MATRIZ DE RIESGOS POR EMPRESAS A IMPLEMENTAR SAGRILAFT – PTEE
OFICIO SUPERSOCIEDADES 220-169115 DEL
04 DE NOVIEMBRE DE 2021
MATRIZ DE RIESGOS POR EMPRESAS A IMPLEMENTAR SAGRILAFT
(….)
“¿Puede la empresa obligada incluir en una misma matriz de riesgo los riesgos del SAGRILAFT y PTEE o requieren matrices independientes?”
Previamente a responder sus inquietudes, debe señalarse que, en atención al
derecho de petición en la modalidad de consulta, la Superintendencia de
Sociedades con fundamento en los artículos 14 y 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, emite conceptos de carácter general y abstracto sobre las materias a su cargo, y sus respuestas a las consultas no son vinculantes ni comprometen la responsabilidad de la entidad.
También es procedente informarle, para efecto del conteo de términos en la
atención de su consulta, que mediante el artículo 5º de la parte resolutiva del
Decreto Legislativo 491 del 28 de marzo de 2020, expedido con ocasión de la
emergencia sanitaria derivada del Coronavirus COVID-19 y mientras ésta se
mantiene, el Gobierno Nacional amplió los términos para que entidades como esta Superintendencia atiendan peticiones de consulta en treinta y cinco (35) días.
Con el alcance indicado, y para dar respuesta a la inquietud planteada, éste
Despacho procede a efectuar las siguientes consideraciones de índole general:
Con relación al SAGRILAFT, en lo pertinente a la identificación del riesgo, el
Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, establece lo siguiente:
“5.2.1. Identificación del Riesgo LA/FT/FPADM:
El SAGRILAFT debe permitirle a las Empresas Obligadas identificar los Factores de Riesgo LA/FT/FPADM, así como los riesgos asociados con éste.
Para identificar el Riesgo LA/FT/FPADM, las Empresas Obligadas deben, como mínimo:
a. Clasificar los Factores de Riesgo LA/FT/FPADM de conformidad con la actividad económica de la Empresa Obligada y su materialidad.
b. Establecer, una vez sean identificados, individualizados, segmentados y clasificados los Factores de Riesgo LA/FT/FPADM, las metodologías para identificar el riesgo específico de LA/FT/FPADM que puede llegar a enfrentar la Empresa Obligada, así como otros posibles riesgos asociados. Con base en esa clasificación y segmentación, se deben señalar, identificar e individualizar los riesgos.
c. Establecer, una vez clasificados y segmentados los Factores de Riesgo LA/FT/FPADM, las condiciones de tiempo, modo y lugar, así como la relevancia y la prioridad con que se deben ejecutar las medidas de Debida Diligencia.
d. Disponer e implementar los mecanismos y medidas que le permitan un adecuado conocimiento, identificación e individualización de los Factores de Riesgo LA/FT/FPADM que le resultan aplicables.
5.2.2. Medición o evaluación del Riesgo LA/FT/FPADM:
Concluida la etapa de identificación, el SAGRILAFT debe permitirle a las Empresas Obligadas medir la posibilidad o probabilidad de ocurrencia del Riesgo Inherente frente a cada uno de los Factores de Riesgo LA/FT/FPADM, así como el impacto en caso de materializarse mediante los riesgos asociados.
Estas mediciones podrán ser de carácter cualitativo o cuantitativo.
Como resultado de esta etapa, las Empresas Obligadas deben estar en capacidad de establecer el perfil de Riesgo Inherente de la Empresa, de las mediciones agregadas en cada Factor de Riesgo LA/FT/FPADM y en sus riesgos asociados.
Dentro de la medición o evaluación del Riesgo LA/FT/FPADM, las Empresas obligadas deben, como mínimo:
a. Establecer las metodologías para la medición o evaluación del Riesgo LA/FT/FPADM, con el fin de determinar la posibilidad o probabilidad de su ocurrencia y el impacto en caso de materializarse.
b. Incluir mediciones o evaluaciones del Riesgo LA/FT/FPADM de manera
individual y consolidadas frente a cada uno de los Factores de Riesgo LA/FT/FPADM y los riesgos específicos que fueron identificados.
c. Evaluar el Riesgo LA/FT/FPADM cuando incursione en nuevos mercados u ofrezca nuevos Productos.
5.2.3. Control del riesgo:
El SAGRILAFT debe permitirle a las Empresas Obligadas tomar las Medidas
Razonables para el control del Riesgo Inherente al que se vean expuestas.
Como resultado de la aplicación de los controles respectivos, las Empresas Obligada deben estar en capacidad de establecer su perfil de Riesgo Residual.
El control debe traducirse en una disminución de la posibilidad o probabilidad de acaecimiento del Riesgo LA/FT/FPADM o del impacto en caso de materializarse.
Para controlar el Riesgo LA/FT/FPADM, las Empresas Obligadas deben adoptar, entre otras medidas, el establecimiento de metodologías y la creación de una Matriz de Riesgo LA/FT/FPADM para definir los mecanismos de control más adecuados y su aplicación a los Factores de Riesgo LA/FT/FPADM identificados.
