SERVICIO NACIONAL DE APRENDIZALE SENA

GESTIÓN INTEGRAL DEL RIESGO EN SEGUROS

APRENDIZ
MARTA YOLANDA GORDILLO SILVA

FICHA: 2397375

INSTRUCTOR
ERNESTO GODOY GODOY

COMPETENCIA
CLASE TÉCNICA DE SEGUROS
BOGOTÁ D.C.
Noviembre 2021
 GUÍA DE APRENDIZAJE N. 2 Normatividad “Seguridad de la Información”

3.1.1. Lo invitamos a ver la siguiente imagen de manera muy crítica, revisar los comentarios que la
acompañan y expresar su opinión frente a la misma en el foro dispuesto para tal fin por su instructor:

En su opinión, ¿qué debe hacerse? Exponga su criterio de manera integral frente a lo que usted
considere como deber ser y los comportamientos que se puedan dar al respecto

En la imagen podemos encontrar todos los posibles riesgos de seguridad de la información, que se
pueden presentar en cualquier organización; ya que se ven constantemente afectados por
amenazas de seguridad, por ciberataques, por fraudes informáticos, virus con el riesgo de
eliminación y pérdida de la información.

Cuando hablamos de seguridad de la información, pensamos en ordenadores, servidores, la nube,

piratas informáticos. Pero también lo es, que aún no hemos eliminado el papel totalmente y que en
documentos impresos encontramos información vital que debe preservarse, evitando el acceso de
personas no autorizadas.
Para las organizaciones, esto es aún más importante. Todos los empleados deben ser conscientes
de la importancia de cualquier dato contenido en papel, libros, manuales, e incluso, en teléfonos,
memorias de impresoras, o computadoras portátiles que puedan ser robados físicamente.

3.2.1. A continuación encontrará dos ejemplos de situaciones que a diario escuchamos sobre
posibles fraudes a través de diferentes medios tecnológicos. Una vez analizadas, lo invitamos a
recordar en lo que ha escuchado o ha podido experimentar sobre posibles situaciones de la misma
índole y conteste: ¿Porque medio la realizaron? ¿Cuáles fueron sus consecuencias?

Phishing (Suplantación de identidad)

El Phishing es un método en el cual los delincuentes se hacen pasar por conocidos de las personas,
plataformas de e-commerce o instituciones financieras para robar datos personales y bancarios de
sus víctimas. Este es el tipo de fraude digital más común en el mundo actual.

La estafa consiste en crear un sitio web falso extremadamente similar al de algunas empresas
legítimas. A través de mensajes vía correo electrónico, Whatsapp o SMS, los delincuentes envían un
enlace, solicitando la confirmación de los datos. Al hacer clic en este enlace, las víctimas son
redirigidas al sitio web falso, donde terminan cayendo en la trampa y proporcionando sus datos.

Ejemplo: UN CASO DE PHISHING EN COLOMBIA

En el presente año 2017 se presenta en Colombia el caso de Phishing a los usuarios de la entidad
bancaria Bancolombia, el banco privado más grande del país con sede principal en la ciudad de
Medellín.

De acuerdo a las declaraciones que hizo el grupo de investigadores de seguridad informática de la

empresa eslovaca ESET, el fraude comenzó con un correo electrónico proveniente de la
cuenta informacion@bancolombia.com.co que eran enviados a las cuentas de correo de los
usuarios de este banco en el que se le informaba a los clientes que por motivos de seguridad los
servicios contratados por este habían sido suspendidos temporalmente y que para volver a hacer
uso de estos canales virtuales debían hacer clic en un enlace proporcionado en el cuerpo del correo.
Una vez el cliente ingresaba a la página fraudulenta, se le solicitaba que ingresara los datos
correspondientes al usuario, contraseña y preguntas de seguridad con el fin de obtener en una base
de datos toda la información necesaria a la hora de realizar una transferencia de dinero. Para darles
sensación de seguridad a los usuarios, los delincuentes diseñaron el teclado virtual que usa
realmente el banco y hacían que para ingresar la contraseña solo se pudiera por medio de este
teclado virtual. Así, el cliente no sospechaba que estuviera entregándoles información valiosa a
personas sin escrúpulos.

