Documento de Apoyo - Estructura Sarlaft

Tabla de contenido
1. SARLAFT (Identificación – Medición o evaluación – Control – Monitoreo) ................ 2

2. Elementos para la implementación de SARLAFT (Políticas, procedimientos,
estructura organizacional, infraestructura tecnológica, órganos de control, divulgación
de información, capacitación) ................................................................................................... 17
3. Reporte de operaciones sospechosas (ROS) ............................................................... 28
4. Oficial de cumplimiento (Perfil y funciones) ................................................................... 37
5. Caso aplicado SARLAFT .................................................................................................. 44
6. Cibergrafía ........................................................................................................................... 44
1. SARLAFT (Identificación – Medición o evaluación – Control – Monitoreo)
Sistema de Administración del Riesgo de Lavado de Activos y de la

Financiación del Terrorismo (SARLAFT).
• Objetivos del SARLAFT:

o Presentar las etapas que conforman un sistema o modelo SARLAFT.
o Identificar los pasos para la identificación y prevención del riesgo
LA/FT
o Conocer las medidas de preventivas en LA/FT
o Sugerir una metodología sencilla de implementación y mantenimiento
de dichas medidas.
• Etapas SARLAFT
1. Diagnóstico
2.
6. Seguimiento
Identificación
o monitoreo
de los riesgos
3. Medición o
5. Divulgación y
evaluación de
documentación
los riesgos
4. Adopción de
controles –
medidas
preventivas
DIPLOMADO VIRTUAL EN: SARLAFT

UNIDAD DIDÁCTICA 3: ESTRUCTURA SARLAFT
Pág. 2
• Estas etapas responden a las recomiendaciones de los estándares
internacionales para la Administración de los Riesgos y las Guías de COSO.
• Etapas 1: Diagnostico - Pasos
Comprometer a los dueños y directivos del

Paso 1
negocio
Determinar el contexto en el que se desenvuelve

Paso 2
la empresa
Diagnóstico
Paso 3 Determinar los factores de riesgo de LA/FT
Paso 4 Elaboración del diagnóstico del riesgo de LA/FT
Definición de las metodologías y herramientas

Paso 5
para la administración de riesgos de LA/FT
• Esta etapa tiene como principal objetivo, comprometer a los dueños y

directivos del negocio, conocer el contexto de la entidad, elaborar el
diagnóstico del riesgo de LA/FT y definir las metodologías, técnicas,
herramientas y fuentes de información para el diseño y adopción del Sistema.
• Paso 1: Los dueños, administradores y directivos de los negocios, son las
personas más interesadas en que la actividad empresarial se desarrolle de
una manera sostenida, responsable y segura. Además, son las personas con
Pág. 3
mayor grado de responsabilidad y compromiso en la adopción de medidas
que garanticen la realización de actividades legales en el negocio, porque su
riesgo legal (verse involucrado en procesos penales o administrativos) y
reputacional es superior al de los demás colaboradores. Este compromiso de
los dueños y directivos de la empresa debería constar en códigos de ética,
actas, formatos, manuales o documentos institucionales.
• Paso 2: Para conocer el riesgo inherente de LA/FT e implementar un Sistema

de Administración del Riesgo de LA/FT, es necesario determinar la relación
entre la empresa y el ambiente en el que opera, identificando las fortalezas,
debilidades, oportunidades y amenazas de la empresa. En la etapa de
definición del contexto, se deben determinar los elementos cruciales que
podrían sustentar o dificultar la administración de los riesgos asociados al
LA/FT que la empresa enfrenta, para lo cual debe llevarse a cabo un análisis
estratégico. Debe existir una estrecha relación y alineación entre la misión,
los objetivos estratégicos de la empresa y la administración de los riesgos
asociados al LA/FT, a los cuales está expuesta.
• Paso 3: Teniendo en cuenta la naturaleza especial del riesgo de LA/FT, los

factores de riesgo asociados difieren de los factores o fuentes de los riesgos
financieros u operativos. La empresa, en el análisis que hace para
diagnosticar su nivel de riesgo, debe establecer cuáles de estas contrapartes
representan un mayor riesgo, independientemente de los sistemas de control
que aplique, para estos efectos se sugiere diseñar matrices de riesgo
inherente para cada tipo de contrapartes. En el Manual de Prevención del
Riesgo de LA/FT, se deben describir las políticas y procedimientos para la
prevención de dichos riesgos, la determinación del riesgo inherente y

Pág. 4
aplicación de controles de cada una de las contrapartes, en lo que le sea
aplicable.
• Paso 4: El siguiente paso de esta etapa, consiste en elaborar un diagnóstico

del riesgo de LA/FT, que refleje cada uno de los factores de riesgo definidos
en el numeral anterior y determinar una primera aproximación a la situación
en la que se encuentra la empresa y los niveles de riesgo inherente de LA/FT
los que está expuesta. Este diagnóstico inicial, será la base para planear el
desarrollo de las siguientes etapas del ciclo de gestión del riesgo de LA/FT
(identificación, medición, control y monitoreo).
• De conformidad con los estándares internacionales los factores generadores

de riesgo de LA/FT, son:
ÁREAS
PRODUCTOS CONTRAPARTES CANALES
GEOGRÁFICAS

Pág. 5
• Paso 5: Las metodologías a utilizar en proceso de administración de los
riesgos de LA/FT, difieren sustancialmente de las metodologías usadas en
los otros procesos de los riesgos financieros o empresariales propiamente
dichas. Dadas las características particulares de los riesgos de LA/FT, se
sugiere utilizar en el sistema de administración de riesgo LA/FT,
metodologías de carácter cualitativo. En efecto, en relación con este tipo de
riesgos, por su propia naturaleza, el análisis cualitativo resulta adecuado para
la toma de decisiones.
• Etapa 2: Identificación de los riesgos
Identificación de los riesgos
Enumerar los eventos de

riesgo
Identificar los eventos Definir ¿qué puede

Paso 1
de riesgo y sus causas suceder?
Determinar ¿cómo y por

qué puede suceder?
• El alcance, forma y metodologías aplicables para la identificación de los

eventos de riesgo, dependerá del nivel de riesgo de la empresa, de su
tamaño, de sus procesos y del desarrollo de los sistemas de administración
de riesgo de cada empresa.

Pág. 6
• Enumerar los eventos de riesgo: El primer paso para identificar los riesgos,
es determinar los eventos de riesgo en cada una de las etapas del respectivo
proceso, contrato o de la relación legal o contractual con cada una de las
contrapartes.
• Definir ¿qué puede suceder?: Se puede elaborar una lista de los posibles
eventos de riesgo, es decir, los incidentes o acontecimientos, derivados de
una fuente interna o externa, que puede ser generador de un riesgo asociado
al LA/FT.
• Determinar ¿cómo y por qué puede suceder?: Habiendo identificado una
lista de eventos, se deben considerar las causas posibles.
• Esto implica identificar las circunstancias que podrían materializar el riesgo,
por lo tanto, se expresan los riesgos en términos de consecuencia,
considerando las causas que pueden generarlo, estas también hacen parte
de las matrices de riesgo.
Código Evento de riesgo Causa

• Explique la causa
• Determine el evento por el
• Código de que da origen al
cual se puede generar el
identificación del evento de riesgo
riesgo ¿qué puede
evento de riesgo ¿cómo y por qué
suceder?
puede suceder?
• 1. Ser utilizado para el
• 1.1. Inexistencia de
LA/FT y ser objeto de
patrones éticos y
pérdida de reputación por
• Riesgo 1 políticas para la
no contar con patrones
prevención del
éticos y políticas para la
LA/FT.
prevención de LA/FT.

