RESOLUCIÓN 3677 DE 2013
(septiembre 12)
Diario Oficial No. 48.919 de 20 de septiembre de 2013
MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES
<NOTA DE VIGENCIA: Resolución derogada por el artículo 9 de la Resolución 2564 de 2016>
Por la cual se establecen las reglas relativas al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo para los Operadores Postales de Pago y se deroga la Resolución número 2705 de 2010.
EL MINISTRO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES,
en ejercicio de sus facultades legales, y en especial de las que le confieren el parágrafo 2o del artículo 4o Ley 1369 de 2009, Decreto número 2618 de 2012, y
CONSIDERANDO:
Que la Ley 1369 de 2009 señala el régimen general de los servicios postales y, a su vez, en su artículo 1o establece que son considerados un servicio público en los términos del artículo 365 de la Constitución Política y que por tal motivo dicha actividad se encuentra sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia y universalidad;
Que el artículo 2o de la citada ley establece dentro de los objetivos de intervención del Estado, el de asegurar la prestación eficiente, óptima y oportuna de los servicios postales;
Que a su vez el parágrafo 2o del artículo 4o dispone que para el caso particular de los Operadores de Servicios Postales de Pago, el Ministerio de Tecnologías de la Información y las Comunicaciones reglamentará los requisitos de tipo patrimonial y de mitigación de riesgos que se deberán acreditar para la obtención del respectivo título habilitante, adicionales a los contemplados en los literales a), c) y d) del citado artículo;
Que en desarrollo de las mencionadas normas el Ministerio de Tecnologías de la Información y las Comunicaciones expidió la Resolución número 2705 de 2010, la cual estableció los requisitos y parámetros mínimos del sistema de administración y mitigación del riesgo de lavado de activos y financiación del terrorismo por parte de quienes quisieran obtener su habilitación como Operadores de Servicios Postales de Pago;
Que en cumplimiento de la obligación prevista en el artículo 8o numeral 8 de la Ley 1437 de 2011, el Ministerio de Tecnologías de la Información y las Comunicaciones publicó para comentarios de los interesados el proyecto de resolución que actualmente se expide, desde el 14 de junio de 2013 hasta el 9 de julio de 2013, lapso durante el cual se recibieron diversos comentarios que fueron tenidos en cuenta para la redacción final del proyecto normativo;
Que la presente reglamentación acoge los protocolos sugeridos por la Policía Nacional a través de la Dirección de Antisecuestro y Antiextorsión en oficio radicado 547698 de 29 de mayo de 2013 en el Ministerio de Tecnologías de la Información y las Comunicaciones en el sentido de prevenir posibles conductas punibles derivadas del delito de extorsión;
Que la presente resolución atiende los estándares internacionales proferidos por el Grupo de Acción Financiera Internacional (GAFI), en especial la recomendación número 14, la cual menciona que las actividades que presten el servicio de transferencias de dinero o valores deberán trabajar con licencia o bajo registro, y deberán estar sujetas a sistemas efectivos de monitoreo y asegurar el cumplimiento de los requisitos nacionales destinados a combatir el lavado de dinero y el financiamiento del terrorismo;
Que por lo anterior, y en atención a que la prestación de servicios postales de pago requieren de una especial reglamentación de riesgos, acorde a la naturaleza y tipo de operaciones permitidas a los operadores que los proveen, es necesario sustituir integralmente la normativa del sistema de administración y mitigación del riesgo de lavado de activos y financiación del terrorismo, actualmente prevista en la Resolución número 2705 de 2010, con el fin de asegurar la adecuada y eficiente prestación de este servicio;
Que en cumplimiento de lo dispuesto por el artículo 7o de la Ley 1340 de 2009, reglamentado por el Decreto número 2897 de 2010, el Ministerio de Tecnologías de la Información y las Comunicaciones remitió a la Superintendencia de Industria y Comercio (SIC) mediante Comunicación con Registro 648430 del 19 de julio de 2013, el proyecto de acto administrativo en el último estado de revisión, con el fin de que dicha entidad llevara a cabo el análisis del proyecto a través de las normas de competencia.
Que de conformidad con los conceptos emanados de la delegatura para la Protección de la Competencia de la Superintendencia de Industria y Comercio (SIC) y en particular el oficio radicado bajo el número 13-171043-6 del 21 de agosto de 2013, los Operadores Postales de Pago enfrentan diversos riesgos que deben ser regulados en el marco del servicio público que prestan. Así mismo, el nuevo marco regulatorio para los Operadores Postales de Pago deberá contener las reglas mínimas de manera que no genere barreras a la entrada de nuevos participantes, adicionales a aquellas exigidas por la ley;
Que sin perjuicio de lo anterior, las reglas aplicables a los operadores de pago deben ser claras y homogéneas de forma que no generen disparidades y asimetrías con las reglas aplicables a otros sectores.
Que particularmente en lo relativo al Sarlaft el Superintendente Delegado para la Protección de la Competencia, rindió concepto sobre el proyecto de resolución puesto a su consideración concluyendo al respecto que: “(…) esta delegatura no encuentra restricciones a la libre competencia, por el contrario el objetivo del proyecto es medir el riesgo inherente a la actividad realizada por los OSPP en materia de lavado de activos y financiación del terrorismo y tomar las acciones necesarias para evitar su ocurrencia (…)”;
Que en virtud de lo expuesto;
RESUELVE:
ARTÍCULO 1o. OBJETO. <Resolución derogada por el artículo 9 de la Resolución 2564 de 2016> La presente resolución tiene por objeto establecer los requisitos y parámetros mínimos para la adecuada administración y mitigación del riesgo de Lavado de Activos y Financiación del Terrorismo (LA/FT) que deben acreditar y mantener los Operadores de Servicios Postales de Pago como parte integral de su operación de giro postal.
