Superintendencia Financiera de Colombia

ADMINISTRACIÓN DEL
RIESGO DE LAVADO DE
ACTIVOS, FINANCIACIÓN
DEL TERRORISMO Y DE LA
PROLIFERACIÓN DE
ARMAS DE DESTRUCCIÓN
MASIVA EN EL SISTEMA
FINANCIERO COLOMBIANO

Mayo de 2017
 Página No. 1

La información contenida en el presente documento, se remite al descargo de

responsabilidad “Disclaimer” y condiciones de uso previstas para la totalidad de la
información publicada en la página de internet de la SFC.
 Página No. 2

_____________________

Contenido
ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL
TERRORISMO (LAFT) EN EL SECTOR FINANCIERO COLOMBIANO

I. Glosario – Abreviaturas.......................................................................................................3
II. Introducción............................................................................................................................4
III. Marco Institucional............................................................................................................6
IV. Evolución Normativa......................................................................................................12
V. El SARLAFT..........................................................................................................................17
VI. ¿Cómo Hacemos la Supervisión?...............................................................................23
VII. Hacia Donde Vamos........................................................................................................29
 Página No. 3

I. Glosario – Abreviaturas

Para garantizar un mejor entendimiento del contenido de este documento, la tabla

que se presenta a continuación detalla la relación de abreviaturas y palabras clave
junto con su respectivo significado.

Abreviatura / Término Definición

ALA Antilavado de Activos

Asociación Bancaria y de Entidades
ASOBANCARIA
Financieras de Colombia
BCBS Comité de Supervisión Bancaria de Basilea
Comisión de Coordinación Interinstitucional
CCICLA
para el Control del Lavado de Activos
CFT Contra la Financiación del Terrorismo
Comisión Interamericana para el Control del
CICAD
Abuso de Drogas

Consejo Nacional de Política Económica y

CONPES
Social

Contra la Proliferación de Armas de

CPADM
Destrucción Masiva
CTI Cuerpo Técnico de Investigación
Dirección de Impuestos y Aduanas
DIAN
Nacionales
EOSF Estatuto Orgánico del Sistema Financiero
FT Financiación del Terrorismo
GAFI Grupo de Acción Financiera Internacional
Grupo de Acción Financiera Internacional
GAFILAT
Latinoamericano
GAFIC Grupo de Acción Financiera del Caribe
LA Lavado de Activos
MIS Marco Integral de Supervisión
OEA Organización de los Estados Americanos
Office of Foreign Assets Control - Oficina de
OFAC Control de Activos Extranjeros de Estados
Unidos
 Página No. 4

Abreviatura / Término Definición

Proliferación de Armas de Destrucción
PADM
Masiva
Sistema de Administración de Riesgo de
SARLAFT Lavado de Activos y de la Financiación del
Terrorismo
SFC Superintendencia Financiera de Colombia
Sistema Integral de Prevención y Control de
SIPLA
Lavado de Activos
Sistema Antilavado de Activos, Contra la
Financiación del Terrorismo y Contra la
Sistema ALA/CFT/CPADM
Proliferación de Armas de Destrucción
Masiva
UIAF Unidad de Información y Análisis Financiero

II. Introducción

El lavado de activos, la financiación del terrorismo y de la proliferación de armas

de destrucción masiva son fenómenos que afectan a escala global. La utilización,
deliberada o no, del sistema financiero en actividades delictivas motivó al Comité
de Supervisión Bancaria de Basilea (BCBS) en 1988 1 a promover la aplicación de
políticas y procedimientos de prevención del lavado de activos (LA) y contra la
financiación del terrorismo (CFT). Desde entonces, evitar la utilización abusiva de
los servicios financieros constituye uno de los Principios Básicos para la
Supervisión Bancaria eficaz.2

El BCBS además contribuyó a la revisión de las normas internacionales expedidas

por el Grupo de Acción Financiera Internacional (GAFI) para combatir el LA, la FT
y la PADM publicadas en febrero de 2012 3. Tanto los principios básicos de Basilea
como las normas del GAFI son complementarios. Es decir, la sólida gestión del
riesgo de LA/FT está en consonancia con el propósito de afianzar la estabilidad
financiera global, al proteger la reputación de las entidades del sistema y disuadir
la utilización del sector como un canal para blanquear fondos provenientes de
actividades ilícitas o movilizar recursos para financiar el terrorismo y la
proliferación de armas de destrucción masiva.
1
BCBS (1988) Prevention of criminal use of the Banking System for the purpose of money-laundering. Disponible
en www.bis.org/publ/bcbsc137.pdf

2
Principio número 29. Dicho principio dispone la verificación de los controles establecidos por los bancos en
materia de prevención del blanqueo de capitales y financiación del terrorismo. El supervisor verifica que los bancos cuentan
con políticas y procesos adecuados para impedir que el banco sea utilizado, intencionalmente o no, con fines delictivos.
Para el Comité de Basilea, la evaluación de este principio supone cierto grado de duplicidad con el proceso de evaluación
recíproca del GAFI. Sin embargo, para solucionar esto, una vez el GAFI ha evaluado un país los evaluadores del BIS
confiarán en dicha evaluación y sólo conducirán su propia evaluación, cuando el país carezca de una evaluación del GAFI.
3
GAFI (2012) International Standards on Combating Money Laundering and the Financing of Terrorism and
Proliferation
 Página No. 5

A lo largo de este documento se describe la forma cómo el Estado colombiano ha

abordado la prevención del LA, la FT y la PADM, dentro del sector financiero y el
rol de la Superintendencia Financiera de Colombia (SFC) en la supervisión de
dichos riesgos. Para tal fin, el presente documento se ha dividido en cinco (5)
secciones. La primera presenta el marco institucional dispuesto para la
administración del riesgo de LA/FT y la PADM.

La segunda analiza la evolución normativa que ha tenido el Sistema

ALA/CFT/PDAM Colombiano que respalda la intervención sobre las actividades de
las entidades financieras con el fin de prevenir y controlar la utilización del sector
para lavar activos provenientes de actividades delictivas o canalizar recursos hacia
la financiación de actividades terroristas.

En tercer lugar, se identifica el universo de entidades objeto de supervisión de esta

Superintendencia en aspectos relativos a la prevención y control del riesgo LA/FT.
También, se describe el Sistema de Administración de Riesgo de Lavado de
Activos y de la Financiación del Terrorismo, SARLAFT, como el estándar
normativo mínimo que deben adoptar las entidades del sector financiero
colombiano, al tiempo que se precisan las entidades exceptuadas de la aplicación
de las instrucciones mencionadas. Dicha excepción reside en la baja exposición al
Riesgo LA/FT al que se encuentran expuestas algunas entidades, en atención a
su objeto social que desarrollan, su tamaño y el tipo de operaciones autorizadas,
sin embargo, y a pesar de lo anterior, deben acatar los mecanismos,
procedimientos y reglas de conducta en materia de prevención de LA/FT de
acuerdo con lo estipulado en los artículos 102 a 107 del Estatuto Orgánico del
Sistema Financiero4 (EOSF), incluyendo dentro de ellos, la designación de un
funcionario responsable de verificar el adecuado cumplimiento de los mismos.

Adicionalmente, se expone la forma cómo esta Superintendencia lleva a cabo la

supervisión basada en riesgos sobre sus entidades vigiladas, y el papel del Marco
Integral de Supervisión (MIS) en la identificación, medición, control y monitoreo de
los riesgos de LA/FT/PADM a los que se encuentra expuesto el sector, así como la
efectividad de los mecanismos de administración del riesgo implementados por
cada una de las entidades.

4
Puede consultarse en
www.superfinanciera.gov.co/Normativa/Normativa_General/Estatuto_Orgánico_del_Sistema_Financiero (Decreto Ley 663
de 1993).
Aproximadamente son 247 entidades que están obligadas a adoptar el SARLAFT y 173 obligadas a atender el EOSF. Las
siguientes entidades vigiladas, por la naturaleza y bajo riesgo que ostentan no tienen obligación de adoptar el SARLAFT, de
acuerdo con lo dispuesto en el numeral 2°. Del Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica de la SFC, pero
deben cumplir con lo establecido en el artículo 102 a 107 del EOSF en lo que les resulte pertinente: Fondo de Garantías de
Instituciones Financieras - FOGAFIN, Fondo de Garantías de Entidades Cooperativas - FOGACOOP, Fondo Nacional de
Garantías - FNG, los fondos mutuos de inversión sometidos a vigilancia permanente de la SFC, las sociedades calificadoras
de valores y/o riesgo, las oficinas de representación de instituciones financieras y de reaseguros del exterior, los
intermediarios de reaseguros, las oficinas de representación de instituciones del mercado de valores del exterior, los
organismos de autorregulación y los proveedores de infraestructura, con excepción de los almacenes generales de depósito
y los administradores de sistemas de pago de bajo valor y finalmente, con algunas excepciones, las entidades
administradoras del régimen de prima media con prestación definida.
 Página No. 6

En la última sección se expone un análisis de los retos que supone la introducción

de nuevos estándares de supervisión y la aparición de las más recientes
tecnologías.

