CAPÍTULO 16

PREVENCIÓN DE ACTIVIDADES DELICTIVAS

RÉGIMEN GENERAL

Estatuto Financiero

[2–0891] Art. 102. Régimen General.

1.- Obligación y control a actividades delictivas. Numeral modificado por el artículo 1 de la Ley 1121 de 2006. Las instituciones sometidas al control y vigilancia de la Superintendencia Financiera o quien haga sus veces, estarán obligadas a adoptar medidas de control apropiadas y suficientes, orientadas a evitar que en la realización de sus operaciones puedan ser utilizadas como instrumento para el ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u otros bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos vinculados con las mismas.

2.- Mecanismos de control. Para los efectos del numeral anterior, esas instituciones deberán adoptar mecanismos y reglas de conducta que deberán observar sus representantes legales, directores, administradores y funcionarios, con los siguientes propósitos:

  • a) Conocer adecuadamente la actividad económica que desarrollan sus clientes, su magnitud, las características básicas de las transacciones en que se involucran corrientemente y, en particular, la de quienes efectúan cualquier tipo de depósitos a la vista, a término o de ahorro, o entregan bienes en fiducia o encargo fiduciario; o los depositan en cajillas de seguridad;
  • b) Establecer la frecuencia, volumen y características de las transacciones financieras de sus usuarios;
  • c) Establecer que el volumen y movimientos de fondos de sus clientes guarde relación con la actividad económica de los mismos;
  • d) Literal modificado por el artículo 1 de la Ley 1121 de 2006. Reportar de forma inmediata y suficiente a la Unidad de Información y Análisis Financiero cualquier información relevante sobre manejo de activos o pasivos u otros recursos, cuya cuantía o características no guarden relación con la actividad económica de sus clientes, o sobre transacciones de sus usuarios que por su número, por las cantidades transadas o por las características particulares de las mismas, puedan conducir razonablemente a sospechar que los mismos están usando a la entidad para transferir, manejar, aprovechar o invertir dineros o recursos provenientes de actividades delictivas o destinados a su financiación.
  • e) Literal modificado por el artículo 12 de la Ley 1121 de 2006. Estar en consonancia con los estándares internacionales en la materia;
  • f) Literal adicionado por el artículo 12 de la Ley 1121 de 2006. Los demás que señale el Gobierno Nacional.

3- Adopción de procedimientos. Para efectos de implantar los mecanismos de control a que se refiere el numeral anterior, las entidades vigiladas deberán diseñar y poner en práctica procedimientos específicos, y designar funcionarios responsables de verificar el adecuado cumplimiento de dichos procedimientos.

Los mecanismos de control y auditoria que adopten las instituciones deberán ser informados a la Superintendencia Bancaria a más tardar el 30 de Diciembre de 1992.

Este organismo podrá en cualquier tiempo formular observaciones a las instituciones cuando juzgue que los mecanismos adoptados no son suficientes para los propósitos indicados en el numeral segundo del presente artículo, a fin de que éstas introduzcan los ajustes correspondientes. Cualquier modificación a los mecanismos adoptados deberá ser informada a la Superintendencia Bancaria para evaluar su adecuación a los propósitos anotados.

4- Alcance y cobertura del control. Los mecanismos de control y auditoria de que trata este artículo podrán versar exclusivamente sobre las transacciones, operaciones o saldos cuyas cuantías sean superiores a las que se fijen como razonables y suficientes. Tales cuantías se establecerán en el mecanismo que adopte cada entidad atendiendo al tipo de negocios que realiza, amplitud de su red, los procedimientos de selección de clientes, el mercadeo de sus productos, capacidad operativa y nivel de desarrollo tecnológico.

CONTROL DE LAS TRANSACCIONES EN EFECTIVO

Estatuto Financiero

[2–0892] Art. 103. Control de las transacciones en efectivo.

1- Transacciones sujetas a control. Toda institución financiera deberá dejar constancia, en formulario especialmente diseñado al efecto, de la información relativa a las transacciones en efectivo que realice, en moneda legal o extranjera cuyo valor sea superior a las cuantías que periódicamente señale la Superintendencia Bancaria.

Estos formularios deberán contener por lo menos:

  • a) Modificado por Ley 365 de 1997, Art. 24. La identidad, la firma y dirección de la persona que físicamente realice la transacción. Cuando el registro se lleve en forma electrónica, no se requerirá la firma.
  • b) L identidad y la dirección de la persona en nombre de la cual se realice la transacción;
  • c) La identidad del beneficiario o destinatario de la transacción, si la hubiere;
  • d) La identidad de la cuenta afectada por la transacción, si existiere;
  • e) El tipo de transacción de que se trata (depósitos, retiros, cobro de cheques, compra de cheques o certificados, cheques de cajero u órdenes de pago, transferencias, etc.);
  • f) La identificación de la institución financiera en la que se realizó la transacción;
  • g) La fecha, el lugar, la hora y el monto de la transacción.
  • Las transacciones múltiples en efectivo, tanto en moneda legal como extranjera que en su conjunto superen cierto monto, serán consideradas como una transacción única si son realizadas por o en beneficio de determinada persona durante el día o en cualquier otro plazo que fije la Superintendencia Bancaria.

Las transacciones realizadas entre instituciones financieras sujetas a control y vigilancia, no requerirán de registro especial.

2- Control de múltiples  transacciones  en  efectivo. Cuando el giro ordinario de los negocios de un cliente determinado implique la realización corriente de numerosas transacciones en efectivo, la entidad financiera respectiva podrá llevar un registro de transacciones en efectivo en lugar del formulario individual al que se refiere el numeral anterior, en el cual se anotará, por lo menos, toda la información que debe consignarse en dicho formulario, salvo por lo previsto en el numeral 1. de la letra a. de la presente disposición. Las entidades financieras que decidan llevar dichos registros deberán informar mensualmente a la Superintendencia Bancaria las personas que sean objeto de este procedimiento.

INFORMACIÓN PERIÓDICA

Estatuto Financiero

[2–0893] Art. 104. Información periódica. Modificado por Ley 795 de 2003, art. 27.- Toda institución financiera deberá informar a la Unidad de Información y Análisis Financiero (UIAF), la totalidad de las transacciones en efectivo de que trata el artículo anterior, conforme a las instrucciones que al efecto imparta la Superintendencia Bancaria, en aplicación del artículo 10 de la Ley 526 de 1999.

RESERVA SOBRE LA INFORMACIÓN REPORTADA

Estatuto Financiero

[2–0894] Art. 105. Modificado por el artículo 2 de la Ley 1121 de 2006. Sin perjuicio de la obligación de reportar de forma inmediata y suficiente a la Unidad de Información y Análisis Financiero la información a que se refiere la letra d) del numeral 2 del artículo 102, las instituciones financieras solo estarán obligadas a suministrar información obtenida en desarrollo de los mecanismos previstos en los artículos anteriores cuando así lo solicite la Unidad de Información y Análisis Financiero o la Fiscalía General de la Nación.

Las autoridades, las entidades, sus administradores y sus funcionarios que tengan conocimiento por cualquier motivo de las informaciones y documentos a que se refieren los artículos anteriores deberán mantener reserva sobre los mismos.

Las autoridades, las entidades, sus administradores y sus funcionarios no podrán dar a conocer a las personas que hayan efectuado o intenten efectuar operaciones sospechosas, que se ha comunicado a la Unidad de Información y Análisis Financiero información sobre las mismas, y deberán guardar reserva sobre dicha información.

MODIFICACIÓN DE NORMAS SOBRE CONTROL

Estatuto Financiero

[2–0895] Art. 106.  Modificación de normas sobre control. Con el fin de asegurar el cumplimiento de las obligaciones establecidas en el numeral 1 del artículo 102 y numeral 1 del artículo 103 del presente Estatuto, el Gobierno Nacional podrá modificar las disposiciones de este capítulo relacionadas con los requisitos y procedimientos que deben adoptar con tal propósito las entidades sometidas al control y vigilancia de la Superintendencia Bancaria.

SANCIONES

Estatuto Financiero

[2–0896] Art. 107.  Sanciones. El incumplimiento de lo dispuesto en los artículos anteriores por la no adopción o aplicación de los mecanismos de control dará lugar a la imposición de las sanciones administrativas correspondientes, sin perjuicio de las consecuencias penales a que hubiere lugar.

RESPONSABILIDAD DE ENTIDADES O PERSONAS OBLIGADAS A CUMPLIR CON LAS NORMAS Y PRINCIPIOS CONTENIDOS EN LOS ARTÍCULOS 102 A 107 DEL ESTATUTO ORGÁNICO DEL SISTEMA FINANCIERO

Ley 1121 de 2006

[2–0896-01] Art. 10. El régimen previsto para las instituciones sometidas al control y vigilancia de la Superintendencia Financiera, o de la entidad que haga sus veces, a que se refieren los artículos 209, 210 y 211 numeral 3 del Estatuto Orgánico del Sistema Financiero, salvo norma especial, se aplicará a las entidades o personas obligadas a cumplir con las normas y principios contenidos en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero.

La aplicación del procedimiento e imposición de las sanciones será realizada por la respectiva autoridad que ejerza las funciones de inspección, control o vigilancia, para lo cual dará cumplimiento a las normas administrativas de carácter especial que le sean aplicables o en su defecto dará aplicación al procedimiento contemplado en el Código Contencioso Administrativo

MECANISMOS DE CONTROL

Ley 190 de 1995

[2–0897] Art. 39. El régimen previsto para las instituciones sometidas al control y vigilancia de la Superintendencia Bancaria, a que se hace referencia en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero (Decreto 663 de 1993), se aplicará a las personas sometidas a inspección, vigilancia o control de la Superintendencia de Valores.

Parágrafo 1o.– Dentro de los tres (3) meses siguientes a la vigencia de la presente ley las personas mencionadas en este artículo establecerán los mecanismos de control y los procedimientos específicos indicados en el artículo 102 del Estatuto Orgánico del Sistema Financiero (Decreto 663 de 1993).

Parágrafo 2o.– El control del cumplimiento de las obligaciones impuestas por la presente disposición se realizará por la respectiva entidad que ejerza vigilancia sobre la persona obligada.

ENTIDADES DE CONTROL Y VIGILANCIA

Ley 190 de 1995

[2–0898] Art. 40. Las autoridades que reciban información de las personas sometidas a inspección, vigilancia o control de las Superintendencias Bancaria y de Valores y establezcan los supuestos indicados en el artículo 102 literal d) del Estatuto Orgánico del Sistema Financiero (Decreto 663 de 1993), deberán informar a la Fiscalía General de la Nación sobre los hechos o situaciones advertidos.

Parágrafo 1o.– El Gobierno Nacional por conducto del Ministerio de Justicia y del Derecho y del Ministerio de Hacienda y Crédito Público, podrá disponer que la información recaudada por las personas a que se refiere este artículo y el 43 de la presente Ley, sea remitida a la autoridad que el reglamento determine, con el propósito de centralizar y sistematizar la información, en orden a establecer mecanismos de control comprensivos de las distintas operaciones realizadas.

Parágrafo 2o.– Dentro de los dos meses siguientes a la vigencia de esta ley, la Superintendencia Bancaria y de Valores asignarán a una de sus dependencias la función de control de las operaciones de que tratan los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero (Decreto 663 de 1993), sin perjuicio de que el Gobierno Nacional cree Unidades Especializadas dentro de ellas, para tal efecto.

Anualmente las mencionadas entidades rendirán un informe con destino a la Fiscalía General de la Nación sobre las actividades cumplidas, conforme lo establecido en este parágrafo.

RESERVA SOBRE INFORMACIÓN SUMINISTRADA

Ley 190 de 1995

[2–0899] Art. 41.Quien incumpla la obligación contenida en el último inciso del artículo 105 del Estatuto Orgánico del Sistema Financiero (decreto 663 de 1993) incurrirá en la sanción allí prevista, sin perjuicio de la sanción penal que por tal conducta pueda corresponder.

RESPONSABILIDAD DE LAS ENTIDADES VIGILADAS POR LA INFORMACIÓN SUMINISTRADA

Ley 190 de 1995

[2–0900] Art. 42. Cuando se suministre la información de que trata el artículo 40 de la presente Ley, no habrá lugar a ningún tipo de responsabilidad para la persona jurídica informante, ni para los directivos o empleados de la entidad, en concordancia con el artículo 102 del Decreto–ley 663 de 1993.

PROCEDIMIENTO PARA LA PUBLICACIÓN Y CUMPLIMIENTO DE LAS OBLIGACIONES RELACIONADAS CON LISTAS INTERNACIONALES VINCULANTES PARA COLOMBIA

Ley 1121 de 2006

[2–0900-01] art. 20. Procedimiento para la publicación y cumplimiento de las obligaciones relacionadas con listas internacionales vinculantes para Colombia de conformidad con el derecho internacional. El Ministerio de Relaciones Exteriores transmitirá las listas de personas y entidades asociadas con organizaciones terroristas, vinculantes para Colombia conforme al derecho internacional y solicitará a las autoridades competentes que realicen una verificación en las bases de datos con el fin de determinar la posible presencia o tránsito de personas incluidas en las listas y bienes o fondos relacionados con estas.

Las autoridades consultadas deberán realizar las verificaciones pertinentes e informar a la Fiscalía General de la Nación, quien evaluará la pertinencia de la información y comunicará los resultados obtenidos al Consejo de Seguridad de las Naciones Unidas, a través del Ministerio de Relaciones Exteriores.

Los particulares que conozcan de la presencia o tránsito de una persona incluida en una de las listas mencionadas o de bienes o fondos relacionados con estas deberán informar oportunamente al Departamento Administrativo de Seguridad, DAS y a la Unidad de Información y Análisis Financiero, UIAF, para lo de su competencia. al suministro de esta información se le aplicará el régimen de responsabilidad previsto en el artículo 42 de la ley 190 de 1995.

Parágrafo. Si alguna persona considera que fue indebidamente incluida en una lista internacional en materia del terrorismo o financiación del terrorismo, vinculante para Colombia conforme al derecho internacional, podrá solicitar al Defensor del Pueblo iniciar las gestiones necesarias para presentar las acciones pertinentes ante la respectiva instancia internacional, destinadas a proteger los derechos del afectado. El trámite de esta solicitud no suspenderá los términos y procedimientos mencionados en el inciso anterior.

BENEFICIARIOS DE LAS ACTIVIDADES DELICTIVAS

Ley 190 de 1995

[2–0901] Art. 44. Las  autoridades judiciales podrán levantar el velo corporativo de las personas jurídicas cuando fuere necesario determinar el verdadero beneficiario de las actividades adelantadas por ésta.

UNIDAD DE INFORMACIÓN Y ANÁLISIS FINANCIERO

Ley 526 de 1999

[2–0901–01] Art. 1. Unidad Administrativa Especial. Créase la unidad de información y análisis financiero, como una unidad administrativa especial, con personería jurídica, autonomía administrativa, patrimonio independiente y regímenes especiales en materia de administración de personal, nomenclatura, clasificación,  salarios  y prestaciones, de carácter técnico, adscrita al Ministerio de Hacienda y Crédito Público, cuyas funciones serán de intervención del Estado con el fin de detectar prácticas asociadas con el lavado de activos.

Los empleados de la unidad de información y análisis no serán de carrera administrativa. Los servidores públicos que laboren en la unidad administrativa especial que se crea mediante la presente ley, serán de libre nombramiento y remoción.

ESTRUCTURA ORGÁNICA DE LA UNIDAD DE INFORMACIÓN Y ANÁLISIS FINANCIERO

Ley 526 de 1999

[2–0901–02] Art. 2. Estructura Orgánica. la unidad que se crea mediante la presente ley, tendrá la siguiente estructura orgánica:

1- Dirección general

1.1 Oficina de control interno

2- Subdirección de análisis estratégico

3- Subdirección de análisis de operaciones

4- Subdirección administrativa y financiera

El director general de la unidad será nombrado por el Presidente de la república. Los demás funcionarios de la unidad de que trata esta ley, serán nombrados por el director general.

FUNCIONES DE  LA UNIDAD DE INFORMACIÓN Y ANÁLISIS FINANCIERO

Ley 526 de 1999

[2–0901–03] Art. 3.  Funciones de la unidad. Modificados por el artículo 4 de la Ley 1121 de 2006. La Unidad tendrá como objetivo la prevención y detección de operaciones que puedan ser utilizadas como instrumento para el ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u otros bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos vinculados con las mismas, prioritariamente el lavado de activos y la financiación del terrorismo. Para ello centralizará, sistematizará y analizará mediante actividades de inteligencia financiera la información recaudada, en desarrollo de lo previsto en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero y sus normas remisorias o complementarias, las normas tributarias, aduaneras y demás información que conozcan las entidades del Estado o privadas que pueda resultar relevante para el ejercicio de sus funciones. Dichas entidades estarán obligadas a suministrar de oficio o a solicitud de la Unidad, la información de que trata el presente artículo. Así mismo, la Unidad podrá recibir información de personas naturales.

