La unidad de cumplimiento tiene el oficial de cumplimiento y la analista del cumplimiento

Se rigen a las normas y procedimientos que dictan los entes de control en este caso la
superintendencia de compañías.

Tienen una resolución donde se dicta lo que se tiene que hacer, lo que no se debe de hacer y
cuáles son las prioridades.

Reportan directamente al directorio. Los informes en primera instancia pasan al gerente

general y al directorio.

Trabajan con todas las áreas.

El objetivo del área de cumplimiento es prevenir, detectar y erradicar el lavado de activos y el

financiamiento del terrorismo, así como otros delitos.

Las políticas principales se basan el conocimiento del cliente, empleado o accionista,

proveedores, la política “conozca a su mercado”, y la política “conozca a su corresponsal”.

La corresponsal se trata del análisis o los procesos que tu tienes con compañías con las que
trabajas en el exterior. Ambiensa no lo tiene así que esta política se la maneja por nombre.

En la política de proveedores se enfoca directamente en detallar qué proveedores deben

calificar con la empresa y que esos proveedores que cumplen ciertos requisitos de
contratación estén también encaminados a políticas de prevención.

Política de proveedores: Si tienes algún proveedore vinculado a temas de lavado de activos,

estafas, etc., no debes de trabajar con ellos por un tema de prevenir un posible contagio de
esas personas con la empresa.

Prevención – Proveedor

CUMPLIMIENTO DE POLÍTICA CONOZCA A SU PROVEEDOR

Proceso de Vinculación

El proveedor debe reunir requisitos: documentales y de investigación. Los documentales la

responsabilidad va por el área que contrata, y la de investigación corren por parte del área de
cumplimiento.

Entrada: Una vez que la terna que tiene los proveedores para x proceso, el área que tiene el
contacto con el proveedor envía la carpeta o expediente digital del proveedor al área del
cumplimiento.

Cumplimiento en 24, 48 horas tiene la responsabilidad de revisar en las listas de control que
son en la actualidad 8 listas, esas listas se analizan y el oficial emite al informe que va a estar
anexado al expediente del proveedor.

En ese informe el oficial da su recomendación, indica si dentro de su análisis es procedente

trabajar con esa persona o no, y la decisión final siempre la va a tomar al directorio. Los
informes los envía el oficial al área que los requiere que puede ser compras, técnica o
sistemas.
Si el informe es recomendable el área requirente se encarga de hacer toda su parte operativa.
Con esto se cumple con la política del área requirente de contratación, y la de prevención que
te dice que antes de vincularte con el proveedor lo tienes que calificar.

Si el proveedor tiene algún problema, el oficial emite la recomendación no favorable y el

directorio decidirá. En las reuniones que tienen de análisis de directorio se revisa el informe
que da la recomendación que da el oficial del cumplimiento, por eso es que se emite el
informe de manera física, se deja constancia de qué listas se revisaron, que situaciones se
pueden recomendar o qué situaciones no se deben aceptar.

En el momento en que un proveedor sale vinculado con delitos tipificados en el COIP por
lavado de activos, financiamiento del terrorismo y otros, automáticamente la negociación no
se da.

El archivo, custodia y documentación lo maneja el área de requirente.

Proceso de actualización de información

La actualización de información es potestativo de la empresa, nosotros la hacemos cada año

¿qué quiere decir esto? Que el área de cumplimiento junto con las áreas contratantes, revisan
qué proveedor son los que deben actualizarse por el giro del negocio y por el monto de
contratación o de pagos que se les han realizado y se les envía la información para que
actualicen nuevamente.

¿Cuál es el fin de conocer al proveedor? Primero, que no se vincule con nosotros; segundo,
cumplir con la norma.

La norma dice que se debe tener (el área contratante) la información del proveedor una vez
cerrada la negociación por 10 años, sean en medios físicos o medios digitales, para ser
auditados. (auditor interno o auditores de los entes de control: UAFE o superintendencia de
compañías) pasando uno o dos años la superintendencia nos audita y nos pide la información.

El trabajo de cumplimiento termina cuando hacen el monitoreo en base a un plan de trabajo

para ver que se cumplan las políticas establecidas en el manual, si no se cumplen las políticas,
cumplimiento emite un informe que va a Directorio con las recomendaciones del caso y
Directorio las analizará, aceptará o desechará.