ARTÍCULO 2o. SUJETOS OBLIGADOS. <Resolución derogada por el artículo 9 de la Resolución 2564 de 2016> Los Operadores de Servicios Postales de Pago deberán implementar y desarrollar el Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo, atendiendo los requisitos mínimos establecidos en la presente resolución.
ARTÍCULO 3o. DEFINICIONES. <Resolución derogada por el artículo 9 de la Resolución 2564 de 2016> Para efectos de la interpretación y aplicación de la presente resolución se tendrán en cuenta las siguientes definiciones:
Análisis de riesgo: Es el estudio de las causas de las posibles amenazas y probables eventos no deseados y consecuencias que estas puedan producir en el desarrollo de las actividades propias de los Operadores de Servicios Postales de Pago.
Cliente: Es la persona natural o jurídica con quien el operador de servicios postales de pago establece relación de origen legal o contractual, para la realización de sus servicios.
Control de riesgos: Es la parte de administración de riesgos que involucra la implementación de políticas, estándares, procedimientos y actividades implementadas o no, que proporcionan reducción de la probabilidad y el impacto de los riesgos.
Colaborador: Personas naturales o jurídicas que disponen de puntos de atención al público con las cuales el Operador de Servicios Postales de Pago realiza un contrato para ofrecer sus servicios a través de una red o grupo de redes.
Evaluación de riesgos: Consiste en medir la probabilidad de ocurrencia del riesgo de LA/FT identificado en las actividades propias como Operador de Servicios Postales de Pago, así como el impacto para la empresa en caso de materializarse.
Evento: Es un incidente, situación o suceso que ocurre en un lugar particular durante un intervalo de tiempo específico y que generan incertidumbre dentro de la empresa.
Factores de riesgo: Son los agentes generadores del riesgo de LA/FT. Para efectos de la presente resolución las empresas deben tener en cuenta como mínimo los siguientes:
a) Clientes/usuarios/Colaboradores empresariales;
b) Productos;
c) Canales de distribución y
d) Jurisdicciones.
Financiación del terrorismo: Es la realización de un conjunto de acciones encaminadas a facilitar el sostenimiento económico de grupos armados al margen de la ley, o de grupos terroristas, o de sus integrantes, en los términos del artículo 345 del Código Penal y la Ley 1121 de 2006 “por la cual se dictan normas para la prevención, detección, investigación y sanción de la financiación del terrorismo y otras disposiciones”.
GAFI: (Grupo de Acción Financiera): Organismo intergubernamental constituido en 1989, que tiene como propósito desarrollar y promover políticas y medidas a nivel nacional e internacional para combatir el Lavado de Activos y la Financiación del Terrorismo.
Gestión de riesgo: Trazar estrategias para disminuir la vulnerabilidad y promover acciones para mitigar y prevenir el riesgo de Lavado de Activos y Financiación del Terrorismo en las actividades propias de los Operadores de Servicios Postales de Pago.
Interesados (partes interesadas): Personas u organizaciones que pueden afectar o ser afectadas por las actividades de una empresa.
Lavado de activos: Conjunto de operaciones tendientes a ocultar o disfrazar el origen ilícito de unos bienes o recursos mal habidos. En Colombia esta conducta está penalizada en el artículo 325 de Código Penal.
Operador: Persona jurídica habilitada para operar Servicios Postales de Pago.
Operación inusual: Operaciones que realizan las personas naturales o jurídicas, que por su número, cantidad, o características, no se enmarcan dentro de los sistemas o prácticas normales de los negocios de los Operadores de Servicios Postales de Pagos.
Operación sospechosa: Operaciones que realizan las personas naturales o jurídicas, que por su número, cantidad, o características, no se enmarcan dentro de los sistemas o prácticas normales de los negocios de los Operadores de Servicios Postales de Pagos y de acuerdo con los usos y costumbres de la actividad que se trate, no hayan podido ser razonablemente justificadas.
Proveedor: persona natural o jurídica que abastece con artículos o servicios que apoyan al Operador de Servicios Postales de Pago o a la empresa.
Riesgos asociados al LA/FT: Son los riesgos a través de los cuales se materializa el riesgo de LA/FT. Estos son reputacional, legal, operativo y contagio.
Riesgo reputacional: Es la posibilidad de pérdida en que incurre un operador por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
Riesgo legal: Es la posibilidad de pérdida en que incurre un operador al ser sancionado u obligado a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. También como consecuencia de fallas en los contratos con los Colaboradores y Proveedores que impidan las transacciones de los giros postales, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o su ejecución.
Riesgo operativo: Es la posibilidad de que un Operador de Servicios Postales de Pago incurra en pérdidas o eventual incumplimiento de sus obligaciones por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología informática, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal.
Riesgo de contagio: Es la posibilidad de pérdida que un operador puede sufrir, directa o indirectamente, por una acción u omisión de alguna de las partes vinculadas con este.
Riesgo inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
Riesgo residual o neto: Es el nivel resultante del riesgo después de aplicar los controles.
Riesgo de lavado de activos y de la financiación del terrorismo: Es la posibilidad de pérdida o daño que puede sufrir un operador por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.
Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).
Señales de alerta o alertas tempranas: Conjunto de indicadores cualitativos y cuantitativos que permiten identificar oportuna y/o prospectivamente comportamientos atípicos de las variables relevantes, previamente determinadas por el operador.
Usuario: Es la persona natural quien, sin ser cliente, utiliza los servicios de un operador de servicio postal de pago.
UIAF: (Unidad de Información y Análisis Financiero).
