El Sarlaft está compuesto por cuatro etapas y ocho elementos para prevenir el lavado de activos. Infolaft presenta un artículo introductorio que ilustrará a sus lectores sobre todos los aspectos de este modelo.

 

Definición del Sarlaft

Si queremos desarrollar la definición de Sarlaft un poco más, podríamos decir que es un sistema compuesto de etapas y elementos para que las entidades vigiladas por la Superintendencia Financiera de Colombia gestionen el riesgo de ser utilizadas como instrumento para dar apariencia de legalidad a activos provenientes de actividades delictivas, o para la canalización de recursos hacia la realización de actividades terroristas.

Las etapas consisten en identificar, medir, controlar y hacer monitoreo de los riesgos de lavado de activos y financiación del terrorismo. Los elementos que soportan este propósito son ocho: políticas, procedimientos, documentación, estructura organizacional, órganos de control, infraestructura tecnológica, divulgación de la información y capacitación.

También le puede interesar: lista Clinton, todo lo que debe saber

En 2008 la Superintendencia Financiera decidió actualizar y mejorar el sistema anterior, conocido como Sistema Integral para la Prevención del Lavado de Activos (Sipla) y crear uno nuevo que se denomina Sarlaft. Este nuevo sistema se creó mediante la expedición de la circular 22 de 2007, la cual modificó la Circular Básica Jurídica de la antigua Superintendencia Bancaria –hoy Superintendencia Financiera– que establecía los controles relativos al lavado de activos.

Para la Superintendencia Financiera, según un comunicado publicado en julio de 2008, el Sarlaft es el mecanismo que les permite a las entidades financieras “prevenir la pérdida o daño que pueden sufrir por su propensión a ser utilizadas directamente por sus accionistas, administradores o funcionarios, o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, por sus clientes o usuarios”.

Es importante aclarar que no existe un Sarlaft tipo o modelo. Cada entidad tiene que crear, desarrollar y perfeccionar su propio Sarlaft o sistema de gestión del riesgo de lavado de activos y financiación del terrorismo. Por tal motivo habrá tantos Sarlaft como entidades que apliquen esta norma de la Superintendencia Financiera.

El Sarlaft debe entenderse desde el punto de vista legal como una norma de la autoridad reguladora, un estándar mínimo que debe ser desarrollado y una recopilación de guías y mejores prácticas que se elevan a una norma de naturaleza obligatoria.

Pero, desde el punto de vista interno, el Sarlaft se desarrolla y se personaliza para volverse el Sarlaft de la entidad. En este punto comienza a ser un sistema vivo y dinámico con recursos, presupuesto y responsables.

El Sarlaft para los funcionarios de la entidad se da a conocer mediante políticas y procedimientos que se convierten en el Manual Sarlaft. También se le asignan funciones a un área que se denomina de diferentes formas, pero a la cual algunas veces se le da el mismo nombre: área Sarlaft. Se puede llegar a crear el comité Sarlaft, la cartilla Sarlaft, el aplicativo Sarlaft, el curso Sarlaft, el examen Sarlaft y de esta manera pasamos de lo abstracto a lo concreto.

También le puede interesar: Cuatro principales modalidades de lavado de activos en Colombia

 

Marco legal del Sarlaft

En la actualidad la norma Sarlaft está contenida dentro del Capítulo IV del Título IV en la Parte I de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia.

Estas norma da pautas acerca de la forma como se debe cumplir el Estatuto Orgánico del Sistema Financiero en lo relativo a sus Artículo 102 y siguientes, los cuales desarrollan el tema de la prevención de actividades delictivas. Este estatuto ha tenido modificaciones expresas en materia de LA/FT mediante el Estatuto Anticorrupción y la Ley Contra la Financiación del Terrorismo.

