Documentos de Académico
Documentos de Profesional
Documentos de Cultura
APRENDIZ
MARTA YOLANDA GORDILLO SILVA
FICHA: 2397375
INSTRUCTOR
ERNESTO GODOY GODOY
COMPETENCIA
CLASE TÉCNICA DE SEGUROS
BOGOTÁ D.C.
Noviembre 2021
GUÍA DE APRENDIZAJE N. 2 Normatividad “Seguridad de la Información”
3.1.1. Lo invitamos a ver la siguiente imagen de manera muy crítica, revisar los comentarios que la
acompañan y expresar su opinión frente a la misma en el foro dispuesto para tal fin por su instructor:
En su opinión, ¿qué debe hacerse? Exponga su criterio de manera integral frente a lo que usted
considere como deber ser y los comportamientos que se puedan dar al respecto
En la imagen podemos encontrar todos los posibles riesgos de seguridad de la información, que se
pueden presentar en cualquier organización; ya que se ven constantemente afectados por
amenazas de seguridad, por ciberataques, por fraudes informáticos, virus con el riesgo de
eliminación y pérdida de la información.
3.2.1. A continuación encontrará dos ejemplos de situaciones que a diario escuchamos sobre
posibles fraudes a través de diferentes medios tecnológicos. Una vez analizadas, lo invitamos a
recordar en lo que ha escuchado o ha podido experimentar sobre posibles situaciones de la misma
índole y conteste: ¿Porque medio la realizaron? ¿Cuáles fueron sus consecuencias?
La estafa consiste en crear un sitio web falso extremadamente similar al de algunas empresas
legítimas. A través de mensajes vía correo electrónico, Whatsapp o SMS, los delincuentes envían un
enlace, solicitando la confirmación de los datos. Al hacer clic en este enlace, las víctimas son
redirigidas al sitio web falso, donde terminan cayendo en la trampa y proporcionando sus datos.
Este tipo de fraude puede ocurrir físicamente, cuando a un usuario le roban su tarjeta; y
virtualmente, cuando el consumidor ingresa los datos de la tarjeta en sitios web falsos, no
protegidos o no seguros. En posesión de estos datos, los estafadores pueden realizar compras hasta
que el usuario se dé cuenta y bloquee la tarjeta. El robo de tarjetas de crédito ocupa el noveno lugar
entre los tipos más comunes de fraude digital en el mundo.
3.3.1. Consulte en el ambiente de formación y/o desde su trabajo autónomo los siguientes temas.
1. ¿Qué es el SARLAFT?
La prevención de riesgos como su nombre lo indica, se trata de prevenir que las entidades vigiladas
sean utilizadas para dar apariencia de legalidad a recursos provenientes de actividades delictivas o,
para la canalización de recursos hacia la realización de actividades terroristas.
El componente de control es utilizado para detectar las operaciones que se pretendan realizar o se
hayan realizado, durante este proceso se aplican medidas tanto preventivas como correctivas. Con
el fin de establecer los procedimientos del SARLAFT.
Reputacional: Los riesgos reputacionales están asociados de manera directa con la administración
de la imagen de la organización como el desprestigio y la publicidad negativa.
Legales: Los riesgos legales están representados entre otros, por las sanciones, multas,
indemnizaciones o fallas en contratos.
Contagio: Los riesgos de contagio son los adquiridos de manera indirecta por la relación de algún
miembro de la organización con alguna actividad delictiva, afectando como consecuencia, el
nombre de la empresa.
Operativos: Los riesgos operativos son los representados por las fallas o deficiencias de recursos
humanos, procesos, tecnología, infraestructura o fallas externas.
Identificación: Reconocer los riesgos que se podrían presentar o manifestar de cualquier manera.
Medición: Verificar y medir la probabilidad de que el riesgo se pueda dar y si se llegará a manifestar
qué impactos causaría.
Control: El plan que se pondrá en marcha debe brindar la posibilidad de controlar los riesgos
identificados y clasificados.
Monitoreo: Revisión y seguimiento que se le hará al plan que se está ejecutando para identificar los
riesgos que se puedan presentar y estar alerta de situaciones que puedan ser sospechosas.
