Estructura del sistema

de gestión del riesgo LAFT

en el sector real
Índice
01 La importancia de Sarlaft
en el sector real ...................................................... 4

02 Etapas del modelo de gestión

sistema LAFT en el sector real .......................... 7

03 Elementos claves para

implementar Sarlaft .............................................18

04 Políticas de prevención ...................................... 21

05 Órganos internacionales ................................... 22

01
Intro
ducción
En la actualidad la prevención de lavado de activos y la financiación del
terrorismo dejó de ser una problemática que solo se presenta en el sector
financiero, si no que trascendió a otros niveles y sectores, por ende las
empresas asociadas al sector real (para lo cual definiremos como empresas
comerciales, industriales y no financieras) comenzaron a identificar que
también podían ser muy vulnerables ante este tipo delitos.

Por esta razón, un gran número de organizaciones pertenecientes al sector

real han comenzado a implementar dentro de su esquema interno la gestión
de prevención de riesgos relacionados al lavado de dinero y financiación
del terrorismo (LAFT), basado en buenas prácticas, con un alto grado de
compromiso por parte de la dirección corporativa y con toda la
responsabilidad que esto implica.

A continuación, usted encontrará una guía que le permitirá entender la

importancia de llevar a cabo esta gestión dentro de su empresa y cuál es
la forma adecuada para hacerlo, con el fin de evitar cometer errores durante
su gestión.
01 La importancia de Sarlaft en el
sector real
Independientemente de que en la actualidad un ente regulador no
exija contar con un sistema de gestión de prevención de lavado de
activos y financiación del terrorismo, es importante que las
entidades del sector real entiendan que implementarlo significa
ir un paso adelante en temas de prevención, ya que cada vez más
estamos expuestos o vulnerables a este tipo de delitos.

Las amenazas pueden reflejarse tanto interna como

externamente y se dan por la falta de controles, cultura del
riesgo, personal no preparado, procedimientos mal
ejecutados y tecnologías obsoletas.
Hay que tener claro que este tipo de riesgos pueden
aparecer en cualquier momento y que su impacto es
muy alto, que afecta el valor humano, financiero,
de negocios y de infraestructura, llegando hasta el
impacto reputacional y legal, esto sin importar el
tamaño de la compañía, lo que lleva a que se dificulte
el cumplimiento de los objetivos.

Implementar un sistema de gestión de riesgos LAFT

reduce el riesgo de sanciones legales y contribuyen a
que la imagen y reputación de la organización sea
mejor ante el público.

“Más allá de las exigencias normativas, cada día la

relación con clientes, usuarios, empleados,
accionistas, proveedores, contrapartes y
corresponsales, va girando en torno a los cambios
tecnológicos y a las exigencias del mercado. Las
nuevas tendencias sobre la forma de hacer
negocios obliga a que se impregne de dinámica la
forma como se le debe hacer seguimiento a los
riesgos, que en últimas están soportados en los
procedimientos que le permiten a la institución
cumplir con sus objetivos para mantenerse
competitivos”; afirma Alexander Devia, Miembro de la
asociación de especialistas en FIBA como Anti Money
Laundering Certified Associate y especialista en
administración de riesgo de lavado de activos y
financiación del terrorismo.

Por otro lado, se debe tener en cuenta que existe un

modelo de buenas prácticas NRS (Negocios
Responsables y seguros), el cual brinda claves para
que la gestión se haga de manera adecuada.

www.riesgoscero.com | 05
Este programa está liderado por la Cámara de
Comercio de Bogotá (CCB), la oficina de Naciones
Unidas con la droga y el delito y la Embajada Británica
en Colombia.

¿Para qué sirve el Modelo NRS?

Contribuyen a la prevención de delitos como el
lavado de activos, la financiación del terrorismo y el
contrabando.
Favorecen la permanencia y sostenibilidad de los
negocios.
Atraen inversionistas.
Generan seguridad y confianza sectorial.
Desarrollan una gestión empresarial responsable y
segura.
Mejoran la toma de decisiones estratégicas.
Fomentan la competencia económica legítima.

Fuente: Modelo de Gestión del Riesgo de LA/FT para el

sector real, por Negocios responsables y seguros, Embajada
Británica Bogotá, UNODC y Cámara de Comercio de Bogotá.

www.riesgoscero.com | 06
02 Etapas del modelo de gestión del
sistema LAFT en el sector real

Varios autores conocedores de las metodologías para

administrar riesgos, coinciden en un orden lógico, que de hecho
es exigido por la normatividad local e internacional.