ARTÍCULO 4o. ALCANCE DEL SARLAFT. <Resolución derogada por el artículo 9 de la Resolución 2564 de 2016> El Sarlaft es el sistema de administración que deben implementar los Operadores de Servicios Postales de Pago, para gestionar el riesgo de LA/FT, instrumentado a través de las etapas y elementos. Este sistema debe abarcar todas las actividades que realizan dichos operadores dentro de la cadena “recepción de dinero - traslado-entrega de dinero”, previendo además procedimientos y metodologías para protegerse de ser utilizadas como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas.
ARTÍCULO 5o. ETAPAS DEL SARLAFT. <Resolución derogada por el artículo 9 de la Resolución 2564 de 2016> El Sarlaft que implementen los Operadores de Servicios Postales de Pago debe contener como mínimo las siguientes etapas: 1) Identificación, 2) Medición o evaluación, 3) Control, y 4) Monitoreo.
5.1 Identificación: Esta etapa tiene como principal objetivo identificar los riesgos de LA/FT inherentes al desarrollo de la actividad de la empresa. En esta etapa se identifican los eventos de riesgo de LA/FT a los cuales está expuesta la empresa en cada uno de los factores de riesgo.
La identificación de los eventos de riesgo se hará para cada uno de los factores de riesgo de LA/FT y sobre cada uno de los procesos que implementen para el desarrollo de las actividades relacionadas con la recepción de dinero, traslado y entrega del mismo.
En esta etapa se debe como mínimo:
a) Establecer las metodologías para la segmentación de los factores de riesgo. La técnica principal para la identificación de eventos de riesgo de LA/FT, es la experiencia de la industria y de la empresa, apoyados de diferentes estándares y guías para la gestión del Riesgo;
b) Con base en las metodologías establecidas anteriormente, segmentar los factores de riesgo. La segmentación de los factores de riesgo debe hacerse de acuerdo con las características particulares de cada uno de los factores, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos.
Para la identificación de los riesgos de LA/FT, se podrán tener en cuenta los siguientes procedimientos:
a) Enumerar los eventos de riesgo: Determinar los eventos de riesgo en torno a cada criterio definido para cada factor. Listar los posibles eventos de riesgo; es decir, los incidentes o acontecimientos, derivados de una fuente interna o externa, que puede ser generadora de un riesgo asociado al LA/FT.
La lista de eventos de riesgo se debe basar en el análisis interno (experiencia de la industria y de la empresa), utilizando el análisis de tipologías, documentos expedidos por las unidades de análisis financiero, y documentos y recomendaciones internacionales, sobre prevención de LA/FT;
b) Determinar las causas: Habiendo identificado una lista de eventos, se deben considerar las causas posibles e identificar las circunstancias que podrían materializar el riesgo.
La etapa de identificación tiene como principal objetivo medir el riesgo inherente de la empresa frente a cada evento de riesgo. Al final de esta etapa la empresa debe contar con una matriz de riesgos, la cual será alimentada con el producto de cada una de las etapas.
5.2 Medición: Concluida la etapa de identificación, los Operadores de Servicios Postales de Pago deberán medir la posibilidad o probabilidad de ocurrencia del LA/FT frente a cada uno de los factores de riesgo, así como el impacto (consecuencias) en caso de materializarse a partir de los riesgos asociados. Las consecuencias y probabilidades se combinan para producir el nivel de riesgo.
En esta etapa se debe como mínimo:
a) Establecer las metodologías de medición con el fin de determinar la posibilidad o probabilidad de ocurrencia del riesgo de LA/FT y su impacto en caso de materializarse frente a cada uno de los factores de riesgo y los riesgos asociados.
Una de las formas para medir el riesgo de LA/FT, es mediante estimaciones cualitativas derivadas de análisis de tipologías, el conocimiento de expertos, la experiencia relevante y las prácticas y experiencia de la industria.
Para la medición de los riesgos de LA/FT, se podrán tener en cuenta los siguientes procedimientos:
a) En esta etapa, se busca clasificar los riesgos e identificar el impacto y la probabilidad de ocurrencia de los eventos de riesgo;
b) Los riesgos inherentes son evaluados de acuerdo con la magnitud del impacto y la probabilidad de ocurrencia, según las medidas cualitativas de probabilidad e impacto establecidas por cada Operador;
c) Se priorizan los riesgos generando una clasificación bajo los criterios de la cualificación que permita la administración de los niveles de riesgos;
d) Para estos efectos, cada uno de los eventos de riesgo que resulten con una calificación de alto o medio riesgo, debe ser objeto de los procedimientos y controles para la administración o mitigación del riesgo (plan de tratamiento).
5.3 Control: Los Operadores de Servicios Postales de Pago deberán tomar medidas para controlar los riesgos asociados al Lavado de Activos y la Financiación del Terrorismo a que se ven expuestos en desarrollo de su actividad, con el fin de mitigarlos.
En esta etapa se debe como mínimo:
a) Establecer las metodologías para definir las medidas de control del riesgo de LA/FT.
En esta etapa, el Operador podrá determinar y adoptar los controles o medidas conducentes a controlar el riesgo inherente. Para estos efectos, se definen las metodologías para determinar los controles y su aplicación, y se definen los procedimientos para la detección de operaciones inusuales y sospechosas.
Para el control de los riesgos de LA/FT, se podrán tener en cuenta los siguientes procedimientos:
a) En cada uno de los procesos en que haya factores de riesgo de LA/FT, se deben definir los procedimientos y controles para la prevención del LA/FT;
b) El tratamiento de los riesgos inherentes se lleva a cabo mediante la adopción de controles. Para estos efectos, la empresa debe diseñar y ejecutar un plan de tratamiento para los riesgos a los que continúen expuestos una vez aplicados los controles existentes.
