SARLAFT 2.0. deberá ser presentado conjuntamente por el representante legal y el Oficial de Cumplimiento. La aprobación deberá constar en el acta de la reunión correspondiente, la cual puede ser requerida por la Superintendencia de Vigilancia y Seguridad Privada.
5.1. Política SARLAFT 2.0.
La puesta en marcha del SARLAFT 2.0. requiere del cumplimiento efectivo de la Política LA/FT/FP y los procedimientos de diseño, aprobación, seguimiento, divulgación y capacitación incluidos en el manual de procedimientos que se expida para tal fin, en los términos descritos más adelante, y debe traducirse en una regla de conducta que oriente la actuación del servicio vigilado, sus empleados, asociados, administradores y demás vinculados o partes interesadas.
5.1.1. Política de gestión de riesgos LA/FT/FP
La organización vigilada debe establecer una política de gestión de riesgos LA/FT/FP, la cual debe estar:
a. Alineada o ajustada a los propósitos y actividades de la organización;
b. Incluir un compromiso de dar cumplimiento al marco de requisitos aplicable, resaltando aquellos específicos o relevantes;
c. Consagrar el deber de los órganos de administración y de control de las organizaciones vigiladas, del oficial de cumplimiento, así como de todos los funcionarios, de asegurar el cumplimiento de los reglamentos internos y el marco normativo en LA/FT;
d. Incorporar mecanismos para desarrollar las fases del proceso de gestión de riesgos LA/FT/FP y aplicar de forma eficaz los controles pertinentes;
e. Fortalecer la cultura de gestión del riesgo de LA/FT/FP;
f. Asignar recursos, competencias y capacidades para el eficaz funcionamiento del SARLAFT 2.0.
g. Incluir un compromiso para la mejora continua.
5.1.2. Código de Ética y Conducta LA/FT/FP
Los Sujetos Obligados deben incorporar las políticas en un código de ética y de conducta, para el servicio de vigilancia y seguridad privada, en materia de prevención del lavado de activos, financiación del terrorismo y Proliferación de Armas de Destrucción Masiva, que oriente la actuación de las personas que laboran en la organización o le prestan servicios, o lo hacen en su nombre, sobre el funcionamiento del SARLAFT 2.0., indicando las consecuencias que genera su incumplimiento.
5.2. Estructura Organizacional SARLAFT 2.0.
5.2.1. Obligaciones del máximo órgano social o junta directiva <Numeral modificado por la Circular 275 de 2024. El nuevo texto es el siguiente:> El máximo órgano social o junta directiva es el responsable de la puesta en marcha y efectividad del SARLAFT 2.0. Para ello, deberá disponer de la estructura organizacional que asegure el logro efectivo de estos propósitos, a saber:
a. Aprobar la Política LA/FT/FP.
b. Aprobar el Código de conducta de la organización vigilada en materia de LA/FT/FP.
c. Aprobar el SARLAFT 2.0. y sus actualizaciones, presentadas por el representante legal y el Oficial de Cumplimiento.
d. Aprobar el manual de procedimientos SARLAFT 2.0. y sus actualizaciones.
e. Seleccionar y designar al Oficial de Cumplimiento y su respectivo suplente.
f. Analizar oportunamente los informes sobre el funcionamiento del SARLAFT 2.0. sobre las propuestas de correctivos y actualizaciones que presente el Oficial de Cumplimiento, y tomar decisiones respecto de la totalidad de los temas allí tratados. Esto deberá constar en las actas del órgano correspondiente.
g. Analizar oportunamente los reportes y solicitudes presentados por el representante legal.
h. Ordenar y garantizar los recursos técnicos, logísticos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT 2.0. según los requerimientos que para el efecto realice el Oficial de Cumplimiento.
i. Aprobar los criterios para aprobar la vinculación de Contraparte cuando sea una PEP.
j. Establecer pautas y determinar los responsables de realizar auditorías sobre el cumplimiento y efectividad del SARLAFT 2.0. en caso de que así lo determine.