La Unidad en cumplimiento de su objetivo, comunicará a las autoridades competentes y a las entidades legitimadas para ejercitar la acción de extinción de dominio, cualquier información pertinente dentro del marco de la lucha integral contra el lavado de activos, la financiación del terrorismo y las actividades que dan origen a la acción de extinción del dominio.

Inciso modificado por el artículo 11 de la Ley 1121 de 2006. La Unidad de que trata este artículo, dentro del ámbito de su competencia, podrá celebrar convenios de cooperación con entidades de similar naturaleza de otros estados e instancias internacionales pertinentes y con las instituciones nacionales públicas o privadas a que hubiere lugar, sin perjuicio de las obligaciones consagradas en la presente ley.

PARAGRAFO 1o. El Gobierno Nacional, para facilitar el cumplimiento de lo dispuesto en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero por parte de otros sectores, podrá establecer las modificaciones necesarias de acuerdo con la actividad económica de los mismos.

PARAGRAFO 2o. La Unidad podrá hacer el seguimiento de capitales en el extranjero en coordinación con las entidades de similar naturaleza en otros Estados.

MANEJO DE LA INFORMACIÓN POR PARTE DE LA UNIDAD

Ley 526 de 1999

[2–0901–04] Art. 9. Manejo de Información. La Unidad creada en la presente ley podrá solicitar a cualquier entidad pública, salvo la información reservada en poder de la Fiscalía General de la Nación, la información que considere necesaria para el cumplimiento de sus funciones.

Las entidades obligadas a cumplir con lo previsto en los artículos 102 a 107  del Estatuto Orgánico del Sistema Financiero deberán colocar en forma inmediata a disposición de la Unidad de que trata esta ley, la información atinente al conocimiento de un determinado cliente o transacción u operación cuando se les solicite.

Inciso modificado por el artículo 8 de la Ley 1121 de 2006. Para los temas de competencia de la UIAF, no será oponible la reserva bancaria, cambiaria, bursátil y tributaria respecto de las bases gravables y la determinación privada de los impuestos que figuren en las declaraciones tributarias, así como aquella que exista sobre los datos de suscriptores y equipos que suministran los concesionarios y licenciatarios que prestan los servicios de comunicaciones previstos en el artículo 32 de la Ley 782 de 2002, el registro de extranjeros, los datos sobre información judicial e investigaciones de carácter migratorio, el movimiento migratorio, tanto de nacionales como de extranjeros, antecedentes y anotaciones penales, y datos sobre la existencia y estado de investigaciones en los entes de control, lo anterior sin perjuicio de la obligación de las entidades públicas y de los particulares de suministrar de oficio o a solicitud de la Unidad, la información de que trata el artículo 30 de esta ley.

Inciso modificado por el artículo 8 de la Ley 1121 de 2006. La información que recaude la Unidad de que trata la presente ley en cumplimiento de sus funciones y la que se produzca como resultado de su análisis, estará sujeta a reserva, salvo solicitud de las autoridades competentes y las entidades legitimadas para ejercitar la acción de extinción de dominio quienes deberán mantener la reserva aquí prevista.

PARÁGRAFO. Adicionado por el artículo 8 de la Ley 1121 de 2006. Para el acceso a la información reservada a la cual tiene acceso la UIAF de acuerdo con la presente ley, y que esté bajo la custodia de otra autoridad, la UIAF podrá celebrar convenios en los que se precisen las condiciones para el acceso a la información y se garantice el mantenimiento de la reserva.

OBLIGACIÓN DE LAS ENTIDADES DEL ESTADO

Ley 526 de 1999

[2–0901–05] Art. 10. Obligación de las entidades del Estado. Las autoridades que ejerzan funciones de inspección, vigilancia y control, instruirán a sus vigiladas sobre las características, periodicidad y controles en relación con la información a recaudar para la unidad administrativa especial de que trata esta ley, de acuerdo con los criterios e indicaciones que reciban de ésta sobre el particular.

FUNCIONES DE POLICÍA JUDICIAL

Ley 526 de 1999

[2–0901–06] Art. 13. La Fiscalía podrá investir a la unidad de información y análisis financiero de funciones de policía judicial en forma transitoria en los términos del numeral 4 del artículo 251 de la Constitución.

CARACTERÍSTICAS DE LA INFORMACIÓN A REPORTAR A LA UNIDAD

Decreto Único Reglamentario del sector Hacienda y Crédito Público (antes art. 3 del Decreto 1497 de 2002)

[2–0902] Art. 2.14.3. Características de la información. De acuerdo con el artículo 11 de la Ley 526 de 1999, las entidades dedicadas a la actividad financiera, aseguradora o propias del mercado de valores, las entidades obligadas a cumplir con lo previsto en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero, así como las entidades incorporadas en el artículo 2 del presente decreto, deben reportar en forma inmediata y suficiente a  la Unidad de Información y Análisis Financiero cualquier información relevante sobre manejo de fondos cuya cuantía o características no guarden relación con la actividad económica de sus clientes o sobre transacciones de sus usuarios que por su número, por las cantidades tranzadas o por las características particulares de las mismas, puedan conducir razonablemente a sospechar que los mismos están usando a la entidad para transferir, manejar, aprovechar o invertir dineros o recursos provenientes de actividades delictivas.

Las entidades de que trata el artículo 2 del presente decreto deberán informar las operaciones que reúnan las características señaladas en el presente artículo con independencia de la naturaleza del bien o activo involucrado.

INFORMACIÓN ADICIONAL A REPORTAR A LA UNIDAD

Decreto Único Reglamentario del sector Hacienda y Crédito Público (antes art. 4 del Decreto 1497 de 2002)

[2–0902–01] Art. 2.14.4.  Información adicional. Las entidades obligadas a cumplir con lo previsto en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero y las incorporadas en el artículo 2 del presente decreto, deberán aportar la información adicional que requiera la Unidad de Información y Análisis Financiero, en el plazo y con las especificaciones que establezca dicha Unidad.  Las entidades y funcionarios que incumplan con los plazos o especificaciones de la solicitud, serán responsables administrativamente ante los órganos competentes, de acuerdo con las normas que rigen la materia.

RESERVA DE INFORMACIÓN

Decreto Único Reglamentario del sector Hacienda y Crédito Público (antes art. 5 del Decreto 1497 de 2002)

[2–0902–02] Art. 2.14.5. Reserva de Información. De acuerdo con el artículo 42  de la Ley 190 de 1995, las personas naturales y jurídicas obligadas a cumplir con los deberes establecidos en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero, en el presente decreto y demás normas aplicables, no serán sujetos de ningún tipo de responsabilidad por virtud de la información aportada en cumplimiento de las disposiciones citadas.

La información remitida a la Unidad de Información y Análisis Financiero en desarrollo de la Ley 526 de 1999, el presente decreto y demás normas aplicables, será objeto de la reserva prevista en el inciso cuarto del artículo 9 y los incisos segundo y tercero del artículo 11 de la misma Ley.

ACCESO A BASES DE DATOS DE ENTIDADES FINANCIERAS

Decreto Único Reglamentario del sector Hacienda y Crédito Público (antes art. 7 del Decreto 1497 de 2002)

[2–0902–03] Art. 2.14.7.  Bases de datos de entidades financieras. En desarrollo de lo previsto en el artículo 3 de la ley 526 de 1999, la Unidad de Información y Análisis Financiero tendrá acceso a las bases de datos de las entidades financieras, mediante la celebración de convenios con tales entidades.

REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO

NOTA DE FASECOLDA.- Mediante la Circular Externa 022 de 2007, se modificó el Capítulo XI de la Circular Básica Jurídica. Adicionalmente, dicha Circular Externa ha sido modificada por las Circulares Externas 022 de 2007, 061 de 2007, 09 de 2008 y 026 de 2008 de la Superintendencia Financiera. Finalmente, la Superintendencia Financiera expidió la Circular Externa 029 de 204, mediante la cual se expidió nuevamente la Circular Básica Jurídica.

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0903] PARTE I, TIT IV, CAP IV Consideraciones generales.

El lavado de activos y la financiación del terrorismo representan una gran amenaza para la estabilidad del sistema financiero y la integridad de los mercados por su carácter global y las redes utilizadas para el manejo de tales recursos. Tal circunstancia destaca la importancia y urgencia de combatirlos, resultando esencial el papel que para tal propósito deben desempeñar las entidades vigiladas por la SFC y el supervisor financiero.

Partiendo de ello, esta Superintendencia requiere que las entidades vigiladas implementen un Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo –SARLAFT- con el fin de prevenir que sean utilizadas para dar apariencia de legalidad a activos provenientes de actividades delictivas o para la canalización de recursos hacia la realización de actividades terroristas.

Así, en desarrollo de los arts. 102 y siguientes del EOSF, y en consonancia con el art. 22 de la Ley 964 de 2005, la SFC establece los criterios y parámetros mínimos que las entidades vigiladas deben atender en el diseño, implementación y funcionamiento del mencionado sistema.

El SARLAFT se compone de dos fases, a saber: la primera, que corresponde a la prevención del riesgo y cuyo objetivo es prevenir que se introduzcan al sistema financiero recursos provenientes de actividades relacionadas con el lavado de activos y/o de la financiación del terrorismo (en adelante LA/FT); y la segunda, que corresponde al control y cuyo propósito consiste en detectar y reportar las operaciones que se pretendan realizar o se hayan realizado, para intentar dar apariencia de legalidad a operaciones vinculadas al LA/FT.

La administración del riesgo de LA/FT tiene una naturaleza diferente a la de los procesos de administración de los riesgos típicamente financieros (crédito, técnicos de seguros, mercado, liquidez, etc.), pues mientras que los mecanismos para la administración del primero se dirigen a prevenirlo, detectarlo y reportarlo -oportuna y eficazmente-, los mecanismos para la administración de los segundos se dirigen a asumirlos íntegra o parcialmente en función del perfil de riesgo de la entidad y la relación rentabilidad / riesgo.

DEFINICIONES

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 014 de 2015 de la Superintendencia Financiera, modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera

[2–0903–01] PARTE I, TIT IV, CAP IV, NUM 1  Definiciones

Para efectos del presente Capítulo, los siguientes términos deben entenderse de acuerdo con las definiciones que a continuación se establecen:

1.1. Agentes económicos: Son todas las personas naturales o jurídicas que realizan operaciones económicas dentro de un sistema.

1.2. Beneficiario final: Es toda persona natural que, sin ser necesariamente Cliente, reúne cualquiera de las siguientes características:

1.2.1. Es propietaria directa o indirectamente de una participación superior al 5% de la persona jurídica que actúa como cliente.

1.2.2. Es aquella persona que pese a no ser propietario de una participación mayoritaria del capital de la persona jurídica que actúa como cliente, ejerce el control de la persona jurídica, de acuerdo con lo establecido en los arts. 26 y  27 de la Ley 222 de 1995. 

1.2.3. Es por cuenta de quien se lleva a cabo una transacción. Se entiende que esta persona es aquella sobre quien recaen los efectos económicos de dicha transacción.

Salvo disposición en contrario, las entidades deben tener en cuenta las notas interpretativas de las recomendaciones relacionadas con el beneficiario final emitidas por el Grupo de Acción Financiera (GAFI).

1.3. Canales de distribución: Se entienden como tales los regulados en la Parte I, Título II, Capítulo I de la CBJ.

1.4. Cliente: Es toda persona natural o jurídica con la cual la entidad establece y mantiene una relación contractual o legal para el suministro de cualquier producto propio de su actividad.

1.5. Factores de riesgo: Son los agentes generadores del riesgo de LA/FT. Para efectos del SARLAFT las entidades vigiladas deben tener en cuenta como mínimo los siguientes:

1.5.1. Clientes y usuarios

1.5.2. Productos

1.5.3. Canales de distribución

1.5.4. Jurisdicciones

1.6. Financiación del terrorismo: Es el conjunto de actividades encaminadas a canalizar recursos lícitos o ilícitos para promover, sufragar o patrocinar individuos, grupos o actividades terroristas.

1.7. Lavado de activos: Es el conjunto de actividades encaminadas a ocultar el origen ilícito o a dar apariencia de legalidad a recursos obtenidos producto de la ejecución de actividades ilícitas.

1.8. Producto: Son las operaciones legalmente autorizadas que pueden adelantar las entidades vigiladas mediante la celebración de un contrato (vr.gr. cuenta corriente o de ahorros, seguros, inversiones, CDT, giros, emisión de deuda, compra venta de valores, negocios fiduciarios, etc.)

1.9. Riesgos asociados al LA/FT: Son los riesgos a través de los cuales se materializa el riesgo de LA/FT. Estos son: reputacional, legal, operativo y de contagio.

1.9.1. Riesgo reputacional: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

1.9.2. Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. Surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

1.9.3. Riesgo operativo: Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

1.9.4. Riesgo de contagio: Es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por una acción o experiencia de un vinculado. El vinculado es el relacionado o asociado e incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la entidad.

1.10. Riesgo inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

1.11. Riesgo residual o neto: Es el nivel resultante del riesgo después de aplicar los controles.

1.12. Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).

1.13. Servicios: Son todas aquellas interacciones de las entidades sometidas a inspección y vigilancia de la SFC con personas diferentes a sus clientes.

1.14. Transferencia: Es la transacción efectuada por una persona natural o jurídica denominada ordenante, a través de una entidad autorizada en la respectiva jurisdicción para realizar transferencias nacionales y/o internacionales, mediante movimientos electrónicos o contables, con el fin de que una suma de dinero se ponga a disposición de una persona natural o jurídica denominada beneficiaria, en otra entidad autorizada para realizar este tipo de operaciones. El ordenante y el beneficiario pueden ser la misma persona.

1.15. Usuarios: Son aquellas personas naturales o jurídicas a las que, sin ser clientes, la entidad les presta un servicio.

1.16. Corresponsalía tras nacional: Es la relación contractual entre dos establecimientos de crédito, el primero denominado “establecimiento corresponsal” y el segundo “establecimiento representado”. Los establecimientos de crédito deben encontrarse en jurisdicciones diferentes. Son “establecimientos corresponsales” las entidades que le ofrecen/prestan determinados servicios a otros establecimientos de crédito y “establecimiento representado” aquellos que utilizan/reciben los servicios contratados con el “establecimiento corresponsal.

ÁMBITO DE APLICACIÓN 

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 034 de 2015 de la Superintendencia Financiera, modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera

[2–0904] PARTE I, TIT IV, CAP IV, NUM 2  Ámbito de aplicación.

Corresponde a las entidades vigiladas diseñar e implementar el SARLAFT de acuerdo con los criterios y parámetros mínimos exigidos en este Capítulo, sin perjuicio de advertir que de acuerdo con el literal e. del numeral 2 del art. 102 del EOSF debe estar en consonancia con los estándares internacionales sobre la materia, especialmente los proferidos por el GAFI – GAFISUD.

Salvo en lo dispuesto en el numeral 2.1 de este Capítulo, las siguientes entidades se encuentran exceptuadas de la aplicación de las instrucciones contenidas en el presente Capítulo: el Fondo de Garantías de Instituciones Financieras “Fogafin”, el Fondo de Garantías de Entidades Cooperativas “Fogacoop”, el Fondo Nacional de Garantías S.A. “F.N.G.”, los fondos mutuos de inversión sometidos a vigilancia permanente de la SFC, las sociedades calificadoras de valores y/o riesgo, las oficinas de representación de instituciones financieras y de reaseguros del exterior, los intermediarios de reaseguros, las oficinas de representación de instituciones del mercado de valores del exterior, los organismos de autorregulación, los INFIS y los proveedores de infraestructura de conformidad con la definición del art. 11.2.1.6.4 del Decreto 2555 de 2010, con excepción de los almacenes generales de depósito y los administradores de sistemas de pago de bajo valor. Estas excepciones no afectan el deber legal de dichas entidades de cumplir lo establecido en los arts. 102 a 107 del EOSF, en lo que les resulte pertinente de acuerdo con su actividad, especialmente respecto al envío de los reportes de transacciones en efectivo, clientes exonerados y ROS a la UIAF, para lo cual deben emplear los instructivos y formatos correspondientes, anexos al presente capítulo.

Igualmente, se encuentran exceptuadas de las presentes instrucciones las entidades administradoras del régimen de prima media con prestación definida, excepto aquellas que se encuentran autorizadas por la ley para recibir nuevos afiliados.