5.4 Monitoreo: Los Operadores de Servicios Postales de Pago deberán hacer un monitoreo para velar porque las medidas que hayan establecido sean efectivas.
En esta etapa se debe como mínimo:
a) Hacer seguimiento general al Sistema;
b) Desarrollar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias en las etapas del Sistema;
c) Permitir el seguimiento de los niveles de exposición al riesgo de LA/FT establecidos por el Operador, según su estructura, características y operaciones;
d) Asegurar que los controles sean comprensivos de todos los riesgos y que estén funcionando en forma oportuna y efectiva;
e) Permitir la elaboración de reportes gerenciales y de monitoreo del riesgo de LA/FT que evalúen los resultados de las estrategias adoptadas.
Para el monitoreo de los riesgos de LA/FT, se podrán tener en cuenta los siguientes principios:
a) La principal herramienta del monitoreo o seguimiento es la evaluación de riesgos y controles, con el fin de establecer un enfoque que examine y evalúe la efectividad del Sistema de Administración de Riesgo de LA/FT;
b) El Gestor de Riesgo deberá hacer el seguimiento del riesgo de cada uno de los procesos.
ARTÍCULO 6o. ELEMENTOS DEL SARLAFT. <Resolución derogada por el artículo 9 de la Resolución 2564 de 2016> El Sarlaft para los Servicios Postales de Pago, deberá contemplar los siguientes elementos:
1. Políticas.
2. Procedimientos.
3. Instrumentos.
4. Documentación.
5. Estructura Administrativa y Órganos de Control.
6. Plataforma tecnológica de Información.
7. Divulgación.
8. Capacitación.
6.1. Políticas: Son los lineamientos generales que deben adoptar los Operadores de Servicios de Pagos Postales que permitan el eficiente, efectivo y oportuno funcionamiento del Sarlaft.
Las políticas deben desarrollar al menos los siguientes aspectos:
a) Objetivos conforme a la administración del riego de LA/FT. El cumplimiento de la ley, la cooperación con las autoridades, la responsabilidad social empresarial, el gobierno corporativo, son algunos de los objetivos de la política de prevención de LA/FT;
b) Cumplimiento del sistema de administración del riesgo de LA/FT;
c) Promoción de la cultura del sistema de administración del riesgo de LA/FT;
d) Reserva de información del Sarlaft (propia, de los clientes, usuarios, colaboradores empresariales, proveedores y reportes);
e) Prevalencia del cumplimiento del Sarlaft al logro de las metas comerciales;
f) Establecer lineamientos para la prevención y resolución de conflictos de interés;
g) Consagrar lineamientos para la aceptación y vinculación de clientes, y de monitoreo frente a las cuales por su perfil pueden exponer en mayor grado a la empresa al riesgo de LA/FT;
h) Establecer lineamientos para el control de operaciones de clientes y usuarios y detección de operaciones inusuales;
i) Establecer lineamientos para el conocimiento y la aceptación de colaboradores en los cuales el operador se apoye para prestar el servicio postal de pago;
j) Establecer lineamientos para el control y monitoreo del cumplimiento del Sarlaft establecido por los Operadores de Servicios de Pagos Postales, para los colaboradores empresariales;
k) Cumplimiento de obligaciones sobre el Sarlaft, con respecto a los colaboradores empresariales;
l) Establecer métodos suficientes de divulgación y entendimiento de las políticas.
6.2. Procedimientos y Mecanismos: Los Operadores de Servicios Postales de Pago deben establecer los procedimientos y mecanismos aplicables para la adecuada implementación y funcionamiento del Sarlaft, para lo cual deben adoptar, por lo menos, los siguientes:
a) Procedimientos donde se instrumenten las diferentes etapas del Sarlaft;
b) Mecanismos para el conocimiento de clientes, colaboradores empresariales, proveedores y usuarios, atendiendo la naturaleza de la operación;
c) Mecanismos para el conocimiento del mercado;
d) Procedimientos y mecanismos para la detección y análisis de operaciones inusuales;
e) Procedimientos y mecanismos para la detección y análisis de operaciones sospechosas;
f) Procedimiento de atención de requerimientos de información por parte de autoridades competentes;
g) Procedimiento para dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia, de conformidad con el derecho internacional y disponer lo necesario para que se consulten dichas listas de manera previa y obligatoria a la vinculación de clientes, usuarios, colaboradores empresariales y proveedores;
h) Procedimiento para dar cumplimiento a las obligaciones relacionadas con las listas locales entregadas por la Policía y la Fiscalía y disponer lo necesario para que se consulten dichas listas de manera previa y obligatoria a la vinculación de clientes, usuarios, colaboradores empresariales y proveedores;
i) Procedimiento para establecer al interior del grupo responsable del Sarlaft en el Operador Postal de Pago, un punto de contacto con la Policía Nacional;
j) Consagrar las sanciones por incumplimiento a las normas relacionadas con el Sarlaft, así como los procesos para su imposición.
6.2.1. Conocimiento del Cliente: El conocimiento del cliente con quien realiza algunas de sus actividades, constituye una herramienta importante y efectiva para no ser utilizados para el lavado de activos y la financiación del terrorismo, es por esto que dicho mecanismo debe permitir:
a) Conocer la identidad del cliente: Supone el conocimiento y verificación de los datos solicitados que permitan individualizar plenamente la persona natural o jurídica que se pretende vincular;
b) Actividad económica.
Las metodologías para conocer al cliente deben permitir a los operadores cuando menos:
a) Monitorear continuamente las operaciones de los clientes;
b) Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos clientes y determinar la existencia de operaciones sospechosas.
Para estos efectos, los operadores deben diseñar y adoptar formularios de vinculación que contengan cuando menos la información que más adelante se indica. La firma y la huella del cliente deben quedar plasmadas en el formulario.
