Manual del SAGRILAFT 2021
44
0 Manual del SAGRILAFT 2021
Transcript of Manual del SAGRILAFT 2021
0
Manual del SAGRILAFT
2021
1
1 Tabla de Contenido 2 Consideraciones Generales 4
2.1 Objetivos ....................................................................................................................4
2.1.1 Objetivo General 4
2.1.2 Objetivos Específicos 4
2.2 Alcance ......................................................................................................................5
2.3 Instancia De Aprobación............................................................................................5
2.4 Distribución................................................................................................................5
2.5 Premisas y Fundamento Legal ...................................................................................5
2.6 Compromiso Ético y Profesional ...............................................................................5
3 Generalidades SAGRILAFT 6
3.1 Naturaleza del Riesgo LA/FT/FPADM .....................................................................6
3.2 Ámbito de Aplicación del SAGRILAFT ...................................................................6
3.3 Alcance del SAGRILAFT..........................................................................................6
3.4 Las Fuentes de Riesgo del SAGRILAFT...................................................................6
3.5 Fases del SAGRILAFT ..............................................................................................7
3.6 Etapas del SAGRILAFT ............................................................................................7
3.7 Procesos de Debida Diligencia del SAGRILAFT .....................................................7
3.8 Elementos del SAGRILAFT ......................................................................................8
4 Estructura Organizacional SAGRILAFT 8
4.1 Dirección y Supervisión .............................................................................................9
4.1.1 Junta Directiva 9
4.1.2 Gerente General (Representante Legal) 9
4.1.3 Oficial de Cumplimiento 10
4.2 Ejecución y Soporte .................................................................................................12
4.2.1 Gerente de Administración y Finanzas 12
4.2.2 Gerente de Mercadeo y Ventas 13
4.2.3 Asesor Jurídico 13
4.2.4 Miembros y empleados de Icobandas S.A. 14
4.3 Órganos de Control ..................................................................................................14
4.3.1 Revisoría Fiscal 14
2
4.3.2 Área de Representación de la Dirección del Sistema de Gestión de la Calidad y
RUC. 15
4.4 Responsables de Prevención y Control del SAGRILAFT .......................................15
5 Políticas SAGRILAFT 15
5.1 Políticas Generales ...................................................................................................16
5.2 Política sobre Consulta en Listas Restrictivas .........................................................16
5.3 Política de Conocimiento y Vinculación de Proveedores, Clientes y Empleados ...17
5.4 Políticas de las Etapas del SAGRILAFT .................................................................17
5.5 Políticas de los Elementos del SAGRILAFT...........................................................18
5.6 Política de Relaciones con Accionistas, Administradores y Vinculados .................19
5.7 Política de Conocimiento de Socios ........................................................................19
5.8 Política de Realización de Cooperación Empresarial, Adquisiciones, Fusiones y
Negocios Virtuales o no Presenciales .................................................................................19
5.9 Política de Incursión en Nuevos Mercados o Lanzamiento de Nuevos Productos o
Servicios .............................................................................................................................19
5.10 Política de Conocimiento y Vinculación de Personas Expuestas Políticamente
(PEP) 19
5.11 Política de Actualización de Información de Contrapartes ..................................20
5.12 Política de Manejo de Efectivo ............................................................................21
5.13 Política de Conservación de Documentos ............................................................21
5.14 Política para Soportar todas las Operaciones, Negocios y Contratos ..................21
5.15 Política de Requerimiento de Información por Autoridades Competentes ..........22
5.16 Política de Comportamientos de SAGRILAFT ...................................................22
5.17 Política de Capacitación del SAGRILAFT ..........................................................22
5.18 Políticas de Sanciones ..........................................................................................22
5.19 Conflictos de Interés.............................................................................................23
5.20 Titular de la Política .............................................................................................24
6 Metodologías para la Segmentación, Identificación, Medición y Control Del Riesgo De
LA/FT/FPADM y Monitoreo del SAGRILAFT 24
7 Medidas para Asegurar el Cumplimiento de las Políticas del SAGRILAFT y Régimen
Disciplinario 24
8 Procedimientos de Control Interno y Revisión del SAGRILAFT 25
9 Estructura del Sistema de Autocontrol y Gestión Integral del Riesgo LA/FT/FPADM 26
9.1 Identificación de Riesgos u Oportunidades de LA/FT/FPADM..............................26
3
9.2 Medición o Evaluación de los Riesgos de LA/FT/ FPADM ...................................27
9.2.1 Riesgo Inherente 29
9.3 Formulación de Nuevos Controles para el Riesgo Inherente ...................................31
9.3.1 Riesgo Residual 32
9.4 DIVULGACIÓN Y DOCUMENTACIÓN .............................................................34
9.5 SEGUIMIENTO O MONITOREO .........................................................................34
10 Procedimientos para la Adecuada Implementación y Funcionamiento de los Elementos
y Etapas del SAGRILAFT. 36
11 REPORTES DEL SAGRILAFT 36
12 REQUERIMIENTOS DE AUTORIDADES 36
13 PROGRAMAS DE CAPACITACIÓN DEL SAGRILAFT 37
14 COMITÉ SARGILAFT 37
15 CONSERVACIÓN DE DOCUMENTOS 37
16 Glosario 39
4
2 Consideraciones Generales La Superintendencia de Sociedades de Colombia en su intención que las empresas cuenten con un Sistema de Autocontrol y Gestión del Riesgo Integral de Lavados de Activos y Financiación del Terrorismo -SAGRILAF, ha comunicado una serie de lineamientos, en los cuales determina qué tipo de empresas deben implementar este sistema de autocontrol y gestión del riesgo; uno de estos lineamientos es la Circular 100-000016 del 24 de diciembre de 2020, en donde se estipula la obligatoriedad de implementar el SAGRILAFT para aquellas empresas vigiladas por la Superintendencia de Sociedades que a 31 de diciembre de 2020 hayan obtenido ingresos totales u obtenido activos iguales o superiores a cuarenta mil (40.000) SMLMV y el plazo el cumplimiento de estos lineamientos sería para el 31 de mayo de 2021. La superintendencia extendió este plazo mediante la Circular 100-000004 del 09 de abril de 2021, hasta el 31 de agosto de 2021 Teniendo en cuenta que Icobandas S.A. superó a 31 de diciembre de 2020, el tope de ingresos o activos estipulados por la superintendencia; decide implementar el Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM, considerando los lineamientos de las circulares 100-000016 de 2020 y 100-000004 de 2021. Por lo anterior se establece el presente MANUAL del SAGRILAFT, en donde se determinan las políticas y procedimientos para la gestión del riesgo de Lavado de Activos -LA-, Financiación del Terrorismo -FT- y el Financiamiento de la Proliferación de Armas de Destrucción Masiva –FPADM-; estas directrices descritas en el presente manual se convierten en reglas de conducta que orientan la actuación de la empresa Icobandas S.A., sus empleados, accionistas, directivos y demás vinculados o partes interesadas. 2.1 Objetivos 2.1.1 Objetivo General Fortalecer la cultura de gestión de riesgo organizacional involucrando políticas y procedimientos para la gestión del riesgo de Lavado de Activos -LA-, Financiación del Terrorismo -FT- y el Financiamiento de la Proliferación de Armas de Destrucción Masiva –FPADM-; conforme a los principios y lineamientos organizacionales y del Estado Colombiano a fin de prevenir la afectación de la reputación de la organización Icobandas S.A., sus accionistas, directivos, empleados, órganos de control y demás vinculados o partes interesadas. 2.1.2 Objetivos Específicos
• Prevenir a través de herramientas de gestión del riesgo que Icobandas S.A., se encuentre relacionada o sea usada en cualquier actividad relacionada con actividades ilícitas de LA/FT/FPADM.
• Describir las políticas, procedimientos, documentos y demás herramientas que la empresa utilizará para la gestión integral del riesgo de LA/FT/FPADM.
• Describir la metodología de identificación, medición, control y monitoreo de los riesgos de LA/FT/FPADM, al igual que su respectivo reporte a las entidades de control organizacional y gubernamental.
• Promover el cumplimiento de las prácticas empresariales, conforme a las disposiciones legales y la normatividad vigente.
• Servir de base para la capacitación y entrenamiento del personal de la organización en materia de la gestión, prevención y control del riesgo de LA/FT/FPADM.
5
2.2 Alcance Los lineamientos establecidos en el presente Manual del SAGRILAFT de Icobandas S.A., son de aplicación obligatoria para sus accionistas, directivos, empleados, órganos de control y demás vinculados o partes interesadas. 2.3 Instancia De Aprobación El presente Manual del SAGRILAFT, ha sido aprobado por la Junta Directiva de Icobandas S.A. 2.4 Distribución El presente Manual del SAGRILAFT está disponible para todos los miembros de la organización de Icobandas S.A., en especial para aquellos cuyas funciones y responsabilidades se encuentren directamente relacionadas con los riesgos de LA/FT/FPADM. Su actualización, control y distribución estarán determinados por los lineamientos de control documental establecidos por la organización. 2.5 Premisas y Fundamento Legal Este Manual del SAGRILAFT se ha desarrollado acorde a los lineamientos para la lucha contra el LA/FT/FPADM establecidos por la Superintendencia de Sociedades de Colombia y demás normas internas de Icobandas S.A. 2.6 Compromiso Ético y Profesional Icobandas S.A. tiene establecido un Código de Ética y Conducta, el cual es tomado como base para orientar y evaluar las actuaciones éticas y profesionales de sus accionistas, miembros de la Junta Directiva, directivos, empleados, clientes, proveedores, contratistas, aliados estratégicos y demás vinculados.
6
3 Generalidades SAGRILAFT 3.1 Naturaleza del Riesgo LA/FT/FPADM Los riesgos relacionados en el lavado de activos, la financiación del terrorismo y el financiamiento de la proliferación de armas de destrucción masiva, son considerados riesgos que aportan al detrimento de la sociedad y a cualquier empresa relacionadas con estas actividades; por tanto, Icobandas S.A., orientará sus esfuerzos en la prevención, detección y reporte de los mismos a través de la implementación del SAGRILAFT. 3.2 Ámbito de Aplicación del SAGRILAFT El Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo, aplica a todas las actividades desarrolladas por los accionistas, directivos, empleados, órganos de control y demás vinculados o partes interesadas de Icobandas S.A. y en las jurisdicciones en las que se opere la organización. 3.3 Alcance del SAGRILAFT Comprende el diseño, aprobación e implementación de políticas, herramientas y procedimientos para la prevención y control del riesgo de LA/FT/FPADM, que orientan las actuaciones de Icobandas S.A., sus accionistas, directivos, empleados, órganos de control y demás vinculados o partes interesadas. 3.4 Las Fuentes de Riesgo del SAGRILAFT Para Icobandas S.A., las fuentes o factores de riesgo de LA/FT/FPADM son las siguientes:
a. Accionistas b. Clientes
• Actividad Económica: Clasificación y/o agrupamiento de los códigos de los clientes, según la actividad económica principal o complementaria desempeñada, sea esta dependiente o independiente.
• Volumen o Frecuencia de las Operaciones: Monto y frecuencia de las operaciones realizadas durante un lapso de tiempo de un año o los últimos meses, basados en información histórica de Icobandas S.A.
• Monto de Ingresos, Egresos y Patrimonio: Monto de los ingresos, egresos e información patrimonial suministrada a Icobandas S.A. por los clientes, debidamente actualizada.
c. Empleados d. Proveedores
e. Productos/Servicios: Se agrupan los diferentes tipos de productos y servicios existentes en
Icobandas S.A., debidamente clasificada niveles de riesgo.
f. Canales de Distribución: Son los canales propios y externos, a través de los cuales se promocionan los productos y servicios de Icobandas S.A.
7
g. Jurisdicciones
• Ubicación: La ubicación de las operaciones, negocios u oficinas de Icobandas S.A. fueron tenidas en cuenta en la evaluación de esta fuente de riesgo.
• Características: Se relacionaron la ubicación de los canales y de los clientes (proveedores y demás terceros) con los productos y servicios que se promocionan o se venden.
• Naturaleza de las Operaciones: Se tiene en cuenta el tipo de operaciones realizadas por los clientes con el objetivo de establecer comportamientos transaccionales usuales en cada fuente de riesgo, tomando como base el segmento comercial al cual está asociado el Cliente, sea persona jurídica o persona natural, con el sitio de ubicación del Cliente y de sus operaciones. Esto con el fin de comparar el promedio mensual de sus operaciones con el promedio mensual de la variable analizada e identificar variaciones o desviaciones que permitan determinar eventuales comportamientos inusuales.
