MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SARLAFT- BANCOLOMBIA S.

ÍNDICE DE CONTENIDO

CAPITULO I ................................................................................................................ 3
1. ASPECTOS GENERALES ............................................................................................................................. 3
1.1 DEFINICIÓN DEL RIESGO DEL LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL
TERRORISMO ....................................................................................................................................................... 3
1.2 COMPONENTES .................................................................................................................................... 3
1.3 ETAPAS ................................................................................................................................................... 4
1.4 OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO DEL LA/FT .............................................. 4
1.4.1 GENERAL ........................................................................................................................................... 4
1.4.2 ESPECÍFICOS ................................................................................................................................... 5
1.5 MARCO LEGAL ...................................................................................................................................... 5
1.6 MARCO CONCEPTUAL ........................................................................................................................ 6

CAPITULO III .............................................................................................................. 8

3. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO DEL LAVADO DE ACTIVOS Y
FINANCIACIÓN DEL TERRORISMO ..................................................................................................................... 8
3.1 GENERALES........................................................................................................................................... 8
3.2 PARTICULARES .................................................................................................................................... 9
3.2.1 METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO ....................................................... 9
3.2.1.1 PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO ............................................................ 9
3.2.1.2 IDENTIFICACIÓN DE LOS RIESGOS ............................................................................................ 9
3.2.1.3 CALIFICACIÓN DE LOS RIESGOS................................................................................................. 9
3.2.1.4 CONTROL DE LOS RIESGOS ....................................................................................................... 10
3.2.1.5 MONITOREO DE LOS RIESGOS .................................................................................................. 10

2
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SARLAFT- BANCOLOMBIA S.A

CAPITULO I

1. ASPECTOS GENERALES

1.1 DEFINICIÓN DEL RIESGO DEL LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN

DEL TERRORISMO

Se entiende por riesgo del Lavado de Activos y de la Financiación del Terrorismo (LA/FT), la
posibilidad de pérdida o daño que pueda sufrir Bancolombia al ser utilizado, directamente o a
través de sus operaciones, como instrumento para el lavado de activos y/o canalización de
recursos destinados a actividades terroristas y cuando se pretenda el ocultamiento de activos
provenientes de dichas actividades.

El riesgo del LA/FT al que se expone Bancolombia cuando es utilizado para éstas actividades se
materializa a través de los riesgos asociados, a saber: el legal, reputacional, operativo y el de
contagio, con el consecuente efecto económico negativo que ello puede representar para su
estabilidad financiera.

1.2 COMPONENTES

El análisis del riesgo del LA/FT, comprende los siguientes aspectos básicos:

Los factores de riesgo son los agentes generadores del riesgo del LA/FT. Para efectos del
Sistema de Administración de Riesgo de Lavado de Activos y de la Financiación del Terrorismo
(SARLAFT), Bancolombia tendrá en cuenta como mínimo los siguientes factores:
Clientes/usuarios, Productos, Canales de Distribución y Jurisdicciones.

Los riesgos asociados al LA/FT, son los riesgos a través de los cuales se materializa el riesgo del
LA/FT, así:

− El riesgo reputacional es la posibilidad de pérdida en que se incurre por desprestigio, mala

imagen, publicidad negativa, veraz o no, respecto de la institución y sus prácticas de negocios,
que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
− El riesgo legal es la posibilidad de pérdida en que se incurre el Banco al ser sancionada u
obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y
obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los
contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos
involuntarios que afectan la formalización o ejecución de contratos o transacciones.
− El riesgo operativo es la posibilidad de incurrir en pérdidas por deficiencias, fallas o
inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura o por la

3
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SARLAFT- BANCOLOMBIA S.A

ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y el de

reputación, asociados a tales factores.
− El riesgo de contagio es la posibilidad de pérdida que una entidad puede sufrir, directa o
indirectamente por una acción o experiencia de un vinculado. El relacionado o asociado incluye
personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la entidad.

Una categoría de riesgo del LA/FT, puede ser ocasionado por varias causas o factores de riesgo y
a su vez puede originar varios tipos de pérdidas, ya sean económicas o de imagen.

