A la luz de las tipologías emergentes en la criminalidad organizada, la compraventa de divisas e instrumentos monetarios, como cheques de viajero, es una actividad susceptible a la materialización de riesgos LA/FT/FPADM. Tan es así que según la Unidad de Información y Análisis Financiero (UIAF) existen más de 5 diferentes tipologías asociadas al sector[1]. Puntualmente:
- Compra de cheques de gerencia con dinero de origen ilícito, para el pago de obligaciones crediticias de empresas con reconocida trayectoria en el mercado
- Arbitraje Cambiario Internacional mediante el transporte de dinero ilícito.
- Realización de transacciones económicas transnacionales
- Fraccionamiento de dinero ilícito proveniente de la trata trasnacional de personas
- Simulación de operaciones cambiarias de compra y venta de divisas con dinero de origen ilícito
- Cadena de endosos de títulos negociables a través del mercado bursátil
- Fraccionamiento y pitufeo a través de Fondos de Valores
- Simulación de transacciones con mercancías de valor diferente
[1] UIAF, 2020. Compilación de tipologías de lavado de activos y financiación del terrorismo. Páginas 42 y SS, 95 y SS, 107 y SS; 136 a 144. Recuperado de:
Nuevas disposiciones de la DIAN y alcance regulatorio
En virtud de ello La Dirección de Impuestos y Aduanas Nacionales (DIAN), emitió el pasado 08 de mayo la resolución 000210 por medio de la cual “se establecen los requisitos, las condiciones y el procedimiento para obtener y mantener la inscripción en el registro de profesionales de compra y venta de divisas y cheques de viajero; se señalan los requisitos y el trámite de las solicitudes de acreditación como corresponsal cambiario y se indica el Sistema de Administración del Riesgo de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva para la actividad de los profesionales de cambio”. A continuación, presentaremos algunas observaciones de la nueva normatividad y las eventuales implicaciones de las obligaciones de Compliance allí contenidas.
La Resolución 00061 del 03 de noviembre de 2017, aquella que indicaba los requisitos para acceder al Registro de Profesionales de Compra y Venta de Divisas (entre otras disposiciones), así como la Resolución 000029 de 2020 que consagraba las medidas de prevención relacionadas con operaciones cuyo origen o área geográfica de ejecución sea catalogada como de alto riesgo según el Grupo de Acción Financiera Internacional (GAFI) quedan derogadas a partir de la entrada en vigencia de la Resolución 000210. Lo cual, a su vez, representa una Actualización y robustecimiento de las prácticas anteriores.
Alcance del término “cliente” y referencias al SARLAFT
Las contrapartes se clasifican en cliente interno y externo. Llama la atención que use genéricamente el término “cliente” pues, éste haría referencia a “Persona que […] utiliza los servicios de un profesional o empresa, mas no solo a aquel tercero que celebra el negocio jurídico “compraventa”[1] con la organización. Indistintamente de ello y, como se lee en el cuerpo de la norma, es indicativo de cualquier grupo de interés que sostenga una relación comercial, publicitaria, laboral, colaborativa con el sujeto obligado.
Aunque parezca un detalle de forma, generalmente en la cultura colombiana del Compliance, se suele identificar el programa respectivo con el acrónico de su nombre. En este caso la norma estructura el Sistema de Administración del Riesgo de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva para la actividad de los profesionales de cambio, más no incluye una definición en dicho acápite. A pesar de ello, muy probablemente será conocido como SARLAFT.
[1] RAE
Requisitos de registro y obligaciones del sujeto obligado
Los requisitos para obtener y mantener la inscripción en el Registro de Profesionales de Compra y Venta de Divisas y Cheques de Viajero, cobra importancia en la medida en que hacen parte de una reglamentación de orden público que, inexorablemente, se debe tener en cuenta al momento de realizar operaciones con este tipo de profesionales. Es palmario que la acreditación de la idoneidad profesional del prestador del servicio, así como su habilitación legal para ejercerlo es fundamental para desarrollar la operación en el marco de la legalidad.
Aunado a ello, varios de los requisitos para obtener el registro se relacionan con la prevención LA/FT/FPADM, a saber: i) Tener un Sistema de Administración del Riesgo LA/FT/FPADM -que ahora correspondería al descrito en la norma bajo análisis-, ii) una matriz de riesgos donde se hayan identificado y medido los riesgos ya mencionados, así como los controles que se hayan implementado en tal sentido para mitigarlos y por último, iii) la acreditación de la vinculación de un Oficial de Cumplimiento al sujeto obligado que supervise el cumplimiento del sistema.
Se reglamentan las inhabilidades, con ocasión del cargo, para el ejercicio del cargo de Oficial de Cumplimiento. Es decir, no podrán fungir como tal, los solicitantes del registro cuando sean personas naturales, los representantes legales, socios o miembros de junta directiva (principales y suplentes), de la persona jurídica que persiga el registro.