La actualización debe por lo mínimo hacerse una vez al año.

En el artículo 20 (más o menos) de la norma se encontrará lo de los proveedores.

Todo se está elaborando de forma manual en Excel.

Prevención – Empleados

En el tema de empleados están utilizando el sistema Evolution.

¿Qué dice la política de empleados? La política de empleados te pide que tu debes de conocer
a tu cliente interno, es decir debes tener mecanismos, procesos y procedimientos para
conocerlo y que mínimo debes de cumplir ciertos requisitos.

Expedientes y revisión en vinculación y actualización

Entonces, así mismo en la política “conozca a su empleado” el responsable del área es el área
de recursos humanos, entonces ¿qué hace recursos humanos? Dependiendo de la necesidad
que el departamento requiera por una contratación x, elabora su terna, hace la gestión de la
documentación (requisitos que deben reunir todos los empleados previos a su vinculación –
está en la norma) y ellos son los responsables de la revisión de listas de control. NO LA HACE
CUMPLIMIENTO. Recursos humanos tienen la obligación de, previa contratación, revisar a
todos los postulantes en listas de control y lógicamente el empleado contratado debe tener su
expediente, no sólo con la documentación que te exige la política sino también con el análisis y
la constancia de que previo a la vinculación se lo revisó en listas de control.

¿Cuál es la actividad que ejerce cumplimiento? Cumplimiento tiene que hacer mínimo 1 o 2
revisiones en el año de que la política se cumpla ¿en qué sentido? Se revisan el 100% de los
empleados nuevos y se realiza el check de que si tienen todos los documentos conforme a la
política, si tienen todos los documentos conforme a listas de control.

Se emite un informe que pasa a gerencia, directorio, con copia a las áreas contratantes con las
recomendaciones que se puedan dar.

¿qué también hace cumplimiento? Cumplimiento coordina la actualización de la información

del empleado. La política te dice que debe actualizar la información mínima 1 o 2 veces al año,
cumplimiento la tiene de manera vigente una vez al año.

En x fecha se realizan las jornadas de actualización, y ahí si cumplimiento colabora con el área
de recursos humanos gestionando y revisando todas las listas de control de sus empleados.

Capacitaciones

En el manual hay una política que te habla de las capacitaciones obligatorias que debe tener el
personal de la empresa con respecto sólo a temas de prevención.

Un empleado cuando ya forma parte de la empresa debe recibir una capacitación obligatoria
con respecto a términos de prevención y más introductoria dependiendo del área al que vaya a
trabajar.

Esas capacitaciones son obligatorias, se emite un formulario y ese formulario se entrega al

área de recursos humanos para que conste en el expediente del empleado durante x tiempo
cuando permanezca.

El área de cumplimiento es el encargado de registro de asistencia, material (sea digital sea

físico), evaluar al personal, tener una política de evaluación que está contemplada ya en el
manual y dejar constancia de la evaluación que el empleado ha tenido.

De manera trimestral, el oficial de cumplimiento emite un informe a Directorio donde indica

que en el primer trimestre de x tiempo se realizaron las siguientes jornadas de capacitación, el
formulario que te digo, el formulario de compromiso y conocimiento de temas de prevención
se entrega a recursos humanos, con una copia del material de apoyo, el registro de asistencia y
el resultado de la calificación obtenida, para que recursos humanos lo tenga como custodia y
como constancia de que se está cumpliendo con un procedimiento dentro del plan de trabajo
que tiene el oficial de cumplimiento para su año.

Cuando viene auditoría de la superintendencia de compañías se entregan estos documentos

como constancias.

Adicional a las capacitaciones obligatorias en la vinculación, se pueden dar capacitaciones

aleatorias indeterminadas, dependiendo a las falencias que tenga un área o por una
actualización en la norma que implique a un área. Estas capacitaciones pueden ser 1 al año
como pueden ser 10 al año, pero de todas maneras debe seguir el mismo proceso que se dicta
en la vinculación.

