Superintendencia Financiera de Colombia

ADMINISTRACIÓN DEL
RIESGO DE LAVADO DE
ACTIVOS, FINANCIACIÓN
DEL TERRORISMO Y DE LA
PROLIFERACIÓN DE
ARMAS DE DESTRUCCIÓN
MASIVA EN EL SISTEMA
FINANCIERO COLOMBIANO

Mayo de 2017
 Página No. 1

La información contenida en el presente documento, se remite al descargo de

responsabilidad “Disclaimer” y condiciones de uso previstas para la totalidad de la
información publicada en la página de internet de la SFC.
 Página No. 2

_____________________

Contenido
ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL
TERRORISMO (LAFT) EN EL SECTOR FINANCIERO COLOMBIANO

I. Glosario – Abreviaturas ........................................................................................................ 3

II. Introducción............................................................................................................................. 4
III. Marco Institucional ............................................................................................................ 6
IV. Evolución Normativa ....................................................................................................... 12
V. El SARLAFT ........................................................................................................................... 17
VI. ¿Cómo Hacemos la Supervisión? ............................................................................... 23
VII. Hacia Donde Vamos ........................................................................................................ 29
 Página No. 3

I. Glosario – Abreviaturas

Para garantizar un mejor entendimiento del contenido de este documento, la tabla

que se presenta a continuación detalla la relación de abreviaturas y palabras clave
junto con su respectivo significado.

Abreviatura / Término Definición

ALA Antilavado de Activos

Asociación Bancaria y de Entidades
ASOBANCARIA
Financieras de Colombia
BCBS Comité de Supervisión Bancaria de Basilea
Comisión de Coordinación Interinstitucional
CCICLA
para el Control del Lavado de Activos
CFT Contra la Financiación del Terrorismo
Comisión Interamericana para el Control del
CICAD
Abuso de Drogas

Consejo Nacional de Política Económica y

CONPES
Social

Contra la Proliferación de Armas de

CPADM
Destrucción Masiva

CTI Cuerpo Técnico de Investigación

DIAN Dirección de Impuestos y Aduanas Nacionales

EOSF Estatuto Orgánico del Sistema Financiero

FT Financiación del Terrorismo
GAFI Grupo de Acción Financiera Internacional

Grupo de Acción Financiera Internacional

GAFILAT
Latinoamericano
GAFIC Grupo de Acción Financiera del Caribe
LA Lavado de Activos
MIS Marco Integral de Supervisión
OEA Organización de los Estados Americanos
 Página No. 4

Abreviatura / Término Definición

Office of Foreign Assets Control - Oficina de
OFAC Control de Activos Extranjeros de Estados
Unidos
PADM Proliferación de Armas de Destrucción Masiva
Sistema de Administración de Riesgo de
SARLAFT Lavado de Activos y de la Financiación del
Terrorismo
SFC Superintendencia Financiera de Colombia
Sistema Integral de Prevención y Control de
SIPLA
Lavado de Activos
Sistema Antilavado de Activos, Contra la
Sistema ALA/CFT/CPADM Financiación del Terrorismo y Contra la
Proliferación de Armas de Destrucción Masiva
UIAF Unidad de Información y Análisis Financiero

II. Introducción

El lavado de activos, la financiación del terrorismo y de la proliferación de armas de

destrucción masiva son fenómenos que afectan a escala global. La utilización,
deliberada o no, del sistema financiero en actividades delictivas motivó al Comité de
Supervisión Bancaria de Basilea (BCBS) en 19881 a promover la aplicación de
políticas y procedimientos de prevención del lavado de activos (LA) y contra la
financiación del terrorismo (CFT). Desde entonces, evitar la utilización abusiva de
los servicios financieros constituye uno de los Principios Básicos para la Supervisión
Bancaria eficaz.2

El BCBS además contribuyó a la revisión de las normas internacionales expedidas

por el Grupo de Acción Financiera Internacional (GAFI) para combatir el LA, la FT y
la PADM publicadas en febrero de 20123. Tanto los principios básicos de Basilea
como las normas del GAFI son complementarios. Es decir, la sólida gestión del
riesgo de LA/FT está en consonancia con el propósito de afianzar la estabilidad
financiera global, al proteger la reputación de las entidades del sistema y disuadir la
utilización del sector como un canal para blanquear fondos provenientes de

1 BCBS (1988) Prevention of criminal use of the Banking System for the purpose of money-laundering. Disponible en
www.bis.org/publ/bcbsc137.pdf

2 Principio número 29. Dicho principio dispone la verificación de los controles establecidos por los bancos en materia
de prevención del blanqueo de capitales y financiación del terrorismo. El supervisor verifica que los bancos cuentan con
políticas y procesos adecuados para impedir que el banco sea utilizado, intencionalmente o no, con fines delictivos. Para el
Comité de Basilea, la evaluación de este principio supone cierto grado de duplicidad con el proceso de evaluación recíproca
del GAFI. Sin embargo, para solucionar esto, una vez el GAFI ha evaluado un país los evaluadores del BIS confiarán en dicha
evaluación y sólo conducirán su propia evaluación, cuando el país carezca de una evaluación del GAFI.
3 GAFI (2012) International Standards on Combating Money Laundering and the Financing of Terrorism and
Proliferation
 Página No. 5

actividades ilícitas o movilizar recursos para financiar el terrorismo y la proliferación

de armas de destrucción masiva.

A lo largo de este documento se describe la forma cómo el Estado colombiano ha

abordado la prevención del LA, la FT y la PADM, dentro del sector financiero y el rol
de la Superintendencia Financiera de Colombia (SFC) en la supervisión de dichos
riesgos. Para tal fin, el presente documento se ha dividido en cinco (5) secciones.
La primera presenta el marco institucional dispuesto para la administración del
riesgo de LA/FT y la PADM.

La segunda analiza la evolución normativa que ha tenido el Sistema

ALA/CFT/PDAM Colombiano que respalda la intervención sobre las actividades de
las entidades financieras con el fin de prevenir y controlar la utilización del sector
para lavar activos provenientes de actividades delictivas o canalizar recursos hacia
la financiación de actividades terroristas.

En tercer lugar, se identifica el universo de entidades objeto de supervisión de esta

Superintendencia en aspectos relativos a la prevención y control del riesgo LA/FT.
También, se describe el Sistema de Administración de Riesgo de Lavado de Activos
y de la Financiación del Terrorismo, SARLAFT, como el estándar normativo mínimo
que deben adoptar las entidades del sector financiero colombiano, al tiempo que se
precisan las entidades exceptuadas de la aplicación de las instrucciones
mencionadas. Dicha excepción reside en la baja exposición al Riesgo LA/FT al que
se encuentran expuestas algunas entidades, en atención a su objeto social que
desarrollan, su tamaño y el tipo de operaciones autorizadas, sin embargo, y a pesar
de lo anterior, deben acatar los mecanismos, procedimientos y reglas de conducta
en materia de prevención de LA/FT de acuerdo con lo estipulado en los artículos
102 a 107 del Estatuto Orgánico del Sistema Financiero4 (EOSF), incluyendo dentro
de ellos, la designación de un funcionario responsable de verificar el adecuado
cumplimiento de los mismos.

Adicionalmente, se expone la forma cómo esta Superintendencia lleva a cabo la

supervisión basada en riesgos sobre sus entidades vigiladas, y el papel del Marco
Integral de Supervisión (MIS) en la identificación, medición, control y monitoreo de
los riesgos de LA/FT/PADM a los que se encuentra expuesto el sector, así como la

4
Puede consultarse en
www.superfinanciera.gov.co/Normativa/Normativa_General/Estatuto_Orgánico_del_Sistema_Financiero (Decreto Ley 663
de 1993).
Aproximadamente son 247 entidades que están obligadas a adoptar el SARLAFT y 173 obligadas a atender el EOSF. Las
siguientes entidades vigiladas, por la naturaleza y bajo riesgo que ostentan no tienen obligación de adoptar el SARLAFT, de
acuerdo con lo dispuesto en el numeral 2°. Del Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica de la SFC, pero
deben cumplir con lo establecido en el artículo 102 a 107 del EOSF en lo que les resulte pertinente: Fondo de Garantías de
Instituciones Financieras - FOGAFIN, Fondo de Garantías de Entidades Cooperativas - FOGACOOP, Fondo Nacional de
Garantías - FNG, los fondos mutuos de inversión sometidos a vigilancia permanente de la SFC, las sociedades calificadoras
de valores y/o riesgo, las oficinas de representación de instituciones financieras y de reaseguros del exterior, los intermediarios
de reaseguros, las oficinas de representación de instituciones del mercado de valores del exterior, los organismos de
autorregulación y los proveedores de infraestructura, con excepción de los almacenes generales de depósito y los
administradores de sistemas de pago de bajo valor y finalmente, con algunas excepciones, las entidades administradoras del
régimen de prima media con prestación definida.
 Página No. 6

efectividad de los mecanismos de administración del riesgo implementados por

cada una de las entidades.

