Los factores de riesgo son los agentes generadores del riesgo de lavado de activos y financiación del terrorismo (LA/FT). A partir de ellos, las entidades vigiladas identifican las situaciones que pueden exponerlas a dicho riesgo. Conforme al numeral 4.2.1 del Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica (C.E. 029 de 2014), modificada por la C.E. 027 de 2020 de la Superintendencia Financiera de Colombia (SFC), el SARLAFT debe contemplar como mínimo cuatro factores: clientes y usuarios, productos, canales de distribución y jurisdicciones. Estos no se analizan de forma aislada: las operaciones financieras están compuestas por clientes que realizan una transacción mediante un producto, por intermedio de un canal, en una jurisdicción determinada.
La identificación del riesgo a partir de los factores debe ser previa; según el num. 4.2.1, ha de realizarse antes de lanzar un producto, modificar sus características, ingresar a nuevos mercados, abrir operaciones en nuevas jurisdicciones o introducir o modificar canales de distribución. Este carácter anticipado responde al enfoque basado en riesgo (EBR) de la Recomendación 1 del GAFI, incorporada por la C.E. 027 de 2020.
El factor cliente/usuario distingue dos categorías. El cliente es toda persona natural o jurídica con la cual la entidad establece y mantiene una relación contractual o legal para el suministro de un producto propio de su actividad. El usuario es la persona a la que, sin ser cliente, la entidad le presta un servicio. La contraparte es aquella con quien se realiza la operación; sus características individuales y comunes permiten agruparla en segmentos homogéneos.
El factor producto/servicio comprende las operaciones legalmente autorizadas que la entidad adelanta mediante contrato: cuentas corrientes o de ahorros, seguros, inversiones, CDT, giros o emisión de deuda, entre otros. El factor canal de distribución agrupa los medios por los que la entidad ofrece y distribuye sus productos. Entre los canales regulados por la SFC figuran las oficinas, los cajeros automáticos, los datáfonos (POS), los sistemas de audio respuesta (IVR), los centros de atención telefónica (call center), internet, la banca móvil y los corresponsales.
El factor jurisdicción o ubicación geográfica atiende a la zona (país, departamento, ciudad o región) donde la entidad presta el servicio o el cliente desarrolla su actividad. La C.E. 027 de 2020 incorporó la obligación de identificar y aplicar contramedidas frente a países de mayor riesgo, en línea con la Recomendación 19 del GAFI. Estas contramedidas se activan cuando el GAFI lo requiere o cuando la entidad lo determina con base en su análisis, e incluyen debida diligencia intensificada y limitaciones a las relaciones y operaciones con dichas jurisdicciones.
Las entidades deben establecer metodologías para la segmentación de los factores de riesgo (num. 4.1) y, con base en ellas, segmentar cada factor. Segmentar consiste en separar los elementos de cada factor en grupos homogéneos al interior de cada segmento y heterogéneos entre segmentos, a partir de variables que reflejen diferencias significativas. Las variables mínimas son:
Entre las metodologías de segmentación admisibles, complementarias entre sí, destacan las tabulaciones cruzadas (tablas construidas según criterios predefinidos), el análisis factorial (técnica estadística de reducción de datos que halla grupos homogéneos de variables) y el análisis de conglomerados o clúster (agrupación de elementos según sus características comunes). Una segmentación adecuada es la base para detectar operaciones inusuales —aquellas que se salen de los parámetros del segmento al que pertenece el cliente (num. 4.2.2)— y para consolidar su perfil de riesgo, permitiendo aplicar medidas de debida diligencia proporcionales al riesgo de cada segmento.
1. En el marco del SARLAFT, ¿cómo define la normativa de la SFC el concepto de 'cliente'?
Según la C.E. 027 de 2020 SFC (definiciones), cliente es toda persona natural o jurídica con la cual la entidad establece y mantiene una relación contractual o legal para el suministro de cualquier producto propio de su actividad (F5).
2. Según las definiciones de la SFC para el SARLAFT, ¿qué se entiende por 'usuario'?
La C.E. 027 de 2020 SFC define usuario como aquellas personas naturales o jurídicas a las que, sin ser clientes, la entidad les presta un servicio (F6).
3. Una entidad debe decidir si dos personas (una con contrato de cuenta y otra que solo paga un recibo en caja) son cliente o usuario. ¿Cuál es el criterio de distinción correcto?
La distinción se basa en el vínculo: cliente tiene relación contractual o legal para el suministro de un producto (F5); usuario recibe un servicio de la entidad sin ser cliente (F6).
4. En el factor de riesgo cliente/usuario, ¿qué se entiende por 'contraparte'?
La contraparte es la persona con la que se realiza la operación; el factor cliente/usuario abarca sus características individuales y comunes que permiten agruparla en segmentos homogéneos (F7).