Las entidades sometidas a la inspección y vigilancia de la SFC que deban implementar el SARLAFT, y que en el desarrollo de su actividad pretendan vincular como clientes a entidades vigiladas por esta Superintendencia, se encuentran facultadas para exceptuar del cumplimiento de las instrucciones relativas al conocimiento del cliente a tales clientes.

El SARLAFT que implementen las entidades vigiladas en desarrollo de lo dispuesto en las presentes instrucciones debe atender a la naturaleza, objeto social y demás características particulares de cada una de ellas.

2.1. Funcionario responsable de las medidas de control del lavado de activos y financiación del terrorismo

De acuerdo con el numeral 3 del art. 102 del EOSF, las entidades vigiladas deben diseñar y poner en práctica procedimientos específicos para el control del riesgo de lavado de activos y financiación del terrorismo y designar funcionarios responsables de verificar el adecuado cumplimiento de dichos procedimientos.

Para tal efecto, las entidades vigiladas exceptuadas de la aplicación de las demás instrucciones establecidas en este Capítulo, de acuerdo con lo establecido en el numeral 2 (en adelante entidades vigiladas exceptuadas), deben atender las siguientes instrucciones:

2.1.1. Funciones

Las entidades vigiladas exceptuadas deben designar un funcionario, con su respectivo suplente, responsable de la administración de las medidas de control diseñadas para prevenir que en la realización de sus operaciones puedan ser utilizadas como instrumento para el ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u otros bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos vinculados con las mismas, el cual debe:

2.1.1.1. Participar en el diseño y aprobación de los procedimientos contra el lavado de activos y financiación del terrorismo.

2.1.1.2. Velar por el cumplimiento de dichos procedimientos y por la implementación de los correctivos establecidos para superar las deficiencias identificadas.

2.1.1.3. Presentar informes de gestión a la junta directiva u órgano que haga sus veces con una periodicidad mínima semestral. En caso de que por su naturaleza jurídica no exista dicho órgano, estas funciones corresponderán al representante legal.

2.1.1.4. Proponer a la administración la creación y actualización de manuales de procedimientos y velar por su divulgación a los funcionarios de la respectiva entidad.

2.1.1.5. Evaluar los informes de auditoría interna y externa de la entidad y diseñar las medidas para afrontar las deficiencias identificadas en los mismos, respecto a las medidas de control de los riesgos de lavado de activos y financiación del terrorismo.

2.1.1.6. Atender y coordinar cualquier requerimiento, solicitud, o diligencia de autoridad competente judicial o administrativa en esta materia.

2.1.1.7. Velar por el cumplimiento de lo establecido en el numeral 2 del art. 102 del EOSF.

2.1.1.8. Cumplir las obligaciones relacionadas con sanciones financieras dirigidas, establecidas en este Capítulo.

Las entidades vigiladas exceptuadas no deben contar con un oficial de cumplimiento.

2.1.2. Deberes respecto del funcionario responsable

Las entidades vigiladas exceptuadas deben:

2.1.2.1. Designar al funcionario responsable mediante la junta directiva o el órgano que haga sus veces. En caso de que por su naturaleza jurídica no exista dicho órgano, el representante legal deberá designarlo.

2.1.2.2. Garantizar que las labores adicionales que se asignen al funcionario responsable no generen conflictos de interés con las funciones listadas en el subnumeral 2.1.1 de este Capítulo.

2.1.2.3. Verificar que el funcionario responsable cuente con conocimientos suficientes del régimen legal y los estándares internacionales en materia de lavado de activos y financiación del terrorismo.

2.1.2.4. Verificar que el funcionario responsable no se encuentre en una lista restrictiva vinculante para Colombia.

2.1.2.5. Enviar dentro de los 15 días calendario, siguientes al nombramiento a la SFC la información relativa al nombre, número de identificación, teléfono y correo electrónico del Funcionario Responsable a través de los canales dispuestos para tal efecto. Será responsabilidad del representante legal de la entidad el diligenciamiento y la verificación de los datos descritos en este numeral.

DEFINICIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0904-01] PARTE I, TIT IV, CAP IV, NUM 3  Definición del Riesgo de Lavado de Activos y de la Financiación del Terrorismo

Para los efectos del presente Capítulo, se entiende por riesgo de LA/FT la posibilidad de pérdida o daño que puede sufrir una entidad vigilada por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de LA/FT se materializa a través de los riesgos asociados, estos son: el legal, reputacional, operativo y de contagio, a los que se expone la entidad, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando es utilizada para tales actividades.

ALCANCE DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0904-02] PARTE I, TIT IV, CAP IV, NUM 4  Alcance del Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo

El SARLAFT, como sistema de administración que deben implementar las entidades vigiladas para gestionar el riesgo de LA/FT, se instrumenta a través de las etapas y elementos que más adelante se describen, correspondiendo las primeras a las fases o pasos sistemáticos e interrelacionados mediante los cuales las entidades administran el riesgo de LA/FT, y los segundos al conjunto de componentes a través de los cuales se instrumenta de forma organizada y metódica la administración del riesgo de LA/FT en las entidades.

El SARLAFT debe abarcar todas las actividades que realizan las entidades vigiladas en desarrollo de su objeto social principal y prever, además, procedimientos y metodologías para que las entidades se protejan de ser utilizadas en forma directa, es decir, a través de sus accionistas, administradores y vinculados, como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.

Es deber de las entidades vigiladas revisar periódicamente las etapas y elementos del SARLAFT a fin de realizar los ajustes que consideren necesarios para su efectivo, eficiente y oportuno funcionamiento.

El SARLAFT que implementen y desarrollen las entidades vigiladas que se encuentren en las situaciones previstas en los arts. 260 del C.Cio. y el art. 28 de la Ley 222 de 1995 debe tener características similares con el fin de eliminar posibles arbitrajes entre ellas.

ETAPAS DEL SARLAFT 

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0905] PARTE I, TIT IV, CAP IV, NUM 4, SUBNUM. 4.1. Etapas del SARLAFT

El SARLAFT que implementen las entidades vigiladas debe comprender como mínimo las siguientes etapas:

4.1.1. Identificación,

4.1.2. Medición o evaluación,

4.1.3. Control, y

4.1.4. Monitoreo

4.1.1. Identificación

El SARLAFT debe permitir a las entidades vigiladas identificar los riesgos de LA/FT inherentes al desarrollo de su actividad, teniendo en cuenta los factores de riesgo definidos en el presente Capítulo.

Esta etapa debe realizarse previamente al lanzamiento de cualquier producto, la modificación de sus características, la incursión en un nuevo mercado, la apertura de operaciones en nuevas jurisdicciones, y el lanzamiento o modificación de los canales de distribución.

Como resultado de esta etapa las entidades vigiladas deben estar en capacidad de identificar los factores de riesgo y los riesgos asociados a los cuales se ven expuestas en relación al riesgo de LA/FT.

Para identificar el riesgo de LA/FT las entidades vigiladas deben como mínimo:

4.1.1.1. Establecer metodologías para la segmentación de los factores de riesgo.

4.1.1.2. Con base en las metodologías establecidas en desarrollo del subnumeral anterior, segmentar los factores de riesgo.

4.1.1.3. Establecer metodologías para la identificación del riesgo de LA/FT y sus riesgos asociados respecto de cada uno de los factores de riesgo segmentados.

4.1.1.4. Con base en las metodologías establecidas en desarrollo del numeral anterior, identificar las formas a través de las cuales se puede presentar el riesgo de LA/FT.

4.1.2. Medición o Evaluación

Concluida la etapa de identificación, el SARLAFT debe permitirle a las entidades vigiladas medir la posibilidad o probabilidad de ocurrencia del riesgo inherente de LA/FT frente a cada uno de los factores de riesgo, así como el impacto en caso de materializarse mediante los riesgos asociados. Estas mediciones podrán ser de carácter cualitativo o cuantitativo.

Como resultado de esta etapa las entidades deben estar en capacidad de establecer el perfil de riesgo inherente de LA/FT de la entidad y las mediciones agregadas en cada factor de riesgo y en sus riesgos asociados.

Para medir el riesgo de LA/FT las entidades deben como mínimo:

4.1.2.1. Establecer las metodologías de medición o evaluación con el fin de determinar la posibilidad o probabilidad de ocurrencia del riesgo de LA/FT y su impacto en caso de materializarse frente a cada uno de los factores de riesgo y los riesgos asociados.

4.1.2.2. Aplicar las metodologías establecidas en desarrollo del literal anterior, para realizar una medición o evaluación consolidada de los factores de riesgo y los riesgos asociados.

4.1.3. Control

En esta etapa las entidades vigiladas deben tomar las medidas conducentes a controlar el riesgo inherente al que se ven expuestas, en razón de los factores de riesgo y de los riesgos asociados.

Como resultado de esta etapa la entidad debe establecer el perfil de riesgo residual de LA/FT. El control debe traducirse en una disminución de la posibilidad de ocurrencia y/o del impacto del riesgo de LA/FT en caso de materializarse.

Para controlar el riesgo de LA/FT las entidades deben como mínimo:

4.1.3.1. Establecer las metodologías para definir las medidas de control del riesgo de LA/FT.

4.1.3.2. Aplicar las metodologías establecidas en desarrollo del subnumeral anterior sobre cada uno de los factores de riesgo y los riesgos asociados.

4.1.3.3. Establecer los niveles de exposición en razón de la calificación dada a los factores de riesgo en la etapa de medición.

4.1.3.4. Realizar los reportes de operaciones sospechosas a la Unidad Administrativa Especial de Información y Análisis Financiero – UIAF.

4.1.4. Monitoreo

Esta etapa debe permitir a las entidades vigiladas hacer seguimiento del perfil de riesgo y, en general, del SARLAFT, así como llevar a cabo la detección de operaciones inusuales y/o sospechosas.

Igualmente, debe permitir a las entidades comparar la evolución del perfil de riesgo inherente con el perfil de riesgo residual de LA/FT de la entidad.

Como resultado de esta etapa la entidad debe desarrollar reportes que permitan establecer las evoluciones del riesgo de la misma, así como la eficiencia de los controles implementados. Así mismo, en esta etapa se deben determinar las operaciones inusuales y sospechosas, sin perjuicio de lo establecido en el subnumeral 4.1.3.4 anterior.

Para monitorear el riesgo de LA/FT las entidades deben como mínimo:

4.1.4.1. Desarrollar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias del SARLAFT. Dicho seguimiento debe tener una periodicidad acorde con el perfil de riesgo residual de LA/FT de la entidad, pero en todo caso, debe realizarse con una periodicidad mínima semestral.

4.1.4.2. Realizar el seguimiento y comparación del riesgo inherente y residual de cada factor de riesgo y de los riesgos asociados.

4.1.4.3. Asegurar que los controles sean comprensivos de todos los riesgos y que los mismos estén funcionando en forma oportuna, efectiva y eficiente.

4.1.4.4. Establecer indicadores descriptivos y/o prospectivos que evidencien potenciales fuentes de riesgo de LA/FT.

4.1.4.5. Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.

ELEMENTOS DEL SARLAFT

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0905-01] PARTE I, TIT IV, CAP IV, NUM 4, SUBNUM. 4.2.  Elementos del SARLAFT.

El SARLAFT que implementen las entidades vigiladas debe tener como mínimo los siguientes elementos, los cuales deben desarrollar, siempre que resulte aplicable, las etapas del sistema:

4.2.1. Políticas

4.2.2. Procedimientos

4.2.3. Documentación

4.2.4. Estructura organizacional

4.2.5. Órganos de control

4.2.6. Infraestructura tecnológica

4.2.7. Divulgación de información

4.2.8. Capacitación

POLÍTICAS COMO ELEMENTO DEL SARLAFT

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0905-02] PARTE I, TIT IV, CAP IV, NUM 4, SUBNUM. 4.2.1 Políticas

Son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el SARLAFT. Cada una de las etapas y elementos del sistema debe contar con unas políticas claras y efectivamente aplicables.

Las políticas que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del SARLAFT y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad y de sus accionistas.

Las políticas deben incorporarse en un código de ética que oriente la actuación de los funcionarios de la entidad para el funcionamiento del SARLAFT y establezca procedimientos sancionatorios frente a su inobservancia. Así mismo, debe establecer las consecuencias que genera su incumplimiento.

Las políticas que adopten las entidades deben cumplir con los siguientes requisitos mínimos:

4.2.1.1. Impulsar a nivel institucional la cultura en materia de administración del riesgo de LA/FT.

4.2.1.2. Consagrar el deber de los órganos de administración y de control de las entidades vigiladas, del oficial de cumplimiento, así como de todos los funcionarios, de asegurar el cumplimiento de los reglamentos internos y demás disposiciones relacionadas con el SARLAFT.

4.2.1.3. Establecer lineamientos para la prevención y resolución de conflictos de interés.

4.2.1.4. Consagrar lineamientos más exigentes de vinculación de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que, por su perfil o por las funciones que desempeñan, pueden exponer en mayor grado a la entidad al riesgo de LA/FT.

4.2.1.5. Señalar los lineamientos que debe adoptar la entidad frente a los factores de riesgo y los riesgos asociados de LA/FT.

4.2.1.6. Garantizar la reserva de la información reportada conforme lo establece el art. 105 del EOSF.

4.2.1.7. Establecer las consecuencias que genera el incumplimiento del SARLAFT.

4.2.1.8. Consagrar la exigencia de que los funcionarios antepongan el cumplimiento de las normas en materia de administración de riesgo de LA/FT al logro de las metas comerciales.

PROCEDIMIENTOS COMO ELEMENTO DEL SARLAFT

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por las Circulares Externas 014 de 2015 y 034 de 2015 de la Superintendencia Financiera, modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera

[2–0905-03] PARTE I, TIT IV, CAP IV, NUM 4, SUBNUM. 4.2.2 Procedimientos

4.2.2. Procedimientos

Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT.

4.2.2.1. Requisitos que deben cumplir los procedimientos:

4.2.2.1.1. Instrumentar las diferentes etapas y elementos del SARLAFT.

4.2.2.1.2. Identificar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual.

4.2.2.1.3. Atender los requerimientos de información por parte de autoridades competentes.

4.2.2.1.4. Dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia, de conformidad con el derecho internacional y disponer lo necesario para que se consulten dichas listas, de manera previa y obligatoria a la vinculación de un potencial cliente a la entidad.

4.2.2.1.5. Consagrar las sanciones por incumplimiento a las normas relacionadas con el SARLAFT, así como los procesos para su imposición.

4.2.2.1.6. Implementar las metodologías para la detección de operaciones inusuales y sospechosas, y el oportuno y eficiente reporte de éstas últimas a las autoridades competentes.

4.2.2.1.7. Prever procesos para llevar a cabo un efectivo, eficiente y oportuno conocimiento de los clientes actuales y potenciales, así como la verificación de la información suministrada y sus correspondientes soportes, atendiendo como mínimo los requisitos establecidos en el presente instructivo.

En el caso de: (i) las cuentas de ahorro electrónicas de que trata el art. 2.25.1.1.1 del Decreto 2555 de 2010,  (ii) los créditos educativos de fomento para personas naturales a los que se refiere el art. 10.7.1.1.8 el mismo Decreto, (iii) las cuentas de ahorro con trámite simplificado para su apertura de que trata el numeral 5. del Capítulo III, Título I de la Parte II de esta Circular, (iv) los depósitos electrónicos que cumplan las características previstas en los artículos 2.1.15.2.2 y 2.1.15.2.5 del Decreto 2555 de 2010, (v) los créditos de consumo de bajo monto referidos en el Título 16, Libro 1 de la Parte 2 del Decreto 2555 de 2010 y (vi) los seguros tomados por personas naturales o jurídicas que cumplan los siguientes requisitos de forma simultánea: (a) que el valor asegurado sea igual o inferior a 135 SMMLV y (b) que el máximo pago bimestral de la prima sea igual o inferior a la novena parte de 1 SMMLV, (vii) las cuentas de ahorro pensional correspondientes a los aportes obligatorios del régimen de ahorro individual a que se refieren los art. 59 y siguientes de la Ley 100 de 1993 y (viii) las cuentas del auxilio de cesantías al que se refieren los art. 98 y siguientes de la Ley 50 de 1990; el proceso para llevar a cabo el conocimiento de los clientes debe comprender la individualización de los mismos a través de la verificación de la siguiente información contenida en el documento de identidad de los clientes: el nombre, el número y la fecha de expedición del documento de identificación. Esta verificación se debe llevar a cabo al momento de la vinculación del cliente, salvo en el caso de las cuentas del auxilio de cesantías en los que se hará al momento del retiro de los recursos. En el caso de los seguros aquí referidos, la verificación de la identidad del tomador debe efectuarse al momento de la vinculación del cliente y la de los beneficiarios durante el trámite de la reclamación del siniestro.