1.3 ETAPAS

El SARLAFT comprende como mínimo las siguientes etapas: Identificación, Medición o

Evaluación, Control y Monitoreo.

IDENTIFICACIÓ
IDENTIFICACIÓN

MONITOREO MEDICIÓ
MEDICIÓN O
EVALUACIÓ
EVALUACIÓN

CONTROL

− Identificación: Consiste en identificar el riesgo LA/FT inherente a los factores de riesgo. La

identificación del riesgo LA/FT se debe realizar previamente al lanzamiento de cualquier
producto y/o la modificación de sus características, la incursión en un nuevo mercado, la
apertura de operaciones en nuevas jurisdicciones y el lanzamiento o modificación de los
canales de distribución.
− Medición o evaluación: En esta se establece la criticidad de los riesgos identificados,
determinada por el impacto (pérdida económica, de imagen, etc.) y la frecuencia (posibilidad de
ocurrencia del riesgo en un período de tiempo determinado), asociados al evento de riesgo.
Posteriormente y luego de analizar la efectividad de las acciones de mitigación, se obtiene el
riesgo residual.
− Control: Se debe contar con políticas, procesos, procedimientos, herramientas, metodologías y
códigos para controlar y mitigar el riesgo del LA/FT.
− Monitoreo: Consiste en implementar un proceso para monitorear regularmente los perfiles de
riesgo del LA/FT y su exposición material a pérdidas, basado en la definición de indicadores de
riesgo que faciliten la gestión proactiva del mismo.

1.4 OBJETIVOS DE LA ADMINISTRACIÓN DEL RIESGO DEL LA/FT

1.4.1 GENERAL

Facilitar el cumplimiento de la misión y objetivos de Bancolombia, a través del Sistema de

Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo.

4
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SARLAFT- BANCOLOMBIA S.A

1.4.2 ESPECÍFICOS

− Generar una visión armónica acerca de la administración y evaluación de riesgo del LA/FT, así
como del rol de las diferentes áreas de responsabilidad.
− Evitar que Bancolombia sea utilizado para dar apariencia de legalidad a activos provenientes
de actividades delictivas o para la canalización de recursos destinados a actividades terroristas.
− Incorporar los controles necesarios para mitigar el riesgo del LA/FT dentro de los diferentes
procesos y subprocesos que conforman la cadena de valor, en las metodologías, herramientas
y códigos.
− Involucrar y comprometer a todas las personas que laboran en Bancolombia, en la búsqueda
de acciones encaminadas a prevenir y administrar el riesgo del LA/FT.
− Asegurar el cumplimiento de normas, leyes, regulaciones y mejores prácticas en materia del
LA/FT.
− Definir los lineamientos para la identificación del riesgo del LA/FT en Bancolombia.
− Dar a conocer las atribuciones y los roles de las diferentes instancias frente a los riesgos del
LA/FT identificados.
− Dar a conocer las variables necesarias en la implementación de los planes de acción
requeridos para mitigar el riesgo del LA/FT, a tener en cuenta en la toma de decisiones.

1.5 MARCO LEGAL

Debido a su carácter global, el lavado de activos y la financiación del terrorismo representan una
gran amenaza para la estabilidad del sistema financiero y la integridad de los mercados.

Consciente de ello, la Superintendencia Financiera de Colombia impartió, mediante la Circular

Externa No. 026 de junio 27 de 2008, que modifica la No. 061 de diciembre 14 de 2007 y la No.
022 de abril 19 del mismo año, las instrucciones a través de las cuales busca que las entidades
vigiladas implementen un Sistema de Administración del Riesgo de Lavado de Activos y de la
Financiación del Terrorismo, con el fin de prevenir que las mismas sean utilizadas para dar
apariencia de legalidad a activos provenientes de actividades delictivas o para la canalización de
recursos destinados a actividades terroristas.

Es por ello que en desarrollo de lo señalado en los artículos 102 y siguientes del Estatuto
Orgánico del Sistema Financiero, en consonancia con el artículo 22 de la Ley 964 de 2005 y
demás normas complementarias, la Superintendencia Financiera de Colombia, mediante las
circulares antes mencionadas, establece los criterios y parámetros mínimos que las entidades
vigiladas deben atender en el diseño, implementación y funcionamiento del SARLAFT.