Es necesario buscar mecanismos de prevención del riesgo y lavado de activos, para esto se realiza
la adopción de buenas prácticas en la ejecución de los procesos, estos son algunos:
• Políticas: Son los lineamientos generales que deben adoptar las entidades vigiladas en
relación con el SARLAFT.
• Cada una de las etapas y elementos del sistema debe contar con unas políticas claras y
efectivamente aplicables.
• Procedimientos: Todas las entidades deben establecer los procedimientos aplicables para la
adecuada implementación y funcionamiento de los elementos y etapas del SARLAFT.
• Documentación: Las etapas y los elementos del SARLAFT implementados por la entidad
deben constar en documentos y registros.
• Además, se debe garantizar la integridad, oportunidad, confiabilidad y disponibilidad de la
información allí contenida.
• Estructura organizacional: Deben establecer y asignar las facultades y funciones en relación
con las distintas etapas y elementos del SARLAFT.
• Órganos de control: Hay que establecer órganos e instancias responsables de efectuar una
evaluación del Sarlaft.
• Todo esto con el fin de que se puedan determinar sus fallas o debilidades e informarlas a las
instancias pertinentes.
• Infraestructura tecnológica: Muy importante es contar con la tecnología y los sistemas
necesarios para garantizar la adecuada administración del riesgo de LA/FT.
• Para ello deben contar con un soporte tecnológico acorde con sus actividades, operaciones,
riesgo y tamaño.
• Divulgación de información: Las entidades deben diseñar un sistema efectivo, eficiente y
oportuno de reportes, tanto internos como externos.
• Tales reportes tienen que garantizar el funcionamiento de los procedimientos y atención de
requerimientos de las autoridades.
• Capacitación: Se precisa diseñar, programar y coordinar planes de capacitación sobre el
SARLAFT dirigidos a todas las áreas y funcionarios de la entidad.
• Tal vez el elemento más complejo por la diversidad de temas que lo conforman es el de los
procedimientos.
Es deber de las entidades vigiladas revisar periódicamente las etapas y elementos del SARLAFT a fin
de realizar los ajustes que consideren necesarios para su efectivo, eficiente y oportuno
funcionamiento.
El SARLAFT debe abarcar todas las actividades que realizan las entidades vigiladas en desarrollo de
su objeto social principal.
El SARLAFT que implementen y desarrollen las entidades vigiladas que se encuentren en las
situaciones previstas en los artículos 260 del Código de Comercio y el artículo 28 de la Ley 222 de
1995 y normas que los modifiquen o adicionen, debe tener características similares con el fin de
eliminar posibles arbitrajes entre ellas.
El sistema obliga a las empresas a contar con procedimientos propios para la determinación de
riesgos relacionados con LA/FT, en este sentido, la normatividad sugiere que se tenga en cuenta el
tipo de negocio, operación, tamaño, el lugar donde ejerce su actividad y otras características
atribuibles al negocio, para ello, cada empresa obligada a implementar el Sarlaft deberán tener una
matriz de riesgos LA/FT la cual deberá servir para medir y monitorear su evolución.
6. ¿En qué consiste el conocimiento del cliente y para qué sirve?
El SARLAFT debe contar con procedimientos para obtener un conocimiento efectivo, eficiente y
oportuno de todos los clientes actuales y potenciales, así como para verificar la información y los
soportes de esta. El conocimiento del cliente implica conocer de manera permanente y actualizada,
cuando menos, los siguientes datos:
b) Actividad económica.
Las metodologías para conocer al cliente deben permitir a las entidades cuando menos:
III. Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos
clientes y determinar la existencia de operaciones sospechosas.
Para estos efectos, las entidades deben diseñar y adoptar formularios de solicitud de vinculación de
clientes que contengan cuando menos la información que más adelante se indica, los cuales deben
diligenciarse de acuerdo con las instrucciones señaladas en el presente instructivo. Salvo en los
casos expresamente exceptuados en la presente circular, las entidades deben obtener de los
potenciales clientes, el diligenciamiento de los formularios de solicitud de vinculación para el
suministro de productos o prestación de servicios. Dicho formulario debe también ser diligenciado
por toda persona que se encuentre facultada o autorizada para disponer de los recursos o bienes
objeto del contrato, caso en el cual deberá la entidad verificar el documento que acredita dicha
facultad o autorización.