III. Marco Institucional

En Colombia, el marco institucional para la prevención de riesgos de LA/FT/PADM
supone la coordinación entre diversos actores del Gobierno Nacional. Cada
entidad tiene a su cargo funciones específicas a nivel de la formulación y
coordinación de la política ALA/CFT/CPADM, la prevención, detección y análisis,
la investigación y juzgamiento, la comercialización de los bienes producto de las
acciones de extinción de dominio y la expedición de normas y sanciones de las
entidades vigiladas y/o los sujetos obligados. (Ver Gráfica 1).

Gráfica 1. Marco Institucional del Sistema ALA/CFT/CPADM

Fuente: Superintendencia Financiera de Colombia (mayo de 2017).

El Ministerio de Justicia y del Derecho, es la autoridad que tiene a su cargo la

formulación, adopción, promoción y coordinación de las políticas y estrategias en
la lucha contra las drogas ilícitas, el LA, el enriquecimiento ilícito, la administración
de bienes incautados y las acciones de extinción de dominio.

La coordinación entre los diferentes actores gubernamentales del sistema

ALA/CFT/CPADM supuso la creación de la Comisión de Coordinación
 Página No. 7

Interinstitucional para el Control del Lavado de Activos - CCICLA, un organismo

consultivo de carácter permanente, adscrito al Ministerio de Justicia y del Derecho,
cuyo propósito es formular la política nacional contra el LA y el enriquecimiento
ilícito.

La Comisión fue creada mediante el Decreto 950 de 1995 y modificada mediante

los Decretos 754 de 1996, 2000 de 2003 y 3420 de 2004 en cuanto a su
composición y sus funciones, y en ella tienen asiento como miembros, las
siguientes entidades del Estado:

 El Ministro de Justicia y del Derecho o el Viceministro de Política Criminal y

Justicia Restaurativa, quien la preside.
 El Ministro de Hacienda y Crédito Público o su delegado, quien deberá ser un
 Viceministro.
 El Ministro de Defensa Nacional o su delegado, quien deberá ser un
Viceministro.
 El Fiscal General de la Nación o su delegado quien deberá ser el Vicefiscal
General de la Nación.
 El Director General de la Unidad Administrativa Especial de Información
Financiera (UIAF) o su delegado, quien deberá ser Subdirector y quien ejercerá
la Secretaría Técnica de la CCICLA.
 Como miembro no permanente asiste el Vicepresidente de la República y
cuando él esté presente, preside la sesión.

Para su funcionamiento, la CCICLA cuenta con los siguientes cuatro comités

operativos, atendiendo la Recomendación 2 del GAFI en lo referente a la
coordinación nacional.

1. Comité Operativo de Cultura Antilavado,

2. Comité Operativo para la Prevención y Detección,
3. Comité Operativo para la Investigación y Juzgamiento,
4. Comité Interinstitucional para Prevenir y Luchar contra el Terrorismo, Su
Financiación y Delitos Conexos

La SFC es miembro permanente del Comité Operativo para la Prevención y

Detección y eventualmente participa en el Comité Interinstitucional para Prevenir y
Luchar contra el Terrorismo, Su Financiación y Delitos Conexos.

La UIAF5, es el organismo encargado de realizar la inteligencia financiera, tiene

como objetivo la detección, prevención y lucha contra el LA en todas las
actividades económicas. Para tal fin centraliza, sistematiza y analiza la información
recaudada en desarrollo de lo previsto en los artículos 102 a 107 del EOSF y sus
normas remisorias, así como en las disposiciones tributarias, aduaneras y demás

5
Teniendo en cuenta lo dispuesto en la recomendación 29 del GAFI (anterior recomendación 26), se expidió la Ley
526 de 1999 con la cual se creó la Unidad de Información y Análisis Financiero (UIAF), como una Unidad Administrativa
Especial adscrita al Ministerio de Hacienda y Crédito Público.
 Página No. 8

información que conozcan las entidades del Estado o privadas y sus revisores
fiscales que puedan resultar vinculadas con operaciones de LA/FT/FPADM.
Adicionalmente, es responsabilidad de la UIAF comunicar a las autoridades
competentes, cualquier información pertinente dentro del marco de la lucha
integral de estos riesgos, de conformidad con la Ley 526 de 1999, modificada por
la Ley 1121 de 2006.

Además de las anteriores entidades, el marco institucional para la prevención,

detección, investigación y juzgamiento de las conductas asociadas al LA/FT está
conformado, entre otros, por: la Dirección de Fiscalía Nacional Especializada
Antinarcóticos y Lavado de Activos de la Fiscalía General de la Nación, la
Coordinación de Control y Prevención de Lavado de Activos de la Dirección de
Impuestos y Aduanas Nacionales –DIAN, el Grupo Especial del Cuerpo Técnico
de Investigación –CTI de la Fiscalía General de la Nación, la Dirección de
Investigación Criminal e Interpol-DIJIN, las Superintendencias 6, dentro de las
cuales se encuentra la Superintendencia Financiera de Colombia (SFC) y la
Sociedad de Activos Especiales (SAE).

En febrero de 2012, la CCICLA aprobó la Política Nacional ALA/CFT, la cual tiene

como propósito contar con un sistema único, coordinado, dinámico y efectivo para
la prevención, detección, investigación y juzgamiento de LA/FT. La medición de
impacto de esta política se traduce en la desarticulación de las finanzas de las
organizaciones al margen de la ley, un mayor número de sentencias
condenatorias y acciones de extinción de dominio.

En diciembre de 2013, el Consejo Nacional de Política Económica y Social

(Conpes), máxima autoridad nacional de planeación, aprobó el documento Conpes
3793 con la Política Nacional ALA/CFT derivado de la concertación de las 24
entidades públicas que a ese momento conformaban la CCICLA. Este instrumento
se convirtió en el antecedente para articular la fuerza pública y otras instituciones
del Estado con el fin de lograr una mayor efectividad en la prevención, detección,
investigación y juzgamiento del LA/FT.

Bajo estos lineamientos, las entidades públicas que ejercen funciones de

supervisión, incluyendo la SFC7, deben apoyar las iniciativas y propuestas
6
En Colombia las Superintendencias, de acuerdo con lo señalado en el artículo 66 de la Ley 489 de 1998 “(…) son
organismos creados por la ley, con la autonomía administrativa y financiera que aquella les señale, sin personer ía jurídica,
que cumplen funciones de inspecci ón y vigilancia atribuidas por la ley o mediante delegaci ón que haga el Presidente de la
República previa autorización legal.” Además, existen las siguientes:
 Superintendencia de la Economía Solidaria
 Superintendencia de Industria y Comercio
 Superintendencia de Sociedades
 Superintendencia Nacional de Salud
 Superintendencia de Vigilancia y Seguridad Privada
 Superintendencia de Notariado y Registro
 Superintendencia de Servicios Públicos Domiciliarios
 Superintendencia de Puertos y Transporte
 Superintendencia de Subsidio Familiar
7
Con la expedición del Decreto 4327 de 2005, se dio paso a la fusión entre la entonces Superintendencia Bancaria
en la Superintendencia de Valores de Colombia, y se modificó su estructura, denominándose Superintendencia Financiera
de Colombia, creando dentro de su organigrama, la Delegatura para Riesgo de Lavado de Activos.
 Página No. 9

formuladas en el plan de acción de la Política Nacional ALA/CFT a través de la

expedición de actos administrativos, que contienen directrices para que sus
vigilados y/o sujetos obligados adopten mecanismos de prevención y control de
tales conductas.

De conformidad con lo establecido en el numeral 24 del artículo 189 de la

Constitución Política de Colombia, en concordancia con lo establecido artículo
11.2.1.3.1 del Decreto 2555 de 2010 (Decreto Único – Sector Financiero,
Asegurador y Mercado de Valores), el Presidente de la República ejerce a través
de la SFC, la inspección, la vigilancia y el control sobre las personas que realizan
la actividad financiera, bursátil, aseguradora y cualquier otra relacionada con el
manejo, aprovechamiento o inversión de recursos captados del público.

Con la expedición del Decreto 1817 de 2015, el Superintendente Financiero, entre

otros, es nombrado por el Presidente de la República para el respectivo periodo
presidencial, previa invitación pública efectuada a través del portal de la
Presidencia de la República a quienes cumplan con los requisitos y condiciones
para ocupar ese cargo.

El sistema financiero colombiano está conformado por los Establecimientos de

crédito, las Sociedades de servicios financieros, las  Sociedades de capitalización,
las Entidades aseguradoras y los Intermediarios de seguros y reaseguros; las
cuales, en su mayoría, se han agrupado mediante la figura de los conglomerados
financieros, haciendo presencia tanto en el ámbito nacional, como externo.
 