En la última sección se expone un análisis de los retos que supone la introducción

de nuevos estándares de supervisión y la aparición de las más recientes
tecnologías.

III. Marco Institucional

En Colombia, el marco institucional para la prevención de riesgos de LA/FT/PADM
supone la coordinación entre diversos actores del Gobierno Nacional. Cada entidad
tiene a su cargo funciones específicas a nivel de la formulación y coordinación de la
política ALA/CFT/CPADM, la prevención, detección y análisis, la investigación y
juzgamiento, la comercialización de los bienes producto de las acciones de extinción
de dominio y la expedición de normas y sanciones de las entidades vigiladas y/o los
sujetos obligados. (Ver Gráfica 1).

Gráfica 1. Marco Institucional del Sistema ALA/CFT/CPADM

Fuente: Superintendencia Financiera de Colombia (mayo de 2017).

El Ministerio de Justicia y del Derecho, es la autoridad que tiene a su cargo la

formulación, adopción, promoción y coordinación de las políticas y estrategias en la
lucha contra las drogas ilícitas, el LA, el enriquecimiento ilícito, la administración de
bienes incautados y las acciones de extinción de dominio.
 Página No. 7

La coordinación entre los diferentes actores gubernamentales del sistema

ALA/CFT/CPADM supuso la creación de la Comisión de Coordinación
Interinstitucional para el Control del Lavado de Activos - CCICLA, un organismo
consultivo de carácter permanente, adscrito al Ministerio de Justicia y del Derecho,
cuyo propósito es formular la política nacional contra el LA y el enriquecimiento
ilícito.

La Comisión fue creada mediante el Decreto 950 de 1995 y modificada mediante

los Decretos 754 de 1996, 2000 de 2003 y 3420 de 2004 en cuanto a su composición
y sus funciones, y en ella tienen asiento como miembros, las siguientes entidades
del Estado:

 El Ministro de Justicia y del Derecho o el Viceministro de Política Criminal y

Justicia Restaurativa, quien la preside.
 El Ministro de Hacienda y Crédito Público o su delegado, quien deberá ser un
 Viceministro.
 El Ministro de Defensa Nacional o su delegado, quien deberá ser un
Viceministro.
 El Fiscal General de la Nación o su delegado quien deberá ser el Vicefiscal
General de la Nación.
 El Director General de la Unidad Administrativa Especial de Información
Financiera (UIAF) o su delegado, quien deberá ser Subdirector y quien ejercerá
la Secretaría Técnica de la CCICLA.
 Como miembro no permanente asiste el Vicepresidente de la República y
cuando él esté presente, preside la sesión.

Para su funcionamiento, la CCICLA cuenta con los siguientes cuatro comités

operativos, atendiendo la Recomendación 2 del GAFI en lo referente a la
coordinación nacional.

1. Comité Operativo de Cultura Antilavado,

2. Comité Operativo para la Prevención y Detección,
3. Comité Operativo para la Investigación y Juzgamiento,
4. Comité Interinstitucional para Prevenir y Luchar contra el Terrorismo, Su
Financiación y Delitos Conexos

La SFC es miembro permanente del Comité Operativo para la Prevención y

Detección y eventualmente participa en el Comité Interinstitucional para Prevenir y
Luchar contra el Terrorismo, Su Financiación y Delitos Conexos.

La UIAF5, es el organismo encargado de realizar la inteligencia financiera, tiene

como objetivo la detección, prevención y lucha contra el LA en todas las actividades

5 Teniendo en cuenta lo dispuesto en la recomendación 29 del GAFI (anterior recomendación 26), se expidió la Ley
526 de 1999 con la cual se creó la Unidad de Información y Análisis Financiero (UIAF), como una Unidad Administrativa
Especial adscrita al Ministerio de Hacienda y Crédito Público.
 Página No. 8

económicas. Para tal fin centraliza, sistematiza y analiza la información recaudada

en desarrollo de lo previsto en los artículos 102 a 107 del EOSF y sus normas
remisorias, así como en las disposiciones tributarias, aduaneras y demás
información que conozcan las entidades del Estado o privadas y sus revisores
fiscales que puedan resultar vinculadas con operaciones de LA/FT/FPADM.
Adicionalmente, es responsabilidad de la UIAF comunicar a las autoridades
competentes, cualquier información pertinente dentro del marco de la lucha integral
de estos riesgos, de conformidad con la Ley 526 de 1999, modificada por la Ley
1121 de 2006.

Además de las anteriores entidades, el marco institucional para la prevención,

detección, investigación y juzgamiento de las conductas asociadas al LA/FT está
conformado, entre otros, por: la Dirección de Fiscalía Nacional Especializada
Antinarcóticos y Lavado de Activos de la Fiscalía General de la Nación, la
Coordinación de Control y Prevención de Lavado de Activos de la Dirección de
Impuestos y Aduanas Nacionales –DIAN, el Grupo Especial del Cuerpo Técnico de
Investigación –CTI de la Fiscalía General de la Nación, la Dirección de Investigación
Criminal e Interpol-DIJIN, las Superintendencias6, dentro de las cuales se encuentra
la Superintendencia Financiera de Colombia (SFC) y la Sociedad de Activos
Especiales (SAE).

En febrero de 2012, la CCICLA aprobó la Política Nacional ALA/CFT, la cual tiene

como propósito contar con un sistema único, coordinado, dinámico y efectivo para
la prevención, detección, investigación y juzgamiento de LA/FT. La medición de
impacto de esta política se traduce en la desarticulación de las finanzas de las
organizaciones al margen de la ley, un mayor número de sentencias condenatorias
y acciones de extinción de dominio.

En diciembre de 2013, el Consejo Nacional de Política Económica y Social

(Conpes), máxima autoridad nacional de planeación, aprobó el documento Conpes
3793 con la Política Nacional ALA/CFT derivado de la concertación de las 24
entidades públicas que a ese momento conformaban la CCICLA. Este instrumento
se convirtió en el antecedente para articular la fuerza pública y otras instituciones
del Estado con el fin de lograr una mayor efectividad en la prevención, detección,
investigación y juzgamiento del LA/FT.

6 En Colombia las Superintendencias, de acuerdo con lo señalado en el artículo 66 de la Ley 489 de 1998 “(…) son
organismos creados por la ley, con la autonomía administrativa y financiera que aquella les señale, sin personer ía jurídica,
que cumplen funciones de inspección y vigilancia atribuidas por la ley o mediante delegación que haga el Presidente de la
República previa autorización legal.” Además, existen las siguientes:
 Superintendencia de la Economía Solidaria
 Superintendencia de Industria y Comercio
 Superintendencia de Sociedades
 Superintendencia Nacional de Salud
 Superintendencia de Vigilancia y Seguridad Privada
 Superintendencia de Notariado y Registro
 Superintendencia de Servicios Públicos Domiciliarios
 Superintendencia de Puertos y Transporte
 Superintendencia de Subsidio Familiar
 Página No. 9

Bajo estos lineamientos, las entidades públicas que ejercen funciones de

supervisión, incluyendo la SFC7, deben apoyar las iniciativas y propuestas
formuladas en el plan de acción de la Política Nacional ALA/CFT a través de la
expedición de actos administrativos, que contienen directrices para que sus
vigilados y/o sujetos obligados adopten mecanismos de prevención y control de
tales conductas.

De conformidad con lo establecido en el numeral 24 del artículo 189 de la

Constitución Política de Colombia, en concordancia con lo establecido artículo
11.2.1.3.1 del Decreto 2555 de 2010 (Decreto Único – Sector Financiero,
Asegurador y Mercado de Valores), el Presidente de la República ejerce a través de
la SFC, la inspección, la vigilancia y el control sobre las personas que realizan la
actividad financiera, bursátil, aseguradora y cualquier otra relacionada con el
manejo, aprovechamiento o inversión de recursos captados del público.

Con la expedición del Decreto 1817 de 2015, el Superintendente Financiero, entre

otros, es nombrado por el Presidente de la República para el respectivo periodo
presidencial, previa invitación pública efectuada a través del portal de la Presidencia
de la República a quienes cumplan con los requisitos y condiciones para ocupar ese
cargo.

El sistema financiero colombiano está conformado por los Establecimientos de

crédito, las Sociedades de servicios financieros, las Sociedades de capitalización,
las Entidades aseguradoras y los Intermediarios de seguros y reaseguros; las
cuales, en su mayoría, se han agrupado mediante la figura de los conglomerados
financieros, haciendo presencia tanto en el ámbito nacional, como externo.

A su turno, a la SFC le corresponde vigilar las entidades relacionadas en el

parágrafo del artículo 75 de la Ley 964 de 2005, así como respecto de quienes
determine la ley o el Gobierno Nacional8.

