Modificación de los numerales 5.1.2., 5.1.4.3.1., 5.1.4.5., 5.1.4.8., 5.3.2., 7.1. y 7.2. de la Circular Externa No. 100-000016 del 24 de diciembre de 2020.
Circular Externa Nº 100-000004
09-04-2021
Superintendencia de Sociedades
Señores:
Representantes legales, Contadores, Revisores Fiscales y Liquidadores de sociedades comerciales, sucursales de sociedades extranjeras y empresas unipersonales.
Referencia: Modificación de los numerales 5.1.2., 5.1.4.3.1., 5.1.4.5., 5.1.4.8., 5.3.2., 7.1. y 7.2. de la Circular Externa No. 100-000016 del 24 de diciembre de 2020.
Con fundamento en las facultades legales que le corresponden a la Superintendencia de Sociedades y, en especial en las previstas en el numeral 34 del artículo 8° del Decreto 1736 de 2020, en virtud del presente acto administrativo, se modifican los numerales 5.1.2., 5.1.4.3.1., 5.1.4.5., 5.1.4.8., 5.3.2, 7.1. y 7.2. del Anexo 1 de la Circular Externa No. 100-000016 del 24 de diciembre de 2020, así:
5.1.2. Auditoría y cumplimiento del SAGRILAFT
Con el fin de que en la Empresa Obligada haya una persona responsable de la auditoría y verificación del cumplimiento del SAGRILAFT, se deberá designar un Oficial de Cumplimiento.
Para evitar la suspensión de actividades del Oficial de Cumplimiento principal, la Empresa Obligada deberá evaluar y, si es del caso, realizar la designación de un Oficial de Cumplimiento suplente.
La junta directiva deberá realizar esa designación. En el evento de que no exista junta directiva, el representante legal propondrá la persona que ocupará la función de Oficial de Cumplimiento, para la designación por parte del máximo órgano social.
Cuando la Empresa Obligada sea una sucursal de sociedad extranjera, el nombramiento del Oficial de Cumplimiento deberá efectuarse por el órgano social competente de la casa matriz, al tiempo que, los reportes deberán realizarse por el Oficial de Cumplimiento designado a tal órgano social.
La Empresa Obligada deberá certificar que el Oficial de Cumplimiento cumple con los requisitos exigidos en el presente Capítulo X y deberá informar por escrito a la Superintendencia de Sociedades, dirigido a la Delegatura de Asuntos Económicos y Societarios, dentro de los quince (15) días hábiles siguientes a la designación, el nombre, número de identificación, correo electrónico y número de teléfono del Oficial de Cumplimiento principal y suplente (cuando sea procedente), o conforme a las instrucciones específicas que determine la Superintendencia de Sociedades.
Con la certificación señalada en el párrafo anterior, deberá remitir la hoja de vida del Oficial de Cumplimiento, una copia del documento que dé cuenta del registro del Oficial de Cumplimiento ante el SIREL administrado por la UIAF y una copia del extracto del acta de la junta directiva o máximo órgano social en la que conste su designación.
El mismo procedimiento deberá efectuarse cuando ocurra el cambio de Oficial de Cumplimiento.
El Oficial de Cumplimiento deberá tener un título profesional y acreditar experiencia mínima de seis (6) meses en el desempeño de cargos similares o encaminados a la administración y gestión de riesgos de LA/FT, adicionalmente, acreditar conocimiento en materia de administración del Riesgo LA/FT o Riesgo LA/FT/FPADM a través de especialización, cursos, diplomados, seminarios, congresos o cualquier otra similar, incluyendo pero sin limitarse a cualquier programa de entrenamiento que sea o vaya a ser ofrecido por la UIAF a los actores del sistema nacional de anti lavado de activos y contra la financiación del terrorismo.
La Empresa Obligada, su representante legal y la junta directiva, en los que casos en que exista este órgano, deberán disponer de las medidas operativas, económicas, físicas, tecnológicas y de recursos, que sean necesarios para la puesta en marcha del SAGRILAFT y el desarrollo adecuado de las labores de auditoría y cumplimiento del mismo. El SAGRILAFT debe incluir las sanciones o consecuencias para empleados, administradores, asociados o terceros, por el incumplimiento o inobservancia de sus disposiciones.