A su turno, a la SFC le corresponde vigilar las entidades relacionadas en el
parágrafo del artículo 75 de la Ley 964 de 2005, así como respecto de quienes
determine la ley o el Gobierno Nacional8.

Tiene la SFC como misión contemplada en su plan estratégico “Preservar la

confianza pública y la estabilidad del sistema financiero; mantener la integridad, la
eficiencia y la transparencia del mercado de valores y demás activos financieros; y
velar por el respeto a los derechos de los consumidores financieros y la debida
prestación del servicio”. A su vez, el Decreto 2555 de 2010 consagró las funciones
de la Delegatura para Riesgo de Lavado de Activos, correspondiéndole, entre
otras, supervisar que las entidades vigiladas den cumplimiento a las normas
relacionadas con la prevención y control de lavado de activos y de la financiación
del terrorismo y la administración del riesgo de LA/FT.

Recientemente, el Decreto 1848 de 2016, que entró a regir el 8 de febrero de

2017, modificó la estructura de la SFC y fortaleció la composición de la hoy
denominada Delegatura para Riesgo de Lavado de Activos y Financiación del
Terrorismo, al crear en su interior una Dirección Legal de Prevención y Control de

8
El listado general de las entidades vigiladas por la Superintendencia Financiera de Colombia, se puede consultar
en el siguiente enlace: https://www.superfinanciera.gov.co/jsp/loader.jsf?
lServicio=Publicaciones&lTipo=publicaciones&lFuncion=loadContenidoPublicacion&id=61694
 Página No. 10

Lavado de Activos y Financiación del Terrorismo, encargada de tramitar

fundamentalmente el desarrollo de las actuaciones administrativas sancionatorias.

La Delegatura para Riesgo de Lavado de Activos y Financiación del Terrorismo es

parte fundamental del andamiaje misional de la SFC, en el cual interviene
activamente, entre otros, a través de los procesos de autorizaciones, consultas,
seguimiento y las demás que son asignadas de acuerdo con la naturaleza de la
dependencia.

Para el logro de sus objetivos, la SFC cuenta con un modelo de supervisión

basado en riesgos, abordado en detalle en el numeral VI de este documento, que
contempla, entre otros, el relativo al LA/FT, lo cual ha permitido establecer
directrices orientadas a evitar la participación o utilización de las entidades
vigiladas en tales actividades. Los parámetros mínimos están consignados en el
Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación
del Terrorismo – SARLAFT 9, vigente a partir del 1 de julio de 2008, cuyas
instrucciones están contenidas hoy, entre otros, en el Capítulo IV, Título IV, Parte I
de la Circular Básica Jurídica, recientemente modificada por la Circular Externa
055 de 2016, expedida en desarrollo de lo previsto en los artículos 102 a 107 del
EOSF.

El SARLAFT sustituyó el Sistema Integral de Prevención y Control del Lavado de

Activos – SIPLA, contenido en el Capítulo XI del Título I de la Circular Básica
Jurídica de la Superintendencia Bancaria y en la Circular Externa 03 de 2005 de la
Superintendencia de Valores de Colombia, marco normativo preexistente hasta
entonces.

La transición del SIPLA10 al SARLAFT representó un cambio en la cultura de las

entidades, ya que implicó un mayor compromiso en la adopción de sistemas
robustos de administración del riesgo adaptados a estándares internacionales y a
sanas prácticas del mercado11. En otras palabras, mientras que el SIPLA se
enfocaba exclusivamente en el conocimiento de los clientes y la identificación y
reporte de las operaciones realizadas por los mismos, el SARLAFT trascendió
hacia un sistema fundamentado en la administración de riesgos, el cual, además
de elevar el nivel jerárquico y los requerimientos mínimos del oficial de
cumplimiento, involucra nuevas funciones y responsabilidades para los órganos de
administración. (Ver Gráfica 2).

Gráfica 2. Evolución SIPLA – SARLAFT – Cuadro comparativo.

9
Circular Externa 22 de 2007, modificada por la Circular Externa 061 de 2007.
10
Adoptado mediante la Circular Externa 025 de 2003 de la hoy Superintendencia Financiera de Colombia.
11
 Página No. 11

Fuente: Superintendencia Financiera de Colombia

Además del procedimiento estándar que contemplaba el SIPLA para el

diligenciamiento de formularios de vinculación de clientes y solicitud de productos,
que incluye una lista de chequeo de documentación, la realización de entrevistas,
y la verificación de listas y de información, el SARLAFT, adopta un enfoque
fundamentado en la supervisión por riesgos, que exige a las entidades vigiladas
adoptar sistemas que estén en consonancia con los estándares internacionales
sobre la materia, en particular, con las recomendaciones emitidas por el GAFI-
GAFILAT.

El SARLAFT implica que previo al lanzamiento de un producto o servicio, la

modificación de sus características, la incursión en un nuevo mercado, la apertura
de operaciones en nuevas jurisdicciones, y el lanzamiento o modificación de los
canales de distribución, se debe evaluar la vulnerabilidad de la entidad vigilada
frente a los nuevos riesgos, con el fin de determinar la clase, el impacto y la
frecuencia de los controles que necesita. De esta manera, el SARLAFT 12 busca
que las operaciones desarrolladas por las entidades vigiladas sean adelantadas
dentro de estándares éticos y de control; anteponiendo sanas prácticas
financieras, como la prevención del riesgo de LA/FT, al logro de las metas
comerciales.

Por último, y con el propósito de evitar arbitrajes entre las entidades vigiladas que
se encuentren en las situaciones previstas en los artículos 26013 del Código de

12
Artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero (Decreto Ley 663 de 1993).
13
Subordinación.
 Página No. 12

Comercio y 28 de la Ley 222 de 1995, el SARLAFT exige que los sistemas que
ellas implementen y desarrollen, deben tener características similares.

IV. Evolución Normativa

Ámbito Internacional

Inicialmente se encuentra oportuno mencionar que las primeras disposiciones

encaminadas a reprimir el lavado de activos fueron expedidas en 1970 en los
Estados Unidos de América14, contenidas en la denominada “Ley del Secreto
Bancario.”

El 20 de diciembre de 1988 se suscribió en Viena la “Convención de las Naciones

Unidas contra el tráfico Ilícito de Narcóticos y Sustancias Sicotrópicas”,
comúnmente conocida como la “Convención de Viena”, aprobada en Colombia por
la Ley 67 del 23 de agosto de 1993, declarada exequible por la Corte
Constitucional mediante Sentencia C - 176 del 12 de abril de 1994. Esta
Convención apuntaba a promover la cooperación entre las partes con el fin de
hacer frente con mayor eficacia al tráfico ilícito de estupefacientes y sustancias
sicotrópicas, así como a incentivar la expedición de normas de orden legislativo y
administrativo.

Desde la declaración de principios del BCBS del 12 de diciembre de 1988, la

comunidad internacional, adoptó una serie de medidas rectoras, que aunque no
tenían carácter vinculante, estaban encaminadas a impedir que los
establecimientos financieros fuesen utilizados para canalizar transferencias o
depósitos de procedencia ilícita.

En la XV Cumbre Económica Mundial o Grupo de los Siete celebrada en Grand

Arche – París, del 14 al 16 de julio de 1989, se creó un mecanismo
intergubernamental de desarrollo y promoción de políticas para combatir el
blanqueo de activos denominado Grupo de Acción Financiera Internacional GAFI
(o por su nombre en inglés Economic Summit Financial Action Task Force on
Money Laundering (FATF)), inicialmente conformado por Estados Unidos, Japón,
Alemania, Francia, Reino Unido, Italia y Canadá, así como por el Presidente de la
Comisión de la Comunidad Europea. En 1990, el GAFI estableció las 40
recomendaciones que hoy constituyen el estándar internacional sobre la lucha
contra el LA, el FT y la PADM, y evalúa las medidas que los países deben adoptar
como fundamento para un sistema ALA/CFT/CPADM eficiente.

El Consejo de la Comunidad Europea a través de su directiva del 10 de junio de

1991, relativa a la prevención de la utilización del sistema financiero para el
14
En especial con la promulgación de la denominada Ley del Secreto Bancario de 1970, en virtud de la cual se
consagró la obligación de exigir el reporte sobre transacciones en efectivo superiores a los US $10.000 así como la salida
de sumas superiores a los US $5.000. Posteriormente en 1986 se expidió la “Ley para el control de lavado de dinero”
(MLCA) encaminada a reprimir dicha actividad ilícita.
 Página No. 13

blanqueo de capitales (91/308/CEE), adoptó entre las determinaciones más

importantes las siguientes: (i) los estados miembros deben velar para que el
blanqueo de capitales quede prohibido, (ii) las entidades de crédito y las
instituciones financieras deben exigir documentos para identificar a sus clientes,
(iii) aprobar medidas para obtener información sobre la identidad de las personas
por cuenta de las cuales actúan los clientes, (iv) conservar documentación sobre
la identificación de sus clientes y de las transacciones, (v) examinar transacciones
susceptibles de blanqueo y, (vi) brindar colaboración a las autoridades.