k. Constatar que el Oficial de Cumplimiento y el representante legal desarrollen las actividades designadas en esta Circular. '
I. Otorgar autonomía al oficial de cumplimiento para la toma de decisiones de gestión del Riesgo LA/FT/FP.
5.2.2 Obligaciones del Representante Legal
El representante legal deberá cumplir con las siguientes obligaciones. Respecto del SARLAFT 2.0.:
a. Presentar junto con el Oficial de Cumplimiento, para aprobación del máximo órgano social, el sistema SARLAFT 2.0. y sus actualizaciones, así como su respectivo manual de procedimientos.
b. Estudiar los resultados de la evaluación del Riesgo LA/FT/FP efectuada por el Oficial de Cumplimiento y establecer los planes de acción que correspondan.
c. Asignar de manera eficiente los recursos técnicos y humanos, determinados por el máximo órgano social, necesarios para implementar el SARLAFT 2.0.
d. Verificar que el Oficial de Cumplimiento cuente con la disponibilidad y capacidad necesaria para desarrollar sus funciones.
e. Prestar efectivo, eficiente y oportuno apoyo al Oficial de Cumplimiento en el diseño, dirección, supervisión y monitoreo del SARLAFT 2.0.
f. Asegurarse de que las actividades que resulten del desarrollo del SARLAFT 2.0. se encuentran debidamente documentadas, de modo que se permita que la información responda a unos criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad.
g. Certificar ante la Superintendencia de Vigilancia y Seguridad Privada el cumplimiento de lo previsto en la presente circular, cuando lo requiera esta Superintendencia.
h. El representante legal propondrá la persona que ocupará la función de Oficial de Cumplimiento, para la designación por parte del máximo órgano social.
i. Los servicios de vigilancia obligados en la presente circular deberán certificar que el Oficial de Cumplimiento y su suplente, cumplen con los requisitos exigidos en la presente circular y deberá informar por escrito a la Superintendencia de Vigilancia y Seguridad Privada, dentro de los quince (15) días hábiles siguientes a la designación, el nombre, número de identificación, correo electrónico y número de teléfono del Oficial de Cumplimiento principal y suplente.
j. Remitir la hoja de vida del Oficial de Cumplimiento y del Suplente, y copia del acta del máximo órgano social en la que conste la designación o autorización para ser designado, según corresponda. El mismo procedimiento deberá efectuarse cuando ocurra el cambio de Oficial de Cumplimiento o de suplente.
5.2.3. Oficial de Cumplimiento
El Oficial de Cumplimiento debe participar activamente en los procedimientos de diseño, dirección, implementación, auditoría, verificación del cumplimiento y monitoreo del SARLAFT 2.0. y estar en capacidad de tomar decisiones frente a la gestión del Riesgo LA/FT/FP. Por su parte, la administración de los servicios obligados deberá brindarle un apoyo efectivo y los recursos humanos, físicos, financieros y técnicos necesarios para llevar a cabo la implementación, auditoría y cumplimiento del SARLAFT 2.0.
5.2.3.1. Requisitos mínimos para ser designado como Oficial de Cumplimiento y Oficial de Cumplimiento Suplente. <Numeral modificado por la Circular 275 de 2024. El nuevo texto es el siguiente:> La persona natural designada como Oficial de Cumplimiento y Oficial de Cumplimiento Suplente debe cumplir como mínimo con los siguientes requisitos:
a. El Oficial de Cumplimiento y Oficial de Cumplimiento suplente deberá acreditar conocimiento en materia de administración del Riesgo LA/FT/FP demostrable a través de diplomados o especialización y acreditar experiencia mínima de seis (6) meses en el desempeño de cargos relacionados con la administración de riesgos LA/FT/FP.
b. El Oficial de Cumplimiento y Oficial de Cumplimiento suplente deberán acreditar constancia de realización de los cursos virtuales “e-learning" publicados en la página web de la Unidad de Información y Análisis Financiero UIAF. La constancia de realización de los cursos deberá ser informada a esta Superintendencia dentro de los (06) seis meses siguientes a la publicación de la presente Circular.
c. No pertenecer a la administración o a los órganos sociales, a la revisoría fiscal (fungir como revisor fiscal o estar vinculado a la empresa de revisoría fiscal que ejerce esta función, si es el caso), o fungir como auditor interno, o quien ejecute funciones similares o haga sus veces en la Empresa Obligada.
d. Estar domiciliado en Colombia.
e. No fungir como Oficial de Cumplimiento en más de cinco (05) Empresas Obligadas.
f. Ser nombrado por acta por parte del máximo órgano social o junta directiva.
