El SARLAFT establece una cadena lógica de detección que parte de las señales de alerta, pasa por la operación inusual y culmina, cuando procede, en la operación sospechosa y su reporte a la UIAF (ROS). Esta secuencia está regulada en la Circular Básica Jurídica (Circular Externa 029 de 2014 de la SFC, Parte I, Título IV, Capítulo IV), actualizada por la Circular Externa 027 de 2020 (SARLAFT 4.0), y se apoya en la definición legal del art. 102, num. 2, lit. d del EOSF (Decreto 663 de 1993).
Las señales de alerta son los hechos, situaciones, eventos, cuantías, indicadores cuantitativos y cualitativos, razones financieras y demás información que la entidad determine como relevante, a partir de los cuales se puede inferir oportuna y/o prospectivamente la posible existencia de un hecho o situación que escapa a lo que la entidad ha determinado como normal en el desarrollo del SARLAFT (num. 4.2.2.3.1). Deben considerar cada uno de los factores de riesgo (cliente, producto, canal y jurisdicción) y las características de sus operaciones. La UIAF, creada por la Ley 526 de 1999, publica tipologías y señales de alerta de referencia, pero cada entidad debe construir las suyas según sus segmentos.
El SARLAFT debe permitir establecer cuándo una operación es inusual, mediante metodologías, modelos e indicadores de reconocido valor técnico (num. 4.2.2.2.3, "Identificación y análisis de operaciones inusuales"). Una operación inusual es aquella transacción que cumple, cuando menos, con dos características:
La entidad debe dejar constancia de cada operación inusual detectada, del responsable de su análisis y de los resultados del mismo.
La confrontación de las operaciones inusuales con la información de los clientes, usuarios y mercados debe permitir, conforme a razones objetivas, identificar si una operación es o no sospechosa (num. 4.2.2.2.4, "Determinación y reporte de operaciones sospechosas"). Según el art. 102, num. 2, lit. d del EOSF, constituye operación sospechosa la información sobre manejo de activos o transacciones cuya cuantía o características no guarden relación con la actividad económica del cliente y que puedan conducir razonablemente a sospechar que se usa la entidad para manejar recursos de actividades delictivas o destinados a su financiación. En esencia, la sospechosa es la inusual sin justificación razonable que permite inferir un posible LA/FT.
La segmentación de los factores de riesgo permite determinar las características usuales de las transacciones y compararlas con las del cliente para detectar inusualidades (num. 4.2.2.3.2). Las entidades deben hacer seguimiento y monitoreo de las operaciones por segmento (num. 4.2.2.3.3) y consolidar electrónicamente, por lo menos en forma mensual, todas las operaciones según su naturaleza —activas, pasivas y neutras— por cada cliente y usuario, así como los productos, canales y jurisdicciones empleados (num. 4.2.2.3.4).
Internamente, el SARLAFT prevé el reporte interno de operaciones sospechosas al funcionario o instancia competente con las razones objetivas que ameritaron la calificación (num. 4.2.7.1.2). Determinada la sospecha, corresponde reportar a la UIAF en forma inmediata mediante el ROS (num. 4.2.7.2.1), que incluye las operaciones intentadas o rechazadas y las tentativas de vinculación comercial. No se requiere certeza del delito ni identificar el tipo penal. Si en el mes no hubo operaciones sospechosas, se presenta el reporte de ausencia de ROS. Conforme al art. 42 de la Ley 190 de 1995, el ROS no es una denuncia y no genera responsabilidad para la entidad ni para quienes participan en su detección o reporte.
1. Según la C.E. 029 de 2014 de la SFC, ¿qué característica define a una operación inusual?
Son operaciones inusuales aquellas que (i) no guardan relación con la actividad económica o se salen de los parámetros adicionales fijados por la entidad y (ii) respecto de las cuales la entidad no ha encontrado explicación o justificación razonable. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.1 y 4.2.2.2.3.2.
2. De acuerdo con la C.E. 029 de 2014 SFC, las operaciones inusuales deben cumplir 'cuando menos' con ciertas características. ¿Cuántas y cuáles son las características mínimas concurrentes?
La norma exige que se cumplan 'cuando menos' dos características concurrentes: (i) no guardar relación con la actividad económica o salirse de los parámetros adicionales fijados por la entidad, y (ii) que la entidad no haya encontrado explicación o justificación razonable. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.1 y 4.2.2.2.3.2.