Resultados de la Segmentación Una vez segmentado cada una de las fuentes de riesgo, se elaboró el inventario de los eventos de riesgo con base en las señales de alerta del objetivo social de Icobandas S.A 3.5 Fases del SAGRILAFT El SAGRILAFT se divide en dos fases: La primera de prevención, Icobandas S.A. tomará todas las medidas a su alcance para mitigar la exposición al riesgo de LA/FT/FPADM y prevenir que sea utilizada para la realización de actividades delictivas; y en la segunda de control, implementará todos los mecanismos y utilizará todas las herramientas a su alcance para detectar aquellas operaciones, contratos o negocios que se pretendan realizar o se hayan realizado para darle apariencia de legalidad a los activos ilícitos o para la canalización de recursos lícitos o ilícitos con fines de actividades de LA/FT/FPADM. 3.6 Etapas del SAGRILAFT Las etapas del SAGRILAFT en Icobandas S.A. son pasos sistemáticos e interrelacionados mediante los cuales administra el riesgo de LA/FT/FPADM. Las etapas del SAGRILAFT son la segmentación de las fuentes de riesgo, identificación del riesgo de LA/FT/FPADM, la medición del riesgo de LA/FT/FPADM, el control del riesgo de LA/FT/FPADM, el monitoreo del sistema de administración del riesgo de LA/FT/FPADM y el reporte de los niveles de exposición y desempeño del sistema de administración del riesgo LA/FT/FPADM. 3.7 Procesos de Debida Diligencia del SAGRILAFT Los procesos de debida diligencia del SAGRILAFT en Icobandas S.A. se refieren al:
a. Conocimiento de los clientes. b. Conocimiento de los accionistas. c. Conocimiento de los empleados. d. Conocimiento de personas expuestas públicamente (PEP). e. Conocimiento del proveedor.
8
3.8 Elementos del SAGRILAFT Los elementos del SAGRILAFT son el conjunto de componentes a través de los cuales se instrumenta en forma organizada y metódica la administración del riesgo de LA/FT/FPADM en Icobandas S.A., dentro de los cuales se encuentran las políticas, los procedimientos, la documentación, la estructura organizacional, los órganos de control, los reportes y la capacitación.
4 Estructura Organizacional SAGRILAFT Con el fin de garantizar un adecuado funcionamiento del SAGRILAFT en Icobandas S.A., se ha definido un modelo organizacional acorde a las exigencias de la normatividad aplicable, en el cual se incorpora a la Junta Directiva, al Gerente general (representante legal), el Oficial de Cumplimiento y todas las áreas relacionadas con las principales operaciones con contrapartes. Es importante tener en cuenta que a pesar de designar un Oficial de Cumplimiento que se encargará de adelantar las actividades principales relacionadas con la administración del riesgo de LA/FT/FPADM, la gestión del riesgo es una función inherente a todos los miembros de la organización y sus órganos de control. A continuación, se describe la estructura de la organización en relación con el SAGRILAFT:
Organigrama de Icobandas S.A. para el SAGRILAFT
Dando continuidad a la estructuración a continuación se describen las funciones que en materia de SAGRILAFT le han sido asignadas a los diferentes órganos y áreas que conforman la estructura organizacional que lo soporta:
Jefes, Coordinadores
y demás cargos
GERENTE DE
ADMON & FINANZAS
GERENTE MTTO. METROLOGIA & MED.
Jefes,
Coordinadores y
demás cargos
Jefes, Coordinadores
y demás cargos
Jefes, Coordinadores
y demás cargos
AUDITOR INTERNO
GERENTE
MCDEO. & VTAS.
GERENTE
PRODUCCIÓN
REPRESENTANTE
DE LA DIRECCION
GERENTE
GENERAL
COORDINADOR DE
CALIDAD
OFICIAL DE
CUMPLIMIENTO
SAGRILAFT
ASAMBLEA
REVISOR
FISCAL
JUNTA DIRECTIVA
ASESOR JURIDICO
9
4.1 Dirección y Supervisión 4.1.1 Junta Directiva Como principal órgano de dirección de Icobandas S.A., la Junta de directiva tiene las siguientes funciones en materia de control y prevención del LA/FT/FPADM:
a. Formular y aprobar la(s) política(s) para la prevención y control del riesgo de LA/FT/FPADM de la organización.
b. Aprobar el SAGRILAFT, su manual, procedimientos y herramientas; así como sus actualizaciones. c. Designar al Oficial de Cumplimiento, de igual forma, establece el régimen de inhabilidades e
incompatibilidades aplicable al mismo; verificando que cuentan con la disponibilidad y capacidad para desarrollar sus funciones.
d. Analizar oportunamente los informes que presente el Oficial de Cumplimiento, sobre propuestas de correctivos y actualizaciones y tomar decisiones respecto a la totalidad de los temas que contengan dichos informes, dejando constancia en las respectivas actas.
e. Analizar oportunamente los reportes y solicitudes que presente el gerente general (representante legal) y oficial de cumplimiento, relacionados con los riesgos de LA/FT/FPADM.
f. Pronunciarse sobre los informes presentados por el Revisor Fiscal y de procesos de auditoría interna y externa, relacionados con la implementación y funcionamiento del SAGRILAFT y hacer seguimiento a las observaciones o recomendaciones adoptadas, dejando constancia en las respectivas actas.
g. Ordenar y garantizar los recursos técnicos, logísticos y humanos que se requieran para implementar y mantener en funcionamiento el SAGRILAFT, teniendo en los requerimientos realizados por el Oficial de cumplimiento y las capacidades económicas de Icobandas S.A.
h. Aprobar el procedimiento para la vinculación y realización de operaciones, negocios o contratos con Personas Expuestas Públicamente (PEP), así como las instancias responsables y procedimientos de funcionarios adecuados, según las normas legales pertinentes.
i. Hacer seguimiento a los puntos críticos que contengan los informes de SAGRILAFT presentados por el gerente general (representante legal), el oficial de cumplimiento o revisoría fiscal, dejando constancia en el acta respectiva.
j. Constatar que Icobandas S.A. el gerente general (representante legal) y el oficial de cumplimiento cumplen con las actividades, funciones y responsabilidades asignadas para el SAGRILAFT.
4.1.2 Gerente General (Representante Legal) Las funciones del Representante relacionadas con el SAGRILAFT son las siguientes:
a. El gerente general (representante legal) debe presentar junto con el oficial de cumplimiento, las políticas y procedimientos del SAGRILAFT a la Junta de Directiva para su análisis y aprobación, al igual que sus respectivas actualizaciones.
b. Estudiar los resultados de la evaluación del Riesgo LA/FT/FPADM efectuada por el Oficial de Cumplimiento y establecer los planes de acción que correspondan.
c. Asignar de manera eficiente los recursos técnicos y humanos, determinados por la junta directiva, necesarios para implementar el SAGRILAFT.
d. Verificar que el Oficial de Cumplimiento cuente con la disponibilidad y capacidad necesaria para desarrollar sus funciones.
e. Prestar apoyo efectivo, eficiente y oportuno al Oficial de Cumplimiento en el diseño, dirección supervisión y monitoreo del SAGRILAFT.
10
f. Presentar a la junta directiva, los reportes, solicitudes, recomendaciones y alertas que considere que deban ser tratados y que estén relacionadas con el SAGRILAFT.
g. Asegurarse de que las actividades que resulten del desarrollo del SAGRILAFT se encuentran debidamente documentadas, de modo que se permita que la información responda a criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad establecidos por la organización y la Superintendencia de Sociedades.
h. Certificar ante la Superintendencia de Sociedades cuando esta lo requiera, el cumplimiento de los requerimientos establecidos para el SAGRILAFT.
i. Verificar que las políticas y procedimientos establecidos, se desarrollen conforma las políticas de LA/FT/FPADM determinadas por la Junta Directiva.
j. Conocer y hacer seguimiento a los puntos críticos que contengan los informes de SAGRILAFT que presente el Oficial de Cumplimiento o Revisoría Fiscal.
k. Conocer de las operaciones inusuales, intentadas y sospechosas reportadas por el Oficial de Cumplimiento a la UIAF.
4.1.3 Oficial de Cumplimiento El Oficial de Cumplimiento es el responsable de la ejecución y seguimiento al sistema de autocontrol y gestión del riesgo LA/FT/FPADM. Para lo cual deberá desarrollar las siguientes funciones:
a. Velar por el efectivo, eficiente y oportuno funcionamiento del SAGRILAFT. Al igual supervisión y
seguimiento del mismo. b. Hacer seguimiento y propender por medidas de control de la evolución individual y consolidada de los
perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgos asociados. c. Presentar, por lo menos una vez al año, informes a la junta directiva. Como mínimo, los reportes deberán
contener una evaluación y análisis sobre la eficiencia y efectividad del SAGRILAFT y, de ser el caso, proponer las mejoras respectivas. Así mismo, demostrar los resultados de la gestión del Oficial de Cumplimiento, y de la administración de la organización, en el cumplimiento del SAGRILAFT.
d. Promover la adopción de correctivos y actualizaciones al SAGRILAFT, cuando las circunstancias lo requieran y por lo menos una al año. Para ello deberá presentar a la junta directiva, las propuestas y justificaciones de los correctivos y actualizaciones sugeridas al SAGRILAFT.
e. Coordinar el desarrollo de programas internos de capacitación, que permitan el conocimiento y aplicación de los lineamientos de gestión del riesgo de LA/FT/FPADM y la construcción de una cultura de prevención de actividades de LA/FT/FPADM.
f. Evaluar los informes presentados por el proceso de auditoría interna y los informes que presente el revisor fiscal y adoptar las Medidas Razonables frente a las deficiencias informadas del SAGRILAFT. Si las medidas que deben ser adoptadas requieren de una autorización de otros órganos o instancias de la organización, deberá promover que estos asuntos sean puestos en conocimiento de los órganos o instancias competentes.
g. Certificar ante la Superintendencia de Sociedades cuando esta lo requiera, el cumplimiento de los requerimientos establecidos para el SAGRILAFT.
h. Verificar el cumplimiento de los procedimientos de Debida Diligencia y Debida Diligencia Intensificada, aplicables a la organización.
i. Velar por el adecuado archivo de los soportes documentales y demás información relativa a la gestión y prevención del Riesgo LA/FT/FPADM.
j. Diseñar las metodologías de clasificación, identificación, medición y control del riesgo LA/FT/FPADM a los que se encuentra expuesta la organización.
k. Realizar la evaluación del Riesgo LA/FT/FPADM a los que se encuentra expuesta la organización.
11
l. Realizar oportunamente los Reportes de las Operaciones Sospechosas (ROS) y cualquier otro reporte relacionado con el SAGRILAFT, a la UIAF o autoridad competente.
m. Velar por la divulgación a los miembros de la organización del manual, políticas y procedimientos en materia de LA/FT/FPADM.
n. Presentar al Gerente general (representante legal) los requerimientos de necesidades y recursos necesarios para el cumplimiento de sus funciones y del SAGRILAFT.
o. Atender y coordinar cualquier requerimiento, solicitud o diligencia de autoridad judicial o administrativa en materia de prevención y control de actividades de LA/FT/FPADM.
p. Tratándose de personas públicamente expuestas deberá incluir en su monitorio semestral la base de datos correspondiente.
q. Conocer de los reportes, inquietudes o dilemas que presenten los miembros de la organización relación con al riesgo de LA/FT/FPADM.
Parágrafo 1: en la presentación de información a la dirección de la organización y órganos de control, se debe considerar al menos información relacionada con los siguientes temas:
• Los procesos establecidos para llevar a la práctica las políticas aprobadas, sus adiciones o modificaciones.
• Los resultados del seguimiento y monitoreo para determinar la eficacia y eficiencia de las políticas, procedimientos y controles establecidos.
• Las medidas adoptadas para corregir las falencias encontradas al efectuar el monitoreo de los controles.
• El cumplimiento dado a los requerimientos de las diferentes autoridades, en caso de que estos se hubieran presentado.
• Las propuestas de ajustes o modificaciones a las políticas para la prevención y control del riesgo de LA/FT/FPADM que considere pertinentes.
• El cumplimiento a los ajustes o modificaciones a las políticas de prevención y control del riesgo de LA/FT aprobados por la junta directiva.
• Las últimas normas o reglamentaciones expedidas sobre la prevención y control del riesgo de LA/FT/FPADM.
Parágrafo 2: Para el adecuado ejercicio de sus funciones el Oficial de Cumplimiento tendrá acceso a la información y documentos necesarios para el desarrollo de sus responsabilidades, por lo tanto, las áreas de administración, gestión y órganos de control suministrarán la información que les sea requerida. Así mismo, el Oficial de Cumplimiento mantendrá la confidencialidad de la información y el nivel de independencia que evite la aparición de conflictos de intereses incompatibles con el correcto desempeño de sus funciones. Inhabilidades e Incompatibilidades del Oficial de Cumplimiento Las situaciones que se enuncian a continuación, serán consideradas como inhabilidades o incompatibilidades que impiden al Oficial de Cumplimiento ejercer su labor con plena independencia. Por tanto, no podrá ostentar la calidad de oficial de cumplimiento la persona que:
• Tengan parientes hasta tercer grado de consanguinidad, segundo de afinidad o primero civil sobre los cuales se haya conocido algún vínculo con actividades u operaciones relacionadas con el LA/FT/FPADM.