 

Etapas del Sarlaft

La Superintendencia Financiera establece que la gestión del riesgo se debe desarrollar mediante las siguientes etapas:

  1. Identificación del riesgo de LA/FT
  2. Medición de la probabilidad y el 
impacto del riesgo de LA/FT
  3. Control del riesgo de LA/FT
  4. Monitoreo del riesgo de LA/FT

 

También le puede interesar: Lo que busca la Superfinanciera en una segmentación Sarlaft

Elementos del Sarlaft

Las etapas por sí solas no constituyen el Sarlaft, estas deben ser implementadas mediante una serie de acciones y recursos que la norma ha denominado elementos. Este artículo no pretende abarcar todos los elementos del Sarlaft y algunos se tratan en forma tangencial cuando se relacionan con las etapas.

A continuación se hará una breve descripción en forma de tabla de los elementos, pero el lector seguramente necesitará consultar la norma para conocer más sobre estos temas.

 

Elementos y su alcance

Políticas:

Son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el Sarlaft. Cada una de las etapas y elementos del sistema debe contar con unas políticas claras y efectivamente aplicables.

Procedimientos:

Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del Sarlaft.

Documentación:

Las etapas y los elementos del Sarlaft implementados por la entidad deben constar en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida.

Estructura organizacional:

Las entidades deben establecer y asignar las facultades y funciones en relación con las distintas etapas y elementos del Sarlaft.

Órganos de control:

Las entidades deben establecer órganos e instancias responsables de efectuar una evaluación del Sarlaft, a fin de que se puedan determinar sus fallas o debilidades e informarlas a las instancias pertinentes.

Infraestructura tecnológica:

Las entidades deben contar con la tecnología y los sistemas necesarios para garantizar la adecuada administración del riesgo de LA/FT. Para ello deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño.

Divulgación de información:

Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes.

Capacitación:

Las entidades deben diseñar, programar y coordinar planes de capacitación sobre el Sarlaft dirigidos a todas las áreas y funcionarios de la entidad.

Tal vez el elemento más complejo por su alcance y por la diversidad de temas que lo conforman es el que hace referencia a los procedimientos. Por esta razón decidimos mostrar los dos componentes principales de los procedimientos: los mecanismos y los instrumentos.

 

Componente de los procedimientos Alcance según la Superintendencia Financiera
Mecanismos Esto incluye:

  1. Conocer al cliente actual y potencial
  2. Conocer el mercado
  3. Identificar y analizar las operaciones inusuales
  4. Determinar y reportar las operaciones sospechosas
Instrumentos Esto incluye:

  1. Señales de alerta
  2. Segmentación de los factores de riesgo en relación con el mercado
  3. Seguimiento de operaciones
  4. Consolidación periódica de operaciones

 

En su momento, el Sarlaft fue un invento nuevo, un esfuerzo por mejorar lo que se venía haciendo para transformarlo en algo más efectivo. No existe una sola forma de desarrollar el Sarlaft, pues la norma permite que cada entidad seleccione sus propias metodologías.

Como el Sarlaft desarrolla los Artículos 102 al 107 del Estatuto Orgánico del Sistema Financiero, es necesario tener presente esa norma, de mayor jerarquía, al momento de interpretar los alcances de este sistema.

De la teoría a la práctica

Aparte del aprendizaje adquirido en el trabajo de diseño de los Sarlaft de muchas entidades de los sectores financiero y real en Colombia, la actividad de consultoría y de docencia nos ha dado la posibilidad de comparar nuestra visión del Sarlaft con nuestros clientes –en su mayoría oficiales de cumplimiento y directivos de entidades financieras– y los demás profesores de los programas.

También hemos sido invitados por la Superintendencia Financiera de Colombia a exponer nuestros puntos de vista junto con otros consultores y mediante un diálogo constructivo, hemos enriquecido mutuamente nuestras posiciones. Pero tal vez el ejercicio más retador, y por lo tanto el más fructífero, es el que se ha dado al interior de las entidades vigiladas.

Las diferentes áreas de las entidades, cada una con intereses, enfoques y necesidades propias, nos retaron intelectualmente, permitiéndonos probar y perfeccionar en la práctica las bases teóricas que habíamos construido.