Verificación documental y exigencias adicionales
La información requerida para acreditar el cumplimiento de los requisitos para la obtención del registro es documentación integrante el SARLAFT. Lo anterior, en la medida en que hace referencia a: el documento impreso contentivo del sistema; la hoja de vida, datos, documento de identidad, y acta que acredite la designación del Oficial de Cumplimiento y; la matriz de riesgos. A su vez, el procedimiento para su otorgamiento también incluye una verificación exhaustiva, por parte de la DIAN, de los anexos relacionados.
Se establece como obligación para el ejercicio de la actividad en comento dar cumplimiento a la normatividad de prevención LA/FT/FPADM- es decir el SARLAFT-, tener designado un Oficial de Cumplimiento y presentar en debida forma los reportes que le sean exigidos por el o los Entes de Control correspondientes. Otra que es conexa a la gestión del riesgo ya señalado, es la de cumplir con las disposiciones del Registro Único de Beneficiarios Finales (RUB).
Estructura del SARLAFT: etapas, factores y aplicación práctica
El SARLAFT se compondrá de etapas y elementos. Se de verá estructurar conforme a un enfoque basado en riesgos, sobre todas las actividades que ejecuta la organización en virtud de la autorización hecha por la DIAN y en atención a los factores de riesgo de: Clientes (que incluye tanto internos como externos según su definición); mercados, productos o servicios; canales de distribución y áreas geográficas. Las etapas harán referencia a: identificación, medición, control y monitoreo. Por su parte, los elementos son: políticas, procedimientos, documentación, estructura organizacional, órganos de control, infraestructura tecnológica, divulgación y capacitación.
La primera etapa del SARLAFT, además de indicar el deber que tiene los sujetos obligados de establecer metodologías para la identificación de riesgo dados los factores anteriormente mencionados, incluye otros temas que, si bien inicialmente están relacionados con la gestión del riesgo LA/FT/FPADM, no necesariamente dan cuenta de la labor de identificación. Nos referimos a que en este apartado la norma indica, además, la obligación de establecer una metodología para segmentar los factores y efectivamente segmentarlos. Así como también la individualización de las formas en como se pueden materializar los riesgos, es decir, tipologías asociadas al sector en particular.
Igualmente señala los posibles mecanismos para llevar a cabo la identificación, es decir, a través del uso de encuestas, entrevistas, talleres, estudios, conceptos de experto, entre otras. Empero, esto no es óbice para que el gestor de riesgos correspondiente pueda utilizar otras técnicas. Independientemente de la que se use, lo relevante es que la etapa sea ejecutada en debida forma, generando la evidencia que acredite su ejecución y previa prestación del servicio ofertado por el sujeto obligado.
Evaluación, controles y monitoreo del sistema
En la segunda etapa (medición) realmente no hay algún aspecto novedoso que merezca especial atención. La norma contiene lo que generalmente se estila para un sistema de gestión de Compliance en ese sentido, a saber, la capacidad de poder evaluar la frecuencia e impacto de los riesgos de la compañía conforme a criterios cuantitativos y/o cualitativos y de obtener el perfil de riesgo inherente.
Para la tercera etapa (control), llama la atención que la norma estipule los tipos de controles que se pueden asignar a los riesgos previamente identificados. Comúnmente las normas contentivas de obligaciones de Compliance demandan el control del riesgo, mas la forma en la que se hará corresponde a cada obligado en el marco de su capacidad para autorregularse, sin embargo, para este caso, exige que los controles exclusivamente sean preventivos o detectivos, lo que excluye la visión tradicional de la clasificación de los controles en donde obran los de índole correctiva. La última etapa (monitoreo), pide que la actividad en comento no solo se haga en relación con el cumplimiento de las políticas del sistema, sino que, por el contrario, lo hace extensivo a la efectividad de este. Hace hincapié en el deber de realizarla por lo menos cada seis (6) meses y de documentar su ejecución.
¿Su empresa está lista para cumplir con la Resolución 000210?
Elementos del sistema: políticas, procedimientos y recursos
Los elementos tienen una regulación más extensa. En cuanto a las políticas, estas deben estar contenidas en el manual del sistema e incluir aspectos como:
- El compromiso frente a la promoción de la cultura de cumplimiento en la organización respectiva y de la colaboración con la Administración de justicia y órganos de control.
- El deber del Oficial de cumplimiento, así como de los empleados de la compañía, de cumplir con la normatividad de prevención bajo análisis.
- Los lineamientos de debida diligencia (simple e intensificada) que permitirán el conocimiento de las contrapartes y del monitoreo que elas realicen.
