El SARLAFT exige una estructura organizacional con responsabilidades claramente repartidas. Su fundamento legal está en el art. 102 del Estatuto Orgánico del Sistema Financiero (EOSF, Decreto 663 de 1993), que obliga a las entidades vigiladas a adoptar mecanismos y reglas de conducta para evitar ser utilizadas como instrumento de lavado de activos, a conocer la actividad económica de sus clientes, a reportar de forma inmediata a la UIAF las operaciones relevantes y a designar un funcionario responsable de verificar el cumplimiento de dichos mecanismos. Las instrucciones operativas se desarrollan en el Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica (C.E. 029 de 2014), modificada por la C.E. 027 de 2020 (SARLAFT 4.0).
La junta directiva u órgano que haga sus veces concentra las decisiones de gobierno del sistema: establecer las políticas, adoptar el código de ética, aprobar el manual de procedimientos y, de manera destacada, designar al oficial de cumplimiento y a su suplente (num. 4.2.4.1.4). También debe pronunciarse periódicamente sobre el perfil de riesgo de la entidad y sobre cada punto de los informes del oficial de cumplimiento y de los órganos de control, dejando constancia en acta.
El representante legal, por su parte, somete a aprobación de la junta el manual (en coordinación con el oficial de cumplimiento), verifica que los procedimientos desarrollen las políticas, provee los recursos técnicos y humanos y presta apoyo efectivo, eficiente y oportuno al oficial de cumplimiento (num. 4.2.4.2).
El oficial de cumplimiento es el responsable de velar por el funcionamiento del sistema. La C.E. 029 de 2014 (num. 4.2.4.3.1) exige que reúna, como mínimo, estos requisitos:
El suplente debe cumplir los mismos requisitos (subnumerales 4.2.4.3.1.2 al 4.2.4.3.1.7), incluida la posesión ante la Superintendencia Financiera. Las funciones del oficial de cumplimiento, así como la identificación y reporte de operaciones inusuales y sospechosas, no pueden contratarse con terceros.
Entre sus funciones (num. 4.2.4.3.2) figuran velar por el efectivo, eficiente y oportuno funcionamiento de las etapas del SARLAFT; diseñar las metodologías de segmentación, identificación, medición y control; elaborar los criterios objetivos para determinar las operaciones sospechosas; y, como enlace con la autoridad, reportar a la UIAF de forma inmediata las operaciones sospechosas (ROS), incluidas las tentativas de vinculación. Debe además presentar informes trimestrales, presenciales y escritos, a la junta directiva, sobre la gestión, el envío de reportes a las autoridades, la evolución del perfil de riesgo y la efectividad de los controles, y evaluar los informes de la auditoría interna y del revisor fiscal para adoptar correctivos.
Los órganos de control evalúan el sistema para detectar fallas, pero no son responsables de las etapas de administración del riesgo (num. 4.2.5). Deben existir, por lo menos, la revisoría fiscal y la auditoría interna:
El régimen de informes combina la periodicidad trimestral (oficial de cumplimiento y revisoría fiscal) con la evaluación anual de la auditoría interna. El incumplimiento de estos deberes activa el art. 107 del EOSF: la no adopción o aplicación de los mecanismos de control da lugar a las sanciones administrativas que imponga la Superintendencia Financiera de Colombia, sin perjuicio de las consecuencias penales a que hubiere lugar. Con la C.E. 027 de 2020 (SARLAFT 4.0) se reforzó este marco, manteniendo la posesión del oficial ante la SFC como requisito esencial de su designación.
1. Según la C.E. 029 de 2014 (Cap. IV, num. 4.2.4.3.2.1), ¿cuál es la función primordial del oficial de cumplimiento respecto del SARLAFT?
El num. 4.2.4.3.2.1 de la C.E. 029 de 2014 establece que el oficial de cumplimiento debe velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el SARLAFT.
2. De acuerdo con la C.E. 029 de 2014 (num. 4.2.7.2.1), ¿con qué oportunidad debe la entidad reportar a la UIAF las operaciones que determine como sospechosas (ROS)?
El num. 4.2.7.2.1 de la C.E. 029 de 2014 dispone que las entidades, a través del oficial de cumplimiento, deben reportar a la UIAF en forma inmediata las operaciones que determinen como sospechosas (ROS).
3. Según el num. 4.2.4.3.2.2 de la C.E. 029 de 2014, ¿con qué periodicidad mínima debe el oficial de cumplimiento presentar informes presenciales y escritos a la junta directiva?
El num. 4.2.4.3.2.2 de la C.E. 029 de 2014 exige al oficial de cumplimiento presentar, cuando menos en forma trimestral, informes presenciales y escritos a la junta directiva u órgano que haga sus veces.