3. ¿Qué debe permitir el SARLAFT a las entidades para la oportuna detección de operaciones inusuales, según el num. 4.2.2.2.3 de la C.E. 029 de 2014?
El SARLAFT debe permitir establecer cuándo una operación se considera inusual, para lo cual debe contar con metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.
4. Respecto del análisis de operaciones de usuarios, ¿qué deben determinar las entidades según el num. 4.2.2.2.3 de la C.E. 029 de 2014?
En el análisis de operaciones de usuarios, las entidades deben determinar cuáles resultan relevantes, teniendo en cuenta el riesgo al que exponen a la entidad y los criterios previamente establecidos. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.
5. ¿De qué deben dejar constancia las entidades respecto de las operaciones inusuales detectadas, conforme al num. 4.2.2.2.3 de la C.E. 029 de 2014?
Las entidades deben dejar constancia de cada una de las operaciones inusuales detectadas, así como del responsable o responsables de su análisis y los resultados del mismo. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.
6. Un cliente de un banco colombiano, segmentado como microempresario de bajos ingresos, recibe en un mes transferencias por valores muy superiores a los parámetros usuales de su segmento. El analista no halla justificación razonable. ¿Cómo debe calificarse esta operación en la etapa correspondiente del SARLAFT?
Cuando una transacción se sale de los parámetros fijados para el segmento del cliente y la entidad no encuentra justificación razonable, debe calificarse como inusual. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.1 y 4.2.2.2.3.2; segmentación num. 4.2.2.3.2.
7. En una entidad financiera colombiana se detecta un movimiento que se sale de los parámetros del segmento del cliente; sin embargo, el cliente aporta documentación que justifica razonablemente el origen (venta de un inmueble). ¿Qué consecuencia tiene esto?
Para ser inusual la operación debe cumplir 'cuando menos' dos características concurrentes, entre ellas que la entidad no haya encontrado justificación razonable. Si existe explicación razonable, no se configura la inusualidad. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.1 y 4.2.2.2.3.2.
8. ¿Qué tipo de indicadores debe contemplar el SARLAFT para la oportuna detección de operaciones inusuales?
El SARLAFT debe contar con metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.
9. Una de las características que puede configurar la inusualidad es que la operación 'no guarde relación con la actividad económica'. ¿Con qué se contrasta esa actividad económica?
Son inusuales las operaciones que no guardan relación con la actividad económica del cliente o se salen de los parámetros adicionales fijados por la entidad. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.1.
10. Según el num. 4.2.2.3.2 de la C.E. 029 de 2014, ¿para qué deben las entidades determinar las características usuales de las transacciones a través de la segmentación?
A través de la segmentación las entidades deben determinar las características usuales de las transacciones y compararlas con aquellas que realicen los clientes, a efectos de detectar las operaciones inusuales. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.2.
11. Conforme al num. 4.2.2.3.2 de la C.E. 029 de 2014, ¿qué deben garantizar las entidades al segmentar los factores de riesgo?
Las entidades deben segmentar garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos, según la metodología que previamente haya establecido la entidad. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.2.
12. Una entidad financiera colombiana segmenta su factor de riesgo Clientes. Según los numerales 4.2.2.3.2.1 a 4.2.2.3.2.4 de la C.E. 029 de 2014, ¿cuáles son las variables mínimas a usar?
Para el factor Clientes, las variables mínimas de segmentación son la actividad económica, el volumen o frecuencia de sus transacciones y el monto de ingresos, egresos y patrimonio. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.2.1.
13. El oficial de cumplimiento de una entidad financiera colombiana revisa que su SARLAFT segmente todos los factores con variables mínimas. Según el num. 4.2.2.3.2 de la C.E. 029 de 2014, ¿cuáles factores deben segmentarse?
Los numerales 4.2.2.3.2.1 a 4.2.2.3.2.4 fijan variables mínimas de segmentación para Clientes, Productos, Canales de distribución y Jurisdicciones. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.2.1 a 4.2.2.3.2.4.
14. Una entidad financiera colombiana va a segmentar su factor de riesgo Productos para el SARLAFT. Según el num. 4.2.2.3.2.2 de la C.E. 029 de 2014, ¿qué variables debe considerar como mínimo?
Para el factor Productos, las variables mínimas de segmentación son la naturaleza, las características y el nicho de mercado o destinatarios. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.2.2.
