El régimen del SARLAFT —Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo— está contenido en la Circular Básica Jurídica (C.E. 029 de 2014), Parte I, Título IV, Capítulo IV. Su fundamento legal son los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero (EOSF, Decreto 663 de 1993), que imponen a las entidades el deber de adoptar mecanismos y reglas de conducta para prevenir el LA/FT, en consonancia con los estándares internacionales del GAFI – GAFILAT. La Superintendencia Financiera de Colombia (SFC), como supervisor del sector financiero, bursátil y asegurador, fija los criterios y parámetros mínimos que las entidades vigiladas deben atender en el diseño, implementación y funcionamiento del sistema.
Mediante la Circular Externa 027 del 2 de septiembre de 2020, la SFC sustituyó el Capítulo IV del Título IV de la Parte I de la Circular Básica Jurídica, dando origen al llamado SARLAFT 4.0. La SFC concedió a las entidades vigiladas un período de transición de un (1) año (12 meses) para su adopción. El SARLAFT se compone de dos fases: la de prevención (evitar que ingresen recursos de origen ilícito) y la de control (detectar y reportar operaciones vinculadas al LA/FT).
La reforma alineó el sistema con las Recomendaciones del GAFI e introdujo cambios relevantes:
El SARLAFT obliga a las entidades vigiladas por la SFC, que deben implementarlo atendiendo a su naturaleza y objeto social (num. 2). Algunas entidades —como Fogafin, Fogacoop, el Fondo Nacional de Garantías o los INFIS— están exceptuadas de la totalidad del Capítulo, pero conservan el deber de designar un funcionario responsable y de cumplir los arts. 102 a 107 del EOSF, en especial el envío de reportes a la UIAF.
El SARLAFT no es el único régimen antilavado en Colombia. Para las empresas del sector real rige el SAGRILAFT (Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT y FPADM), expedido por la Superintendencia de Sociedades mediante la Circular Externa 100-000016 de 2020. En todos los casos, los reportes (ROS y transacciones en efectivo) se dirigen a la Unidad de Información y Análisis Financiero (UIAF), en el marco de la Ley 526 de 1999 y el Decreto Único 1068 de 2015. Así, la SFC supervisa el sector financiero y la Supersociedades el sector real, dentro de un mismo sistema nacional antilavado coordinado por la UIAF.
1. ¿Cuál es la autoridad que ejerce la inspección, vigilancia y control sobre las personas que realizan actividad financiera, bursátil y aseguradora en Colombia?
La Superintendencia Financiera de Colombia (SFC) es la autoridad que ejerce la inspección, vigilancia y control sobre quienes realizan actividad financiera, bursátil, aseguradora y relacionada con recursos captados del público (EOSF Decreto 663 de 1993, art. 325 y ss.).
2. ¿Con fundamento en qué disposiciones del EOSF establece la SFC los criterios y parámetros mínimos del SARLAFT que deben atender las entidades vigiladas?
En desarrollo de los arts. 102 y siguientes del EOSF (Decreto 663 de 1993) y en consonancia con el art. 22 de la Ley 964 de 2005, la SFC establece los criterios y parámetros mínimos del SARLAFT que deben atender las entidades vigiladas (C.E. 027 de 2020, Consideraciones generales).
3. Según el art. 102 del EOSF, ¿qué deber impone a las entidades vigiladas en materia de prevención del LA/FT?
El art. 102 del EOSF impone a las entidades el deber de adoptar mecanismos y reglas de conducta para prevenir el LA/FT, en consonancia con los estándares internacionales, especialmente los del GAFI-GAFILAT (art. 102, num. 2, lit. e EOSF).
4. El art. 102, num. 2, lit. e del EOSF exige que el SARLAFT esté en consonancia con los estándares internacionales, especialmente los de:
El SARLAFT debe estar en consonancia con los estándares internacionales, especialmente los del GAFI-GAFILAT, conforme al art. 102, num. 2, lit. e del EOSF (C.E. 027 de 2020, num. 2).
5. ¿En qué instrumento normativo está contenido el régimen del SARLAFT con sus instrucciones sobre administración del riesgo de LA/FT?
El régimen del SARLAFT está contenido en la Circular Básica Jurídica (C.E. 029 de 2014), Parte I, Título IV, Capítulo IV, titulado 'Instrucciones relativas a la administración del riesgo de lavado de activos y de la financiación del terrorismo'.
6. ¿Qué norma expedida por la SFC dio lugar a lo que se conoce como 'SARLAFT 4.0'?
La Circular Externa 027 de 2020 de la SFC sustituyó/modificó el Capítulo IV del Título IV de la Parte I de la Circular Básica Jurídica, dando lugar a lo que se conoce como 'SARLAFT 4.0'.
7. ¿En qué fecha fue expedida la Circular Externa 027 de la SFC que instauró el SARLAFT 4.0?
La Circular Externa 027 de 2020 fue expedida el 2 de septiembre de 2020 (C.E. 027 de 2020 SFC; Comunicado de prensa SFC del 2 sep. 2020).
