Para la implantación del SAGRILAFT en una compañía hay que cumplir una serie de pasos. En este texto te contamos todo lo que debes saber.
SAGRILAFT son las siglas del Sistema de Autocontrol y Gestión Integral del Riesgo de Lavado de Activos y Financiación del Terrorismo.
Es un modelo adoptado por las compañías, a raíz de los ajustes hechos en diciembre de 2020 por parte de la Supersociedades.
Esta normativa implementa la Recomendación 28 del GAFI.
La recomendación indica la necesidad de adoptar medidas en cuanto a las actividades y profesiones no financieras designadas (APNFD).
Comprender el riesgo en las compañías no financieras
Como consecuencia, Colombia ha comprendido que el riesgo de lavado de dinero afecta a diversos sectores de la economía.
Superando así la errónea percepción de que el riesgo sólo se presentaba en el sector financiero.
En el caso de la SAGRILAFT de la Supersociedades, la obligatoriedad se amplía a las compañías del sector real.
El SAGRILAFT, comprendido como un sistema con etapas y elementos, tiene similitudes con los sistemas, como el SARLAFT financiero.
Para efectos de ilustración, en este texto nos referiremos al sistema únicamente como SAGRILAFT.
SAGRILAFT: Ámbito de aplicación
La Superintendencia de Sociedades exige a las compañías supervisadas pertenecientes a diferentes sectores que cuenten con un Software SAGRILAFT.
Por esta causa, los sectores inmobiliario, de servicios jurídicos, contable, de cobranza y de construcción de edificaciones han adquirido esta obligación.
Las compañías están obligadas a hacerlo siempre y cuando obtengan un importe determinado de ingresos totales al año: igual o superior a 30.000 SMMLV.
Igualmente, la obligación se aplica a las compañías supervisadas con ingresos totales iguales o superiores a 40.000 SMMLV.
Esto implica que cerca de 6000 empresas están obligadas a aplicar un Software SAGRILAFT en Colombia.
Además de esto, conviene señalar que otras normas establecen la obligatoriedad de contar con sistemas de prevención de LA/FT en Colombia.
Riesgo de blanqueo de capitales
Antes de examinar las características, los componentes y las etapas del SAGRILAFT, es conveniente definir el riesgo LD/FT y sus riesgos asociados.
El riesgo LD/FT se define como «la eventualidad de pérdida o daño que puede tener una compañía» si es utilizada para lavar activos.
También se incluye en este riesgo el posible uso para encauzar recursos para llevar a cabo acciones terroristas».
Se entiende que el riesgo de LD/FT se manifiesta a través de los riesgos asociados.
Como no están definidos en la norma SAGRILAFT, vale la pena revisar lo que dice el SARLAFT financiero.
Riesgos asociados
El primero es el riesgo reputacional, que se define como la posibilidad de pérdidas por desprestigio o mala imagen.
Otro riesgo es el legal, entendido como la posibilidad de pérdidas por incumplimiento de normas o contratos.
El riesgo operativo es la posibilidad de pérdidas por fallos en los procesos, recursos, tecnología e infraestructura.
Por su parte, el riesgo de contagio es la posibilidad de pérdidas por la actuación de una persona vinculada a la empresa.
En este sentido, uno de los principales objetivos de la SAGRILAFT es reducir la posibilidad de que se produzcan riesgos de LA/FT.
Asimismo, busca mitigar los efectos nocivos que puedan producirse en caso de que el riesgo de LA/FT se materialice.
Esto sólo puede lograrse a través del diseño e implementación de controles. Para esta tarea, el SAGRILAFT contiene elementos y etapas.
A continuación se describen las características más importantes de este sistema.
Elementos del SAGRILAFT
Los elementos del SAGRILAFT son pasos discutibles que permiten una gestión eficaz de los riesgos.
Los cuatro elementos del SAGRILAFT se definen a continuación:
Identificación del riesgo en el SAGRILAFT.
En primer lugar, el SAGRILAFT exige establecer metodologías para identificar los factores de riesgo.
Los responsables del cumplimiento deben segmentar esos factores e identificar los diferentes eventos de riesgo a los que está expuesta la empresa.
Según el SAGRILAFT, algunos factores de riesgo son las contrapartes y las transacciones, los negocios y los contratos.
Sin embargo, es común considerar como factores de riesgo las jurisdicciones donde se encuentran las contrapartes.
También es común considerar los activos como factores de riesgo.
En cualquier caso, la determinación de dichos factores es una de las tareas necesarias en la fase de identificación del riesgo.
La identificación, en la práctica
La identificación implica establecer metodologías para identificar los factores de riesgo y segmentarlos según sus características.
Esto facilitará el análisis de los mismos y por ende la determinación de los eventos a través de los cuales dichos factores pueden exponer al riesgo de LA/FT.
Es importante señalar que la norma establece la obligación de contar con metodologías para la identificación, pero no impone una metodología.
En consecuencia, cada empresa puede determinar la metodología que mejor se adapte a sus necesidades.
Para ello, deberá tener en cuenta sus características y las condiciones de sus operaciones.
Medición o evaluación del riesgo
La medición, que se realiza después de la identificación, consiste en medir la probabilidad de ocurrencia del riesgo identificado.
Dicha medición debe realizarse junto con una estimación del posible impacto que el riesgo podría generar en caso de materializarse.