Esto en términos generales obliga a un conocimiento claro del

negocio (análisis del contexto), que implica analizar de manera
transversal los procesos relevantes de la institución;
incluyendo los procesos estratégicos, al igual que los procesos de
apoyo, involucrando a los responsables expertos en la
operación quienes aportaran en la identificación de los riesgos,
en la medición o evaluación de los mismos y en la consecución de
controles, para el posterior seguimiento.

Finalmente deberá existir un área o personal dedicado al

proceso de monitoreo, que le permitirá cerrar el ciclo luego de
haber generado planes de acción que corrijan y/o mitiguen el
impacto de los riesgos que se evaluaron, ya que un sistema de
gestión de riesgos es dinámico.
“El modelo de gestión de riesgo para el sector real
debe contemplar los procesos más álgidos de la
institución, debe permitir la identificación
oportuna para una administración eficiente de
sus riesgos, apoyada en tecnología de punta y con el
aval incondicional por parte de sus directivos”,
sostiene Devia.

Cabe resaltar que este modelo se basa en la

normativa y guía internacional COSO.

www.riesgoscero.com | 08
Etapa 1
Diagnóstico y definición de metodología
En esta etapa lo que se busca es comprometer a los
altos directivos de la empresa y miembros a que
conozcan el contexto de los negocios, con el fin de
que una vez se entienda esto se pueda realizar el
diagnóstico de los riesgos a los que están expuestos.

Para impregnar este compromiso dentro de la

compañía se debe crear una cultura de gestión del
riesgo, para que todos los empleados estén
enterados de cuáles son las actividades que están
relacionadas al lavado de activos y financiación del
terrorismo con el fin de evitar de que puedan llevarlas
a cabo en algún momento por falta de conocimiento,
para esto se recomienda establecer códigos éticos o
manuales institucionales que contengan esta
información. Al igual que la divulgación constante
de información relacionada, para crear una
apropiada cultura, ya que es uno de los temas que
lleva más tiempo y que al ser un tema transversal a la
compañía, es importante el compromiso de todos.

Por otro lado, es indispensable analizar el contexto

interno y externo de la organización, teniendo este
conocimiento a profundidad hará que sea mucho más
fácil establecer cuáles son los riesgos a los que se
enfrenta la compañía, para evitar que estos
intervengan negativamente en el cumplimiento de
objetivos y metas.

Una vez realizado el diagnóstico y definido cómo y

dónde estamos ubicados, debemos iniciar con la
definición de la metodología a aplicar

www.riesgoscero.com | 09
Cuando iniciamos con la definición de metodología
para implementar el sistema para la prevención del
riesgo LAFT, empezamos a buscar en normas y
documentación sobre otras empresas que ya lo
tengan implementado, esto es bueno, pero es
importante tener en cuenta estos sistemas son
totalmente adaptables y que lo más importante
es el cumplimiento de los requerimientos
mínimos en el caso de los que ya se encuentran
obligados por un ente regulador y para el caso de los
que lo adoptan por buenas prácticas, el objetivo es el
de la prevención de la materialización de dicho riesgo.

Adicional a los factores o generadores de riesgo que

se conoce para otro sistemas de riesgo, como lo son
el recurso humano, los procesos, infraestructura,
tecnología, en el sistema LAFT aparece otro análisis
que es identificar los canales por donde se puede
generar el riesgo, estos son: los clientes los
productos, canales de distribución, jurisdicción o zona
geográfica.

Definir los objetivos del sistema LAFT: es

indispensable que estos estén alineados con los
objetivos de la entidad en general, ya que deben ser
transversales a los demás procesos y se deben dar a
conocer para que finalmente se dé el cumplimiento.

Definir las políticas del sistema LAFT: las políticas

deben ser mandatos alcanzables, prácticos, que se
encuentren redactados de forma sencilla y que
contemple el qué se pretende, el cómo, cuándo y los
responsables, además de esto deben estar
documentados en los diferentes manuales
propios del sistema, así como apoyarse contar con
un código ético o de Buen Gobierno servirá como guía
para la creación de las políticas.

www.riesgoscero.com | 10
Definir la estructura de la empresa: así como hay
una estructura organizacional de la empresa, se debe
tener también definir una estructura con
responsabilidades propias del sistema LAFT, esto
facilitará la administración de los riesgos de LAFT,
está irá 100 por ciento ligada a la cultura
organizacional y normalmente está compuesta por:

Junta directiva
Representante legal
Oficial de cumplimiento
Personas que apoyan y gestionan el sistema de
LAFT
Comité de riesgo LAFT
Responsables de los procesos en donde existan
riesgos LAFT
Todos los miembros de la compañía

Definición del sistema de control interno: se

definirá quienes son los responsables y bajo qué
metodologías se trabajará para darle cumplimiento a
la administración del riesgo LAFT, verificar si los
controles que se están haciendo son los correctos y
efectivos. Se deben identificar también los órganos
control que estarán a cargo ya sea el comité de
auditoría, gestor interno y revisor fiscal.