Tiene la SFC como misión contemplada en su plan estratégico “Preservar la

confianza pública y la estabilidad del sistema financiero; mantener la integridad, la
eficiencia y la transparencia del mercado de valores y demás activos financieros; y
velar por el respeto a los derechos de los consumidores financieros y la debida
prestación del servicio”. A su vez, el Decreto 2555 de 2010 consagró las funciones
de la Delegatura para Riesgo de Lavado de Activos, correspondiéndole, entre otras,
supervisar que las entidades vigiladas den cumplimiento a las normas relacionadas
con la prevención y control de lavado de activos y de la financiación del terrorismo
y la administración del riesgo de LA/FT.

7
Con la expedición del Decreto 4327 de 2005, se dio paso a la fusión entre la entonces Superintendencia Bancaria
en la Superintendencia de Valores de Colombia, y se modificó su estructura, denominándose Superintendencia Financiera de
Colombia, creando dentro de su organigrama, la Delegatura para Riesgo de Lavado de Activos.
8
El listado general de las entidades vigiladas por la Superintendencia Financiera de Colombia, se puede consultar
en el siguiente enlace:
https://www.superfinanciera.gov.co/jsp/loader.jsf?lServicio=Publicaciones&lTipo=publicaciones&lFuncion=loadContenidoPub
licacion&id=61694
 Página No. 10

Recientemente, el Decreto 1848 de 2016, que entró a regir el 8 de febrero de 2017,

modificó la estructura de la SFC y fortaleció la composición de la hoy denominada
Delegatura para Riesgo de Lavado de Activos y Financiación del Terrorismo, al
crear en su interior una Dirección Legal de Prevención y Control de Lavado de
Activos y Financiación del Terrorismo, encargada de tramitar fundamentalmente el
desarrollo de las actuaciones administrativas sancionatorias.

La Delegatura para Riesgo de Lavado de Activos y Financiación del Terrorismo es

parte fundamental del andamiaje misional de la SFC, en el cual interviene
activamente, entre otros, a través de los procesos de autorizaciones, consultas,
seguimiento y las demás que son asignadas de acuerdo con la naturaleza de la
dependencia.

Para el logro de sus objetivos, la SFC cuenta con un modelo de supervisión basado
en riesgos, abordado en detalle en el numeral VI de este documento, que
contempla, entre otros, el relativo al LA/FT, lo cual ha permitido establecer
directrices orientadas a evitar la participación o utilización de las entidades vigiladas
en tales actividades. Los parámetros mínimos están consignados en el Sistema de
Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo
– SARLAFT9, vigente a partir del 1 de julio de 2008, cuyas instrucciones están
contenidas hoy, entre otros, en el Capítulo IV, Título IV, Parte I de la Circular Básica
Jurídica, recientemente modificada por la Circular Externa 055 de 2016, expedida
en desarrollo de lo previsto en los artículos 102 a 107 del EOSF.

El SARLAFT sustituyó el Sistema Integral de Prevención y Control del Lavado de

Activos – SIPLA, contenido en el Capítulo XI del Título I de la Circular Básica
Jurídica de la Superintendencia Bancaria y en la Circular Externa 03 de 2005 de la
Superintendencia de Valores de Colombia, marco normativo preexistente hasta
entonces.

La transición del SIPLA10 al SARLAFT representó un cambio en la cultura de las

entidades, ya que implicó un mayor compromiso en la adopción de sistemas
robustos de administración del riesgo adaptados a estándares internacionales y a
sanas prácticas del mercado11. En otras palabras, mientras que el SIPLA se
enfocaba exclusivamente en el conocimiento de los clientes y la identificación y
reporte de las operaciones realizadas por los mismos, el SARLAFT trascendió hacia
un sistema fundamentado en la administración de riesgos, el cual, además de elevar
el nivel jerárquico y los requerimientos mínimos del oficial de cumplimiento,
involucra nuevas funciones y responsabilidades para los órganos de administración.
(Ver Gráfica 2).

9
Circular Externa 22 de 2007, modificada por la Circular Externa 061 de 2007.
10
Adoptado mediante la Circular Externa 025 de 2003 de la hoy Superintendencia Financiera de Colombia.
 Página No. 11

Gráfica 2. Evolución SIPLA – SARLAFT – Cuadro comparativo.

Fuente: Superintendencia Financiera de Colombia

Además del procedimiento estándar que contemplaba el SIPLA para el

diligenciamiento de formularios de vinculación de clientes y solicitud de productos,
que incluye una lista de chequeo de documentación, la realización de entrevistas, y
la verificación de listas y de información, el SARLAFT, adopta un enfoque
fundamentado en la supervisión por riesgos, que exige a las entidades vigiladas
adoptar sistemas que estén en consonancia con los estándares internacionales
sobre la materia, en particular, con las recomendaciones emitidas por el GAFI-
GAFILAT.

El SARLAFT implica que previo al lanzamiento de un producto o servicio, la

modificación de sus características, la incursión en un nuevo mercado, la apertura
de operaciones en nuevas jurisdicciones, y el lanzamiento o modificación de los
canales de distribución, se debe evaluar la vulnerabilidad de la entidad vigilada
frente a los nuevos riesgos, con el fin de determinar la clase, el impacto y la
frecuencia de los controles que necesita. De esta manera, el SARLAFT12 busca que
las operaciones desarrolladas por las entidades vigiladas sean adelantadas dentro
de estándares éticos y de control; anteponiendo sanas prácticas financieras, como
la prevención del riesgo de LA/FT, al logro de las metas comerciales.

12 Artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero (Decreto Ley 663 de 1993).
 Página No. 12

Por último, y con el propósito de evitar arbitrajes entre las entidades vigiladas que
se encuentren en las situaciones previstas en los artículos 26013 del Código de
Comercio y 28 de la Ley 222 de 1995, el SARLAFT exige que los sistemas que ellas
implementen y desarrollen, deben tener características similares.

IV. Evolución Normativa

Ámbito Internacional

Inicialmente se encuentra oportuno mencionar que las primeras disposiciones

encaminadas a reprimir el lavado de activos fueron expedidas en 1970 en los
Estados Unidos de América14, contenidas en la denominada “Ley del Secreto
Bancario.”

El 20 de diciembre de 1988 se suscribió en Viena la “Convención de las Naciones

Unidas contra el tráfico Ilícito de Narcóticos y Sustancias Sicotrópicas”,
comúnmente conocida como la “Convención de Viena”, aprobada en Colombia por
la Ley 67 del 23 de agosto de 1993, declarada exequible por la Corte Constitucional
mediante Sentencia C - 176 del 12 de abril de 1994. Esta Convención apuntaba a
promover la cooperación entre las partes con el fin de hacer frente con mayor
eficacia al tráfico ilícito de estupefacientes y sustancias sicotrópicas, así como a
incentivar la expedición de normas de orden legislativo y administrativo.

Desde la declaración de principios del BCBS del 12 de diciembre de 1988, la

comunidad internacional, adoptó una serie de medidas rectoras, que aunque no
tenían carácter vinculante, estaban encaminadas a impedir que los establecimientos
financieros fuesen utilizados para canalizar transferencias o depósitos de
procedencia ilícita.

En la XV Cumbre Económica Mundial o Grupo de los Siete celebrada en Grand

Arche – París, del 14 al 16 de julio de 1989, se creó un mecanismo
intergubernamental de desarrollo y promoción de políticas para combatir el
blanqueo de activos denominado Grupo de Acción Financiera Internacional GAFI
(o por su nombre en inglés Economic Summit Financial Action Task Force on Money
Laundering (FATF)), inicialmente conformado por Estados Unidos, Japón,
Alemania, Francia, Reino Unido, Italia y Canadá, así como por el Presidente de la
Comisión de la Comunidad Europea. En 1990, el GAFI estableció las 40
recomendaciones que hoy constituyen el estándar internacional sobre la lucha
contra el LA, el FT y la PADM, y evalúa las medidas que los países deben adoptar
como fundamento para un sistema ALA/CFT/CPADM eficiente.

13
Subordinación.
14 En especial con la promulgación de la denominada Ley del Secreto Bancario de 1970, en virtud de la cual se
consagró la obligación de exigir el reporte sobre transacciones en efectivo superiores a los US $10.000 así como la salida de
sumas superiores a los US $5.000. Posteriormente en 1986 se expidió la “Ley para el control de lavado de dinero” (MLCA)
encaminada a reprimir dicha actividad ilícita.
 Página No. 13

El Consejo de la Comunidad Europea a través de su directiva del 10 de junio de

1991, relativa a la prevención de la utilización del sistema financiero para el
blanqueo de capitales (91/308/CEE), adoptó entre las determinaciones más
importantes las siguientes: (i) los estados miembros deben velar para que el
blanqueo de capitales quede prohibido, (ii) las entidades de crédito y las
instituciones financieras deben exigir documentos para identificar a sus clientes, (iii)
aprobar medidas para obtener información sobre la identidad de las personas por
cuenta de las cuales actúan los clientes, (iv) conservar documentación sobre la
identificación de sus clientes y de las transacciones, (v) examinar transacciones
susceptibles de blanqueo y, (vi) brindar colaboración a las autoridades.