• No haya suministrado toda la información necesaria, en los estudios de seguridad y debida diligencia que se practican por parte de la organización al momento de la vinculación del personal.
• Personas que hayan incurrido alguna vez en delitos asociados al riesgo LA/ FT/FPADM.
12
• Las demás que determine la Junta Directiva. 4.2 Ejecución y Soporte 4.2.1 Gerente de Administración y Finanzas Esta área tiene a cargo los procesos relacionados con la gestión administrativa, financiera, operativa, tecnológica y de recursos humanos, para lo cual se describen sus funciones y responsabilidad en la gestión del riesgo de LA/FT/FPADM.
• Ejecutar los procedimientos definidos por la Organización que aseguren el debido conocimiento de los proveedores.
• Definir e identificar señales de alerta y divulgarlas, indicando que cuando estas señales se materialicen se deben reportar para su análisis y posterior informe al Oficial de Cumplimiento.
• Definir señales de alerta e identificar operaciones inusuales, intentadas o sospechosas en el comportamiento de los proveedores
• Reportar al Oficial de Cumplimiento, las situaciones inusuales que pueden estar relacionadas con LA/FT/FPADM que se presenten en las relaciones con los proveedores de la Sociedad.
• Apoyar las estrategias definidas por la organización, tendientes a lograr la actualización de la información de los proveedores.
• Realizar gestiones con el apoyo de las líneas de servicio, para obtener actualización de la información de los clientes procediendo a su análisis y verificación.
• En caso de presentar recaudos en efectivo verificar que se efectúen cumpliendo con las políticas establecidas y que, en caso de realizarse, aquellos recaudos que sean iguales o superiores a veinte millones de pesos ML ($20.000.000) cuenten con el formato de declaración de origen de fondos diligenciado por el cliente.
• No permitir el giro de recursos a terceros diferentes a quienes han hecho negociaciones con la organización y que están vinculados a la empresa.
• Diligenciar la información de Clientes, Proveedores y Empleados en el sistema de la organización.
• Apoyar al Oficial de Cumplimiento en el manejo y cuidado del archivo físico de los soportes relativos a la gestión y prevención del riesgo de LA/FT/FPADM.
Relacionadas con la Gestión de Recursos Humanos
• Realizar y velar porque se cumplan los procedimientos establecidos para la vinculación de nuevos empleados y de las personas vinculadas a través de empresas de servicios temporales, así como lo relativo al cumplimiento de los procedimientos para la actualización de los empleados.
13
• Desarrollar e implementar los mecanismos tendientes a garantizar el conocimiento del empleado en materia de SAGRILAFT con el debido seguimiento y reporte al Oficial de Cumplimiento de las operaciones inusuales, intentadas y sospechosas.
• Estructurar y desarrollar en coordinación con el Oficial de Cumplimiento, programas de capacitación y entrenamiento sobre SAGRILAFT.
• Reportar al Oficial de Cumplimiento, los casos en donde se haya encontrado situaciones de violación a normas del SAGRILAFT, relacionadas con los empleados para su análisis.
Relacionadas con la Gestión Tecnológica
• Apoyar a la organización en la disponibilidad de herramientas que permitan ejecutar actividades para el monitoreo de LA/FT/FPADM.
• Generar la información relevante solicitada por el Oficial del Cumplimiento para facilitar el monitoreo a transacciones de clientes y proveedores.
• Apoyar al Oficial de Cumplimiento en el manejo y cuidado del archivo digital de los soportes relativos a la gestión y prevención del riesgo de LA/FT/FPADM.
4.2.2 Gerente de Mercadeo y Ventas
• Apoyar en la divulgación de temas relacionados con LA/FT/FPADM
• Apoyar las estrategias definidas por la organización, tendientes a lograr la comunicación oportuna y efectiva de temas relacionados con LA/FT/FPADM.
• Realizar el monitoreo en los diferentes Medios de Comunicación a efectos de detectar situaciones que pongan en riesgo la reputación de la Empresa.
• Definir e identificar señales de alerta y divulgarlas, indicando que cuando estas señales se materialicen se deben reportar para su análisis y posterior informe al Oficial de Cumplimiento.
4.2.3 Asesor Jurídico Para el funcionamiento del sistema de autocontrol y gestión del riesgo de LA/FT/FPADM, se requiere soporte jurídico en los siguientes aspectos:
• Dar el apoyo y la asesoría que, en materia jurídica, independencia, riesgo, reputación y ética que requiera el Oficial de Cumplimiento en el desarrollo de sus actividades definidas para el funcionamiento del SAGRILAFT.
14
• En coordinación con el Oficial de Cumplimiento, orientar y asesorar jurídicamente a la entidad en las respuestas solicitadas por los Organismos de Control en materia de riesgo de LA/FT/FPADM.
• Definir e implementar estrategias que permitan detectar con la debida oportunidad los cambios y/o modificaciones en la participación de los accionistas (porcentaje de participación igual o superior al 20%), y mantener actualizada la información de esta contraparte.
• Velar porque los nuevos accionistas sean verificados en listas restrictivas antes de su vinculación a la organización y que con la periodicidad que se defina, se hagan validaciones de los accionistas en dichas listas.
4.2.4 Miembros y empleados de Icobandas S.A. A los accionistas, directivos, representante legal, empleados, órganos de control y demás vinculados de la organización les corresponde conocer, cumplir y difundir todos los aspectos relacionados la normatividad de SAGRILAFT establecida por la empresa en materia de control y prevención del LA/FT/FPADM, para evitar que ésta pueda ser utilizada como instrumento para darle legalidad a recursos provenientes de actividades ilícitas realizadas por las organizaciones criminales o para proveer, entregar, recibir, administrar, aportar, custodiar bienes o recursos, directa o indirectamente, o realizar cualquier otro acto que promueva, apoye o financie económicamente a grupos armados al margen de la ley, grupos terroristas o la realización de actividades terroristas. 4.3 Órganos de Control 4.3.1 Revisoría Fiscal El Revisor Fiscal debe verificar en materia de LA/FT/FPADM que:
• Que las operaciones, negocios y contratos que celebre o cumplan la organización, deben ajustarse a las políticas aprobadas por el máximo órgano de dirección y que sean acordes con la Ley.
• Debe dar cuenta por escrito a la Junta Directiva, Gerente General (representante legal) o al Oficial de Cumplimiento, sobre el cumplimiento o incumplimiento a las disposiciones contenidas en el presente manual.
• Debe poner en conocimiento de la Junta Directiva, Gerente general (representante legal) o al Oficial de Cumplimiento, las inconsistencias y falencias que detecte respecto a la implementación de las políticas de SAGRILAFT o de los controles establecidos.
• Debe rendir los informes sobre el cumplimiento de las políticas establecidas por la organización en materia de LA/FT/FPADM cuando las autoridades competentes se lo requieran.
• Debe rendir informes cuando en desarrollo de su trabajo de auditoría, identifique operaciones inusuales, sospechosas o intentadas, que puedan poner en riesgo a Icobandas S.A. en los términos del presente manual.
• Debe rendir anualmente un informe al Oficial de Cumplimiento sobre el cumplimiento de este manual.
15
4.3.2 Área de Representación de la Dirección del Sistema de Gestión de la Calidad y RUC.
El Área de Representación del Dirección del SGC y RUC, apoyará con la realización del monitoreo del riesgo de LA/FT/FPADM, según sus actividades de seguimiento a los procesos, conforme a su programa de auditorías. Para el efecto deberá presentar semestralmente al Oficial de Cumplimiento un informe sobre los hallazgos encontrados. 4.4 Responsables de Prevención y Control del SAGRILAFT Con el fin de asegurar una adecuada administración del riesgo de LA/FT/FPADM, el Oficial de Cumplimiento designará responsables SAGRILAFT, en cada una de las áreas de Icobandas S.A., teniendo en cuenta la naturaleza del cargo y no la persona que lo desempeña. No obstante, todo el personal, independientemente de su cargo, rol, función y puesto de trabajo, es responsable de prevenir y controlar la materialización de los riesgos de LA/FT/FPADM. El responsable SAGRILAFT de cada área, será notificado de su designación mediante comunicación suscrita por el Oficial de Cumplimiento. Los responsables SAGRILAFT deben cumplir las siguientes funciones:
a) Promover la cultura de cumplimiento del SAGRILAFT dentro del área de trabajo y sus compañeros de trabajo.
b) Servir de enlace con el Oficial de Cumplimiento y prestarle apoyo en las labores de prevención, control y administración de riesgos LA/FT/FPADM.
c) Aplicar y supervisar las normas, políticas y procedimientos de prevención y control del riesgo LA/FT/FPADM en el área de su responsabilidad.
d) Asesorar y apoyar al personal de su área de responsabilidad en lo relacionado con los procedimientos de prevención, control y en la normativa vigente sobre SAGRILAFT.
e) Velar porque se acaten las normas, políticas y procedimientos establecidos en el SAGRILAFT, y reportar al Oficial de Cumplimiento las fallas que detecten.
f) Apoyar el área de su responsabilidad con capacitación y entrenamiento en temas de riesgo de LA/FT/FPADM o a las áreas que le sean designadas.
5 Políticas SAGRILAFT Icobandas S.A. adopta las siguientes políticas que regulan el funcionamiento del SAGRILAFT y se determinan de estricto cumplimiento por parte sus accionistas, directivos, empleados, órganos de control y demás vinculados o partes interesadas. Estas políticas serán actualizadas teniendo en cuenta los cambios en la normatividad aplicable al LA/FT/FPADM, a la organización y las modificaciones a que tuvieren lugar los procedimientos del SAGRILAFT.
16
Es deber de los accionistas, directivos, oficial de cumplimiento, empleados, órganos de control y demás vinculados o partes interesadas, lo siguiente: 5.1 Políticas Generales a. Los accionistas, directivos, oficial de cumplimiento, empleados, órganos de control y demás vinculados de
Icobandas S.A. son responsables de velar por la aplicación y cumplimiento de todas las normas relacionadas con el LA/FT/FPADM adoptadas por la organización y emitidas por el Gobierno de Colombia; de igual forma desarrollar las actividades de control diseñadas por la organización y en los procesos, en el ejercicio de sus funciones y responsabilidades.
b. Icobandas S.A. promueve una cultura institucional anti LA/FA/FPADM en sus accionistas, directivos, oficial de cumplimiento, empleados, órganos de control y demás vinculados.
c. Como parte del compromiso de Icobandas S.A. en la prevención y control del riesgo del LA/FT/FPADM; tomará en cuenta las recomendaciones internacionales del GAFI, GAFILAT y otros organismos similares internacionales y nacionales.
d. Icobandas S.A. rechaza establecer o renovar relaciones contractuales o comerciales con personas naturales o jurídicas que no cumplan con los requisitos exigidos por la ley y las normas internas para el control del riesgo de LA/FT/FPADM.
e. Icobandas S.A. guarda reserva de la información reportada a las autoridades competentes, así como la información utilizada para el análisis de operaciones inusuales y sospechosas.
f. Los accionistas, directivos, oficial de cumplimiento, empleados, órganos de control y demás vinculados de Icobandas S.A. se comprometen con a guardar absoluta confidencialidad respecto a la información que se elabore y distribuya relacionada con la gestión del riesgo de LA/FT/FPADM, salvo de ser requerido por autoridades competentes.
5.2 Política sobre Consulta en Listas Restrictivas a. Icobandas S.A. realizará las consultas y cruces de información de personas naturales o jurídicas con las
listas restrictivas de actividades de LA/FT/FPADM, consideradas en los procedimientos determinados por la organización. Se deberá realizar nuevamente la consulta de listas restrictivas cuando se evidencien modificaciones o actualizaciones de las mismas.
b. Las consultas en listas restrictivas se efectuarán antes de la vinculación de las contrapartes (clientes,
proveedores, accionistas, directivos, oficial de cumplimiento, empleados, órganos de control y demás vinculados).
c. Adicionalmente, también se verificarán las contrapartes en listas restrictivas cada vez que una de las
siguientes situaciones:
• Si el Cliente o Proveedor es considerado como de riesgo alto, la consulta deberá realizarse periódicamente cada tres (3) meses. Si es considerado de riesgo medio, cada cuatro (4) meses y si es considerado de riesgo bajo cada seis (6) meses.
• En relación con los accionistas, directivos, oficial de cumplimiento, empleados, órganos de control y demás vinculados de Icobandas S.A., la verificación se hará de forma semestral.
• Los Clientes o Proveedores que tengan PEP’s o que se encuentren ubicados en paraísos fiscales, se verificarán cada tres (3) meses.