8. ¿Qué efecto tuvo la Circular Externa 027 de 2020 sobre la Circular Básica Jurídica?
La C.E. 027 de 2020 sustituyó/modificó el Capítulo IV del Título IV de la Parte I de la Circular Básica Jurídica, dando lugar al SARLAFT 4.0.
9. ¿A qué entidades corresponde diseñar e implementar un SARLAFT efectivo conforme al Capítulo IV?
Corresponde a las entidades vigiladas por la SFC diseñar e implementar un SARLAFT efectivo de acuerdo con los criterios y parámetros mínimos del Capítulo IV (C.E. 027 de 2020, num. 2, Ámbito de aplicación).
10. ¿Cuál de las siguientes entidades está exceptuada de aplicar la totalidad del Capítulo IV del SARLAFT?
Entre las entidades exceptuadas de aplicar la totalidad del Capítulo están Fogafin, Fogacoop, el Fondo Nacional de Garantías (F.N.G.), los fondos mutuos de inversión bajo vigilancia permanente, las calificadoras, las oficinas de representación de instituciones financieras del exterior y los INFIS (C.E. 027 de 2020, num. 2 y 2.1).
11. Aunque exceptuadas de la totalidad del Capítulo IV, ¿qué deben cumplir entidades como Fogafin o los INFIS?
Las entidades exceptuadas deben designar un funcionario responsable (num. 2.1) y cumplir los arts. 102 a 107 del EOSF (reportes de efectivo, clientes exonerados y ROS a la UIAF), aunque no apliquen la totalidad del Capítulo (C.E. 027 de 2020, num. 2 y 2.1).
12. Según el num. 2 de la C.E. 027 de 2020, el diseño del SARLAFT debe atender a:
El SARLAFT debe atender a la naturaleza, objeto social y demás características particulares de cada entidad (C.E. 027 de 2020, num. 2).
13. ¿Cuál es el régimen equivalente al SARLAFT para las empresas del sector real vigiladas/controladas por la Superintendencia de Sociedades?
El SAGRILAFT (Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT y FPADM) es el régimen equivalente para las empresas del sector real vigiladas/controladas por la Superintendencia de Sociedades, regulado por la Circular Externa 100-000016 de 2020.
14. ¿Qué entidad es la destinataria de los reportes de operaciones sospechosas (ROS) y de transacciones en efectivo del sistema financiero?
La UIAF, enmarcada en el Decreto 1068 de 2015 y la Ley 526 de 1999, es la destinataria de los reportes (ROS, transacciones en efectivo).
15. ¿A qué sectores aplica el SARLAFT por estar vigilados por la SFC?
El SARLAFT aplica a las entidades vigiladas por la SFC, esto es, el sector financiero, bursátil y asegurador (C.E. 027 de 2020, num. 2).
16. El SARLAFT se compone de dos fases. ¿Cuáles son?
El SARLAFT se compone de dos fases: la prevención del riesgo (evitar que ingresen recursos de LA/FT) y el control (detectar y reportar operaciones vinculadas al LA/FT) (C.E. 027 de 2020, Consideraciones generales).
17. ¿Qué plazo de adopción concedió la SFC a las entidades vigiladas para implementar el SARLAFT 4.0 desde la expedición de la Circular?
La SFC concedió un plazo de adopción de un (1) año / 12 meses contado desde la expedición de la Circular (2 de septiembre de 2020) para implementar el SARLAFT 4.0 (Comunicado de prensa SFC, 2 sep. 2020).
18. Una oficina de representación de una institución financiera del exterior establecida en Colombia consulta su obligación. ¿Cómo se ubica frente al Capítulo IV?
Las oficinas de representación de instituciones financieras del exterior están entre las entidades exceptuadas de aplicar la totalidad del Capítulo, pero deben designar un funcionario responsable (num. 2.1) y cumplir los arts. 102 a 107 del EOSF (C.E. 027 de 2020, num. 2 y 2.1).
19. Una empresa manufacturera del sector real, no captadora de recursos del público, pregunta si debe implementar el SARLAFT de la SFC. ¿Qué corresponde?
El SARLAFT aplica a entidades vigiladas por la SFC (financiero, bursátil, asegurador). Las empresas del sector real vigiladas/controladas por la Supersociedades se rigen por el SAGRILAFT (Circular Externa 100-000016 de 2020) cuando proceda.
20. Un INFIS, exceptuado de aplicar la totalidad del Capítulo IV, omite designar persona responsable de las obligaciones LA/FT. ¿Cumple con la norma?
Las entidades exceptuadas, incluidos los INFIS, deben designar un funcionario responsable (num. 2.1) y cumplir los arts. 102 a 107 del EOSF (reportes a la UIAF); omitirlo incumple la norma (C.E. 027 de 2020, num. 2 y 2.1).
21. ¿Qué normas enmarcan la actuación de la UIAF como destinataria de los reportes del sistema financiero?
El Decreto Único Reglamentario 1068 de 2015 (Sector Hacienda y Crédito Público) y la Ley 526 de 1999 enmarcan la actuación de la UIAF como destinataria de los reportes (ROS, transacciones en efectivo).