Del KYC al KYR

La forma como la humanidad enfrenta la plaga del lavado de activos y la financiación del terrorismo ha cambiado y, consecuentemente, ha cambiado el rol que nosotros tenemos en este campo.

Desde hace más de treinta años la lucha contra el lavado de activos se ha centrado en una idea que es a la vez simple y ambiciosa: conozca a su cliente.

Este concepto se ha vuelto un mandato imperioso para todos los profesionales que, en razón del negocio que realizan, deben ejercer una debida diligencia en materia de lavado de activos y financiación del terrorismo.

Recientemente el concepto de conocer al cliente le ha dado paso a otro más complejo y exigente: conozca su riesgo. Ya no basta con identificar los clientes, solicitarles documentos de soporte y monitorear sus operaciones para detectar todo movimiento que pueda salirse de su perfil de comportamiento.

Adicionalmente, las entidades vigiladas deben emplear métodos técnicos de gestión de riesgo que permitan descomponer los factores que generan algún tipo de amenaza para la entidad.

Esto es lógico, pues el riesgo no proviene simplemente del cliente, puede provenir de un usuario, un canal, un producto o una jurisdicción.

Este avance, propuesto por el regulador, fue acogido de una forma crítica pero constructiva por las entidades vigiladas. Muy pronto, estas dispusieron de enormes presupuestos para poner a tono sus sistemas de control y avanzar en la dirección de la gestión integral del riesgo de lavado de activos y financiación del terrorismo.

Una nueva dinámica muy interesante que se denotó en el sector financiero con la implementación del Sarlaft fue que los oficiales de cumplimento se profesionalizaron mediante la capacitación en gestión del riesgo en reconocidas universidades; las juntas directivas de las entidades aprobaron metodologías, manuales y mediciones que les han permitido intervenir de manera directa en la estrategia que emplean sus entidades para minimizar la probabilidad y/o las consecuencias de estar relacionadas con activos de origen ilícito, o de servir para la canalización de activos para actividades terroristas.

Ya no basta con conocer los clientes, en inglés KYC (Know Your Client), debido a que esta forma de enfrentar el problema se volvió obsoleta pues los delincuentes aprendieron a suplantar clientes, comprar compañías que gozaban de buena reputación, infiltrar negocios lícitos, abusar de la confianza de las personas de bien, entre otras, vulnerando así los controles basados en los clientes.

Debido a lo anterior hay que entender a la entidad como un sistema que ofrece ‘oportunidades’ a los delincuentes desde una perspectiva más amplia que no se limita únicamente a la condición de cliente.

Hay que estar vigilantes de todos los aspectos de la operación, la cual incluye los clientes, pero también sus usuarios, los canales transaccionales y de ventas, los productos y las jurisdicciones en las cuales tiene presencia o intereses.

Con lo anterior en mente es claro que debemos pasar del KYC a lo que podríamos denominar el KYR (Know Your Risk) o en español: conozca su riesgo.

Antecedentes del Sarlaft

La gestión profesional del riesgo en las entidades financieras y en las empresas no es un tema nuevo, tampoco lo es la prevención del lavado de activos y la financiación del terrorismo.

Lo novedoso del Sarlaft radicó en que varias organizaciones y autoridades a nivel mundial en este campo coincidieron en recomendar el enfoque de gestión de riesgo para el tema de LA/FT. Como lo veremos en este punto, ya existía en Colombia una norma encaminada en este sentido.

También las nuevas 40 Recomendaciones del Gafi contemplan esta filosofía, y varios países tienen sistemas que involucran este enfoque. El Sarlaft colombiano ha sido entendido por varios observadores como una propuesta ambiciosa y muy completa dentro de esta tendencia.