En 1992, la Asamblea General de la Organización de los Estados Americanos

(OEA) aprobó el reglamento modelo de una de sus instancias, la CICAD
(Comisión Interamericana para el Control del Abuso de Drogas), en cuya
redacción participó Colombia, y recomendó su incorporación en la legislación
interna de los países miembros.

A su turno, el 8 de diciembre de 2000 en Cartagena de Indias, Colombia, mediante

la firma del Memorando de Entendimiento por parte de los representantes de los
gobiernos de nueve países: Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador,
Paraguay, Perú y Uruguay, se creó formalmente el Grupo de Acción Financiera de
Latinoamérica – GAFILAT (antes GAFISUD), como una organización
intergubernamental de base regional que hoy agrupa a 17 países de América del
Sur, Centroamérica y América de Norte para combatir el LA, la FT y la PADM, a
través del compromiso de mejora continua de las políticas nacionales contra
dichos temas y la profundización en los distintos mecanismos de cooperación
entre los países miembros. Posteriormente se incorporaron como miembros
plenos México (2006), Costa Rica, Panamá (2010), Cuba (2012), Guatemala,
Honduras, Nicaragua (2013) y Republica Dominicana (2016).

Participan como observadores los gobiernos de Alemania, Francia, España,

Estados Unidos y Portugal, y algunas organizaciones internacionales incluyendo el
Grupo de Acción Financiera del Caribe (GAFIC).

Teniendo en cuenta que uno
ALA/CFT lo constituían las
recomendaciones del GAFI,
ALA/CFT/CPADM Colombiano
ronda.
de los elementos sustanciales del sistema global
evaluaciones de cumplimiento técnico de las
realizadas por pares entre países, el Sistema
fue objeto de evaluación, en el marco de la tercera

El informe de la visita con fecha 3 de diciembre de 2008 fue aprobado por el XVIII
Pleno de Representantes del hoy GAFILAT, cuyas observaciones a hoy se
encuentran atendidas.

Ámbito Nacional

Por su parte, Colombia no fue ajena a la evolución normativa que se presentó en

el mundo y se dio especial importancia al hecho de contar con un marco legal que
 Página No. 14

permitiera a las autoridades competentes y a sus sujetos obligados, combatir el

fenómeno del LA/FT y contrarrestar las amenazas que estos fenómenos suponen
para sus sectores y para sus actividades.

Para el caso del sistema financiero colombiano, el 21 de octubre de 1992 se

suscribió un acuerdo interbancario aprobado por la junta directiva de la Asociación
Bancaria y de Entidades Financieras de Colombia –ASOBANCARIA-, para
adherirse a los principios de la Convención de Viena y a la Declaración de Basilea
e implementar su propio código de conducta, el cual se estructuró sobre cuatro
principios rectores15.

 Selección e identificación del cliente y conocimiento de sus actividades

económicas.
 Conocimiento del cliente y de sus operaciones con la entidad financiera.
 Registro y documentación de las transacciones en efectivo.
 Colaboración con las autoridades, mediante el suministro de la información
para fines investigativos y probatorios.

Los postulados del referido acuerdo fueron recogidos en el Decreto 1872 del 20 de
noviembre de 1992, “Por el cual se interviene la actividad de las instituciones
vigiladas por las Superintendencias Bancaria y de Valores.”16, estableciendo como
obligación para las entidades anteriormente vigiladas por las mismas 17 la adopción
de “(…) medidas de control apropiadas y suficientes, orientadas a evitar que en la
realización de sus operaciones puedan ser utilizadas como instrumento para el
ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u
otros bienes provenientes de actividades delictivas, o para dar apariencia de
legalidad a las actividades delictivas o a las transacciones y fondos vinculados con
las mismas.”

A su vez, a dichas instituciones se les impuso el deber de adoptar mecanismos y

reglas de conducta que debían observar sus representantes legales, directores,
administradores y funcionarios, entre otros fines, con los de: (i) conocer la
actividad económica de sus clientes, así como respecto de quienes realicen “(…)
cualquier tipo de depósitos a la vista, a término o de ahorro, o entregan bienes en
fiducia o encargo fiduciario; o los depositan en cajillas de seguridad”; (ii) establecer
la frecuencia, el volumen y las características de las transacciones de los usuarios;
y (iii) elaborar reporte de operaciones sospechosas de clientes y usuarios.
Adicionalmente, se estableció que el incumplimiento de los mecanismos de control

15
ASOCIACIÓN BANCARIA Y DE ENTIDADES FINANCIERAS DE COLOMBIA –ASOBANCARIA-, Las Acciones
del Sistema Financiero Colombiano frente al Lavado de Activos, marzo de 1998.
16
El Decreto 1872 de 1992, fue expedido por el Presidente de la República, en ejercicio de la facultad que le confirió
el artículo 50 transitorio de la Constitución Política, el cual lo facultó temporalmente mientras se dictaban las normas
generales, como atribución constitucional propia, para intervenir en la actividad financiera, bursátil, aseguradora y cualquier
otra relacionada con el manejo, aprovechamiento e inversión de los recursos captados del público.
17
De acuerdo con lo previsto en el artículo 9 del Decreto 1872 de 1992, las obligaciones de que tratan los artículos
1o a 5o y 7o del referido Decreto se aplicarán también a las sociedades comisionistas y administradoras de fondos de
inversión, en cuyo caso la Superintendencia de Valores tendrá las facultades que tales normas le otorgan a la
Superintendencia Bancaria.
 Página No. 15

daría lugar a la imposición de las sanciones administrativas previstas en las

mismas normas.

Con la expedición del Decreto 663 del 2 de abril de 1993, conocido comúnmente
como EOSF, en el Capítulo XVI bajo la denominación de “Prevención de
Actividades Delictivas” se incorporó el contenido del Decreto 1872 de 1992 en los
artículos 102 a 107, disposiciones actualmente vigentes con las modificaciones
introducidas especialmente por las Leyes 795 de 2003 y 1121 de 2006 a las que
más adelante se hará referencia.

En 1994 al interior de la ASOBANCARIA, se conformó el “Comité de

Administración del Riesgo”, integrado por los vicepresidentes a cargo de dicha
área en las entidades del sector, cuyo propósito fundamental consistió en
adelantar tareas en la prevención y control del LA/FT y en la suscripción de un
Convenio con la Fiscalía General de la Nación.18

Posteriormente, con la expedición de la Ley 190 de 1995, conocida como el

“Estatuto Anticorrupción”, se efectuaron las siguientes modificaciones en materia
de prevención de actividades delictivas:

 Se extendió la aplicación de los procedimientos y mecanismos de control

previstos en los artículos 102 a 107 del EOSF a las “personas sometidas a
inspección, vigilancia o control de la Superintendencia de Valores.”,
otorgando un plazo de tres (3) meses para su implementación.

 Las autoridades que reciban información de las personas sometidas a

inspección, vigilancia o control de las Superintendencias Bancaria y de
Valores y establezcan los supuestos indicados en el artículo 102 literal d)
del EOSF (Decreto 663 de 1993),

 Se impuso el deber para las Autoridades que reciban información de las

personas sometidas a inspección, vigilancia o control de las
Superintendencias Bancaria y de Valores en los términos del literal d) del
artículo 102 del EOSF de informar a la Fiscalía General de la Nación sobre
los hechos o situaciones advertidos.

 La obligación tanto para la Superintendencia Bancaria de Colombia, como

para la de Valores, de asignar a una de sus dependencias la función de
control de las operaciones de que tratan los artículos 102 a 107 del
Estatuto, correspondiéndole rendir un informe anual con destino a la
Fiscalía General de la Nación sobre las actividades cumplidas.

 Se estableció, para quienes incumplan la obligación de guardar la reserva

sobre la información relacionada con el reporte de operaciones

18
ASOCIACIÓN BANCARIA Y DE ENTIDADES FINANCIERAS DE COLOMBIA –ASOBANCARIA-, Las Acciones
del Sistema Financiero Colombiano frente al Lavado de Activos, marzo de 1998.,pag. 20.
 Página No. 16

sospechosas, además de la responsabilidad administrativa, la sanción

penal que corresponde por tal conducta.

 Tratándose del reporte de operaciones sospechosas, se consagró la

exoneración de responsabilidad para la persona jurídica informante, no para
los directivos o empleados de la entidad.

 Se extendió la aplicación de las obligaciones previstas en los artículos 102

a 107 del EOSF a las personas que se dediquen profesionalmente a
actividades de comercio exterior, casinos o juegos de azar. En la
actualidad,19 además les resultan aplicables a operaciones de cambio y del
mercado libre de divisas; así como aquellas que en lo sucesivo determine el
Gobierno Nacional.