Pág. 7
• Etapa 3: Medición o evaluación de los riesgos: Esta etapa tiene como
principal objetivo medir el riesgo inherente frente a cada evento de riesgo. La
medición del riesgo inherente de LA/FT, involucra calcular la probabilidad o
posibilidad de ocurrencia de cada uno de los eventos de riesgo identificados,
así como el impacto en caso de materializarse mediante los riesgos
asociados. Determinar los criterios para la medición de los riesgos
Muy probable
Criterios para la medición de los
Probabilidad Posible
Raro
riesgos
Alto
Impacto Medio
Bajo
• Probabilidad: Se refiere a la posibilidad de que las fuentes potenciales de

riesgo lleguen realmente a materializarse.
• Impacto: Se refiere a los efectos o daños sobre la empresa.
• La empresa puede utilizar las siguientes medidas cualitativas de impacto
• Medidas cualitativas de impacto
Nivel Descriptor Ejemplo de descripción detallada

1. Bajo • Baja pérdida o daño. Puede ser susceptible de
una amonestación o sanción moderada del
Supervisor (si lo hubiere), de índole pecuniario.
No causa indemnización de perjuicios. No
causa pérdida de clientes o disminución de

Pág. 8
ingresos por desprestigio, mala imagen o
publicidad negativa. No produce efecto
contagio
2. Medio • Pérdida o daño media. Puede ser susceptible
de una sanción más estricta del Supervisor (si
lo hubiere), de índole pecuniario. Poca o media
probabilidad de procesos penales. Baja o
media probabilidad de indemnización de
perjuicios. Poca o media probabilidad de
pérdida de clientes, disminución de ingresos
por desprestigio, mala imagen o publicidad
negativa. Puede producir efecto contagio entre
empresas o entidades relacionadas
3. Alto • Alta pérdida o daño. Puede ser susceptible de
cuantiosas multas del Supervisor (si lo hubiere)
y estrictas sanciones de suspensión,
inhabilitación o remoción de administradores,
oficial de cumplimiento y otros funcionarios.
Alta probabilidad de procesos penales. Alta
probabilidad de pérdida de clientes,
disminución de ingresos por desprestigio, mala
imagen o publicidad negativa. Puede colocar
en peligro la solvencia de la entidad. Puede
producir efecto contagio en todo el sector en el
que opere.

Pág. 9
• Etapa 4: Adopción de controles – medidas preventivas
o Objetivos de esta etapa:
▪ Tomar las medidas conducentes a controlar los riesgos
▪ Detectar operaciones inusuales
▪ Proveer un sistema efectivo, eficiente y oportuno de reportes
tanto internos como externos, que garantice el funcionamiento
de sus procedimientos y los requerimientos de las autoridades
competentes.
▪ Calificación y valoración de los controles aplicables a los
riesgos de LA/FT
Tipos de controles
Preventivo
Se aplica sobre la causa del riesgo y su agente generador, con el fin de
disminuir la posibilidad de ocurrencia.
Es una alarma que se acciona frente a una situación anormal, como lo son,
Detectivo
por ejemplo, las señales de alerta.
Formas de los
Manuale Son las acciones que realizan las personas responsables de un proceso o
controles
s actividad.
Automáti Son procedimientos aplicados desde un computador, en un software de
cos soporte, diseñados para prevenir, detectar o corregir errores o deficiencias
Valoración de los
Fuerte
controles
Moderado
Débil

Pág. 10
• En esta etapa, la empresa podrá determinar y adoptar los controles o
medidas conducentes a controlar el riesgo inherente. Para estos efectos, se
definen las metodologías para determinar los controles y su aplicación y se
definen los procedimientos para la detección de operaciones inusuales y
sospechosas.
• Etapa 4: Adopción de controles – Pasos
Paso 1 Definir los controles para mitigar cada uno de los eventos de riesgo
Adopción de controles
Paso 2 Definir los procedimientos para la aplicación de los controles
Paso 3 Diseñar y aplicar un plan de tratamiento de los riesgos de LA/FT
Seguimiento y control de las operaciones de las contrapartes para

Paso 4
efectos de la detección y reporte de operaciones a las autoridades

Pág. 11
• Paso 1: Se deben definir los controles aplicables a cada uno de los
eventos de riesgo, como se observa en el siguiente ejemplo:
Código Evento de riesgo Descripción de los

controles
requeridos
Código de Determine el evento Describa el control
identificación del por el cual se puede requerido
evento de riesgo generar el riesgo
¿Qué puede
suceder?
Riesgo 1 1. Ser utilizado para o Código de
el LA/ FT y ser objeto ética y
de pérdida de Código de
reputación por no Buen
contar con patrones Gobierno
éticos y políticas para Corporativo
la prevención de CBGC.
LA/FT. 1.2. Políticas para la
prevención de LA/FT
para el control de
contrapartes
• Paso 2: En los procesos que desarrolla la empresa, se deben describir los

procedimientos y definir controles para: La segmentación de las contrapartes
por niveles de riesgo (al momento de su vinculación). La aplicación de dichos
controles, según la segmentación realizada. Procedimientos para el control y

Pág. 12
seguimiento de las operaciones de las contrapartes. El seguimiento y control
de operaciones y detección de operaciones inusuales.
• Paso 3: Descripción de la acción a ejecutar: Definición y características del

tratamiento. Prioridad de la acción o tratamiento: Alta, media, o baja. ¿Quién
tiene la responsabilidad por la implementación del plan? ¿Qué recursos se
van a utilizar? Responsable del monitoreo. Fecha del monitoreo. Asignación
de presupuesto. Calendario de implementación. Detalles del mecanismo y
frecuencia de la revisión de cumplimiento del plan.
• Paso 4: La empresa debe adoptar un sistema de control de las operaciones

de sus “contrapartes”, para estos efectos se deben implementar
procedimientos que desarrollen de los siguientes aspectos: Principio
“conozca a su contraparte”. Principio “conozca el mercado”. Instrumentos
para detección de operaciones inusuales. Para realizar el seguimiento y
control de las operaciones de las contrapartes y detectar eventuales
operaciones inusuales, se tendrán en cuenta los siguientes instrumentos:
Conocimiento del mercado. Tipologías de operaciones de LA/FT. Señales de
alerta. Procedimientos para el análisis y reporte de operaciones inusuales y
sospechosas.
• Etapa 5: Divulgación y documentación
o Esta etapa tiene como principales objetivos los siguientes:
o Proveer un sistema de documentos y registro de las etapas y
elementos del Sistema de Administración del Riesgo de LA/FT, que
garantice la integridad, oportunidad, confiabilidad y disponibilidad de
la información en él contenida.

Pág. 13
o Establecer un programa de capacitación sobre el Sistema de
Administración del Riesgo de LA/FT , que cree conciencia e informe
sobre las obligaciones y responsabilidades que se derivan del Sistema
para los empleados de la entidad y dar herramientas eficaces para su
cumplimiento.
o Establecer un programa de divulgación del Sistema de Administración
del Riesgo de LA/FT, con los interesados externos.
Proveer un sistema de documentos y registros de las etapas y

Paso 1
elementos del Sistema de Administración del Riesgo de LA/FT
Divulgación y documentación
Diseño y ejecución del programa de capacitación y del plan de

Paso 2
divulgación del Sistema de Administración de Riesgo de LA/FT.
Paso 3 Divulgación de los controles para mitigar el riesgo de LA/FT
Definir procedimientos para la imposición de sanciones ante el

Paso 4
incumplimiento de la aplicación de controles
• Comunicar y consultar con interesados internos y externos, según

corresponda en cada etapa del proceso de administración de riesgos
asociados al LA/FT, es indispensable para la estructuración del Sistema de
Administración del Riesgo de LA/FT. Así mismo, esta etapa incluye la
documentación, la cual, en un sistema de administración de riesgos de
LA/FT, provee un mecanismo y herramienta de responsabilidad, facilita el

Pág. 14
continuo monitoreo y revisión, provee una pista de auditoría y es la base para
comunicar y compartir información.
• Paso 1: La documentación relacionada, debe tener un respaldo físico, que
cuente con los requisitos de seguridad apropiados, permitiéndose su
consulta, sólo por quienes están autorizados a ello, y debe contar con los
criterios para el proceso de manejo, guarda y conservación de la información.
• Paso 2: El principal instrumento de comunicación del Sistema de
Administración del Riesgo de LA/ FT al interior de la empresa, es el Plan de
Capacitación. Mediante el Programa de Capacitación, se debe informar y
comunicar la obligación de cumplir con los lineamientos del Sistema de
Administración del Riesgo de LA/FT, independientemente de las metas
comerciales, tal como se debe consagrar en las políticas del Sistema.
• Paso 3: Se deben divulgar las políticas y los procedimientos, por medio de
la entrega del documento que los contenga, en los procesos de inducción.
De este hecho se debe dejar una constancia que permita evidenciar que los
funcionarios lo han leído y entendido y se comprometen a su cumplimiento.
• Paso 4: La empresa debe exigir a sus empleados, la aplicación de medidas
preventivas de LA/FT, que impidan que pueda ser utilizada con ese propósito.
En caso de incumplimiento del Código de Conducta y de las normas y
procedimientos contemplados en el Sistema de Administración del Riesgo de
LA/FT, y dependiendo de la gravedad del mismo, la empresa deberá aplicar
las sanciones disciplinarias internas a que haya lugar.