En 1992, la Asamblea General de la Organización de los Estados Americanos

(OEA) aprobó el reglamento modelo de una de sus instancias, la CICAD (Comisión
Interamericana para el Control del Abuso de Drogas), en cuya redacción participó
Colombia, y recomendó su incorporación en la legislación interna de los países
miembros.

A su turno, el 8 de diciembre de 2000 en Cartagena de Indias, Colombia, mediante

la firma del Memorando de Entendimiento por parte de los representantes de los
gobiernos de nueve países: Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador,
Paraguay, Perú y Uruguay, se creó formalmente el Grupo de Acción Financiera de
Latinoamérica – GAFILAT (antes GAFISUD), como una organización
intergubernamental de base regional que hoy agrupa a 17 países de América del
Sur, Centroamérica y América de Norte para combatir el LA, la FT y la PADM, a
través del compromiso de mejora continua de las políticas nacionales contra dichos
temas y la profundización en los distintos mecanismos de cooperación entre los
países miembros. Posteriormente se incorporaron como miembros plenos México
(2006), Costa Rica, Panamá (2010), Cuba (2012), Guatemala, Honduras, Nicaragua
(2013) y Republica Dominicana (2016).

Participan como observadores los gobiernos de Alemania, Francia, España,

Estados Unidos y Portugal, y algunas organizaciones internacionales incluyendo el
Grupo de Acción Financiera del Caribe (GAFIC).

Teniendo en cuenta que uno
ALA/CFT lo constituían las
recomendaciones del GAFI,
ALA/CFT/CPADM Colombiano
ronda.
de los elementos sustanciales del sistema global
evaluaciones de cumplimiento técnico de las
realizadas por pares entre países, el Sistema
fue objeto de evaluación, en el marco de la tercera

El informe de la visita con fecha 3 de diciembre de 2008 fue aprobado por el XVIII
Pleno de Representantes del hoy GAFILAT, cuyas observaciones a hoy se
encuentran atendidas.

Ámbito Nacional
 Página No. 14

Por su parte, Colombia no fue ajena a la evolución normativa que se presentó en el

mundo y se dio especial importancia al hecho de contar con un marco legal que
permitiera a las autoridades competentes y a sus sujetos obligados, combatir el
fenómeno del LA/FT y contrarrestar las amenazas que estos fenómenos suponen
para sus sectores y para sus actividades.

Para el caso del sistema financiero colombiano, el 21 de octubre de 1992 se

suscribió un acuerdo interbancario aprobado por la junta directiva de la Asociación
Bancaria y de Entidades Financieras de Colombia –ASOBANCARIA-, para
adherirse a los principios de la Convención de Viena y a la Declaración de Basilea
e implementar su propio código de conducta, el cual se estructuró sobre cuatro
principios rectores15.

 Selección e identificación del cliente y conocimiento de sus actividades

económicas.
 Conocimiento del cliente y de sus operaciones con la entidad financiera.
 Registro y documentación de las transacciones en efectivo.
 Colaboración con las autoridades, mediante el suministro de la información para
fines investigativos y probatorios.

Los postulados del referido acuerdo fueron recogidos en el Decreto 1872 del 20 de
noviembre de 1992, “Por el cual se interviene la actividad de las instituciones
vigiladas por las Superintendencias Bancaria y de Valores.”16, estableciendo como
obligación para las entidades anteriormente vigiladas por las mismas17 la adopción
de “(…) medidas de control apropiadas y suficientes, orientadas a evitar que en la
realización de sus operaciones puedan ser utilizadas como instrumento para el
ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u
otros bienes provenientes de actividades delictivas, o para dar apariencia de
legalidad a las actividades delictivas o a las transacciones y fondos vinculados con
las mismas.”

A su vez, a dichas instituciones se les impuso el deber de adoptar mecanismos y

reglas de conducta que debían observar sus representantes legales, directores,
administradores y funcionarios, entre otros fines, con los de: (i) conocer la actividad
económica de sus clientes, así como respecto de quienes realicen “(…) cualquier
tipo de depósitos a la vista, a término o de ahorro, o entregan bienes en fiducia o
encargo fiduciario; o los depositan en cajillas de seguridad”; (ii) establecer la
frecuencia, el volumen y las características de las transacciones de los usuarios; y

15 ASOCIACIÓN BANCARIA Y DE ENTIDADES FINANCIERAS DE COLOMBIA –ASOBANCARIA-, Las Acciones del

Sistema Financiero Colombiano frente al Lavado de Activos, marzo de 1998.
16 El Decreto 1872 de 1992, fue expedido por el Presidente de la República, en ejercicio de la facultad que le confirió
el artículo 50 transitorio de la Constitución Política, el cual lo facultó temporalmente mientras se dictaban las normas generales,
como atribución constitucional propia, para intervenir en la actividad financiera, bursátil, aseguradora y cualquier otra
relacionada con el manejo, aprovechamiento e inversión de los recursos captados del público.
17 De acuerdo con lo previsto en el artículo 9 del Decreto 1872 de 1992, las obligaciones de que tratan los artículos
1o a 5o y 7o del referido Decreto se aplicarán también a las sociedades comisionistas y administradoras de fondos de
inversión, en cuyo caso la Superintendencia de Valores tendrá las facultades que tales normas le otorgan a la
Superintendencia Bancaria.
 Página No. 15

(iii) elaborar reporte de operaciones sospechosas de clientes y usuarios.

Adicionalmente, se estableció que el incumplimiento de los mecanismos de control
daría lugar a la imposición de las sanciones administrativas previstas en las mismas
normas.

Con la expedición del Decreto 663 del 2 de abril de 1993, conocido comúnmente
como EOSF, en el Capítulo XVI bajo la denominación de “Prevención de Actividades
Delictivas” se incorporó el contenido del Decreto 1872 de 1992 en los artículos 102
a 107, disposiciones actualmente vigentes con las modificaciones introducidas
especialmente por las Leyes 795 de 2003 y 1121 de 2006 a las que más adelante
se hará referencia.

En 1994 al interior de la ASOBANCARIA, se conformó el “Comité de Administración

del Riesgo”, integrado por los vicepresidentes a cargo de dicha área en las
entidades del sector, cuyo propósito fundamental consistió en adelantar tareas en
la prevención y control del LA/FT y en la suscripción de un Convenio con la Fiscalía
General de la Nación.18

Posteriormente, con la expedición de la Ley 190 de 1995, conocida como el

“Estatuto Anticorrupción”, se efectuaron las siguientes modificaciones en materia de
prevención de actividades delictivas:

 Se extendió la aplicación de los procedimientos y mecanismos de control

previstos en los artículos 102 a 107 del EOSF a las “personas sometidas a
inspección, vigilancia o control de la Superintendencia de Valores.”,
otorgando un plazo de tres (3) meses para su implementación.

 Las autoridades que reciban información de las personas sometidas a

inspección, vigilancia o control de las Superintendencias Bancaria y de
Valores y establezcan los supuestos indicados en el artículo 102 literal d) del
EOSF (Decreto 663 de 1993),

 Se impuso el deber para las Autoridades que reciban información de las

personas sometidas a inspección, vigilancia o control de las
Superintendencias Bancaria y de Valores en los términos del literal d) del
artículo 102 del EOSF de informar a la Fiscalía General de la Nación sobre
los hechos o situaciones advertidos.

 La obligación tanto para la Superintendencia Bancaria de Colombia, como

para la de Valores, de asignar a una de sus dependencias la función de
control de las operaciones de que tratan los artículos 102 a 107 del Estatuto,
correspondiéndole rendir un informe anual con destino a la Fiscalía General
de la Nación sobre las actividades cumplidas.

18 ASOCIACIÓN BANCARIA Y DE ENTIDADES FINANCIERAS DE COLOMBIA –ASOBANCARIA-, Las Acciones

del Sistema Financiero Colombiano frente al Lavado de Activos, marzo de 1998.,pag. 20.
 Página No. 16

 Se estableció, para quienes incumplan la obligación de guardar la reserva

sobre la información relacionada con el reporte de operaciones sospechosas,
además de la responsabilidad administrativa, la sanción penal que
corresponde por tal conducta.

 Tratándose del reporte de operaciones sospechosas, se consagró la

exoneración de responsabilidad para la persona jurídica informante, no para
los directivos o empleados de la entidad.

 Se extendió la aplicación de las obligaciones previstas en los artículos 102 a

107 del EOSF a las personas que se dediquen profesionalmente a
actividades de comercio exterior, casinos o juegos de azar. En la
actualidad,19 además les resultan aplicables a operaciones de cambio y del
mercado libre de divisas; así como aquellas que en lo sucesivo determine el
Gobierno Nacional.