22. La competencia de la SFC abarca a quienes manejan, aprovechan o invierten:
La SFC ejerce inspección, vigilancia y control sobre quienes realizan actividad financiera, bursátil, aseguradora y cualquier otra relacionada con el manejo, aprovechamiento o inversión de recursos captados del público (EOSF art. 325 y ss.).
23. ¿Qué disposición se cita, junto con los arts. 102 y ss. del EOSF, como fundamento de las facultades de la SFC para fijar parámetros del SARLAFT?
En desarrollo de los arts. 102 y ss. del EOSF y en consonancia con el art. 22 de la Ley 964 de 2005, la SFC establece los criterios y parámetros mínimos del SARLAFT (C.E. 027 de 2020, Consideraciones generales).
24. Dentro de las dos fases del SARLAFT, ¿en qué consiste la fase de prevención?
La fase de prevención busca evitar que ingresen al sistema recursos de LA/FT; la fase de control busca detectar y reportar las operaciones vinculadas al LA/FT (C.E. 027 de 2020, Consideraciones generales).
25. La fase de control del SARLAFT tiene por objeto:
La fase de control consiste en detectar y reportar las operaciones vinculadas al LA/FT, mientras que la fase de prevención busca evitar que ingresen recursos de LA/FT (C.E. 027 de 2020, Consideraciones generales).
26. La denominación 'SARLAFT 4.0' surge a raíz de:
La denominación 'SARLAFT 4.0' surge a raíz de la Circular Externa 027 de 2020, que sustituyó/modificó el Capítulo IV del Título IV de la Parte I de la Circular Básica Jurídica.
27. ¿Qué tres funciones ejerce la SFC sobre las entidades de su competencia?
La SFC ejerce la inspección, vigilancia y control sobre las personas que realizan actividad financiera, bursátil y aseguradora (EOSF art. 325 y ss.; CBJ C.E. 029 de 2014).
28. ¿Mediante qué norma reguló la Superintendencia de Sociedades el régimen SAGRILAFT del sector real?
El SAGRILAFT está regulado por la Circular Externa 100-000016 de 2020 de la Superintendencia de Sociedades, régimen equivalente al SARLAFT para las empresas del sector real.
29. ¿Qué significa la sigla SAGRILAFT en el régimen de la Superintendencia de Sociedades?
El SAGRILAFT es el Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT y FPADM, régimen equivalente al SARLAFT para las empresas del sector real vigiladas/controladas por la Supersociedades.
30. Una sociedad cliente de un banco tiene como socio a una persona natural con el 7% del capital social. ¿Qué calidad tiene esa persona para efectos del SARLAFT?
El num. 1.3.1 considera beneficiario final a la persona natural propietaria, directa o indirectamente, de una participación superior al 5% del capital social de la persona jurídica cliente; un socio con 7% supera ese umbral y debe identificarse y verificarse.
31. Un banco identifica que un nuevo cliente presenta un perfil de alto riesgo de LA/FT. Bajo el enfoque basado en riesgo del SARLAFT 4.0, ¿qué debe hacer?
Bajo el enfoque basado en riesgo (EBR), las entidades aplican el conocimiento del cliente de manera proporcional; ante un perfil de alto riesgo deben aplicar medidas intensificadas, conforme al num. 4.2.2.2.1.
32. Una fintech vigilada por la SFC vincula clientes de forma no presencial mediante canales digitales usando bases de datos públicas. ¿Qué exige el SARLAFT 4.0 (num. 4.2.2.2.1) para este onboarding?
El num. 4.2.2.2.1 permite realizar el conocimiento del cliente de manera presencial o no presencial a través de canales digitales o electrónicos, usando datos de fuentes confiables e independientes y con cumplimiento de la Ley 1581 de 2012 (protección de datos personales).
33. Tras confrontar una operación inusual con la información del cliente y del mercado, una entidad concluye que es sospechosa. ¿Qué debe hacer conforme al num. 4.2.2.2.4?
Conforme al num. 4.2.2.2.4, la operación sospechosa resulta de confrontar las operaciones inusuales con la información del cliente y del mercado y, una vez identificada como sospechosa, debe reportarse de forma inmediata y eficiente a la UIAF.
34. Una entidad vigilada por la SFC debe verificar listas de sanciones financieras dirigidas relacionadas con FPADM. ¿En qué numeral del SARLAFT 4.0 se sustenta esta obligación?
El SARLAFT 4.0 incorpora las sanciones financieras dirigidas en el num. 6, junto con la financiación de la proliferación de armas de destrucción masiva (FPADM), en línea con las Recomendaciones del GAFI.
35. Un cajero detecta que un cliente realiza una operación que no guarda relación con su actividad económica y para la cual no hay justificación razonable. Aún no se confronta con el perfil ni el mercado. ¿Cómo se clasifica en esa etapa?
Una operación que no guarda relación con la actividad económica y carece de justificación razonable es una operación inusual (num. 4.2.2.2.3). Solo se convierte en sospechosa (num. 4.2.2.2.4) tras confrontarla con la información del cliente y del mercado; entonces sí se reporta a la UIAF.