Pág. 15
Etapa 6: Seguimiento o monitoreo
• Esta etapa tiene como principales objetivos los siguientes:

• Hacer seguimiento general al Sistema.
• Desarrollar un proceso de seguimiento efectivo que facilite la rápida
detección y corrección de las deficiencias en las etapas del Sistema.
• Asegurar que los controles sean comprensivos de todos los riesgos y que los
mismos estén funcionando en forma oportuna y efectiva.
• Definir procedimientos para la realización de actividades de monitoreo
o seguimiento del Sistema de Administración del Riesgo de LA/FT.
• La principal herramienta del Monitoreo o Seguimiento, es la autoevaluación
de riesgos y controles, con el fin de establecer un enfoque que examine y
evalúe la efectividad del Sistema de Administración del Riesgo de LA/FT.
• Cada uno de los gestores de riesgo, deberá hacer el seguimiento del riesgo
de cada uno de los procesos que se encuentren dentro de sus funciones y
responsabilidades.
• Estos procedimientos de autoevaluación (MONITOREO), permitirán verificar
que los controles sean comprensibles de todos los riesgos y que los mismos
estén funcionando en forma oportuna y eficiente, deben asegurar que los
“controles detectivos” (es decir, controles para detectar operaciones
inusuales) sean y continúen siendo adecuados y suficientes.
• Una vez concluida la implementación del Sistema de Administración del
Riesgo de LA/FT, los gestores de riesgo deben realizar una labor de revisión
y evaluación del mismo, a efectos de verificar la pertinencia y suficiencia del
proceso de administración de riesgos de LA/FT y de los controles
implementados y corregir las posibles deficiencias detectadas.

Pág. 16
Etapas del Sarlaft
La Superintendencia Financiera establece que la gestión del riesgo se debe

desarrollar mediante las siguientes etapas:
1. Identificación del riesgo de LA/FT

2. Medición de la probabilidad y el impacto del riesgo de LA/FT
3. Control del riesgo de LA/FT
4. Monitoreo del riesgo de LA/FT
2. Elementos para la implementación de SARLAFT (Políticas, procedimientos,

estructura organizacional, infraestructura tecnológica, órganos de control,
divulgación de información, capacitación)
Las etapas por sí solas no constituyen el Sarlaft. Éstas deben ser implementadas
mediante una serie de acciones y recursos que la norma ha denominado elementos.
Nuestro artículo no pretende abarcar todos los elementos del Sarlaft y algunos se
tratan en forma tangencial cuando se relacionan con las etapas.
A continuación, se hará una breve descripción en forma de tabla de los elementos,

pero el lector seguramente necesitará consultar la norma para conocer más sobre
estos temas.
Elementos y su alcance Políticas
Son los lineamientos generales que deben adoptar las entidades vigiladas en
relación con el Sarlaft.
Cada una de las etapas y elementos del sistema debe contar con unas políticas
claras y efectivamente aplicables.

Pág. 17
Procedimientos
Todas las entidades deben establecer los procedimientos aplicables para la

adecuada implementación y funcionamiento de los elementos y las etapas del
Sarlaft.
Documentación
Las etapas y los elementos del Sarlaft implementados por la entidad deben constar
en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y
disponibilidad de la información allí contenida.
Estructura organizacional
Deben establecer y asignar las facultades y funciones en relación con las distintas
etapas y elementos del Sarlaft.
Órganos de control
Hay que establecer órganos e instancias responsables de efectuar una evaluación

del Sarlaft, a fin de que se puedan determinar sus fallas o debilidades e informarlas
a las instancias pertinentes.
Infraestructura tecnológica
Muy importante es contar con la tecnología y los sistemas necesarios para

garantizar la adecuada administración del riesgo de LA/FT.
Para ello deben contar con un soporte tecnológico acorde con sus actividades,
operaciones, riesgo y tamaño.
Divulgación de información

Pág. 18
Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes
tanto internos como externos que garantice el funcionamiento de sus
procedimientos y los requerimientos de las autoridades competentes.
Capacitación
Se precisa diseñar, programar y coordinar planes de capacitación sobre el Sarlaft

dirigidos a todas las áreas y funcionarios de la entidad.
Tal vez el elemento más complejo por su alcance y por la diversidad de temas que
lo conforman es el que hace referencia a los procedimientos.
Por esta razón decidimos mostrar los dos componentes principales de los
procedimientos: los mecanismos y los instrumentos.
Componente de los procedimientos
Alcance según la Superintendencia Financiera

Esto incluye:
Mecanismos 1. Conocer al cliente actual y potencial

2. Conocer el mercado
3. Identificar y analizar las operaciones inusuales
4. Determinar y reportar las operaciones sospechosas
Instrumentos
Esto incluye: 1. Señales de alerta
2. Segmentación de los factores de riesgo en relación con el mercado
3. Seguimiento de operaciones
4. Consolidación periódica de operaciones

Pág. 19
En su momento, el Sarlaft fue un invento nuevo, un esfuerzo por mejorar lo que se
venía haciendo para transformarlo en algo más efectivo.
No existe una sola forma de desarrollar el Sarlaft, pues la norma permite que cada
entidad seleccione sus propias metodologías.
Como el Sarlaft desarrolla los Artículos 102 al 107 del Estatuto Orgánico del Sistema
Financiero, es necesario tener presente esa norma, de mayor jerarquía, al momento
de interpretar los alcances de este sistema.
Antecedentes del Sarlaft
La gestión profesional del riesgo en las entidades financieras y en las empresas no

es un tema nuevo; tampoco lo es la prevención del lavado de activos y la
financiación del terrorismo. Lo novedoso del Sarlaft radicó en que varias
organizaciones y autoridades a nivel mundial en este campo coincidieron en
recomendar el enfoque de gestión de riesgo para el tema de LA/FT. Como lo
veremos en este punto, ya existía en Colombia una norma encaminada en este
sentido. También las 40 Recomendaciones del Gafi contemplan esta filosofía, y
varios países tienen sistemas que involucran este enfoque.
El Sarlaft colombiano ha sido entendido por varios observadores como una

propuesta ambiciosa y muy completa dentro de esta tendencia. Para el caso
colombiano, el principal antecedente del enfoque de gestión de riesgo fue incluido
en 1993 en el Estatuto Orgánico del Sistema Financiero colombiano, norma que en
su Artículo 102 Numeral 4 establece:
«Alcance y cobertura del control. Los mecanismos y auditoría de que trata este
artículo podrán versar exclusivamente sobre las transacciones, operaciones o
saldos cuyas cuantías sean superiores a las que se fijen como razonables y
suficientes. Tales cuantías se establecerán en el mecanismo que adopte cada
Pág. 20
entidad atendiendo al tipo de negocios que realiza, amplitud de su red, los
procedimientos de selección de clientes, el mercadeo de sus productos, capacidad
operativa y nivel de desarrollo tecnológico».
Esta norma, actualmente vigente, sirvió para establecer el marco general del antiguo
Sipla, y hoy se desarrolla ampliamente en el Sarlaft.
En el fragmento anterior se observa que las entidades le podrán dar un tratamiento