Para la vinculación de los clientes según la naturaleza de la operación, los Operadores de Servicios Postales de Pago y sus Colaboradores Empresariales exigirán los requisitos para su identificación, los cuales deben ser cuando menos los siguientes:
PN: Vinculación de persona natural PJ: Vinculación de persona jurídica
DESCRIPCIÓN | PN | PJ |
Nombre y apellidos completos o Razón Social. | X | X |
Número de identificación: NIT, o cédula de ciudadanía. | X | X |
Personas Extranjeras: Cédula de extranjería. | X | |
Nombre y apellidos completos del representante, apoderado y número de identificación. | X | |
Dirección, teléfono residencia y Móvil. | X | |
Ocupación, oficio o profesión. | X | |
Tipo de empresa (S. A., SAS, Ltda., SC, etc.). | X | |
Código Internacional Uniforme (CIIU) conforme al RUT | X | |
Dirección, teléfono y ciudad de la oficina principal. | X | X |
Código Postal | X | X |
Declaración de origen de los fondos. | X | X |
Firma y huella del solicitante. | X | X |
Fecha de diligenciamiento. | X | X |
El Operador podrá solicitar los documentos soporte que estime pertinente para el idóneo conocimiento del cliente.
Una vez identificado el cliente y llevada a cabo la segmentación de los factores de riesgo, el operador estará en la facultad de identificar el nivel de riesgo el cual permitirá:
a) Conocer el potencial cliente y poder definir su nivel de riesgo de LA/FT;
b) Detectar las apariencias engañosas de un cliente;
c) Recolectar la información suficiente para elaborar un perfil del cliente y de sus transacciones, de tal forma que el funcionario responsable pueda identificar su comportamiento transaccional habitual;
Los operadores deberán incluir procedimientos especiales frente a los clientes de alto riesgo, los cuales contemplen un estándar de control más exigente.
a) Personas públicamente expuestas. El Sarlaft debe prever procedimientos más exigentes de vinculación de clientes y de monitoreo de operaciones de personas que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la empresa al riesgo de LA/FT, tales como personas que por razón de su cargo manejan recursos públicos, detentan algún grado de poder público o gozan de reconocimiento público.
6.2.2. Conocimiento del usuario:
El conocimiento del usuario es un mecanismo de identificación de la persona que hace uso de los servicios del Operador de Servicios Postales de Pago, lo cual constituye una herramienta importante y efectiva para no ser utilizado para el Lavado de Activos y la Financiación del Terrorismo. Es por esto que dicho mecanismo debe permitir:
a) Conocer la identidad del usuario: Supone el conocimiento de los datos solicitados que permitan individualizar plenamente la persona natural que pretende hacer uso de los servicios.
Las metodologías para conocer al usuario deben permitir a los operadores cuando menos:
a) Monitorear continuamente las operaciones de los usuarios;
b) Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos usuarios y determinar la existencia de operaciones sospechosas.
Para estos efectos, los Operadores de Servicios Postales de Pago y sus Colaboradores Empresariales deben diseñar y adoptar formularios de envío y reclamo de giro que contengan cuando menos la información siguiente:
a) Nombre y apellidos completos;
b) Número de identificación: cédula de ciudadanía, tarjeta de identidad, cédula de extranjería o aquel documento que se considere idóneo para identificación de acuerdo con las normas legales vigentes, etc.;
c) Fecha expedición del documento de identificación;
d) Dirección (opcional);
e) Código Postal;
f) Teléfono fijo y/o Móvil;
g) Firma (opcional);
h) Huella del solicitante y del beneficiario;
i) Fecha de la operación.
Si producto del monitoreo de operaciones de los usuarios, el Operador de Servicios Postales identifica un patrón de habitualidad en alguno de ellos, estará en la facultad de solicitar la información adicional que estime pertinente para el análisis de vulnerabilidad frente al riesgo de Lavado de Activos y Financiación del Terrorismo.
6.2.3 Conocimiento del colaborador:
El conocimiento del Colaborador Empresarial constituye una herramienta importante y efectiva para que el Operador de Servicios Postales de Pago habilitado no sea utilizado para el lavado de activos y la financiación del terrorismo. Es por esto que dicho mecanismo debe permitir:
a) Conocer al Colaborador Empresarial en el que se apoye el Operador de Servicios Postales de Pago para llevar a cabo la operación de giros postales;
b) Garantizar el cumplimiento de las responsabilidades asignadas por el Operador de Servicios Postales de Pago en materia de Sarlaft.
Las metodologías para conocer a los colaboradores empresariales deben permitir a los operadores cuando menos:
a) Monitorear continuamente el cumplimiento de las obligaciones de los colaboradores empresariales, como responsabilidad propia del Operador de Servicios Postales de Pago.
Para estos efectos, los operadores deben diseñar y adoptar formularios de vinculación de Colaboradores Empresariales, con al menos la información que más adelante se indica. La firma y la huella del representante del Colaborador Empresarial deben quedar plasmadas en el formulario.