La fase del diagnóstico y definición de la metodología

a aplicar es fundamental para llevar a cabo las etapas
de la gestión del riesgo LAFT en el sector real.

Etapa 2
Identificación de riesgos LAFT
De acuerdo a la metodología definida, se inicia con la
definición de los procesos vulnerables a la
materialización de riesgos y se inicia la
identificación de los riesgos inherentes a los que está
expuesta, esto se debe hace con cada uno de los
factores de riesgo que se definieron en la etapa de
diagnóstico.

www.riesgoscero.com | 11
Se recomienda clasificarlos de la siguiente forma:

Alto
Medio
Bajo

Si ya existen algún tipo de matrices establecidas para

la identificación de riesgos se pueden hacer uso de las
mismas, haciendo las adaptaciones necesarias, en
caso tal de que no haya es indispensable crearla de
acuerdo a la definido en la metodología, tenga en
cuenta que allí debe tener el listado de riesgos
identificados, darle una medición a la probabilidad
de que aparezcan, la evaluación del impacto, el
cálculo del riesgo total y esta se debe actualizar
constantemente con el equipo.

Para el reconocimientos de los riesgos se debe tener

en cuenta los riesgos ya se materializaron o los que
puedan llegar a materializar de acuerdo a los
siguientes criterios:

1. Enumerar los eventos de riesgo

Hacer un listado de los riesgos que han surgido o

que puedan llegar a surgir en cada una de las áreas
de la compañía interna o externamente.

2. Definir qué puede suceder

Una vez se tengan los riesgos identificados a estos

se les debe agregar los incidentes que se puedan
presentar, esto con el fin de saber qué
consecuencias e impacto puede traer en caso de
que aparezcan.

3. Definir cómo puede suceder

Acá se determinará las causas, es decir en qué

situaciones el riesgo se puede materializar,
entender el origen de su naturaleza.

www.riesgoscero.com | 12
A continuación se muestra un ejemplo de la manera
en que se puede iniciar con un listado o inventario de
riesgos.

Código Evento de riesgo Causa

Código de Determine el evento Explique la causa que

identificación del por el cual se puede da origen al evento
evento de riesgo generar el riesgo. de riesgo. ¿Cómo y
¿Qué puede por qué puede
suceder? suceder?

RIESGO 1 1. Ser utilizado para 1.1 Inexistencia de

el LA/FT y ser objeto patrones éticos y
de pérdida de políticas para la
reputación por no prevención de LA/FT.
contar con patrones
estéticos y políticas
para la prevención
de LA/FT.

Fuente: Modelo de Gestión del Riesgo de LA/FT para el sector

real, por Negocios responsables y seguros, Embajada Británica
Bogotá, UNODC y Cámara de Comercio de Bogotá.

Etapa 3
Medición de los riesgos LAFT
En esta etapa se debe determinar el nivel de probabi-
lidad de ocurrencia del riesgo y el impacto que este
traería en caso de llegar a materializarse.

De acuerdo a estándares internacionales una de las

formas más comunes y que hace parte de las buenas
prácticas es que a través de estimaciones cualitati-
vas se haga la medición del riesgo como el análisis
de tipologías, conocimiento de expertos y experien-
cia de la industria, además se debe tener en cuenta
los siguientes criterios.

www.riesgoscero.com | 13
Probabilidad e impacto

La probabilidad se refiere al grado de ocurrencia de

un riesgo y se puede clasificar en: muy probable,
probable y raro.

En cuanto al impacto se refiere a las consecuencias o

daños que el riesgo pueda tener sobre la
organización y este se puede clasificar en alto, medio
o bajo.

Procedimientos para la medición del riesgo LAFT

Identificar el impacto y la probabilidad de que se

materialice el riesgo.
Evaluación de los riesgos teniendo en cuenta el
nivel de impacto y la probabilidad de que ocurra.
Darle importancia a los riesgos de acuerdo a la
clasificación que se hizo de los mismo basándose
en los criterios de calificación.
Aquellos impactos de riesgos que estén en el
listado de altos y medios deben contar con los
adecuados procedimientos y controles para
realizar la adecuada mitigación.
La importancia de la matriz de riesgo es vital, ya
que cada factor de riesgo y eventos deben estar
registrados allí.