• Robo de datos de tarjetas

Este tipo de fraude puede ocurrir físicamente, cuando a un usuario le roban su tarjeta; y
virtualmente, cuando el consumidor ingresa los datos de la tarjeta en sitios web falsos, no
protegidos o no seguros. En posesión de estos datos, los estafadores pueden realizar compras hasta
que el usuario se dé cuenta y bloquee la tarjeta. El robo de tarjetas de crédito ocupa el noveno lugar
entre los tipos más comunes de fraude digital en el mundo.

3.3.1. Consulte en el ambiente de formación y/o desde su trabajo autónomo los siguientes temas.

1. ¿Qué es el SARLAFT?

SARLAFT es el Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del

Terrorismo, el cual se debe implementar en las entidades vigiladas por la Superintendencia
Financiera de Colombia para prevenir el riesgo del lavado de activos y financiamiento del terrorismo,
es un sistema que está compuesto por dos componentes. El componente de prevención del riesgo
y el componente de control.

La prevención de riesgos como su nombre lo indica, se trata de prevenir que las entidades vigiladas
sean utilizadas para dar apariencia de legalidad a recursos provenientes de actividades delictivas o,
para la canalización de recursos hacia la realización de actividades terroristas.

El componente de control es utilizado para detectar las operaciones que se pretendan realizar o se
hayan realizado, durante este proceso se aplican medidas tanto preventivas como correctivas. Con
el fin de establecer los procedimientos del SARLAFT.

2. ¿Cuáles son los riesgos asociados al LA/FT?

Los riesgos asociados al SARLAFT pueden clasificarse de la siguiente manera:

Reputacional: Los riesgos reputacionales están asociados de manera directa con la administración
de la imagen de la organización como el desprestigio y la publicidad negativa.

Legales: Los riesgos legales están representados entre otros, por las sanciones, multas,
indemnizaciones o fallas en contratos.

Contagio: Los riesgos de contagio son los adquiridos de manera indirecta por la relación de algún
miembro de la organización con alguna actividad delictiva, afectando como consecuencia, el
nombre de la empresa.

Operativos: Los riesgos operativos son los representados por las fallas o deficiencias de recursos
humanos, procesos, tecnología, infraestructura o fallas externas.

3. ¿Cuáles son las etapas del Sarlaft? Explíquelas

Identificación: Reconocer los riesgos que se podrían presentar o manifestar de cualquier manera.

Medición: Verificar y medir la probabilidad de que el riesgo se pueda dar y si se llegará a manifestar
qué impactos causaría.

Control: El plan que se pondrá en marcha debe brindar la posibilidad de controlar los riesgos
identificados y clasificados.

Monitoreo: Revisión y seguimiento que se le hará al plan que se está ejecutando para identificar los
riesgos que se puedan presentar y estar alerta de situaciones que puedan ser sospechosas.
 Es necesario buscar mecanismos de prevención del riesgo y lavado de activos, para esto se realiza
la adopción de buenas prácticas en la ejecución de los procesos, estos son algunos:

• Aplicar mecanismos de conocimiento de clientes que permitan no solo identificar el

cliente, sino conocer el tipo de actividad económica que realiza.
• Documentar todas las operaciones que realice el cliente, con el fin de tener la
seguridad que existe coherencia con el tipo de negocio y la actividad del cliente.
• Monitorear las operaciones, especialmente las que puedan ser de alto riesgo, con el
fin de poder identificar situaciones que puedan considerarse como inusuales.
• Identificar señales de alerta, que conduzcan a verificar información, detectando la
presencia de posibles operaciones inusuales.
• Actualizar los manuales de procedimientos, de manera que se encuentren conforme
a las normas y a los procesos adoptados en materia de prevención de lavados de
activos y financiación de terrorismo.
• Incluir controles en cada uno de los procesos.

4. ¿Cuáles son los elementos del SARLAFT? Explíquelos

• Políticas: Son los lineamientos generales que deben adoptar las entidades vigiladas en
relación con el SARLAFT.
• Cada una de las etapas y elementos del sistema debe contar con unas políticas claras y
efectivamente aplicables.
• Procedimientos: Todas las entidades deben establecer los procedimientos aplicables para la
adecuada implementación y funcionamiento de los elementos y etapas del SARLAFT.
• Documentación: Las etapas y los elementos del SARLAFT implementados por la entidad
deben constar en documentos y registros.
• Además, se debe garantizar la integridad, oportunidad, confiabilidad y disponibilidad de la
información allí contenida.
• Estructura organizacional: Deben establecer y asignar las facultades y funciones en relación
con las distintas etapas y elementos del SARLAFT.