Es importante resaltar que el SARLAFT se compone de dos fases: la primera, que corresponde a
la prevención del riesgo y tiene como objetivo prevenir que se introduzcan al sistema financiero
recursos provenientes de actividades relacionadas con el lavado de activos y/o de la financiación
del terrorismo; la segunda, que corresponde al control y tiene como propósito detectar y reportar
las operaciones que se pretendan realizar o se hayan realizado con la intención de dar apariencia
de legalidad a operaciones vinculadas al LA/FT.

El SARLAFT debe abarcar todas las actividades que realiza la entidad en desarrollo de su objeto
social principal y deberá prever además, procedimientos y metodologías que las protejan de ser
utilizadas en forma directa, a través de sus accionistas, administradores y vinculados, como
instrumento para el lavado de activos y/o canalización de recursos destinados a actividades
terroristas y al ocultamiento de activos provenientes de dichas actividades.

5
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SARLAFT- BANCOLOMBIA S.A

También es importante destacar que la administración del riesgo del LA/FT tiene una naturaleza
diferente a la de los procesos de administración de los riesgos típicamente financieros (crédito,
técnicos de seguros, mercado, liquidez, etc.), pues mientras los mecanismos para la
administración del riesgo del LA/FT se dirigen a prevenirlo, detectarlo y reportarlo (oportuna y
eficazmente), los mecanismos para la administración de los riesgos típicamente financieros se
dirigen a asumirlos íntegra o parcialmente en función del perfil de riesgo de la entidad y la relación
rentabilidad / riesgo.

Es deber de la entidad revisar periódicamente las etapas y elementos del SARLAFT a fin de
realizar los ajustes que considere necesarios para su efectivo, eficiente y oportuno
funcionamiento.

1.6 MARCO CONCEPTUAL

La administración del riesgo es un proceso implícito en todos los negocios y especialmente en el

negocio financiero. Es más, a partir de los años 90 se han presentado al respecto cambios
significativos en el sistema financiero mundial, que han incidido notablemente en las operaciones
financieras y demandado mayores exigencias a las instituciones del sector, con el fin de evitar
fallas y mejorar su manera de operar en este nuevo ambiente.

Adicionalmente, aspectos como la globalización, el desarrollo de actividades financieras diversas y

complejas, productos y negocios financieros nuevos y más sofisticados, el uso de tecnología
avanzada, el auge del comercio electrónico, el aumento en el número de fusiones y adquisiciones,
el uso del outsourcing, las exigencias de las agencias calificadoras, las nuevas regulaciones y la
acción delictiva, han obligado a las empresas que desarrollan esta actividad a operar bajo
estándares que exigen transparencia, solidez, seguridad y uniformidad en el desarrollo de sus
operaciones, convirtiendo a la administración del riesgo en una herramienta para la supervivencia.

El mayor riesgo que puede tener cualquier negocio, es no entender los riesgos a los que está
expuesto. Administrar adecuadamente los riesgos, le permite mejorar su proceso de toma de
decisiones y su relación riesgo-retorno, incrementando así el valor del negocio.

La identificación, medición y toma de decisiones frente a la administración del riesgo es

responsabilidad de todas las personas que laboran en la entidad, y requiere el establecimiento de
unas políticas, procesos, herramientas y metodologías acordes con su apetito de riesgo, su
tamaño, infraestructura y mejores prácticas nacionales e internacionales.

En el SARLAFT implementado se ha considerado los siguientes enfoques para la administración

del riesgo:

− Enfoque Bottom Up: Tiene como objetivo identificar, evaluar y cuantificar los riesgos de cada
una de las operaciones del negocio, a partir de la identificación de las deficiencias en los
controles asociados a los procesos de cada área de la organización. Este enfoque y sus
herramientas se constituyen en el principal insumo para órganos de control y áreas que
administran riesgo.
− Enfoque Top Down: Permite identificar, evaluar y cuantificar los riesgos que reflejan la
exposición global de la organización al riesgo de un proceso o de un negocio. Apoya la toma
de decisiones financieras y de seguros con relación a los riesgos asumidos y permite el cálculo
de los requerimientos de capital. De igual forma permite identificar aquellas áreas en las cuales
es necesario enfocar esfuerzos y recursos adicionales.