Para controlar el Riesgo LA/FT/FPADM, la Empresa Obligada debe, como mínimo:
a. Establecer las metodologías para definir las Medidas Razonables de control del Riesgo LA/FT/FPADM.
b. Aplicar las metodologías a cada uno de los Factores de Riesgo LA/FT/FPADM.
c. Establecer controles y herramientas para la detección de operaciones Inusuales y Operaciones Sospechosas, con base en los Riesgos LA/FT/FPADM identificados en la clasificación, segmentación e individualización de los Factores de Riesgo LA/FT/FPADM y conforme a la Matriz de Riesgo LA/FT/FPADM, teniendo en cuenta que a mayor riesgo mayor control.
5.2.4. Monitoreo del riesgo:
El SAGRILAFT debe permitirle a las Empresas Obligadas ejercer vigilancia respecto del perfil de riesgo y, en general, estar en condiciones de detectar Operaciones Inusuales y Operaciones Sospechosas.
Para monitorear el Riesgo LA/FT/FPADM, las Empresas Obligadas deben, como mínimo:
a. Realizar el seguimiento periódico y comparativo del Riesgo Inherente y Riesgo Residual de cada Factor de Riesgo LA/FT/FPADM y de los riesgos asociados.
b. Desarrollar un proceso de seguimiento continuo y efectivo que facilite la rápida detección y corrección de las deficiencias del SAGRILAFT. Dicha verificación y revisión debe tener una periodicidad acorde con el perfil de Riesgo Residual de la Empresa Obligada.
c. Asegurar que los controles sean integrales y se refieran a todos los riesgos y que funcionen en forma oportuna, efectiva y eficiente.
d. Asegurar que los Riesgos Residuales se encuentren en los niveles de aceptación establecidos por la Empresa Obligada.” (Subrayado fuera del texto)
Ahora bien, teniendo claro que el SAFRILAFT se centra en los riesgos de lavado de activos, financiación del terrorismo y financiamiento de la proliferación de armas de destrucción masiva, es preciso analizar cuáles son los riesgos en los que PTEE se concentra.
Para tales efectos, es preciso remitirse a la Circular Externa 100-000011 del 2016, 1 la cual establece lo siguiente:
“1. Prenotandos
(…)
En esta guía de prevención del Soborno Transnacional (la “Guía”), se les propone a las personas jurídicas que deban ejecutar Programas de Ética Empresarial, la adopción de ocho principios, que se explicarán más adelante, cuya efectividad les permitirá estar en una mejor posición frente al riesgo del Soborno Transnacional y de otras prácticas corruptas.
(…)” (Subraya fuera del texto)
1 A partir del 1 de enero de 2022 entra en vigencia la Circula Externa Circular 100-000011 de 2021 que deroga la Circular Externa 100-000011 del 2016.
Con base en lo anterior, es posible afirmar que los riesgos en los cuales se centra el SAGRILAFT son distintos de los del PTEE, tal y como se expone en el siguiente cuadro:
SAGRILAFT PPTEE
Lavado de Activo Corrupción
Financiamiento del Terrorismo Soborno Transnacional
Financiamiento de la Proliferación
de Armas de Destrucción Masiva
En consecuencia, si bien los programas diseñados por las empresas para prevenir estos riesgos pueden ser similares en cuanto a su estructura para identificar y prevenir conductas indeseables, el hecho de que se fundamenten en diferentes riesgos, hace que sus controles y procedimientos deben guardar armonía con la naturaleza y las condiciones de cada uno de los riesgos.
Lo anterior, no obsta para que en una misma matriz de riesgos se puedan incluir los concernientes al SAGRILAFT y al PTEE, siempre que se dé cabal cumplimiento a la normatividad vigente para cada uno de ellos y se individualicen, separen y diferencien los riesgos que pertenecen a cada uno de los sistemas.
Con base en los diferentes objetivos de cada sistema, se deben identificar los riesgos a los cuales pueden estar asociados, ya que, por ejemplo, mientas en el SAGRILAFT se analizan, entre otros, de riegos de contagio 2, legales 3, operativos 4,reputacionales 5 , inherentes y residuales 7, el PTEE considera riesgos relacionados con el país, el sector económico o de terceros, entre otros; cada uno desde la perspectiva del riego que pretende mitigar.
Por último, se le informa al peticionario que la Superintendencia de Sociedades ha diseñado y preparado cursos sobre soborno transnacional 8, como también de lucha contra el lavado de activos, financiamiento del terrorismo y financiamiento de la proliferación de armas destrucción masiva 9, los cuales son de gran ayuda e información para poner en marcha el PTEE y el SAGRILAFT.
MATRIZ DE RIESGOS POR EMPRESAS A IMPLEMENTAR SAGRILAFT – PTEE
2 Riesgo de Contagio: Es la posibilidad de pérdida que una Empresa puede sufrir, directa o indirectamente, por una acción o experiencia de una Contraparte.
3 Riesgo Legal: es la posibilidad de pérdida en que incurre una Empresa al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. Surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.
4 Riesgo Operativo: es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el Riesgo Legal y el Riesgo Reputacional, asociados a tales factores.
5 Riesgo Reputacional: es la posibilidad de pérdida en que incurre una Empresa por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la organización y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
6 Riesgo Inherente: es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
7 Riesgo Residual: es el nivel resultante del riesgo después de aplicar los controles.
8 https://www.supersociedades.gov.co/delegatura_aec/Paginas/Curso-virtual-sobre-Soborno-Transnacional.aspx
9 https://www.supersociedades.gov.co/delegatura_aec/Paginas/index-LAFT.aspx
MATRIZ DE RIESGOS POR EMPRESAS A IMPLEMENTAR SAGRILAFT – PTEE