- La prohibición de establecimiento de relaciones comerciales, o de cualquiera otra índole, a contrapartes que no estén ciertamente identificadas o que usan canales de pago no autorizadas en el ámbito cambiario.
- La obligación de generar Reporte de Operaciones Sospechosas (ROS).
- Las infracciones, consecuencias y el procedimiento para su imposición, derivadas del incumplimiento de las etapas y elementos del sistema.
- El deber de conservar la información que refleja la debida operación del sistema y, por consiguiente, del complimiento de las disposiciones normativas.
- Las políticas y procedimientos para la identificación, análisis y gestión de conflictos de interés en relación con su propia actividad.
- El deber de anteponer el cumplimiento normativo antes que la consecución de metas comerciales
El segundo elemento se divide en procedimientos generales y específicos. En cuanto a los primeros, se demanda que haya uno para cada uno de los tópicos mencionados a continuación: i)para ejecutar los mecanismos e instrumentos, ii) para realizar el monitoreo, iii) para atender los requerimientos de autoridades, iv) para la detección de operaciones inusuales, su análisis y eventual conversión en operaciones sospechosas para el debido reporte, v) para el conocimiento de contrapartes y actualización de su información incluyendo la consulta en listas vinculantes obligatoria, vi) la aplicación de sanciones y Vii) la conservación de los documentos del sistema.
Los procedimientos específicos atañen a situaciones concretas del sistema como lo son: i) conocimiento de PEP´s en la que se incluye el deber de aprobación de la relación por parte del superior jerárquico a la instancia ordinaria de aprobación, ii) realización de operaciones que involucren jurisdicciones de mayor riesgo catalogadas como tal por el GAFI y, iii) congelamiento de activos relacionados con FT/FPADM aun cuando el nome iuris que se designó para este tema es el de “denuncia y reporte”.
Tecnología, estructura y formación como ejes del cumplimiento
Los mecanismos comprenden la debida diligencia de cliente (DDC) y los regímenes de ella (general, reforzada, simple, intensificada y de cliente interno). En este punto es de resaltar la diferenciación que hay entre los regímenes “reforzado” e “intensificado”. Si bien se entendería que ambas se aplican en circunstancias de mayor riesgo, el primer estándar es aplicable para PEP´s y jurisdicciones de mayor riesgo, mientras que el segundo es aplicable para operaciones con cuantías iguales o superiores a 10.000 USD en un mismo día o semana. Sin perjuicio de ello, en ambos casos se implementan y ejecutan medidas de control mas estrictas a las ordinarias. También, el hecho de reglar un procedimiento concreto para “clientes internos” (empleados, contratistas, accionistas y socios) es novedoso pues, usualmente esto se enmarca en la autorregulación y no desde la tarifa legal. Igualmente, pide que se realice un conocimiento de mercado con miras a la determinación de lo que es una operación normal y una inusual dentro de las prácticas del sector.
Dentro de los mecanismos encontramos los que tradicionalmente encontramos en la mayoría de los sistemas de gestión de compliance colombianos: señales de alerta y segmentación. No obstante, requiere la consolidación electrónica de las operaciones de los clientes del obligado; tarea que facilita la identificación de señales de alerta conforme a los factores de riesgo y el monitoreo en relación con el perfil de riesgo de los segmentos de clientes.
La documentación cuya conservación es obligatoria, en términos generales, es la que se desprende de la operación del sistema, en este punto encontramos: el manual, los informes presentados al órgano de dirección, las actas de su aprobación como la de designación del Oficial y el soporte de los ROS presentados. El elemento subsiguiente, la estructura organizacional, demanda que los recursos humanos de la compañía se integren de manera tal que cada uno conozca cuáles son sus obligaciones en relación con el cumplimiento. La Junta Directiva deberá aprobar tanto las políticas como el sistema en su conjunto (sí, de manera separada dada la diferenciación que hay en el apartado de elementos), nombrar el Oficial de Cumplimiento y ordenar los recursos que le permitirán la operación del SARLAFT. Por su parte este último debe presentar informes semestrales de su gestión y eficacia del sistema al máximo órgano societario.
La infraestructura tecnológica, en nuestro parecer, es una ficha clave para la facilitación de las tareas de cumplimiento y la gestión efectiva del riesgo LA/FT/FPADM. No solo puede aplicarse en diversos elementos, sino que, además, va de la mano con el mecanismo de “consolidación electrónica de operaciones” ya que el obligado debe estar en capacidad de consolidarlas, por lo menos, trimestralmente.
Finalmente, procede a hacer la distinción entre divulgación y capacitación. La primera siendo una tarea de sensibilización dirigida a los clientes externos, mientras que la segunda corresponde a un entrenamiento para cliente interno que se deberá llevar a cabo por lo menos 2 veces al año.