6
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SARLAFT- BANCOLOMBIA S.A

Por último, relacionamos en el Anexo No. 01 las definiciones de algunos conceptos para facilitar la
comprensión del Manual, así como para que en Bancolombia se maneje un lenguaje común sobre
los mismos.

7
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SARLAFT- BANCOLOMBIA S.A

CAPITULO III

3. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO DEL LAVADO DE

ACTIVOS Y FINANCIACIÓN DEL TERRORISMO

3.1 GENERALES

Estas políticas, basadas en un análisis completo de los riesgos a mitigar, eliminar o evitar,
establecen los criterios que permiten a la entidad tomar las mejores decisiones frente al riesgo del
LA/FT y mantener informada a la Alta Dirección y a la Junta Directiva sobre la exposición y
administración de los mismos.

a. Bancolombia contará con un área que garantice la existencia de herramientas y metodologías

para administrar los diferentes riesgos a que está expuesta y que asegure que las
metodologías de Autoevaluación de riesgo, incorporan los riesgos y controles requeridos para
la mitigación del LA/FT.

b. Los riesgos, agentes, causas y controles requeridos para la mitigación del riesgo de LA/FT, se
incorporarán en las metodologías de riesgo operacional correspondientes.

c. Previo al lanzamiento de cualquier producto y/o la modificación de sus características, la

incursión en un nuevo mercado, la apertura de operaciones en nuevas jurisdicciones y el
lanzamiento o modificación de los canales de distribución, se realizará la Autoevaluación de
Riesgo Operacional correspondiente.

d. Las Autoevaluaciones de riesgo de los procesos deben realizarse mínimo una vez al año, y
sobre las mismas se harán talleres para su actualización.

e. En el diseño de nuevos procesos o modificación de los existentes se considerarán los

controles para la mitigación del riesgo de LA/FT, aprobados por la Junta Directiva.

f. Los riesgos residuales de LA/FT deben ser mitigados, mediante planes o proyectos integrados
a la estrategia de Bancolombia.

g. Los planes de acción de mitigación de los riesgos residuales de LA/FT serán implementados o
se someterán a aceptación, de acuerdo con la relación beneficio/costo. Para determinar la
relación beneficio/costo de la implementación, se deben remitir a la metodología de riesgo
operacional - “Relación Beneficio - Costo”. La decisión de aceptación del riesgo, siempre debe
ser sometida a la aprobación de la Administración de la entidad y la Junta Directiva o a través
de quien se delegue esta función.

h. Los planes de acción de mitigación tendrán un seguimiento hasta la finalización de su

implementación.

8
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SARLAFT- BANCOLOMBIA S.A

3.2 PARTICULARES

3.2.1 METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO

3.2.1.1 PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO

a. Como cualquier otro proceso, la administración del riesgo del LA/FT se planeará y programará
como parte del quehacer de Bancolombia.

b. La administración del riesgo del LA/FT es un proceso dinámico que se desarrolla a través del
tiempo, e incluye una serie de pasos definidos de manera precisa que deben ser aplicados en
Bancolombia, sus funcionarios, procesos y demás actividades.

c. La administración del riesgo del LA/FT hace parte del control interno de la entidad, el cual se
ha fundamentado en el Modelo COSO.

d. Para valorar los riesgos de LA/FT en Bancolombia se emplearán métodos cualitativos.

e. La valoración del riesgo se hará bajo un enfoque estratégico, de procesos e integrado, ya que
se identifican los riesgos que pueden afectar los objetivos estratégicos de Bancolombia, así
cómo también, los que afectan los objetivos de los procesos y proyectos.