 Se facultó a las autoridades judiciales para levantar el velo corporativo de las

personas jurídicas, cuando fuere necesario determinar el verdadero
beneficiario de las actividades adelantadas por las mismas.

 Se modificó el Código Penal colombiano tipificando como delito el LA a través

de la receptación.

En septiembre de 1995 se firmó el Convenio de Cooperación conjunta entre la

Fiscalía General de la Nación y la ASOBANCARIA con el propósito de precisar el
alcance de los términos de cooperación y la responsabilidad del sector financiero
respecto de la prevención y control del LA/FT, así como para atender las
obligaciones establecidas en el Estatuto Anticorrupción; en especial consagrar
mecanismos ágiles y confiables para el reporte de operaciones sospechosas,
brindar apoyo para la creación de la Unidad Nacional Especial de la Fiscalía General
de la Nación contra el Lavado de Activos e implementación de programas de
capacitación especializada.20

La Ley 526 de 1999 creó la UIAF, entidad encargada de prevenir y detectar

operaciones que puedan ser utilizadas como instrumento para el LA/FT, mediante
la centralización y análisis de la totalidad de la información recaudada en ejercicio
de sus facultades legales. Esta ley también facultó a las autoridades a que ejerzan
funciones de inspección, vigilancia y control para instruir a sus vigilados sobre las
características, periodicidad y controles de la información a transmitir. De igual
forma se modificaron los artículos 102 y 105 del EOSF, para garantizar que en lo
sucesivo los reportes de operaciones sospechosas se efectúen a la UIAF.

19
Modificación efectuada por el artículo 3 de la Ley 1121 de 2006, “Por la cual se dictan normas para la prevención,
detección, investigación y sanción de la financiación del terrorismo y otras disposiciones.”
20 Ver ASOCIACIÓN BANCARIA Y DE ENTIDADES FINANCIERAS DE COLOMBIA –ASOBANCARIA-, Las Acciones
del Sistema Financiero Colombiano frente al Lavado de Activos, marzo de 1998, pag. 21 y ss.
 Página No. 17

La Ley 795 de 2003, ajustó algunas disposiciones del EOSF, modificando el artículo
104, en el sentido de requerir que se informe la totalidad de las transacciones en
efectivo y, facultó a la hoy SFC para imponer multas a las entidades vigiladas en
cuantías superiores a las establecidas en el régimen general.21

A su turno, con la expedición de la Ley 1121 de 2006, se dictaron normas para la

prevención, detección, investigación y sanción de la FT, modificando, entre otros, el
artículo 102 del EOSF. En consecuencia, las entidades sometidas al control y
vigilancia de la SFC deben adoptar medidas de control, no sólo para evitar que en
la realización de sus operaciones puedan ser utilizadas como instrumento para el
ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u
otros bienes provenientes de actividades delictivas, sino también para prevenir que
estos recursos sean destinados a su financiación, dentro de las cuales se encuentra
el terrorismo.

En desarrollo de lo previsto en el artículo 10 de la Ley 1121 de 2006 y con el fin de

dar cumplimiento al artículo 20 de la mencionada Ley, así como a todas las
obligaciones internacionales sobre congelamiento y prohibición de manejo de
fondos u otros activos de personas y entidades asociadas a actos o grupos
terroristas asumidas por Colombia, en especial las Resoluciones 1267 de 1999,
1988 de 2011, 1718 y 1737 de 2006 del Consejo de Seguridad de las Naciones
Unidas y desde luego a las recomendaciones 6 y 7 del GAFI se suscribió un
Convenio Interadministrativo entre el Ministerio de Relaciones Exteriores, la Fiscalía
General de la Nación, la Unidad de Información y Análisis Financiero (UIAF) y la
Superintendencia Financiera de Colombia22.

En desarrollo del Convenio, entre las Autoridades intervinientes se articuló un

mecanismo de comunicación de las decisiones del Consejo de Seguridad, a través
de correos electrónicos creados exclusivamente por parte de las Autoridades y las
entidades vigiladas, para comunicar tales decisiones lo cual permite efectuar el
congelamiento de los recursos o fondos de las personas naturales o jurídicas
designadas en un tiempo máximo de 48 horas.

V. El SARLAFT23
Las Instrucciones relativas a la Administración del Riesgo de LA/FT, están
contenidas en el Capítulo IV, Título IV, Parte I de la Circular Externa 029 de 2014 –

21 La multa por infracción de las disposiciones relativas a la prevención de conductas delictivas puede alcanzar los
$3.482.537.784.oo. Esta cifra corresponde al periodo comprendido entre el 16 de enero de 2017 y el 15 de enero de 2018, y
se reajusta anualmente, conforme la variación en el índice de Precios al Consumidor (IPC) suministrado por el DANE, según
lo establece el artículo 208 del EOSF.
22
Este Convenio reemplazó en todas sus partes, el Convenio 09 del 24 de septiembre de 2012.
23 Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica - Circular Externa 029 de 2014, modificada por la también
Circular Externa 055 de 2016. Puede consultarse en www.superfinanciera.gov.co/Normativa/Normativa_General/Circular
Básica_Jurídica (CE 029 de 2014).
 Página No. 18

Circular Básica Jurídica24, modificada por la Circular Externa 055 de 201625,

especialmente en aspectos como las funciones del funcionario responsable de las
entidades exceptuadas de aplicar el SARLAFT, el beneficiario final, las Personas
Públicamente Expuestas y el cumplimiento de las obligaciones relacionadas con las
sanciones financieras dirigidas.

El Sistema de Administración de Riesgo de Lavado de Activos y de la Financiación

del Terrorismo (SARLAFT) busca prevenir que las entidades vigiladas por la SFC,
sean utilizadas, directa o indirectamente, para dar apariencia de legalidad a los
activos provenientes de actividades delictivas o para canalizar recursos hacia la
realización de actividades terroristas.

El SARLAFT que implementen las entidades vigiladas está en consonancia con los
estándares internacionales en la materia, especialmente los emanados por el GAFI
– GAFILAT, y se compone de las siguientes dos fases: (Ver Gráfica 3).

i. La prevención del riesgo, cuyo objetivo es evitar que se introduzcan al

sistema financiero recursos provenientes de actividades relacionadas con el
LA y que las entidades sean utilizadas para canalizar recursos hacia la FT.

ii. El control y monitoreo del riesgo, que consiste en detectar y reportar las
operaciones que se pretendan realizar o se hayan efectuado, en el intento
de dar apariencia de legalidad a operaciones vinculadas al LA/FT.

Gráfica 3. Fases del SARLAFT.

24
La Circular Básica Jurídica recopiló y reorganizó en un solo cuerpo la normatividad expedida por la SFC
armonizando su contenido con la evolución jurisprudencial y la regulación del sector.
25
La Circular Externa 055 del 22 de diciembre de 2016, rige a partir del 31 de marzo de 2017.
 Página No. 19

Fuente: Superintendencia Financiera de Colombia

En este sentido, se tiene que la naturaleza de la administración del riesgo LA/FT es

diferente a la de los riesgos catalogados como típicamente financieros (riesgo de
crédito, riesgo de mercado, riesgo de liquidez, entre otros), toda vez que en este, el
objetivo es prevenirlo, detectarlo y reportarlo en términos de oportunidad y eficacia,
mientras que en los demás, la administración se concentra en asumirlos total o
parcialmente de acuerdo con el perfil de riesgo de cada entidad vigilada y aspectos
financieros como la relación rentabilidad/riesgo.

El SARLAFT es un sistema basado en cuatro (4) etapas mínimas, que de manera

consecuente conllevan a la identificación, medición, control y el monitoreo de los
riesgos LA/FT propios de cada entidad vigilada. De igual forma, cuenta con ocho (8)
elementos, cuyo objetivo principal es permitir el diseño, desarrollo e implementación
o instrumentación, ordenada y metódica, de cada una de las etapas que componen
el sistema de administración de riesgo.

De igual manera, el SARLAFT debe atender a la naturaleza, objeto social y demás

características particulares de cada una de las entidades vigiladas, abarcando todas
las actividades que realizan las mismas en desarrollo del mencionado objeto social
principal, correspondiéndoles además, revisar periódicamente las etapas y
elementos del mismo con la finalidad de efectuar los ajustes necesarios para su
efectivo, eficiente, y oportuno funcionamiento.

Como agentes generadores del riesgo LA/FT, el SARLAFT contempla como mínimo
cuatro (4) factores, tales como, los clientes, los productos, los canales de
distribución y las jurisdicciones, los cuales en conjunto conforman el concepto
 Página No. 20

de “transacción” u “operación”, en el entendido que una transacción, en todos los

casos, será realizada por un cliente o usuario, mediante un producto vigente o
activo, a través de un canal de distribución dispuesto por la entidad y en una
jurisdicción específica en la que tenga presencia como entidad financiera.

