Uno de los componentes principales de los sistemas de administración de riesgos son sus factores de riesgo y su segmentación. De allí que sea de gran importancia comprender cuáles son los factores de riesgo y bajo qué criterios se segmentan. Estas son preguntas que necesariamente deben hacerse al diseñar un SARLAFT o un SAGRILAFT.
1. Los criterios de segmentación
En su versión inicial el SARLAFT de la Superintendencia Financiera de Colombia (C.E. 22 del 19/04/07) contemplaba los siguientes criterios de segmentación para los factores de riesgo:
· Clientes: actividad económica, volumen o frecuencia de sus transacciones, monto de ingresos y egresos, y patrimonio.
· Productos: naturaleza, características, nicho de mercado o destinatarios.
· Canales de distribución: naturaleza y características.
· Jurisdicción: ubicación, características y naturaleza de las transacciones.
En el SARLAFT 4.0 (C. E. 27 del 02/09/20) estos criterios de segmentación se han suprimido y en su lugar se precisa que la segmentación de los factores de riesgo debe hacerse “de acuerdo con las características particulares de cada uno” teniendo en cuenta “la información recolectada durante la aplicación de los procedimientos de conocimiento del cliente”.
Adicionalmente, en el SARLAFT 4.0 se prevén procedimientos para el conocimiento de clientes “incluidos en las categorías de mayor riesgo”, aplicables también respecto de los empleados, proveedores y administradores de mayor riesgo, al tiempo que se advierte que es necesario establecer procedimientos especiales respecto de países de mayor riesgo.
Por su parte, el SAGRILAFT[1] de la Superintendencia de Sociedades (C. E. 100-000016 del 24/12/20) con respecto a la segmentación de los factores de riesgo, señala que es necesario establecer controles con base en los riesgos identificados, “teniendo en cuenta que a mayor riesgo mayor control”.
Como ya se ha mencionado, en la actualidad no existe una norma expresa que señale los criterios de segmentación; debido a lo anterior, la segmentación de los factores de riesgo, tanto en el SARLAFT 4.0 como en el SAGRILAFT, debe hacerse teniendo en cuenta un exclusivo criterio común a todos ellos: el nivel de riesgo de los factores de riesgo. Esto, teniendo en cuenta el reseñado axioma fundamental de la administración de riesgos: “a mayor riesgo mayor control”.
Este criterio de segmentación resulta especialmente útil, en cuanto debe permitir identificar aquellos componentes de los factores que deparan mayor riesgo, conduce a asignar mayores controles a esos factores en concreto y por ende contribuye a la efectividad de los sistemas de administración de riesgos.
2. La ampliación de los factores de riesgo
Valga mencionar que en el SARLAFT 4.0, conforme se ha señalado, como factores de riesgo se identifican únicamente los siguientes: clientes y usuarios, productos, canales de distribución y jurisdicciones. No obstante, en su definición el SARLAFT 4.0 obliga a las entidades a protegerse “de ser utilizadas a través de sus accionistas, administradores, empleados, proveedores y vinculados[2], como instrumento para el lavado de activos”, con lo cual tácitamente, los incorpora a la categoría de factores de riesgo.
Por su parte, el SAGRILAFT de la Superintendencia de Sociedades en su redacción que no es clara, se refiere a los factores de riesgo en los siguientes términos: “La empresa obligada deberá identificarlos teniendo en cuenta a las contrapartes, los productos, las actividades[3], los canales y las jurisdicciones, entre otros.” Además, incluye dentro de las contrapartes a los socios, empleados, clientes, contratistas y proveedores.
Conclusión
[1] En el SAGRLAFT de la Superintendencia de Sociedades (C. E. No. 100-000005 del 22/11/17) el concepto de factores de riesgo no era preciso y no se hacía referencia a su segmentación. [2] Definido en la Circular como aquel “…relacionado o asociado…que tienen posibilidad de ejercer influencia sobre la entidad.”. En la práctica son los mismos socios, o sus beneficiarios finales. La referencia que hace la norma a los beneficiarios finales como eventuales gestores del lavado es equivocada, en cuanto no son un nuevo sujeto, sino que estos deben identificarse respecto de todas las contrapartes.
[3] A falta de definición expresa, deben ser entendidas como aquellas actividades principales del negocio de una empresa que generan sus ingresos ordinarios. Actividades propias en el contexto interno y de las contrapartes, en el contexto externo.