3.2.1.2 IDENTIFICACIÓN DE LOS RIESGOS

a. Para la identificación de los riesgos se adoptó el Método RISICAR.

b. Como resultado de la etapa de identificación del riesgo, la entidad identificará los factores de
riesgo y los riesgos asociados a los que se ve expuesta por los fenómenos del LA/FT.

c. Todos los atributos que se determinen para calificar a los diferentes factores de riesgo,
contarán con la fuente de información, que permita sustentar esta calificación.

d. La escala de calificación de los factores de riesgo, es la siguiente:

COMPONENTE IMPORTANCIA
MUY ALTO 5
ALTO 4
MEDIO 3
BAJO 2
MUY BAJO 1

3.2.1.3 CALIFICACIÓN DE LOS RIESGOS

a. Para la calificación del riesgo se adoptó el Método RISICAR, ya que se califica con las
variables, frecuencia e impacto.

b. Las descripciones para establecer la frecuencia e impacto de los riesgos en los diferentes
factores son: Muy Alta, Alta, Medio, Baja y Muy Baja.

9
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SARLAFT- BANCOLOMBIA S.A

c. El valor del impacto se estimará por la magnitud de la pérdida económica, que podría resultar
de una exposición real.

d. El resultado de la calificación de gravedad del Riesgo es: Tolerable, Moderado, Significativo,

Crítico y Severo.

e. En esta etapa se establecerán también las mediciones agregadas en cada factor de riesgo y
en sus riesgos asociados.

3.2.1.4 CONTROL DE LOS RIESGOS

a. Las medidas de control del riesgo del LA/FT, serán las mismas que se utilizan para el control
del riesgo operacional (ARO), exceptuando la de transferir y asumir el riesgo.

b. A partir de la calificación del riesgo se han determinado las siguientes medidas de tratamiento
del riesgo, a saber:

NIVEL DE RIESGO TRATAMIENTO

TOLERABLE Se precisan medidas adicionales de reducción.
MODERADO Se precisan medidas normales de reducción.
SIGNIFICATIVO Se precisan medidas sustanciales de reducción.
CRÌTICO Se debe eliminar, evitar, prevenir y/o proteger el riesgo.
SEVERO Se debe eliminar, evitar, prevenir y/o proteger el riesgo.

c. En esta etapa se tomarán las medidas conducentes a controlar el riesgo inherente, en razón
de los factores de riesgo y de los riesgos asociados.

d. Se establecerán los niveles de exposición en razón de la calificación dada a los factores de

riesgo, y se realizarán los reportes de operaciones sospechosas que sean del caso a la Unidad
Administrativa Especial de Información y Análisis Financiero – UIAF.

e. Las medidas de control adoptadas buscarán como resultado una disminución de la posibilidad
de ocurrencia y/o del impacto del riesgo del LA/FT, en caso de materializarse.

3.2.1.5 MONITOREO DE LOS RIESGOS

a. Se hará seguimiento al perfil de riesgo y en general al SARLAFT y se realizará la detección de

operaciones inusuales y/o sospechosas.

b. Para el seguimiento al perfil de riesgo y en general al SARLAFT se contará con procesos

efectivos que faciliten la rápida detección y corrección de las deficiencias del sistema.

c. El seguimiento al perfil de riesgo y en general al SARLAFT, se fundamentará en:

− Comparar el riesgo inherente y residual de cada factor de riesgo y de los riesgos asociados.
− Asegurar que los controles de todos los riesgos sean comprensivos y que los mismos estén
funcionando en forma oportuna, efectiva y eficiente.
− Establecer indicadores descriptivos y/o prospectivos que evidencien potenciales fuentes de
riesgo de LA/FT.
− Asegurar que los riesgos residuales se encuentren en los niveles de aceptación
establecidos por la entidad.

10
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL SARLAFT- BANCOLOMBIA S.A

− Comparar la evolución del perfil de riesgo inherente con el perfil de riesgo residual de LA/FT
de la entidad.
− Desarrollar los reportes que permitan establecer las evoluciones del riesgo, así como la
eficiencia de los controles implementados.
− Determinar las operaciones inusuales y sospechosas, y sobre estas últimas, proceder con
su reporte a la Unidad Administrativa Especial de Información y Análisis Financiero – UIAF.

11