17
d. Las verificaciones en listas restrictivas se harán sobre la razón social y NIT (o equivalente) de la organización y sobre el nombre y documento de identificación de su representante legal, miembros de Junta Directiva y socios o accionistas con participación igual o superior al 20% del capital social de las organizaciones. Tratándose de personas naturales se hará con su nombre y documento de identificación.
e. Se deberá tener adecuado conocimiento de los beneficiarios reales y/o controlantes de las respectivas
organizaciones, incluyendo aquellas personas que tienen el control efectivo final sobre una persona jurídica o son titulares del 25% o más del capital.
f. Se abstendrá de vincular personas naturales o jurídicas que se encuentren reportadas en estas listas
restrictivas, o se encuentren vinculadas en una investigación penal con formulación de acusación, o reportados por organismos de supervisión como la Superintendencia Financiera de Colombia, la Superintendencia de Sociedades, entre otras entidades, así como en la UIAF, por actividades que se puedan catalogar como LA/FT/FPADM.
g. Ningún miembro de la organización podrá autorizar operación alguna, servicio, apoyo o celebración de
contratos de ningún tipo con las personas y empresas que aparezcan en las listas restrictivas. h. La consulta en listas restrictivas, no exime a la organización de revisar información complementaria como
parte del debido conocimiento de sus contrapartes, como lo pueden ser los boletines de responsabilidad fiscal de la Contraloría General de la República, requerimientos de autoridades e información de investigados y/o condenados por lavado de activos, de procesos de extinción de dominio, así como de otros delitos fuentes o conexos, entre otros.
5.3 Política de Conocimiento y Vinculación de Proveedores, Clientes y Empleados Icobandas S.A. aplicará los procedimientos y políticas establecidos por la organización para las relaciones comerciales, contractuales y laborales; asegurando el cumplimiento y la actualización de los mismos acordes a la reglamentación vigente para la gestión del riesgo de LA/FT/FPADM. Los procesos de conocimiento de empleados, clientes y proveedores, aplicados por otros entes económicos públicos o privados, no eximen a la organización de la responsabilidad que tiene de utilizar sus propias herramientas para realizar la debida diligencia de conocimiento de dichos agentes. 5.4 Políticas de las Etapas del SAGRILAFT Son las orientaciones específicas relacionadas con la identificación, medición, control y monitoreo del riesgo de LA/FT/FPADM. a. La identificación de los riesgos de LA/FT/FPADM de Icobandas S.A. será responsabilidad de los
accionistas, directivos, oficial de cumplimiento, empleados, órganos de control y demás vinculados, y serán reportados a través de los responsables de cada área de la organización al Oficial de Cumplimiento.
18
b. La medición o evaluación de los riesgos inherentes y residuales de LA/FT/FPADM de Icobandas S.A. estará a cargo del Oficial de Cumplimiento, conjuntamente con el responsable de cada proceso en donde se identifique el riesgo, y será reportado a través de los informes del oficial de cumplimento a la Junta Directiva.
c. El diseño de los controles de los riesgos de LA/FT/FPADM de Icobandas S.A. estará a cargo del Oficial de
Cumplimiento, conjuntamente con el responsable de cada proceso en donde se identifique el riesgo, y será reportado a través de los informes del oficial de cumplimento a la Junta Directiva. La ejecución de los controles estará a cargo de los responsables de los procesos de la organización.
d. El monitoreo y reporte del SAGRILAFT de Icobandas S.A. estará a cargo del Oficial de Cumplimiento,
conjuntamente con el responsable de cada proceso en donde se identifique el riesgo, y será reportado a través de los informes del oficial de cumplimento a la Junta Directiva.
5.5 Políticas de los Elementos del SAGRILAFT Son las orientaciones específicas relacionadas con los procedimientos, documentación, estructura organizacional, órganos de control, reportes de la información y capacitación en LA/FT/FPADM. a. La implementación de los procedimientos y documentación asociada a los controles y prevención del riesgo
de LA/FT/FPADM, será responsabilidad de cada miembro de la organización en el desarrollo de sus funciones y responsabilidades.
b. La documentación asociada a los riesgos, análisis e investigaciones relacionadas con la prevención de
LA/FT/FPADM de Icobandas S.A. estará a cargo del Oficial de Cumplimiento, conjuntamente con el responsable de cada proceso en donde se identifique el riesgo.
c. La integridad, confiabilidad, disponibilidad, cumplimiento, efectividad y eficiencia de la documentación se
asegurará conforme a los lineamientos de control documental estipulados por la organización d. Los órganos de control de Icobandas S.A. están comprometidos a evaluar el SAGRILAFT en conformidad
con la regulación gubernamental y normas y políticas de la organización. e. La capacitación en temas relacionados con el SAGRILAFT para los accionistas, directivos, empleados,
órganos de control y demás vinculados de Icobandas S.A. deberá realizarse al menos una vez al año y deberá incorporarse a los procesos de vinculación e inducción.
f. Se deberá hacer un seguimiento semestral a la pertinencia del SAGRILAFT por parte del oficial del cumplimiento, detectando sus necesidades de actualización y desarrollando las acciones de mejora pertinentes.
g. El seguimiento de las acciones de control de los riesgos del SAGRILAFT deberán realizarse al menos una
vez al año, con el fin de determinar nuevas acciones de control que permitan mantener o mejorar los niveles de valoración del riesgo residual y la identificación y valoración de nuevos riesgos inherentes.
h. Se elaborará un reporte anual por parte del Oficial de Cumplimiento que permita establecer el perfil de riesgo residual de Icobandas S.A., la evolución individual y consolidada de los perfiles de riesgo, de las fuentes de riesgo y de los riesgos asociados, el cual se dará a conocer a la Alta Dirección y la Junta Directiva, y se incluirá en el informe de gestión del cierre de cada ejercicio anual.
19
5.6 Política de Relaciones con Accionistas, Administradores y Vinculados El análisis del riesgo de LA/FT/FPADM, debe también enfocarse hacia el conocimiento de los accionistas, entendidos como toda persona natural o jurídica, que posea al menos una acción de Icobandas S.A.; de los administradores, entendidos como los miembros de la Junta Directiva, gerente general (representante legal) y directivos; y de los vinculados, entendidos como Proveedores, Clientes, Contratistas, Empleados y Aliados Estratégicos, para quienes se validará periódicamente la información en las diferentes bases de datos y consultas públicas disponibles, según las disposiciones del presente manual 5.7 Política de Conocimiento de Socios Para nuevos socios, la organización deberá solicitar información relacionada con los requisitos y documentos soportes para nuevos socios definidos por la organización, la verificación en listas restrictivas de acuerdo con la política sobre consulta en listas restrictivas de este manual y cualquier información necesaria para la gestión del riesgo de LA/FT/FPADM. Los procesos de conocimiento de socios, aplicados por otros entes económicos públicos o privados, no eximen a la organización de la responsabilidad que tiene de utilizar sus propias herramientas para realizar la debida diligencia de conocimiento de dichos agentes. 5.8 Política de Realización de Cooperación Empresarial, Adquisiciones, Fusiones y Negocios
Virtuales o no Presenciales Previamente a la realización de negocios de cooperación empresarial, adquisiciones y/o fusiones de la organización con otras empresas; se debe realizar un proceso de debida diligencia para llevar a cabo un adecuado conocimiento de los terceros con los que se va a realizar este tipo de negocios. Este proceso incluye la verificación en listas restrictivas y la solicitud y validación de la documentación definida por la organización para este fin. Las validaciones en listas restrictivas incluyen la verificación de la razón social y NIT de la Contraparte, la de sus accionistas o asociados, su representante legal y miembros de junta directiva. 5.9 Política de Incursión en Nuevos Mercados o Lanzamiento de Nuevos Productos o Servicios Previamente a la incursión en un nuevo mercado, la apertura de operaciones en nuevas jurisdicciones y el lanzamiento de cualquier nuevo producto o servicio, o la modificación de sus características; los líderes de las áreas responsables de los procesos de las actividades mencionadas conjuntamente con el oficial de cumplimiento, deben realizar la identificación y evaluación del riesgo de LA/FT/FPADM que implica estas nuevas operaciones, diseñando los controles para su mitigación y dejando constancia de este análisis para decidir sobre la viabilidad o no y la conveniencia de estas operaciones para la organización. 5.10 Política de Conocimiento y Vinculación de Personas Expuestas Políticamente (PEP) Las relaciones de la organización con personas que ocupen o hayan ocupado cargos públicos prominentes y destacados o que por razón de su cargo manejen recursos públicos; a nivel nacional o en el extranjero; requieren una debida diligencia intensificada. Como posibles PEP, la organización considera como tal las personas que ostenten o hayan ocupado los siguientes cargos:
20
• Presidente y vicepresidente de la República;
• Ministros de Estado
• Magistrados de las altas cortes (Corte Constitucional, Corte Suprema de Justicia, Consejo de Estado y Consejo Superior de la Judicatura);
• Fiscal General de la Nación y Procurador General de la República;
• Registrador Nacional del Estado Civil, Defensor del Pueblo, Contador General de la Nación
• Senadores y Representes del Congreso de la República.
• Directores de Entidades Públicas.
• Alcaldes de municipios.
• Jefes de los partidos políticos
• Candidatos a la Presidencia de la República
• Notarios. Parágrafo 1: Para los PEP extranjeros se consideran los cargos de similares nomenclaturas en cada país Parágrafo 2: para los PEP de Organizaciones Internacionales se consideran aquellas personas naturales que ejercen funciones directivas en una organización internacional, tales como la Organización de Naciones Unidas, Organización para la Cooperación y el Desarrollo Económicos, el Fondo de las Naciones Unidas para la Infancia (UNICEF) y la Organización de Estados Americanos, entre otros. Es importante resaltar que esta lista no excluye otras contrapartes que, debido a la naturaleza de sus operaciones, sean analizadas y definidas por la organización. Para la identificación como PEP se utilizarán los siguientes mecanismos:
• Consulta herramientas de consulta de bases de datos consideradas por la organización.
• Por declaración del propio PEP, manifestada durante el proceso de vinculación a la organización.
• Contrapartes de las que se tenga información de su capacidad de acceso a fondos públicos cuya información se haya obtenido de cualquier otra fuente y que sean definidos a criterio del Oficial de Cumplimiento.
Una vez identificada la condición de PEP, PEP extranjero o PEP de organizaciones internacionales; la organización deberá aprobar por la instancia competente su vinculación, considerando para ello la respectiva evaluación de riesgos de estas personas. Las contrapartes identificadas como PEP deberán ser identificadas en el SAGRILAFT con esta condición y se contará con una base de datos para ello. El Oficial de Cumplimiento deberá incluir está base de datos en su programación de evaluación y monitoreo del riesgo. 5.11 Política de Actualización de Información de Contrapartes Conforme a la debida diligencia en el conocimiento de las contrapartes y de su información relacionada, la organización realizará procesos de actualización como mínimo de forma anual, siempre y cuando en las políticas y procedimientos relacionados con la selección, contratación o vinculación de contrapartes no se defina una periodicidad menor en caso de presentarse circunstancias que lo ameriten.
21
5.12 Política de Manejo de Efectivo La organización no realizará operaciones en las que requiera realizar pagos en efectivo como parte de la contraprestación de un servicio, la realización de compras o anticipos, con excepción de los pagos que se realizan por caja menor cuyo monto límite es de $100. 000.oo Los pagos deben realizarse a través de Entidades Financieras en las que la organización tenga sus cuentas bancarias habilitadas. La organización no recibirá pagos en efectivo, salvo las excepciones que se definan de acuerdo con la naturaleza de sus operaciones y servicios y se encuentren documentadas en sus políticas y procedimientos. En caso de recibir pagos en efectivo iguales o superiores a veinte millones de pesos ML. ($20.000. 000.oo), deberá solicitarse el diligenciamiento del formato de declaración de origen de fondos definido por la organización, el cual deberá ser firmado por el cliente y conservado de acuerdo con la política de gestión documental de conservación de documentos. El auxiliar de tesorería del departamento de contabilidad tiene la función realizar verificaciones mensuales de los pagos efectuados por los clientes, con el objetivo de identificar y monitorear el riesgo LA/FT/FPADM de aquellos clientes que realizan pagos frecuentes en efectivo superiores a cinco millones de pesos ML ($5.000.000, oo). En caso de identificar algún movimiento inusual o sospechoso, debe reportarlo al Oficial de Cumplimiento para su análisis. La organización no realizará pagos a terceros con los cuales no se haya realizado alguna negociación y para los cuales no se ejecute el procedimiento y políticas de vinculación definidos. 5.13 Política de Conservación de Documentos Los soportes de los reportes de operaciones sospechosas (ROS) o intentadas, de ausencias de reporte de operaciones sospechosas (AROS) presentados a la UIAF, la información de registros de transacciones y documentos del conocimiento de las contrapartes, se deben conservar como mínimo por diez (10) años, dado que pueden ser solicitados por las autoridades competentes, de conformidad con la política de retención documental de la organización. Para la destrucción de los mismos, se deberá contar con la autorización expresa y por escrito del Oficial de Cumplimiento. 5.14 Política para Soportar todas las Operaciones, Negocios y Contratos Todas las operaciones, negocios y contratos que realice la organización con sus contrapartes, deben tener los respectivos documentos soporte debidamente fechados y autorizados por quienes los elaboren o intervengan en ellos. Todo documento que acredite operaciones, negocios o contratos de la organización, además de constituir el soporte de la negociación y del registro contable, constituye el respaldo probatorio para cualquier investigación que puedan adelantar las autoridades competentes. El área de Finanzas verificará que la acusación de toda cuenta por pagar esté soportada con una factura o documento equivalente y sus anexos. A los bienes o servicios recibidos que no cuenten con un soporte válidos, no se les autorizará su pago hasta tanto no se reciba el respectivo soporte.