5.1.4.3.1. Requisitos mínimos para ser designado como Oficial de Cumplimiento
La persona natural designada como Oficial de Cumplimiento debe cumplir como mínimo con los siguientes requisitos:
a. Gozar de la capacidad de tomar decisiones para gestionar el Riesgo LA/FT/FPADM y tener comunicación directa con, y depender directamente de, la junta directiva o el máximo órgano social en caso de que no exista junta directiva.
b. Contar con conocimientos suficientes en materia de administración de riesgos y entender el giro ordinario de las actividades de la Empresa, de conformidad con lo establecido en el numeral 5.1.2. del presente Capítulo X.
c. Contar con el apoyo de un equipo de trabajo humano y técnico, de acuerdo con el Riesgo LA/FT/FPADM y el tamaño de la Empresa Obligada.
d. No pertenecer a la administración o a los órganos sociales, a la revisoría fiscal (fungir como revisor fiscal o estar vinculado a la empresa de revisoría fiscal que ejerce esta función, si es el caso), o fungir como auditor interno, o quien ejecute funciones similares o haga sus veces en la Empresa Obligada. No debe entenderse que dicha prohibición se extiende respecto de quienes apoyen las labores de los órganos de auditoria o control interno.
e. No fungir como Oficial de Cumplimiento en más de diez (10) Empresas Obligadas. Para fungir como Oficial de Cumplimiento de más de una Empresa Obligada, (i) el Oficial de Cumplimiento deberá certificar; y (ii) el órgano que designe al Oficial de Cumplimiento deberá verificar, que el Oficial de Cumplimiento no actúa como tal en Empresas que compiten entre sí.
f. Cuando el Oficial de Cumplimiento no se encuentre vinculado laboralmente a la Empresa Obligada, esta persona natural y la persona jurídica a la que esté vinculado, si es el caso, deberán demostrar que en sus actividades profesionales cumplen con las medidas mínimas establecidas en la sección 5.3.1. (Debida Diligencia) de este Capítulo X.
g. Cuando exista un grupo empresarial o una situación de control declarada, el Oficial de Cumplimiento de la matriz o controlante podrá ser la misma persona para todas las Empresas que conforman el grupo o conglomerado, independientemente del número de Empresas que lo conformen.
h. Estar domiciliado en Colombia.
5.1.4.5. Revisoría fiscal
Las funciones de este órgano se encuentran expresamente señaladas en la ley, en particular el artículo 207 del Código de Comercio, el cual señala, especialmente, la relacionada con la obligación de reporte a la UIAF de las Operaciones Sospechosas, cuando las adviertan dentro del giro ordinario de sus labores, conforme lo señala el numeral 10 de dicho artículo.
Para efectos de lo previsto en el numeral 10 del artículo 207 citado, el revisor fiscal debe solicitar usuario y contraseña en el SIREL administrado por la UIAF, para el envío de los ROS.
En todo caso, el revisor fiscal, a pesar de la obligación de guardar la reserva profesional en todo aquello que conozca en razón del ejercicio de su profesión, en virtud de la responsabilidad inherente a sus funciones y conforme a los casos en que dicha reserva pueda ser levantada, tiene el deber de revelar información cuando así lo exija la ley. Así, por ejemplo, cuando en el curso de su trabajo un revisor fiscal descubre información que lleva a la sospecha de posibles actos de LA/FT/FPADM, tiene la obligación de remitir estas sospechas a la autoridad competente.
Igualmente, se debe tener en cuenta que los revisores fiscales se encuentran cobijados por el deber general de denuncia al que están sujetos los ciudadanos (artículo 67 CPP)[13].