5.2.3.2 Obligaciones del Oficial de Cumplimiento
Además de las funciones que se le asignen al Oficial de Cumplimiento en el SARLAFT 2.0. de cada Servicio Obligado, deberá cumplir, como mínimo, las siguientes:
a. Velar por el cumplimiento efectivo, eficiente y oportuno del SARLAFT 2.0.
b. Presentar informes de evaluación y análisis sobre la eficiencia y efectividad del SARLAFT 2.0. de manera semestral.
c. Promover la adopción de correctivos y actualizaciones al SARLAFT 2.0. cuando las circunstancias lo requieran y/o una vez cada dos (2) años. Para ello, deberá presentar al máximo órgano social las propuestas y justificaciones de los correctivos y actualizaciones sugeridas al SARLAFT 2.0.
d. Coordinar el desarrollo de programas internos de capacitación.
e. Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces.
f. Certificar ante la Superintendencia de Vigilancia y Seguridad Privada el cumplimiento de lo previsto en la presente circular, cuando así lo requiera.
g. Verificar el cumplimiento de los procedimientos de Debida Diligencia y Debida Diligencia Intensificada, aplicables al servicio.
h. Velar por el adecuado archivo de los soportes documentales y demás información relativa a la gestión y prevención del Riesgo LA/FT/FP.
i. Diseñar las metodologías de identificación, medición, control y monitoreo del Riesgo LA/FT/FP que formarán parte del SARLAFT 2.0.
j. Realizar la evaluación del Riesgo LA/FT/FP a los que se encuentra expuesta el servicio obligado.
k. Realizar el Reporte de las Operaciones Sospechosas ROS, Ausencia de Reporte de Operaciones Sospechosas AROS, Reportes Objetivos y Ausencia de Reportes Objetivos a la UIAF y cualquier otro reporte o informe exigido por las disposiciones legales vigentes, conforme lo establezca dichas normas y esta circular.
5.2.4.Auditoría interna
Sin perjuicio de las funciones asignadas en otras disposiciones a la auditoría interna, se recomienda como una buena práctica empresarial que las personas a cargo del ejercicio de estas funciones incluyan dentro de sus planes anuales de auditoría la revisión de la efectividad y cumplimiento del SARLAFT 2.0. con el fin de servir de fundamento para que, tanto el Oficial de Cumplimiento y la administración de los servicios obligados, puedan determinar la existencia de deficiencias del SARLAFT 2.0. y sus posibles soluciones. En ese sentido, el resultado de dichas auditorías internas debe ser comunicado al representante legal, al Oficial de Cumplimiento y al máximo órgano social.
5.3. Etapas del SARLAFT 2.0.
El SARLAFT 2.0. deberá contemplar como mínimo, etapas para identificar, prevenir, controlar y gestionar el Riesgo de LA/FT/FP y las consecuencias de su materialización:
5.3.1. Identificación del Riesgo LA/FT/FP
El SARLAFT 2.0. debe permitir a los servicios obligados identificar los factores de riesgo LA/FT/FP, así como los riesgos asociados con éste.
Para identificar el Riesgo LA/FT/FP, los servicios obligados deben, como mínimo:
a. Clasificar los Factores de Riesgo LA/FT/FP de conformidad con la actividad económica de los servicios obligados y su materialidad.
b. Establecer, una vez sean identificados, individualizados, segmentados y clasificados los Factores de Riesgo LA/FT/FP, las metodologías para identificar el riesgo específico de LA/FT/FP.
c. Establecer, una vez clasificados y segmentados los Factores de Riesgo LA/FT/ FP, las condiciones de tiempo, modo y lugar, así como la relevancia y la prioridad con que se deben ejecutar las medidas de Debida Diligencia.
d. Disponer e implementar los mecanismos y medidas que le permitan un adecuado conocimiento, identificación e individualización de los Factores de Riesgo LA/ FT/FP que le resultan aplicables.