En el tema de vinculación se manejan los siguientes formularios:

 Formulación de vinculación que es el de “Conozca a su empleado” que es la solicitud

de empleo
 Hoja de vida
 Todos los documentos según la política
 Formulario de actualización de datos
 Formulario de declaración de conocimientos de temas de prevención
 Declaración simple patrimonial con todos los soportes (la norma te exige que debes
soportar todo eso)
 Cheklist (hoja de trabajo de todo lo que pedimos y que se cumple o no se cumple)

Con esto se cierra el expediente de recursos humanos.

A parte de esto, nosotros como cumplimiento generamos una matriz de riesgo de empleados.
Esa matriz nosotros la realizamos una vez que el empleado ya está vinculado, es decir cada 3 o
6 meses cuando se hace la verificación, nosotros generamos las matrices y determinados el
riesgo que tiene el empleado: bajo, medio, alto.

Prevención - clientes

Clientes ocupa o abarca el 90% de la política y del manual. Porque definitivamente a nosotros
nos interesa saber, como empresa, con qué persona vamos a trabajar y el objetivo de nuestro
negocio no es recibir los pagos mensuales que te da una cota, el objetivo básico es que el
hipotecario en el tiempo se materialice y nosotros poder tener más ingresos, eso lo tenemos
muy claro. Pero para que se cumpla ese objetivo, así mismo, tienes una política de conozca a
su cliente. Esa política te dice que debes de monitorear a tu cliente previa a la vinculación,
durante la vinculación, realizar actualizaciones o cuando el cliente haya realizado cambios,
entonces aquí si ya te abarca el trabajo con muchas áreas ¿por qué? En la vinculación tu
trabajas directamente con el área comercial, con el área de riesgos y el área de cumplimiento.
Con el área comercial ¿por qué? Así mismo la política conozca a su cliente tiene requisitos muy
independientes de las políticas comerciales, ahí no podemos confundir, el cliente se debe regir
a políticas comerciales y políticas de prevención. Las políticas de prevención te dicen que
debes llenar un formulario, que debes hacer esto y la la la, y te da la responsabilidad. La
responsabilidad de la recopilación y de ingreso de la información del cliente en el sistema lo
hace el área comercial. ¿Cuándo interviene cumplimiento aquí? Una vez que ya el cliente está
interesado en comprar la casa, ha reunido los documentos, ya lo ingresaron al cliente al
sistema, etc., se genera un expediente, ese expediente pasa análisis del área de riesgos, quien
es quien luego de su revisión, no solamente documental sino financiera y económica, ellos
procesan y activan la reserva, cumplimiento interviene cuando en el área de riesgos se genera
una duda porque ellos así mismo como política interna tienen que deben obligatoriamente
revisar al cliente, cónyuge o apoderado o beneficiario final, los deben de revisar en listas de
control, si el cliente tiene algún problema de índole delictivo por tema de lavado, de
terrorismos, narcotráfico, exilio y otros delitos vinculantes, la negociación no se da y se tiene
que bloquear ese cliente, nosotros solamente trabajamos con clientes que no tengan delitos
vinculados que nos pueda llevar a tener problemas a nosotros. Cumplimiento interviene más
ahí como un tipo de asesor, cuando los analistas de riesgos te dicen “cumplimiento tengo esta
duda con este cliente, tiene tal caso” entonces ahí nosotros revisamos el caso, revisamos lista
de control y emitimos nuestra recomendación. Nuestra recomendación es: el área recomienda
que siga la negociación, o que no siga la negociación, o que se someta a ficha, porque nosotros
no autorizamos nada, nosotros simplemente recomendamos y emitimos nuestra parte de
verificación, pero quien realmente toma la decisión final es el directorio, en todos los casos el
directorio es el que tiene la decisión final de cualquier hecho que se pueda dar, por eso que
nosotros informamos periódicamente de esta situación.

Lógicamente que si el cliente no tiene ningún tipo de inconvenientes no pasa por

cumplimiento.

También nosotros tenemos que ver con el área de tesorería, en el área de tesorería ¿qué
revisamos? Que todos los pagos, que también está establecido en el manual, iguales o
superiores a $10.000,00 sean soportados. ¿Qué quiere decir? Un soporte de un pago de
$10.000,00 es un formulario de licitud de fondos que lo genera el sistema de manera
automática y la justificación de ese pago, porque generalmente ese dinero se recibe por medio
del área de tesorería, entonces nosotros también monitoreamos y revisamos que esos pagos
tengan la documentación del caso, si es que no la tienen empezamos y emitimos memos
internos donde pedimos que la información sea absuelta y regularizada, a eso nosotros le
llamamos una debida diligencia, que es lo que nosotros debemos hacer.