• Órganos de control: Hay que establecer órganos e instancias responsables de efectuar una
evaluación del Sarlaft.
• Todo esto con el fin de que se puedan determinar sus fallas o debilidades e informarlas a las
instancias pertinentes.
• Infraestructura tecnológica: Muy importante es contar con la tecnología y los sistemas
necesarios para garantizar la adecuada administración del riesgo de LA/FT.
• Para ello deben contar con un soporte tecnológico acorde con sus actividades, operaciones,
riesgo y tamaño.
 • Divulgación de información: Las entidades deben diseñar un sistema efectivo, eficiente y
oportuno de reportes, tanto internos como externos.
• Tales reportes tienen que garantizar el funcionamiento de los procedimientos y atención de
requerimientos de las autoridades.
• Capacitación: Se precisa diseñar, programar y coordinar planes de capacitación sobre el
SARLAFT dirigidos a todas las áreas y funcionarios de la entidad.
• Tal vez el elemento más complejo por la diversidad de temas que lo conforman es el de los
procedimientos.

5. ¿Cuáles son los deberes frente a la implementación del SARLAFT?

• Identificación. Reconocer los riesgos que se podrían presentar o manifestar de cualquier

manera.
• Medición. Verificar y medir la probabilidad de que el riesgo se pueda dar y si se llegará a
manifestar qué impactos causaría.
• Control. ...
• Monitoreo. ...
• Políticas. ...
• Procedimientos. ...
• Documentación. ...
• Estructura organizacional.

Es deber de las entidades vigiladas revisar periódicamente las etapas y elementos del SARLAFT a fin
de realizar los ajustes que consideren necesarios para su efectivo, eficiente y oportuno
funcionamiento.

El SARLAFT debe abarcar todas las actividades que realizan las entidades vigiladas en desarrollo de
su objeto social principal.

El SARLAFT que implementen y desarrollen las entidades vigiladas que se encuentren en las
situaciones previstas en los artículos 260 del Código de Comercio y el artículo 28 de la Ley 222 de
1995 y normas que los modifiquen o adicionen, debe tener características similares con el fin de
eliminar posibles arbitrajes entre ellas.

El sistema obliga a las empresas a contar con procedimientos propios para la determinación de
riesgos relacionados con LA/FT, en este sentido, la normatividad sugiere que se tenga en cuenta el
tipo de negocio, operación, tamaño, el lugar donde ejerce su actividad y otras características
atribuibles al negocio, para ello, cada empresa obligada a implementar el Sarlaft deberán tener una
matriz de riesgos LA/FT la cual deberá servir para medir y monitorear su evolución.
6. ¿En qué consiste el conocimiento del cliente y para qué sirve?

El SARLAFT debe contar con procedimientos para obtener un conocimiento efectivo, eficiente y
oportuno de todos los clientes actuales y potenciales, así como para verificar la información y los
soportes de esta. El conocimiento del cliente implica conocer de manera permanente y actualizada,
cuando menos, los siguientes datos:

a) Identificación. Supone el conocimiento y verificación de todos los datos exigidos en el

formulario que permiten individualizar plenamente la persona natural o jurídica que se
pretende vincular. Tratándose de la vinculación de personas jurídicas, el conocimiento del
cliente supone, además de lo dispuesto en el formulario, conocer la estructura de su
propiedad, es decir, la identidad de los accionistas o asociados que tengan directa o
indirectamente más del 5% de su capital social, aporte o participación en la entidad.

b) Actividad económica.

c) Características, montos y procedencia de sus ingresos y egresos.

d) Respecto de clientes vigentes, las características y montos de sus transacciones y

operaciones.

Las metodologías para conocer al cliente deben permitir a las entidades cuando menos:

I. Recaudar la información que le permita comparar las características de sus transacciones

con las de su actividad económica.