A su vez, el Riesgo LA/FT tiene riesgos asociados que presentan los siguientes
impactos para las entidades vigiladas, en el evento en que ellos se materialicen:

i) Riesgo Reputacional: Es la posibilidad de pérdida, disminución de ingresos

o incremento en procesos judiciales en que incurre una entidad vigilada a
causa de desprestigio, mala imagen, publicidad negativa respecto de la
institución y sus prácticas de negocios.

ii) Riesgo Legal: Es la posibilidad de pérdida en que incurre una entidad a causa
de sanciones o indemnizaciones de daños como resultado del
incumplimiento normativo o de obligaciones contractuales. Se presenta de
igual forma cuando existen fallas en los contratos y transacciones, por
actuaciones, negligencia o actos involuntarios.

iii) Riesgo Operativo: Es la posibilidad de pérdida en que incurre una entidad a

causa de fallas, deficiencias o inadecuaciones en el recurso humano, los
procesos, la tecnología, la infraestructura o por la ocurrencia de eventos
externos.

iv) Riesgo de Contagio: Es la posibilidad de pérdida en que incurre una entidad

por una acción o experiencia de un vinculado, entendido éste como el
relacionado o asociado, incluyendo a las personas naturales y/o jurídicas que
ejercen influencia sobre la entidad.

Tal como se describe a continuación, el Capítulo IV, Título IV, Parte I de la Circular
Básica Jurídica establece objetivos y propósitos claros respecto del resultado
esperado en la implementación de cada una de las etapas del SARLAFT.

i) Etapa de Identificación.
El objetivo de esta etapa se centra en identificar los riesgos de LA/FT
inherentes al desarrollo de cada actividad financiera. Como resultado de su
implementación se espera que las entidades vigiladas conozcan e
identifiquen los factores de riesgo presentes en su institución y los riesgos
asociados a los que se encuentran expuestas en el desarrollo de su actividad.

ii) Etapa de Medición.

El objetivo de esta etapa es el de valorar la posibilidad y la probabilidad de
ocurrencia de los riesgos LA/FT identificados frente a cada uno de los
factores de riesgo ya mencionados, así como el impacto en caso de
materializarse a través de los riesgos asociados.

iii) Etapa de Control.

 Página No. 21

El propósito de esta etapa es que las entidades vigiladas tomen las medidas
necesarias que conduzcan a ejercer la mitigación de los riesgos inherentes
de LA/FT identificados.

iv) Etapa de Monitoreo.

En esta etapa los objetivos se enfocan en el seguimiento a realizar por parte
de las entidades vigiladas tanto al perfil de riesgo LA/FT, como al
funcionamiento del SARLAFT, para llevar a cabo la detección de las
operaciones inusuales y/o sospechosas.

Ahora bien, los siguientes son los elementos contemplados en el SARLAFT para la
instrumentación de las etapas de administración de riesgo descritas anteriormente:

i) Políticas.
Hace alusión a los lineamientos mínimos que deben adoptar las entidades
vigiladas para permitir el eficiente, efectivo y oportuno funcionamiento del
SARLAFT, de tal forma que sean entendidas como reglas de conducta y
procedimientos que orienten la actuación de la entidad y de sus accionistas.

ii) Procedimientos.
Se refiere a las actividades que deben diseñar y poner en práctica las
entidades vigiladas con el fin de garantizar la adecuada implementación y
funcionamiento de las etapas ya mencionadas del SARLAFT.

iii) Documentación.
La implementación y funcionamiento de las etapas y elementos del SARLAFT
deben constar en documentos y registros en los que se garantice la
integridad, oportunidad, confiabilidad y disponibilidad de la información.

iv) Estructura Organizacional.

Hace referencia a la asignación de facultades y funciones tanto a la Junta
Directiva u Órgano que haga sus veces, como a los Representantes Legales
y a los Oficiales de Cumplimiento26 por parte de las entidades vigiladas, en
relación con el funcionamiento del SARLAFT.

v) Órganos de Control.
Indica que la entidad vigilada debe establecer instancias responsables de la
realización de evaluaciones a su SARLAFT, con el fin de identificar e informar
acerca de posibles fallas o debilidades en su operación. Como mínimo las
entidades vigiladas deben contar con un revisor fiscal y un auditor interno o
quien haga sus veces, como órganos de control.

26
El cargo de Oficial de Cumplimiento tiene por objeto exclusivo administrar el Programa de Prevención del Lavado
de dinero y de otros activos, y del Financiamiento al Terrorismo, o SARLAFT, lo cual implica coordinar, gerenciar, gestionar,
ejecutar e implementar los procedimientos, políticas y controles del programa adoptado por la respectiva institución
supervisada, conforme a las leyes, reglamentos, normas, resoluciones, circulares, instrucciones, estándares, mejores
prácticas, manuales, y planes internos sobre la materia.
 Página No. 22

vi) Infraestructura Tecnológica.

Este elemento hace referencia al soporte tecnológico con el que deben contar
las entidades vigiladas para garantizar el adecuado funcionamiento del
SARLAFT, el cual debe atender a sus actividades, operaciones, riesgo y su
tamaño.

vii) Divulgación de Información.

La divulgación de información hace alusión a la creación y puesta en
funcionamiento de un sistema efectivo, eficiente y oportuno de reportes
internos y externos, que garantice tanto el funcionamiento de los
procedimientos que componen el SARLAFT, así como los requerimientos de
las autoridades competentes.

viii) Capacitación.
Se refiere a los planes de capacitación que deben diseñar, programar y
coordinar las entidades vigiladas, acerca del funcionamiento del SARLAFT.

La adopción de lineamientos generales y el establecimiento de los procedimientos

aplicables para la adecuada implementación y funcionamiento de las etapas del
SARLAFT, se traduce en una mayor efectividad en el conocimiento de los clientes
y del mercado, el diseño y aplicación de señales de alerta, la identificación de
operaciones inusuales y la determinación y el reporte de operaciones sospechosas.

Es así, como a partir del mecanismo de conocimiento del cliente, las entidades
vigiladas deben contar con procedimientos que garanticen un conocimiento efectivo,
eficiente y oportuno de las personas naturales y/o jurídicas que pretenden vincularse
a la entidad, sin que se puedan iniciar relaciones contractuales o legales con
ninguna persona hasta tanto, no se haya diligenciado el formulario de vinculación,
se haya realizado una entrevista y adjuntados los soportes necesarios.

El mencionado conocimiento del cliente comprende desde la identificación de los

datos básicos y financieros que permiten individualizar a una persona natural y/o
jurídica, incluida la identificación de los beneficiarios finales de las estructuras
jurídicas (poseedores de más del 5% del capital social, aporte o participación de la
entidad), hasta las características, montos, y procedencia de sus ingresos y
egresos. La información recaudada durante la aplicación del mecanismo de
conocimiento del cliente, sirve como fuente principal del funcionamiento no solo del
SARLAFT, sino de cualquier sistema de administración de riesgos que implementen
las entidades.

Surgen entonces aspectos como la segmentación de los factores de riesgo27, a

partir de la cual, se profundiza tanto en el conocimiento de los clientes vinculados a
las entidades vigiladas y como de los factores de riesgo con los que tienen relación.

27 Subnumeral 4.2.2.3.2.del Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica.
 Página No. 23

El objetivo de la segmentación de los factores de riesgo se centra en la identificación

de grupos con características y comportamientos transaccionales similares, en los
que se garantiza la homogeneidad al interior de los segmentos y la heterogeneidad
entre los mismos, de acuerdo con el análisis técnico de variables de información
previamente indicadas en la normatividad.

Al garantizar las características de homogeneidad y heterogeneidad, cada uno de

los segmentos genera implícitamente los parámetros normales de comportamiento
transaccional de los miembros de cada grupo, lo que se entiende como los límites
de operación de cada persona o comúnmente denominadas como las señales de
alerta28 que se encargan de la identificación de las operaciones que salen de la
normalidad identificada y que pueden ser catalogadas como operaciones inusuales
objeto de estudio por parte del Oficial de Cumplimiento, con el fin de efectuar los
reportes oportunos a las autoridades competentes.

En este sentido, el adecuado funcionamiento del SARLAFT obliga a las entidades

no sólo a mantener los documentos y registros de los clientes y sus operaciones;
sino también a contar con recursos técnicos, tecnológicos y de talento humano,
dentro de los cuales se resalta la participación tanto de la alta gerencia, así como
de la Junta Directiva u Órgano que haga sus veces como directos responsables de
la efectividad y eficacia del sistema. Es preciso afirmar que los Oficiales de
Cumplimiento de las entidades vigiladas, tanto principales como suplentes, deben
surtir el trámite de posesión ante la SFC, con el propósito de verificar su idoneidad
para desempeñar el cargo.