Para la vinculación de los colaboradores empresariales según la naturaleza de la operación, los Operadores de Servicios Postales de Pago exigirán los requisitos para su identificación, los cuales deben ser cuando menos los siguientes:
PN: Vinculación de persona natural PJ: Vinculación de persona jurídica
DESCRIPCIÓN | PN | PJ |
Nombre y apellidos completos o Razón Social. | X | X |
Número de identificación: NIT, cédula de ciudadanía o cédula de extranjería. | X | X |
Nombre y apellidos completos del representante legal, apoderado y número de identificación. | X | X |
Tipo y número de identificación del Represente Legal. | X | |
Dirección, teléfono y Móvil. | X | |
Ocupación, oficio o profesión. | X | |
Tipo de empresa (S.A, SAS, LTDA, SC, etc). | X | |
Código Internacional Uniforme (CIIU) conforme al RUT | X | X |
Actividad Económica. | X | X |
Código Postal | X | X |
Dirección, teléfono y ciudad de la oficina principal. | X | X |
Declaración de origen de los fondos. | X | X |
Nombre, identificación y porcentaje de participación de los socios con más del 5% de capital social. | X | |
Firma y huella del solicitante. | X | X |
Fecha de diligenciamiento. | X | X |
El operador podrá solicitar el adjunto de los documentos que estime pertinente para un idóneo conocimiento del Colaborador empresarial, entre ellos el Registro Único Tributario y el Certificado de Cámara y Comercio.
6.2.4 Conocimiento del Mercado: Los operadores deberán conocer el rango de mercado dentro el cual se vincula, inscribe y se registra cada cliente de acuerdo con la naturaleza, características, volumen o frecuencia de sus operaciones, nivel de riesgo, clase de servicio, origen o destino de las operaciones de giro, o cualquier otro criterio similar, conforme las políticas comerciales de clasificación adoptadas por la empresa.
6.2.5 Detección y análisis de operaciones inusuales: El Sarlaft debe permitir a los operadores establecer cuándo una operación se considera como inusual.
Para ello debe contar con metodologías para la oportuna detección de las operaciones inusuales, entendidas estas como aquellas transacciones que cumplen, cuando menos con las siguientes características:
a) Operaciones cuya cuantía y/o característica no guarda relación con la actividad económica y que se sale de los parámetros de normalidad establecidos y amerita ser analizada con mayor profundidad;
b) Presencia de señales de alerta adoptadas por el operador;
c) Presencia de posibles tipologías de operaciones de LA/FT, definidas por documentos nacionales o internacionales;
d) Que el cliente figure en alguna lista de control adoptada por el operador.
Así mismo el operador deberá:
a) Dejar constancia de la operación detectada y del responsable o responsables de su análisis y resultados del mismo;
b) A través de la segmentación y del conocimiento del mercado, se podrán determinar características usuales de las operaciones y compararlas con aquellas que realicen los clientes y/o usuarios, a efectos de detectar operaciones inusuales;
c) Si se detecta una operación inusual, el funcionario que la detectó deberá generar el respectivo reporte al gestor del riesgo, con la documentación soporte para llevar a cabo el correspondiente análisis, tendiente a establecer si se trata de una operación sospechosa susceptible de reporte a la autoridad competente.
6.2.6 Detección y análisis de operaciones sospechosas:
Corresponde al Gestor del Riesgo la determinación de las operaciones y su respectivo reporte (ROS) a la UIAF según los siguientes criterios:
a) La confrontación de las operaciones detectadas como inusuales con la información acerca de los clientes y la segmentación del mercado, debe permitir, conforme a los análisis y verificaciones efectuadas por el gestor del riesgo del operador, identificar si una operación es o no sospechosa y reportarla de forma oportuna y eficiente a la autoridad competente;
b) El gestor del riesgo procede a establecer si la operación objeto de análisis debe ser o no reportada como sospechosa;
c) Para efectos del reporte (ROS), no se requiere que los operadores tengan certeza de que se trata de una actividad ilícita;
d) En caso que el operador considere que no se trata de una operación sospechosa, sino de la Comisión de un delito, deberá ponerlo en conocimiento de las autoridades competentes.
6.3 Instrumentos: Para que los procedimientos y mecanismos adoptados por las empresas operen de manera efectiva, eficiente y oportuna, los operadores deben implementar al menos los siguientes instrumentos:
a) Señales de Alerta: Son aquellas situaciones que muestran los comportamientos atípicos de los clientes y usuarios, ayudan a identificar o detectar conductas, actividades, métodos o situaciones que pueden encubrir operaciones de LA/FT. Estas señales no serán un motivo para calificar a una persona como ejecutora de una acción ilícita, sino que serán una alerta para proceder a verificar, con mayores elementos e indagaciones, las explicaciones acerca de las operaciones;
b) Segmentación de los factores de riesgo: La segmentación de factores de riesgo es un proceso permanente que permite definir grupos de acuerdo con las características particulares de cada uno de ellos, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos.
A partir de la segmentación de los factores se definen perfiles de riesgo que permiten establecer las características que la empresa reconoce como normales dentro de cada segmento, con el fin de identificar aquellas variables que se salen de la normalidad y detectar de esta manera las operaciones y comportamientos inusuales.
Sin perjuicio de cualquier otro criterio que establezca la empresa, se debe segmentar atendiendo los siguientes criterios:
i) Clientes y usuarios: Tipo (PN o PJ), actividad económica, volumen o frecuencia de sus operaciones;
ii) Productos o servicios: naturaleza, características;
iii) Canales de distribución: naturaleza, características;
iv) Jurisdicciones: ubicación, características, naturaleza de las transacciones.
c) Seguimiento y consolidación de operaciones. Los operadores deberán llevar a cabo actividades que le permitan monitorear permanentemente las operaciones realizadas por los clientes y usuarios. Así mismo, y con el fin de mantener un conocimiento sobre todas las operaciones transadas por un mismo cliente durante un periodo de tiempo establecido, de modo que puedan observarse patrones de comportamiento inusual, la empresa deberá consolidar por lo menos en forma mensual las operaciones por cada uno de los factores de riesgo.
6.4. Documentación: El Gestor de riesgo es el responsable de la documentación del Sarlaft, para lo cual debe dar cumplimiento a los principios de integridad, oportunidad, confiabilidad y disponibilidad de la información.