5.3.2 Medición o evaluación del Riesgo LA/FT/FP
Concluida la etapa de identificación, el SARLAFT 2.0. debe permitir a los servicios obligados medir la posibilidad o probabilidad de ocurrencia del Riesgo Inherente frente a cada uno de los Factores de Riesgo LA/FT/FP, así como el impacto en caso de materializarse mediante los riesgos asociados. Estas mediciones podrán ser de carácter cualitativo o cuantitativo.
Como resultado de esta etapa, los servicios obligados deben estar en capacidad de establecer el perfil de Riesgo Inherente, de las mediciones agregadas en cada Factor de Riesgo LA/FT/FP y en sus riesgos asociados.
Dentro de la medición o evaluación del Riesgo LA/FT/FP, los servicios obligados deben, como mínimo:
a. Establecer las metodologías para la medición o evaluación del Riesgo LA/FT/ FP, con el fin de determinar la posibilidad o probabilidad de su ocurrencia y el impacto en caso de materializarse.
b. Incluir mediciones o evaluaciones del Riesgo LA/FT/FP de manera individual y consolidadas frente a cada uno de los Factores de Riesgo LA/FT/FP y los riesgos específicos que fueron identificados.
c. Evaluar el Riesgo LA/FT/FP cuando incursione en nuevos mercados u ofrezca nuevos Productos.
5.3.3.Control del riesgo LA/FT/FP
El SARLAFT 2.0. debe permitir a los servicios obligados tomar las medidas razonables para el control del riesgo inherente al que se vean expuestas. Como resultado de la aplicación de los controles respectivos, los servicios obligados deben estar en capacidad de establecer su perfil de riesgo residual. El control debe traducirse en una disminución de la posibilidad o probabilidad de acaecimiento del riesgo LA/FT/FP o del impacto en caso de materializarse.
Para controlar el riesgo LA/FT/FP, los servicios obligados deben adoptar, entre otras medidas, el establecimiento de metodologías y la creación de una matriz de riesgo LA/FT/ FP para definir los mecanismos de control más adecuados y su aplicación a los factores de riesgo LA/FT/FP identificados.
Para controlar el Riesgo LA/FT/FP, los servicios obligados deben, como mínimo:
a. Establecer las metodologías para definir las Medidas Razonables de control del Riesgo LA/FT/FP.
b. Aplicar las metodologías a cada uno de los Factores de Riesgo LA/FT/FP.
c. Establecer controles y herramientas para la detección de operaciones Inusuales y Operaciones Sospechosas, con base en los Riesgos LA/FT/FP identificados en la clasificación, segmentación e individualización de los Factores de Riesgo LA/ FT/FP y conforme a la Matriz de Riesgo LA/FT/FP, teniendo en cuenta que a mayor riesgo mayor control.
5.3.4.Monitoreo del riesgo WFT/FP
El SARLAFT 2.0. debe permitir a los servicios obligados ejercer vigilancia respecto del perfil de riesgo y en general, estar en condiciones de detectar Operaciones Inusuales y Operaciones Sospechosas.
Para monitorear el Riesgo LA/FT/FP, los servicios obligados deben, como mínimo:
a. Realizar el seguimiento periódico y comparativo del Riesgo Inherente y Riesgo Residual de cada Factor de Riesgo LA/FT/FP y de los riesgos asociados.
b. Desarrollar un proceso de seguimiento continuo y efectivo que facilite la rápida detección y corrección de las deficiencias del SARLAFT 2.0. Dicha verificación y revisión debe tener una periodicidad acorde con el perfil de Riesgo Residual de los servicios obligados.
c. Asegurar que los controles sean integrales y se refieran a todos los riesgos y que funcionen en forma oportuna, efectiva y eficiente.
d. Asegurar que los Riesgos Residuales se encuentren en los niveles de aceptación establecidos por los servicios obligados.