22
5.15 Política de Requerimiento de Información por Autoridades Competentes La organización atenderá a través del Oficial de Cumplimiento la entrega de información y explicaciones que le soliciten las autoridades competentes en materia de LA/FT/FPADM. 5.16 Política de Comportamientos de SAGRILAFT Los miembros de la organización desarrollarán sus actividades, dentro del marco del cumplimiento de los principios éticos descritos en el Código de Ética y Conducta, que debe primar sobre todas las actividades del negocio, metas personales y comerciales; procurando el mejor desarrollo del objeto social, en un marco de transparencia y cumplimiento estricto de las normas y procedimientos internos y de prevención y monitoreo de los riesgos de LA/FT/FPADM. Es deber de la organización, sus accionistas, directivos, oficial de cumplimiento, empleados, órganos de control y demás vinculados o partes interesadas; asegurar el cumplimiento de las normas encaminadas a prevenir y controlar el riesgo de LA/FT/FPADM. En referencia al LA/FT/FPADM todos los miembros de la organización deberán regirse por los siguientes principios:
• Todos los miembros de la organización deben conocer y actuar conforme con lo estipulado en el presente manual.
• Además de lo contemplado en este documento, es responsabilidad de cada miembro de la organización reportar al Oficial de Cumplimiento cualquier hecho o situación intentada, sospechosa o inusual que le haga suponer que puede presentarse un intento de LA/FT/FPADM.
• El Oficial de Cumplimiento deberá brindar todo el apoyo necesario a los miembros de la organización que se encuentren frente a una situación de conflicto de interés o de riesgo de participar en una conducta de LA/FT/FPADM originada en el desarrollo de sus funciones y responsabilidades.
• Los miembros de la organización no podrán dar a conocer a las contrapartes que hayan efectuado o intenten efectuar operaciones sospechosas o intentadas en los términos señalados por la Ley, que se ha reportado a la UIAF información sobre ellas. De igual forma la organización deberá guardar reserva respecto a esta información y/o documentación.
5.17 Política de Capacitación del SAGRILAFT La organización debe diseñar, programar y coordinar planes de capacitación sobre el SAGRILAFT dirigidos a aquellos miembros de la organización que considere pertinente su capacitación, con el fin de dar cumplimiento a la política de autocontrol y gestión del riesgo de LA/FT/FPADM, así mismo, se deberá capacitar durante el proceso de inducción a los nuevos miembros y a terceros (no empleados de la organización) cuando sea procedente. De estimarse pertinente se capacitará de igual forma a proveedores. Los programas de capacitación, adicionales a los de inducción, deben definirse para ser impartidos como mínimo de forma anual y se debe dejar constancia de las capacitaciones realizadas, donde se indique la fecha y el nombre de los asistentes, y se realizará evaluación sobre el particular a los asistentes a la capacitación. 5.18 Políticas de Sanciones
23
El incumplimiento o violación a las políticas y normas del SAGRILAFT, constituye una falta grave. En consecuencia y en los casos en que haya lugar, se aplicarán los procedimientos y las sanciones establecidas por el Reglamento Interno de Trabajo y se seguirá el procedimiento señalado en el Código de Ética y Conducta. En la divulgación de esta política a los miembros de la organización, se debe dar a conocer las sanciones que acarreará el no cumplir y acatar las políticas y normas relacionadas. Es responsabilidad de la organización, verificar que los accionistas, directivos, empleados, órganos de control y demás vinculados o partes interesadas, cumplan a cabalidad con las instrucciones impartidas y que cualquier información relacionada con el LA/FT/FPADM, se ponga en conocimiento del Oficial de Cumplimiento de manera inmediata. 5.19 Conflictos de Interés Los accionistas, directivos, empleados, órganos de control y demás vinculados o partes interesadas; se encuentran en una situación de conflicto de interés, cuando en cualquier situación se enfrentan sus intereses personales o de un tercero con los de Icobandas S.A. en actividades personales, comerciales o en el trato con otras personas o entidades, de tal manera que se afecte la libertad e independencia de la decisión, por diferencias en los motivos de quienes intervienen en la relación, desconociendo de esta manera un deber legal, contractual, estatutario o ético. En Icobandas S.A. se presentan conflictos de interés en relación con el riesgo de LA/FT/FPADM, en los siguientes casos:
a) Detección de operaciones inusuales y determinación de operaciones sospechosas: Se entiende que hay conflicto de interés en la detección de operaciones inusuales y la determinación de operaciones sospechosas, intentadas o realizadas, cuando estas han sido realizadas por cónyuges o compañeros permanentes, parientes dentro del segundo grado de consanguinidad, segundo de afinidad o primero civil, o respecto de aquellas operaciones en las que la persona encargada de realizar el análisis tenga algún interés personal o busque el favorecimiento de otra persona.
b) Reporte de Operaciones Sospechosas (ROS): Se entiende que hay conflicto de interés cuando en la
toma de decisión de la realización del reporte ROS se encuentran involucradas situaciones personales de quien realiza el reporte o se trata de operaciones realizadas por cónyuges o compañeros permanentes, parientes dentro del segundo grado de consanguinidad, segundo de afinidad o primero civil.
Cuando se presente un conflicto de interés, o se tenga duda sobre la existencia del mismo, se debe cumplir con el siguiente procedimiento:
a) Informar al Gerente Administrativo y Financiero sobre su situación de conflicto, quien designará al empleado o funcionario que asumirá y continuará con el respectivo proceso. Si es el Oficial de Cumplimiento quien presenta el Conflicto de Interés, lo decidirá el Gerente General.
b) Abstenerse de intervenir directa o indirectamente, en las actividades y decisiones que tengan relación
con las determinaciones referentes al conflicto, o cesar toda actuación cuando tenga conocimiento de la situación de conflicto de interés.
24
c) Los miembros de la Junta Directiva que presenten un conflicto de interés, darán a conocer a la Junta Directiva en pleno la situación de conflicto. La duda respecto de la configuración de actos que impliquen conflictos de interés, no exime al miembro de la Junta Directiva de la obligación de abstenerse de participar en las actividades respectivas.
En todo caso, se aplica lo dispuesto sobre conflictos de interés en el Manual de Gobierno Corporativo de Icobandas S.A.
5.20 Titular de la Política El titular de la política de SAGRILAFT es la Junta Directiva de Icobandas S.A., que la aprueba teniendo en cuenta la propuesta del Oficial de Cumplimiento.
6 Metodologías para la Segmentación, Identificación, Medición y
Control Del Riesgo De LA/FT/FPADM y Monitoreo del SAGRILAFT Icobandas S.A. tiene como uno de sus principales mecanismos de control y prevención de Riesgos de LA/FT/FPADM el adecuado conocimiento de sus Contrapartes, desde su vinculación con Icobandas S.A. y durante su relación con la Compañía. La Compañía no sostiene negocios o relaciones comerciales con Contrapartes que tengan negocios cuya naturaleza dificulte la verificación de la transparencia de su actividad, procedencia de sus recursos o que se rehúsen a facilitar la información y la documentación requerida. Así mismo, verificará que la información suministrada por Contrapartes sea actualizada mínimo una vez al año, con el propósito de conocer los posibles cambios en su actividad y en su información financiera. Algunas Contrapartes pueden exponer a la Compañía a mayores riesgos de LA/FT/FPADM que otros. Por lo anterior, los empleados y el Oficial de Cumplimiento tendrán en cuenta los siguientes aspectos que representan mayor exposición a riesgos LA/FT/FPADM. En los siguientes casos, la Compañía aplica procedimientos de Debida Diligencia Intensificadas:
a. Respecto de la jurisdicción: Contrapartes ubicadas en países no cooperantes y jurisdicciones de alto riesgo. Para lo anterior, Icobandas S.A. tendrá en cuenta la lista de países no cooperantes y jurisdicciones de alto riesgo del Grupo de acción Financiera Internacional (GAFI)6 y el índice de Basilea7. Sobre este último, se considerarán jurisdicciones de alto riesgo aquellas con una calificación general por encima de 6.5.
b. Respecto a PEPs: debido al mayor Riesgo de LA/FT/FPADM que representa el relacionamiento con PEPs, se aplicarán procedimientos de Debida Diligencia intensificada, y procesos de monitoreo constantes, a las relaciones que involucren PEPs.
c. Vinculados a Listas de Control: Icobandas S.A. no tendrá vínculos contractuales con ninguna persona natural o jurídica que se encuentre vinculada o relacionada con actividades de LA/FT/FPADM.
7 Medidas para Asegurar el Cumplimiento de las Políticas del
SAGRILAFT y Régimen Disciplinario En caso de incumplimiento y dependiendo de su gravedad, la Compañía aplicará las sanciones disciplinarias a que haya lugar de acuerdo con los documentos internos dispuestos por la Compañía. En caso de detectar alguna irregularidad o falta a las políticas y procedimientos definidos en este Manual, todo empleado deberá comunicar la falta cometida de manera inmediata, inclusive si es cometida por su superior
25
inmediato, ante el Oficial de Cumplimiento al correo electrónico [email protected] Icobandas S.A. garantizará la no represalia frente a quienes denuncien faltas de buena fe. Ante una denuncia, el Oficial de Cumplimiento se encargará de realizar un proceso investigativo preliminar llevando los resultados y el concepto al Representante Legal, quien aplicará el procedimiento disciplinario establecido en el procedimiento de acciones disciplinarias. En caso de que la denuncia sea en contra del Representante Legal, el Oficial de Cumplimiento deberá elevar el resultado de su investigación a la Junta Directiva. En caso de que la denuncia sea en contra del Oficial de Cumplimiento, se deberá seguir el procedimiento mencionado en la sección 10.2 más atrás.
8 Procedimientos de Control Interno y Revisión del SAGRILAFT
a. Reporte interno de señales de alerta y operaciones inusuales. Siempre que un empleado de la Compañía, en desarrollo de sus funciones, detecte una señal de alerta o una Operación Inusual, deberá reportar este hecho al Oficial de Cumplimiento para que inicie los análisis y la investigación respectiva.
La forma en que se notificará al Oficial de Cumplimiento es mediante correo electrónico con todos los documentos de soporte al correo [email protected]
b. Análisis de señales de alerta y operaciones inusuales. El Oficial de Cumplimiento es el encargado de recibir los reportes realizados por los empleados y adelantar el análisis de manera conjunta con los dueños de los procesos que afectan las Contrapartes analizadas. Una vez culmina el análisis de la operación y dependiendo de la conclusión, el Oficial de Cumplimiento adelantará alguna de las siguientes acciones: La situación u operación NO es inusual.
La situación u operación NO es inusual. Se documenta por escrito la razón en el expediente y da cierre al caso.
La situación u operación SI es inusual, pero fue debidamente justificada.
Se documenta por escrito la razón en el expediente y da cierre al caso.
La situación u operación SI es inusual y NO fue posible encontrar una justificación razonable.
Se traslada al análisis como una potencial operación sospechosa.
No se puede concluir sobre la situación u operación inusual porque no se cuenta con la información suficiente.
Se mantiene abierto el expediente. Se solicita la información adicional que se requiera para profundizar sobre la señal de alerta y el conocimiento de la Contraparte. Se realiza seguimiento hasta lograr obtener la conclusión correspondiente.
26
9 Estructura del Sistema de Autocontrol y Gestión Integral del
Riesgo LA/FT/FPADM La gestión del riesgo se entiende como el proceso de planear, organizar, dirigir, controlar y evaluar las actividades relacionadas con la identificación y análisis de los riesgos a los que se encuentra expuesta la organización; determinando para ello las acciones y recursos apropiados que permita la mitigación o eliminación de los mismos. Como herramienta de gestión del riesgo se ha diseñado una matriz de riesgos, por medio de la cual se identifican los riesgos, sus características, la evaluación de los mismos y las acciones desarrolladas para su mitigación o eliminación; la cual será actualizada periódicamente. Por lo anterior, Icobandas S.A. ha definido el siguiente esquema de gestión de riesgos de LA/FT/FPADM: 9.1 Identificación de Riesgos u Oportunidades de LA/FT/FPADM Al desarrollar las actividades cotidianas de la organización se pueden identificar posibles riesgos u oportunidades asociados con LA/FT/FPADM; para estos riesgos es necesario comprender en dónde se originan, la causa que lo origina y sus posibles consecuencias. Como resultado de esta etapa se han definido los siguientes elementos de identificación del riesgo u oportunidades en la matriz de riesgos:
ETAPA IDENTIFICACIÓN DEL RIESGO / OPORTUNIDADES
Sistema de gestión
Código riesgo Proceso Actividad Descripción del riesgo
Riesgo asociado
Factor de riesgo
Causa Consecuencias
Se asocia el riesgo al sistema de gestión, en
este caso SAGRILAFT.