diferente a los controles, según “las transacciones, operaciones o saldos cuyas
cuantías sean superiores a las que se fijen como razonables y suficientes”.
Ya en el año 2006, la Reserva Federal de los Estados Unidos, por intermedio del
Consejo de Supervisión de Instituciones Financieras (Federal Financial Institution
Examination Council), publicó el Manual de Supervisión de los Sistemas Antilavado.
Este documento contiene el concepto de gestión del riesgo de acuerdo con la

exposición de la entidad. Además, incluye una matriz de riesgo y un esquema del
sistema de cumplimiento basado en riesgo. Por otro lado, Australia, uno de los
países líderes en la lucha contra el lavado de activos y la financiación del terrorismo
en el mundo, expidió en 2006 una nueva ley sobre control de LA/FT –Anti-Money
Laundering and Counter Terrorism Financing Act 2006–.
Esta norma también desarrolla el enfoque de gestión de riesgo. Posteriormente, en

2007 Austrac, la Unidad de Inteligencia Financiera de dicho país, publicó una Guía
de Gestión de Riesgo para LA/FT –Austrac Guidance Note Risk Management and
AML/CTF Programs–. En dicha guía se recomienda por obvias razones que las
entidades apliquen el estándar australiano de gestión de riesgo conocido como
AS/NZS 4360:2004 (hoy AS/NZS ISO 31000:2009). Igualmente, el Grupo de Acción
Financiera Internacional (Gafi) publicó en el año 2007 una guía con un enfoque
basado en la gestión del riesgo de lavado de activos y financiación del terrorismo,

Pág. 21
que tiene como propósito servir de soporte en el desarrollo de lo que implica una
gestión del riesgo de este tipo.
Los términos en que están escritas las Recomendaciones del Gafi contienen unos
principios que permiten que los países –hasta cierto grado– adopten un enfoque
basado en riesgo para combatir el lavado de activos y la financiación del terrorismo.
Estos términos autorizan a los países a permitir que las entidades financieras usen
un sistema de gestión de riesgo para que flexibilicen algunas de sus obligaciones
de prevención del LA/FT, todo dentro del principio de que los riesgos deben ser
identificados para poder hacer un mejor uso de los recursos. Si se tienen claras las
prioridades se pueden invertir los recursos en una forma más efectiva y así lograr
más éxito en la lucha contra el LA/FT.
Limitaciones y diferencias del Sarlaft
El Sarlaft se fundamenta en las técnicas de gestión de riesgo comúnmente

empleadas en la industria financiera y en otras industrias, tales como Coso, ERM y
el AS/NZS ISO 31000. También se nutre y se complementa desde el punto de vista
técnico de los demás sistemas de administración de riesgo obligatorios para las
entidades vigiladas como los siguientes:
• Sistemas de Administración de Riesgo Operativo (Saro).

• Sistemas de Administración de Riesgo Crediticio (Sarc).
• Sistemas de Administración del Riesgo de mercado (Sarm).
• Sistemas de Administración de Riesgo de Liquidez (Sarl).

Pág. 22
Como similitudes entre los sistemas de gestión de riesgo del sector financiero se
pueden nombrar:
1. Todos definen y delimitan el riesgo al cual hacen referencia.

2. Establecen una metodología de gestión de riesgo que se compone de cuatro
etapas: identificación, medición, control y monitoreo –a excepción de Sarc
que solo tiene dos etapas: otorgamiento y control–.
3. Involucran ciertos elementos, para los cuales hacen requerimientos precisos.
Estos son, en general: políticas, procedimientos, documentación, estructura
organizacional, órganos de control, infraestructura tecnológica y divulgación
de información.
Entre las diferencias con los sistemas hermanos se encuentran las siguientes:
Sarlaft otorga libertad metodológica
Dentro del Sarlaft se pueden emplear mediciones de carácter cuantitativo o

cualitativo. Debido a que la norma no desarrolla el tema a profundidad, las entidades
tienen libertad para seleccionar la metodología más apropiada. Hay que entender
que no existen desarrollos técnicos ni información histórica suficiente para construir
bases conceptuales sólidas para el Sarlaft. Por lo tanto, no se le puede exigir a este
sistema el mismo rigor que a los demás sistemas de gestión de riesgo como el Sarm,
el cual es más riguroso en sus estándares cuantitativos.
El Sarlaft no tiene equivalencia económica
Dentro del Sarlaft no se pide el cálculo de la pérdida esperada, ni de provisiones, y

tampoco se hace referencia a la revelación contable del riesgo.
La estrategia para gestionar el riesgo es más limitada

Pág. 23
En principio el Sarlaft no permite aceptar ni trasladar el riesgo. Desde el punto de
vista práctico, hay que mencionar que el impacto de ciertos riesgos se puede
aceptar o trasladar, como es el caso de los impactos operativos o los impactos
legales –principalmente de naturaleza contractual–. Hay que tener en cuenta que,
en la gestión del riesgo de lavado de activos y financiación del terrorismo, el gestor
del riesgo muchas veces debe conciliar aspectos contradictorios, lo que conlleva a
enfrentar el dilema que popularmente se entiende como “escoger entre dos males
el menos malo”.
Es el caso de la entidad que para evitar un riesgo reputacional decide incumplir un

contrato con un cliente o, por el contrario, para evitar un riesgo legal derivado de
una sanción acepta una medida impopular que la lleva a una pérdida de imagen.
Para muchos, este concepto resulta difícil de entender, pero la realidad nos enseña
que el administrador de riesgos muchas veces debe escoger el menor entre dos
males.
No es obligación registrar eventos materializados
En Saro se establece la obligación de registrar los eventos de riesgo que se

materialicen, mientras que en Sarlaft no existe tal obligación, pero sí una obligación
particular de reportar operaciones sospechosas.
Características especiales del Sarlaft
No obstante, las similitudes y características comunes, debemos entender la

naturaleza única y especial del Sarlaft. En su aplicación práctica, hemos encontrado
las siguientes características que marcan la diferencia con los otros sistemas de
administración de riesgo:
Imperceptibilidad del riesgo

Pág. 24
Todos los riesgos financieros son fácilmente detectables. Basta con consultar el
saldo de la obligación para determinar si el cliente está en mora o no. Se debe tener
en cuenta que hay conceptos como siniestro, pérdida y default que, como tales, no
se aplican en el Sarlaft.
Los riesgos operativos son perceptibles por los sentidos y dejan consecuencias
económicas que normalmente son fáciles de cuantificar y contabilizar. Mientras que
los riesgos relacionados con lavado de activos y financiación del terrorismo
requieren de grandes esfuerzos de detección, esfuerzos que nunca serán definitivos
ni determinantes, pues quien define en última instancia si una operación fue ilícita o
no, es un juez, algún tiempo después de ocurrida la transacción financiera.
Confidencialidad y sensibilidad de la información
En los demás riesgos, la información y la transparencia son sanas y recomendables.

Dicho esto, no es conveniente que los delincuentes conozcan las vulnerabilidades
de las entidades ni las estrategias empleadas para evitar el lavado de activos y la
financiación del terrorismo.
La información de identificación y medición del riesgo es muy útil para los

funcionarios de la entidad que la van a utilizar en forma constructiva y proactiva.
Pero la misma información fuera de contexto y utilizada por alguien que no entienda
la naturaleza de la misma podría conllevar graves consecuencias. Por ejemplo, una
entidad que logra reducir su riesgo de suplantación en el producto de cuentas
corrientes de cien a diez casos al año. Alguien con poco tino podría decir que la
entidad está admitiendo de antemano que sufrirá de lavado de activos diez veces al
año y por lo tanto está aceptando y tolerando está conducta.

