El SARLAFT es el sistema que toda entidad vigilada por la Superintendencia Financiera de Colombia (SFC) debe implementar para administrar el riesgo de lavado de activos y financiación del terrorismo (LA/FT), conforme al Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica (C.E. 029 de 2014), modificado por la C.E. 027 de 2020 (SARLAFT 4.0), que incorporó el enfoque basado en riesgo (EBR) en línea con la Recomendación 1 del GAFI. La administración del riesgo se desarrolla a través de cuatro etapas consecutivas: identificación, medición o evaluación, control y monitoreo.
Los factores de riesgo son los agentes generadores del riesgo de LA/FT; como mínimo: clientes y usuarios, productos, canales de distribución y jurisdicciones. Los riesgos asociados son aquellos a través de los cuales se materializa el LA/FT: reputacional, legal, operativo y de contagio. La medición y el control producen, respectivamente, dos perfiles que el monitoreo compara:
Permite identificar los riesgos de LA/FT inherentes a la actividad según los factores de riesgo. Es clave que esta etapa se realice previamente al lanzamiento o uso de nuevos productos, nuevas prácticas comerciales o canales, nuevas tecnologías, a la modificación de un producto, a la incursión en un nuevo mercado y a la apertura de operaciones en nuevas jurisdicciones. Su resultado es identificar los factores de riesgo y los riesgos asociados; para ello la entidad debe establecer metodologías de segmentación de los factores de riesgo y de identificación del riesgo (num. 4.1.1, equivalente al num. 4.2.1 de la C.E. 029 de 2014).
Concluida la identificación, el SARLAFT debe permitir medir la probabilidad de ocurrencia del riesgo inherente frente a cada factor de riesgo, así como el impacto en caso de materializarse, mediante los riesgos asociados. Las mediciones podrán ser cualitativas o cuantitativas. El resultado de esta etapa es el perfil de riesgo inherente de la entidad, con las mediciones agregadas por factor y por riesgo asociado (num. 4.1.2 / num. 4.2.2 de la C.E. 029 de 2014).
La entidad toma las medidas conducentes a controlar el riesgo inherente derivado de los factores de riesgo y de los riesgos asociados. El control debe traducirse en una disminución de la probabilidad de ocurrencia y/o del impacto del riesgo. Su resultado es el perfil de riesgo residual. La entidad debe evaluar, con periodicidad mínima semestral, el diseño y la efectividad de las medidas de control (atributos de cobertura, frecuencia y funcionamiento) y establecer los niveles de exposición según la calificación obtenida en la medición (num. 4.1.3 / num. 4.2.3 de la C.E. 029 de 2014).
Permite hacer seguimiento del perfil de riesgo y del SARLAFT, y comparar la evolución del perfil de riesgo inherente con el perfil de riesgo residual. Su resultado es una matriz de riesgo y reportes sobre la evolución del riesgo y la eficiencia de los controles. El seguimiento debe tener una periodicidad acorde con el perfil de riesgo residual, pero en todo caso mínima semestral. Cuando los controles no sean efectivos, la entidad debe implementar de manera inmediata un plan de acción de ajuste, y asegurar que los riesgos residuales se mantengan en los niveles de aceptación definidos (num. 4.1.4 / num. 4.2.4 de la C.E. 029 de 2014).
La secuencia lógica es: la identificación y la medición determinan el riesgo inherente; el control lo reduce y genera el riesgo residual; y el monitoreo compara ambos perfiles de forma continua. Reglas que suelen evaluarse: la identificación debe ser previa a productos, canales o jurisdicciones nuevos; la medición puede ser cualitativa o cuantitativa; y tanto la evaluación de controles como el seguimiento exigen periodicidad mínima semestral.
1. Según la etapa de Identificación del SARLAFT (CBJ, Cap. IV, num. 4.1.1), ¿en qué momento debe la entidad identificar el riesgo de LA/FT frente a un producto, servicio, canal o jurisdicción nuevos?
La etapa de identificación debe realizarse previamente al lanzamiento o uso de cualquier producto, nuevas prácticas comerciales, nuevas tecnologías, incursión en nuevo mercado, apertura en nuevas jurisdicciones y lanzamiento o modificación de canales de distribución (CBJ, Cap. IV, num. 4.1.1).
2. Para identificar el riesgo de LA/FT, ¿cuál de las siguientes es una actividad mínima exigida a las entidades en la etapa de Identificación?