Se asigna para la identificación del riesgo acorde a la
estructura de código de la organización.
Se identifica el proceso en el cual es
identificado el riesgo.
Se describe la actividad del proceso en la
cual se identifica el riesgo.
Se determina la situación que da origen al riesgo, describiendo sus características, cómo se identificó y por qué es significativo.
Ver tabla No. Ver tabla No.
Aplicando la metodología Causa - Efecto, se identifica la
principal causa que da origen al riesgo.
Se describen los posibles efectos que se presentarían en caso de no
realizar acciones para el tratamiento del riesgo.
Fuente: desarrollo del presente manual
Adicionalmente en la etapa de identificación y como elemento complementario para la valoración del riesgo identificado, se analiza los controles actuales que desarrolla la organización para la mitigación o eliminación del riesgo, o el aprovechamiento de oportunidades; en caso de no identificarse controles se indica su inexistencia.
27
Como resultado de esta etapa se han definido los siguientes elementos de análisis de los controles existentes en la matriz de riesgos: Fuente: desarrollo del presente manual
9.2 Medición o Evaluación de los Riesgos de LA/FT/ FPADM Esta etapa tiene como principal objetivo medir el riesgo inherente o riesgo originado por la propia naturaleza de las actividades de la organización o las características de sus partes interesadas frente a cada evento de riesgo. Para la valoración de los riesgos de LA/FT/FPADM se considera la probabilidad de ocurrencia del riesgo, al igual que su impacto en caso de materializarse el riesgo identificado; dando como resultado la valoración del riesgo inherente.
• Probabilidad de ocurrencia Es la posibilidad de que las fuentes potenciales que dan origen al riesgo puedan materializarse. Las escalas de valoración definidas por Icobandas S.A. se describen en la siguiente tabla:
Probabilidad de Ocurrencia
Escala Nivel Posibilidad Frecuencia Probabilidad
Muy Alta 5 Que ocurra todas las veces Diario Mayor o igual al 90%
Alta 4 Que ocurra la mayoría de veces Mensual Entre el 60% y el 89%
Moderada 3 Posiblemente ocurra varias veces Semestral Entre el 40% y el 59%
Baja 2 Alguna posibilidad de que el evento ocurra
Anual Entre el 10% y el 39%
Muy Baja 1 Insignificante posibilidad de que el evento ocurra
Cada 2 o más años
Menor o igual al 9%
• Impacto
ETAPA ANÁLISIS CONTROL EXISTENTE
Descripción del control existente Responsable de la
ejecución del control Frecuencia de la aplicación
del control
Si existe un control que ya se aplique en la organización, es descrito en este aparte como elemento de información para la valoración del riesgo; en caso de no existir un control, se indica su inexistencia.
Se indica el cargo que desarrolla la actividad de control identificada.
Se indica la periodicidad con la cual se desarrolla la actividad de control.
28
Se entiende como impacto del riesgo a la afectación, daño o nivel de pérdida que se generaría en caso de materializarse el riesgo identificado de LA/FT/FPADM. Las escalas de valoración definidas para medir el impacto se describen en la siguiente tabla:
Escala Nivel Legal Afectación Económica Reputacional Contagio Operacional
Catastrófico 5
Cancelación de la matrícula / cierre permanente de operaciones y actividades de negocio por decisión de los entes de vigilancia, control o regulación.
Multas, gastos jurídicos e indemnizaciones por una cuantía igual o superior a ##### SMLV
Aparición de información que afecte la imagen de la organización en medios de comunicación internacionales. Daño importante a la imagen de la organización que afecte su valor de mercado.
Produce efecto de contagio catastrófico entre empresas, entidades o personas relacionadas con la organización.
Imposibilidad de contar con procesos, recursos, infraestructura o tecnología para continuar con la operación o actividades organizacionales.
Mayor 4
Suspensión o cierre parcial de operaciones, actividades o remoción de directivos del negocio por decisión de los entes de vigilancia, control o regulación.
Multas, gastos jurídicos e indemnizaciones por una cuantía entre #### y #### SMLV
Aparición de información que afecte la imagen de la organización en medios de comunicación nacionales. Pérdida importante de clientes
Produce efecto de contagio significativo entre empresas, entidades o personas relacionadas con la organización.
Afectación temporal de procesos, recursos, infraestructura o tecnología para continuar con la operación o actividades organizacionales.
Medio 3
Suspensión, inhabilitación de directivos, del oficial de cumplimiento o de otros empleados
Multas, gastos jurídicos e indemnizaciones por una cuantía entre #### y #### SMLV
Aparición de información que afecte la imagen de la organización en medios de comunicación regional. Pérdida moderada de clientes o disminución de ingresos.
Produce efecto de contagio moderado entre empresas, entidades o personas relacionadas con la organización.
Afectación parcial de algunos procesos, recursos, infraestructura o tecnología para continuar con la operación o actividades organizacionales.
29
Menor 2
Amonestación por parte de los entes de vigilancia, control o regulación.
Multas, gastos jurídicos e indemnizaciones por una cuantía inferior a #### SMLV
Aparición de información que afecte la imagen de la organización en medios de comunicación local. Sin pérdida de clientes o disminución de ingresos
Produce efecto de contagio bajo o insignificante entre empresas, entidades o personas relacionadas con la organización.
Afectación de un proceso específico, recurso, infraestructura o tecnología para continuar con la operación o actividades organizacionales.
No Significativo
1
Requerimientos por parte de los entes de vigilancia, control o regulación.
No se presentan multas, gastos jurídicos e indemnizaciones.
No afecta la reputación por desprestigio, mala imagen o publicidad negativa.
No produce efecto de contagio
No produce afectación.
Una vez tenida en cuenta esta información, en un cruce matricial se analizan las valoraciones de la Probabilidad de Ocurrencia e Impacto; para esta valoración Icobandas S.A. adoptó la siguiente metodología para la valoración del nivel de riesgo inherente: 9.2.1 Riesgo Inherente La valoración del Riesgo Inherente se obtiene al multiplicar los niveles de Probabilidad de Ocurrencia y del Impacto; esta operación se expresa en la siguiente fórmula:
Nivel de Riesgo Inherente (RI) = Valor Probabilidad de Ocurrencia (PO) * Valor de Impacto (IM)
Los valores resultantes de esta operación se obtienen del cruce matricial de las valoraciones de Probabilidad e Impacto, en donde la menor valoración del Riesgo Inherente sería 1 y la mayor 25; estas posibles valoraciones se identifican en la siguiente matriz:
Muy baja Baja Moderada Alta Muy alta
1 2 3 4 5
Moderado Alto Alto Extremo Extremo
5 10 15 20 25
Bajo Moderado Alto Extremo Extremo
4 8 12 16 20
Bajo Moderado Moderado Alto Alto
3 6 9 12 15
Bajo Bajo Moderado Moderado Alto
2 4 6 8 10
Bajo Bajo Bajo Bajo Moderado
1 2 3 4 5
Nivel de
impacto
(NI)
Menor
Niveles de Riesgo Inherente (NRI) =
Nivel de Probabilidad de Ocurrencia
x Nivel de Impacto NR = NP x NI
Nivel de probabilidad de ocurrencia (NP)
Catastrófico 5
Medio 3
Mayor 4
2
No
significativo1
30
Según los resultados del cruce de variables en la matriz de valoración del riesgo inherente, se obtienen resultados numéricos, los cuales son valorados en una escala de menor a mayor de significancia del riesgo, en donde a mayor nivel de valor, mayor nivel de riesgo; esta información de la cualificación y de las acciones recomendables, se describen en la siguiente tabla:
Valor de NRI Cualificación Significado
Entre 16 y 25
Extremo No aceptable
Intervenir urgentemente el riesgo, analizando la posibilidad de suspender o no la actividad que da origen al mismo, con el fin de realizar las acciones pertinentes para controlar el riesgo.
Entre 10 y 15
Alto
No aceptable o aceptable con
control específico
Corregir y adoptar medidas que permitan controlar de forma inmediata el riesgo.
Entre 5 y 9
Medio Mejorable
Analizar desde el punto de vista de necesidad de recursos la conveniencia de intervenir el riesgo, buscando acciones de mejora que controlen el riesgo
Entre 1 y 4
Bajo Aceptable
Mantener las acciones de control existentes, haciendo seguimiento para verificar el nivel de aceptabilidad del riesgo y en lo posible analizar acciones de mejora en el control del riesgo
En la matriz de riesgo adoptada por la organización la valoración del riesgo inherente se realiza de acuerdo a la tabla siguiente; en ella se hacer las valoraciones cualitativas de probabilidad e impacto y las valoraciones numéricas al igual que la información del nivel de riesgo, se obtienen por defecto al estar ya parametrizados en la respectiva matriz.
ETAPA DE EVALUACIÓN DEL RIESGO INHERENTE
Nivel de probabilidad Nivel de impacto Nivel de riesgo
Se asigna según la percepción de nivel de probabilidad de ocurrencia del riesgo.
Valoración numérica asignada por defecto.
Se asigna según la percepción de nivel de impacto del riesgo.
Valoración numérica asignada por defecto.
Valoración del nivel del riesgo por defecto acorde al cruce matricial.
Valoración numérica asignada por defecto.
Se expresa el nivel de aceptabilidad del riesgo por defecto.
31
9.3 Formulación de Nuevos Controles para el Riesgo Inherente Una vez identificado y valorado el Riesgo Inherente, se deben desarrollar nuevas acciones de control que permitan mantener el riesgo controlado y en lo posible disminuir su nivel de afectación, siendo congruentes con la filosofía de mejora continua; estas acciones se desarrollan en cada periodo en que se evalúa el sistema de gestión del riesgo y se registran estas acciones en la matriz de riesgo de la organización. A continuación se describe esta etapa de formulación de nuevos controles como se evidenciaría en la matriz de riesgo:
EVIDENCIA GESTIÓN DEL RIESGO AÑO 202?
ETAPA DE TRATAMIENTO DEL RIESGO / MEDIDAS DE INTERVENCIÓN
Acciones de control
Responsable de la
ejecución del control
Frecuencia de la
aplicación del control
Tipo de control
Naturaleza del control
Estado del control
Documentado Valoración del control
Evidencia cumplimiento del
control
Según la valoración del riesgo inherente, considerando las causas y consecuencias del mismo y los actuales controles; se debe desarrollar nuevas
acciones de control que se describen en esta sección.
Se determina el cargo del responsable de desarrollar la nueva acción de control.
Se determina la frecuencia con la cual se desarrollaría la nueva acción de control.
Se asigna según las variables descritas en el manual para esta sección
Se asigna según las variables descritas en el manual para esta sección
Se asigna según las variables descritas en el manual para esta sección
Se identifica si el control se encuentra o no documentado.
Se asigna según las variables descritas en el manual para esta sección
Una vez desarrollada la acción de control de describe las evidencias que permitan demostrar el desarrollo y aplicación de la nueva acción de control
Los controles dentro del sistema SAGRILAFT de la organización se clasifican considerando las políticas, actividades y procedimientos desarrollados para gestionar los riesgos identificados para el cumplimiento de los objetivos de prevención de LA/FT/FPADM. La clasificación de los controles se realizará de acuerdo con las siguientes consideraciones: Por su tipología de control:
• Control preventivo: se aplica de forma anticipada, sobre la causa del riesgo y su agente generador, con el fin de disminuir la posibilidad de ocurrencia.
• Control detectivo: es una medida que se ejecuta frente a una situación anormal, como, por ejemplo, las señales de alerta de actividades de LA/FT/FPADM.
• Control correctivo: es una acción desarrollada posteriormente al identificarse la consecuencia de un riesgo, con el fin de corregir el efecto del suceso.
Por su naturaleza de control:
• Controles manuales: son las acciones que realizan las personas responsables de un proceso o actividad para prevenir, detectar o corregir errores o deficiencias.
• Controles automáticos: son procedimientos aplicados por una herramienta tecnológica o software diseñados para prevenir, detectar o corregir errores o deficiencias, sin que exista manualidad en el proceso.
• Controles mixtos: son acciones desarrolladas de forma manual y automáticas en forma conjunta.
32
Por su estado de implementación del control:
• Implementado: el control requerido existe y se identifica su funcionamiento.
• En desarrollo: el control existe, pero aún no surte los efectos requeridos.
• No existe: el control no se ha diseñado ni implementado. Valoración del control Los nuevos controles diseñados y aplicados para la gestión del riesgo inherente, deben ser evaluados para tener una percepción de efectividad y tener un argumento para desarrollar la valoración del Riesgo Residual; estas consideraciones de valor se describen en la siguiente tabla:
Escala Definición
Inexistente No existen o no se realizan actividades de control que permitan mitigar el riesgo.
Débil Existen debilidades con respecto al diseño o implementación del control y se requieren modificaciones importantes para su mejoramiento.
Aceptable Se realizan actividades formales e informales que permiten mitigar o gestionar parcialmente (no de manera preventiva) el riesgo.