También trabajamos con el área de crédito ¿Por qué? Porque el área de créditos es la
encargada de realizar reubicaciones, de realizar traspasos, y de realizar el trámite hipotecario.
En las reubicaciones y traspasos ellos nos envían la información del nuevo cliente, y nosotros
ahí si revisamos listas de control, solamente en esos casos nosotros entramos a ver listas de
control, de la misma manera si es que hay alguna situación nosotros emitimos informes para
que el área de crédito regularice la situación.

Realizamos monitoreos a las reservas, a los pagos que realizan y eso lo hacen directamente
dentro de la planificación que nosotros tenemos de manera mensual. Esas revisiones te llevan
a tener memos internos, generalmente cada 3 meses yo emito un informe por cada caso, es
decir si hago un monitoreo de reservas nuevas del primer trimestre, se va el informe con todo
lo que se ha revisado y con todas las observaciones se emite al área de Directorio con las
recomendaciones.

En el fondo, este proceso es el que debemos cumplir con todos los clientes, incluso también en
el área de pagos con el área de tesorería cuando son pagos por hipotecarios, nosotros todo
eso revisamos.

Y con eso cierras tu la política de conozca a su cliente.

Reportería o reportes mensuales (proceso únicamente de cumplimiento)

Nosotros por norma, debemos realizar dos tipos de reportes: el reporte RESU y el ROII. El
reporte RESU encasilla todas las operaciones iguales u superiores a $10.000,00 relacionadas
con la operación de un cliente que se hayan efectuado de manera individual durante un mes.
¿Qué quiere decir esto en resumen? Que nosotros, cumplimiento, tiene la obligación de
reportar todas las operaciones de los clientes que se hayan dado en el mes, con esto de
operaciones hablamos de que el reporte está atado a una reserva, todas nuestras reservas se
generan por valores superiores a $10.000,00, al generarse por ese valor superior te dice la
norma que tu debes reportar el 100% de los pagos de tus clientes ¿por qué? Porque si tu
hiciste una reserva de por ejemplo $50.000 de una casa que la vas a pagar por 3 años, tu tienes
que reportar en el RESU como eso $50.000,00 se fueron pagando en el tiempo, entonces ese
reporte es de manera obligatoria y mensual que lo debemos enviar a la UAFE de manera
confidencial, hasta el 15 de cada, llueve, truene o relampaguee, ese informe tiene que irse
porque en el momento en que tu no envías el informe la sanción va de $500 a $20.000 mes.
Entonces este reporte RESU ¿qué contiene? Contiene 3 archivos: cliente, operaciones y
transacciones, esto se lo genera el primer día del mes, máximo será el dos.

El reporte de clientes o el reporte RESU ¿Cómo se maneja? Ahí interviene el área de sistemas,
sistemas envía, en el momento en que nosotros le solicitamos, envía la información de los 3
archivos que te dije. El área de cumplimiento revisa y empieza a cruzar esa información con:
reportes de pagos, reportes de hipotecas canceladas, reportes de reservas activas en el mes,
reportes de devoluciones. En este tema de devoluciones se trabaja con el área de tesorería
porque no están automatizadas, salen directamente de un requerimiento que hace servicio al
cliente para que se le devuelva x valores a estas personas y las devoluciones se hacen en
determinadas fechas, entonces el área de tesorería le envía a cumplimiento el reporte de
devoluciones y nosotros de manera manual ingresamos esas devoluciones al archivo porque
no las genera el sistema. En el reporte RESU interviene sistemas, tesorería y cumplimiento,
pero la información que nosotros enviamos es confidencial, no la debe saber absolutamente
nadie, ni siquiera el directorio.