II. Monitorear continuamente las operaciones de los clientes.

III. Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos
clientes y determinar la existencia de operaciones sospechosas.

Para estos efectos, las entidades deben diseñar y adoptar formularios de solicitud de vinculación de
clientes que contengan cuando menos la información que más adelante se indica, los cuales deben
diligenciarse de acuerdo con las instrucciones señaladas en el presente instructivo. Salvo en los
casos expresamente exceptuados en la presente circular, las entidades deben obtener de los
potenciales clientes, el diligenciamiento de los formularios de solicitud de vinculación para el
suministro de productos o prestación de servicios. Dicho formulario debe también ser diligenciado
por toda persona que se encuentre facultada o autorizada para disponer de los recursos o bienes
objeto del contrato, caso en el cual deberá la entidad verificar el documento que acredita dicha
facultad o autorización.

De acuerdo con el SARLAFT, las entidades financieras están obligadas a verificar la información
suministrada por sus clientes, así como sus correspondientes soportes.
Este procedimiento debe estar incluidos dentro del manual de procedimientos SARLAFT de la
entidad.
Teniendo en cuenta lo anterior, la Superintendencia Financiera de Colombia, a través del concepto
2011013139-003 del 6 de abril de 2011, indicó que los procedimientos de conocimiento del cliente
se encuentran compuestos de dos partes:

• La relacionada con la obtención de la información “que le permita a la entidad llevar a cabo

un efectivo, eficiente y oportuno conocimiento de los clientes actuales y potenciales, el cual
comporta el diseño y adopción del formulario de solicitud de vinculación y su
diligenciamiento por el potencial cliente”.

• La relacionada con la verificación “de la información contenida en el formulario y de los

soportes de esta, soportes que el potencial debe exhibir o entregar, si la entidad así lo
determina”.

Finalmente, se recomienda consultar a los clientes actuales y potenciales en listas restrictivas para
descartar cualquier relacionamiento con organizaciones delictivas o terroristas.
El SARLAFT le impone a las entidades financieras varias obligaciones de conocimiento del cliente:
Una de ellas es la de realizar esfuerzos para confirmar y actualizar, por lo menos cada año, los datos
suministrados por sus clientes en los formularios de vinculación.
“el conocimiento del cliente no es simplemente una obligación puntual que se cumple con el
diligenciamiento de unos formatos»., «se trata de una política que implica una acción planeada,
coordinada y continua”.
7. ¿Cuáles son los ramos y operaciones exentos del formulario de vinculación?

El numeral 4.2.2.1.1.2 del Capítulo XI del Título I de la Circular Básica Jurídica emitida por la
Superintendencia Financiera de Colombia contempla la posibilidad de que la entidad vigilada
aplique algunas excepciones a la obligación de diligenciar el formulario de solicitud de vinculación
de clientes y de realizar la entrevista.
Nos referimos a la excepción V del literal d) del numeral de la Circular en comento, que hace
referencia a seguros “(…) tomados mediante mercadeo masivo o bancaseguros siempre que el pago
de las primas se haga mediante descuento directo de cuentas de ahorros, cuenta corriente o tarjeta
de crédito, y que el cliente haya autorizado expresamente el traslado”.
Si bien la interpretación de esta excepción permite indicar que para que ella opere se requiere de
tres (3) requisitos aparentemente sencillos, al final dicha interpretación no resulta ser del todo fácil.
En efecto, la excepción es aplicable cuando el seguro que vincula al cliente cumpla los siguientes
requisitos:

1. Que el seguro sea tomado mediante mercadeo masivo o bancaseguros.

2. Que el pago de las primas se haga mediante descuento directo de cuentas de ahorro,
corriente o tarjeta de crédito.
3. Que el cliente haya aceptado expresamente el traslado del pago de la prima de su cuenta a
la cuenta de la aseguradora.
8. ¿En qué consiste el conocimiento del cliente para personas mayormente expuestas al LA/FT?

Las Personas Políticamente Expuestas son servidores públicos que, por los riesgos de corrupción
asociados a las funciones propias de sus cargos, deben ser tratados como sujetos especiales por el
sistema financiero y los demás sujetos de reporte de operaciones sospechosas.