Moderado Se realizan actividades formales e informales que permiten mitigar o gestionar parcialmente y de manera preventiva, el riesgo.
Fuerte Se realizan suficientes actividades que permiten mitigar o gestionar totalmente el riesgo.
Con la valoración de los controles y la determinación del riesgo inherente, se calcula el riesgo residual de LA/FT/FPADM, definido como el riesgo al cual se encuentra expuesta la organización luego de la ejecución de los controles sobre el riesgo inherente inicial. 9.3.1 Riesgo Residual La valoración del Riesgo Residual se obtiene al multiplicar los niveles de Probabilidad de Ocurrencia y del Impacto, considerando en esta nueva valoración los nuevos controles desarrollados y la valoración dada a los mismos; esta operación se expresa en la siguiente fórmula:
Nivel de Riesgo Residual (RR) = Valor Probabilidad de Ocurrencia (PO) * Valor de Impacto (IM)
33
Los valores resultantes de esta operación se obtienen del cruce matricial de las valoraciones de Probabilidad e Impacto, en donde la menor valoración del Riesgo Residual sería 1 y la mayor 25; estas posibles valoraciones se identifican en la siguiente matriz:
Según los resultados del cruce de variables en la matriz de valoración del riesgo residual, se obtienen resultados numéricos, los cuales son valorados en una escala de menor a mayor de significancia del riesgo, en donde a mayor nivel de valor, mayor nivel de riesgo; esta información de la cualificación y de las acciones recomendables, se describen en la siguiente tabla:
Valor de NRR Cualificación Significado
Entre 16 y 25
Extremo No aceptable
Intervenir urgentemente el riesgo, analizando la posibilidad de suspender o no la actividad que da origen al mismo, con el fin de realizar las acciones pertinentes para controlar el riesgo.
Entre 10 y 15
Alto
No aceptable o aceptable con
control específico
Corregir y adoptar medidas que permitan controlar de forma inmediata el riesgo.
Entre 5 y 9
Medio Mejorable
Analizar desde el punto de vista de necesidad de recursos la conveniencia de intervenir el riesgo, buscando acciones de mejora que controlen el riesgo
Entre 1 y 4
Bajo Aceptable
Mantener las acciones de control existentes, haciendo seguimiento para verificar el nivel de aceptabilidad del riesgo y en lo posible analizar acciones de mejora en el control del riesgo
Muy baja Baja Moderada Alta Muy alta
1 2 3 4 5
Moderado Alto Alto Extremo Extremo
5 10 15 20 25
Bajo Moderado Alto Extremo Extremo
4 8 12 16 20
Bajo Moderado Moderado Alto Alto
3 6 9 12 15
Bajo Bajo Moderado Moderado Alto
2 4 6 8 10
Bajo Bajo Bajo Bajo Moderado
1 2 3 4 5
3
Menor 2
No
significativo1
Niveles de Riesgo Residual (NRR) =
Nivel de Probabilidad de Ocurrencia
x Nivel de Impacto NR = NP x NI
Nivel de probabilidad de ocurrencia (NP)
Nivel de
impacto
(NI)
Catastrófico 5
Mayor 4
Medio
34
En la matriz de riesgo adoptada por la organización la valoración del riesgo residual se realiza de acuerdo a la tabla siguiente; en ella se hacer las valoraciones cualitativas de probabilidad e impacto y las valoraciones numéricas; al igual que la información del nivel de riesgo, se obtienen por defecto al estar ya parametrizados en la respectiva matriz.
ETAPA DE EVALUACIÓN DEL RIESGO RESIDUAL
Nivel de probabilidad Nivel de impacto Nivel de riesgo
Se asigna según la percepción de nivel de probabilidad de ocurrencia del riesgo.
Valoración numérica asignada por defecto.
Se asigna según la percepción de nivel de impacto del riesgo.
Valoración numérica asignada por defecto.
Valoración del nivel del riesgo por defecto acorde al cruce matricial.
Valoración numérica asignada por defecto.
Se expresa el nivel de aceptabilidad del riesgo por defecto.
9.4 DIVULGACIÓN Y DOCUMENTACIÓN El principal instrumento para el conocimiento y comunicación del SAGRILAFT en la organización es el plan de capacitación, por lo cual es un elemento fundamental dentro de esta etapa. (Ver política de capacitación del SAGRILAFT en este manual). De igual manera, en esta etapa se incluye la documentación; la cual, en un sistema de administración de riesgos de LA/FT/FPADM, facilita el continuo monitoreo y revisión, proveyendo una pista para la auditoría y es la base para comunicar y compartir información (Ver política de conservación de documentos en este manual). Como elemento adicional de divulgación y comunicación se incluye la definición de comunicaciones, reportes internos y a interesados externos; por lo que en la organización se definió los siguientes reportes como parte del sistema de divulgación de la información:
• Reportes internos.
• Transacciones inusuales.
• Operaciones sospechosas e Intentadas.
• Reportes en la etapa de seguimiento o monitoreo.
• Reportes externos.
• Reporte de operaciones sospechosas e intentadas (ROS).
• Reporte de transacciones en efectivo, el cual se compone: i) de reporte de transacciones individuales en efectivo, y ii) de reporte de transacciones múltiples en efectivo.
• Otros reportes exigidos por las autoridades competentes.
Los reportes de los miembros de la organización de cualquier hecho o situación sospechosa, intentada o inusual que le haga suponer que puede presentarse un intento de lavado de activos o de financiación del terrorismo, presentados al oficial de cumplimiento son una de las principales fuentes de comunicación. Para estos reportes, la organización ha establecido el siguiente correo electrónico institucional: [email protected] 9.5 SEGUIMIENTO O MONITOREO
35
El oficial de cumplimiento es el responsable de realizar el seguimiento al funcionamiento del sistema de autocontrol y gestión del riesgo LA/FT/FPADM. Los resultados de su evaluación se documentarán y se presentarán al Gerente general (representante legal) y a la Junta Directiva. La evaluación realizada por el oficial de cumplimiento tiene como propósito monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación del SAGRILAFT. Así mismo, busca determinar los cambios en las prioridades de los riesgos, debido a la naturaleza de cambio de los riesgos. De acuerdo con lo anterior la organización definió los siguientes mecanismos de monitoreo:
• Consulta en listas restrictivas (ver política sobre consulta en listas restrictivas en este manual)
• Análisis e Investigación de alertas y actividades inusuales.
• Evaluaciones realizadas por el Revisor Fiscal y el Área de Representación de la Dirección del SGC y RUC de la organización.
• Revisiones periódicas de los riesgos definidos en el SAGRILAFT para determinar si su impacto y probabilidad siguen siendo los identificados y si existen nuevos riesgos no incluidos. Con el resultado de esta verificación se tomarán las medidas correspondientes para mitigar el riesgo de LA/FT/FPADM.
36
10 Procedimientos para la Adecuada Implementación y
Funcionamiento de los Elementos y Etapas del SAGRILAFT. Determinación de operaciones sospechosas. El Oficial de Cumplimiento, es el responsable de realizar el análisis de las Operaciones Inusuales para efectos de:
• Comprobar que se realizaron actividades de profundización sobre la señal de alerta y sobre el conocimiento de la Contraparte.
• Solicitar información adicional cuando el análisis lo amerite.
• Determinar si la situación reviste un carácter inusual que genera una sospecha que no sea aclarada o justificada y es susceptible de reporte a la UIAF como Operación Sospechosa.
El Oficial de Cumplimiento determinará la Operación Sospechosa y realizará el correspondiente reporte a la UIAF. Las Operaciones Sospechosas se determinan una vez confrontada la Operación Inusual con la información de la Contraparte y los parámetros de normalidad de la misma. Reporte de Operación Sospechosa. De acuerdo con la decisión tomada en el paso anterior, el Oficial de Cumplimiento debe realizar inmediatamente, esto es, a partir del momento en el cual la Compañía toma la decisión de catalogar la operación como Sospechosa, el reporte a través de la página Web de la UIAF, siguiendo los lineamientos establecidos en el “Manual de Usuario SIREL” y que aparece publicado en la página web de la UIAF. Se deberán reportar las Operaciones Intentadas que tengan características que les otorguen el carácter de Sospechosas. Como el Reporte de Operaciones Sospechosas (ROS) no constituye denuncia penal, no requiere estar suscrito por funcionario alguno, sino que se realiza a nivel institucional. El ROS no dará lugar a ningún tipo de responsabilidad para la Compañía, ni para los Administradores o colaboradores que hayan participado en su determinación y reporte. El ROS no exime del deber de denunciar, si a ello hubiere lugar.
11 REPORTES DEL SAGRILAFT Reporte de ausencia de Operación intentada o Sospechosa (“A-ROS”) a la UIAF: En el evento que transcurra un trimestre sin que se hayan realizado reportes ROS, el Oficial de Cumplimiento deberá reportar este hecho a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente al vencimiento del respectivo trimestre, a través del Sistema de Reporte en Línea (SIREL) de la UIAF.
Reporte a la UIAF y a la Fiscal General de la Nación: Cada vez que la Compañía identifique un bien, activo, producto o derecho de titularidad a nombre o bajo la administración o control de cualquier país, persona y/o entidad designada por las Resoluciones del Consejo de Seguridad de las Naciones Unidas y las preparadas por los distintos Comités de Sanciones de dicho órgano, el Oficial de Cumplimiento de manera inmediata, deberá reportarlo a la UIAF y ponerlo en conocimiento del Vice fiscal General de la Nación a través de los canales electrónicos seguros determinados por estas autoridades públicas y la observancia de la respectiva reserva legal.
12 REQUERIMIENTOS DE AUTORIDADES
37
Todo requerimiento de información por parte de autoridades competentes en materia de prevención y control del LA/FT/FPADM será atendido por el Oficial de Cumplimiento con el apoyo del área encargada del proceso. El Oficial de Cumplimiento recopilará la información necesaria y proyectará la respuesta al requerimiento dentro de los términos establecidos, y lo presentará al Gerente General de la compañía y al área encargada del proceso para su aprobación. Velará por su radicación en tiempo y su conservación dentro de la documentación del sistema.
13 PROGRAMAS DE CAPACITACIÓN DEL SAGRILAFT El Oficial de Cumplimiento, en colaboración con el responsable de Recursos Humanos de Icobandas S.A., se encargarán de diseñar, programar y coordinar los planes de capacitación, entrenamiento y sensibilización en relación con el contenido de este Manual. Este programa estará dirigido a todos los empleados de la Icobandas S.A., siguiendo el plan general de capacitación para el Sistema. El responsable de Recursos Humanos de Icobandas S.A., en el momento de la vinculación de un nuevo empleado, le deberá entregar el Manual, para su lectura y aplicación. Además, deberá efectuar el proceso de inducción y capacitaciones sobre el contenido del Manual, el sistema y, en general, los Riesgos LA/FT/FPADM, según lo previsto en el plan. Esta inducción se deberá llevar a cabo dentro de los treinta (30) días después al ingreso de cada empleado. Se deberá dejar un registro en la hoja de vida respectiva de la lectura del Manual y la asistencia al curso de inducción. Se informará al Oficial de Cumplimiento del ingreso de nuevos empleados, para que, en caso de estimarlo conveniente, el Oficial de Cumplimiento haga un acompañamiento especial durante la inducción en virtud de la sensibilidad del área en la que estará asignado el nuevo empleado. La asistencia de los empleados a los eventos de capacitación es obligatoria y se debe permitir el tiempo necesario para su participación a todos los empleados, dependiendo del Plan General y de la coordinación con el Oficial de Cumplimiento de Icobandas S.A.. En términos generales, el Plan General cumple con las siguientes condiciones:
a. Tener lugar por lo menos una vez al año y dejar constancia de su realización, así como de los nombres de los asistentes, la fecha y los temas tratados.
b. Ser impartidos en forma de sensibilización durante el proceso de inducción de los nuevos empleados, de manera que el Sistema forme parte de la cultura de la Compañía.
c. Ser impartidos en forma de entrenamiento intensificado a aquellos empleados que tengan dentro de sus funciones la ejecución de controles frente al Sistema, asegurando de esta forma el adecuado cumplimiento de los mismos.
d. Ser constantemente revisados y actualizados. e. Contar con los mecanismos de evaluación de los resultados obtenidos, con el fin de determinar la
eficacia de dichos programas y el alcance de los objetivos propuestos.
14 COMITÉ SARGILAFT Para conocer la gestión realizada al Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM el oficial de cumplimiento se reunirá con el gerente general cada seis meses (06), con el fin de revisar los reportes que el oficial de cumplimiento presentará a la junta directiva.
15 CONSERVACIÓN DE DOCUMENTOS
38
Con la realización del reporte, el Oficial de Cumplimiento debe conservar los soportes (expediente) que dieron lugar a calificar la operación en una u otra categoría en un expediente que deberá ser catalogado y archivado conforme a estándares de seguridad y confidencialidad. Se deben centralizar y organizar dichos expedientes junto con el respectivo reporte a la UIAF, adoptando para tal fin las medidas adecuadas de seguridad y confidencialidad, con el propósito de hacerlos llegar en forma completa y oportuna a las autoridades cuando estas los soliciten. Dicha información deberá ser administrada por el Oficial de Cumplimiento, quién reglamentará los cargos
autorizados para consultar esta información y se conservará por el término establecido en este Manual.