Pág. 25
Imposibilidad de eliminar el riesgo
El delincuente muta, se transforma y espera el mejor momento para penetrar las

entidades vigiladas. Los controles, por muy efectivos que sean no pueden ser
infalibles, pues se topan con barreras naturales que deben ser respetadas como las
libertades civiles, los derechos de los consumidores, el derecho al buen nombre y
la presunción de buena fe.
A su vez, los controles deben ser operativos, prácticos y costo eficientes para que
las entidades puedan cumplir con su objeto social y su fin esencial de captación y
colocación de los recursos del público. Hay que tener en cuenta que no se ha podido
eliminar el riesgo por completo en otras disciplinas que ponen en peligro un bien
jurídico más valioso como es la vida humana, y sería por lo tanto utópico pensar
que en este campo se pueda lograr por simple decisión. Aunque lo anterior no riñe
con la obligación de ejercer la debida vigilancia y gestionar adecuadamente todos
los riesgos.
Esfuerzo constante
La imposibilidad de eliminar el riesgo implica que la gestión del riesgo de lavado de

activos y financiación del terrorismo nunca llega a su fin. Nunca cesa la labor de
disminuir la probabilidad o el impacto del riesgo mediante la implementación y el
perfeccionamiento de controles.
Vale la pena recalcar que esta obligación es de medios y no de resultados, por lo

tanto, nunca cesa. Como en cualquier sistema, siempre que se fortalezca un
elemento, los demás quedan relativamente más vulnerables y si se quiere fortalecer
el sistema como un todo deben fortalecerse sus partes más débiles. En síntesis,
hay mucho que aprender de los demás sistemas de riesgo. Pero ante todo hay que

Pág. 26
entender la naturaleza especial del Sarlaft y crear una serie de principios y técnicas
especiales para las características antes descritas.
Aporte para la toma de decisiones
Ante el esfuerzo significativo que implicó convertir el antiguo Sipla en un Sarlaft, las
entidades tendieron a perder el rumbo y creer que la finalidad única del Sarlaft era
el Sarlaft mismo. Esto, afortunadamente, no es así.
El Sarlaft tiene muchas ventajas; hemos visto en los diferentes proyectos en los
cuales participamos que un buen Sarlaft implica, entre otros, los siguientes
beneficios:
• Profesionalización de las labores relacionadas con la prevención del lavado de

activos y la financiación del terrorismo.
• Pautas más objetivas para la determinación de operaciones sospechosas.
• Uniformidad de criterios en torno a los riesgos aceptables.
• Distribución de las funciones de prevención entre las diferentes áreas de la
entidad, alejándose de la falsa concepción de que el único responsable es el
oficial de cumplimiento.
• Análisis sistemático de las vulnerabilidades de la entidad.
• Análisis costo-beneficio de los controles existentes.
• Generación de indicadores de gestión relacionados con la prevención de
lavado de activos y financiación del terrorismo.
Pero tal vez el mayor beneficio que hemos visto en los proyectos Sarlaft en los que
hemos participado es que las entidades obtuvieron una herramienta valiosa para la
toma de decisiones.

Pág. 27
3. Reporte de operaciones sospechosas (ROS)
¿Qué es una operación sospechosa?
El artículo 3° de la Ley N°19.913 define como operación sospechosa “todo acto,

operación o transacción que, de acuerdo con los usos y costumbres de la actividad
de que se trate, resulte inusual o carente de justificación económica o jurídica
aparente, o pudiera constituir alguna de las conductas contempladas en el artículo
8° de la Ley N°18.314 (de conductas terroristas), o sea realizada por una persona
natural o jurídica que figure en los listados de alguna Resolución del Consejo de
Seguridad de las Naciones Unidas, sea que se realice en forma aislada o reiterada".
¿Qué es un ROS?
El ROS es el Reporte de Operación Sospechosa que todo oficial de cumplimiento o

funcionario responsable de las personas naturales o jurídicas señaladas en el
artículo 3° de la Ley N°19.913, debe enviar a la UAF cuando, en el ejercicio de su
actividad o de sus funciones, detecte una operación sospechosa de lavado de
activos o financiamiento del terrorismo, que corresponda ser informada a este
Servicio.
El Reporte de Operación Sospechosa no implica una denuncia, sino que solo
constituye información útil y pertinente para que la UAF pueda realizar inteligencia
financiera y, con ello, detectar señales indiciarias de lavado de activos y/o
financiamiento del terrorismo.
Por ello, no es deber del oficial de cumplimiento, o del funcionario público
responsable designado, determinar si está o no frente a un delito base o precedente
de lavado de activos o financiamiento del terrorismo.

Pág. 28
Basta con la sospecha de buena fe que se tenga respecto de estar frente a una
operación sospechosa (en los términos indicados en el artículo 3° inciso segundo
de la Ley N°19.913) para reportarla a la UAF.
Los ROS se envían electrónicamente a la UAF, a través del Portal de Entidades
Reportantes. Esto, debido a que el Portal es un sitio seguro, que garantiza la
confidencialidad de la información y de quien la reporta.
¿Quiénes pueden reportar operaciones sospechosas de lavado de activos o

financiamiento del terrorismo a la UAF?
Solo las personas naturales y jurídicas expresamente señaladas en el artículo 3° de

la Ley N°19.913 pueden reportar a la UAF las operaciones sospechosas que
detecten en el ejercicio de su actividad/funciones, a través de un Reporte de
Operaciones Sospechosas (ROS).
Para poder reportar operaciones sospechosas, las personas naturales y jurídicas a

las que se refiere el artículo 3° de la Ley N°19.913 deben registrarse en el Portal de
Entidades Reportantes de la UAF y designar un oficial de cumplimiento o un
funcionario responsable ante la UAF.
Solo una vez allí inscritas pueden comenzar a enviar sus reportes ROS en línea, y
acceder a las actividades de difusión y capacitación de la UAF.
Cabe destacar que, para poder realizar inteligencia financiera, la UAF necesita que
los sujetos obligados inscritos en el Portal de Entidades Reportantes le envíen los
Reportes de Operaciones Sospechosas (ROS).

Pág. 29
¿Cómo se informa una operación sospechosa a la UAF?
Para poder reportar una operación sospechosa, las personas naturales y jurídicas
a las que se refiere el artículo 3° de la Ley N°19.913 deben estar inscritas en el
Registro de Entidades Reportantes de la UAF, y designar un oficial de cumplimiento
(en caso de que se trate de una persona natural o jurídica privada) o un funcionario
responsable (instituciones públicas).
Solo el oficial de cumplimiento o el funcionario responsable puede enviar a la UAF

un reporte ROS, así como la documentación fundante necesaria.
Para ello debe ingresar al Portal de Entidades Reportantes con su RUT y clave de
acceso UAF habilitada, o bien, con su Clave Única, seleccionar la opción
"Formulario ROS" y completar todos los datos allí solicitados.

¿Cuándo se debe enviar un ROS a la UAF?
El Reporte de Operaciones Sospechosas (ROS) no tiene una periodicidad o un

monto monetario establecidos.
Basta con la sospecha de buena fe que se tenga respecto de estar frente a una
operación sospechosa (en los términos indicados en el artículo 3° inciso segundo
de la Ley N°19.913) para reportarla a la UAF.

Pág. 30
Las operaciones sospechosas deben ser informadas a la UAF en cuanto se
detecten, o bien, en el mínimo tiempo posible desde que ocurrió la transacción.
Al detectarse una operación sospechosa, la entidad debe establecer procedimientos
internos que garanticen la confidencialidad de la información, en los términos
señalados en el artículo 6° de la Ley N°19.913. Dicho procedimiento debe constar
en el Manual de Prevención de cada empresa e institución.
En el evento de detectarse a alguna persona, empresa o entidad que esté

mencionada en cualquiera de los listados de la ONU contra el financiamiento del
terrorismo o el financiamiento de la proliferación de armas de destrucción masiva,
los sujetos obligados deben reportar de inmediato dicho hallazgo a la UAF, a
través de un ROS, a efectos de que este Servicio pueda proceder a tomar la medida
de congelamiento de activos establecida en el artículo 38 de la Ley N°19.913.