Etapa 4
Controles
Estos se dividen en tipo y forma de control de
acuerdo a su implementación. Lo que se busca es
que se tomen las medidas necesarias para mitigar y
bajar la posibilidad de ocurrencia e impacto de los
riesgos y brindar alguna alerta para detectar alguna
actividad sospechosa o inusual, con el fin de que se
puedan tomar los correctivos para mitigar los
riesgos que se puedan presentar y afecten de
manera directa el cumplimiento de objetivos dentro
de la organización.

www.riesgoscero.com | 14
Tipos de controles

Preventivo: Se ejecuta para prevenir los riesgo

LAFT.

Detectivo: se pone en marcha cuando hay una

actividad inusual que indique algún tipo de alerta.

Clasificación de controles

Implementado: el control está registrado y

funciona de manera correcta.

Desarrollo: el control está diseñado pero no ha

interactuado.

No existe: no se ha creado.

Valoración de controles

Fuerte: los controles son efectivos y eficaces y

funcionan perfectamente.

Moderado: hay fallas en su implementación y se

necesitan ajustes.

Débil: no son los adecuados.

Etapa 5
Documentación y divulgación
Es importante contar con un sistema de documentos
y registros en donde se condensa la información de
cada una de las etapas para que tener disponibilidad
inmediata de datos, oportunidad de mejora y
confiabilidad.

www.riesgoscero.com | 15
Por otro lado, el generar reportes contribuye a que
la gestión sea efectiva y eficiente, ya que esto
garantiza que los procedimientos que se están
llevando son los adecuados y cumplen con la
normativa establecida, al igual apoya la toma de
decisiones.

Se debe tener en cuenta, que al igual que los riesgos y

los controles, la documentación debe ser revisada
con una periodicidad para mantenerlos actualizarlos
y acorde con los cambios presentados.

Es de vital importancia darle a conocer a todos los

miembros de la compañía, información sobre el
sistema que se está implementado, para esto se
deben realizar capacitaciones y estrategias de
comunicación que contribuyan a crear conciencia y
cultura para que estén informados de cómo será la
gestión, con el fin de que puedan estar alertas.

Etapa 6
Seguimiento o monitoreo
1. Verificar que lo definido en el objetivo y
metodología del sistema se esté cumpliendo de
manera efectiva.
2. Crear un plan de seguimiento que permita
detectar las falencias que se están presentando en
cada una de las fases con el fin de hacer mejoras y a
la vez identificar cuáles son las buenas prácticas
3. Garantizar que los controles estén funcionando
de la manera adecuada.
4. Los gestores deben hacer el respectivo
seguimiento a los riesgos.
5. Validar que el objetivo de prevenir la
materialización del riesgo se esté cumpliendo.
6. Validar que se efectuaron los ajustes necesarios
al sistema.

www.riesgoscero.com | 16
Acá se revisará si el sistema implementado está
surgiendo efecto positivo dentro de la compañía, si el
tratamiento a los riesgos es oportuno y eficaz.

“Persiste el temor, usando la jerga coloquial de

“meter las manos al fuego”, en garantizar el
resultado exitoso de las metodologías que se
apliquen. Esto en el entendido que un sistema podrá
ser exitoso si ninguno de sus eslabones se quiebra,
estos son: sapiencia (líder capacitado), conocimiento
(personal capaz), buena tecnología (aplicativo de
administración de riesgos), reacción inmediata
(disposición al cambio), recursos a la mano (apoyo
directivo), planes de acción medibles y reales
(compromiso de todos)”, puntualiza Devia.

www.riesgoscero.com | 17
03 Elementos claves para
implementar Sarlaft

El modelo de gestión de riesgos debe estar acorde al tipo de

sector donde se mueva la institución, en cumplimiento de los
pilares mínimos de aplicación referentes a conocimiento del
cliente y contrapartes (debida diligencia), al seguimiento de
operaciones (monitoreo), al mantenimiento de la información
(actualización), a la determinación del riesgo (administración de
riesgos) y en sí, a tener que ordenar bajo el marco de
supervisión de riesgos, todas sus actividades.
Elementos LAFT Descripción

Políticas Son aquellas que establecen los

organismos de control y que
deben asumir como propias y
cumplir las organizaciones
vigiladas en cada una de las
etapas del sistema.