Una vez que ya hiciste el reporte, revisaste, cruzaste, cuadraste, manejaste, tu sometes ese
reporte a un prevalidador, ese prevalidador se llama UAFI. Entonces una vez que ya tu generas
el prevalidador, te emite un archivo en txt y ese archivo lo subes de manera confidencial con tu
usuario y tu clave a la UAFE, en el momento en que ya está revisado, subido y demás, te emite
un acuso recibo / validado que dice “exitoso”, si el registro es exitoso tu ya cumpliste con el
reporte RESU y ya no tienes sanción, pero si tienes errores la norma te da 3 días adicionales
para que tu puedas volver a cargar la información. Una vez que ya cumpliste con eso, ya
cerraste el reporte RESU que es obligatorio, si no tienes movimientos en ese mes el reporte va
en cero, pero lo tienes que enviar, si no lo envías corres el riesgo que te sancionen.

También tenemos el reporte ROII, ese es de operaciones inusuales injustificadas ¿Cómo se da

ese reporte? Ese reporte nace de los monitoreos o de la información que te dan las otras
áreas. Dentro de la política y dentro de las capacitaciones, todas las áreas saben que cuando
ellos detecten un hecho inusual de un cliente tienen la obligatoriedad de pasar un correo de
manera urgente y confidencial al jefe de un área y al oficial de cumplimiento. Ejemplo:
Tenemos el caso de un cliente que tenía planificado pagarnos cuotas de 200, pagó un mes, dos
meses, tres meses, al cuarto mes el cliente hace un pago de $60.000 y no nos justifica por
ningún lado, en el mejor de los casos el oficial de crédito te dice “por favor cumplimiento hay
un pago de un cliente que no está justificado” entonces nosotros empezamos a ver el
monitoreo, empezamos a pedir información, pedimos información, recopilamos, armamos el
caso, yo tengo una ficha en Excel, reviso el tema de matrices porque también hay una matriz
que se realiza del cliente, y si el cliente me refleja que tiene una operación inusual injustificada
la ley te da a que tu tienes que reportarlo en 4 días una vez conocido el hecho inusual ¿cómo
lo reportas? Tu emites un informe de manera confidencial al gerente general, el gerente
general te lo aprueba y una vez aprobado tu subes la información el sistema sislaft y la clave y
tu reportar ese hecho inusual a la UAFE y tu ya has decodificado ese caso como sospechoso e
inusual y tu sigues trabajando normalmente, no se lo notificas al directorio, no se lo notificas al
oficial, no se lo notificas a nadie, salvo que venga una orden judicial donde te digan que tu ya
no puedes trabajar con tu cliente porque ha sido vinculado a X delito, pero tu tienes la
obligatoriedad de pasar esos roiis siempre y cuando no se justifique, si es que el roii fue
justificado simplemente se lo deja ahí como una operación inusual justificada con los soportes
del caso ¿Por qué? Porque en algún momento vas a tener un proceso de auditoría.

Generalmente los roiss están saliendo por los monitoreos que nosotros como oficiales de
cumplimiento estamos haciendo ¿cómo se hacen los monitoreos? Revisiones de pagos,
cumplimientos de políticas, revisión de reservas, cualquier revisión que nosotros podamos
hacer.

Puedes mandar un mes un ROII como puedes mandar 50, o puedes mandar 0 ROIIs. De la
misma manera, los ROIIs no se los entregas a nadie, no puedes entregarlo ni al auditor interno
ni al externo ni a nadie, ese ROII queda guardado entre la empresa, el oficial de cumplimiento
y la UAFE.