¿Qué hace la UAF con los ROS que recibe?
Para poder realizar inteligencia financiera, la UAF necesita que las entidades
privadas y públicas señaladas en el artículo 3° de la Ley N°19.913 le envíen
Reportes de Operaciones Sospechosas (ROS) de lavado de activos y/o
La UAF analiza todos los ROS que recibe. Solo si, después de analizarlos, detecta
indicios de la comisión de los delitos de lavado de activos o financiamiento del
terrorismo, remite confidencial y oportunamente uno o más informes al Ministerio

Pág. 31
Público, única institución responsable de investigar y perseguir penalmente ambos
delitos en el país.
El artículo 2° de la Ley N°19.913 en su inciso final así lo establece: "Cuando del

examen de los antecedentes referidos en las letras que anteceden, el director de la
Unidad de Análisis Financiero estime que aparecen indicios de que se ha cometido
alguno de los delitos a que se refiere el artículo 27 de esta Ley o el artículo 8° de la
Ley N°18.314, deberá disponer su inmediata remisión al Ministerio Público.
Asimismo, el Ministerio Público podrá requerir a la Unidad el envío de los
antecedentes que estén en su poder y que sean necesarios para las investigaciones
de lavado de activos que practique, se hayan iniciado de oficio, por denuncia o por
querella, cualquiera sea la fase en que ellas se encuentren".
Cabe destacar que el Informe de Inteligencia que la UAF envía al Ministerio Público
en caso alguno constituye una denuncia, toda vez que su contenido dice relación
con indicios de la eventual comisión de los delitos de lavado de activos o
Los ROS en los que no se encuentran señales indiciarias de lavado de activos o

financiamiento del terrorismo, se almacenan en las bases de datos de la UAF, a la
espera de otro ROS o de antecedentes adicionales que permitan detectar indicios
de ambos delitos.
Cuando el Ministerio Público recibe un Informe de Inteligencia Financiera de la UAF

lo vincula con un Rol Único de Causa (RUC), lo que da origen a una investigación
por lavado de activos o financiamiento del terrorismo (o agrega información a una
ya vigente), lo que incluye métodos intrusivos y encubiertos de investigación policial.

Pág. 32
¿Cuáles son los deberes de confidencialidad para con los ROS?
La Ley N° 19.913 establece deberes de secreto tanto para la entidad reportante

como para los funcionarios de la UAF y para quienes participan en la investigación
de los delitos relacionados con el lavado de activos y el financiamiento del
terrorismo:
El artículo 6° de la Ley N° 19.913 prohíbe expresamente a las personas e

instituciones señaladas en el artículo 3°, incisos primero y sexto, y a sus empleados,
informar al afectado o a terceras personas, la circunstancia de haberse requerido o
remitido información a la UAF, como, asimismo, proporcionarle cualquier otro
antecedente al respecto. Igual prohibición rige para quienes sean requeridos en
conformidad a la letra b) del artículo 2°, y para las personas que presten servicios a
cualquier título a las personas e instituciones aludidas en el inciso anterior, que
hayan tenido conocimiento de la circunstancia de haberse requerido o remitido
información a la UAF. La infracción a lo dispuesto en el artículo 6° será castigada
con la pena de presidio menor en sus grados medio a máximo y multa de 100 a 400
Unidades Tributarias Mensuales (UTM). La misma pena se aplicará a quienes,
estando obligados de conformidad a esta Ley a proporcionar información a la UAF,
maliciosamente destruyan, alteren u oculten los antecedentes o documentos que
deban entregar, o entreguen antecedentes o documentos falsos.
En tanto, el artículo 13 de la Ley N° 19.913 establece que todos los funcionarios de

la UAF están obligados a mantener en estricto secreto todas las informaciones, y
cualquier otro antecedente que se conozca en el ejercicio del cargo, y que se
relacione directa o indirectamente con sus funciones y actividades. La infracción de
esta prohibición se sanciona con la pena de presidio menor en sus grados mínimo
a máximo, y multa de 40 UTM a 400 UTM. Esta prohibición se mantiene

Pág. 33
indefinidamente después de hacer cesado en el cargo, comisión o actividad. Se
exceptúan del deber de secreto las informaciones y antecedentes que requiera el
fiscal del Ministerio Público o el tribunal que conozca del procedimiento criminal por
alguno de los delitos a que se refieren los artículos 27 y 28 de la Ley N° 19.913,
como también de aquellos que le sirven de base.
Por su parte, y según el artículo 31 de la Ley N° 19.913, la investigación de los

delitos relacionados con el lavado de activos y el financiamiento del terrorismo será
siempre secreta para los terceros ajenos al procedimiento, y también para los
terceros afectados por una investigación preliminar del fiscal. El que entregue o
difunda información de cualquier naturaleza acerca de antecedentes de la
investigación incurrirá en la pena de presidio menor en sus grados medio a máximo.
Esta prohibición y sanción se extiende a los funcionarios que hubieren participado
en la investigación, y a todo aquel que, de cualquier modo, informe, difunda o
divulgue información relativa a una investigación e, incluso, al hecho de estarse
realizando esta.
¿Se deben reportar a la UAF todas las operaciones de las Personas Expuestas
Políticamente (PEP)?
No.
Según lo establece la Circular UAF N°49, de diciembre de 2012, las entidades
supervisadas por la UAF deben implementar y ejecutar, respecto de las Personas
Expuestas Políticamente (PEP), medidas de debida diligencia y conocimiento de los
clientes. Entre ellas:
Establecer sistemas apropiados de manejo del riesgo para determinar si un posible
cliente, un cliente o el beneficiario final es o no una PEP.

Pág. 34
Obtener y exigir, si corresponde, aprobación de la alta gerencia para establecer
relaciones comerciales con una PEP, o que ha pasado a tener esta calidad cuando
la relación comercial es previa a dicha condición.
Tomar medidas razonables para definir la fuente de la riqueza, la fuente de los
fondos de los clientes y beneficiarios reales identificados como PEP, y el motivo de
la operación.
Implementar procedimientos y medidas de debida diligencia continua sobre la
relación comercial establecida con una PEP.
Los sujetos obligados deben registrar cualquier operación en que esté involucrada
alguna persona que deba ser calificada como PEP, así como informarla a la UAF, a
la brevedad posible, cuando se considere que se está en presencia de una
operación sospechosa.
Más información sobre cómo los sujetos obligados deben identificar y conocer a sus
clientes (Debida Diligencia y Conocimiento del Cliente (DDC)), en la Circular UAF
N°59, del 24 mayo 2019, disponible en www.uaf.cl, menú Legislación Chilena
ALA/CFT, sección Normativa UAF.
¿Se deben reportar a la UAF todas las operaciones en paraísos fiscales?
Se entiende por ‘paraísos fiscales’ aquellas jurisdicciones que eximen del pago de
impuestos a los inversionistas extranjeros que mantienen cuentas bancarias o
constituyen sociedades en su territorio, con el objetivo de atraer divisas que
potencien su economía.
La Circular UAF N°59, de mayo de 2019, en el Título IX “De los países y
jurisdicciones de riesgo” señala que: “Los sujetos obligados deberán aplicar
medidas de Debida Diligencia y Conocimiento del Cliente Reforzada a las
transacciones que eventualmente realicen con países o jurisdicciones que se
encuentren bajo proceso de seguimiento del Grupo de Acción Financiera