Por su parte, las entidades vigiladas que solo deben aplicar los artículos 102 a 107
del EOSF, están en la obligación de designar un Funcionario Responsable (principal
y suplente) de aplicar las medidas de control de LA/FT e informar dentro de los 15
días siguientes a su nombramiento a la SFC a través de su página de internet.

El SARLAFT contempla además, como tema relevante en un aparte independiente,

los aspectos relacionados con las reglas especiales para las transferencias
electrónicas, mediante las cuales se regulan todas aquellas operaciones de ingreso
o salida de divisas al país, específicamente en cuanto a la captura de la información
necesaria para identificar tanto al ordenante como al/los beneficiario/s de dichos
movimientos y en cuanto al seguimiento a realizar a dichas transacciones.

Finalmente, de acuerdo con lo establecido en el literal a) del numeral 5 del artículo

326 del EOSF, la realización de operaciones sin dar cumplimiento a las
instrucciones del SARLAFT es calificada como una práctica insegura y no
autorizada.

VI. ¿Cómo Hacemos la Supervisión?

28 Subnumeral 4.2.2.3.1.del Capítulo IV, Título IV, Parte I de la Circular Básica Jurídica.
 Página No. 24

La SFC estableció el Marco Integral de Supervisión (MIS) como metodología de

supervisión basada en riesgos. El MIS contiene los estándares y los criterios
detallados para llevar a cabo la supervisión consolidada29 de las entidades vigiladas
con independencia de la jurisdicción en la que operan30.

La metodología de supervisión del riesgo de LA/FT está enmarcada dentro de los

objetivos y parámetros de funcionamiento del MIS y atiende lo establecido en las 40
recomendaciones del GAFI, específicamente lo estipulado en la Recomendación
2631.

El MIS supone comprender el modelo de negocio de las entidades, es decir, sus

productos, sus actividades significativas, su plan estratégico y su apetito de riesgo,
con el propósito de establecer los determinantes del riesgo, en este caso el de
LA/FT.

Bajo este esquema, la valoración del Riesgo LA/FT en las entidades vigiladas32
permite establecer tanto la vulnerabilidad de sus actividades frente a estos delitos;
como la efectividad y eficiencia de los controles que han sido implementados para
mitigarlos.

Para cada entidad o conglomerado financiero se cuenta con una matriz de riesgo
en la que se mantiene actualizado el Perfil de Riesgo de LA/FT (único) de la entidad,
compuesto por su valoración de Riesgo Inherente de LA/FT y de cada una de sus
Funciones de Supervisión (SARLAFT).Entre las funciones de supervisión figuran: el
análisis financiero, cumplimiento, la gestión de riesgos, la función actuarial en el
caso de las Compañías de Seguros, la auditoria interna, la alta gerencia y la junta
directiva u órgano que haga sus veces. Son relevantes para el caso del Riesgo de
LA/FT, todas las funciones de supervisión salvo la de análisis financiero y la
actuarial). (Ver Tabla 1):

Tabla 1. Matriz de Riesgos del MIS.

29
La supervisión de las entidades vigiladas por la SFC se realiza en forma comprensiva y consolidada, lo cual
involucra la evaluación de todas las entidades vigiladas que hacen parte de los conglomerados financieros (CF), con
independencia de la jurisdicción en la que operan.
30
El documento descriptivo del Marco Integral de Supervisión MIS se puede consultar en el siguiente enlace:
https://www.superfinanciera.gov.co/jsp/loader.jsf?lServicio=Publicaciones&lTipo=publicaciones&lFuncion=loadContenidoPub
licacion&id=10085454
31
Recomendación 26 – Regulación y Supervisión de las Instituciones Financieras.
32 Aplicada a las entidades sujeto de la implementación del SARLAFT (Sistema de Administración de Riesgo de
Lavado de Activos y de la Financiación del Terrorismo) y/o de las indicaciones establecidas en el EOSF (Estatuto Orgánico
del Sistema Financiero, artículos 102-107).
 Página No. 25

Gestión Operativa
2. Riesgo Inherente 3. Funciones de Supervisión 4. Riesgo Neto
1. Actividades

Cumplimiento

Cumplimiento

Importancia
Regulatorio

Calificación
Estratégico

Gestión de
Financiero
Operativo

Dirección
Auditoría
Significativas

Directiva
Gerencia
Actuaría
Mercado

Seguros

Análisis

Riesgos
Crédito

Interna
Lavado

Junta
Alta
AS1
AS2
AS3
etc.
Calificación General

Fuente: Superintendencia Financiera de Colombia

1) Riesgo Inherente LA/FT

El primer componente de la matriz establece el riesgo inherente. En el caso de

LA/FT, éste se define como la probabilidad de que una entidad / conglomerado
financiero incurra en una pérdida material por su vulnerabilidad a ser utilizada
directa o indirectamente para canalizar recursos del LA y/o FT.

Como se observa en la matriz (Tabla 1), cada Riesgo Inherente es intrínseco a cada
Actividad Significativa. Por consiguiente, la SFC cuenta con una metodología que
tiene como finalidad la valoración del riesgo inherente de LA/FT al que se
encuentran expuestas las entidades vigiladas, de acuerdo con la vulnerabilidad
que frente a estos delitos presentan las actividades que desarrollan y con la
efectividad y eficiencia de los controles implementados para la mitigación de dicho
riesgo.

Específicamente, el objetivo se concentra en la estimación de una calificación (única

y consolidada) que indique el nivel de exposición al riesgo inherente de LA/FT de
cada una de las entidades vigiladas, con base en la valoración de la vulnerabilidad
de las actividades que desarrolla (no sólo las significativas) y su respectiva
particularidad entendida como la composición de la actividad respecto de los tres
factores de riesgo SARLAFT restantes (clientes, canales de distribución y
jurisdicciones). Para la valoración del riesgo inherente LA/FT, son tomados como
insumos de información los resultados de la Evaluación Nacional de Riesgo del
país33.

Particularidad de
Riesgo Inherente Vulnerabilidad la Actividad
= LA/FT de la + (Composición
LA/FT de una Actividad Clientes, Canales,
Actividad
Jurisdicciones)

a) Vulnerabilidad al LA/FT

33
El resumen ejecutivo de la Evaluación Nacional del Riesgo de LA/FT(ENR2016) puede ser consultado
en el siguiente enlace: https://www.uiaf.gov.co/index.php?idcategoria=28817
 Página No. 26

La Vulnerabilidad a los delitos del LA/FT está relacionada con la propensión que
tiene un factor de riesgo (clientes, productos, canales de distribución y
jurisdicciones), por sus características propias y/o naturales de existencia y/o
funcionamiento, a la consecución y/o materialización del RLAFT.

La vulnerabilidad de cada uno de los factores de riesgo que intervienen en el

SARLAFT se calcula incorporando los siguientes parámetros:

i. Vulnerabilidad del Factor de Riesgo Producto (Actividad, Línea de Negocio,

Unidad de Negocio o Proceso)

Esta vulnerabilidad es entendida como la posibilidad de que dicho producto sea

propenso a la consecución y/o materialización del RLAFT por sus características
propias y/o naturales de constitución y funcionamiento, e independientemente de la
entidad vigilada que lo desarrolle y de las características de los factores de riesgo
que la adquieran y/o la operen.

La Delegatura para Riesgo de Lavado de Activos y Financiación del Terrorismo

realiza una valoración de la Vulnerabilidad de cada uno de los productos
(actividades, líneas de negocio, unidades de negocio o procesos) de las diferentes
entidades del sector financiero, de acuerdo con las características naturales de su
operación.

Dicha valoración se obtiene a partir de un análisis y tabulación cualitativa de

variables que indican la existencia o no de la vulnerabilidad expresa en cada una de
las actividades (recomendaciones del GAFI, tipologías de LA/FT, experiencia del
supervisor, quejas, consultas, informes de otras Delegaturas, entre otros.).Para tal
fin se aplica el método Delphi, una técnica sistemática y estructurada de calificación,
que se basa en opiniones fundamentadas en un panel de expertos dirigido.

ii. Vulnerabilidad del Factor de Riesgo Clientes (Actividad Económica /

Ocupación)

Esta vulnerabilidad representa la posibilidad de que dicha actividad u ocupación del

cliente, se vea propensa a la consecución o materialización del RLAFT, bien sea
por sus características propias y/o naturales de existencia, o por sus condiciones y
límites de operación en el país.

iii. Vulnerabilidad del Factor de Riesgo Jurisdicción (Nacional (Departamentos)

/ Internacional)

Esta vulnerabilidad hace referencia a la posibilidad de que una jurisdicción (a nivel

nacional o internacional) se vea propensa a la consecución y/o materialización de
RLAFT, por sus características propias y/o naturales de ubicación y sus estadísticas
de materialización de delitos fuentes del LA/FT. El cálculo de esta vulnerabilidad
permite la construcción de mapas geográficos de riesgo.
 Página No. 27

iv. Vulnerabilidad del Factor de Riesgo Canales de Distribución

Esta vulnerabilidad se refiere a la posibilidad de que un canal de vinculación de

clientes y/o vehículo transaccional de los productos, se vea propenso a la
consecución y/o materialización del RLAFT, por sus características propias y/o
naturales de constitución, operación y funcionamiento e independientemente de la
entidad vigilada que los implemente.