De acuerdo con el SARLAFT, las entidades financieras están obligadas a verificar la información
suministrada por sus clientes, así como sus correspondientes soportes.
Este procedimiento debe estar incluidos dentro del manual de procedimientos SARLAFT de la
entidad.
Teniendo en cuenta lo anterior, la Superintendencia Financiera de Colombia, a través del concepto
2011013139-003 del 6 de abril de 2011, indicó que los procedimientos de conocimiento del cliente
se encuentran compuestos de dos partes:
Finalmente, se recomienda consultar a los clientes actuales y potenciales en listas restrictivas para
descartar cualquier relacionamiento con organizaciones delictivas o terroristas.
El SARLAFT le impone a las entidades financieras varias obligaciones de conocimiento del cliente:
Una de ellas es la de realizar esfuerzos para confirmar y actualizar, por lo menos cada año, los datos
suministrados por sus clientes en los formularios de vinculación.
“el conocimiento del cliente no es simplemente una obligación puntual que se cumple con el
diligenciamiento de unos formatos»., «se trata de una política que implica una acción planeada,
coordinada y continua”.
7. ¿Cuáles son los ramos y operaciones exentos del formulario de vinculación?
El numeral 4.2.2.1.1.2 del Capítulo XI del Título I de la Circular Básica Jurídica emitida por la
Superintendencia Financiera de Colombia contempla la posibilidad de que la entidad vigilada
aplique algunas excepciones a la obligación de diligenciar el formulario de solicitud de vinculación
de clientes y de realizar la entrevista.
Nos referimos a la excepción V del literal d) del numeral de la Circular en comento, que hace
referencia a seguros “(…) tomados mediante mercadeo masivo o bancaseguros siempre que el pago
de las primas se haga mediante descuento directo de cuentas de ahorros, cuenta corriente o tarjeta
de crédito, y que el cliente haya autorizado expresamente el traslado”.
Si bien la interpretación de esta excepción permite indicar que para que ella opere se requiere de
tres (3) requisitos aparentemente sencillos, al final dicha interpretación no resulta ser del todo fácil.
En efecto, la excepción es aplicable cuando el seguro que vincula al cliente cumpla los siguientes
requisitos:
Las Personas Políticamente Expuestas son servidores públicos que, por los riesgos de corrupción
asociados a las funciones propias de sus cargos, deben ser tratados como sujetos especiales por el
sistema financiero y los demás sujetos de reporte de operaciones sospechosas.
De acuerdo con el Decreto 1674 de 2016 (compilado en el título 4, capítulo 2 del Decreto 1081 de 2015),
las personas expuestas políticamente (PEP) es un término que describe a alguien a quien se le ha confiado
una responsabilidad pública prominente. Según la disposición, las personas antes indicadas como PEP
tienen la obligación de informar su cargo, fecha de vinculación y de desvinculación cuando sea solicitado
en los procesos de vinculación, debida diligencia, actualización anual y conocimiento del cliente,
efectuado por los sujetos obligados al cumplimiento de la regulación vigente sobre el riesgo de lavado
de activos y financiación del terrorismo. Los cargos se encuentran detallados en el decreto.
9. ¿Qué es el SARO?
Riesgo legal
Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar
daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.
También surge como consecuencia de fallas en los contratos y transacciones, derivadas de
actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o
ejecución de contratos o transacciones.
Riesgo reputacional
Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad
negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de
clientes, disminución de ingresos o procesos judiciales.
Es el sistema de administración de riesgo que deben implementar las entidades vigiladas con el
propósito de identificar, medir, controlar y monitorear el riesgo de mercado al que están expuestas
en desarrollo de sus operaciones autorizadas, incluidas las de tesorería, atendiendo su estructura y
tamaño.
12. ¿Cuáles son los factores de riesgo?