 Se facultó a las autoridades judiciales para levantar el velo corporativo de

las personas jurídicas, cuando fuere necesario determinar el verdadero
beneficiario de las actividades adelantadas por las mismas.

 Se modificó el Código Penal colombiano tipificando como delito el LA a

través de la receptación.

En septiembre de 1995 se firmó el Convenio de Cooperación conjunta entre la

Fiscalía General de la Nación y la ASOBANCARIA con el propósito de precisar el
alcance de los términos de cooperación y la responsabilidad del sector financiero
respecto de la prevención y control del LA/FT, así como para atender las
obligaciones establecidas en el Estatuto Anticorrupción; en especial consagrar
mecanismos ágiles y confiables para el reporte de operaciones sospechosas,
brindar apoyo para la creación de la Unidad Nacional Especial de la Fiscalía
General de la Nación contra el Lavado de Activos e implementación de programas
de capacitación especializada.20

La Ley 526 de 1999 creó la UIAF, entidad encargada de prevenir y detectar

operaciones que puedan ser utilizadas como instrumento para el LA/FT, mediante
la centralización y análisis de la totalidad de la información recaudada en ejercicio
de sus facultades legales. Esta ley también facultó a las autoridades a que ejerzan
funciones de inspección, vigilancia y control para instruir a sus vigilados sobre las
características, periodicidad y controles de la información a transmitir. De igual
forma se modificaron los artículos 102 y 105 del EOSF, para garantizar que en lo
sucesivo los reportes de operaciones sospechosas se efectúen a la UIAF.

La Ley 795 de 2003, ajustó algunas disposiciones del EOSF, modificando el

artículo 104, en el sentido de requerir que se informe la totalidad de las
transacciones en efectivo y, facultó a la hoy SFC para imponer multas a las
19
Modificación efectuada por el artículo 3 de la Ley 1121 de 2006, “Por la cual se dictan normas para la prevención,
detección, investigación y sanción de la financiación del terrorismo y otras disposiciones.”
20
Ver ASOCIACIÓN BANCARIA Y DE ENTIDADES FINANCIERAS DE COLOMBIA –ASOBANCARIA-, Las
Acciones del Sistema Financiero Colombiano frente al Lavado de Activos, marzo de 1998, pag. 21 y ss.
 Página No. 17

entidades vigiladas en cuantías superiores a las establecidas en el régimen

general.21

A su turno, con la expedición de la Ley 1121 de 2006, se dictaron normas para la

prevención, detección, investigación y sanción de la FT, modificando, entre otros,
el artículo 102 del EOSF. En consecuencia, las entidades sometidas al control y
vigilancia de la SFC deben adoptar medidas de control, no sólo para evitar que en
la realización de sus operaciones puedan ser utilizadas como instrumento para el
ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u
otros bienes provenientes de actividades delictivas, sino también para prevenir
que estos recursos sean destinados a su financiación, dentro de las cuales se
encuentra el terrorismo.

En desarrollo de lo previsto en el artículo 10 de la Ley 1121 de 2006 y con el fin de

dar cumplimiento al artículo 20 de la mencionada Ley, así como a todas las
obligaciones internacionales sobre congelamiento y prohibición de manejo de
fondos u otros activos de personas y entidades asociadas a actos o grupos
terroristas asumidas por Colombia, en especial las Resoluciones 1267 de 1999,
1988 de 2011, 1718 y 1737 de 2006 del Consejo de Seguridad de las Naciones
Unidas y desde luego a las recomendaciones 6 y 7 del GAFI se suscribió un
Convenio Interadministrativo entre el Ministerio de Relaciones Exteriores, la
Fiscalía General de la Nación, la Unidad de Información y Análisis Financiero
(UIAF) y la Superintendencia Financiera de Colombia 22.

En desarrollo del Convenio, entre las Autoridades intervinientes se articuló un

mecanismo de comunicación de las decisiones del Consejo de Seguridad, a través
de correos electrónicos creados exclusivamente por parte de las Autoridades y las
entidades vigiladas, para comunicar tales decisiones lo cual permite efectuar el
congelamiento de los recursos o fondos de las personas naturales o jurídicas
designadas en un tiempo máximo de 48 horas.

V. El SARLAFT23

Las Instrucciones relativas a la Administración del Riesgo de LA/FT, están

contenidas en el Capítulo IV, Título IV, Parte I de la Circular Externa 029 de 2014
– Circular Básica Jurídica24, modificada por la Circular Externa 055 de 2016 25,

21
La multa por infracción de las disposiciones relativas a la prevención de conductas delictivas puede alcanzar los
$3.482.537.784.oo. Esta cifra corresponde al periodo comprendido entre el 16 de enero de 2017 y el 15 de enero de 2018, y
se reajusta anualmente, conforme la variación en el índice de Precios al Consumidor (IPC) suministrado por el DANE,
según lo establece el artículo 208 del EOSF.
22
Este Convenio reemplazó en todas sus partes, el Convenio 09 del 24 de septiembre de 2012.
23
Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica - Circular Externa 029 de 2014, modificada por la
también Circular Externa 055 de 2016. Puede consultarse en
www.superfinanciera.gov.co/Normativa/Normativa_General/Circular Básica_Jurídica (CE 029 de 2014).
24
La Circular Básica Jurídica recopiló y reorganizó en un solo cuerpo la normatividad expedida por la SFC
armonizando su contenido con la evolución jurisprudencial y la regulación del sector.
25
La Circular Externa 055 del 22 de diciembre de 2016, rige a partir del 31 de marzo de 2017.
 Página No. 18

especialmente en aspectos como las funciones del funcionario responsable de las

entidades exceptuadas de aplicar el SARLAFT, el beneficiario final, las Personas
Públicamente Expuestas y el cumplimiento de las obligaciones relacionadas con
las sanciones financieras dirigidas.

El Sistema de Administración de Riesgo de Lavado de Activos y de la Financiación

del Terrorismo (SARLAFT) busca prevenir que las entidades vigiladas por la SFC,
sean utilizadas, directa o indirectamente, para dar apariencia de legalidad a los
activos provenientes de actividades delictivas o para canalizar recursos hacia la
realización de actividades terroristas.

El SARLAFT que implementen las entidades vigiladas está en consonancia con

los estándares internacionales en la materia, especialmente los emanados por el
GAFI – GAFILAT, y se compone de las siguientes dos fases: (Ver Gráfica 3).

i. La prevención del riesgo, cuyo objetivo es evitar que se introduzcan al

sistema financiero recursos provenientes de actividades relacionadas con
el LA y que las entidades sean utilizadas para canalizar recursos hacia la
FT.

ii. El control y monitoreo del riesgo, que consiste en detectar y reportar las
operaciones que se pretendan realizar o se hayan efectuado, en el intento
de dar apariencia de legalidad a operaciones vinculadas al LA/FT.

Gráfica 3. Fases del SARLAFT.

Fuente: Superintendencia Financiera de Colombia

 Página No. 19

En este sentido, se tiene que la naturaleza de la administración del riesgo LA/FT

es diferente a la de los riesgos catalogados como típicamente financieros (riesgo
de crédito, riesgo de mercado, riesgo de liquidez, entre otros), toda vez que en
este, el objetivo es prevenirlo, detectarlo y reportarlo en términos de oportunidad y
eficacia, mientras que en los demás, la administración se concentra en asumirlos
total o parcialmente de acuerdo con el perfil de riesgo de cada entidad vigilada y
aspectos financieros como la relación rentabilidad/riesgo.

El SARLAFT es un sistema basado en cuatro (4) etapas mínimas, que de manera

consecuente conllevan a la identificación, medición, control y el monitoreo de los
riesgos LA/FT propios de cada entidad vigilada. De igual forma, cuenta con ocho
(8) elementos, cuyo objetivo principal es permitir el diseño, desarrollo e
implementación o instrumentación, ordenada y metódica, de cada una de las
etapas que componen el sistema de administración de riesgo.

De igual manera, el SARLAFT debe atender a la naturaleza, objeto social y demás

características particulares de cada una de las entidades vigiladas, abarcando
todas las actividades que realizan las mismas en desarrollo del mencionado objeto
social principal, correspondiéndoles además, revisar periódicamente las etapas y
elementos del mismo con la finalidad de efectuar los ajustes necesarios para su
efectivo, eficiente, y oportuno funcionamiento.

Como agentes generadores del riesgo LA/FT, el SARLAFT contempla como

mínimo cuatro (4) factores, tales como, los clientes, los productos, los canales
de distribución y las jurisdicciones, los cuales en conjunto conforman el
concepto de “transacción” u “operación”, en el entendido que una transacción, en
todos los casos, será realizada por un cliente o usuario, mediante un producto
vigente o activo, a través de un canal de distribución dispuesto por la entidad y en
una jurisdicción específica en la que tenga presencia como entidad financiera.