15. Según el num. 4.2.2.3.4 de la C.E. 029 de 2014, ¿de qué deben estar en capacidad las entidades respecto de las operaciones de clientes y usuarios?
Las entidades deben estar en capacidad de consolidar electrónicamente las operaciones que realicen sus clientes y usuarios a través de los productos, canales de distribución y jurisdicciones, según sea el caso. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.4.
16. ¿Con qué periodicidad mínima deben las entidades consolidar electrónicamente todas las operaciones según su naturaleza, conforme al num. 4.2.2.3.4.1 de la C.E. 029 de 2014?
Las entidades deben consolidar electrónicamente por lo menos en forma mensual todas las operaciones según su naturaleza (activas, pasivas y neutras), por cada uno de los clientes y usuarios. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.4.1.
17. Según el num. 4.2.2.3.4.1 de la C.E. 029 de 2014, la consolidación electrónica mensual debe hacerse según la naturaleza de las operaciones. ¿Qué naturalezas menciona la norma?
Las entidades deben consolidar electrónicamente por lo menos en forma mensual todas las operaciones según su naturaleza: activas, pasivas y neutras, por cada cliente y usuario. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.4.1.
18. Conforme al num. 4.2.2.3.4.2 de la C.E. 029 de 2014, además de las operaciones, ¿qué más debe consolidarse electrónicamente por lo menos en forma mensual por cada cliente y usuario?
Las entidades deben consolidar electrónicamente por lo menos en forma mensual todos los productos, canales de distribución y jurisdicciones empleados por cada cliente y usuario. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.4.2.
19. Un banco colombiano detecta que un cliente realiza múltiples operaciones de bajo monto en distintos productos y canales durante el mes, ninguna relevante por sí sola, pero cuyo agregado mensual resulta significativo. ¿Qué instrumento del SARLAFT permite advertir este comportamiento?
La consolidación electrónica, por lo menos mensual, de las operaciones, productos, canales y jurisdicciones por cada cliente y usuario permite advertir patrones agregados que individualmente pasarían inadvertidos. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.4, 4.2.2.3.4.1 y 4.2.2.3.4.2.
20. Según el num. 4.2.2.3.3 de la C.E. 029 de 2014, ¿de qué deben estar en capacidad las entidades respecto de las operaciones de clientes y usuarios?
Las entidades deben estar en capacidad de hacer seguimiento a las operaciones que realicen sus clientes y usuarios a través de los demás factores de riesgo. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.3.
21. Conforme al num. 4.2.2.3.3.1 de la C.E. 029 de 2014, ¿con qué criterio debe realizarse el seguimiento a las operaciones?
Como mínimo las entidades deben realizar seguimiento a las operaciones con una frecuencia acorde a la evaluación de riesgo de los factores de riesgo involucrados. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.3.1.
22. El SARLAFT de un banco colombiano realiza seguimiento de operaciones. Además de seguir con frecuencia acorde al riesgo, ¿qué debe monitorear como mínimo según el num. 4.2.2.3.3.2 de la C.E. 029 de 2014?
Como mínimo, las entidades deben monitorear las operaciones realizadas en cada uno de los segmentos de los factores de riesgo. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.3.2.
23. La segmentación, el seguimiento y la consolidación electrónica forman parte de los instrumentos para la administración del riesgo. ¿Cuál es su finalidad esencial dentro de la detección?
Las señales de alerta forman parte de los instrumentos de administración del riesgo junto con la segmentación, el seguimiento y la consolidación, y son la base para detectar operaciones inusuales. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.
24. En la cadena del SARLAFT, ¿qué relación existe entre la señal de alerta y la operación inusual?
La señal de alerta llama la atención sobre un hecho que escapa a lo normal (num. 4.2.2.3.1); tras el análisis, la operación se califica como inusual si no guarda relación o se sale de los parámetros y no tiene justificación razonable (num. 4.2.2.2.3). Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.1 y 4.2.2.2.3.
25. El sistema de monitoreo de un banco colombiano genera una señal de alerta sobre la operación de un cliente. El oficial de cumplimiento debe decidir el siguiente paso correcto. ¿Cuál es?
Tras la señal de alerta, la entidad analiza la operación; si no guarda relación con la actividad o se sale de los parámetros y no tiene justificación razonable, la califica como inusual y deja constancia del análisis y responsables. El ROS solo procede después, si la confrontación la determina sospechosa. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.1, 4.2.2.2.3 y 4.2.2.2.4.