A su turno, el artículo 32 de la Ley 1778 de 2016[14], le impone a los revisores fiscales, el deber de denunciar ante las autoridades penales, disciplinarias y administrativas, la presunta realización de un delito contra el orden económico y social, como el de LA/FT, que detecte en el ejercicio de su cargo, aún, a pesar del secreto profesional. También deberán poner estos hechos en conocimiento de los órganos sociales y de la administración de la sociedad. Las denuncias correspondientes deberán presentarse dentro de los seis (6) meses siguientes al momento en que el revisor fiscal hubiere tenido conocimiento de los hechos[15].
Para cumplir con su deber, el revisor fiscal, en el análisis de información contable y financiera, debe prestar atención a los indicadores que pueden dar lugar a sospecha de un acto relacionado con un posible LA/FT/FPADM. Se sugiere tener en cuenta las Normas Internacionales de Auditoria NIA 200, 240 y 250 y consultar la Guía sobre el papel de la revisoría fiscal en la lucha contra el soborno transnacional y LA/FT, disponible en el sitio de Internet de la Superintendencia.
5.1.4.8. Incompatibilidades e inhabilidades de los diferentes órganos
En el establecimiento de los órganos e instancias encargadas de efectuar una evaluación del cumplimiento y efectividad del SAGRILAFT, la Empresa Obligada deberá tener en cuenta los conflictos de interés, las incompatibilidades y las inhabilidades de los responsables en el desempeño de sus funciones. En ese sentido, debido a la diferencia de las funciones que corresponden al revisor fiscal, auditor interno, al administrador y al Oficial de Cumplimiento, no se deberá designar al revisor fiscal, auditor interno o administrador como Oficial de Cumplimiento[16].
5.3.2. Debida Diligencia Intensificada
El proceso de Debida Diligencia Intensificada implica un conocimiento avanzando de la Contraparte y su Beneficiario Final, así como del origen de los Activos que se reciben, que incluye actividades adicionales a las llevadas a cabo en la Debida Diligencia.
Estos procedimientos deben: (A) aplicarse a aquellas Contrapartes y sus Beneficiarios Finales que (i) la Empresa Obligada considere que representan un mayor riesgo; (ii) sean identificadas como PEP; y (iii) se encuentren ubicadas en países no cooperantes y jurisdicciones de alto riesgo; y (B) ser aplicados por todas las Empresas Obligadas que desarrollen actividades con Activos Virtuales, establecidas en los numerales 4.2.6. y 4.2.8., sobre las Contrapartes de estas operaciones, los Activos Virtuales y sus intermediarios.
Respecto de los procesos para el conocimiento de PEP, estos implican una Debida Diligencia Intensificada, pues deben ser más estrictos y exigir mayores controles. El SAGRILAFT debe contener mecanismos y establecer las Medidas Razonables que permitan identificar que una Contraparte o su Beneficiario Final detentan la calidad de PEP. La Debida Diligencia Intensificada a los PEP se extenderán a (i) los cónyuges o compañeros permanentes del PEP; (ii) los familiares de las PEP, hasta el segundo grado de consanguinidad, segundo de afinidad y primero civil; (iii) los asociados de un PEP, cuando el PEP sea socio de, o esté asociado a, una persona jurídica y, además, sea propietario directa o indirectamente de una participación superior al 5% de la persona jurídica, o ejerza el control de la persona jurídica, en los términos del artículo 261 del Código de Comercio.
Además de las medidas comunes de procedimiento de conocimiento de la Contraparte, las Empresas Obligadas en el proceso de Debida Diligencia Intensificada deben: (i) obtener la aprobación de la instancia o empleado de jerarquía superior para la vinculación o para continuar con la relación contractual; (ii) adoptar Medidas Razonables para establecer el origen de los recursos; y (iii) realizar un monitoreo continúo e intensificado de la relación contractual.
Las Empresas Obligadas deben revisar permanentemente los países de mayor riesgo contenidos en los listados de GAFI de países no cooperantes y jurisdicciones de alto riesgo[17]. En caso de que se identifique que se realizan negocios con Contrapartes ubicadas en esos lugares, se deben aplicar las medidas de Debida Diligencia Intensificada contenidas en el párrafo anterior, así como otras Medidas Razonables.