A su vez, el Riesgo LA/FT tiene riesgos asociados que presentan los siguientes
impactos para las entidades vigiladas, en el evento en que ellos se materialicen:

i) Riesgo Reputacional: Es la posibilidad de pérdida, disminución de ingresos

o incremento en procesos judiciales en que incurre una entidad vigilada a
causa de desprestigio, mala imagen, publicidad negativa respecto de la
institución y sus prácticas de negocios.

ii) Riesgo Legal: Es la posibilidad de pérdida en que incurre una entidad a

causa de sanciones o indemnizaciones de daños como resultado del
incumplimiento normativo o de obligaciones contractuales. Se presenta de
igual forma cuando existen fallas en los contratos y transacciones, por
actuaciones, negligencia o actos involuntarios.

iii) Riesgo Operativo: Es la posibilidad de pérdida en que incurre una entidad a

causa de fallas, deficiencias o inadecuaciones en el recurso humano, los
 Página No. 20

procesos, la tecnología, la infraestructura o por la ocurrencia de eventos

externos.

iv) Riesgo de Contagio: Es la posibilidad de pérdida en que incurre una entidad

por una acción o experiencia de un vinculado, entendido éste como el
relacionado o asociado, incluyendo a las personas naturales y/o jurídicas
que ejercen influencia sobre la entidad.

Tal como se describe a continuación, el Capítulo IV, Título IV, Parte I de la Circular
Básica Jurídica establece objetivos y propósitos claros respecto del resultado
esperado en la implementación de cada una de las etapas del SARLAFT.

i) Etapa de Identificación.
El objetivo de esta etapa se centra en identificar los riesgos de LA/FT
inherentes al desarrollo de cada actividad financiera. Como resultado de su
implementación se espera que las entidades vigiladas conozcan e
identifiquen los factores de riesgo presentes en su institución y los riesgos
asociados a los que se encuentran expuestas en el desarrollo de su
actividad.

ii) Etapa de Medición.

El objetivo de esta etapa es el de valorar la posibilidad y la probabilidad de
ocurrencia de los riesgos LA/FT identificados frente a cada uno de los
factores de riesgo ya mencionados, así como el impacto en caso de
materializarse a través de los riesgos asociados.

iii) Etapa de Control.

El propósito de esta etapa es que las entidades vigiladas tomen las
medidas necesarias que conduzcan a ejercer la mitigación de los riesgos
inherentes de LA/FT identificados.

iv) Etapa de Monitoreo.

En esta etapa los objetivos se enfocan en el seguimiento a realizar por
parte de las entidades vigiladas tanto al perfil de riesgo LA/FT, como al
funcionamiento del SARLAFT, para llevar a cabo la detección de las
operaciones inusuales y/o sospechosas.

Ahora bien, los siguientes son los elementos contemplados en el SARLAFT para
la instrumentación de las etapas de administración de riesgo descritas
anteriormente:

i) Políticas.
Hace alusión a los lineamientos mínimos que deben adoptar las entidades
vigiladas para permitir el eficiente, efectivo y oportuno funcionamiento del
SARLAFT, de tal forma que sean entendidas como reglas de conducta y
procedimientos que orienten la actuación de la entidad y de sus accionistas.
 Página No. 21

ii) Procedimientos.
Se refiere a las actividades que deben diseñar y poner en práctica las
entidades vigiladas con el fin de garantizar la adecuada implementación y
funcionamiento de las etapas ya mencionadas del SARLAFT.

iii) Documentación.
La implementación y funcionamiento de las etapas y elementos del
SARLAFT deben constar en documentos y registros en los que se garantice
la integridad, oportunidad, confiabilidad y disponibilidad de la información.

iv) Estructura Organizacional.

Hace referencia a la asignación de facultades y funciones tanto a la Junta
Directiva u Órgano que haga sus veces, como a los Representantes
Legales y a los Oficiales de Cumplimiento 26 por parte de las entidades
vigiladas, en relación con el funcionamiento del SARLAFT.

v) Órganos de Control.
Indica que la entidad vigilada debe establecer instancias responsables de la
realización de evaluaciones a su SARLAFT, con el fin de identificar e
informar acerca de posibles fallas o debilidades en su operación. Como
mínimo las entidades vigiladas deben contar con un revisor fiscal y un
auditor interno o quien haga sus veces, como órganos de control.

vi) Infraestructura Tecnológica.

Este elemento hace referencia al soporte tecnológico con el que deben
contar las entidades vigiladas para garantizar el adecuado funcionamiento
del SARLAFT, el cual debe atender a sus actividades, operaciones, riesgo y
su tamaño.

vii) Divulgación de Información.

La divulgación de información hace alusión a la creación y puesta en
funcionamiento de un sistema efectivo, eficiente y oportuno de reportes
internos y externos, que garantice tanto el funcionamiento de los
procedimientos que componen el SARLAFT, así como los requerimientos
de las autoridades competentes.

viii) Capacitación.
Se refiere a los planes de capacitación que deben diseñar, programar y
coordinar las entidades vigiladas, acerca del funcionamiento del SARLAFT.

La adopción de lineamientos generales y el establecimiento de los procedimientos

aplicables para la adecuada implementación y funcionamiento de las etapas del
SARLAFT, se traduce en una mayor efectividad en el conocimiento de los clientes
26
El cargo de Oficial de Cumplimiento tiene por objeto exclusivo administrar el Programa de Prevención del Lavado
de dinero y de otros activos, y del Financiamiento al Terrorismo, o SARLAFT, lo cual implica coordinar, gerenciar, gestionar,
ejecutar e implementar los procedimientos, políticas y controles del programa adoptado por la respectiva institución
supervisada, conforme a las leyes, reglamentos, normas, resoluciones, circulares, instrucciones, estándares, mejores
prácticas, manuales, y planes internos sobre la materia.
 Página No. 22

y del mercado, el diseño y aplicación de señales de alerta, la identificación de

operaciones inusuales y la determinación y el reporte de operaciones
sospechosas.

Es así, como a partir del mecanismo de conocimiento del cliente, las entidades
vigiladas deben contar con procedimientos que garanticen un conocimiento
efectivo, eficiente y oportuno de las personas naturales y/o jurídicas que pretenden
vincularse a la entidad, sin que se puedan iniciar relaciones contractuales o
legales con ninguna persona hasta tanto, no se haya diligenciado el formulario de
vinculación, se haya realizado una entrevista y adjuntados los soportes
necesarios.

El mencionado conocimiento del cliente comprende desde la identificación de los

datos básicos y financieros que permiten individualizar a una persona natural y/o
jurídica, incluida la identificación de los beneficiarios finales de las estructuras
jurídicas (poseedores de más del 5% del capital social, aporte o participación de la
entidad), hasta las características, montos, y procedencia de sus ingresos y
egresos. La información recaudada durante la aplicación del mecanismo de
conocimiento del cliente, sirve como fuente principal del funcionamiento no solo
del SARLAFT, sino de cualquier sistema de administración de riesgos que
implementen las entidades.

Surgen entonces aspectos como la segmentación de los factores de riesgo 27, a

partir de la cual, se profundiza tanto en el conocimiento de los clientes vinculados
a las entidades vigiladas y como de los factores de riesgo con los que tienen
relación.

El objetivo de la segmentación de los factores de riesgo se centra en la

identificación de grupos con características y comportamientos transaccionales
similares, en los que se garantiza la homogeneidad al interior de los segmentos y
la heterogeneidad entre los mismos, de acuerdo con el análisis técnico de
variables de información previamente indicadas en la normatividad.

Al garantizar las características de homogeneidad y heterogeneidad, cada uno de

los segmentos genera implícitamente los parámetros normales de comportamiento
transaccional de los miembros de cada grupo, lo que se entiende como los límites
de operación de cada persona o comúnmente denominadas como las señales de
alerta28 que se encargan de la identificación de las operaciones que salen de la
normalidad identificada y que pueden ser catalogadas como operaciones
inusuales objeto de estudio por parte del Oficial de Cumplimiento, con el fin de
efectuar los reportes oportunos a las autoridades competentes.

En este sentido, el adecuado funcionamiento del SARLAFT obliga a las entidades

no sólo a mantener los documentos y registros de los clientes y sus operaciones;

27
Subnumeral 4.2.2.3.2.del Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica.
28
Subnumeral 4.2.2.3.1.del Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica.
 Página No. 23

sino también a contar con recursos técnicos, tecnológicos y de talento humano,

dentro de los cuales se resalta la participación tanto de la alta gerencia, así como
de la Junta Directiva u Órgano que haga sus veces como directos responsables de
la efectividad y eficacia del sistema. Es preciso afirmar que los Oficiales de
Cumplimiento de las entidades vigiladas, tanto principales como suplentes, deben
surtir el trámite de posesión ante la SFC, con el propósito de verificar su idoneidad
para desempeñar el cargo.