5.4. Procedimientos SARLAFT 2.0.
5.4.1. Procedimiento de conocimiento del cliente
Los servicios obligados deberán implementar el formato de vinculación de clientes, el cual deberá incluir como mínimo, la siguiente información:
Para personas jurídicas:
a. Razón social
b. Número de identificación tributaria (NIT)
c. Certificado de existencia y representación legal con fecha de expedición no mayor a un mes.
d. Actividad económica.
e. Declaración de origen de los bienes y/o fondos o declaración de las razones de la necesidad del servicio requerido, según el caso (puede ser un anexo).
f. Domicilio, dirección y teléfono.
g. Nombre completo e identificación, dirección y teléfono de su representante legal y/o apoderado.
h. Composición accionaria y socios mayoritarios.
i. Información financiera y patrimonial: estados financieros, declaración de renta, valor de los ingresos mensuales y origen de los recursos empleados en las operaciones realizadas a través de la transportadora.
j. Información sobre las cuentas que posea en entidades financieras (tipo de producto, número del producto y nombre de la entidad).
k. Manifestación sobre la realización de actividades en moneda extranjera o activos virtuales.
l. Firma y huella del solicitante.
Para persona natural nacional o extranjera:
a. Nombre, número y tipo de documento de identificación
b. Lugar y fecha de nacimiento
c. Actividad económica
d. Declaración de origen de los bienes y/o fondos, según el caso (puede ser un anexo)
e. Domicilio, dirección y teléfono
f. Información financiera y patrimonial, estados financieros, declaración de renta, valor de los ingresos mensuales y origen de los recursos empleados en las operaciones realizadas a través de la empresa
g. Información sobre las cuentas que posea en entidades financiera (tipo del producto, número del producto y nombre de la entidad)
m. Manifestación sobre la realización de actividades en moneda extranjera o activos virtuales
h. Firma y huella del solicitante
5.4.2 Procedimientos de Debida Diligencia y Debida Diligencia Intensificada
Uno de los principales instrumentos para prevenir y controlar los Riesgos LA/FT/ FP a los que se encuentra expuesta un Servicio Obligado, es la aplicación de medidas de Debida Diligencia. Cada Servicio Obligado debe aplicar las medidas de Debida Diligencia mínimas que le correspondan conforme a lo establecido en este numeral.
Para determinar su alcance, los servicios obligados deben utilizar un enfoque basado en el riesgo de acuerdo con la materialidad y sus características propias, teniendo en cuenta las operaciones, productos y contratos que lleve a cabo o pretenda desarrollar, así como sus contrapartes, países o áreas geográficas de operación y canales y demás características particulares. El alcance del proceso de Debida Diligencia debe ser el apropiado para la naturaleza y tamaño del negocio.
5.4.3.Debida Diligencia
En todo caso, los servicios obligados siempre deben adoptar medidas razonables de debida diligencia de la contraparte, con un enfoque basado en riesgo y la materialidad de este.
Para tal efecto, deben adoptar las siguientes medidas mínimas conforme a la materialidad, entre otras:
a. Identificar a la Contraparte y verificar su identidad utilizando documentos, datos o información confiable, de fuentes independientes.
b. Identificar al Beneficiario Final de la Contraparte y tomar Medidas Razonables para verificar su identidad.
c. Tratándose de Personas Jurídicas, se deben tomar Medidas Razonables para conocer la estructura de su propiedad con el fin de obtener el nombre y el número de identificación de los Beneficiarios Finales, haciendo uso de las herramientas de que disponga. Las medidas tomadas deben ser proporcionales al nivel del riesgo y su materialidad o complejidad inducida por la estructura de titularidad de la sociedad mercantil o la naturaleza de los asociados mayoritarios.
d. Entender, y cuando corresponda, obtener información sobre el propósito y el carácter que se pretende dar a la relación comercial.
e. Realizar una Debida Diligencia continua de la relación comercial y examinar las transacciones llevadas a cabo a lo largo de esa relación para asegurar que las transacciones que se realicen sean consistentes con el conocimiento que tienen los servicios obligados sobre la Contraparte, su actividad comercial y el perfil de riesgo, incluyendo, cuando sea necesario, el origen de los fondos.
Los servicios obligados podrán diseñar y definir formatos para el adecuado conocimiento de la Contraparte. Estos formatos podrán ajustarse de acuerdo con las características del sector de vigilancia, y conforme a los Factores de Riesgo LA/FT/FP identificados, a la Matriz de Riesgo LA/FT/FP y la materialidad del Riesgo LA/FT/FP.