Procedimientos Son los procesos propios y de

apoyo del sistema (diferentes a
los demás de la compañía) y
que van a llevar a cabo durante
el desarrollo de la
implementación del sistema de
lavado de activos y financiación
del terrorismo en cada una de
las etapas. Estos generalmente
son definidos por el ente
regulador o las buenas
prácticas.

Documentación Toda la información debe

quedar registrada en manuales,
procesos, instructivos con el fin
de garantizar el adecuado
desarrollo y control en cada uno
de las etapas, procesos y
disponibilidad de datos.

Órganos de control Se deben definir los

responsables con las
respectivas funciones, de la
ejecución y evaluaciones del
sistema, para que estos
puedan identificar fallas o
amenazas que se puedan
presentar.

Infraestructura y tecnología Es importante contar con

herramientas tecnológica
eficaces y efectivas que
permitan la correcta
alertamiento y administración
de los riesgos

Divulgación de información La generación de reportes

internos y externos es
fundamental, ya que gracias a
esto se podrá revisar el
funcionamiento de los
procedimientos que se están
implementando.

www.riesgoscero.com | 19
El solo hecho de tener un cliente o cualquier tipo de
relación contractual, hace que usted cuente con un
sin número de riesgos inherentes que deberá
evaluar para conocer qué tan cerca al fuego su
empresa se encuentra.

“La cadena de valor de los factores de riesgo,

dependerá siempre del tipo de actividad
económica que desempeñe su institución; sin
embargo, sea cual sea su actividad, el cumplimiento
de sus objetivos lo llevará por tener que conocer el
riesgo de su CLIENTE / CONTRAPARTE / USUARIO, del
PRODUCTO o servicio que usted presta, el CANAL DE
DISTRIBUCIÓN por donde se mueve su operación y la
JURISDICCIÓN o zona en donde desarrolla usted la
actividad en cumplimiento de su objeto social”,
concluye Devia.

www.riesgoscero.com | 20
04 Políticas de prevención
1. Verificar si las políticas existentes son las necesarias o si se
deben implementar más medidas para mitigar los riesgos LAFT.
2. Definir responsables para la implementación de las políticas
contra los riesgos.
3. Definir medidas preventivas contra los riesgos definidos.
4. Definir las maneras de actuar en el caso de la materialización
de un riesgo.
05 Órganos internacionales
Naciones Unidas

Mediante la Convención de las Naciones Unidas contra la

Corrupción, suscrita en Mérida en 2003, uno de los principales
propósitos es el de promover la cooperación para prevenir y
combatir eficazmente la corrupción. Esta convención
establece algunas medidas, entre las cuales se mencionan la
reglamentación y supervisión de los bancos para prevenir y
detectar todas las formas de blanqueo de dinero, la posibilidad
de establecer una dependencia de inteligencia financiera,
medidas viables para detectar y vigilar el movimiento
transfronterizo de efectivo y de títulos negociables, medidas
apropiadas para las - 59 - instituciones que remiten dinero, y
promover la cooperación mundial, regional, subregional y
bilateral para combatir el blanqueo de dinero.
Gafi (Grupo de Acción Financiera
Internacional)
El Grupo de Acción Financiera Internacional o
Financial Action Task Force, es un organismo
intergubernamental, cuyo propósito es el desarrollo y
la promoción de políticas nacionales e
internacionales para combatir el lavado de dinero y la
financiación del terrorismo.

Gafisud
Es una organización intergubernamental de base
regional del GAFI, que agrupa a los países de América
del Sur para combatir el lavado de dinero y la
financiación del terrorismo, a través del compromiso
de mejora continua de las políticas nacionales contra
ambos temas y la profundización en los distintos
mecanismos de cooperación entre los países
miembros.
Tomado de: Modelo de Gestión del Riesgo de LA/FT para el
sector real, por Negocios responsables y seguros, Embajada Bri-
tánica Bogotá, UNODC y Cámara de Comercio de Bogotá.

www.riesgoscero.com | 23
Luego de haber conocido las elementos
y etapas a tener en cuenta durante la
administración de los riesgos LAFT en el
sector real, lo invitamos a que conozca
las soluciones que CERO le ofrece.

Las entidades están en la obligación de

establecer políticas y controles que
les ayude a prevenir el lavado de dinero
y la financiación de terrorismo a través
de sus servicios, es por esto que CERO
AML SUITE es un producto diseñado a la
medida de sus necesidades.

Conozca qué contiene

dando clic aquí

Además, la gestión de riesgos es una

herramienta fundamental en las
organizaciones del sector real, vea aquí
cómo CERO cuenta con soluciones y
estrategias diseñadas exclusivamente
para atender este grupo de empresas.