La documentación relacionada con el Sarlaft deberá cumplir con los siguientes requisitos:
a) Contar con un respaldo físico y/o magnético;
b) Contar con requisitos de seguridad, de forma tal que se permita su consulta, solo por funcionarios autorizados;
La documentación deberá comprender por lo menos:
a) Manual de procedimientos del Sarlaft;
b) Los documentos y registros que evidencien la operación efectiva del Sarlaft;
c) Los informes que la junta directiva, Consejo de Administración u órgano equivalente, el representante legal, el Gestor de Riesgos y los órganos de control, deben elaborar en los términos de la presente resolución.
6.5. Estructura administrativa: Los Operadores de Servicios Postales de Pago deberán definir claramente en su estructura organizacional los niveles de responsabilidad de las personas o funcionarios encargados de las funciones relacionadas con la administración del riesgo LA/FT, precisando su alcance y límites.
En todo caso, deberán dar cumplimiento a las disposiciones que a continuación se establecen:
6.5.1. Junta Directiva, Consejo de Administración u Órgano equivalente:
a) Establecer las políticas en materia de LA/FT;
b) Aprobar el Sarlaft que implementará el operador, lo cual debe contar en la respectiva acta de Junta Directiva, Consejo de Administración u Órgano equivalente;
c) Aprobar los lineamientos que en materia de ética deben observarse en relación con el Sarlaft;
d) Pronunciarse respecto de cada uno de los aspectos que contengan los informes que elabore el Representante Legal o el Gestor de Riesgos, respecto de la administración del riesgo de Lavado de Activos y la Financiación del Terrorismo, así como sobre los informes que elaboren los órganos de control;
e) Proveer los recursos necesarios para la adecuada administración del riesgo;
f) Designar al Gestor de Riesgos;
g) Aprobar el procedimiento para la vinculación de los canales (Colaboradores empresariales) en los que se apoye el operador para la prestación del servicio postal de pago;
h) Realizar el seguimiento a los informes presentados por el Representante Legal sobre el cumplimiento de las obligaciones respecto del Sarlaft por parte de los Colaboradores Empresariales;
i) Verificar el correcto funcionamiento de los Colaboradores Empresariales en términos de riesgo de lavado de activos y financiación del terrorismo, de acuerdo con el informe mensual que presente el representante legal a su consideración.
6.5.2 Representante legal:
Sin perjuicio de las funciones asignadas en otras disposiciones, el Representante legal del Operador de Servicios Postales de Pago tendrá, como mínimo las siguientes funciones:
a) Diseñar y someter a aprobación de la Junta Directiva, Consejo de Administración u órgano equivalente, los procedimientos para la administración del riesgo de LA/FT;
b) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva, el Consejo de Administración u órgano equivalente para la administración del riesgo de LA/FT y presentar los informes periódicos sobre el mismo;
c) Velar porque las etapas y elementos del Sarlaft cumplan, como mínimo, con las disposiciones señaladas en la presente resolución;
d) Velar porque se dé cumplimiento a los lineamientos establecidos en el código de ética del operador en materia de conflictos de interés que tengan relación con el riesgo de LA/FT;
e) Velar por que las bases de datos y la plataforma tecnológica cumplan con los estándares mínimos establecidos en la presente resolución;
f) Efectuar las gestiones necesarias para proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el Sarlaft;
g) Presentar a la Junta Directiva los informes relacionados con el cumplimiento de las obligaciones respecto del Sarlaft por parte de los Colaboradores Empresariales.
6.5.3. Gestor del riesgo:
Los Operadores de Servicios Postales de Pago deberán asignar dentro de su estructura organizacional la función de gestión de riesgos a una persona (gestor del riesgo) que tenga y acredite conocimiento en administración de riesgos, y que no dependa de los órganos de control internos. Esta persona podrá tener a su cargo la gestión de otros riesgos igualmente, pero para efectos del Sarlaft deberá demostrar que ha tenido capacitación específica en prevención y control al lavado de activos y financiamiento del terrorismo.
Sin perjuicio de las funciones y responsabilidades adicionales que cada operador asigne al gestor del riesgo, dicho funcionario tendrá, al menos, las siguientes funciones y responsabilidades con respecto al Sarlaft:
a) Definir los instrumentos, metodologías y procedimientos tendientes a que el operador administre efectivamente el riesgo de LA/FT, en concordancia con los lineamientos, etapas y elementos mínimos previstos en esta resolución;
b) Desarrollar e implementar el sistema de reportes del riesgo de LA/FT;
c) Realizar el seguimiento permanente de los instrumentos, metodologías y procedimientos relacionados con el Sarlaft y proponer sus correspondientes actualizaciones y modificaciones;
d) Desarrollar los programas de capacitación relacionados con el Sarlaft;
e) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad;
f) Reportar periódicamente al Representante Legal y a la Junta Directiva, Consejo de Administración u órgano equivalente, la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos de la presente resolución.
El Operador Postal de Pago podrá contratar con terceros expertos en administración de riesgos todas las funciones operativas descritas en este numeral con el fin de apoyar la gestión del Gestor de Riesgos, sin que lo anterior implique una delegación de responsabilidad en la gestión del riesgo de LA/FT de parte del Operador Postal de Pago y el funcionario responsable de la misma.
6.5.4 Órganos de control interno:
Los Operadores de Servicios Postales de Pago deben establecer instancias responsables de efectuar una evaluación de la forma como se está administrando el riesgo de LA/FT. Dichas instancias informarán, de forma oportuna, los resultados a los órganos de control.
En ejercicio de sus funciones, la Revisoría Fiscal, la Auditoría Interna o quien ejerza las funciones de control interno, serán responsables de evaluar periódicamente el cumplimiento de todas y cada una de las etapas de la administración del riesgo de LA/FT con el fin de determinar las deficiencias y el origen de las mismas.