5. Una persona acude a una entidad financiera vigilada únicamente a realizar el pago de un servicio público en caja, sin tener cuenta ni producto contratado. Para efectos del SARLAFT, ¿cómo se clasifica?
Quien recibe un servicio sin mantener relación contractual o legal con la entidad es un usuario (F6), distinto del cliente que sí mantiene esa relación (F5).
6. En una entidad vigilada se debate si una sociedad que abre una cuenta de ahorros para canalizar su nómina debe tratarse como cliente o usuario en el SARLAFT. ¿Cuál es la clasificación correcta y por qué?
Al celebrar un contrato de apertura de cuenta para el suministro de un producto propio de la entidad, la sociedad establece una relación contractual y por tanto es cliente (F5); el factor cliente/usuario aplica tanto a personas naturales como jurídicas (F7).
7. ¿Cuáles son las variables mínimas de segmentación que la normativa de la SFC prevé para el factor de riesgo clientes?
Para clientes, las variables mínimas de segmentación son: actividad económica; volumen y frecuencia de las transacciones; monto de ingresos, egresos y patrimonio (F17).
8. El oficial de cumplimiento de un banco quiere construir el segmento de clientes 'comerciantes minoristas'. ¿Qué variables mínimas debe considerar conforme a la SFC para ese factor?
La segmentación del factor clientes debe apoyarse, como mínimo, en actividad económica, volumen y frecuencia de transacciones y monto de ingresos, egresos y patrimonio (F17), variables que permiten formar segmentos homogéneos (F16).
9. El analista de riesgo de un banco analiza el factor cliente de forma totalmente aislada, sin cruzarlo con el producto, el canal ni la jurisdicción de las operaciones. ¿Por qué es inadecuado este enfoque según el SARLAFT?
Las operaciones financieras se componen de clientes que realizan una transacción mediante un producto por intermedio de un canal en una jurisdicción; por ello los factores deben analizarse de forma relacional y no aislada (F3).
10. ¿Cuáles son los cuatro factores de riesgo que como mínimo debe contemplar el SARLAFT según la SFC?
El SARLAFT debe contemplar como mínimo los factores de riesgo clientes/usuarios, productos, canales de distribución y jurisdicciones (F2).
11. ¿Qué son los factores de riesgo en el SARLAFT?
Los factores de riesgo son los agentes generadores del riesgo de LA/FT; a partir de ellos las entidades identifican las situaciones que pueden generarles ese riesgo (F1).
12. Un cliente persona natural realiza, en un mes, transacciones cuya frecuencia y volumen se apartan claramente de las de su segmento de clientes con la misma actividad económica e ingresos. Conforme al SARLAFT, ¿qué permite detectar la segmentación en este caso?
La segmentación es la base para identificar operaciones inusuales, esto es, las que se salen de los parámetros del segmento (F18); que se aparten del segmento las marca como inusuales, no automáticamente como sospechosas.
13. ¿Para qué sirve, además de identificar operaciones inusuales, la segmentación del factor cliente?
La segmentación de los factores es la base sobre la cual la entidad identifica operaciones inusuales y consolida el perfil de riesgo del cliente (F18).
14. En el SARLAFT, ¿qué son los canales de distribución como factor de riesgo?
Los canales de distribución son los medios a través de los cuales la entidad ofrece y distribuye sus productos y servicios, conforme a la Circular Básica Jurídica (F10).
15. ¿Cuál de los siguientes es un canal de distribución previsto en la normativa de la SFC?
Entre los canales de distribución previstos por la SFC se incluyen oficinas, cajeros automáticos, datáfonos (POS), IVR, call center, RAS, internet, banca móvil y corresponsales (F11).
16. ¿Cuáles de los siguientes corresponden a canales de distribución contemplados en la normativa de la SFC?
La normativa SFC enumera, entre otros, oficinas, cajeros automáticos, receptores de cheques y de efectivo, datáfonos (POS), IVR, call center, RAS, internet, banca móvil y corresponsales como canales de distribución (F11).
17. Para el factor de riesgo canales de distribución, ¿cuáles son las variables mínimas de segmentación según la SFC?
Para canales de distribución, las variables mínimas de segmentación son su naturaleza y sus características (F17).
18. ¿Cuál es la diferencia entre el factor 'canal de distribución' y el factor 'producto' en el SARLAFT?
El producto es la operación legalmente autorizada celebrada mediante contrato (F8), mientras que el canal de distribución es el medio por el cual la entidad ofrece y distribuye sus productos y servicios (F10).
19. Una entidad financiera va a habilitar la apertura de cuentas 100% por internet sin presencia en oficina. Conforme al num. 4.2.1, ¿en qué momento debe identificar y evaluar el riesgo LA/FT asociado a este nuevo canal?
La identificación del riesgo LA/FT debe ser previa, entre otros, al lanzamiento o modificación de canales de distribución (F4); además el canal es un factor de riesgo del SARLAFT (F2, F10).