4. Conforme a la C.E. 029 de 2014 (num. 4.2.4.1.4) y al art. 102 del EOSF, ¿a qué órgano corresponde designar al oficial de cumplimiento y su suplente?
El num. 4.2.4.1.4 de la C.E. 029 de 2014, en concordancia con el art. 102 num. 3 del EOSF, atribuye a la junta directiva (u órgano que haga sus veces) la designación del oficial de cumplimiento y su respectivo suplente.
5. Según el párrafo final del num. 4.2.4.3 de la C.E. 029 de 2014, ¿cuáles de las siguientes funciones NO pueden contratarse con terceros?
El párrafo final del num. 4.2.4.3 de la C.E. 029 de 2014 prohíbe contratar con terceros las funciones asignadas al oficial de cumplimiento, así como las relacionadas con la identificación y reporte de operaciones inusuales y con la determinación y reporte de operaciones sospechosas.
6. De acuerdo con el num. 4.2.4.1 de la C.E. 029 de 2014, ¿cuál de las siguientes es una función de la junta directiva en el SARLAFT?
El num. 4.2.4.1.1 de la C.E. 029 de 2014 establece que la junta directiva debe establecer las políticas del SARLAFT; el reporte de ROS corresponde al oficial de cumplimiento y la evaluación anual a la auditoría interna.
7. Según el num. 4.2.4.2 de la C.E. 029 de 2014, ¿cuál es una obligación del representante legal frente al oficial de cumplimiento?
Los num. 4.2.4.2.5 y 4.2.4.2.6 de la C.E. 029 de 2014 obligan al representante legal a proveer los recursos técnicos y humanos necesarios y a prestar efectivo, eficiente y oportuno apoyo al oficial de cumplimiento.
8. En un banco colombiano, el monitoreo detecta una operación que, tras el análisis del oficial de cumplimiento, se determina como sospechosa. Conforme a la C.E. 029 de 2014, ¿qué procede?
El num. 4.2.7.2.1 de la C.E. 029 de 2014 ordena reportar a la UIAF en forma inmediata las operaciones determinadas como sospechosas (ROS); no se condiciona a plazos trimestrales ni a aviso al cliente.
9. Una persona intenta vincularse como cliente de una entidad financiera, pero la entidad rechaza la vinculación por señales de LA/FT. Según la C.E. 029 de 2014 (num. 4.2.7.2.1), ¿debe reportarse a la UIAF?
El num. 4.2.7.2.1 de la C.E. 029 de 2014 establece que también deben reportarse como sospechosas las tentativas de vinculación comercial, aunque no se concrete la relación contractual.
10. En un banco colombiano, el oficial de cumplimiento elaboró los criterios objetivos para la determinación de las operaciones sospechosas. Según el num. 4.2.4.3.2.9 de la C.E. 029 de 2014, ¿qué debe hacer a continuación?
El num. 4.2.4.3.2.9 de la C.E. 029 de 2014 dispone que el oficial de cumplimiento debe elaborar y someter a aprobación de la junta los criterios objetivos para la determinación de las operaciones sospechosas, así como los criterios de consolidación, monitoreo y análisis de inusualidad.
11. Según el num. 4.2.4.3.1.7 de la C.E. 029 de 2014 y la C.E. 027 de 2020, ¿qué requisito formal debe cumplir el oficial de cumplimiento principal y su suplente antes de ejercer el cargo?
El num. 4.2.4.3.1.7 de la C.E. 029 de 2014, conforme a la C.E. 027 de 2020, exige que el oficial de cumplimiento principal y su suplente se posesionen ante la SFC, trámite en el que se acredita el cumplimiento de los requisitos del cargo.
12. De acuerdo con el num. 4.2.4.3.2.7 de la C.E. 029 de 2014, frente a los informes de la auditoría interna y del revisor fiscal, el oficial de cumplimiento debe:
El num. 4.2.4.3.2.7 de la C.E. 029 de 2014 ordena al oficial de cumplimiento evaluar los informes de la auditoría interna y del revisor fiscal, y adoptar las medidas del caso frente a las deficiencias informadas.
13. El art. 102 del EOSF (Decreto 663 de 1993) impone a las entidades vigiladas, entre otros deberes, adoptar mecanismos orientados a:
El art. 102, num. 1, del EOSF obliga a las entidades vigiladas a adoptar mecanismos y reglas de conducta para evitar ser utilizadas como instrumento para el ocultamiento, manejo, inversión o aprovechamiento de dinero u otros bienes provenientes de actividades delictivas, o para dar apariencia de legalidad a las mismas.