En la identificación, las entidades deben como mínimo establecer metodologías para la segmentación de los factores de riesgo y segmentarlos, además de metodologías de identificación del riesgo y sus riesgos asociados (CBJ, Cap. IV, num. 4.1.1.1 a 4.1.1.3). El perfil residual y la matriz de riesgo son resultados de control y monitoreo.
3. Como resultado de la etapa de Identificación, las entidades deben poder identificar:
Como resultado de la identificación, las entidades deben poder identificar los factores de riesgo y los riesgos asociados a los que se ven expuestas frente al riesgo de LA/FT (CBJ, Cap. IV, num. 4.1.1). La probabilidad e impacto corresponden a la medición; el perfil residual al control.
4. Un banco colombiano va a lanzar una billetera digital con una nueva tecnología en desarrollo. El oficial de cumplimiento debe determinar la actuación SARLAFT correcta. ¿Cuál es?
La etapa de identificación debe realizarse previamente al lanzamiento o uso de cualquier producto y de nuevas tecnologías o tecnologías en desarrollo para productos nuevos o existentes (CBJ, Cap. IV, num. 4.1.1). Por tanto el riesgo debe identificarse antes del lanzamiento.
5. Una entidad vigilada planea abrir operaciones en una nueva jurisdicción del exterior. ¿Qué exige el SARLAFT en la etapa de Identificación respecto de esa apertura?
La identificación debe realizarse previamente a la apertura de operaciones en nuevas jurisdicciones (CBJ, Cap. IV, num. 4.1.1). Las jurisdicciones son además un factor de riesgo definido en el Capítulo.
6. De acuerdo con la etapa de Identificación, ¿respecto de cuál de los siguientes supuestos debe la entidad identificar previamente el riesgo de LA/FT?
La identificación debe realizarse previamente, entre otros, al lanzamiento o modificación de los canales de distribución y a nuevas prácticas comerciales incluidos nuevos canales de prestación de servicios (CBJ, Cap. IV, num. 4.1.1).
7. Una compañía de financiamiento decide modificar sustancialmente las características de un producto de crédito ya existente. Según la etapa de Identificación, debe:
La identificación debe realizarse previamente a la modificación de las características del producto (CBJ, Cap. IV, num. 4.1.1), aun cuando el producto ya exista.
8. La incursión en un nuevo mercado obliga a la entidad a:
La etapa de identificación debe realizarse previamente a la incursión en un nuevo mercado (CBJ, Cap. IV, num. 4.1.1).
9. Al establecer metodologías de identificación del riesgo y sus riesgos asociados respecto de cada factor segmentado, las entidades deben tener en cuenta:
Las entidades deben establecer metodologías de identificación del riesgo y sus riesgos asociados respecto de cada factor segmentado, teniendo en cuenta el contexto interno y externo (CBJ, Cap. IV, num. 4.1.1.2).
10. Dentro de las actividades mínimas de la etapa de Identificación, las entidades deben además:
En la identificación las entidades deben, entre otros mínimos, identificar las formas a través de las cuales puede presentarse el riesgo de LA/FT (CBJ, Cap. IV, num. 4.1.1.1 a 4.1.1.3). Los niveles de aceptación, la matriz y la evaluación semestral pertenecen a control y monitoreo.
11. Una cooperativa financiera quiere habilitar un nuevo canal de corresponsales digitales nunca antes usado. El comité de cumplimiento debate si debe actuar en SARLAFT. Lo correcto es:
La identificación debe realizarse previamente a nuevas prácticas comerciales (incluidos nuevos canales de prestación de servicios) y al lanzamiento o modificación de los canales de distribución (CBJ, Cap. IV, num. 4.1.1). Los canales son además un factor de riesgo.
12. Dentro de las cuatro etapas del SARLAFT, la Identificación es:
El SARLAFT comprende como mínimo las etapas de 1) Identificación, 2) Medición o evaluación, 3) Control y 4) Monitoreo (CBJ, Cap. IV, num. 4.1). La identificación es la primera y precede a la medición.
13. Un banco lanzó hace dos años un producto sin haber identificado su riesgo de LA/FT y ahora pretende ampliarlo a un nuevo mercado. ¿Cuál es la actuación SARLAFT correcta frente a la ampliación?