Los principales factores que constituyen el origen del riesgo operacional son los siguientes:
• Procesos internos.
• Eventos externos.
• Recursos humanos.
• Tecnologías de la información y la comunicación (TICs)
13 a la 15
Fraude interno
El robo, los sobornos o el incumplimiento de las regulaciones por parte de empleados directos o
terceros vinculados contractualmente con la empresa son riesgos producidos por fraudes internos.
Fraude externo
Este tipo de riesgo se origina por la actuación de personas externas a la entidad. Pueden presentarse
a través de robos, falsificaciones o ataques informáticos.
Fallas tecnológicas
Los errores en la gestión de procesos también implican un riesgo para la compañía. En este sentido,
la captura de transacciones, el monitoreo, el reporte y la documentación de clientes, así como la
gestión de cuentas deben ser evaluados para reconocer posibles riesgos operacionales.
Toda actuación que infrinja la legislación laboral y la seguridad en el trabajo puede generar un riesgo
patente. Por eso, presta atención a posibles reclamaciones por daños personales o a casos de
discriminación laboral dentro de la empresa.
Circunstancias fortuitas como incendios, terremotos, actos terroristas, entre otros, pueden poner
en riesgo los activos físicos de tu empresa, así que es importante que identifiques los daños o
perjuicios que estos eventos puedan ocasionar.
Clientes, productos y prácticas empresariales
Finalmente, este último tipo de riesgo operativo se refiere a actos como competencia desleal,
perjuicios a los clientes e información engañosa sobre los productos, lo que puede implicar un riesgo
de incumplimiento involuntario y negligente.
Los Órganos de control para el Sistema de Administración de Riesgos Operativos (SARO) se crean
con el principal propósito de analizar los errores, así como las debilidades que se presenten en el
sistema para una vez detectadas, poder comunicarlas a aquellas instancias que sean pertinentes
La Revisoría Fiscal.
• Dar a conocer al citado Consejo Directivo, así como al propio Director General, todas y cada
una de las inconsistencias y problemas descubiertos en el Sistema de Administración de
Riesgos Operativos SARO de la organización, así como los no cumplimientos de algunas de
las disposiciones establecidas sobre esta esta materia.
• Realizar una evaluación con carácter periódico que permita determinar si la organización
cumple de manera efectiva con todas las etapas y los elementos del SARO. Con ello
buscamos identificar las deficiencias existentes a fin de poder buscar soluciones posibles.
• Trasmitir la información sobre los resultados obtenidos de la anterior evaluación a la
correspondiente Unidad de Riesgo Operativo, así como al Representante Legal de la
organización. Efectuar periódicamente una revisión del registro de los eventos de riesgo
operativo.
Significa que existe una institución que autoriza y vigila la actividad que realiza una entidad que
recibe dineros del público, donde usted ahorra, invierte su capital, tiene un crédito, un seguro o su
pensión.
De acuerdo con las leyes colombianas vigentes, las únicas entidades legalmente autorizadas para la
captación, manejo, aprovechamiento o inversión de recursos del público son las sometidas a la
inspección, vigilancia y control de la Superintendencia Financiera de Colombia.
Las entidades autorizadas para captar recursos del público deben constituirse exclusivamente bajo
la forma de sociedades anónimas o de cooperativas financieras. Así las cosas, en nuestro país
ninguna sociedad colectiva, en comandita, de responsabilidad limitada o empresa unipersonal
puede contar con autorización legal para captar recursos del público y, mucho menos, una persona
natural.
Las entidades vigiladas por la Superintendencia Financiera de Colombia pueden ser consultadas en
la página web: www.superfinanciera.gov.co
16. ¿En qué consiste el documento de política integral de protección al consumidor financiero?