Las excepciones y reglas especiales contenidas en el presente Capítulo, para tales trámites o productos, aplican únicamente respecto de los mismos. Por lo tanto, en el evento en que un cliente que cuente con uno de tales productos, decida adquirir un producto o servicio diferente de aquéllos, las entidades vigiladas deben dar pleno cumplimiento a las disposiciones vigentes.

4.2.2.1.8. Establecer procedimientos de conocimiento del cliente más estrictos e incrementar el grado y naturaleza del monitoreo de la relaciones comerciales establecidas con personas naturales o jurídicas provenientes de países de mayor riesgo o cuyos recursos provengan de dichos países, conforme a lo establecido por GAFI.

4.2.2.2. Mecanismos

Las entidades deben adoptar mecanismos que les permitan como mínimo efectuar un adecuado:

4.2.2.2.1. Conocimiento del cliente -actual y potencial-

4.2.2.2.2. Conocimiento del mercado

4.2.2.2.3. Identificación y análisis de operaciones inusuales

4.2.2.2.4. Determinación y reporte de operaciones sospechosas

4.2.2.2.1. Conocimiento del cliente

El SARLAFT debe contar con procedimientos para obtener un conocimiento efectivo, eficiente y oportuno de todos los clientes actuales y potenciales, así como para verificar la información y los soportes de la misma.

Los procedimientos de conocimiento del cliente aplicados por otras entidades vigiladas con relación al mismo cliente potencial, no eximen de responsabilidad a la entidad de conocerlo, aún cuando pertenezcan a un mismo grupo.

Las entidades vigiladas no pueden iniciar relaciones contractuales o legales con el potencial cliente mientras no se haya diligenciado en su integridad el formulario, realizado la entrevista, adjuntados los soportes exigidos y aprobado la vinculación del mismo, como mínimo. La vinculación de personas jurídicas debe estar soportada por un documento actualizado que certifique la existencia y representación de la misma, expedido por una entidad competente.

Las instrucciones contenidas en el presente subnumeral deben aplicarse igualmente respecto de las personas naturales o jurídicas que pretendan adquirir activos fijos de una entidad.

4.2.2.2.1.1. Datos indispensables para conocer de manera permanente y actualizada:

4.2.2.2.1.1.1. Identificación. Supone el conocimiento y verificación de los datos exigidos en el formulario que permiten individualizar plenamente la persona natural o jurídica que se pretende vincular.

Las entidades deben tomar medidas razonables para obtener el nombre y el número de identificación de los beneficiarios finales y consultar, como mínimo, las listas internacionales vinculantes para Colombia.

Tratándose de la vinculación de personas jurídicas, el conocimiento del cliente supone, además de lo dispuesto en el formulario, conocer la estructura de su propiedad, es decir, la identidad de los accionistas o asociados que tengan directa o indirectamente más del 5% de su capital social, aporte o participación en la entidad. Cuando el cliente o el propietario de una participación superior al 5% del capital de un cliente es una sociedad comercial que cotiza en bolsa de valores y está sujeta a requisitos de revelación de información en el mercado de valores, no es necesario identificar a los beneficiarios finales de dichas sociedades.

4.2.2.2.1.1.2. Actividad económica.

4.2.2.2.1.1.3. Características, montos y procedencia de sus ingresos y egresos.

4.2.2.2.1.1.4. Respecto de clientes vigentes, las características y montos de sus transacciones y operaciones.

4.2.2.2.1.2. Metodologías para conocer al cliente:

Las metodologías establecidas deben permitir a las entidades, cuando menos:

4.2.2.2.1.2.1. Recaudar la información que le permita comparar las características de sus transacciones con las de su actividad económica.

4.2.2.2.1.2.2. Monitorear continuamente las operaciones de los clientes.

4.2.2.2.1.2.3. Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos clientes y determinar la existencia de operaciones sospechosas.

4.2.2.2.1.3 Formularios

Para efectos del conocimiento del cliente, las entidades deben diseñar y adoptar formularios de solicitud de vinculación de clientes que contengan cuando menos la información que más adelante se indica, los cuales deben diligenciarse de acuerdo con las instrucciones señaladas en el presente instructivo. Salvo en los casos expresamente exceptuados en el presente Capítulo, las entidades deben obtener de los potenciales clientes, el diligenciamiento de los formularios de solicitud de vinculación para el suministro de productos o prestación de servicios. Dicho formulario debe también ser diligenciado por toda persona que se encuentre facultada o autorizada para disponer de los recursos o bienes objeto del contrato, caso en el cual la entidad debe verificar el documento que acredita dicha facultad o autorización. La recolección de la firma y la huella del potencial cliente pueden contratarse con terceros.

Los formularios de solicitud de vinculación de clientes y de sus actualizaciones que diseñen las entidades vigiladas deben contener espacios para recolectar, cuando menos, los datos que a continuación se señalan, sin perjuicio de la información adicional que cada entidad haya determinado como relevante y necesaria para controlar el riesgo de LA/FT.

PN: Vinculación de persona natural     PJ: Vinculación de persona jurídica

Descripción PN PJ
Nombre y apellidos completos o Razón Social. X X
Personas Nacionales: Número de identificación: NIT, registro civil de nacimiento, cédula de ciudadanía y tarjeta de identidad. X X
Personas Extranjeras: Número de identificación: Cédula de extranjería, pasaporte vigente para titulares de visa de turista o visitante u otra clase de visa con vigencia inferior a tres (3) meses, o carné expedido por la Dirección de Protocolo del Ministerio de Relaciones Exteriores para titulares de Visas Preferenciales (diplomático, consular, de servicio, de organismos internacionales o administrativo, según el caso, y de acuerdo con las normas migratorias vigentes). X
Nacionales turistas de los países miembros de la Comunidad Andina de Naciones. Número de identificación: Documento de identificación válido y vigente en el país emisor con el cual ingresó a Colombia. X
Nombre y apellidos completos del representante, apoderado y número de identificación. X X
Dirección y teléfono del representante. X
Lugar y fecha de nacimiento. X
Dirección y teléfono residencia. X
Ocupación, oficio o profesión. X
Descripción actividad: – Independiente, dependiente, cargo que ocupa.

– Actividad económica principal: comercial, industrial, transporte, construcción, agroindustria, servicios financieros, etc., acorde con lo establecido en el código internacional CIIU.

X X
Nombre, dirección, fax y teléfono de la oficina, empresa o negocio donde trabaja si aplica.

Dirección, teléfono, fax y ciudad de la oficina principal y de la sucursal o agencia que actúe como cliente.

X X
Identificación de los accionistas o asociados que tengan directa o indirectamente más del 5% del capital social, aporte o participación. X
Tipo de empresa: privada, pública, mixta. X
Declaración de origen de los bienes y/o fondos, según el caso (puede ser un anexo). X X
Ingresos y egresos mensuales. X X
Detalle de otros ingresos, ingresos no operacionales u originados en actividades diferentes a la principal. X X
Total activos y pasivos. X X
En el caso de fiducia, la clase de recursos e identificación del bien que se entrega. X X
Autorización para consulta y reporte a las centrales de riesgo. X X
Manifestación sobre la realización de actividades en moneda extranjera. X X
Firma y huella del solicitante. X X
Fecha de diligenciamiento. X X

Si la actividad del potencial cliente involucra transacciones en moneda extranjera, el formulario debe contener espacios para recolectar la siguiente información:

Descripción

PN PJ
El tipo de operaciones en moneda extranjera que normalmente realiza. X X
Productos financieros que posea en moneda extranjera especificando como mínimo: Tipo de producto, identificación del producto, entidad, monto, ciudad, país y moneda. X X

En el evento en que el potencial cliente no cuente con la información solicitada, se debe consignar dicha circunstancia en el espacio correspondiente

La información soporte de la vinculación de los clientes debe tenerse en cuenta para el diseño e implementación de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la detección oportuna de operaciones inusuales.

4.2.2.2.1.4. Alcance

Es deber permanente de las entidades vigiladas identificar al(a los) beneficiario(s) final(es) de todos los productos que suministren.

4.2.2.2.1.4.1. En el caso de contratos de seguros se debe solicitar la siguiente información adicional: i) vínculos existentes entre el tomador, asegurado, afianzado y beneficiario; ii) relación de las reclamaciones presentadas e indemnizaciones recibidas por concepto de seguros, respecto de cualquier asegurador, en los 2 últimos años; y iii) inventario general de los bienes objeto del seguro, salvo cuando se trate de pólizas flotantes o automáticas.

En los contratos de seguros y capitalización, cuando el asegurado, afianzado y/o beneficiario sea una persona diferente al tomador o suscriptor, debe recaudarse la información al momento de la vinculación, salvo que el tomador o suscriptor señale claramente las razones que le impiden suministrar la información de aquellos y la entidad las encuentre justificadas, en cuyo caso tal información debe recaudarse al momento de la presentación de la reclamación, vencimiento y pago del título, rescisión del mismo, pago del sorteo o presentación de la solicitud de préstamo sobre el título. En los eventos en que el asegurado, afianzado y/o beneficiario no suministren la información exigida en el presente instructivo, la operación debe calificarse como inusual.

4.2.2.2.1.4.2. En todo caso, cuando por virtud de la naturaleza o estructura de un contrato en el momento de la vinculación del cliente no sea posible conocer la identidad de otras personas que se vinculan como clientes, (p. ej. beneficiarios de contratos de seguro y fiducia, cuya identidad sólo se establece en el futuro) la información relativa a ellos debe obtenerse en el momento en que se individualicen.

4.2.2.2.1.4.3. En el evento en que la contratación de los productos ofrecidos por las entidades aseguradoras o de capitalización se lleve a cabo por parte de intermediarios de seguros o de capitalización, el proceso de conocimiento del cliente puede dejarse a cargo del intermediario, siempre que se haga bajo los parámetros, procedimientos y metodologías previamente establecidos por la entidad vigilada contratante que deben incorporar lineamientos respecto el suministro efectivo de información a las entidades aseguradoras o de capitalización. En todo caso la responsabilidad sigue radicada en cabeza de ésta última.

4.2.2.2.1.4.4. Tratándose de clientes de los almacenes generales de depósito que depositen sus mercancías en los depósitos públicos habilitados de que trata el Decreto 2685 de 1999 -Estatuto Aduanero-, las entidades vigiladas deben procurar actuar con la mayor diligencia y hacer el mejor esfuerzo con la finalidad de obtener la información necesaria para conocer al cliente. En el evento que el cliente se rehúse a suministrar dicha información, la entidad debe evaluar las acciones que deba adelantar.

4.2.2.2.1.4.5. Tratándose de relaciones de corresponsalía trasnacional, las entidades vigiladas deben establecer mecanismos que les permitan:

4.2.2.2.1.4.5.1. Obtener la aprobación de los funcionarios de alto nivel jerárquico antes de establecer relaciones de corresponsalía trasnacional;

4.2.2.2.1.4.5.2. Reunir información suficiente sobre el establecimiento representado que les permita comprender cabalmente la naturaleza de sus negocios, incluyendo si ha sido objeto de sanción o intervención de la autoridad de control por lavado de activos o financiación del terrorismo, así como cualquier otra información que permita establecer una relación de corresponsalía trasnacional con transparencia para ambas partes.

4.2.2.2.1.4.5.3. Determinar que la entidad tenga controles para prevenir y controlar el lavado de activos y la financiación del terrorismo;

4.2.2.2.1.4.5.4. Documentar las respectivas responsabilidades de cada institución frente al LA/FT.

4.2.2.2.1.4.5.5. Aplicar procedimientos más estrictos para el seguimiento a tales relaciones.

4.2.2.2.1.4.5.6. Establecer y llevar a cabo procedimientos internos para verificar que el establecimiento representado no sea una institución o banco pantalla, según la definición de GAFI y que dicho establecimiento cumpla con las medidas de conocimiento del cliente.

4.2.2.2.1.4.5.7. Suministrar información relacionada con el conocimiento del cliente al establecimiento corresponsal, asegurando el cumplimiento de las normas vigentes relacionadas con la circulación de datos personales.

4.2.2.2.1.4.6. Las entidades vigiladas que celebren negocios fiduciarios deben identificar a los beneficiarios finales de los recursos objeto de dichos negocios, incluyendo a los fideicomitentes y beneficiarios.

4.2.2.2.1.5. Conocimiento del cliente por parte de grupos

Las entidades vigiladas que se encuentren en las situaciones previstas en los arts. 260 del C.Cio y el art. 28 de la Ley 222 de 1995 pueden llevar a cabo la vinculación de clientes a través de la entidad del grupo que establezca una relación contractual y lo vincule por primera vez, siempre y cuando se dé cumplimiento a las reglas que se encuentran a continuación.

En estos casos corresponde a la matriz del grupo siempre que se trate de una entidad vigilada o, en su defecto, a la que el grupo designe, realizar la consolidación y evaluación del perfil de riesgo residual de LA/FT del grupo.

4.2.2.2.1.5.1. La responsabilidad de adelantar todas las gestiones necesarias tendientes a confirmar y actualizar, como mínimo, en forma anual la información corresponde a la entidad vigilada que el grupo designe para el efecto o, en su defecto, a la matriz.

4.2.2.2.1.5.2. El grupo debe diseñar un formato único de vinculación de clientes que contenga, cuando menos, la totalidad de los requisitos de información exigidos en el presente Capítulo, así como la información requerida respecto de todos los productos que ofrezcan las entidades del grupo. Así mismo, el formato debe contener una estipulación en la que el cliente autorice de manera expresa e inequívoca su remisión a las demás entidades del mismo grupo a las que sucesivamente se vincule. En todo caso corresponde a la entidad con la cual se pretende vincular el potencial cliente determinar cuál información, además de la mínima exigida en el presente Capítulo, debe suministrarle para llevar a cabo su vinculación.

4.2.2.2.1.5.3. La responsabilidad de actualizar la información adicional a la mínima está en cabeza de cada una de las entidades con las cuales el cliente mantenga una relación contractual, sin perjuicio de dar cumplimiento a las demás normas del SARLAFT.

4.2.2.2.1.5.4. Es obligación permanente de cada una de las entidades vigiladas que conforman un grupo incluir las modificaciones y solicitar la información adicional que como resultado de la evaluación y seguimiento de los factores de riesgo haya determinado cada una de ellas como relevante y necesaria para controlar el riesgo de LA/FT.

4.2.2.2.1.6. Excepciones a la obligación de diligenciar el formulario de solicitud de vinculación de clientes y de realizar entrevista.

En el desarrollo de los procedimientos de conocimiento del cliente, las entidades no están obligadas a exigir el formulario de  solicitud de vinculación ni realizar entrevista al potencial cliente cuando quiera que se trate de alguna de las operaciones, productos o servicios que se encuentran listados en este subnumeral. Estas excepciones implican un tratamiento diferencial de las entidades vigiladas en las gestiones de conocimiento de sus clientes, poblamiento de la base de datos y el respectivo monitoreo de los factores de riesgo. Para los mencionados tipos de clientes, productos, operaciones, servicios, la segmentación de los factores de riesgo referido en el numeral 4.2.2.3.2 del presente capítulo, deberá realizarse con la información que tengan disponible las entidades. En todo caso, las entidades vigiladas, a medida que cuenten con información adicional, deben dar cumplimiento a las instrucciones del presente Capítulo.

4.2.2.2.1.6.1. Operaciones realizadas con organismos multilaterales.

4.2.2.2.1.6.2. La constitución de fiducias de administración para el pago de obligaciones pensionales.

4.2.2.2.1.6.3. En los títulos de capitalización colocados mediante mercadeo masivo o contratos de red, siempre que el pago de las cuotas se haga mediante descuento directo de cuenta de ahorros, cuenta corriente o tarjeta de crédito, y que el cliente haya autorizado expresamente el traslado.

4.2.2.2.1.6.4. En los siguientes seguros:

4.2.2.2.1.6.4.1. Los tomados por entidades financieras, aseguradoras o sociedades administradoras de fondos de pensiones por cuenta de sus clientes.

4.2.2.2.1.6.4.2. Los relativos a la seguridad social.

4.2.2.2.1.6.4.3. Aquellos en que el tomador, asegurado, afianzado o beneficiario sea una persona jurídica bajo el régimen de derecho público, salvo los tomados por empresas industriales y comerciales del Estado y/o sociedades de economía mixta que no estén sometidas a inspección y vigilancia de la SFC.