Para el caso colombiano, el principal antecedente del enfoque de gestión de riesgo fue incluido en 1993 en el Estatuto Orgánico del Sistema Financiero colombiano, norma que en su Artículo 102 Numeral 4 establece:

 

“Alcance y cobertura del control. Los mecanismos y auditoría de que trata este artículo podrán versar exclusivamente sobre las transacciones, operaciones o saldos cuyas cuantías sean superiores a las que se fijen como razonables y suficientes. Tales cuantías se establecerán en el mecanismo que adopte cada entidad atendiendo al tipo de negocios que realiza, amplitud de su red, los procedimientos de selección de clientes, el mercadeo de sus productos, capacidad operativa y nivel de desarrollo tecnológico”.

 

Esta norma, actualmente vigente, sirvió para establecer el marco general del antiguo Sipla, y hoy se desarrolla ampliamente en el Sarlaft. En el fragmento anterior se observa que las entidades le podrán dar un tratamiento diferente a los controles, según “las transacciones, operaciones o saldos cuyas cuantías sean superiores a las que se fijen como razonables y suficientes”.

En el año 2006, la Reserva Federal de los Estados Unidos, por intermedio del Consejo de Supervisión de Instituciones Financieras (Federal Financial Institution Examination Council) publicó el Manual de Supervisión de los Sistemas Antilavado. Este documento contiene el concepto de gestión del riesgo de acuerdo con la exposición de la entidad. Además, incluye una matriz de riesgo y un esquema del sistema de cumplimiento basado en riesgo, similar al que mostramos a continuación:

 

 

Por otro lado, Australia, uno de los países líderes en la lucha contra el lavado de activos y la financiación del terrorismo en el mundo, expidió en 2006 una nueva ley sobre control de LA/FT –Anti-Money Laundering and Counter Terrorism Financing Act 2006–.

Esta norma también desarrolla el enfoque de gestión de riesgo. Posteriormente, en 2007 Austrac, la Unidad de Inteligencia Financiera de dicho país, publicó una Guía de Gestión de Riesgo para LA/FT –Austrac Guidance Note Risk Management and AML/CTF Programs–.

En dicha guía se recomienda por obvias razones que las entidades apliquen el estándar australiano de gestión de riesgo conocido como AS/NZS 4360:2004 (hoy AS/NZS ISO 31000:2009).

Igualmente, el Grupo de Acción Financiera Internacional (Gafi) publicó en el año 2007 una guía con un enfoque basado en la gestión del riesgo de lavado de activos y financiación del terrorismo, que tiene como propósito servir de soporte en el desarrollo de lo que implica una gestión del riesgo de este tipo.

Los términos en que están escritas las Recomendaciones del Gafi contienen unos principios que permiten que los países –hasta cierto grado– adopten un enfoque basado en riesgo para combatir el lavado de activos y la financiación del terrorismo.

Estos términos autorizan a los países a permitir que las entidades financieras usen un sistema de gestión de riesgo para que flexibilicen algunas de sus obligaciones de prevención del LA/FT, todo dentro del principio de que los riesgos deben ser identificados para poder hacer un mejor uso de los recursos. Si se tienen claras las prioridades se pueden invertir los recursos en una forma más efectiva y así lograr más éxito en la lucha contra el LA/FT.

Limitaciones y diferencias del Sarlaft

El Sarlaft se fundamenta en las técnicas de gestión de riesgo comúnmente empleadas en la industria financiera y en otras industrias, tales como Coso, ERM y el AS/NZS ISO 31000.

También se nutre y se complementa desde el punto de vista técnico de los demás sistemas de administración de riesgo obligatorios para las entidades vigiladas como lo son los Sistemas de Administración de Riesgo Operativo (Saro), los Sistemas de Administración de Riesgo Crediticio (Sarc), los Sistemas de Administración del Riesgo de mercado (Sarm) y los Sistemas de Administración de Riesgo de Liquidez (Sarl).

Como similitudes entre los sistemas de gestión de riesgo del sector financiero se pueden nombrar:

 

  1. Todos definen y delimitan el riesgo al cual hacen referencia.
  2. Establecen una metodología de gestión de riesgo que se compone de cuatro etapas: identificación, medición, control y monitoreo –a excepción de Sarc que solo tiene dos etapas: otorgamiento y control–.
  3. Involucran ciertos elementos, para los cuales hacen requerimientos precisos. Estos son, en general: políticas, procedimientos, documentación, estructura organizacional, órganos de control, infraestructura tecnológica y divulgación de información.