De acuerdo con el Decreto 1674 de 2016 (compilado en el título 4, capítulo 2 del Decreto 1081 de 2015),
las personas expuestas políticamente (PEP) es un término que describe a alguien a quien se le ha confiado
una responsabilidad pública prominente. Según la disposición, las personas antes indicadas como PEP
tienen la obligación de informar su cargo, fecha de vinculación y de desvinculación cuando sea solicitado
en los procesos de vinculación, debida diligencia, actualización anual y conocimiento del cliente,
efectuado por los sujetos obligados al cumplimiento de la regulación vigente sobre el riesgo de lavado
de activos y financiación del terrorismo. Los cargos se encuentran detallados en el decreto.

9. ¿Qué es el SARO?

Sistema de Administración de Riesgos Operativos (SARO) Se entiende por riesgo operativo a la

posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano,
los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.
Incluye el riesgo legal y el reputacional.

Riesgo legal

Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar
daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.
También surge como consecuencia de fallas en los contratos y transacciones, derivadas de
actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o
ejecución de contratos o transacciones.

Riesgo reputacional

Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad
negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de
clientes, disminución de ingresos o procesos judiciales.

10. ¿Qué es el SARC?

Es el Sistema de Administración de Riesgo de Crédito que deben implementar las organizaciones

solidarias vigiladas, con el propósito de identificar, medir, controlar y monitorear el riesgo de crédito
al cual se encuentran expuestas en el desarrollo de su proceso de crédito.

11. ¿Qué es el SARM?

Es el sistema de administración de riesgo que deben implementar las entidades vigiladas con el
propósito de identificar, medir, controlar y monitorear el riesgo de mercado al que están expuestas
en desarrollo de sus operaciones autorizadas, incluidas las de tesorería, atendiendo su estructura y
tamaño.
12. ¿Cuáles son los factores de riesgo?

Los principales factores que constituyen el origen del riesgo operacional son los siguientes:
• Procesos internos.
• Eventos externos.
• Recursos humanos.
• Tecnologías de la información y la comunicación (TICs)

REFERERENTE AL SARO, responder de la pregunta No.

13 a la 15

13. ¿Cómo se clasifican los riesgos operativos?

Fraude interno

El robo, los sobornos o el incumplimiento de las regulaciones por parte de empleados directos o
terceros vinculados contractualmente con la empresa son riesgos producidos por fraudes internos.

Fraude externo

Este tipo de riesgo se origina por la actuación de personas externas a la entidad. Pueden presentarse
a través de robos, falsificaciones o ataques informáticos.

Fallas tecnológicas

Si tu compañía se expone a fallos en los sistemas de cómputo, en el hardware o en el software, debe

identificar los riesgos que estos eventos generan.

Ejecución y gestión de procesos

Los errores en la gestión de procesos también implican un riesgo para la compañía. En este sentido,
la captura de transacciones, el monitoreo, el reporte y la documentación de clientes, así como la
gestión de cuentas deben ser evaluados para reconocer posibles riesgos operacionales.

Relaciones laborales y seguridad en el puesto de trabajo

Toda actuación que infrinja la legislación laboral y la seguridad en el trabajo puede generar un riesgo
patente. Por eso, presta atención a posibles reclamaciones por daños personales o a casos de
discriminación laboral dentro de la empresa.

Daños a activos materiales

Circunstancias fortuitas como incendios, terremotos, actos terroristas, entre otros, pueden poner
en riesgo los activos físicos de tu empresa, así que es importante que identifiques los daños o
perjuicios que estos eventos puedan ocasionar.
Clientes, productos y prácticas empresariales

Finalmente, este último tipo de riesgo operativo se refiere a actos como competencia desleal,
perjuicios a los clientes e información engañosa sobre los productos, lo que puede implicar un riesgo
de incumplimiento involuntario y negligente.

14. ¿Cuáles son los controles que se deben implementar?

Los Órganos de control para el Sistema de Administración de Riesgos Operativos (SARO) se crean
con el principal propósito de analizar los errores, así como las debilidades que se presenten en el
sistema para una vez detectadas, poder comunicarlas a aquellas instancias que sean pertinentes

Podemos diferenciar dos categorías de órganos de control para el SARO:

La Revisoría Fiscal.