26. La C.E. 029 de 2014 menciona que una operación puede ser inusual si 'se sale de los parámetros adicionales fijados por la entidad'. ¿Quién fija esos parámetros?
La inusualidad puede configurarse cuando la operación se sale de los parámetros adicionales fijados por la entidad, parámetros que cada entidad establece dentro de su SARLAFT con base en su segmentación. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.1.
27. El área de cumplimiento de un banco colombiano debe segmentar el factor de riesgo Jurisdicciones. Según el num. 4.2.2.3.2.4 de la C.E. 029 de 2014, ¿qué variables mínimas debe considerar?
Para el factor Jurisdicciones, las variables mínimas de segmentación son la ubicación, las características y la naturaleza de las transacciones. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.2.4.
28. Una entidad financiera colombiana quiere verificar si un cliente opera de forma dispersa en varias jurisdicciones durante el mes. ¿Qué obligación del SARLAFT respalda esa consolidación de jurisdicciones por cliente?
El num. 4.2.2.3.4.2 obliga a consolidar electrónicamente al menos en forma mensual todos los productos, canales de distribución y jurisdicciones empleados por cada cliente y usuario, lo que permite advertir dispersión por jurisdicciones. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.4.2.
29. Un banco colombiano configura la segmentación del factor Canales de distribución en su SARLAFT. Según el num. 4.2.2.3.2.3 de la C.E. 029 de 2014, ¿qué variables mínimas debe considerar?
Para el factor Canales de distribución, las variables mínimas de segmentación son la naturaleza y las características. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.3.2.3.
30. ¿Qué circular de la SFC actualizó el Capítulo IV bajo enfoque basado en riesgo (SARLAFT 4.0), manteniendo la lógica de identificación de inusuales y reporte de sospechosas?
La Circular Externa 027 de 2020 de la SFC (SARLAFT 4.0) actualiza el Capítulo IV bajo enfoque basado en riesgo, manteniendo la lógica de identificación de operaciones inusuales y reporte de sospechosas a la UIAF. Fuente: C.E. 027 de 2020 SFC (modifica el Cap. IV de la C.E. 029 de 2014).
31. Tras analizar y descartar como no sospechosa una operación inusual, el analista de un banco colombiano no documenta quién la analizó ni el resultado. ¿Qué obligación del SARLAFT incumple?
Las entidades deben dejar constancia de cada operación inusual detectada, así como del responsable o responsables de su análisis y los resultados del mismo; no documentarlo incumple esta obligación de trazabilidad. Fuente: C.E. 029 de 2014 SFC, Cap. IV, num. 4.2.2.2.3.
32. Conforme al numeral 2, literal d, del art. 102 del EOSF (Decreto 663 de 1993), ¿qué constituye una operación sospechosa?
El art. 102, num. 2, lit. d del EOSF define la operación sospechosa como información relevante sobre manejo de activos cuya cuantía o características no guarden relación con la actividad económica del cliente, o transacciones que por su número, cantidades o características conduzcan razonablemente a sospechar el uso de la entidad para fines de LA/FT.
33. ¿Cuál es la diferencia esencial entre una operación inusual y una operación sospechosa según la C.E. 029 de 2014?
Según el num. 4.2.2.2.3 y 4.2.2.2.4 de la C.E. 029 de 2014, la cadena es inusual → sospechosa: la operación inusual que tras análisis y confrontación no encuentra justificación razonable y permite razonablemente sospechar el uso de la entidad para LA/FT se determina como sospechosa.
34. Según el num. 4.2.2.2.4 de la C.E. 029 de 2014, ¿qué permite la confrontación de las operaciones inusuales con la información de clientes, usuarios y mercados?
El num. 4.2.2.2.4 de la C.E. 029 de 2014 establece que la confrontación de las operaciones inusuales con la información de clientes, usuarios y mercados debe permitir, conforme a las razones objetivas establecidas por la entidad, identificar si una operación es o no sospechosa y reportarla a la UIAF.
35. Para efectuar un Reporte de Operación Sospechosa (ROS) a la UIAF, ¿qué NO se requiere según el num. 4.2.7.2.1 de la C.E. 029 de 2014?
El num. 4.2.7.2.1 de la C.E. 029 de 2014 establece que para el ROS no se requiere que la entidad tenga certeza de que se trata de una actividad delictiva, ni identificar el tipo penal, ni que los recursos provienen de tales actividades.