Para garantizar el cumplimiento de las obligaciones internacionales de Colombia, relativas a la aplicación de disposiciones sobre congelamiento y prohibición de manejo de fondos u otros activos, prohibición de viajar y embargo de armas, de personas y entidades designadas por el Consejo de Seguridad de las Naciones Unidas, relacionadas con el Financiamiento del Terrorismo, en consonancia con el artículo 20 de la Ley 1121 de 2006 y las Recomendaciones GAFI número 6 y 7, los servicios obligados deben consultar permanentemente las Listas Vinculantes.
En el evento en que se identifique o verifique cualquier bien, activo, producto, fondo o derecho de titularidad a nombre o bajo la administración o control de cualquier país, persona o entidad incluida en estas Listas Vinculantes, el Oficial de Cumplimiento, de manera inmediata, deberá reportarlo a la UIAF y ponerlo en conocimiento de la Fiscalía General de la Nación. La información se enviará a la UIAF a través del aplicativo SIREL3.0 como reporte de ROS de listas.
5.4.4. Debida Diligencia Intensificada
El proceso de Debida Diligencia Intensificada implica un conocimiento avanzado de la Contraparte y del origen de los fondos que se reciben, o la necesidad del servicio que se requiere, que incluye actividades adicionales a las llevadas a cabo en la Debida Diligencia. Estos procedimientos deben:
a. Aplicarse a aquellas Contrapartes que (i) los servicios obligados consideren que representan un mayor riesgo; (ii) a los PEP; y (iii) Aquellas ubicadas en países no cooperantes y jurisdicciones de alto riesgo;
b. Ser aplicados por todos los servicios obligados que desarrollen actividades con activos virtuales.
Respecto de los procesos para el conocimiento de PEP, estos implican una Debida Diligencia Intensificada, pues deben ser más estrictos y exigir mayores controles. SARLAFT 2.0. debe contener mecanismos que permitan identificar que una Contraparte o su Beneficiario Final detentan la calidad de PEP.
Además de las medidas comunes de procedimiento de conocimiento de la Contraparte, los servicios obligados en el proceso de Debida Diligencia Intensificada deben: (i) obtener la aprobación de la instancia o empleado de jerarquía superior para la vinculación o para continuar con la relación contractual; (ii) adoptar medidas razonables para establecer el origen de los recursos; y (iii) realizar un monitoreo continuo e intensificado de la relación contractual.
5.5. Documentación de las actividades del SARLAFT 2.0.
Las actividades adoptadas por los Sujetos Obligados, en desarrollo de la implementación y ejecución del SARLAFT 2.0. deben reposar en documentos y registros que garanticen la integridad, oportunidad, confiabilidad, seguridad, disponibilidad y no repudio de la información.
La información suministrada por la Contraparte, como parte del proceso de Debida Diligencia y Debida Diligencia Intensificada, así como el nombre de la persona que la verificó, deben quedar debidamente documentadas con fecha y hora, a fin de que se pueda acreditar la debida y oportuna diligencia por parte de los servicios obligados. De cualquier forma, el desarrollo e implementación del SARLAFT 2.0. por parte de los servicios obligados deberá respetar las disposiciones legales en materia de protección de datos personales contenidas en las Leyes 1266 de 2008, 1581 de 2012, y demás normas aplicables. Así mismo, los soportes deberán conservarse de acuerdo con lo previsto en el artículo 28 de la Ley 962 de 2005, o la norma que la modifique o sustituya.
5.6. Divulgación y capacitación
El SARLAFT 2.0. deberá ser divulgado dentro de los servicios obligados y a las demás partes interesadas, en la forma y frecuencia para asegurar su adecuado cumplimiento, como mínimo una (1) vez al año.
Igualmente, los servicios obligados deberán brindarles capacitación a aquellos empleados, asociados y en general a todas las partes interesadas que considere que deban conocer el SARLAFT 2.0., lo cual se hará en la forma y frecuencia que los servicios obligados determinen, con el propósito de asegurar su adecuado cumplimiento. Como resultado de esta divulgación y capacitación, todas las partes interesadas deberán estar en capacidad de identificar qué es una Operación Inusual o qué es una Operación Sospechosa, y el contenido y la forma como debe reportarse, entre otras.