Las principales funciones que debe ejercer el Revisor Fiscal son:

• La elaboración de un reporte informando de las principales conclusiones extraídas de la

evaluación realizada sobre el cumplimiento de las normas e instrucciones sobre el SARO.
Este reporte se realiza al cierre de cada ejercicio contable. Va destinado al Consejo Directivo.

• Dar a conocer al citado Consejo Directivo, así como al propio Director General, todas y cada
una de las inconsistencias y problemas descubiertos en el Sistema de Administración de
Riesgos Operativos SARO de la organización, así como los no cumplimientos de algunas de
las disposiciones establecidas sobre esta esta materia.

Asesoría de Control Interno o quien ejecute funciones similares

Auditoría Interna, Asesoría de Control Interno o quien ejerza el control interno, es el
correspondiente a la dependencia interna que la propia organización cree para tal efecto. Sus
principales responsabilidades serán las siguientes:

• Realizar una evaluación con carácter periódico que permita determinar si la organización
cumple de manera efectiva con todas las etapas y los elementos del SARO. Con ello
buscamos identificar las deficiencias existentes a fin de poder buscar soluciones posibles.
• Trasmitir la información sobre los resultados obtenidos de la anterior evaluación a la
correspondiente Unidad de Riesgo Operativo, así como al Representante Legal de la
organización. Efectuar periódicamente una revisión del registro de los eventos de riesgo
operativo.

15. ¿Qué significa la expresión: ¿VIGILADO Superintendencia Financiera de Colombia?

Significa que existe una institución que autoriza y vigila la actividad que realiza una entidad que
recibe dineros del público, donde usted ahorra, invierte su capital, tiene un crédito, un seguro o su
pensión.
De acuerdo con las leyes colombianas vigentes, las únicas entidades legalmente autorizadas para la
captación, manejo, aprovechamiento o inversión de recursos del público son las sometidas a la
inspección, vigilancia y control de la Superintendencia Financiera de Colombia.

Las entidades autorizadas para captar recursos del público deben constituirse exclusivamente bajo
la forma de sociedades anónimas o de cooperativas financieras. Así las cosas, en nuestro país
ninguna sociedad colectiva, en comandita, de responsabilidad limitada o empresa unipersonal
puede contar con autorización legal para captar recursos del público y, mucho menos, una persona
natural.

Las entidades vigiladas por la Superintendencia Financiera de Colombia pueden ser consultadas en
la página web: www.superfinanciera.gov.co

FRENTE AL CONSUMIDOR FINANCIERO, basados en este contexto, lo invitamos a consultar el

siguiente link link

https://www.superfinanciera.gov.co/jsp/loader.jsf?lServicio=Publicaciones&lTipo=publicaciones&l
Funcion=l oadContenidoPublicacion&id=10083574 y responder de la pregunta No. 16 a la 22.

16. ¿En qué consiste el documento de política integral de protección al consumidor financiero?

• La SFC velará porque en el ejercicio de una supervisión efectiva se incluya la protección al

consumidor financiero como uno de sus componentes.
• La SFC propiciará e impulsará iniciativas regulatorias que propendan por la protección al
consumidor financiero.
• La SFC velará porque las supervisadas ofrezcan y garanticen al consumidor financiero un
servicio con calidad.
• La SFC velará porque las supervisadas proporcionen elementos para que el consumidor
financiero cuente con una relación contractual más segura y equitativa.
• La SFC propiciará el establecimiento de mecanismos que busquen la efectividad de los
derechos del consumidor financiero y el cumplimiento de las obligaciones derivadas.
• La SFC velará porque la publicidad de las supervisadas sea igualmente herramienta de
educación e información al consumidor financiero.
• La SFC impartirá directrices a las supervisadas para la difusión permanente de información
relevante relacionada con productos, servicios, precios, derechos, obligaciones.
• La SFC propiciará que la información que suministren las supervisadas sea completa y clara,
previa a la celebración de los contratos y en lenguaje comprensible para el consumidor
financiero.
• La SFC propiciará que las supervisadas implementen programas de educación dirigidos a
los consumidores financieros.
• La SFC mantendrá canales permanentes de información con grupos de interés, asociaciones,
universidades, consultorios jurídicos, gremios (nacionales e internacionales), asociados a la
protección al consumidor financiero.
• La SFC atenderá y resolverá las quejas con calidad y oportunidad, destinando funcionarios
especialmente preparados, y propiciará igual tratamiento en las supervisadas y en las
defensorías del consumidor financiero.
 • La SFC buscará la identificación de las causas de las quejas para que las supervisadas diseñen
mecanismos de prevención, corrección y/o mejoramiento, e igualmente generen directrices
que se constituyan en soluciones para el consumidor financiero.
• La SFC conocerá las áreas de atención de las supervisadas para retroalimentarse respecto
de las condiciones de atención al consumidor financiero.