Entre las diferencias con los sistemas hermanos se encuentran las siguientes:

Sarlaft otorga libertad metodológica

Dentro del Sarlaft se pueden emplear mediciones de carácter cuantitativo o cualitativo. Debido a que la norma no desarrolla el tema a profundidad, las entidades tienen libertad para seleccionar la metodología más apropiada.

Hay que entender que no existen desarrollos técnicos ni información histórica suficiente para construir bases conceptuales sólidas para el Sarlaft, por lo tanto no se le puede exigir a este sistema el mismo rigor que a los demás sistemas de gestión de riesgo como el Sarm, el cual es más riguroso en sus estándares cuantitativos.

El Sarlaft no tiene equivalencia económica

En el Sarlaft no se pide el cálculo de la pérdida esperada, ni de provisiones, y tampoco se hace referencia a la revelación contable del riesgo.

La estrategia para gestionar el riesgo es más limitada

En principio el Sarlaft no permite aceptar ni trasladar el riesgo. Desde el punto de vista práctico, hay que mencionar que el impacto de ciertos riesgos se puede aceptar o trasladar, como es el caso de los impactos operativos o los impactos legales –principalmente de naturaleza contractual–.

Hay que tener en cuenta que en la gestión del riesgo de lavado de activos y financiación del terrorismo, el gestor del riesgo muchas veces debe conciliar aspectos contradictorios, lo que conlleva enfrentar el dilema que popularmente se entiende como “escoger entre dos males el menos malo”.

Es el caso de la entidad que para evitar un riesgo reputacional decide incumplir un contrato con un cliente o, por el contrario, para evitar un riesgo legal derivado de una sanción acepta una medida impopular que la lleva a una pérdida de imagen. Para muchos, este concepto resulta difícil de entender, pero la realidad nos enseña que el administrador de riesgos muchas veces debe escoger el menor entre dos males

No es obligación registrar eventos materializados

En Saro se establece la obligación de registrar los eventos de riesgo que se materialicen, mientras que en Sarlaft no existe tal obligación, pero sí una obligación particular de reportar operaciones sospechosas.

 

Características especiales del Sarlaft

No obstante las similitudes y características comunes, debemos entender la naturaleza única y especial del Sarlaft. En su aplicación práctica, hemos encontrado las siguientes características que marcan la diferencia con los otros sistemas de administración de riesgo:

Imperceptibilidad del riesgo

Los riesgos financieros son fácilmente detectables, basta con consultar el saldo de la obligación para determinar si el cliente está en mora o no. Los conceptos de siniestro, pérdida y default como tales no se aplican en el Sarlaft.

Los riesgos operativos son perceptibles por los sentidos y dejan consecuencias económicas que normalmente son fáciles de cuantificar y contabilizar.

En cambio, los riesgos relacionados con lavado de activos y financiación del terrorismo requieren de grandes esfuerzos de detección, esfuerzos que nunca serán definitivos ni determinantes, pues quien define en última instancia si una operación fue ilícita o no, es un juez, algunos años después de ocurrida la transacción financiera.

Confidencialidad y sensibilidad de la información

En los demás riesgos, la información y la transparencia son sanas y recomendables. En esta materia, no es conveniente que los delincuentes conozcan las vulnerabilidades de las entidades ni las estrategias empleadas para evitar el lavado de activos y la financiación del terrorismo.

La información de identificación y medición del riesgo es muy útil para los funcionarios de la entidad que la van a utilizar en forma constructiva y proactiva, pero la misma información fuera de contexto y utilizada por alguien que no entienda la naturaleza de la misma podría conllevar graves consecuencias.