4.2.2.2.1.6.4.4. Los contratos de reaseguro.

4.2.2.2.1.6.4.5. Los tomados mediante mercadeo masivo o banca seguros siempre que el pago de las primas se haga mediante descuento directo de cuenta de ahorros, cuenta corriente o tarjeta de crédito, y que el cliente haya autorizado expresamente el traslado.

4.2.2.2.1.6.4.6. Aquellos tomados por personas naturales o jurídicas por cuenta y a favor de sus empleados, cuyo origen sea un contrato de trabajo o relación laboral, respecto de la información del asegurado y el beneficiario. En lo que hace al tomador, la información debe solicitarse en su totalidad.

4.2.2.2.1.6.4.7. Aquellos que las entidades aseguradoras están obligadas a expedir por disposición legal.

4.2.2.2.1.6.4.8. Aquellos otorgados mediante procesos de licitación pública.

4.2.2.2.1.6.4.9. De cumplimiento cuando se celebren para garantizar el cumplimiento de contratos con entidades de carácter público.

4.2.2.2.1.6.4.10. De accidentes personales en vuelo.

4.2.2.2.1.6.4.11. Los contratos de coaseguro para las compañías distintas a la líder.

4.2.2.2.1.6.4.12. Pólizas judiciales.

4.2.2.2.1.6.4.13. De salud.

4.2.2.2.1.6.4.14. Exequiales.

4.2.2.2.1.6.4.15. Aquellos referidos en el subnumeral 4.2.2.1.7 del presente Capítulo, los cuales también están exceptuados de las obligaciones contenidas en los subnumerales 4.2.2.2.1.6.17.1, 4.2.2.2.1.6.17.2 y 4.2.2.2.1.6.17.3.

Adicionalmente, para los mencionados seguros, la segmentación de los factores de riesgo, a la que se refiere el subnumeral 4.2.2.3.2 del presente Capítulo, debe realizarse con la información que tengan disponible las entidades.

4.2.2.2.1.6.5. Cuentas de ahorro abiertas exclusivamente para el manejo y pago de pasivos pensionales.

4.2.2.2.1.6.6. En los créditos que se instrumentan a través de libranza siempre que estas no excedan de 6 SMMLV y sean otorgadas a empleados de empresas que se encuentren previamente vinculadas en calidad de cliente con la entidad vigilada otorgante del crédito.

4.2.2.2.1.6.7. Cuentas de ahorro pensional correspondientes a los aportes obligatorios del régimen de ahorro individual a que se refieren los art. 59 y siguientes de la Ley 100 de 1993.

4.2.2.2.1.6.8. Cuentas del auxilio de cesantías al que se refieren los art. 98 y siguientes de la Ley 50 de 1990

4.2.2.2.1.6.9. Los productos o servicios financieros abiertos a nombre de los beneficiarios del programa “Familias en Acción” y “Familias Guardabosques” que hacen parte del programa “Contra Cultivos Ilícitos” administrados por la Departamento Administrativo para la Prosperidad Social siempre que estén destinadas exclusivamente al manejo de los recursos provenientes de dichos programas.

4.2.2.2.1.6.10. Aquellas operaciones, productos o servicios financieros en los cuales la información del potencial cliente se suministre directamente por una caja de compensación legalmente constituida y contenga cuando menos, la información de que trata el subnumeral 4.2.2.2.1. del “Conocimiento del cliente”.

4.2.2.2.1.6.11. Cuentas de ahorro abiertas exclusivamente para el pago de nómina. Cuando se manejen otros recursos en tales cuentas, no se aplica dicha excepción.

4.2.2.2.1.6.12. Cuentas de ahorro electrónicas de que trata el art. 2.25.1.1.1 del Decreto 2555 de 2010. .

4.2.2.2.1.6.13. Los fondos de inversión colectiva en los que se inviertan los recursos recuperados que se restituyan a los afectados por los captadores o recaudadores no autorizados, a que se refiere el Decreto 4334 de 2008. Dicha excepción se aplica exclusivamente para la inversión de los citados recursos.

4.2.2.2.1.6.14. Las cuentas de ahorro con trámite simplificado para su apertura, a las que se refiere el numeral 5. del Capítulo III, Título I de la Parte II de esta Circular.

4.2.2.2.1.6.15. Los créditos educativos de que trata el art. 10.7.1.1.8. del Decreto 2555 de 2010, otorgados a personas naturales. Para que proceda esta excepción, el Instituto Colombiano de Crédito y Estudios Técnicos en el Exterior -ICETEX- debe contar con mecanismos alternativos que le permitan realizar un adecuado conocimiento de los destinatarios de tales créditos y que reconozcan la naturaleza de las operaciones que realiza.

4.2.2.2.1.6.16. Las transferencias de recursos de que trata el art. 1 del Decreto 4830 de 2010, realizadas por el Fondo Nacional de Calamidades a entidades públicas del orden nacional o territorial para ser administrados por éstas. Tratándose de los ordenadores del gasto y de las firmas autorizadas que puedan disponer de los recursos que el Fondo sitúe en los fondos de inversión colectiva de la Fiduciaria Previsora S.A. o de la entidad que para el efecto designe el Gobierno Nacional para la Administración del Fondo, cuentan con 20 días para obtener la información respectiva.

4.2.2.2.1.6.17. Los depósitos electrónicos que cumplan las características previstas en los artículos 2.1.15.2.2 y 2.1.15.2.5 del Decreto 2555 de 2010, las cuentas de ahorro con trámite simplificado cuyos saldos máximos no excedan en ningún momento 3 SMMLV, de acuerdo con lo señalado por el subnumeral 5.4 del Capítulo III, Título I de la Parte II de esta Circular y los créditos de consumo de bajo monto referidos en el Título 16, Libro 1 de la Parte 2 del Decreto 2555 de 2010, están exceptuados, además, de las obligaciones contenidas en las siguientes disposiciones del presente Capítulo:

4.2.2.2.1.6.17.1. Los subnumerales 4.2.2.2.1.1.2. y 4.2.2.2.1.1.3. del. “Conocimiento del cliente”.

4.2.2.2.1.6.17.2. El subnumeral 4.2.2.2.1.7. de las “Personas públicamente expuestas”

4.2.2.2.1.6.17.3. El subnumeral 4.2.2.2.2. del “Conocimiento del mercado”.

Adicionalmente, para los mencionados depósitos, cuentas de ahorro y los créditos de consumo de bajo monto referidos en el subnumeral 4.2.2.1.7 de este Capítulo, la segmentación de los factores de riesgo, a la que se refiere el subnumeral 4.2.2.3.2 del presente Capítulo, debe realizarse con la información que tengan disponible las entidades.

4.2.2.2.1.7. Personas públicamente expuestas

El SARLAFT debe prever procedimientos más exigentes de vinculación y monitoreo de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT. Estas se denominan personas públicamente expuestas, concepto que incluye: personas expuestas políticamente -según lo establecido en el Decreto 1674 de 2016-, representantes legales de organizaciones internacionales y personas que gozan de reconocimiento público. Las entidades deben establecer criterios para la clasificación de clientes que gocen de reconocimiento público como personas públicamente expuestas.

En tal sentido, el SARLAFT debe contener mecanismos efectivos, eficientes y oportunos que permitan identificar los casos de clientes o beneficiarios finales que responden a tales perfiles, así como procedimientos de control y monitoreo más exigentes respecto de las operaciones que realizan. Dichos procedimientos deben prever herramientas de identificación de: (i) beneficiarios finales, (ii) administradores, en el sentido establecido en el art. 22 de la Ley 222 de 1995, en caso de que el cliente sea persona jurídica, (iii) las personas que tengan sociedad conyugal, de hecho o de derecho, con las personas públicamente expuestas, (iv) los familiares hasta el segundo grado de consanguinidad, segundo de afinidad y primero civil de las personas públicamente expuestas.

Dichas personas deben tener el mismo tratamiento que las personas públicamente expuestas  respecto de procedimientos más exigentes de vinculación y monitoreo del cliente y sus operaciones. En todo caso, el estudio y aprobación de la vinculación de tales clientes debe llevarse a cabo por una instancia o empleado de jerarquía superior al que normalmente aprueba las vinculaciones en la entidad.

El evento en que un cliente, accionista, administrador o beneficiario final de la entidad vigilada pase a ser una persona públicamente expuesta en los términos señalados en el presente numeral, debe informarse a la instancia o empleado de jerarquía superior encargado de tales vinculaciones y al personal encargado del seguimiento de clientes y beneficiarios finales y aplicar los procedimientos establecidos para las personas públicamente expuestas.

4.2.2.2.1.8. Parámetros de los procedimientos de conocimiento del cliente

4.2.2.2.1.8.1. Parámetros mínimos:

4.2.2.2.1.8.1.2. Salvo lo dispuesto en el siguiente subnumeral de los “Procedimientos especiales para la realización de entrevistas”, contemplar la realización de una entrevista presencial al potencial cliente de la cual debe dejarse constancia documental, indicando el empleado de la entidad que la realizó, la fecha y hora en que se efectuó, así como los resultados de la misma.

4.2.2.2.1.8.1.3. El diligenciamiento del formulario, así como el recaudo de los documentos y la firma de los mismos, puede efectuarse de acuerdo con el procedimiento señalado en la Ley 527 de 1999. Sin embargo, el empleo de dichos procedimientos no sustituye la entrevista al potencial cliente. Es permitido sustituir la firma y huella en el formulario, siempre y cuando se tomen medidas efectivas para garantizar el conocimiento de la identidad del cliente, permitidas por normas superiores

4.2.2.2.1.8.2. Procedimientos especiales para la realización de entrevistas

Pueden emplearse metodologías y procedimientos de conocimiento del cliente que consideren la realización de entrevistas no presenciales o la realización de entrevistas por personal que no tenga la condición de empleado de la entidad, bajo las siguientes condiciones:

4.2.2.2.1.8.2.1. Señalar en el procedimiento, las razones objetivas por las cuales se considera necesaria la implementación, atendiendo los objetivos del SARLAFT.

4.2.2.2.1.8.2.2. Contemplar un seguimiento más estricto de los clientes vinculados bajo tales modalidades.

En aquellos casos en que alguno de los factores de riesgo involucrados esté calificado por la entidad como de alto riesgo, con excepción de la jurisdicción, deben realizarse entrevistas presenciales y por personal que tenga la condición de empleado de la entidad.

4.2.2.2.1.9. Reglas especiales sobre cuentas para el manejo de los recursos de las campañas políticas y partidos políticos

4.2.2.2.1.9.1. Metodologías

De conformidad con lo establecido en el presente instructivo, se considera que las campañas políticas y los partidos políticos exponen en mayor grado a la entidad al riesgo de LA/FT, por lo que corresponde a las entidades vigiladas que manejen productos a través de los cuales se reciban y administren recursos o bienes para las campañas políticas y partidos políticos, acordar con las gerencias o los responsables de los mismos el diseño y adopción de metodologías efectivas, eficientes y oportunas de identificación y conocimiento de sus donantes y a portantes de manera que permitan un control y monitoreo estricto de las operaciones que se realicen.

Dichas metodologías deben permitir también como mínimo:

4.2.2.2.1.9.1.1. Identificar las operaciones inusuales y reportar las sospechosas vinculadas a donaciones o aportes

4.2.2.2.1.9.1.2. Identificar los funcionarios de las campañas políticas y partidos políticos autorizados para efectuar retiros, traslados o disponer de los bienes.

4.2.2.2.1.9.1.3. Controlar los aportes o donaciones en efectivo

4.2.2.2.1.9.2. Mecanismos

Adicional mente y también en coordinación con los gerentes o los responsables de las campañas y partidos, las entidades vigiladas pueden establecer, entre otros, mecanismos mediante los cuales:

4.2.2.2.1.9.2.1. Se exija la autorización del gerente o responsable de la campaña y/o partido para permitir la recepción de aportes, donaciones, o la admisión de traslados o transferencias de recursos de cualquier otra cuenta o producto financiero a la cuenta de la campaña y/o partido, como regla general o a partir de determinada cuantía

4.2.2.2.1.9.2.2. Se establezca un procedimiento para la devolución de aportes o donaciones que a juicio del gerente o responsable de la campaña y/o partido no deban contribuir a la financiación de la misma

4.2.2.2.1.9.2.3. Se fije una cuantía máxima par el depósito o retiro de sumas en efectivo.

4.2.2.2.1.9.4. Se establezca un procedimiento general y expedito de información al público sobre los movimientos de dichas cuentas.

Los citados mecanismos e instrumentos deben quedar consignados en un documento suscrito por el representante legal de la entidad vigilada y el gerente o responsable de la campaña y/o partido, el cual debe estar a disposición de esta Superintendencia y de las autoridades competentes.

4.2.2.2.2. Conocimiento del mercado

Las entidades deben conocer a fondo las características particulares de las actividades económicas de sus clientes, así como de las operaciones que estos realizan en los diferentes mercados. El SARLAFT debe incorporar y adoptar procedimientos que le permitan a la entidad conocer a fondo el mercado al cuál se dirigen los productos que ofrece. El conocimiento del mercado debe permitirle a la entidad establecer con claridad cuáles son las características usuales de los agentes económicos que participan en él y las transacciones que desarrollan.

La entidad debe establecer las variables relevantes que le permitan realizar el conocimiento del mercado para cada uno de los factores de riesgo.

4.2.2.2.3. Identificación y análisis de operaciones inusuales

El SARLAFT debe permitir a las entidades establecer cuándo una operación se considera como inusual. Para ello debe contar con metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales, entendidas estas como aquellas transacciones que cumplen, cuando menos con las siguientes características:

4.2.2.2.3.1. No guardan relación con la actividad económica o se salen de los parámetros adicionales fijados por la entidad.

4.2.2.2.3.2. Respecto de las cuales la entidad no ha encontrado explicación o justificación que se considere razonable.

En el caso de identificación y análisis de las operaciones de usuarios, las entidades deben determinar cuáles de éstas resultan relevantes, teniendo en cuenta el riesgo al que exponen a la entidad y basados en los criterios previamente establecidos por las mismas.

Las entidades deben dejar constancia de cada una de las operaciones inusuales detectadas, así como del responsable o responsables de su análisis y los resultados del mismo.

4.2.2.2.4. Determinación y reporte de operaciones sospechosas

La confrontación de las operaciones detectadas como inusuales, con la información acerca de los clientes o usuarios y de los mercados, debe permitir, conforme a las razones objetivas establecidas por la entidad, identificar si una operación es o no sospechosa y reportarlo de forma oportuna y eficiente a la UIAF.

Los procedimientos de detección y reporte de operaciones sospechosas deben tener en cuenta que las entidades están en la obligación de informar a las autoridades competentes de manera inmediata y eficiente sobre cada operación de este tipo que conozcan.

4.2.2.3. Instrumentos

Para que los mecanismos adoptados por las entidades operen de manera efectiva, eficiente y oportuna, el SARLAFT debe contar como mínimo con los siguientes instrumentos:

4.2.2.3.1. Señales de alerta o alertas tempranas

4.2.2.3.2. Segmentación de los factores de riesgo

4.2.2.3.3. Seguimiento de operaciones

4.2.2.3.4. Consolidación electrónica de operaciones

4.2.2.3.1. Señales de alerta o alertas tempranas

Son los hechos, situaciones, eventos, cuantías, indicadores cuantitativos y cualitativos, razones financieras y demás información que la entidad determine como relevante, a partir de los cuales se puede inferir oportuna y/o prospectivamente la posible existencia de un hecho o situación que escapa a lo que la entidad, en el desarrollo del SARLAFT, ha determinado como normal.

Estas señales deben considerar cada uno de los factores de riesgo y las características de sus operaciones, así como cualquier otro criterio que a juicio de la entidad resulte adecuado.

4.2.2.3.2. Segmentación de los factores de riesgo

Las entidades deben segmentar cada uno de los factores de riesgo de acuerdo con las características particulares de cada uno de ellos, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos, según la metodología que previamente haya establecido la entidad.

A través de la segmentación las entidades deben determinar las características usuales de las transacciones que se desarrollan y compararlas con aquellas que realicen los clientes, a efectos de detectar las operaciones inusuales.

Sin perjuicio de cualquier otro criterio que establezca la entidad, deben segmentar atendiendo como mínimo las siguientes variables en cada factor:

4.2.2.3.2.1. Clientes: Actividad económica, volumen o frecuencia de sus transacciones y monto de ingresos, egresos y patrimonio.

4.2.2.3.2.2.  Productos: Naturaleza, características y nicho de mercado o destinatarios.

4.2.2.3.2.3. Canales de distribución: naturaleza y características.

4.2.2.3.2.4. Jurisdicciones: Ubicación, características y naturaleza de las transacciones.

4.2.2.3.3. Seguimiento de operaciones.

Las entidades deben estar en capacidad de hacer seguimiento a las operaciones que realicen sus clientes y usuarios a través de los demás factores de riesgo.