17. ¿Cuáles son las normas de Protección al Consumidor Financiero?

Artículo 13. Funciones de la Defensoría del Consumidor Financiero. Las entidades vigiladas que
defina el Gobierno Nacional, deberán contar con un Defensor del Consumidor Financiero. La
Defensoría del Consumidor será una institución orientada a la protección especial de los
consumidores financieros, y como tal, deberá ejercer con autonomía e independencia las siguientes
funciones:

a) Atender de manera oportuna y efectiva a los consumidores financieros de las entidades

correspondientes.

b) Conocer y resolver en forma objetiva y gratuita para los consumidores, las quejas que estos le
presenten, dentro de los términos y el procedimiento que se establezca para tal fin, relativas a un
posible incumplimiento de la entidad vigilada de las normas legales, contractuales o procedimientos
internos que rigen la ejecución de los servicios o productos que ofrecen o prestan, o respecto de la
calidad de estos.

c) Actuar como conciliador entre los consumidores financieros y la respectiva entidad vigilada en los
términos indicados en la Ley 640 de 2001, su reglamentación, o en las normas que la modifiquen o
sustituyan. Para el efecto, el consumidor financiero y la entidad vigilada podrán poner el asunto en
conocimiento del respectivo Defensor, indicando de manera explícita su deseo de que el caso sea
atendido en desarrollo de la función de conciliación. Para el ejercicio de esta función, el Defensor
deberá estar certificado como conciliador de conformidad con las normas vigentes.

El documento en el cual conste la conciliación realizada entre la entidad vigilada y el consumidor

financiero deberá estar suscrito por ellos y el Defensor del Consumidor Financiero en señal de que
se realizó en su presencia, prestará mérito ejecutivo y tendrá efectos de cosa juzgada, sin que
requiera depositarlo en Centro de Conciliación. El incumplimiento de este dará la facultad a la parte
cumplida de hacerlo exigible por las vías legales respectivas.

d) Ser vocero de los consumidores financieros ante la respectiva entidad vigilada.

e) Efectuar recomendaciones a la entidad vigilada relacionadas con los servicios y la atención al

consumidor financiero, y en general en materias enmarcadas en el ámbito de su actividad.

f) Proponer a las autoridades competentes las modificaciones normativas que resulten

convenientes para la mejor protección de los derechos de los consumidores financieros.

g) Las demás que le asigne el Gobierno Nacional y que tengan como propósito el adecuado
desarrollo del SAC.
18. ¿Cuáles son los derechos del consumidor financiero?

Derechos del consumidor financiero – Ley 1328 de 2009

• Recibir de parte de las entidades vigiladas productos y servicios con estándares de
seguridad y calidad, de acuerdo con las condiciones ofrecidas y las obligaciones asumidas
por las entidades vigiladas.
• Disponer de publicidad e información sobre las características de los productos y servicios,
con:
Transparencia
Claridad
Oportunidad
Veracidad
Comparabilidad
Facilidad de comprensión
• Exigir la debida diligencia en la prestación de los servicios por parte de las entidades
vigiladas por la SFC.
• Recibir educación financiera de los productos y servicios, los costos que generan estos, sus
derechos y obligaciones, los mercados y tipo de actividad que desarrollan las entidades
financieras, así como sobre los mecanismos de protección que existen para la defensa de
sus derechos.
• Presentar de manera respetuosa consultas, peticiones, solicitudes, quejas y reclamos ante
la institución financiera, el defensor del consumidor financiero, la Superintendencia
Financiera de Colombia y los organismos de autorregulación.
• Como consumidor financiero usted tiene derecho a efectuar pagos anticipados en toda
operación de crédito sin incurrir en algún tipo de penalización. La entidad debe brindar
información sobre este derecho previamente al otorgamiento del crédito.