14. La junta directiva de una compañía de financiamiento recibe el informe trimestral del oficial de cumplimiento. Según el num. 4.2.4.1.7 de la C.E. 029 de 2014, para cumplir su deber la junta debe:
El num. 4.2.4.1.7 de la C.E. 029 de 2014 exige que la junta directiva se pronuncie respecto de cada uno de los puntos contenidos en los informes del oficial de cumplimiento, dejando constancia expresa en la respectiva acta.
15. Según el num. 4.2.4.3.1 de la C.E. 029 de 2014, ¿cuál es uno de los requisitos del oficial de cumplimiento en cuanto a su posición en la entidad?
Los num. 4.2.4.3.1.1 y 4.2.4.3.1.2 de la C.E. 029 de 2014 exigen que el oficial de cumplimiento sea como mínimo de segundo nivel jerárquico dentro de la entidad y que tenga capacidad decisoria.
16. Una entidad financiera quiere nombrar como oficial de cumplimiento al jefe de auditoría interna. Según el num. 4.2.4.3.1.5 de la C.E. 029 de 2014, ¿es viable?
El num. 4.2.4.3.1.5 de la C.E. 029 de 2014 prohíbe que el oficial de cumplimiento pertenezca a los órganos de control (revisoría fiscal y auditoría interna) ni a las áreas directamente relacionadas con el objeto social principal.
17. Según el art. 107 del EOSF, ¿qué consecuencia tiene la no adopción o aplicación de los mecanismos de control previstos en el art. 102?
El art. 107 del EOSF establece que el incumplimiento por la no adopción o aplicación de los mecanismos de control da lugar a las sanciones administrativas correspondientes, sin perjuicio de las consecuencias penales a que hubiere lugar.
18. Conforme al num. 4.2.4.2.2 de la C.E. 029 de 2014, además de someter el manual a la junta, el representante legal debe:
El num. 4.2.4.2.2 de la C.E. 029 de 2014 obliga al representante legal a verificar que los procedimientos desarrollen todas las políticas adoptadas por la junta directiva.
19. Según el num. 4.2.4.1 de la C.E. 029 de 2014, ¿cuál de estas es competencia de la junta directiva en materia de operaciones sospechosas?
El num. 4.2.4.1.10 de la C.E. 029 de 2014 atribuye a la junta directiva la aprobación de los criterios objetivos y procedimientos para la determinación y reporte de las operaciones sospechosas; el reporte material a la UIAF corresponde al oficial de cumplimiento.
20. En un banco colombiano, ¿quién es el funcionario responsable de gestionar el reporte de operaciones sospechosas a la UIAF y de servir de enlace en esta materia?
Conforme al num. 4.2.7.2.1 de la C.E. 029 de 2014, corresponde a la entidad, a través del oficial de cumplimiento, reportar a la UIAF las operaciones sospechosas; esta función no puede tercerizarse (num. 4.2.4.3).
21. El oficial de cumplimiento de una aseguradora informa que carece de personal y de herramientas tecnológicas suficientes. Según la C.E. 029 de 2014, ¿a quién corresponde proveer esos recursos?
El num. 4.2.4.2.5 de la C.E. 029 de 2014 obliga al representante legal a proveer los recursos técnicos y humanos necesarios para implementar y mantener el SARLAFT, y el 4.2.4.2.6 a prestar apoyo efectivo y oportuno al oficial de cumplimiento.
22. Según el num. 4.2.4.3.2.3 de la C.E. 029 de 2014, ¿qué debe promover el oficial de cumplimiento cuando detecta debilidades en el sistema?
El num. 4.2.4.3.2.3 de la C.E. 029 de 2014 dispone que el oficial de cumplimiento debe promover la adopción de correctivos al SARLAFT.
23. Según el num. 4.2.4.3.1.6 de la C.E. 029 de 2014, como regla general el oficial de cumplimiento debe:
El num. 4.2.4.3.1.6 de la C.E. 029 de 2014 exige que el oficial de cumplimiento sea empleado de la entidad, salvo en grupos financieros, caso en el cual puede ser empleado de la matriz y ser designado por las juntas de las entidades del grupo.
24. En una fiduciaria, el representante legal va a someter el manual de procedimientos del SARLAFT a aprobación de la junta. Según el num. 4.2.4.2.1 de la C.E. 029 de 2014, debe hacerlo:
El num. 4.2.4.2.1 de la C.E. 029 de 2014 establece que el representante legal somete a aprobación de la junta directiva, en coordinación con el oficial de cumplimiento, el manual de procedimientos del SARLAFT y sus actualizaciones.
25. ¿Qué circular de la SFC presentó el SARLAFT 4.0, modificando el Capítulo IV de la Circular Básica Jurídica (C.E. 029 de 2014)?
La C.E. 027 de 2020 de la SFC presentó el SARLAFT 4.0, modificando el Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica (C.E. 029 de 2014), con un período de transición para que las entidades ajustaran su sistema.