Con independencia de la omisión pasada, la identificación debe realizarse previamente a la incursión en un nuevo mercado (CBJ, Cap. IV, num. 4.1.1). La ampliación dispara la obligación de identificar el riesgo antes de ejecutarla.
14. La etapa de Monitoreo del SARLAFT debe permitir, principalmente:
El monitoreo debe permitir hacer seguimiento del perfil de riesgo y, en general, del SARLAFT, y comparar la evolución del perfil de riesgo inherente con el perfil de riesgo residual de LA/FT de la entidad (CBJ, Cap. IV, num. 4.1.4).
15. El proceso de seguimiento de la etapa de Monitoreo debe tener una periodicidad acorde con el perfil de riesgo residual, pero en todo caso con periodicidad mínima:
El proceso de seguimiento debe tener una periodicidad acorde con el perfil de riesgo residual, pero en todo caso con periodicidad mínima semestral (CBJ, Cap. IV, num. 4.1.4.1).
16. Como resultado de la etapa de Monitoreo, la entidad debe implementar:
Como resultado del monitoreo, la entidad debe implementar una matriz de riesgo y reportes que permitan establecer las evoluciones del riesgo y la eficiencia de los controles implementados (CBJ, Cap. IV, num. 4.1.4). El perfil inherente es resultado de la medición y el residual del control.
17. Dentro de las actividades del monitoreo, la entidad debe establecer indicadores que sean:
El monitoreo debe establecer indicadores descriptivos y/o prospectivos de potenciales fuentes de riesgo (CBJ, Cap. IV, num. 4.1.4.2 a 4.1.4.5).
18. El monitoreo debe realizar seguimiento y comparación del riesgo inherente y residual:
El monitoreo debe realizar seguimiento y comparación del riesgo inherente y residual de cada factor y de cada riesgo asociado (CBJ, Cap. IV, num. 4.1.4.2 a 4.1.4.5).
19. Un oficial de cumplimiento propone hacer el seguimiento del perfil de riesgo solo una vez al año para reducir costos. ¿Es admisible según la etapa de Monitoreo?
El proceso de seguimiento debe tener periodicidad acorde con el perfil de riesgo residual, pero en todo caso con periodicidad mínima semestral (CBJ, Cap. IV, num. 4.1.4.1). Una periodicidad anual incumple ese mínimo.
20. Dentro de las cuatro etapas del SARLAFT, el Monitoreo es:
El SARLAFT comprende como mínimo las etapas de 1) Identificación, 2) Medición, 3) Control y 4) Monitoreo; el monitoreo es la cuarta etapa (CBJ, Cap. IV, num. 4.1 y 4.1.4).
21. Una entidad realiza seguimiento periódico pero no ha implementado ninguna matriz de riesgo ni reportes de evolución. Frente a la etapa de Monitoreo, esta situación implica que:
Como resultado del monitoreo, la entidad debe implementar una matriz de riesgo y reportes que permitan establecer las evoluciones del riesgo y la eficiencia de los controles (CBJ, Cap. IV, num. 4.1.4). No tenerlos implica un incumplimiento de esa etapa.
22. Una de las actividades del monitoreo consiste en asegurar que los controles:
El monitoreo debe asegurar que los controles sean comprensivos de todos los riesgos y, de no ser efectivos, implementar de inmediato un plan de acción de ajuste (CBJ, Cap. IV, num. 4.1.4.2 a 4.1.4.5).
23. El área de cumplimiento de una fiduciaria advierte en el seguimiento que el perfil de riesgo residual se ha deteriorado frente al inherente esperado. ¿A qué etapa del SARLAFT corresponde detectar y reaccionar ante esa evolución?
El monitoreo permite hacer seguimiento del perfil de riesgo y comparar la evolución del perfil inherente con el residual (CBJ, Cap. IV, num. 4.1.4), siendo la etapa que detecta y reacciona ante el deterioro del perfil.
24. ¿Cuál de las siguientes afirmaciones distingue correctamente la Identificación del Monitoreo?
La identificación se realiza previamente al lanzamiento o uso de productos, canales, mercados o jurisdicciones nuevos (num. 4.1.1), mientras que el monitoreo da seguimiento continuo y compara la evolución del perfil inherente con el residual con periodicidad mínima semestral (num. 4.1.4 y 4.1.4.1).