6. Reportes a la Unidad de Análisis Financiero UIAF
6.1.1. Reporte de Operaciones Sospechosas (ROS) por parte de los servicios de vigilancia y seguridad privada
Los Sujetos Obligados en la presente circular deberán establecer herramientas y aplicativos, preferiblemente tecnológicos, que permitan identificar Operaciones Inusuales y Operaciones Sospechosas. Mediante la consolidación de información, estas plataformas tecnológicas deben generar indicadores y alertas a partir de los cuales se pueda inferir o advertir la existencia de situaciones que no se ajusten a las pautas de normalidad establecidas para los Sujetos Obligados de un sector, una industria o una clase de Contraparte.
Los Sujetos Obligados deberán reportarle a la UIAF, todas las Operaciones Sospechosas que detecten en el giro ordinario de sus negocios o actividades. El reporte deberá hacerse de manera inmediata y con naturaleza de ROS, a través del SIREL, conforme a las instrucciones señaladas por la UIAF en el “Manual de usuario SIREL” y el Anexo Técnico que esta defina.
El Oficial de Cumplimiento para el caso de los servicios obligados deberá registrarse en el SIREL administrado por la UIAF. Para lo anterior, dicho funcionario deberá solicitar ante la UIAF, el usuario y contraseña siguiendo las instrucciones del Manual del Usuario SIREL definido por la UIAF. Es importante precisar, que la presentación de un ROS se realiza de manera reservada, no son denuncias penales, ni se tiene que tener la certeza del delito y no genera ningún tipo de responsabilidad.
Si durante el mes de reporte no es identificada una Operación Sospechosa, el Oficial de Cumplimiento dentro de los diez (10) días calendario siguientes al vencimiento del respectivo mes, deberá enviar un reporte de “Ausencia de ROS” o “AROS” a través del SIREL, en la forma y términos que correspondan, de acuerdo con los instructivos de esa plataforma y definidos por la UIAF.
7. Reportes Objetivos a la UIAF
7.1.1. Reporte de operaciones de transporte en efectivo por parte de las empresas transportadoras de valores
Las empresas transportadoras de valores deberán reportar mensualmente a la UIAF las Operaciones de transporte en efectivo terrestre, aéreo, marítimo y fluvial o cualquier otro medio que cumplan con las características que se mencionan a continuación:
a. Todas las operaciones al interior del país, de transporte de efectivo en moneda local o extranjera realizadas con clientes donde no intervenga una entidad vigilada por la Superintendencia Financiera de Colombia, cuyo monto sea superior a diez millones de pesos moneda corriente ($10.000.000) o su equivalente en otras monedas.
b. Todas las operaciones de transporte en donde se involucren operaciones de importación o exportación de títulos y/o bienes valorados, cuyo monto sea superior a cincuenta millones de pesos moneda corriente ($50.000.000) o su equivalente en otras monedas.
c. Todas las operaciones de transporte de ingreso y salida de efectivo del país deben ser reportadas a la UIAF, cuyo monto sea superior a diez millones de pesos moneda corriente ($10.000.000) o su equivalente en otras monedas.
d. Todas las operaciones de transporte de metales, joyas, piedras preciosas, objetos de arte y antigüedades. Para efectos del reporte se deberá referenciar con exactitud el valor declarado por el cliente, en cada operación individual de transporte.
e. Todas las operaciones de trasporte aéreo de valores donde deberá indicar: (i) nombre del cliente y/o clientes; (ii) aerolínea comercial contratada si ha y lugar a ello; (iii) clase y monto de los valores transportados.
f. Las empresas transportadoras de valores deberán reportar dentro de los diez (10) primeros días calendario siguientes al mes respectivo a la UIAF todas las operaciones contenidas en los literales a), b), c), d), y e) de acuerdo con lo establecido en el Anexo Técnico 2.
g. Si durante el mes de reporte, no se ha determinado la existencia de operaciones contenidas en los literales a), b), c), d), y e); las entidades deberán reportar de este hecho a la UIAF dentro de los diez (10) primeros días calendario siguientes al mes respectivo a través del reporte de ausencia de operaciones de transporte de acuerdo con lo establecido en el Anexo Técnico definido por la UIAF.
7.1.2. Reporte de Transacciones en Efectivo por parte de los servicios de vigilancia y seguridad privada obligados en la presente circular <Numeral modificado por la Circular 275 de 2024. El nuevo texto es el siguiente:>
Los servicios de vigilancia y seguridad privada obligados en la presente Circular, deben remitir a la UIAF el informe mensual sobre Transacciones en Efectivo de conformidad con el Anexo Técnico 3 de la presente Circular de acuerdo con los montos e indicaciones señalados en el correspondiente instructivo.