2) Funciones de Supervisión

Como se mencionó anteriormente, la metodología del MIS enfatiza en la evaluación

de la estructura de gobierno del Riesgo LA/FT. En el caso del SARLAFT se
incorporan las cinco (5) funciones de supervisión que aparecen a continuación34:

i. Auditoría Interna del Riesgo LA/FT:

Hace referencia a la evaluación de la efectividad y adherencia de los
controles operativos y organizacionales implementados para administrar el
Riesgo LA/FT, a partir de los reportes tanto a la Alta Gerencia como a la Junta
Directiva u órgano que haga sus veces.

ii. Gestión del Riesgo LA/FT:

Corresponde al diseño e implementación del SARLAFT y/o de las
disposiciones establecidas en los artículos 102 a 107 del EOSF, según
corresponda. En esta función se evalúa la gestión del Oficial de Cumplimiento
como administrador del riesgo y/o del Funcionario Responsable.

iii. Cumplimiento
Se refiere al establecimiento de políticas y procedimientos para administrar
el Riesgo LA/FT, independiente de los requisitos exigidos en la regulación
aplicable, de acuerdo con las jurisdicciones donde opera la entidad vigilada.
También incluye los reportes a la Junta Directiva u órgano que haga sus
veces sobre la materia.

iv. Alta Gerencia

Alude a la instancia responsable de direccionar y supervisar la gestión
efectiva del Riesgo LA/FT frente a los factores de riesgo de la entidad
vigilada, para de esta forma mantener informada a la Junta Directiva u órgano
que haga sus veces.

v. Junta Directiva u Órgano que haga sus veces

Hace referencia a la función del máximo órgano de administración de la
entidad, en el sentido de direccionar y apoyar la gestión del Riesgo LA/FT al
que se encuentran expuestas las Instituciones Financieras objeto de
supervisión por parte de la SFC.

34 Las siete funciones de supervisión son: análisis financiero, cumplimiento, gestión de riesgos, función actuarial,
auditoría interna, alta gerencia y junta directiva.
 Página No. 28

Gráfica 4. Funciones de Supervisión Riesgo LA/FT.

Fuente: Superintendencia Financiera de Colombia

La aplicación de procedimientos de supervisión “In Situ” y “Extra Situ”, permite

valorar cada una de las funciones de control de acuerdo con lo establecido en el
Capítulo IV, Titulo IV, Parte I de la Circular Básica Jurídica35 haciendo énfasis en
los siguientes 5 aspectos:

i. Conocimiento del Cliente

Corresponde a la implementación de procedimientos encaminados a obtener
un efectivo, eficiente y oportuno conocimiento de los clientes actuales y
potenciales, así como la verificación y confirmación de la información
recolectada y los soportes de la misma.

ii. Segmentación de los Factores de riesgo

Alude al proceso por el cual se separan los elementos fundamentados en el
reconocimiento de las variables de segmentación o diferencias significativas
en las características. En otras palabras, para detectar las operaciones
inusuales, se determinan los parámetros usuales de las transacciones
desarrolladas y se comparan con aquellas que los clientes realizan.

iii. Señales de Alerta

Teniendo en cuenta el concepto y finalidad de la segmentación de los
factores de riesgo, las señales de alerta hacen referencia a los hechos,
situaciones, eventos, cuantías, indicadores cuantitativos y cualitativos,
razones financieras y demás información que la entidad determine como
relevante, para inferir de forma oportuna y/o prospectiva la posible existencia

35 Instrucciones relativas a la Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo.
 Página No. 29

de un hecho o situación que escapa a lo que la entidad, en desarrollo de su

gestión del Riesgo LA/FT, cataloga como normal.

iv. Identificación, Análisis de Operaciones Inusuales y Reporte de Operaciones

Sospechosas
Atendiendo el concepto de señales de alerta, este aspecto alude a las
metodologías implementadas por las Instituciones Financieras con el fin de
analizar e identificar las posibles operaciones inusuales de sus clientes, es
decir, aquellas que no guardan relación con su actividad económica, o en su
defecto, se salen de los parámetros de normalidad fijados por la entidad. En
otras palabras, todas aquellas operaciones respecto de las cuales la entidad
no ha encontrado explicación o justificación razonable. De igual forma,
contempla el respectivo reporte de operación sospechosa a las autoridades
competentes, en este caso a la UIAF.

v. Matriz de Riesgo – Etapas SARLAFT

Este aspecto corresponde al diseño e implementación de las etapas
(Identificación, medición, control y monitoreo) que componen el SARLAFT;
así como la matriz que consolida los resultados obtenidos en cada una de
ellas. Su utilidad radica en que permite el control y monitoreo permanente del
sistema.

VII. Hacia Donde Vamos

Sin perjuicio de la operación del SARLAFT36 en las entidades financieras y del

cubrimiento de las actividades de supervisión, la SFC continúa buscando elementos
y actualizando mecanismos que permitan mejorar en el alcance de sus objetivos
misionales.

Los sistemas financieros en el mundo están experimentando grandes cambios en

diferentes ámbitos como la regulación, los modelos de negocio (innovación
financiera), el uso de la tecnología, el cambio en las tendencias demográficas y de
la conducta del consumidor, así como en su tamaño y complejidad (expansión). Si
bien estos aspectos aplican a la gestión de todos los riesgos asociados al ejercicio
de la actividad financiera, aseguradora, previsional y del mercado de valores en el
caso particular del Riesgo de LA/FT, exigen el fortalecimiento de los mecanismos
para gestionarlo.

Es así, como las necesidades de adaptación al nuevo entorno, implican que a mayor
complejidad y tamaño de las diferentes entidades del sistema financiero

36 El SARLAFT que implementen las entidades vigiladas en desarrollo de lo dispuesto en el Capítulo IV, Título IV,
Parte I de la Circular Básica Jurídica, debe atender a la naturaleza, objeto social y demás características particulares de cada
una de ellas.
 Página No. 30

colombiano, mayor exposición al riesgo de LA/FT en más jurisdicciones, no sólo

nacionales sino internacionales37, aspecto que está siendo analizado por parte de
esta Superintendencia.

Especial atención merece la aparición de las denominadas “Fintech”, las cuales

representan la proliferación de nuevas soluciones tecnológicas a la medida de las
necesidades financieras de los clientes. Alternativas como el Crowdfounding, el
Crowdlending y los préstamos persona a persona P2P, el uso de las redes sociales,
entre otros, que surgen como alternativas viables de financiación individual o
colectiva, implican que los procedimientos de conocimiento del cliente aplicados por
las entidades evolucionen paralelamente para identificar las nuevas tipologías de
LA/FT que puedan surgir en el mercado. El llamado de la SFC es a actualizar los
mecanismos empleados sin descuidar los riesgos y sin llegar a interpretaciones de
flexibilización.

Otro de los fenómenos a tener en cuenta es el llamado “De-Risking” al interior de

las entidades financieras del mundo, que consiste en la reducción significativa de
productos y/o líneas de negocio y por ende de clientes, con el fin de evitar el riesgo
regulatorio (compliance) y evadir la administración de algunos riesgos. Si bien esta
tendencia aún no se percibe en Colombia, dada la mayor interconexión producto de
los procesos de expansión, debe ser un elemento de análisis para las entidades
financieras en el diseño de políticas y procedimientos en materia de LA/FT.

El “De-Risking” tiene como efecto no deseado la aparición y desarrollo de la

actividad financiera sin regulación y/o supervisión, fenómeno denominado Banca en
la Sombra o “Shadowbanking”. El desarrollo del negocio bancario no regulado
afectaría notablemente la confianza en el sistema financiero colombiano.

Finalmente, la SFC está atenta al desarrollo de la implementación del acuerdo de

paz firmado con las Fuerzas Armadas Revolucionarias de Colombia FARC-EP, así
como los avances de otros procesos de reconciliación social (Ejército de Liberación
Nacional ELN), con el firme propósito de hacer los ajustes necesarios a la
normatividad vigente e impartir las instrucciones que correspondan a la inclusión
financiera.

*Fin del Documento*

37
La SFC forma parte de manera conjunta con los supervisores de Panamá, Costa Rica, Honduras, Guatemala, El
Salvador, Nicaragua y República Dominicana, del Consejo Centroamericano de Supervisores de Bancos, Seguros y Otras
Instituciones Financieras CCSBSO, y en la actualidad lidera el Comité de Prevención de LA/FT, cuyo propósito fundamental
es establecer una metodología de medición regional del Riesgo LA/FT.