26. Una entidad designa como oficial de cumplimiento a un analista de cuarto nivel jerárquico, sin capacidad de decisión. Según el num. 4.2.4.3.1 de la C.E. 029 de 2014, ello:
Los num. 4.2.4.3.1.1 y 4.2.4.3.1.2 de la C.E. 029 de 2014 exigen que el oficial de cumplimiento sea como mínimo de segundo nivel jerárquico y tenga capacidad decisoria; un cargo de cuarto nivel sin decisión incumple el requisito.
27. En un banco, la junta directiva aprobó las políticas del SARLAFT, pero el oficial de cumplimiento advierte que los procedimientos vigentes no las desarrollan integralmente. Según la C.E. 029 de 2014, ¿quién debe verificar que los procedimientos desarrollen todas las políticas?
El num. 4.2.4.2.2 de la C.E. 029 de 2014 atribuye al representante legal el deber de verificar que los procedimientos desarrollen todas las políticas adoptadas por la junta directiva.
28. El área de monitoreo de un banco identifica una operación inusual y la traslada al oficial de cumplimiento, quien tras analizarla NO encuentra elementos para considerarla sospechosa. Según la C.E. 029 de 2014, ¿debe enviarse un ROS a la UIAF?
El num. 4.2.7.2.1 de la C.E. 029 de 2014 vincula el ROS a las operaciones determinadas como sospechosas; una operación inusual que tras el análisis no se califica como sospechosa no genera ROS, sin perjuicio de su documentación interna.
29. ¿Cuál de las siguientes afirmaciones sobre el oficial de cumplimiento es CORRECTA según la C.E. 029 de 2014?
Según la C.E. 029 de 2014, el oficial de cumplimiento debe estar posesionado ante la SFC (4.2.4.3.1.7) y no puede pertenecer a los órganos de control (4.2.4.3.1.5); no puede tercerizar el reporte de operaciones sospechosas (4.2.4.3) y debe informar a la junta cuando menos trimestralmente (4.2.4.3.2.2).
30. En una entidad, la junta directiva pretende delegar íntegramente su responsabilidad sobre el SARLAFT en el oficial de cumplimiento. Según la C.E. 029 de 2014, ello:
El num. 4.2.4.1 de la C.E. 029 de 2014 asigna a la junta directiva funciones indelegables propias (establecer políticas, adoptar el código de ética, aprobar el manual, designar al oficial, pronunciarse sobre informes y sobre el perfil de riesgo), distintas de las del oficial de cumplimiento; no puede trasladar íntegramente su responsabilidad.
31. Según el Capítulo IV de la C.E. 029 de 2014, ¿cuál es el nivel jerárquico mínimo que debe ostentar el oficial de cumplimiento dentro de la entidad vigilada?
El num. 4.2.4.3.1.1 del Cap. IV de la C.E. 029 de 2014 exige que el oficial de cumplimiento sea como mínimo de segundo nivel jerárquico dentro de la entidad.
32. De acuerdo con el num. 4.2.4.3.1 del Cap. IV de la C.E. 029 de 2014, además del segundo nivel jerárquico, ¿qué condición debe reunir el oficial de cumplimiento para ejercer eficazmente sus atribuciones?
El num. 4.2.4.3.1.2 del Cap. IV de la C.E. 029 de 2014 exige que el oficial de cumplimiento tenga capacidad decisoria.
33. Conforme al num. 4.2.4.3.1.3 del Cap. IV de la C.E. 029 de 2014, ¿qué debe acreditar el oficial de cumplimiento al momento de su designación?
El num. 4.2.4.3.1.3 del Cap. IV de la C.E. 029 de 2014 exige que el oficial de cumplimiento acredite conocimiento en materia de administración de riesgos.
34. De conformidad con el num. 4.2.4.3.1.5 del Cap. IV de la C.E. 029 de 2014, el oficial de cumplimiento NO puede pertenecer a:
El num. 4.2.4.3.1.5 del Cap. IV de la C.E. 029 de 2014 establece que el oficial de cumplimiento no puede pertenecer a los órganos de control ni a las áreas directamente relacionadas con las actividades del objeto social principal.
35. Según el num. 4.2.4.3.1.7 del Cap. IV de la C.E. 029 de 2014, conforme a la C.E. 027 de 2020, ¿qué se acredita en el trámite de posesión del oficial de cumplimiento ante la SFC?
El num. 4.2.4.3.1.7 del Cap. IV de la C.E. 029 de 2014, conforme a la C.E. 027 de 2020, prevé la posesión ante la SFC, trámite en el que se acredita el cumplimiento de los requisitos normativos exigidos para el ejercicio del cargo.