Por su parte, las entidades vigiladas que solo deben aplicar los artículos 102 a 107
del EOSF, están en la obligación de designar un Funcionario Responsable
(principal y suplente) de aplicar las medidas de control de LA/FT e informar dentro
de los 15 días siguientes a su nombramiento a la SFC a través de su página de
internet.

El SARLAFT contempla además, como tema relevante en un aparte

independiente, los aspectos relacionados con las reglas especiales para las
transferencias electrónicas, mediante las cuales se regulan todas aquellas
operaciones de ingreso o salida de divisas al país, específicamente en cuanto a la
captura de la información necesaria para identificar tanto al ordenante como al/los
beneficiario/s de dichos movimientos y en cuanto al seguimiento a realizar a
dichas transacciones.

Finalmente, de acuerdo con lo establecido en el literal a) del numeral 5 del artículo

326 del EOSF, la realización de operaciones sin dar cumplimiento a las
instrucciones del SARLAFT es calificada como una práctica insegura y no
autorizada.

VI. ¿Cómo Hacemos la Supervisión?

La SFC estableció el Marco Integral de Supervisión (MIS) como metodología de

supervisión basada en riesgos. El MIS contiene los estándares y los criterios
detallados para llevar a cabo la supervisión consolidada 29 de las entidades
vigiladas con independencia de la jurisdicción en la que operan 30.

La metodología de supervisión del riesgo de LA/FT está enmarcada dentro de los

objetivos y parámetros de funcionamiento del MIS y atiende lo establecido en las
40 recomendaciones del GAFI, específicamente lo estipulado en la
Recomendación 2631.

29
La supervisión de las entidades vigiladas por la SFC se realiza en forma comprensiva y consolidada, lo cual
involucra la evaluación de todas las entidades vigiladas que hacen parte de los conglomerados financieros (CF), con
independencia de la jurisdicción en la que operan.
30
El documento descriptivo del Marco Integral de Supervisión MIS se puede consultar en el siguiente enlace:
https://www.superfinanciera.gov.co/jsp/loader.jsf?
lServicio=Publicaciones&lTipo=publicaciones&lFuncion=loadContenidoPublicacion&id=10085454
31
Recomendación 26 – Regulación y Supervisión de las Instituciones Financieras.
 Página No. 24

El MIS supone comprender el modelo de negocio de las entidades, es decir, sus

productos, sus actividades significativas, su plan estratégico y su apetito de riesgo,
con el propósito de establecer los determinantes del riesgo, en este caso el de
LA/FT.

Bajo este esquema, la valoración del Riesgo LA/FT en las entidades vigiladas 32
permite establecer tanto la vulnerabilidad de sus actividades frente a estos
delitos; como la efectividad y eficiencia de los controles que han sido
implementados para mitigarlos.

Para cada entidad o conglomerado financiero se cuenta con una matriz de riesgo
en la que se mantiene actualizado el Perfil de Riesgo de LA/FT (único) de la
entidad, compuesto por su valoración de Riesgo Inherente de LA/FT y de cada
una de sus Funciones de Supervisión (SARLAFT).Entre las funciones de
supervisión figuran: el análisis financiero, cumplimiento, la gestión de riesgos, la
función actuarial en el caso de las Compañías de Seguros, la auditoria interna, la
alta gerencia y la junta directiva u órgano que haga sus veces. Son relevantes
para el caso del Riesgo de LA/FT, todas las funciones de supervisión salvo la de
análisis financiero y la actuarial). (Ver Tabla 1):

Tabla 1. Matriz de Riesgos del MIS.

2. Riesgo Inherente 3. Funciones de Supervisión 4. Riesgo Neto
1. Actividades
GestiónOperativa

Significativas
Cumplimiento

Cumplimiento

Importancia
Estratégico

Calificación
Regulatorio

Gestiónde
Financiero
Operativo

Dirección
Auditoría

Directiva
Gerencia
Actuaría
Mercado
Crédito

Seguros

Análisis

Riesgos

Interna
Lavado

Junta
Alta
AS1
AS2
AS3
etc.
Calificación General

Fuente: Superintendencia Financiera de Colombia

1) Riesgo Inherente LA/FT

El primer componente de la matriz establece el riesgo inherente. En el caso de

LA/FT, éste se define como la probabilidad de que una entidad / conglomerado
financiero incurra en una pérdida material por su vulnerabilidad a ser utilizada
directa o indirectamente para canalizar recursos del LA y/o FT.

Como se observa en la matriz (Tabla 1), cada Riesgo Inherente es intrínseco a

cada Actividad Significativa. Por consiguiente, la SFC cuenta con una metodología
que tiene como finalidad la valoración del riesgo inherente de LA/FT al que se
encuentran expuestas las entidades vigiladas, de acuerdo con la vulnerabilidad
que frente a estos delitos presentan las actividades que desarrollan y con la

32
Aplicada a las entidades sujeto de la implementación del SARLAFT (Sistema de Administración de Riesgo de
Lavado de Activos y de la Financiación del Terrorismo) y/o de las indicaciones establecidas en el EOSF (Estatuto Orgánico
del Sistema Financiero, artículos 102-107).
 Página No. 25

efectividad y eficiencia de los controles implementados para la mitigación de dicho

riesgo.

Específicamente, el objetivo se concentra en la estimación de una calificación

(única y consolidada) que indique el nivel de exposición al riesgo inherente de
LA/FT de cada una de las entidades vigiladas, con base en la valoración de la
vulnerabilidad de las actividades que desarrolla (no sólo las significativas) y su
respectiva particularidad entendida como la composición de la actividad respecto
de los tres factores de riesgo SARLAFT restantes (clientes, canales de distribución
y jurisdicciones). Para la valoración del riesgo inherente LA/FT, son tomados como
insumos de información los resultados de la Evaluación Nacional de Riesgo del
país33.

Riesgo Inherente Vulnerabilidad
= LA/FT de la
LA/FT de una Actividad
Actividad
Particularidad de
la Actividad
+ (Composición
Clientes, Canales,
Jurisdicciones)

a) Vulnerabilidad al LA/FT

La Vulnerabilidad a los delitos del LA/FT está relacionada con la propensión que
tiene un factor de riesgo (clientes, productos, canales de distribución y
jurisdicciones), por sus características propias y/o naturales de existencia y/o
funcionamiento, a la consecución y/o materialización del RLAFT.

La vulnerabilidad de cada uno de los factores de riesgo que intervienen en el

SARLAFT se calcula incorporando los siguientes parámetros:

i. Vulnerabilidad del Factor de Riesgo Producto (Actividad, Línea de Negocio,

Unidad de Negocio o Proceso)

Esta vulnerabilidad es entendida como la posibilidad de que dicho producto sea

propenso a la consecución y/o materialización del RLAFT por sus características
propias y/o naturales de constitución y funcionamiento, e independientemente de
la entidad vigilada que lo desarrolle y de las características de los factores de
riesgo que la adquieran y/o la operen.

La Delegatura para Riesgo de Lavado de Activos y Financiación del Terrorismo

realiza una valoración de la Vulnerabilidad de cada uno de los productos
(actividades, líneas de negocio, unidades de negocio o procesos) de las diferentes
entidades del sector financiero, de acuerdo con las características naturales de su
operación.

33
El resumen ejecutivo de la Evaluación Nacional del Riesgo de LA/FT(ENR2016) puede ser consultado
en el siguiente enlace: https://www.uiaf.gov.co/index.php?idcategoria=28817
 Página No. 26

Dicha valoración se obtiene a partir de un análisis y tabulación cualitativa de

variables que indican la existencia o no de la vulnerabilidad expresa en cada una
de las actividades (recomendaciones del GAFI, tipologías de LA/FT, experiencia
del supervisor, quejas, consultas, informes de otras Delegaturas, entre otros.).Para
tal fin se aplica el método Delphi, una técnica sistemática y estructurada de
calificación, que se basa en opiniones fundamentadas en un panel de expertos
dirigido.

ii. Vulnerabilidad del Factor de Riesgo Clientes (Actividad Económica /

Ocupación)

Esta vulnerabilidad representa la posibilidad de que dicha actividad u ocupación

del cliente, se vea propensa a la consecución o materialización del RLAFT, bien
sea por sus características propias y/o naturales de existencia, o por sus
condiciones y límites de operación en el país.

iii. Vulnerabilidad del Factor de Riesgo Jurisdicción (Nacional

(Departamentos) / Internacional)

Esta vulnerabilidad hace referencia a la posibilidad de que una jurisdicción (a nivel

nacional o internacional) se vea propensa a la consecución y/o materialización de
RLAFT, por sus características propias y/o naturales de ubicación y sus
estadísticas de materialización de delitos fuentes del LA/FT. El cálculo de esta
vulnerabilidad permite la construcción de mapas geográficos de riesgo.

iv. Vulnerabilidad del Factor de Riesgo Canales de Distribución

Esta vulnerabilidad se refiere a la posibilidad de que un canal de vinculación de

clientes y/o vehículo transaccional de los productos, se vea propenso a la
consecución y/o materialización del RLAFT, por sus características propias y/o
naturales de constitución, operación y funcionamiento e independientemente de la
entidad vigilada que los implemente.