Pág. 35
Internacional (GAFI) por deficiencias estratégicas en sus sistemas Antilavado de
Activos y contra el Financiamiento del Terrorismo. Adicionalmente, deberán aplicar
contramedidas a las transacciones que eventualmente realicen con países o
jurisdicciones cuando el GAFI haga un llamado en ese sentido”.
Asimismo, señala que “los sujetos obligados deberán guardar especial observancia
en su quehacer diario a las transacciones que eventualmente realicen con países o
jurisdicciones que se encuentren en el listado publicado por el Servicio de Impuestos
Internos, sobre países y jurisdicciones que se considera tienen un régimen fiscal
preferencial”.
El listado de países y jurisdicciones bajo seguimiento del Grupo de Acción

Financiera Internacional (GAFI), así como los con régimen fiscal preferente, se
encuentran disponibles en el sitio web de la UAF www.uaf.cl, menú Asuntos
Internacionales.
La información obtenida derivada del proceso de revisión de los datos, deberá ser
analizada a objeto de determinar si procede informar de la operación a la UAF.
¿Qué debo hacer si detecto a alguna persona, empresa o entidad que esté
mencionada en las Listas de Resoluciones ONU?
En septiembre de 2019, la Unidad de Análisis Financiero (UAF) emitió la Circular

N°60 que introduce modificaciones a las Circulares UAF N°49/2012 y N°54/2015,
en lo que a Resoluciones de los Comités de Sanciones del Consejo de Seguridad
de Naciones Unidas (CSNU) se refiere.
Ello, tras la entrada en vigencia, en julio de 2019, de la Ley N°21.163, que actualiza
las Resoluciones del CSNU sobre financiamiento del terrorismo (FT) y

Pág. 36
financiamiento de la proliferación de armas de destrucción masiva (FPADM), en el
artículo 38 de la Ley N°19.913, que creó a la UAF.
De acuerdo con la normativa, los sujetos obligados deben revisar las listas de las
Resoluciones del CSNU, disponibles en esta página web en menú Asuntos
Internacionales, sección Listas de Resoluciones ONU.
En el evento de detectar a alguna persona, natural o jurídica, mencionada en

cualquiera de los listados del CSNU sobre FT o FPADM, que pretenda realizar
actos, transacciones u operaciones financieras, los sujetos obligados deben
reportar de inmediato dicho hallazgo a la UAF, a través de un Reporte de Operación
Sospechosa (ROS), a efectos de que este Servicio pueda proceder a tomar la
medida de congelamiento de activos establecida en el artículo 38 de la Ley
N°19.913.
Para facilitar la búsqueda de personas, empresas o entidades listadas en las

Resoluciones de los Comités sobre FT o FPADM del CSNU, se encuentra disponible
en esta página web el link de acceso a la Lista consolidada y al buscador del CSNU
(menú Asuntos Internacionales, sección Listas de Resoluciones ONU).
4. Oficial de cumplimiento (Perfil y funciones)

¿Qué es un oficial de cumplimiento y cuáles sus funciones?
Oficial de cumplimiento es la persona encargada de liderar la prevención el lavado

de activos en una empresa u organización.
Oficial de cumplimiento: ¿cuál ha sido su evolución?

Pág. 37
El oficial de cumplimiento ha sido identificado históricamente con los temas de
prevención de lavado de activos.
Concretamente, es el encargado de implementar y verificar el cumplimiento
del SARLAFT o el SAGRILAFT.
Sin embargo, recientemente se le han asignado funciones relacionadas con

aspectos tributarios u otro tipo de riesgos que enfrentan las sociedades.
A pesar de que en algunos sectores no se ven grandes cambios, a nivel global el

oficial de cumplimiento ahora tiene un enfoque basado en el riesgo.
¿OFAC, la agencia más importante para prevenir lavado de activos?
En consecuencia, este profesional se convirtió en un gestor de riesgo, debido a los

ajustes que en 2012 les realizaron a las recomendaciones de Gafi.
Esta fue, sin duda, la visión de la regulación en Colombia para el sector financiero
desde 2008 con la expedición del SARLAFT.
Esta multiplicidad de funciones asignadas al oficial de cumplimiento ha hecho que

las responsabilidades no sean claras.
Esta situación lleva a muchos oficiales de cumplimiento a desarrollar su función

estrictamente con un énfasis en el cumplimiento.
¿Cómo se crea una sociedad offshore?
Lo malo es que dejan de lado la administración de riesgos, que es el nuevo deber

ser, el nuevo reto que tienen.
La responsabilidad de gestión del riesgo
Para administrar riesgos, desde luego, se debe cumplir con las reglas
preestablecidas, las cuales enmarcan su actuar; pero se debe ir más allá.

Pág. 38
¿Qué es extinción de dominio y cómo evitarla?
Por eso, más que cumplir con el mandato de tener un funcionario responsable, esa
persona debe saber de administración de riesgos.
La figura importada del Compliance Officer podría asimilarse, en parte, al contralor

normativo colombiano previsto desde la Ley 964 de 2005.
Pues este es el encargado del cumplimiento y de la verificación de disposiciones

legales o códigos internos.
Sin embargo, para el sector financiero en Colombia se hace la distinción entre el

contralor normativo y el oficial de cumplimiento.
El primero es obligatorio para algunos intermediarios de valores y administradores

de fondos de inversión colectiva.
Mientras que el oficial de cumplimiento, en sentido puro, es quien debe cumplir sus
obligaciones previstas en la normatividad.
Además, debe tener un rol preponderante como administrador del riesgo de lavado
de activos y de la financiación del terrorismo.
Perfil de los oficiales de cumplimiento: la importancia del EBR
En febrero de 2012 el GAFI expidió las nuevas 40 recomendaciones contra el lavado

de activos y financiación del terrorismo.
En ellas se introduce algo tan lógico como novedoso para estos fenómenos, como
es el enfoque basado en riesgos EBR.
Los conceptos de enfoque basado en riesgos y su administración son transversales

a las recomendaciones.

Pág. 39
En consecuencia, los oficiales de cumplimiento, que son algunos de los principales
ejecutores de estas recomendaciones, no podrán ser ajenos a esta tendencia.
Refiriéndonos a la recomendación 1 del Gafi, sabemos que esta alienta a los países
a desarrollar evaluaciones nacionales de riesgo.
A partir de los resultados de esas evaluaciones los Estados deberán definir sus
estrategias de actuación con enfoque basado en riesgo.
Ese conjunto de estrategias debe involucrar a las autoridades de regulación y

supervisión, y a los diferentes sujetos obligados.
El enfoque basado en riesgo como base fundamental
Más tarde que temprano la normatividad que rija a los sujetos obligados deberá ser
expedida con base en la administración de riesgo.
Esto es relevante si tenemos en cuenta que varios países serán evaluados en el

cumplimiento formal y eficacia de sus medidas.
Si los distintos países cumplen las recomendaciones del GAFI, expresa o

tácitamente han construido el perfil de los oficiales de cumplimiento.
En caso contrario, si los reguladores no adoptan el enfoque basado en riesgo, no

tendrán eso reflejado en sus oficiales de cumplimiento.
Solamente tendrán algunas personas encargadas de prevenir el lavado de activos,

visión que se queda corta en el nuevo enfoque.
Oficial de cumplimiento: aspectos importantes del perfil profesional
Para ser oficial de cumplimiento, hasta ahora, no se exige normativamente una

profesión específica.

Pág. 40
Es más, en algunos casos no se hace necesario que el oficial de cumplimiento sea
de dedicación exclusiva.
En todo caso, sí se requiere que tenga vocación de liderazgo, reconocimiento de la

junta directiva y capacidades técnicas.
Para ser oficial de cumplimiento no hay una profesión perfecta y única.
Las destrezas de un ingeniero industrial, el rigor del abogado o la visión macro del
economista, son capacidades que debe tener un oficial de cumplimiento.
Más que un profesional específico, el oficial de cumplimiento debe ser un

administrador de riesgo.
Para ello debe entender la lógica de las matemáticas, la dinámica de la estadística

y la exégesis de la norma.
Además, debe comprender la inmediatez de la noticia y tener el olfato del

investigador.
El oficial de cumplimiento y su equipo
De acuerdo con la dimensión de la empresa, el oficial de cumplimiento debería ser

un líder apoyado por un equipo interdisciplinario.
Además, deberá contar con la tecnología apropiada y necesaria para desarrollar su

gestión.
Así mismo, es importante que esté empoderado por la junta directiva u órgano que
hace sus veces.
Aunque esto último, el empoderamiento, es de lo que más carece la mayoría de los

que ya son oficiales de cumplimiento.