25. Según la CBJ (Cap. IV), una vez concluida la identificación, ¿qué debe permitir la etapa de medición o evaluación del SARLAFT?
La CBJ (Cap. IV, num. 4.1.2) establece que, concluida la identificación, el SARLAFT debe permitir medir la probabilidad de ocurrencia del riesgo inherente de LA/FT frente a cada factor de riesgo, así como el impacto en caso de materializarse mediante los riesgos asociados.
26. De acuerdo con la CBJ, las mediciones en la etapa de medición o evaluación del SARLAFT podrán ser de carácter:
La CBJ (Cap. IV, num. 4.1.2) dispone expresamente que las mediciones podrán ser de carácter cualitativo o cuantitativo.
27. ¿Cuál es el resultado o producto que la entidad debe poder establecer como consecuencia de la etapa de medición o evaluación?
Según la CBJ (Cap. IV, num. 4.1.2), como resultado de la medición la entidad debe estar en capacidad de establecer el perfil de riesgo inherente de LA/FT de la entidad y las mediciones agregadas en cada factor de riesgo y en sus riesgos asociados. El perfil residual es resultado del control y la matriz de riesgo es del monitoreo.
28. La medición del riesgo inherente de LA/FT frente a cada factor de riesgo se realiza combinando dos variables. ¿Cuáles son?
La CBJ (Cap. IV, num. 4.1.2) exige medir la probabilidad de ocurrencia del riesgo inherente frente a cada factor de riesgo y el impacto en caso de materializarse mediante los riesgos asociados. Estas son las dos variables de la medición.
29. Conforme a las definiciones de la CBJ (Cap. IV), ¿qué se entiende por riesgo inherente?
La CBJ (Cap. IV, num. 1 — Definiciones) define el riesgo inherente como el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. El nivel resultante tras aplicar controles es el riesgo residual o neto.
30. Para medir el riesgo, ¿qué deben establecer como mínimo las entidades según la CBJ (num. 4.1.2.1)?
La CBJ (Cap. IV, num. 4.1.2.1) exige que las entidades establezcan metodologías de medición o evaluación que determinen la probabilidad de ocurrencia y el impacto frente a cada factor de riesgo y riesgo asociado, y las apliquen para una medición consolidada. La segmentación corresponde a identificación y las medidas de control a la etapa de control.
31. Según la CBJ (Cap. IV), ¿cuáles son los riesgos asociados al LA/FT a través de los cuales se materializa este riesgo?
La CBJ (Cap. IV, num. 1 — Definiciones) establece que los riesgos asociados al LA/FT, a través de los cuales se materializa, son: reputacional, legal, operativo y de contagio. Los factores de riesgo (clientes, productos, canales y jurisdicciones) son agentes generadores, no riesgos asociados.
32. De acuerdo con la CBJ, ¿qué describe correctamente el riesgo reputacional como riesgo asociado al LA/FT?
La CBJ (Cap. IV, num. 1 — Definiciones) define el riesgo reputacional como la posibilidad de pérdida por desprestigio, mala imagen o publicidad negativa, cierta o no, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. Las demás opciones corresponden a los riesgos legal, operativo y de contagio respectivamente.
33. Una entidad financiera colombiana es sancionada por la SFC por incumplir obligaciones del SARLAFT. La pérdida económica derivada de esa sanción corresponde, en términos de riesgos asociados al LA/FT, a:
La CBJ (Cap. IV, num. 1 — Definiciones) define el riesgo legal como la posibilidad de pérdida al ser sancionada u obligada a indemnizar daños por incumplimiento de normas u obligaciones contractuales. La sanción de la SFC por incumplir el SARLAFT materializa precisamente este riesgo asociado.
34. En un banco colombiano, una falla en el sistema tecnológico de monitoreo transaccional impide detectar alertas de LA/FT y genera pérdidas. Como riesgo asociado al LA/FT, este evento se clasifica como:
La CBJ (Cap. IV, num. 1 — Definiciones) define el riesgo operativo como la posibilidad de pérdidas por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura o por acontecimientos externos. Una falla en el sistema tecnológico encaja en esta definición.
35. Según la CBJ, el riesgo de contagio como riesgo asociado al LA/FT es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por:
La CBJ (Cap. IV, num. 1 — Definiciones) define el riesgo de contagio como la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por la acción o experiencia de un vinculado (relacionado o asociado con posibilidad de ejercer influencia sobre la entidad).