39
16 Glosario Para efectos del presente manual se toman como referencia las definiciones establecidas en la Circular 100-000016 del 24 de diciembre de 2020, emitida por la Superintendencia de Sociedades de Colombia; los siguientes términos deben entenderse de acuerdo con las definiciones que a continuación se establecen, independientemente de que ellos se utilicen en singular o en plural: Activo Virtual: es la representación digital de valor que se puede comercializar o transferir digitalmente y se puede utilizar para pagos o inversiones. Los activos virtuales no incluyen representaciones digitales de moneda fiat, valores y otros Activos financieros que ya están cubiertos en otras partes de las Recomendaciones GAFI. Activos: es un recurso económico presente controlado por la Empresa como resultado de sucesos pasados. Área Geográfica: es la zona del territorio en donde la Empresa desarrolla su actividad. Beneficiario Final: es la(s) persona(s) natural(es) que finalmente posee(n) o controla(n) a un cliente o a la persona natural en cuyo nombre se realiza una transacción. Incluye también a la(s) persona(s) que ejerzan el control efectivo y/o final, directa o indirectamente, sobre una persona jurídica u otra estructura sin personería jurídica. Son Beneficiarios Finales de la persona jurídica los siguientes: a. Persona natural que, actuando individual o conjuntamente, ejerza control sobre la persona jurídica, en los términos del artículo 260 y siguientes del Código de Comercio; o b. Persona natural que, actuando individual o conjuntamente, sea titular, directa o indirectamente, del cinco por ciento (5%) o más del capital o los derechos de voto de la persona jurídica, y/o se beneficie en un cinco por ciento (5%) o más de los rendimientos, utilidades o Activos de la persona jurídica; c. Cuando no se identifique alguna persona natural en los numerales 1) y 2), la persona natural que ostente el cargo de representante legal, salvo que exista una persona natural que ostente una mayor autoridad en relación con las funciones de gestión o dirección de la persona jurídica. Son Beneficiarios Finales de un contrato fiduciario, de una estructura sin personería jurídica o de una estructura jurídica similar, las siguientes personas naturales que ostenten la calidad de: i. Fiduciante(s), fideicomitente(s), constituyente(s) o puesto similar o equivalente; ii. Comité fiduciario, comité financiero o puesto similar o equivalente; iii. Fideicomisario(s), beneficiario(s) o beneficiarios condicionados; y iv. Cualquier otra persona natural que ejerza el control efectivo y/o final, o que tenga derecho a gozar y/o disponer de los Activos, beneficios, resultados o utilidades. Contraparte: es cualquier persona natural o jurídica con la que la Empresa tenga vínculos comerciales, de negocios, contractuales o jurídicos de cualquier orden. Entre otros, son contrapartes los accionistas, empleados, clientes, contratistas y proveedores de Productos de la Empresa. Debida Diligencia: es el proceso mediante el cual la Empresa adopta medidas para el conocimiento de la Contraparte, de su negocio, operaciones, y Productos y el volumen de sus transacciones.
40
Debida Diligencia Intensificada: es el proceso mediante el cual la Empresa adopta medidas adicionales y con mayor intensidad para el conocimiento de la Contraparte, de su negocio, operaciones, Productos y el volumen de sus transacciones. Empresa: es la sociedad comercial, empresa unipersonal o sucursal de sociedad extranjera supervisada por la Superintendencia de Sociedades. Financiamiento del Terrorismo o FT: es el delito regulado en el artículo 345 del Código Penal colombiano (o la norma que lo sustituya o modifique). Financiamiento de la Proliferación de Armas de Destrucción Masiva o FPADM: es todo acto que provea fondos o utilice servicios financieros, en todo o en parte, para la fabricación, adquisición, posesión, desarrollo, exportación, trasiego de material, fraccionamiento, transporte, trasferencia, deposito o uso dual para propósitos ilegítimos en contravención de las leyes nacionales u obligaciones internacionales, cuando esto último sea aplicable. Factores de Riesgo LA/FT/FPADM: son los posibles elementos o causas generadoras del Riesgo de LA/FT/FPADM para cualquier Empresa Obligada. La Empresa Obligada deberá identificarlos teniendo en cuenta a las Contrapartes, los Productos, las actividades, los canales y las jurisdicciones, entre otros. GAFI: es el Grupo de Acción Financiera Internacional. Grupo intergubernamental creado en 1989 con el fin de expedir estándares a los países para la lucha contra el LA, el FT y el FPADM. GAFILAT: es el Grupo de Acción Financiera de Latinoamérica, organismo de base regional del GAFI, creado en el año 2000 y en el cual hace parte Colombia. Ingresos Totales: son todos los ingresos reconocidos en el estado del resultado del periodo, como principal fuente de información sobre la actividad financiera de una Empresa para el periodo sobre el que se informa. De acuerdo con los criterios de revelación estos incluyen: Ingresos de Actividades Ordinarias, otros ingresos, ganancias (otras partidas que satisfacen la definición de ingresos pero que no son Ingresos de Actividades Ordinarias) e ingresos financieros. Ingresos de Actividades Ordinarias: Son aquellos que se generan en el curso de las actividades principales del negocio de la Empresa. LA/FT/FPADM: significa Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva. Lavado de Activos o LA: es el delito tipificado en el artículo 323 del Código Penal colombiano (o la norma que lo sustituya o modifique). Listas Vinculantes: son aquellas listas de personas y entidades asociadas con organizaciones terroristas que son vinculantes para Colombia bajo la legislación colombiana (artículo 20 de la Ley 1121 de 2006) y conforme al derecho internacional, incluyendo pero sin limitarse a las Resoluciones 1267 de 1999, 1373 de 2001, 1718 y 1737 de 2006, 1988 y 1989 de 2011, y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas, y todas aquellas que le sucedan, relacionen y complementen, y cualquiera otra lista vinculante para Colombia (como las listas de terroristas de los Estados Unidos de América, la lista de la Unión Europea de Organizaciones Terroristas y la lista de la Unión Europea de Personas Catalogadas como Terroristas).
41
Matriz de Riesgo LA/FT/FPADM: es uno de los instrumentos que le permite a una Empresa identificar, individualizar, segmentar, evaluar y controlar los Riesgos LA/FT/FPADM a los que se podría ver expuesta, conforme a los Factores de Riesgo LA/FT/FPADM identificados. Medidas Razonables: son las acciones suficientes, apropiadas y medibles en calidad y cantidad para mitigar el Riesgo LA/FT/FPADM, teniendo en cuenta los riesgos propios de la Empresa Obligada y su materialidad. Oficial de Cumplimiento: es la persona natural designada4 por la Empresa Obligada que está encargada de promover, desarrollar y velar por el cumplimiento de los procedimientos específicos de prevención, actualización y mitigación del Riesgo LA/FT/FPADM. Operación Inusual: es la operación cuya cuantía o características no guardan relación con la actividad económica ordinaria o normal de la Empresa Obligada o, que por su número, cantidad o características no se enmarca dentro de las pautas de normalidad o prácticas ordinarias de los negocios en un sector, en una industria o con una clase de Contraparte. Operación Sospechosa: es la Operación Inusual que, además, de acuerdo con los usos y costumbres de la actividad de que se trate, no ha podido ser razonablemente justificada. Este tipo de operaciones incluye las operaciones intentadas o rechazadas que contengan características que les otorguen el carácter de sospechosas. PEP: significa personas expuestas políticamente, es decir, son los servidores públicos de cualquier sistema de nomenclatura y clasificación de empleos de la administración pública nacional y territorial, cuando en los cargos que ocupen, tengan en las funciones del área a la que pertenecen o en las de la ficha del empleo que ocupan, bajo su responsabilidad directa o por delegación, la dirección general, de formulación de políticas institucionales y de adopción de planes, programas y proyectos, el manejo directo de bienes, dineros o valores del Estado. Estos pueden ser a través de ordenación de gasto, contratación pública, gerencia de proyectos de inversión, pagos, liquidaciones, administración de bienes muebles e inmuebles. Incluye también a las PEP Extranjeras y las PEP de Organizaciones Internacionales. PEP de Organizaciones Internacionales: son aquellas personas naturales que ejercen funciones directivas en una organización internacional, tales como la Organización de Naciones Unidas, Organización para la Cooperación y el Desarrollo Económicos, el Fondo de las Naciones Unidas para la Infancia (UNICEF) y la Organización de Estados Americanos, entre otros (vr.gr. directores, subdirectores, miembros de junta directiva o cualquier persona que ejerza una función equivalente). PEP Extranjeras: son aquellas personas naturales que desempeñan funciones públicas prominentes y destacadas en otro país. En especial, las siguientes personas: (i) jefes de estado, jefes de gobierno, ministros, subsecretarios o secretarios de estado; (ii) congresistas o parlamentarios; (iii) miembros de tribunales supremos, tribunales constitucionales u otras altas instancias judiciales cuyas decisiones no admitan normalmente recurso, salvo en circunstancias excepcionales; (iv) miembros de tribunales o de las juntas directivas de bancos centrales; (v) embajadores; (vi) encargados de negocios; (vii) altos funcionarios de las fuerzas armadas; (viii) miembros de los órganos administrativos, de gestión o de supervisión de empresas de propiedad estatal; (ix) miembros de familias reales reinantes; (x) dirigentes destacados de partidos o movimientos políticos; y (xi) representantes legales, directores, subdirectores, miembros de la alta gerencia y miembros de la Junta de una organización internacional (vr.gr. jefes de estado, políticos, funcionarios gubernamentales, judiciales o militares de alta jerarquía y altos ejecutivos de empresas estatales).
42
Política LA/FT/FPADM: son los lineamientos generales que debe adoptar cada Empresa Obligada para que esté en condiciones de identificar, evaluar, prevenir y mitigar el Riesgo LA/FT/FPADM y los riesgos asociados. Cada una de las etapas y elementos del SAGRILAFT debe contar con unas políticas claras y efectivamente aplicables. Productos: son los bienes y servicios que produce, comercializa, transforma u ofrece la Empresa o adquiere de un tercero. Recomendaciones GAFI: son las 40 recomendaciones diseñadas por el GAFI con sus notas interpretativas, para prevenir el Riesgo de LA/FT/FPADM, las cuales fueron objeto de revisión en febrero de 2012 y de actualización en junio de 2019. El resultado de esta revisión es el documento den Contra el Lavado de Activos, el Financiamiento del Terrorismo y el Financiamiento de la Proliferación de Armas de Destrucción Masiva. Régimen de Autocontrol y Gestión del Riesgo Integral LA/FT/FPADM: es el SAGRILAFT y el Régimen de Medidas Mínimas, en conjunto. Riesgo LA/FT/FPADM: es la posibilidad de pérdida o daño que puede sufrir una Empresa por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el Lavado de Activos y/o canalización de recursos hacia la realización de actividades terroristas o el Financiamiento de la Proliferación de Armas de Destrucción Masiva, o cuando se pretenda el ocultamiento de Activos provenientes de dichas actividades. Las contingencias inherentes al LA/FT/FPADM se materializan a través de riesgos tales como el Riesgo de Contagio, Riesgo Legal, Riesgo Operativo, Riesgo Reputacional y los demás a los que se expone la Empresa, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera, cuando es utilizada para tales actividades. Riesgo de Contagio: Es la posibilidad de pérdida que una Empresa puede sufrir, directa o indirectamente, por una acción o experiencia de una Contraparte. Riesgo Legal: es la posibilidad de pérdida en que incurre una Empresa al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. Surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones. Riesgo Operativo: es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el Riesgo Legal y el Riesgo Reputacional, asociados a tales factores. Riesgo Reputacional: es la posibilidad de pérdida en que incurre una Empresa por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la organización y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. Riesgo Inherente: es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. Riesgo Residual: es el nivel resultante del riesgo después de aplicar los controles. ROS: Es el reporte de Operaciones Sospechosas. Es aquella operación que por su número, cantidad o características no se enmarca dentro del sistema y prácticas normales del negocio, de una industria o de un
43
sector determinado y, además que de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada. SIREL: es el sistema de reporte en línea administrado por la UIAF. Es una herramienta WEB que permite a las entidades reportantes cargar y/o reportar en línea la información de las obligaciones establecidas en la normativa de cada sector, de forma eficiente y segura, disponible las 24 horas del día, 7 días a la semana y 365 días al año. SAGRILAFT: es el sistema de autocontrol y gestión del riesgo integral de LA/FT/FPADM. SMLMV: es el salario mínimo legal mensual vigente. UIAF: es la Unidad de Información y Análisis Financiero, la cual es la unidad de inteligencia financiera de Colombia, con las funciones de intervenir en la economía para prevenir y detectar el LA/FT/FPADM.