Para dar cumplimiento a lo anterior las entidades deben como mínimo:

4.2.2.3.3.1. Realizar seguimiento a las operaciones con una frecuencia acorde a la evaluación de riesgo de los factores de riesgo involucrados en las operaciones.

4.2.2.3.3.2. Monitorear las operaciones realizadas en cada uno de los segmentos de los factores de riesgo.

4.2.2.3.3.3. En el caso del seguimiento de operaciones de usuarios, las entidades deben determinar cuáles de éstas resultan relevantes, teniendo en cuenta el riesgo al que exponen a la entidad y basados en los criterios previamente establecidos por las mismas.

4.2.2.3.3.4. Tratándose de las operaciones, productos o servicios que trata el subnumeral 4.2.2.2.1.6. de las “Excepciones a la obligación de diligenciar el formulario de solicitud de vinculación de clientes y de realizar entrevista” y especialmente en aquellos casos en los cuales la apertura de los productos se realice sin la presencia física del cliente, el seguimiento a las operaciones que realicen las entidades vigiladas les debe permitir administrar el riesgo de lavado de activos y de la financiación del terrorismo.

4.2.2.3.4. Consolidación electrónica de operaciones

Las entidades deben estar en capacidad de consolidar electrónicamente las operaciones que realicen sus clientes y usuarios a través de los productos, canales de distribución y jurisdicciones, según sea el caso.

Para dar cumplimiento a lo anterior las entidades deben como mínimo:

4.2.2.3.4.1. Consolidar electrónicamente por lo menos en forma mensual todas las operaciones, según su naturaleza, es decir activas, pasivas y neutras por cada uno de los clientes y usuarios.

4.2.2.3.4.2. Consolidar electrónicamente por lo menos en forma mensual todos los productos, canales de distribución y jurisdicciones empleados por cada cliente y usuario.

En el caso de consolidación electrónica de operaciones de usuarios, las entidades deben determinar cuáles de éstas resultan relevantes, teniendo en cuenta el riesgo al que exponen a la entidad y basados en los criterios previamente establecidos por las mismas.

DOCUMENTACIÓN COMO ELEMENTO DEL SARLAFT

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera

[2–0905-04] PARTE I, TIT IV, CAP IV, NUM 4, SUBNUM. 4.2.3. Documentación 

Las etapas y los elementos del SARLAFT implementados por la entidad deben constar en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida.

4.2.3.1. Requisitos: La documentación como mínimo debe contar con:

4.2.3.1.1. Respaldo documental

4.2.3.1.2. Requisitos de seguridad de forma tal que se permita su consulta sólo por quienes estén autorizados.

4.2.3.1.3. Criterios y procesos de manejo, guarda y conservación de la misma, de conformidad con el art. 96 del EOSF, según el cual, los libros y papeles de las instituciones vigiladas por la SFC, deben conservarse por un período no menor de 5 años, desde la fecha del respectivo asiento, sin perjuicio de los términos establecidos en normas especiales. En el caso de las entidades a las que no les sea aplicable el art. 96 del EOSF, de acuerdo con el art. 28 de la Ley 962 de 2005, los libros y papeles deben conservarse por un período de 10 años. Vencidos dichos periodos, pueden ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.

4.2.3.2. Elementos: La documentación debe contener por lo menos:

4.2.3.2.1. Manual de procedimientos del SARLAFT, el cual debe contemplar como mínimo:

4.2.3.2.1.1. Las políticas para la administración del riesgo de LA/FT.

4.2.3.2.1.2. Las metodologías para la segmentación, identificación, medición y control del riesgo de LA/FT.

4.2.3.2.1.3. La estructura organizacional del SARLAFT.

4.2.3.2.1.4. Las funciones y responsabilidades de quienes participan en la administración del riesgo de LA/FT.

4.2.3.2.1.5. Las medidas necesarias para asegurar el cumplimiento de las políticas del SARLAFT.

4.2.3.2.1.6. Los procedimientos para identificar, medir, controlar y monitorear el riesgo de LA/FT.

4.2.3.2.1.7. Los procedimientos de control interno y revisión del SARLAFT.

4.2.3.2.1.8. Los programas de capacitación del SARLAFT.

4.2.3.2.1.9. Los procedimientos establecidos en el numeral 4.2.2 de este Capítulo.

4.2.3.2.2. Los documentos y registros que evidencien la operación efectiva del SARLAFT.

4.2.3.2.3. Los informes de la junta directiva, el representante legal, el oficial de cumplimiento y los órganos de control.

ESTRUCTURA ORGANIZACIONAL COMO ELEMENTO DEL SARLAFT

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera

[2–0905-05] PARTE I, TIT IV, CAP IV, NUM 4, SUBNUM. 4.2.4. Estructura Organizacional. 

Las entidades deben establecer y asignar las facultades y funciones en relación con las distintas etapas y elementos del SARLAFT.

En todo caso y sin perjuicio de las funciones asignadas por otras disposiciones, deben establecer como mínimo las siguientes funciones a cargo de los órganos de dirección, administración, control y del oficial de cumplimiento.

4.2.4.1. Funciones de la junta directiva u órgano que haga sus veces

El SARLAFT debe contemplar como mínimo las siguientes funciones a cargo de la junta directiva u órgano que haga sus veces. En caso de que por su naturaleza jurídica no exista dicho órgano, estas funciones corresponden al representante legal:

4.2.4.1.1. Establecer las políticas del SARLAFT.

4.2.4.1.2. Adoptar el código de ética en relación con el SARLAFT.

4.2.4.1.3. Aprobar el manual de procedimientos y sus actualizaciones.

4.2.4.1.4. Designar al oficial de cumplimiento y su respectivo suplente.

4.2.4.1.5. Aprobar el procedimiento para la vinculación de los clientes que pueden exponer en mayor grado a la entidad al riesgo de LA/FT, así como las instancias responsables, atendiendo que las mismas deben involucrar funcionarios de la alta gerencia.

4.2.4.1.6. Hacer seguimiento y pronunciarse periódicamente sobre el perfil de riesgo de LA/FT de la entidad.

4.2.4.1.7. Pronunciarse respecto de cada uno de los puntos que contengan los informes que presente el oficial de cumplimiento, dejando la expresa constancia en la respectiva acta.

4.2.4.1.8. Pronunciarse sobre los informes presentados por la revisoría fiscal y la auditoria interna o quien ejecute funciones similares o haga sus veces, y hacer seguimiento a las observaciones o recomendaciones adoptadas, dejando la expresa constancia en la respectiva acta.

4.2.4.1.9. Ordenar los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT.

4.2.4.1.10. Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y reporte de las operaciones sospechosas.

4.2.4.1.11. Establecer y hacer seguimiento a las metodologías para la realización de entrevistas no presenciales y/o la realización de entrevistas por personal que no tenga la condición de empleado de la entidad.

4.2.4.1.12. Aprobar las metodologías de segmentación, identificación, medición y control del SARLAFT.

4.2.4.1.13. Designar la(s) instancia(s) autorizada(s) para exonerar clientes del diligenciamiento del formulario de transacciones en efectivo.

4.2.4.1.14. Designar la(s) instancia(s) responsable(s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.

4.2.4.1.15. En el caso de grupos, en los términos previstos para el conocimiento del cliente por parte de grupos del subnumeral 4.2.2.2.1.5. corresponde además a las juntas directivas de las matrices impartir los lineamientos y adoptar las medidas necesarias para que cada una de las subordinadas del grupo aplique procedimientos similares a los implementados por la matriz, atendiendo en todo caso las características particulares de la actividad desarrollada por cada una de ellas.

4.2.4.2. Funciones del representante legal

El SARLAFT debe contemplar como mínimo las siguientes funciones a cargo del representante legal o quien haga sus veces:

4.2.4.2.1. Someter a aprobación de la junta directiva u órgano que haga sus veces, en coordinación con el oficial de cumplimiento, el manual de procedimientos del SARLAFT y sus actualizaciones.

4.2.4.2.2. Verificar que los procedimientos establecidos desarrollen todas las políticas adoptadas por la junta directiva u órgano que haga sus veces.

4.2.4.2.3. Adoptar las medidas adecuadas como resultado de la evolución de los perfiles de riesgo de los factores de riesgo y de los riesgos asociados.

4.2.4.2.4. Garantizar que las bases de datos y la plataforma tecnológica cumplan con los criterios y requisitos establecidos en el presente Capítulo.

4.2.4.2.5. Proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT.

4.2.4.2.6. Prestar efectivo, eficiente y oportuno apoyo al oficial de cumplimiento.

4.2.4.2.7. Garantizar que los registros utilizados en el SARLAFT cumplan con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.

4.2.4.2.8. Aprobar los criterios, metodologías y procedimientos para la selección, seguimiento y cancelación de los contratos celebrados con terceros para la realización de aquellas funciones relacionadas con el SARLAFT que pueden realizarse por éstos, de acuerdo con lo señalado en el presente Capítulo.

4.2.4.3. Oficial de cumplimiento principal y suplente

4.2.4.3.1. Requisitos:

4.2.4.3.1.1. Ser como mínimo de segundo nivel jerárquico dentro de la entidad.

4.2.4.3.1.2. Tener capacidad decisoria.

4.2.4.3.1.3. Acreditar conocimiento en materia de administración de riesgos.

4.2.4.3.1.4. Estar apoyado por un equipo de trabajo humano y técnico, de acuerdo con el riesgo de LA/FT y el tamaño de la entidad.

4.2.4.3.1.5. No pertenecer a órganos de control ni a las áreas directamente relacionadas con las actividades previstas en el objeto social principal.

4.2.4.3.1.6. Ser empleado de la entidad, salvo el de los grupos financieros, en cuyo caso puede ser empleado de la matriz. En este evento debe ser designado además por las juntas directivas de las entidades del grupo en las cuales se va desempeñar en tal calidad.

4.2.4.3.1.7. Estar posesionado ante la SFC.

El oficial de cumplimiento suplente debe cumplir como mínimo, los requisitos establecidos en los subnumerales 4.2.4.3.1.2 al 4.2.4.3.1.7 anteriores.

4.2.4.3.2. Funciones:

4.2.4.3.2.1. Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el SARLAFT.

4.2.4.3.2.2. Presentar, cuando menos en forma trimestral, informes presenciales y escritos a la junta directiva u órgano que haga sus veces, en los cuales debe referirse como mínimo a los siguientes aspectos:

4.2.4.3.2.2.1. Los resultados de la gestión desarrollada.

4.2.4.3.2.2.2. El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades.

4.2.4.3.2.2.3. La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgos asociados.

4.2.4.3.2.2.4. La efectividad de los mecanismos e instrumentos establecidos en el presente Capítulo, así como de las medidas adoptadas para corregir las fallas en el SARLAFT.

4.2.4.3.2.2.5. Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces.

4.2.4.3.2.2.6. Los documentos y pronunciamientos emanados de las entidades de control y de la UIAF.

4.2.4.3.2.3. Promover la adopción de correctivos al SARLAFT.

4.2.4.3.2.4. Coordinar el desarrollo de programas internos de capacitación.

4.2.4.3.2.5. Proponer a la administración la actualización del manual de procedimientos y velar por su divulgación a los funcionarios.

4.2.4.3.2.6. Colaborar con la instancia designada por la junta directiva en el diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.

4.2.4.3.2.7. Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, y los informes que presente el revisor fiscal y adoptar las medidas del caso frente a las deficiencias informadas.

4.2.4.3.2.8. Diseñar las metodologías de segmentación, identificación, medición y control del SARLAFT.

4.2.4.3.2.9. Elaborar y someter a la aprobación de la junta directiva o el órgano que haga sus veces, los criterios objetivos para la determinación de las operaciones sospechosas, así como aquellos para determinar cuáles de las operaciones efectuadas por usuarios serán objeto de consolidación, monitoreo y análisis de inusualidad.

4.2.4.3.2.10. Cumplir las obligaciones relacionadas con sanciones financieras dirigidas, establecidas en este Capítulo.

No pueden contratarse con terceros las funciones asignadas al oficial de cumplimiento, ni aquellas relacionadas con la identificación y reporte de operaciones inusuales, así como las relacionadas con la determinación y reporte de operaciones sospechosas.

ÓRGANOS DE CONTROL COMO ELEMENTO DEL SARLAFT

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera

[2–0905-06] PARTE I, TIT IV, CAP IV, NUM 4, SUBNUM. 4.2.5. Órganos de Control. 

Las entidades deben establecer órganos e instancias responsables de efectuar una evaluación del SARLAFT, a fin de que se puedan determinar sus fallas o debilidades e informarlas a las instancias pertinentes. Sin embargo, los órganos de control que se establezcan para el efecto no son responsables de las etapas de la administración del riesgo de LA/FT.

Los órganos de control deben ser por lo menos los siguientes: revisoría fiscal, y auditoría interna o quien ejecute funciones similares o haga sus veces.

4.2.5.1. Revisoría fiscal

Sin perjuicio de las funciones asignadas en otras disposiciones al revisor fiscal, éste debe elaborar un reporte trimestral dirigido a la junta directiva u órgano que haga sus veces, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARLAFT.

Además, debe poner en conocimiento del oficial de cumplimiento las inconsistencias y fallas detectadas en el SARLAFT y, en general, todo incumplimiento que detecte a las disposiciones que regulan la materia.

Igualmente el revisor fiscal debe reportar operaciones sospechosas a la UIAF, en cumplimiento del numeral 10 del art. 207 del C. de Cio. Para tal efecto, debe registrarse en la plataforma Sistema de Reporte en Línea (SIREL), administrado por la UIAF o en cualquier otro sistema que dicha entidad desarrolle para el reporte de operaciones sospechosas.

4.2.5.2. Auditoria Interna o quien ejecute funciones similares o haga sus veces

Sin perjuicio de las funciones asignadas en otras disposiciones a la auditoria interna, o quien ejecute funciones similares o haga sus veces, ésta debe evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT, con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, debe informar los resultados de la evaluación al oficial de cumplimiento y a la junta directiva.

La auditoria interna, o quien ejecute funciones similares o haga sus veces, debe realizar una revisión periódica de los procesos relacionados con las exoneraciones y parametrizaciones de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico.

INFRAESTRUCTURA TECNOLÓGICA COMO ELEMENTO DEL SARLAFT

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0905-07] PARTE I, TIT IV, CAP IV, NUM 4, SUBNUM. 4.2.6. Infraestructura Tecnológica. 

Las entidades deben contar con la tecnología y los sistemas necesarios para garantizar la adecuada administración del riesgo de LA/FT. Para ello deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño, que cumpla como mínimo con las siguientes características:

4.2.6.1. Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo.

4.2.6.2. Consolidar las operaciones de los distintos factores de riesgo de acuerdo con los criterios establecidos por la entidad.

4.2.6.3. Centralizar los registros correspondientes a cada uno de los factores de riesgo y en forma particular a cada uno de los clientes.

4.2.6.4. Generar en forma automática los reportes internos y externos, distintos de los relativos a operaciones sospechosas, sin perjuicio de que todos los reportes a la UIAF sean enviados en forma electrónica.

DIVULGACIÓN DE LA INFORMACIÓN COMO ELEMENTO DEL SARLAFT

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 034 de 2015 de la Superintendencia Financiera, modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera

[2–0905-08] PARTE I, TIT IV, CAP IV, NUM 4, SUBNUM. 4.2.7. Divulgación de la Información.

 Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes.

En concordancia con el art. 97 del EOSF y demás disposiciones legales vigentes sobre la materia, las entidades deben suministrar al público la información necesaria con el fin de que el mercado pueda evaluar las estrategias de administración del riesgo de lavado de activos y financiación del terrorismo. Para el cumplimiento de las obligaciones de reporte establecidas en los arts. 102 a 107 del EOSF, todas las entidades vigiladas, incluyendo aquellas exceptuadas de la aplicación de este capítulo, deben cumplir sus obligaciones de reporte ante las autoridades competentes, utilizando los instructivos y formatos anexos a este capítulo.

Los siguientes son los reportes mínimos que deber tener en cuenta las entidades en el diseño del SARLAFT:

4.2.7.1. Reportes internos

Los reportes internos son de uso exclusivo de la entidad.

4.2.7.1.1. Transacciones inusuales

La entidad debe prever dentro del SARLAFT los procedimientos para que el responsable de la detección de operaciones inusuales, reporte las mismas a la instancia competente de analizarlas. El reporte debe indicar las razones que determinan la calificación de la operación como inusual.