Artículo 13. Funciones de la Defensoría del Consumidor Financiero. Las entidades vigiladas que
defina el Gobierno Nacional, deberán contar con un Defensor del Consumidor Financiero. La
Defensoría del Consumidor será una institución orientada a la protección especial de los
consumidores financieros, y como tal, deberá ejercer con autonomía e independencia las siguientes
funciones:
b) Conocer y resolver en forma objetiva y gratuita para los consumidores, las quejas que estos le
presenten, dentro de los términos y el procedimiento que se establezca para tal fin, relativas a un
posible incumplimiento de la entidad vigilada de las normas legales, contractuales o procedimientos
internos que rigen la ejecución de los servicios o productos que ofrecen o prestan, o respecto de la
calidad de estos.
c) Actuar como conciliador entre los consumidores financieros y la respectiva entidad vigilada en los
términos indicados en la Ley 640 de 2001, su reglamentación, o en las normas que la modifiquen o
sustituyan. Para el efecto, el consumidor financiero y la entidad vigilada podrán poner el asunto en
conocimiento del respectivo Defensor, indicando de manera explícita su deseo de que el caso sea
atendido en desarrollo de la función de conciliación. Para el ejercicio de esta función, el Defensor
deberá estar certificado como conciliador de conformidad con las normas vigentes.
g) Las demás que le asigne el Gobierno Nacional y que tengan como propósito el adecuado
desarrollo del SAC.
18. ¿Cuáles son los derechos del consumidor financiero?
La Superintendencia Financiera de Colombia SFC, como parte de sus objetivos misionales, a través
de la Dirección de Protección al Consumidor Financiero DPCF, desarrolla el programa denominado
"Canales de Difusión", cuyo espíritu central es llegar a más y más consumidores financieros, a través
de alianzas estratégicas concertadas con entidades públicas y privadas, ONG y otras organismos,
que atiendan o lleguen de manera masiva al público, buscando con ello informar y educar en torno
a la naturaleza y funciones de esta Superintendencia, a los deberes y obligaciones de los
consumidores financieros y a los principales aspectos de los productos y servicios de las entidades
vigiladas y supervisadas.
La SFC realiza eventos y participa con las entidades y organizaciones con las que establece alianzas,
en una gestión y perspectiva de formación, de sembrar herramientas de educación, a través de
diversas acciones tales como charlas y talleres; entrega de material informativo y pedagógico
(afiches, volantes, tarjetas y cartillas) actuando en eventos dirigidos a diversos focos de la población.
De esta manera propicia que los consumidores financieros puedan tomar mejores decisiones en el
acceso y uso de los productos que ofrece el sector vigilado, en las competencias de la SFC, y en sus
derechos y deberes, primordialmente.
21. ¿Cuándo acudir ante el Defensor del Consumidor Financiero?
Acude a tu Defensor siempre que creas que una entidad financiera no te ha prestado un servicio de
forma adecuada. Igualmente, si crees que la institución financiera no te ha cumplido lo acordado
en la prestación de un servicio.
3.4.1. Una vez realizadas las actividades anteriores y aclarados los temas con su equipo de trabajo,
organice una propuesta escrita sobre los controles que deberían implementarse y cuál sería
la mejor manera de hacerlo para evitar los fraudes frente al Sarlaft y Riesgo Operativo,
teniendo en cuenta sus recomendaciones para garantizar que se mantenga la ética y demás
normas requeridas
Una vez vistos los conceptos relacionados con el SARLAFT debemos buscar que el riesgo se pueda
prevenir, detectar y ser reportado antes de que pueda generar algún tipo de alteración, es decir se
puede tener la posibilidad de anticiparse y actuar con agilidad y eficacia.
Para ello podemos implementar una plataforma en donde se puedan identificar señales de alerta
en tiempo real, establecer controles, monitorear fácilmente los riesgos asociados al lavado de
activos y actualizar la información de manera rápida y oportuna.
- Focalizar los recursos disponibles a aquellas áreas que implican mayores riesgos mediante un
proceso de identificación, evaluación y comprensión de los riesgos.
- Implementar medidas para la mitigación de los riesgos con fundamento en un enfoque basado en
riesgos que permita la adopción de mecanismos flexibles y la aplicación de medidas preventivas
acordes con la naturaleza de los riesgos identificados.
- Asignar mayores recursos, a las actividades identificadas como de mayor riesgo, siguiendo el
enfoque basado en riesgos.