En este sentido, la etapa de medición da lugar a la determinación del perfil de riesgo LD/FT inherente a la empresa.
Es decir, el riesgo inherente a la actividad de la empresa sin tener en cuenta los controles o medidas de prevención.
Este perfil de riesgo suele representarse y/o materializarse a través de una matriz de riesgo.
Cabe recordar que una matriz muestra la relación entre la probabilidad del evento de riesgo y el eventual impacto del riesgo materializado.
SAGRILAFT y el control de riesgos
A través de los controles de control, se busca tomar las medidas necesarias para reducir el riesgo inherente a la empresa.
En este sentido, se requiere el diseño e implementación de controles que permitan la reducción de la probabilidad de ocurrencia del riesgo.
También la reducción del impacto, o la reducción de ambos.
Como resultado del elemento de control, el sistema debe permitir establecer el perfil de riesgo residual de la empresa.
Es decir, el nivel de riesgo de la empresa después de aplicar los controles.
Seguimiento del riesgo
Por último, la vigilancia del riesgo requiere que cada empresa realice un seguimiento o monitorización de su perfil de riesgo.
Asimismo, un seguimiento y vigilancia para la detección de operaciones inusuales y sospechosas.
El objetivo de este elemento no es otro que mantener una gestión eficaz del riesgo.
¿Cómo conseguirlo? mediante un seguimiento constante del riesgo y la aplicación continua de los elementos anteriores.
SAGRILAFT: etapas
De acuerdo con las normas de la Superintendencia de Sociedades, el SAGRILAFT exige el cumplimiento de tres etapas.
Estas etapas establecen los pasos secuenciales que debe seguir la empresa para implementar el sistema.
En este sentido, las etapas del SAGRILAFT comprenden los elementos y su finalidad es la puesta en marcha del sistema.
Diseño y aprobación del SAGRILAFT
La primera etapa corresponde al diseño del SAGRILAFT, actividad que debe ser supervisada y dirigida por el oficial de cumplimiento.
Además, esta persona debe tener capacidad de decisión y acreditar conocimientos de la operativa empresarial.
También debe tener conocimientos de gestión de riesgos.
Una vez diseñado el sistema, debe ser aprobado por el consejo de administración, dejando constancia en el acta de la reunión.
Difusión y formación del SAGRILAFT
Por último, la tercera etapa requiere la difusión del sistema y la impartición de formación a quienes lo requieran.
Es habitual que las empresas determinen que algunas áreas requieren una formación más compleja.
Tal es el caso de recursos humanos, gestión comercial y compras, entre otras.
En todo caso, cada empresa determinará los cargos relevantes para la capacitación, de acuerdo con su perfil de riesgo.
La diligencia debida en el SAGRILAFT
Las empresas obligadas a tener un SAGRILAFT deben establecer procedimientos para identificar a todas sus contrapartes.
Dichas contrapartes son personas físicas o jurídicas con las que tienen vínculos comerciales, empresariales, contractuales o legales.
Entre ellas se encuentran los accionistas, socios y empleados de la empresa, así como los clientes y proveedores de bienes y servicios.
En otras palabras, las empresas deben llevar a cabo una diligencia debida o pasos centrados en la identificación de sus contrapartes.
Como parte de la diligencia debida, se debe verificar la información para establecer el riesgo de dicha contraparte, en caso de que esté relacionada.
La diligencia debida como control
Cabe destacar que la debida diligencia en el conocimiento de las contrapartes constituye un control del riesgo de BC/FT.
En efecto, como control, permite reducir la probabilidad de ocurrencia del riesgo.
Esto se debe a que reduce la probabilidad de vinculación o realización de operaciones con personas con alta exposición al riesgo.
Asimismo, este control puede reducir el impacto, ya que si el riesgo se materializa, evidencia diligencia y cuidado.
En cuanto a la gestión del riesgo, la debida diligencia se realiza generalmente con la verificación de la información pública.
Listas restrictivas en el SAGRILAFT
En general, la norma no establece una lista de bases de datos o fuentes para consultar información.
Aunque sugiere «consultar otras listas restrictivas emitidas por otras autoridades extranjeras, aunque no sean vinculantes».
De ello se deduce que cada empresa tendrá la potestad de determinar las fuentes de información que considere oportunas.
Sin embargo, el reglamento aclara que las listas del Consejo de Seguridad de las Naciones Unidas deben ser verificadas.
La coincidencia de una contraparte en estas listas implica un procedimiento especial de denuncia ante la Fiscalía General del Estado.
Otro aspecto de especial relevancia es la obligación de conocer a los titulares reales, beneficiarios últimos y controladores de las contrapartes.
Lo que debe saber sobre los beneficiarios efectivos
Los beneficiarios finales o usufructuarios se definen como «las personas físicas en cuyo nombre se realiza una operación o negocio».
En este sentido, se incluye cualquier persona que actúe como controlador (ejerza un control efectivo) sobre una entidad jurídica.
Debe prestarse especial atención a los titulares del 25% o más del capital social de una persona jurídica.
Estos requisitos generales de diligencia debida son aplicables al conocimiento de todas las contrapartes.
Sin embargo, la norma incluye un conjunto de medidas de conocimiento específicas.
Siempre en función de la relación o las características de la contraparte.