Pág. 41
Claramente pareciera que los lavadores también tienen sus propias matrices de
riesgo y conocen qué sociedades son menos estrictas.
También saben en cuáles de ellas el tema importa poco, y cuáles son más
conservadoras y por lo tanto menos apetecidas para sus propósitos.
Existe una directriz básica que debería ser inspirada por las propias juntas directivas
de las empresas.
Se trata de anteponer el cumplimiento de las normas en materia de administración

de riesgo de LA/FT al logro de las metas comerciales.
En estos temas es preferible no hacer un mal negocio que lamentarse por haber
hecho un exitoso que, de entrada, generaba dudas.
¿Cuál es la responsabilidad administrativa y penal?
Este es sin lugar a dudas uno de los temas en los que debe pensar quien va a
aceptar voluntariamente una función de este tipo.
Aunque como es apenas lógico, las responsabilidades administrativa y penal se

pueden presentar en cualquier actividad o cargo.
El oficial de cumplimiento, al igual que otros profesionales, tiene unos riesgos

inherentes a su función y con esa claridad lo debe entender.
Este tipo de cargos o asignación de funciones se deben aceptar de forma voluntaria

y consciente.
Para ejercer el oficio con diligencia nunca es recomendable aceptarlo como la única
opción de permanecer vinculado a la empresa.
De cara a las responsabilidades del oficial de cumplimiento, yo haría una

recomendación muy básica para el ejercicio de sus funciones.

Pág. 42
Consiste en siempre actuar de acuerdo con los deberes que las normas vigentes
les asignan de manera expresa.
Lo anterior significa que, si los deberes del oficial de cumplimiento no están

contemplados expresamente, mal podría endilgársele responsabilidad.
Posibles sanciones en temas administrativos
La evaluación de responsabilidad, desde el punto de vista administrativo, se

enfocará en el cumplimiento de sus funciones de acuerdo con las normas.
Lo anterior sin perjuicio de que se materialice o no un evento de lavado de activos.
Por el contrario, la responsabilidad penal partirá de la materialización del evento de

lavado de activos o financiación del terrorismo.
Es decir, de la comparación entre cuál fue su gestión y los deberes taxativos.
Esto se traduce en que la responsabilidad penal nace cuando el oficial de

cumplimiento tenía deberes especiales, pero no los cumple.
Adicionalmente, el oficial de cumplimiento puede ser responsable cuando debe

impedir que se incremente el riesgo.
Es decir, cuando debiendo interrumpir el curso causal potencialmente creado por

su organización no lo hace o no lo reporta.

Pág. 43
5. Caso aplicado SARLAFT
El desarrollo desde este tema se encuentra como documento de apoyo para la
unidad 3 - Caso aplicado SARLAFT
6. Cibergrafía
Marco Legal Del Sarlaft | PDF | Lavado de dinero | Economias (scribd.com)
https://www.uaf.cl/preguntas/index.aspx?id=7#:~:text=El%20ROS%20es%20el%2
0Reporte,operaci%C3%B3n%20sospechosa%20de%20lavado%20de
https://www.infolaft.com/oficial-de-cumplimiento-pieza-clave-del-equipo-
2/?campaignid=16029507044&adgroupid=138074146935&adid=603789093010&g

Pág. 44
clid=CjwKCAjwyaWZBhBGEiwACslQo1YNX26YJRhgMRhblsxWzn3lAX6yiKuK3yc
KknZOokp-tEKKaZkU0xoCMx8QAvD_BwE
Manual de Identificación y Segmentación de La Administración SARLAFT | PDF |

Lavado de dinero | Economias (scribd.com)

Pág. 45

Documento de Apoyo - Estructura Sarlaft

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Documento de Apoyo - Estructura Sarlaft

Cargado por

Copyright:

Formatos disponibles

Tabla de contenido

1. SARLAFT (Identificación – Medición o evaluación – Control – Monitoreo) ................ 2

Sistema de Administración del Riesgo de Lavado de Activos y de la

• Objetivos del SARLAFT:

DIPLOMADO VIRTUAL EN: SARLAFT

• Etapas 1: Diagnostico - Pasos

Comprometer a los dueños y directivos del

Determinar el contexto en el que se desenvuelve

Paso 3 Determinar los factores de riesgo de LA/FT

Paso 4 Elaboración del diagnóstico del riesgo de LA/FT

Definición de las metodologías y herramientas

• Esta etapa tiene como principal objetivo, comprometer a los dueños y

• Paso 2: Para conocer el riesgo inherente de LA/FT e implementar un Sistema

• Paso 3: Teniendo en cuenta la naturaleza especial del riesgo de LA/FT, los

DIPLOMADO VIRTUAL EN: SARLAFT

• Paso 4: El siguiente paso de esta etapa, consiste en elaborar un diagnóstico

• De conformidad con los estándares internacionales los factores generadores

DIPLOMADO VIRTUAL EN: SARLAFT

Enumerar los eventos de

Identificar los eventos Definir ¿qué puede

Determinar ¿cómo y por

• El alcance, forma y metodologías aplicables para la identificación de los

DIPLOMADO VIRTUAL EN: SARLAFT

Código Evento de riesgo Causa

DIPLOMADO VIRTUAL EN: SARLAFT

• Probabilidad: Se refiere a la posibilidad de que las fuentes potenciales de

Nivel Descriptor Ejemplo de descripción detallada

DIPLOMADO VIRTUAL EN: SARLAFT

DIPLOMADO VIRTUAL EN: SARLAFT

DIPLOMADO VIRTUAL EN: SARLAFT

Paso 2 Definir los procedimientos para la aplicación de los controles

Paso 3 Diseñar y aplicar un plan de tratamiento de los riesgos de LA/FT

Seguimiento y control de las operaciones de las contrapartes para

DIPLOMADO VIRTUAL EN: SARLAFT

Código Evento de riesgo Descripción de los

• Paso 2: En los procesos que desarrolla la empresa, se deben describir los

DIPLOMADO VIRTUAL EN: SARLAFT

• Paso 3: Descripción de la acción a ejecutar: Definición y características del

• Paso 4: La empresa debe adoptar un sistema de control de las operaciones

DIPLOMADO VIRTUAL EN: SARLAFT

Proveer un sistema de documentos y registros de las etapas y

Diseño y ejecución del programa de capacitación y del plan de

Paso 3 Divulgación de los controles para mitigar el riesgo de LA/FT

Definir procedimientos para la imposición de sanciones ante el

• Comunicar y consultar con interesados internos y externos, según

DIPLOMADO VIRTUAL EN: SARLAFT

DIPLOMADO VIRTUAL EN: SARLAFT

• Esta etapa tiene como principales objetivos los siguientes:

DIPLOMADO VIRTUAL EN: SARLAFT

La Superintendencia Financiera establece que la gestión del riesgo se debe

1. Identificación del riesgo de LA/FT

2. Elementos para la implementación de SARLAFT (Políticas, procedimientos,

A continuación, se hará una breve descripción en forma de tabla de los elementos,

Elementos y su alcance Políticas

DIPLOMADO VIRTUAL EN: SARLAFT

Todas las entidades deben establecer los procedimientos aplicables para la

Hay que establecer órganos e instancias responsables de efectuar una evaluación

Muy importante es contar con la tecnología y los sistemas necesarios para

DIPLOMADO VIRTUAL EN: SARLAFT

Se precisa diseñar, programar y coordinar planes de capacitación sobre el Sarlaft

Componente de los procedimientos

Alcance según la Superintendencia Financiera

Mecanismos 1. Conocer al cliente actual y potencial