4.2.7.1.2. Operaciones sospechosas

De conformidad con el numeral 2. literal d. del art. 102 del EOSF, constituye una operación sospechosa cualquier información relevante sobre manejo de activos, pasivos u otros recursos, cuya cuantía o características no guarden relación con la actividad económica de sus clientes, o sobre transacciones de sus usuarios que por su número, por las cantidades transadas o por las características particulares de las mismas, puedan conducir razonablemente a sospechar que los mismos están usando a la entidad para transferir, manejar, aprovechar o invertir dineros o recursos provenientes de actividades delictivas o destinados a su financiación.

El SARLAFT debe prever los procedimientos de reporte al funcionario o instancia competente, con las razones objetivas que ameritaron tal calificación.

4.2.7.1.3. Reportes de la etapa de monitoreo

Como resultado del monitoreo deben elaborarse reportes trimestrales que permitan establecer el perfil de riesgo residual de la entidad, la evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y de los riesgos asociados.

Los administradores de la entidad, en su informe de gestión al cierre de cada ejercicio contable, deben incluir una indicación sobre la gestión adelantada en materia de administración de riesgo de LA/FT.

4.2.7.2. Reportes externos

Los reportes externos deben ser enviados a la UIAF y/o a las demás autoridades competentes.

4.2.7.2.1. Reporte de operaciones sospechosas (ROS)

Corresponde a las entidades y sus revisores fiscales reportar a la UIAF en forma inmediata las operaciones que determinen como sospechosas, de acuerdo con el instructivo y la proforma del anexo I del presente Capítulo. Los reportes sobre operaciones sospechosas deben ajustarse a los criterios objetivos establecidos por la entidad. Le corresponde a la entidad vigilada y al oficial de cumplimiento o quien haga sus veces, garantizar la reserva del reporte de la operación sospechosa remitido a la UIAF, según lo previsto en la Ley 526 de 1999.

Las entidades deben reportar las operaciones intentadas, rechazadas y las tentativas de vinculación comercial, en los términos y condiciones técnicas que la UIAF determine.

En el evento en que durante el respectivo mes, las entidades no hayan determinado la existencia de operaciones sospechosas, deben informar este hecho a la citada Unidad, de acuerdo con las instrucciones establecidas en el instructivo del anexo I del presente Capítulo.

En el caso de almacenes generales de depósito, los procedimientos de determinación de operaciones sospechosas también deben versar sobre aquellas sustancias importadas y/o almacenadas en la entidad.

De acuerdo con lo consagrado en el art. 42 de la Ley 190 de 1995, el reporte de operaciones sospechosas no da lugar a ningún tipo de responsabilidad para la persona jurídica informante, ni para los directivos o empleados de la entidad que hayan participado en su detección y/o reporte.

4.2.7.2.2. Reporte de transacciones en efectivo

Además de lo dispuesto en el numeral 1 del art. 103 EOSF, el cual impone a las entidades vigiladas la obligación de dejar constancia, en formulario especialmente diseñado para el efecto, de la información relativa a las transacciones en efectivo cuyo valor sea igual o superior a las cuantías establecidas en el instructivo del anexo II, las entidades deben remitir a la UIAF el informe mensual sobre transacciones en efectivo diligenciando la proforma citada, de acuerdo con los montos e indicaciones señaladas en su correspondiente instructivo, ambos contenidos en el anexo II del presente Capítulo.

Se entiende por transacciones en efectivo todas aquellas transacciones que, en desarrollo del giro ordinario de los negocios de los clientes, involucren entrega o recibo de dinero en billetes y/o en monedas nacional o extranjera.

El reporte de transacciones en efectivo se compone de (i) Reporte de transacciones múltiples en efectivo y (ii) Reporte de transacciones individuales en efectivo.

Se encuentran exceptuadas del reporte de transacciones múltiples en efectivo, las siguientes:

4.2.7.2.2.1. Recaudo de impuestos nacionales, distritales y municipales.

4.2.7.2.2.2. Recaudo de Contribución de Valorización

4.2.7.2.2.3. Recaudo de aportes para salud y pensiones obligatorias

4.2.7.2.2.4. Recaudo de servicios públicos domiciliarios

4.2.7.2.2.5. Recaudo de telefonía móvil celular

4.2.7.2.2.6. Recaudo de aportes al sistema de riesgos laborales (ARL)

A su turno, se encuentran exceptuadas del reporte de transacciones individuales en efectivo, las transacciones enunciadas en los subnumerales 4.2.7.2.2.3. a 4.2.7.2.2.6 anteriores.

Cuando se celebren contratos de uso de red acorde con la Ley 389 de 1997, Ley 510 de 1999, Ley 964 de 2005 y cualquiera otra disposición que autorice uso de red para ofrecer productos y servicios financieros y del mercado de valores, reglamentados entre otros por los arts. 2.31.2.2.1 y 2.34.1.1.1 del Decreto 2555 de 2010, o se acuerde algún mecanismo para recaudar o manejar efectivo, el reporte de transacciones individuales debe ser remitido tanto por la entidad usuaria de la red, como por el establecimiento que presta el servicio. En este último caso, el reporte debe realizarse a nombre del quien fue efectuada la transacción en efectivo, esto es, la entidad usuaria de la red.

4.2.7.2.3. Reporte de clientes exonerados del reporte de transacciones en efectivo

Las entidades deben informar a la UIAF los nombres e identidades de todos los clientes exonerados del reporte a que se refiere el anterior numeral, diligenciando la proforma del Anexo III, de acuerdo con las indicaciones señaladas en su correspondiente instructivo.

Para tal efecto, se deben remitir los nombres e identidades todos los clientes exonerados del reporte de transacciones en efectivo.

Copia del estudio que soporte la existencia de las condiciones de exoneración debe ser conservada y archivada por la entidad de manera centralizada.

4.2.7.2.4. Reporte sobre operaciones de transferencia, remesa, compra y venta de divisas.

4.2.7.2.4.1. Operaciones: Las entidades deben remitir a la UIAF la información correspondiente a las siguientes operaciones, de acuerdo con las instrucciones establecidas en el instructivo y la proforma del Anexo IV del presente Capítulo.

4.2.7.2.4.1.1. Operaciones individuales de transferencia de divisas desde o hacia el exterior. Es decir, aquellas operaciones en virtud de las cuales salen o ingresan divisas al país mediante movimientos electrónicos o contables. Los intermediarios del mercado cambiario, también deben reportar bajo este concepto las operaciones de monetización de divisas desde o hacia el exterior.

4.2.7.2.4.1.2. Remesas de divisas desde o hacia el exterior, las cuales corresponden a las operaciones de traslado físico de divisas desde o hacia el exterior.

4.2.7.2.4.1.3. Operaciones de compra y venta de divisas por ventanilla. Corresponden a las operaciones de compra y venta de divisas efectuadas por ventanilla, realizadas por los intermediarios del mercado cambiario en las modalidades de efectivo o cheque, las cuales no implican movimiento electrónico de divisas.

4.2.7.2.4.2. Contenido del reporte: Las entidades deben incluir en el reporte:

4.2.7.2.4.2.1. Las divisas que deben canalizarse en forma obligatoria a través de los intermediarios autorizados, así como aquellas que, no obstante encontrarse exentas de dicha obligación, se canalicen voluntariamente a través de los mismos; y

4.2.7.2.4.2.2. Las divisas no monetizadas. Para los efectos de dicho reporte, se entiende por divisas no monetizadas, aquellas que no se han convertido a moneda legal colombiana.

4.2.7.2.4.2.3. Los intermediarios del mercado cambiario deben reportar bajo el concepto de transferencias internacionales, las operaciones de recepción o envío de giros de divisas desde o hacia el exterior. No se deben reportar operaciones de derivados sobre divisas, ni aquellas celebradas con el Banco de la República o con otras entidades vigiladas.

4.2.7.2.5. Reporte de Información sobre transacciones realizadas en Colombia con tarjetas crédito o débito expedidas en el exterior

Las entidades vigiladas que administren,  representen o sean miembros de franquicias como: Visa, Diners, Master Card, entre otras, deben reportar a la UIAF, de acuerdo con las indicaciones establecidas en el correspondiente instructivo del anexo V, las operaciones compensadas con tarjetas crédito o débito expedidas en el exterior y realizadas a través de cajeros electrónicos o sistemas de pago de bajo valor.

4.2.7.2.6. Reporte sobre productos ofrecidos por las entidades vigiladas

Las entidades vigiladas deben remitir a la UIAF la información correspondiente a la existencia de todos los productos vigentes, activos o inactivos, que representen operaciones activas y/o pasivas, diligenciando la proforma del anexo VI del presente Capítulo, de acuerdo con las indicaciones establecidas en su correspondiente instructivo.

Se exceptúan del presente reporte los productos constituidos con entidades vigiladas por la SFC incluyendo el Banco de la República.

(…)

4.2.7.2.9. Reporte de información sobre campañas políticas y partidos políticos

Sin perjuicio de lo señalado en el subnumeral 4.2.2.2.1.9. del presente Capítulo, las entidades vigiladas que manejen productos y servicios financieros para las campañas políticas y partidos políticos, deben reportar a la UIAF la información de que trata el Anexo VIII del presente Capítulo, de conformidad con el instructivo que allí se incorpora.

CAPACITACIÓN COMO ELEMENTO DEL SARLAFT

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria)

[2–0905-09] PARTE I, TIT IV, CAP IV, NUM 4, SUBNUM. 4.2.8. Capacitación. 

Las entidades deben diseñar, programar y coordinar planes de capacitación sobre el SARLAFT dirigidos a todas las áreas y funcionarios de la entidad.

Tales programas deben, cuando menos, cumplir con las siguientes condiciones:

4.2.8.1. Periodicidad anual.

4.2.8.2. Ser impartidos durante el proceso de inducción de los nuevos funcionarios y a los terceros (no empleados de la entidad) cuando sea procedente su contratación en los términos del presente Capítulo.

4.2.8.3. Ser constantemente revisados y actualizados.

4.2.8.4. Contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos.

4.2.8.5. Señalar el alcance de estos programas, los medios que se emplearán para ejecutarlos y los procedimientos que se adelantarán para evaluarlos. Los programas deben constar por escrito.

REGLAS ESPECIALES PARA TRANSFERENCIAS EN EL SARLAFT

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 014 de 2015 de la Superintendencia Financiera, modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera

[2–0906] PARTE I, TIT IV, CAP IV, NUM 5. Reglas Especiales para Transferencias.

 En las transferencias de fondos realizadas dentro del territorio nacional, así como en las transferencias internacionales, es decir, aquellas operaciones en virtud de las cuales salen o ingresan divisas al país, debe capturarse y conservarse la información relacionada con el ordenante y con el beneficiario de acuerdo con las instrucciones del presente numeral.

En toda transferencia se debe capturar y conservar toda la información que aparezca en el mensaje relacionada con el/los ordenante(s) y el/los beneficiario(s).

Las transferencias que se realicen a través de entidades vigiladas por la SFC y en las cuales el ordenante y el beneficiario sean clientes de las mismas se encuentran exceptuadas del presente numeral.

Quien realice como ordenante o reciba como beneficiario, 3 o más operaciones de transferencia en el trimestre, o 5 o más en el semestre, o 6 o más en un año, cuyo monto individual sea superior a medio salario mínimo legal mensual vigente, se considera como cliente.

Así mismo, quien realice como ordenante o reciba como beneficiario más de 3 operaciones de transferencia en el trimestre, más de 6 al semestre, o más de 12 en un año, cuyo monto individual sea igual o inferior a medio salario mínimo legal mensual vigente, se considera como cliente.

5.1. Transferencias internacionales

5.1.1. Transferencias realizadas a través de SWIFT

5.1.1.1. Información del ordenante

La siguiente es la información mínima del ordenante que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: nombre/s y apellido/s, dirección, país, ciudad y entidad financiera originadora.

En el caso en que el mensaje relacionado contenga información adicional debe capturarse tal información.

5.1.1.2. Información del beneficiario

La siguiente es la información mínima del beneficiario que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: nombre/s y apellido/s, dirección, país y ciudad.

5.1.1.3. Pagos de transferencias

Al momento de pagar transferencias del exterior, las entidades vigiladas deben exigir a las personas que sin ser clientes sean beneficiarias de la transferencia la siguiente información:

5.1.1.3.1. En el caso de personas naturales: nombre/s y apellido/s; tipo y número de identificación, domicilio y número telefónico.

5.1.1.3.2. En el caso de personas jurídicas: Nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal, domicilio y número telefónico.

Cuando se actúe a través de mandatario debe exigirse además el nombre/s y apellido/s y tipo y número de identificación.

5.1.2. Transferencias realizadas a través de money remitters o cualquier otro sistema

5.1.2.1. Información del ordenante

La siguiente es la información mínima del ordenante que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago: nombres y apellidos, país, ciudad y entidad originadora / money remitters. En el caso en que el mensaje relacionado contenga información adicional debe capturarse tal información.

5.1.2.2. Pagos de transferencias

Al momento de pagar transferencias del exterior, las entidades vigiladas deben exigir a las personas que sin ser clientes sean beneficiarias de la transferencia, la siguiente información:

5.1.2.2.1. En el caso de personas naturales: nombre/s y apellido/s; tipo y número de identificación, domicilio y número telefónico.

5.1.2.2.2. En el caso de personas jurídicas: Nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal, domicilio y número telefónico.

Cuando se actúe a través de mandatario debe exigirse además el nombre/s y apellido/s y tipo y número de identificación.

5.2. Transferencias nacionales

En el caso de transferencias nacionales, la siguiente es la información mínima del ordenante y beneficiario que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago:

5.2.1. En el caso de personas naturales: nombre/s y apellido/s; tipo y número de identificación, domicilio, número telefónico y ciudad.

5.2.2. En el caso de personas jurídicas: Nombre o razón social, NIT, tipo y número de identificación de quien actúa como representante legal, domicilio, número telefónico y ciudad.

Cuando se actúe a través de mandatario debe exigirse además el nombre/s y apellido/s y tipo y número de identificación.

Tratándose de las cuentas de ahorro electrónicas, cuentas de ahorro con trámite simplificado para su apertura y depósitos electrónicos que cumplan las características previstas en los artículos 2.1.15.2.2 y 2.1.15.2.5 del Decreto 2555 de 2010, la información mínima del ordenante que debe permanecer con la transferencia o mensaje relacionado a través de la cadena de pago, es el nombre/s y apellido/s; tipo y número de identificación y la fecha de expedición del respectivo documento de identidad.

SANCIONES FINANCIERAS DIRIGIDAS

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera

[2–0906-01] PARTE I, TIT IV, CAP IV, NUM 6. Sanciones Financieras Dirigidas 

Para garantizar el cumplimiento de las obligaciones internacionales de Colombia relativas al congelamiento y prohibición de manejo de fondos u otros activos de personas y entidades señaladas por el Consejo de Seguridad de las Naciones Unidas, asociadas a financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva, en consonancia con el art. 20 de la Ley 1121 de 2006 y las Recomendaciones del GAFI en esta materia, las entidades vigiladas deben hacer seguimiento y monitoreo permanentemente a las Resoluciones 1267 de 1999, 1988 de 2011, 1373 de 2001, 1718 y 1737 de 2006 y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas y a todas aquellas que le sucedan, relacionen y complementen.

En línea con lo dispuesto en las Cartas Circulares 110 de 2015 y 58 de 2016, en el evento de encontrar cualquier bien, activo, producto, fondo o derecho de titularidad a nombre, administración o control de cualquier país, persona y/o entidad señalada por estas resoluciones, la entidad vigilada, de manera inmediata, debe ponerlo en conocimiento del Vicefiscal General de la Nación y de la UIAF a través de los canales electrónicos seguros que determinen estas entidades, guardando la respectiva reserva legal.

PRÁCTICA INSEGURA

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera

[2–0906-02] PARTE I, TIT IV, CAP IV, NUM 7. Práctica Insegura.

La SFC califica como práctica insegura y no autorizada, conforme lo establecido en el literal a. del numeral 5 del art. 326 EOSF, la realización de operaciones sin el cumplimiento de las disposiciones contenidas en el presente Capítulo.

LISTA CLINTON

 [2–0906-03] Oficio 20030654210 de 2004 de la Superintendencia Financiera

Como es de su conocimiento en distintas oportunidades la Corte Constitucional se ha pronunciado en relación con la inclusión de ciudadanos colombianos en la denominada “Lista Clinton” (Orden ejecutiva 12.978 del Presidente de los Estados Unidos de América). Manifestando que la decisión de las instituciones financieras de negar el acceso a este sistema de las personas incluidas en la misma, “constituye en realidad una causal objetiva justificada”.