También tenemos dentro del reporte el reproceso que también lo hacemos de manera
manual. ¿qué quiere decir el reproceso? Resulta que nosotros enviamos el reporte del mes de
febrero, se envió febrero, tienes el acuso recibo; en el mes de abril detectas o te informan que
ciertos pagos realizados en febrero estuvieron mal o no se registraron, resulta que en el mes
de abril de que no salieron ciertos pagos o en los correos que tu recibes de las áreas de
tesorería y todo los demás, se detecta que hay transacciones que se anularon del mes de
febrero. En ese momento tú, como oficial de cumplimiento, como área de cumplimiento, tu
debes emitir un requerimiento, un oficio a la UAFE en donde tu indicas que tuviste, pones tus
argumentos, pones todo el soporte de porqué vas a pedir un reproceso, y tu puedes pedir el
reproceso de la información que originalmente mandaste en el mes, en este caso en el mes de
febrero, envías el oficio firmado por el representante legal (solamente el representante de
legal y los oficiales de cumplimiento tienen acceso al sislab) una vez que tu emites ese informe,
ese oficio, la UAFE te contesta generalmente en 24 horas y te dice “el requerimiento del
reproceso fue autorizado” si ya te autoriza la UAFE tu en ese momento tienes que volver a
cargar la información, eliminar lo que mandaste mal, ingresar lo que no se ingresó, o cualquier
situación, y vuelve con el proceso original, ingresas cliente, revisas cliente operaciones y
transacciones, lo pasas por el prevalidador del UAFI, el UAFI te vuelve a emitir el archivo .txt, tu
lo vuelves a subir, pero tu tienes máximo 4 días para hacer eso, si tu no haces ese reproceso en
los 4 días automáticamente se te carga una sanción y te dejan como que no reportaste el mes
de febrero así sea que ya lo hayas enviado. Entonces vuelves a cargar la información ya
reprocesada y te vuelve a salir un ícono que te dice de validación, que todo está ok y cierras el
caso. Tu puedes así mismo efectuar n reprocesos, puede ser 5 en el mes o 0 reprocesos, lo
óptimo es no tener reprocesos porque como tu emites un informe al ente de control, el
informe, pienso yo, es un arma de doble filo ¿por qué? Porque si tu vives reprocesando
información le están dando a entender a tu ente de control que no estás realizando el trabajo
de manera adecuada y que hay un problema interno que te hace reprocesar tanta
información. Entonces nosotros lo que procuramos es hacer 1 o 2 reproceso en el año como
mucho.

Dentro del SGI nosotros tenemos un módulo que es el control integrado de riesgos, ese control
integrado de riesgos se maneja la matriz de vinculación y la matriz de transacción. Una vez que
se activaba la reserva, se generaba la matriz y nos generaba un factor de riesgo del cliente, si
era alto nosotros teníamos que ver porqué y empezábamos a hacer nuestro monitoreo, si era
medio lo dejábamos para hacer revisiones esporádicas y si era bajo definitivamente era
aceptable. Esto lo hacemos nosotros también de manera diaria o periódica ¿quién lo hace? Lo
hace el analista de riesgo. Se genera con la vinculación, porque lógicamente tu en el momento
en que vinculas el cliente debes medir qué clase de riesgo que te va a dar ese cliente y en los
pagos.

Nosotros tenemos la obligación de dar apoyo a todas las áreas en el momento en que nos lo
indican ¿qué quiere decir eso? Viene el área de tesorería y quiere que le revise una
información, pues tengo que dedicarle tiempo a resolver la información que me está pidiendo;
el área de crédito quiere que le haga un monitoreo de x caso, nosotros todo lo debemos de
documentar. Generalmente nosotros los documentamos por correo o físicamente,
escaneamos el informe y cada memo tiene una numeración y esa numeración es parte del
control interno que nosotros tenemos. Eso es la parte de acompañamiento que nosotros
debemos por norma dar a todas las áreas.

Y también el tema de la atención de los agentes de control, es otra actividad que nosotros
obligatoriamente la debemos tener ¿en qué sentido? Tanto la Super como la UAFE, la Super es
nuestro ente regulador es decir nos emite las normas, procedimientos, lo que debemos hacer
y nos audita, las auditorías pueden ser in situ o puede ser con requerimiento de información
vía web y ellos te dan un plazo, te dicen “bueno tenemos tal información, necesitamos que nos
envíen tal cosa en 8 días” nosotros tenemos la obligación de cumplir con ese requisito ¿por
qué? Si no contestas oportunamente o pides una ampliación de plazo y se queda tu plazo
vencido la Super inmediatamente te inhabilita el CCO, te pone un CCO inhabilitado a la
empresa hasta que tu no dejes absuelto el problema que originalmente te lo pidieron. Una vez
que la Super te pide algo, tu le debes dar el seguimiento del caso, cumplir y entregar la
información; con la UEFA es lo mismo, la diferencia es que la UAFE te envía la información de
manera confidencial, viene latrada por decirlo así y te pone “información secreta” esa
información no la conoce salvo el gerente general y el oficial de cumplimiento y así de manera
secreta tu la tienes que enviar en el sistema en el tiempo establecido, porque si no lo envías
tienen una sanción administrativa o incluso puede convertirse en una sanción penal porque tu
estás omitiendo información y al omitir información indirectamente te pueden vincular en
casos x.