2) Funciones de Supervisión

Como se mencionó anteriormente, la metodología del MIS enfatiza en la

evaluación de la estructura de gobierno del Riesgo LA/FT. En el caso del
SARLAFT se incorporan las cinco (5) funciones de supervisión que aparecen a
continuación34:

i. Auditoría Interna del Riesgo LA/FT:

Hace referencia a la evaluación de la efectividad y adherencia de los
controles operativos y organizacionales implementados para administrar el
Riesgo LA/FT, a partir de los reportes tanto a la Alta Gerencia como a la
Junta Directiva u órgano que haga sus veces.
34
Las siete funciones de supervisión son: análisis financiero, cumplimiento, gestión de riesgos, función actuarial,
auditoría interna, alta gerencia y junta directiva.
 Página No. 27

ii. Gestión del Riesgo LA/FT:

Corresponde al diseño e implementación del SARLAFT y/o de las
disposiciones establecidas en los artículos 102 a 107 del EOSF, según
corresponda. En esta función se evalúa la gestión del Oficial de
Cumplimiento como administrador del riesgo y/o del Funcionario
Responsable.

iii. Cumplimiento
Se refiere al establecimiento de políticas y procedimientos para administrar
el Riesgo LA/FT, independiente de los requisitos exigidos en la regulación
aplicable, de acuerdo con las jurisdicciones donde opera la entidad vigilada.
También incluye los reportes a la Junta Directiva u órgano que haga sus
veces sobre la materia.

iv. Alta Gerencia

Alude a la instancia responsable de direccionar y supervisar la gestión
efectiva del Riesgo LA/FT frente a los factores de riesgo de la entidad
vigilada, para de esta forma mantener informada a la Junta Directiva u
órgano que haga sus veces.

v. Junta Directiva u Órgano que haga sus veces

Hace referencia a la función del máximo órgano de administración de la
entidad, en el sentido de direccionar y apoyar la gestión del Riesgo LA/FT al
que se encuentran expuestas las Instituciones Financieras objeto de
supervisión por parte de la SFC.
Gráfica 4. Funciones de Supervisión Riesgo LA/FT.

Fuente: Superintendencia Financiera de Colombia

 Página No. 28

La aplicación de procedimientos de supervisión “In Situ” y “Extra Situ”, permite

valorar cada una de las funciones de control de acuerdo con lo establecido en el
Capítulo IV, Titulo IV, Parte I de la Circular Básica Jurídica 35 haciendo énfasis en
los siguientes 5 aspectos:

i. Conocimiento del Cliente

Corresponde a la implementación de procedimientos encaminados a
obtener un efectivo, eficiente y oportuno conocimiento de los clientes
actuales y potenciales, así como la verificación y confirmación de la
información recolectada y los soportes de la misma.

ii. Segmentación de los Factores de riesgo

Alude al proceso por el cual se separan los elementos fundamentados en el
reconocimiento de las variables de segmentación o diferencias significativas
en las características. En otras palabras, para detectar las operaciones
inusuales, se determinan los parámetros usuales de las transacciones
desarrolladas y se comparan con aquellas que los clientes realizan.

iii. Señales de Alerta

Teniendo en cuenta el concepto y finalidad de la segmentación de los
factores de riesgo, las señales de alerta hacen referencia a los hechos,
situaciones, eventos, cuantías, indicadores cuantitativos y cualitativos,
razones financieras y demás información que la entidad determine como
relevante, para inferir de forma oportuna y/o prospectiva la posible
existencia de un hecho o situación que escapa a lo que la entidad, en
desarrollo de su gestión del Riesgo LA/FT, cataloga como normal.

iv. Identificación, Análisis de Operaciones Inusuales y Reporte de Operaciones

Sospechosas
Atendiendo el concepto de señales de alerta, este aspecto alude a las
metodologías implementadas por las Instituciones Financieras con el fin de
analizar e identificar las posibles operaciones inusuales de sus clientes, es
decir, aquellas que no guardan relación con su actividad económica, o en
su defecto, se salen de los parámetros de normalidad fijados por la entidad.
En otras palabras, todas aquellas operaciones respecto de las cuales la
entidad no ha encontrado explicación o justificación razonable. De igual
forma, contempla el respectivo reporte de operación sospechosa a las
autoridades competentes, en este caso a la UIAF.

v. Matriz de Riesgo – Etapas SARLAFT

Este aspecto corresponde al diseño e implementación de las etapas
(Identificación, medición, control y monitoreo) que componen el SARLAFT;
así como la matriz que consolida los resultados obtenidos en cada una de
ellas. Su utilidad radica en que permite el control y monitoreo permanente
del sistema.

35
Instrucciones relativas a la Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo.
 Página No. 29

VII. Hacia Donde Vamos

Sin perjuicio de la operación del SARLAFT 36 en las entidades financieras y del

cubrimiento de las actividades de supervisión, la SFC continúa buscando
elementos y actualizando mecanismos que permitan mejorar en el alcance de sus
objetivos misionales.

Los sistemas financieros en el mundo están experimentando grandes cambios en

diferentes ámbitos como la regulación, los modelos de negocio (innovación
financiera), el uso de la tecnología, el cambio en las tendencias demográficas y de
la conducta del consumidor, así como en su tamaño y complejidad (expansión). Si
bien estos aspectos aplican a la gestión de todos los riesgos asociados al ejercicio
de la actividad financiera, aseguradora, previsional y del mercado de valores en el
caso particular del Riesgo de LA/FT, exigen el fortalecimiento de los mecanismos
para gestionarlo.

Es así, como las necesidades de adaptación al nuevo entorno, implican que a

mayor complejidad y tamaño de las diferentes entidades del sistema financiero
colombiano, mayor exposición al riesgo de LA/FT en más jurisdicciones, no sólo
nacionales sino internacionales37, aspecto que está siendo analizado por parte de
esta Superintendencia.

Especial atención merece la aparición de las denominadas “Fintech”, las cuales

representan la proliferación de nuevas soluciones tecnológicas a la medida de las
necesidades financieras de los clientes. Alternativas como el Crowdfounding, el
Crowdlending y los préstamos persona a persona P2P, el uso de las redes
sociales, entre otros, que surgen como alternativas viables de financiación
individual o colectiva, implican que los procedimientos de conocimiento del cliente
aplicados por las entidades evolucionen paralelamente para identificar las nuevas
tipologías de LA/FT que puedan surgir en el mercado. El llamado de la SFC es a
actualizar los mecanismos empleados sin descuidar los riesgos y sin llegar a
interpretaciones de flexibilización.

Otro de los fenómenos a tener en cuenta es el llamado “De-Risking” al interior de

las entidades financieras del mundo, que consiste en la reducción significativa de
productos y/o líneas de negocio y por ende de clientes, con el fin de evitar el
riesgo regulatorio (compliance) y evadir la administración de algunos riesgos. Si

36
El SARLAFT que implementen las entidades vigiladas en desarrollo de lo dispuesto en el Capítulo IV, Título IV,
Parte I de la Circular Básica Jurídica, debe atender a la naturaleza, objeto social y demás características particulares de
cada una de ellas.
37
La SFC forma parte de manera conjunta con los supervisores de Panamá, Costa Rica, Honduras, Guatemala, El
Salvador, Nicaragua y República Dominicana, del Consejo Centroamericano de Supervisores de Bancos, Seguros y Otras
Instituciones Financieras CCSBSO, y en la actualidad lidera el Comité de Prevención de LA/FT, cuyo propósito fundamental
es establecer una metodología de medición regional del Riesgo LA/FT.
 Página No. 30

bien esta tendencia aún no se percibe en Colombia, dada la mayor interconexión

producto de los procesos de expansión, debe ser un elemento de análisis para las
entidades financieras en el diseño de políticas y procedimientos en materia de
LA/FT.

El “De-Risking” tiene como efecto no deseado la aparición y desarrollo de la

actividad financiera sin regulación y/o supervisión, fenómeno denominado Banca
en la Sombra o “Shadowbanking”. El desarrollo del negocio bancario no regulado
afectaría notablemente la confianza en el sistema financiero colombiano.

Finalmente, la SFC está atenta al desarrollo de la implementación del acuerdo de

paz firmado con las Fuerzas Armadas Revolucionarias de Colombia FARC-EP, así
como los avances de otros procesos de reconciliación social (Ejército de
Liberación Nacional ELN), con el firme propósito de hacer los ajustes necesarios a
la normatividad vigente e impartir las instrucciones que correspondan a la inclusión
financiera.

*Fin del Documento*