¿Cómo se debe implementar el Sarlaft en Colombia?

El Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo (Sarlaft) es un modelo fundamental en el sector financiero expedido por la Superintendencia Financiera para evitar que las organizaciones se utilicen para aparentar la legalidad de activos asociados a delitos como el Lavado de Activos y Financiación del Terrorismo LA/FT. Este sistema está compuesto por etapas y elementos, sin embargo, se debe tener en cuenta que cada entidad desarrolla su propio Sarlaft de acuerdo a sus características, ya que no hay un formato estándar que funcione para todas las empresas por igual.

Implementación del Sarlaft

Para cumplir con la normativa, se establece que las empresas deben gestionar el riesgo desarrollando 4 etapas del Sarlaft. Las cuales consisten en identificar (realizar diagnóstico de riesgos), medir (evaluar los riesgos y medir su alcance), controlar (asociar controles identificados que se relacionen con los riesgos) y hacer monitoreo (luego de implementar el Sarlaft se evalúa los controles de la matriz de riesgo y se válida si se están ejecutando de manera correcta) de los riesgos asociados a LA/FT.

Además, el cumplimiento de estas etapas se realiza a través de diferentes elementos como políticas, procedimientos, documentación, órganos de control, estructura organizacional , infraestructura tecnológica, capacitación, divulgación de información, entre otras. Es precisamente, por medio de estos elementos que se da a conocer el Sarlaft en forma de manual y funciones asignadas a los funcionarios de cada entidad.

Otra dinámica de gran importancia dentro del Sarlaft es la función de los oficiales de cumplimiento, ya que estos deben ser profesionales altamente capacitados en la gestión del riesgo con la mano de metodologías, manuales y mediciones.

¿Qué pasos seguir para implementar el Sarlaft?

En primera instancia es necesario evaluar y hacer diagnóstico sobre cómo se encuentra la empresa frente a medidas de tipo Sarlaft, puesto que en algunas compañías existe la implementación de controles o alertas relacionadas con LA/FT, previas a la formalización del sistema.

Después de realizar el diagnóstico, es importante establecer un plan de acción junto a un responsable de su desarrollo, es decir, un oficial de cumplimiento, quien se debe encargar de la vigilancia y cumplimiento del Sarlaft. Con la salvedad de que todos los planes a desarrollar deben estar determinados en consenso con los dueños de dichos procesos y con la intención de establecer un compromiso formal para su realización.

Asimismo, se evalúa los procedimientos de la empresa para identificar cuáles tienen relación con el Sarlaft, revisando documentación, flujogramas, caracterizaciones, entre otras, para validar la existencia de controles o señales de alerta identificadas en el diagnóstico.

Paso seguido, se definen criterios para medir los riesgos de LA/FT, que pueden basarse en indicadores de gestión, rubros de estados financieros, etc. Como también, se tiene que precisar los riesgos a los que la organización está expuesta, conocer las causas y calificar el riesgo inherente. Luego, con la matriz documentada se puede asociar los controles identificados sobre LA/FT, con las causas de los riesgos, los cuales deberán estar segmentados según factores de riesgo.

La organización debe registrar y documentar las etapas y elementos del Sarlaft que se implementen, por lo que dicha información siempre tendrá que estar a disposición. Y a su vez debe haber claridad sobre los canales de comunicación y reporte relacionados con Sarlaft.

En este orden de ideas, al implementar el Sarlaft la empresa está en el deber de diseñar y programar capacitaciones periódicas para todos los funcionarios, así como implementarlas en los procesos de inducción para nuevos empleados. Posterior a ello, está la fase de monitoreo en la que, una vez implementado el sistema, se debe evaluar después de un tiempo los controles, para validar su efectividad y correcta ejecución, así como para determinar el riesgo residual y si se han presentado riesgos, causas o la materialización de los mismos. Si esto ocurre, se deberá realizar una correspondiente actualización en la gestión del sistema.

‍