Asimismo, las Empresas Obligadas señaladas en los numerales 4.2.6. y 4.2.8., deberán realizar una Debida Diligencia Intensificada a las actividades con Activos Virtuales con el objeto de identificar si las Contrapartes en estas operaciones y los Activos Virtuales per se representan un Riesgo LA/FT/FPADM, conforme a las señales de alerta establecidas por GAFI en el documento denominado “Indicadores de Riesgo LA/FT sobre Activos Virtuales”[18].
7.1. Plazo para el cumplimiento del Régimen de Autocontrol y Gestión del Riesgo Integral LA/FT/FPADM
Las Empresas que adquieran la calidad de Empresas Obligadas al SAGRILAFT o al Régimen de Medidas Mínimas a partir del 31 de diciembre de cualquier año, deberán poner en marcha el SAGRILAFT o el Régimen de Medidas Mínimas, respectivamente, a más tardar el 31 de mayo del año siguiente al que adquirieron la calidad de Empresas Obligadas.
Para el año 2021, las Empresas que adquieran la calidad de Empresas Obligadas al SAGRILAFT o al Régimen de Medidas Mínimas con corte al 31 de diciembre de 2020, deberán poner en marcha el SAGRILAFT o el Régimen de Medidas Mínimas, respectivamente, a más tardar el 31 de agosto del 2021.
En el caso de que, al 31 de diciembre de cualquier año, una Empresa Obligada dejare de cumplir con los requisitos previstos en este Capítulo X, tal Empresa Obligada deberá cumplir con un período mínimo de permanencia adicional de: (i) tres (3) años a partir de dicha fecha, para el SAGRILAFT; y (ii) un (1) año a partir de dicha fecha, para el Régimen de Medidas Mínimas, de modo que seguirá estando obligada en los términos del presente Capítulo X, por tal período.
7.2. Período de Transición para el Régimen de Autocontrol y Gestión del Riesgo Integral LA/FT/FPADM
Las Empresas que a la fecha de expedición de la presente Circular se encuentren obligadas conforme a lo dispuesto por la Circular No. 100-000005 de 2017, deberán revisar y ajustar su Política LA/FT y SAGRLAFT a lo dispuesto en este Capítulo X a más tardar el 31 de agosto de 2021.
Esta Circular Externa, rige a partir de la fecha de su publicación.
PUBLÍQUESE, COMUNÍQUESE Y CÚMPLASE,
JUAN PABLO LIÉVANO VEGALARA
Superintendente de Sociedades
[13] Artículo 67. Deber de denunciar. Toda persona debe denunciar a la autoridad los delitos de cuya comisión tenga conocimiento y que deban investigarse de oficio.
[15] Artículo 7o. Responsabilidad de los revisores fiscales. Adiciónese un numeral 5 al artículo 26 de la Ley 43 de 1990, el cual quedará así:
(…)
5. Los revisores fiscales tendrán la obligación de denunciar ante las autoridades penales, disciplinarias y administrativas, los actos de corrupción, así como la presunta realización de un delito contra la administración pública, un delito contra el orden económico y social, o un delito contra el patrimonio económico que hubiere detectado en el ejercicio de su cargo. También deberán poner estos hechos en conocimiento de los órganos sociales y de la administración de la sociedad. Las denuncias correspondientes deberán presentarse dentro de los seis (6) meses siguientes al momento en que el revisor fiscal hubiere tenido conocimiento de los hechos. Para los efectos de este artículo, no será aplicable el régimen de secreto profesional que ampara a los revisores fiscales”
[17] Los países o jurisdicciones de alto riesgo según la definición de GAFI se encuentran publicados en el siguiente enlace:https://www.uiaf.gov.co/asuntos_internacionales/lista_paises_no_cooperantes_29282
[18] https://www.uiaf.gov.co/asuntos_internacionales/documentos_interes/documento_gafi_indicadores_riesgo_30593
Publicada en D.O. 51.643 del 12 de abril de 2021.