Por ejemplo, una entidad que logra reducir su riesgo de suplantación en el producto de cuentas corrientes de cien a diez casos al año. Alguien con poco tino podría decir que la entidad está admitiendo de antemano que sufrirá de lavado de activos diez veces al año y por lo tanto está aceptando y tolerando está conducta.

Imposibilidad de eliminar el riesgo

El delincuente muta, se transforma y espera el mejor momento para penetrar las entidades vigiladas. Los controles, por muy efectivos que sean no pueden ser infalibles, pues se topan con barreras naturales que deben ser respetadas como las libertades civiles, los derechos de los consumidores, el derecho al buen nombre y la presunción de buena fe.

A su vez, los controles deben ser operativos, prácticos y costo eficientes para que las entidades puedan cumplir con su objeto social y su fin esencial de captación y colocación de los recursos del público.

Hay que tener en cuenta que no se ha podido eliminar el riesgo por completo en otras disciplinas que ponen en peligro un bien jurídico más valioso como es la vida humana, y sería por lo tanto utópico pensar que en este campo se pueda lograr por simple decisión.

Aunque lo anterior no riñe con la obligación de ejercer la debida vigilancia y gestionar adecuadamente todos los riesgos.

Esfuerzo constante

La imposibilidad de eliminar el riesgo implica que la gestión del riesgo de lavado de activos y financiación del terrorismo nunca llega a su fin. Nunca cesa la labor de disminuir la probabilidad o el impacto del riesgo mediante la implementación y el perfeccionamiento de controles.

Vale la pena recalcar que esta obligación es de medios y no de resultados, por lo tanto nunca cesa. Como en cualquier sistema, siempre que se fortalezca un elemento, los demás quedan relativamente más vulnerables y si se quiere fortalecer el sistema como un todo deben fortalecerse sus partes más débiles.

En síntesis, hay mucho que aprender de los demás sistemas de riesgo. Pero ante todo hay que entender la naturaleza especial del Sarlaft y crear una serie de principios y técnicas especiales para las características antes descritas.

 

Aporte para la toma de decisiones

Ante el esfuerzo significativo que implicó convertir el antiguo Sipla en un Sarlaft, las entidades tendieron a perder el rumbo y creer que la finalidad única del Sarlaft era el Sarlaft mismo.

Esto, afortunadamente, no es así. El Sarlaft tiene muchas ventajas; hemos visto en los diferentes proyectos en los cuales participamos que un buen Sarlaft implica, entre otros, los siguientes beneficios:

 

  • Profesionalización de las labores relacionadas con la prevención del lavado de activos y la financiación del terrorismo.
  • Pautas más objetivas para la determinación de operaciones sospechosas.
  • Uniformidad de criterios en torno a los riesgos aceptables.
  • Distribución de las funciones de prevención entre las diferentes áreas de la entidad, alejándose de la falsa concepción de que el único responsable es el oficial de cumplimiento.
  • Análisis sistemático de las vulnerabilidades de la entidad.
  • Análisis costo-beneficio de los controles existentes.
  • Generación de indicadores de gestión relacionados con la prevención de lavado de activos y financiación del terrorismo.

 

Pero tal vez el mayor beneficio que hemos visto en los proyectos Sarlaft en los que hemos participado es que las entidades obtuvieron una herramienta valiosa para la toma de decisiones. El Sarlaft, permite unificar criterios y contar con elementos de juicio para tomar decisiones propias del negocio, tales como:

 

  • Selección del mercado objetivo.
  • Determinación de los productos o canales que deben ser lanzados.
  • Áreas u oficinas que deben ser auditadas.
  • Funcionarios que deben tener refuerzos en capacitación.
  • Inversión más eficiente en software y hardware de control.
  • Segmentos de clientes que pueden tener un trámite de vinculación simplificado.
  • Segmentos de clientes que deben tener un trámite de vinculación más estricto.
  • Operaciones que requieren monitoreo especial.
  • Clientes con los cuales se debe terminar la relación comercial.
  • Áreas para aplicar la debida diligencia y la debida diligencia mejorada.