19. ¿Quiénes son consumidores financieros?

Es todo cliente, usuario o cliente potencial de las entidades vigiladas.

20. ¿Qué hace la SFC en materia de educación al consumidor financiero?

La Superintendencia Financiera de Colombia SFC, como parte de sus objetivos misionales, a través
de la Dirección de Protección al Consumidor Financiero DPCF, desarrolla el programa denominado
"Canales de Difusión", cuyo espíritu central es llegar a más y más consumidores financieros, a través
de alianzas estratégicas concertadas con entidades públicas y privadas, ONG y otras organismos,
que atiendan o lleguen de manera masiva al público, buscando con ello informar y educar en torno
a la naturaleza y funciones de esta Superintendencia, a los deberes y obligaciones de los
consumidores financieros y a los principales aspectos de los productos y servicios de las entidades
vigiladas y supervisadas.

La SFC realiza eventos y participa con las entidades y organizaciones con las que establece alianzas,
en una gestión y perspectiva de formación, de sembrar herramientas de educación, a través de
diversas acciones tales como charlas y talleres; entrega de material informativo y pedagógico
(afiches, volantes, tarjetas y cartillas) actuando en eventos dirigidos a diversos focos de la población.
De esta manera propicia que los consumidores financieros puedan tomar mejores decisiones en el
acceso y uso de los productos que ofrece el sector vigilado, en las competencias de la SFC, y en sus
derechos y deberes, primordialmente.
 21. ¿Cuándo acudir ante el Defensor del Consumidor Financiero?

Acude a tu Defensor siempre que creas que una entidad financiera no te ha prestado un servicio de
forma adecuada. Igualmente, si crees que la institución financiera no te ha cumplido lo acordado
en la prestación de un servicio.

3.4.1. Una vez realizadas las actividades anteriores y aclarados los temas con su equipo de trabajo,
organice una propuesta escrita sobre los controles que deberían implementarse y cuál sería
la mejor manera de hacerlo para evitar los fraudes frente al Sarlaft y Riesgo Operativo,
teniendo en cuenta sus recomendaciones para garantizar que se mantenga la ética y demás
normas requeridas

Una vez vistos los conceptos relacionados con el SARLAFT debemos buscar que el riesgo se pueda
prevenir, detectar y ser reportado antes de que pueda generar algún tipo de alteración, es decir se
puede tener la posibilidad de anticiparse y actuar con agilidad y eficacia.
Para ello podemos implementar una plataforma en donde se puedan identificar señales de alerta
en tiempo real, establecer controles, monitorear fácilmente los riesgos asociados al lavado de
activos y actualizar la información de manera rápida y oportuna.

Debemos seguir los siguientes pasos:

• Reconocer los riesgos que se podrían presentar o manifestar de cualquier manera.

• Verificar y medir la probabilidad de que el riesgo se pueda dar y si se llegará a manifestar
qué impactos causaría.
• El plan que se pondrá en marcha debe brindar la posibilidad de controlar los riesgos
identificados y clasificados.
• Revisión y seguimiento que se le hará al plan que se está ejecutando para identificar los
riesgos que se puedan presentar y estar alerta de situaciones que puedan ser sospechosas.

Identificar los riesgos.

- Focalizar los recursos disponibles a aquellas áreas que implican mayores riesgos mediante un
proceso de identificación, evaluación y comprensión de los riesgos.

- Implementar medidas para la mitigación de los riesgos con fundamento en un enfoque basado en
riesgos que permita la adopción de mecanismos flexibles y la aplicación de medidas preventivas
acordes con la naturaleza de los riesgos identificados.

- Identificar al cliente y verifiquen su identidad, lo cual tiene el alcance de conocer el objetivo de la

relación comercial.

- Llevar a cabo un monitoreo permanente de las transacciones de los asociados/clientes para

determinar su razonabilidad de acuerdo con el conocimiento que se tiene del asociado/cliente,
actividad comercial y perfil de riesgo.

- Asignar mayores recursos, a las actividades identificadas como de mayor riesgo, siguiendo el
enfoque basado en riesgos.