Así mismo, los órganos de control deberán elaborar un informe con una periodicidad no superior a seis meses dirigido a la Junta Directiva, Consejo de Administración u órgano equivalente, en el que se reporten las conclusiones obtenidas acerca del proceso de evaluación del cumplimiento de las disposiciones establecidas para la administración de este riesgo.
6.6 Requerimientos de Plataforma Tecnológica de Información: Sin perjuicio de los requisitos mínimos de tipo operativo que defina el Ministerio de Tecnologías de la Información y las Comunicaciones en ejercicio de sus funciones reglamentarias, los Operadores de Servicios Postales de Pago deberán contar con aplicaciones y desarrollos tecnológicos que permitan, al menos, las siguientes funciones mínimas:
a) Consulta de listas, según los requerimientos de cada operador y la legislación que le sea aplicable;
b) Consolidación electrónica de operaciones;
c) Reporte de operaciones inusuales y sospechosas;
d) Señales de alerta automáticas;
e) Seguimiento automático sobre las operaciones de servicio postal de pago mediante el reporte de informes producto de consultas efectuadas con base en criterios definidos. Ejemplo: Acumulaciones por canal, operaciones por monto, operaciones por zona geográfica o región, etc.;
f) El desarrollo tecnológico debe facilitar la debida identificación de los clientes y usuarios y la actualización de sus datos;
g) Adicionalmente, los operadores, para soportar el proceso de administración del riesgo de LA/FT, deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño, que cumpla como mínimo con las siguientes características:
h) Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo;
i) Consolidar las operaciones de los distintos factores de riesgo de acuerdo con los criterios establecidos por la empresa.
6.7 Divulgación de la información y reportes externos e internos: Los Operadores de Servicios Postales de Pago deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes.
Los operadores deben incluir, al menos, los siguientes reportes en implementación del Sarlaft:
6.7.1 Reportes internos:
Los reportes internos son de uso exclusivo de la empresa y corresponden a los reportes de las operaciones inusuales y/o sospechosas, los cuales deben cumplir las características establecidas por cada empresa.
6.7.2 Reportes externos:
Los reportes externos deben ser enviados a la UIAF y/o a las demás autoridades competentes.
a) Reporte de operaciones sospechosas (ROS): Corresponde a los operadores reportar a la UIAF en forma inmediata las operaciones que se determinen como sospechosas, de acuerdo con los parámetros establecidos por la Unidad de Información y Análisis Financiero (UIAF);
b) Reporte de transacciones en efectivo: Corresponde a los operadores reportar a la UIAF todas las transacciones que en desarrollo del giro ordinario de sus negocios realice y que involucren pagos mediante entrega o recibo de dinero en efectivo de billetes y monedas de denominación nacional, según los parámetros establecidos por la Unidad de Información y Análisis Financiero (UIAF).
6.8 Capacitación. Los Operadores de Servicios Postales de Pago deben diseñar, programar y coordinar planes de capacitación sobre el Sarlaft dirigidos a todas las áreas y funcionarios de la empresa. Los objetivos son:
a) Establecer un programa de capacitación sobre el Sistema de Administración del Riesgo de LA/FT, el cual cree conciencia e informe sobre las obligaciones y responsabilidades que se derivan del Sistema para los empleados del operador y de sus colaboradores empresariales, y dar herramientas eficaces para su cumplimiento;
b) La comunicación interna y externa eficaz es importante para asegurar que los responsables de implementar la gestión de riesgo de LA/FT comprenden su responsabilidad;
c) La información se necesita en todos los niveles de la organización para identificar, evaluar y responder a los riesgos de LA/FT;
d) El principal instrumento de comunicación del Sistema de Administración del Riesgo de LA/FT al interior de la empresa es el plan de capacitación, por lo cual, este es un elemento fundamental dentro del Sarlaft.
PARÁGRAFO ÚNICO: Como parte de los programas de capacitación a que hace referencia el presente artículo, el Gestor de Riesgo deberá determinar los funcionarios del Operador de Servicios Postales de Pago que deberán tomar obligatoriamente el curso de capacitación específico de Giros Postales de Pago ofrecido a través de la página de internet de la Unidad de Información y Análisis Financiero (UIAF), en la medida en que este servicio se encuentre disponible al público.
ARTÍCULO 7o. PROCEDIMIENTOS PARA LA SANCIÓN DE EVENTUALES INCUMPLIMIENTOS DEL SARLAFT. <Resolución derogada por el artículo 9 de la Resolución 2564 de 2016> Los operadores deben exigir a sus empleados y a los de los terceros en los cuales se apoyen, llevar a cabo los controles, mecanismos, instrumentos y procedimientos contenidos en el Sarlaft para evitar ser utilizados directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos para ser utilizados por organizaciones al margen de la ley.
Los operadores deberán contemplar las sanciones que se derivan para sus empleados del incumplimiento del Sarlaft. Así mismo, deberán exigirle a los canales en los cuales se apoyen para la prestación del servicio postal de pago, que contemplen en sus propios reglamentos internos, sanciones a sus empleados por el incumplimiento de los controles, mecanismos, instrumentos y procedimientos establecidos para mitigar el riesgo de LA/FT.
ARTÍCULO 8o. VIGENCIA Y DEROGATORIAS. <Resolución derogada por el artículo 9 de la Resolución 2564 de 2016> La presente resolución rige a partir de la fecha de su publicación y deroga la Resolución número 2705 de 2010.
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 12 de septiembre de 2013
El Ministro de Tecnologías de la Información y las Comunicaciones,
DIEGO MOLANO VEGA.