Se entenderá por transacciones en efectivo, todas aquellas transacciones que, en desarrollo del giro ordinario de los negocios de los clientes, involucren entrega o recibo de dinero en billetes y/o en monedas nacional o extranjera.
El reporte de transacciones en efectivo se compone de:
a. Reporte de Transacciones Individuales en Efectivo para los servicios de vigilancia y seguridad privada.
Las entidades vigiladas deberán reportar las transacciones individuales en efectivo iguales o superiores a DIEZ MILLONES DE PESOS ($10.000.000) en moneda legal o su equivalente en otras monedas, indicando la taza de conversión del día que se realice la operación.
b. Reporte de Transacciones Múltiples en efectivo para servicios de vigilancia y seguridad privada.
Las entidades vigiladas deberán reportar todas las transacciones en efectivo que se realicen en una o varias oficinas, durante un (!) mes calendario, por o en beneficio de un mismo cliente o usuario y que en su conjunto igualen o superen los cincuenta millones de pesos ($50.000.000) en moneda legal o su equivalente en otras monedas, indicando la taza de conversión del día que se realice la operación.
c. Reporte interno de transacciones en efectivo:
Se deberá reportar todas las transacciones internas en efectivo superiores a DIEZ MILLONES DE PESOS ($10.000.000) en moneda legal o su equivalente en otras monedas, indicando la taza de conversión del día que se realice la operación.
Se entiende por transacción en efectivo, todas aquellas operaciones internas que realice la sociedad a sus socios o viceversa, grupos empresariales, conglomerados, controlantes, matrices, subordinadas, filiales, sucursales de sociedad extranjera, así como aquellas que tengan propósito y direccionamiento común o situación de control.
d. Si dentro de uno de los meses del año, no se ha determinado la existencia de transacciones en efectivo con las características mencionadas, las entidades deberán informar de este hecho a la UIAF dentro de los diez
(10) primeros días calendario siguientes al mes respectivo a través del reporte de ausencia de transacciones en efectivo de acuerdo con lo establecido en el Anexo Técnico definido por la UIAF.
8. Sanciones
El incumplimiento de las disposiciones en materia de Prevención del Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva dará lugar por parte de la Superintendencia de Vigilancia y Seguridad Privada a la imposición de las sanciones administrativas establecidas en el artículo 76 del Decreto Ley 356 de 1994.
La Superintendencia de Vigilancia y Seguridad Privada dará inicio al proceso administrativo sancionatorio por un presunto incumplimiento a la ley, normas, directrices, órdenes e instrucciones impartidas por la Superintendencia de Vigilancia y Seguridad Privada conforme al procedimiento establecido en el artículo 47 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo (CPACA).
9. Plazo para el cumplimiento SARLAFT2.0.
Los servicios vigilados que adquieran la calidad de Empresas obligadas al cumplimiento del Sistema de administración de riesgos de lavado de activos financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva SARLAFT 2.0., cuentan con un plazo de (04) cuatro meses siguientes a la fecha de notificación del otorgamiento de la licencia de funcionamiento para dar cumplimiento a los parámetros establecidos por el SARLAFT 2.0
9.1. Periodo de Transición para el SARLAFT 2.0. <Numeral modificado por la Circular 275 de 2024. El nuevo texto es el siguiente:>
Los servicios vigilados que a la fecha de expedición de la presente Circular cuenten con la licencia de funcionamiento vigente se encuentren obligados a dar cumplimiento a la presente Circular adoptando el SARLAFT 2.0. dentro de los seis (06) meses siguientes a su publicación.
10. Derogatorias
La presente circular rige a partir de la fecha de su publicación y deroga la Circular Externa número 008 del 1o de marzo de 2011, Circular Externa número 465 del 2 de noviembre de 2017 y la Circular Externa número 045 del 8 de febrero de 2018 así como sus anexos técnicos y las disposiciones que le sean contrarias.
Publíquese y cúmplase.
El Superintendente de Vigilancia y Seguridad Privada,
Sneyder Manzur Arrieta.