20. El oficial de cumplimiento debe segmentar el canal 'corresponsales' frente al canal 'oficina'. ¿Qué variables, conforme a la SFC, debe emplear para segmentar el factor canal de distribución?
El factor canal de distribución se segmenta según su naturaleza y características (F17); las demás opciones corresponden a otros factores (clientes o jurisdicciones).
21. ¿Cuáles de los siguientes son canales de distribución reconocidos por la SFC que operan de forma no presencial o remota?
Entre los canales de la SFC figuran sistemas de audio respuesta (IVR), call center, sistemas de acceso remoto (RAS), internet y banca móvil, además de los presenciales como oficinas y receptores (F11).
22. ¿Cuál de los siguientes es un canal de distribución presencial reconocido por la SFC?
Las oficinas son un canal de distribución presencial reconocido por la SFC, junto a otros como cajeros automáticos y receptores de efectivo (F11).
23. Una entidad detecta que un mismo patrón transaccional sospechoso ocurre solo a través del canal cajero automático y no en oficina. ¿Qué utilidad de la segmentación por canal se evidencia en este hallazgo?
La segmentación de los factores, incluido el canal, es la base para identificar operaciones inusuales que se salen de los parámetros del segmento (F18); cada canal se segmenta por su naturaleza y características (F17).
24. ¿Por qué los canales de distribución se consideran un factor de riesgo autónomo en el SARLAFT?
El canal es un factor de riesgo mínimo del SARLAFT (F2) y se define como el medio por el que la entidad ofrece y distribuye productos (F10); por ello debe segmentarse según su naturaleza y características (F17).
25. Según la SFC, ¿qué obligación tienen las entidades vigiladas en materia de segmentación de los factores de riesgo?
Las entidades deben establecer metodologías para la segmentación de los factores de riesgo y, con base en ellas, segmentar cada uno de los factores (F15).
26. En el SARLAFT, ¿en qué consiste 'segmentar' los factores de riesgo?
Segmentar consiste en separar los elementos de cada factor en grupos homogéneos al interior de cada segmento y heterogéneos entre segmentos, según variables que reflejen diferencias significativas (F16).
27. Un consultor revisa la metodología de segmentación de una entidad y debe verificar que los segmentos estén bien construidos. ¿Qué condición deben cumplir?
Una segmentación adecuada produce grupos homogéneos al interior de cada segmento y heterogéneos entre segmentos (F16).
28. ¿Cuál de las siguientes es una técnica de segmentación admisible reconocida en el SARLAFT?
Entre las técnicas de segmentación admisibles figuran las tabulaciones cruzadas, el análisis factorial y el análisis de conglomerados o clúster (F19).
29. El área de analítica de una entidad necesita reducir un gran conjunto de variables para hallar grupos homogéneos de variables al segmentar sus clientes. ¿Qué técnica de segmentación está describiendo?
El análisis factorial es la técnica de reducción de datos para hallar grupos homogéneos de variables; las tabulaciones cruzadas parten de criterios predefinidos y el clúster agrupa elementos según sus características (F19).
30. ¿Qué técnica de segmentación consiste en construir tablas a partir de criterios predefinidos?
Las tabulaciones cruzadas construyen tablas a partir de criterios predefinidos; el análisis factorial reduce datos y el clúster agrupa elementos por características (F19).
31. ¿Qué técnica de segmentación consiste en la agrupación de elementos según sus características?
El análisis de conglomerados o clúster agrupa elementos según sus características; estas técnicas son complementarias entre sí (F19).
32. Una entidad ya segmentó sus clientes y quiere decidir cómo distribuir sus recursos de cumplimiento y la intensidad de la debida diligencia. Conforme a la segmentación y al enfoque basado en riesgo (EBR), ¿qué criterio debe seguir?
La segmentación y el EBR permiten asignar recursos y aplicar medidas de debida diligencia proporcionales al nivel de riesgo de cada segmento (F20).
33. ¿Qué Recomendación del GAFI establece el enfoque basado en riesgo (EBR) incorporado en la C.E. 027 de 2020 SFC?
La Recomendación 1 del GAFI establece el enfoque basado en riesgo, incorporado en la C.E. 027 de 2020 SFC (F21).
34. En una entidad, un segmento de clientes presenta bajo riesgo LA/FT y otro alto riesgo. Conforme a la Recomendación 1 del GAFI (EBR) incorporada por la SFC, ¿cómo deben aplicarse las medidas?
La Recomendación 1 del GAFI exige medidas proporcionales al riesgo: intensificadas donde sea mayor y simplificadas donde sea menor (F21).
35. Una entidad pequeña afirma que, por su tamaño, no requiere establecer metodologías de segmentación de factores. ¿Es correcto conforme a la SFC?
La obligación de establecer metodologías y segmentar cada factor de riesgo recae sobre las entidades vigiladas, sin exención por tamaño (F15).