Dicha Corporación también ha señalado que en aplicación de las políticas de prevención del lavado de activos, la mencionada lista debe considerarse como un elemento de valoración probatoria que puede ser tenido en cuenta por las instituciones financieras al momento de evaluar el acceso de los particulares a la prestación de los servicios financieros “máxime si dichas instituciones están directamente comprometidas a nivel nacional e internacional en las políticas de control y erradicación al lavado de activos”.

Ahora, considerando que esta Superintendencia ha recibido distintas comunicaciones, tanto del Ministerio de Relaciones Exteriores, como  de ciudadanos colombianos, en las cuales se informa acerca del retiro de algunos nacionales de la mencionada lista, se estima pertinente recordar, en aras de un adecuado empleo del mencionado instrumento, la conveniencia de consultar periódicamente sus actualizaciones, para lo cual se puede acudir al sitio en Internet de la OFAC (Office of Foreign Assets Control).

http://www.treas.aov/offices/eotffc/ofac/sdn/

Esta superintendencia agradece la divulgación del contenido de este escrito en las entidades afiliadas a esa Federación.

REPORTE DE OPERACIONES SOSPECHOSAS – ROS

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera, modificada por las Circulares Externas 005 de 2017 y 017 de 2018 de la Superintendencia Financiera.

[2–0907]

ADVERTENCIA LEGAL

“Los sujetos obligados por el presente anexo técnico deberán dar cumplimiento a los principios en el tratamiento de datos personales señalados en la Ley 1581 de 2012, específicamente los principios de veracidad, acceso y circulación restringida, seguridad y confidencialidad. En ese orden, se entiende que la transmisión de información a la que se refiere el reporte de que trata este anexo técnico se hace cumpliendo con las obligaciones normativas contempladas en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero; 3°, 4° y 9° de la Ley 526 de 1999, y con el Capítulo IV del Título IV de la Parte Primera de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia, y las demás normas que aclaren, sustituyan, condicionen, modifiquen o adicionen las anteriores normas”.

1.   OBJETIVO

Este documento presenta algunas consideraciones e instrucciones a seguir por las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC) para realizar y enviar el Reporte de Operaciones Sospechosas (ROS) a la Unidad de Información y Análisis Financiero (UIAF).

2.   DESCRIPCIÓN

Las entidades deben reportar en forma inmediata a la UIAF las operaciones que determinen como sospechosas, las cuales pueden ser operaciones realizadas u operaciones intentadas o rechazadas que contengan características que les otorguen el carácter de sospechosas.

Se debe entender por inmediato el momento a partir del cual la entidad toma la decisión de catalogar la operación como sospechosa, sea realizada o intentada. Para tal efecto, no se necesita que la entidad tenga certeza de que se trata de una actividad delictiva, ni identificar el tipo penal o verificar que los recursos tienen un origen ilícito, tan solo se requiere que la operación sea sospechosa en los términos definidos en el presente instructivo y/o dentro del manual de políticas de la misma entidad.

El ROS debe ser elaborado por todas las entidades vigiladas por la SFC cuando se presente cualquier operación que por sus características particulares, tenga la condición de sospechosa o aquellas intentadas o rechazadas que contengan características que les otorgue el carácter de sospechosas, según lo indicado en el artículo 102 del Estatuto Orgánico del Sistema Financiero (EOSF), modificado por el artículo 1 de la Ley 1121 de 2006 y las instrucciones que imparta la SFC sobre el particular.

El envío de ROS a la UIAF no constituye una denuncia ni da lugar a ningún tipo de responsabilidad para la entidad reportante, ni para las personas que hayan participado en su detección o en su reporte, de conformidad con el artículo 42 de la Ley 190 de 1995.

De conformidad con el artículo 96 del EOSF, los soportes de la operación reportada se deben organizar y conservar como mínimo por 5 años, sin perjuicio de los términos establecidos en normas especiales. Vencido este lapso, podrán ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.

Ninguna persona de la entidad reportante podrá dar a conocer que se ha efectuado un reporte de operación sospechosa a la UIAF, según lo determina el inciso cuarto del artículo 11 de la ley 526 de 1999.

3. REPORTE DE OPERACIONES SOSPECHOSAS, INTENTADAS O RECHAZADAS QUE CONTENGAN CARACTERÍSTICAS QUE LES OTORGUE EL CARÁCTER DE SOSPECHOSAS

La entidad reportante debe diligenciar los campos obligatorios del formato de reporte de operaciones sospechosas, intentadas o rechazadas que contengan características que les otorgue el carácter de sospechosas, que se encuentre vigente en el Sistema de Reporte En Línea (SIREL) de la UIAF.

A continuación se presentan algunas consideraciones para tener en cuenta a la hora realizar un reporte de operaciones sospechosas, intentadas o rechazadas.

3.1. Información relacionada con la operación reportada

Las entidades deben procurar reportar el valor asociado con la operación reportada o el conjunto de operaciones reportadas. De igual manera, es importante identificar el tipo de moneda utilizada en la operación y el periodo (fecha inicial y final) de la operación analizada. En caso de que la operación reportada no tenga un valor asociado, como puede ser el caso de una operación intentada, se sugiere estimar el valor toda vez que la situación lo permita, de lo contrario, reportar el valor de la operación como cero.

3.2.  Descripción de la operación

La descripción de la operación reportada es uno de los insumos más relevantes del formato del ROS. Las entidades deben recordar la importancia de transmitir claramente el mensaje; recomendamos siempre ponerse en la posición del lector desprevenido toda vez que no se deben omitir los detalles de la operación particular al negocio o producto.

Por lo tanto, se recomienda utilizar la técnica de narración en donde el primer párrafo resuma para el lector la operación reportada. Dicho párrafo debe responder a “quién(es)”, “qué”, “por qué”, “cuándo” y “dónde”. Este primer párrafo, debe ser conciso al describir el motivo que generó la alerta para la entidad reportante. Los siguientes párrafos serán el cuerpo de la operación reportada y se sugiere que la descripción de los hechos sea realizada, en lo posible, en orden de importancia y cronológico.

Para realizar la descripción de la operación sospechosa, se recomienda a la entidad reportante responder a las siguientes preguntas:

  • ¿Qué hace que la operación sea sospechosa?
  • ¿Cómo se realizó la operación sospechosa? Por ejemplo, la persona utilizó determinado numeral cambiario para ingresar recursos del exterior en varias oportunidades en un determinado periodo de tiempo.
  • ¿Quiénes realizaron la operación sospechosa? Es importante incluir las personas naturales o jurídicas que participaron en la operación, así como los posibles vínculos que existan entre esas personas.
  • ¿Dónde se realizó la operación sospechosa? Es recomendable incluir las direcciones, barrios, municipios, departamentos y países que sirvieron como espacio para realizar la operación, siempre y cuando se tenga conocimiento¿Cuándo se realizó la operación sospechosa? Al responder esta pregunta se debe tener en cuenta los hechos cronológicos de la operación.

Así las cosas, las entidades deberán realizar una descripción de los hechos de manera organizada, clara y completa, indicando los nombres y apellidos completos de las personas principales o directamente vinculadas en la operación sospechosa. Así mismo se debe describir claramente en qué consistió la operación sospechosa, el periodo donde se detectó, la ubicación (ciudad, municipio, direcciones, teléfonos, etc), entre otros aspectos relevantes.

Adicionalmente, recuerde mencionar cualquier irregularidad que haya detectado con las personas o transacciones implicadas en la operación sospechosa, no omita ningún dato conocido de la operación e indique cualquier hecho adicional que contribuya al análisis de la misma.

En los párrafos del cuerpo del texto se puede explicar con mayor detalle aspectos, entre otros, como los siguientes:

  • Características y montos de los ingresos y egresos, así como la información patrimonial, en caso de poseerse.
  • Descripción del perfil financiero del cliente de acuerdo con lo establecido en el sistema de administración de riesgos de la entidad.
  • Comparación del cliente con el sector económico al cual pertenece, de acuerdo con la segmentación contemplada en el sistema de administración de riesgos de la entidad.
  • Enunciar, además de los productos vinculados a la operación sospechosa, los otros que posea el cliente en la misma entidad, distinguiendo entre unos y otros.
  • Incremento patrimonial o de las operaciones no justificado o por fuera de los promedios del respectivo sector o actividad económica, de acuerdo con el sistema de administración de riesgos implementado por la entidad.
  • Presunto uso indebido de identidades, por ejemplo: uso de números de identificación inexistentes, números de identificación de personas fallecidas, suplantación de personas, alteración de nombres.
  • Presentación de documentos o datos presuntamente falsos.
  • Actuación en nombre de terceros y uso de empresas aparentemente de fachada.
  • Relación con personas vinculadas o presuntamente vinculadas a actividades delictivas.
  • Relación con bienes de presunto origen ilícito.
  • Fraccionamiento y/o inusualidades en el manejo del efectivo
  • Otras señales de alerta.

Adicionalmente, la entidad debe indicar el procedimiento empleado para la detección de la operación reportada, ilustrando los motivos por los cuales fue inicialmente calificada como inusual y las razones por las cuales se determinó que era sospechosa. Si el procedimiento lo incluyó, se debe enunciar la tipología identificada o la señal de alerta activada en el sistema de administración de riesgos de la entidad.

Se recomienda a las entidades reportantes mencionar si la operación sospechosa se relaciona con algún reporte realizado anteriormente por la entidad o con otras operaciones.

En el caso de conocerse noticias de prensa, mencionar el titular o el link donde se encontró, no es necesario reescribir la noticia.

3.3.  Documentos de soporte

Recuerde adjuntar, al tiempo del envío del ROS, aquellos documentos que soporten la descripción de la operación sospechosa, esto podrá reducir los posibles requerimientos que la UIAF haga en el futuro, agilizando así las labores de inteligencia financiera y haciendo más eficiente las labores de cumplimiento en las entidades reportantes.

Si la entidad reportante recibió alguna declaración, explicación, justificación u otro, que los implicados hayan dado y que se relacionen con la operación sospechosa, menciónela e indique la forma en que se hizo (escrita, verbal, a partir de un requerimiento formal de la institución, otros) y si allegó los soportes correspondientes a la operación.

Los documentos soporte de la operación sospechosa pueden consistir en extractos bancarios, comprobantes de retiros o de consignaciones, cheques consignados y emitidos, documentos de vinculación a la entidad reportante (formularios y anexos), declaraciones de cambio, declaraciones de importaciones, declaraciones de exportaciones, contratos aportados por el cliente, declaraciones de renta, certificado de cámara y comercio, entre otros. Los documentos de soporte deben ser incluidos en el SIREL a través de la opción “Adjunte aquí los anexos”; cada archivo no debe superar las 20MB.

3.4.  Información de las personas naturales o jurídicas implicadas en la operación Las entidades deben reportar en los campos estructurados la información solicitada sobre las personas y/o empresas relacionadas con la operación sospechosa. Es importante que los números de identificación y nombres se encuentren digitados de una manera correcta, evitando incluir caracteres especiales que no corresponda al número de identificación reportado. Para el caso de las entidades que no cuentan con información sobre el número de identificación de las personas y/o empresas que intervinieron en la operación sospechosa, deben colocar “-1” en el campo número de identificación.

4. ESPECIFICACIONES PARA EL ENVÍO DEL ROS

4.1.  Envío del reporte

El único medio de envío del ROS es el Sistema de Reporte en Línea (SIREL) de la UIAF; este reporte debe realizarse de manera inmediata según lo indicado en el numeral 2 del presente anexo.

Antes de enviar la información, cada entidad debe verificar que los campos marcados como obligatorios sean diligenciados, de lo contrario el sistema le indicará los campos pendientes por diligenciar, los cuales se deben completar con la información pertinente, para así proceder con el envío del reporte.

Siempre guarde una copia del ROS.

Si durante el mes no fueron identificadas operaciones sospechosas, operaciones intentadas o rechazadas que contengan características que les otorgue el carácter de sospechosas que deban ser de conocimiento inmediato de la UIAF, motivo de este anexo técnico, la entidad reportante debe realizar el reporte negativo (reporte de ausencia), a través de SIREL, durante los primeros 20 días del mes siguiente a aquel en el cual no se identificaron dichas operaciones.

Si una entidad realiza un reporte de operación sospechosa durante el mes de reporte, ya no debe realizar el reporte de ausencia en el mismo mes.

Si las entidades vigiladas por la SFC identificaron operaciones sospechosas que dan origen a este anexo técnico y no envían el ROS a la UIAF, estarán sujetas a las sanciones a las que haya lugar.

Recuerde que la fecha del reporte de operaciones sospechosas ROS corresponde al día en que realiza el envío del reporte y el sistema le genera el certificado de recibo de información, nada tiene que ver con la fecha del periodo de análisis de la operación sospechosa.

4.2.  Proceso de envío del reporte

Para enviar los reportes a la UIAF, cada entidad reportante debe contar con un usuario que le permitirá ingresar a SIREL y realizar el cargue de los reportes.

La entidad debe registrarse a través de la página web de la UIAF www.uiaf.gov.co en el enlace SIREL – Solicitud de Código en Línea, seleccionando sector: Financiero y el tipo de entidad correspondiente según el listado de la Superintendencia Financiera de Colombia. Luego de obtener el código de entidad, ésta debe solicitar el usuario para acceder al SIREL a través del enlace SIREL – Solicitud de Usuario.

Cada usuario está ligado al número de identificación de quien se registra. Por lo tanto, si la persona encargada de realizar el ingreso a SIREL cambia, la entidad reportante debe solicitar un nuevo usuario asociado al documento de identificación de la nueva persona encargada. Así mismo, la entidad debe solicitar la cancelación del anterior usuario a través del módulo de PQRSD dispuesto en la página web de la UIAF.

Recuerde solicitar las siguientes actualizaciones a través del módulo PQRSD:

  • La actualización de datos de los usuarios en el SIREL: sólo se actualizarán correos electrónicos, datos de contacto.
  • La actualización de datos del oficial de cumplimiento: sólo se actualizarán correos electrónicos, datos de contacto, nombres. En caso que no tenga un usuario en el SIREL debe solicitarlo a través de la opción mencionada con anterioridad.
  • La cancelación de los usuarios retirados de la entidad reportante.
  • La cancelación de la entidad reportante
  • La asociación de entidades a un usuario registrado y activo en el SIREL.

4.3.  Certificado de cargue de los reportes

La entidad recibirá mediante el SIREL el certificado de recibo de la información, en donde se indicará el número de radicación, entidad, usuario, fecha y hora de cargue, fecha de corte de la información, número de registros, tipo de reporte y el estado del envió: EXITOSO O FALLIDO; este certificado puede ser impreso o almacenado en formato .pdf.

A continuación encuentra un ejemplo de un certificado de cargue EXITOSO: (no se transcribe dada su extensión)

5. SOPORTE

Con el objetivo de solucionar inquietudes, la UIAF cuenta con los siguientes canales de comunicación para atención a las entidades reportantes y/o sujetos obligados:

  • Línea Telefónica: en Bogotá el PBX: 288 5222 Ext. 450, a nivel nacional la línea gratuita: 018000-11 11 83.
  • Chat Técnico: disponible de lunes a viernes de 8:30 a.m. a 11:30 a.m. y de 2:30 p.m. a 4:00 p.m.
  • Módulo PQRSD (Peticiones, Quejas, Reclamos y Denuncias): en www.uiaf.gov.co / Contáctenos / Peticiones, Quejas, Reclamos y Denuncias – (PQRSD).
REPORTE DE TRANSACCIONES EN EFECTIVO

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera, modificada por la Circular Externa 005 de 2017 de la Superintendencia Financiera.

[2–0908] PARTE I, TIT IV, CAP IV, Anexo. Reporte de Transacciones en Efectivo

ADVERTENCIA LEGAL

Los sujetos obligados por el presente anexo técnico deberán dar cumplimiento a los principios en el tratamiento de datos personales señalados en la Ley 1581 de 2012, específicamente los principios de veracidad, acceso y circulación restringida, seguridad y confidencialidad. En ese orden, se entiende que la transmisión de información a la que se refiere el reporte de que trata este anexo técnico se hace cumpliendo con las obligaciones normativas contempladas en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero; 3°, 4° y 9° de la Ley 526 de 1999, y con el Capítulo IV del Título IV de la Parte Primera de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia, y las demás normas que aclaren, sustituyan, condicionen, modifiquen o adicionen las anteriores normas”.

1.   OBJETIVO

Este documento presenta los lineamientos técnicos e instrucciones que deben seguir las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC) para realizar y enviar el Reporte de Transacciones en Efectivo en el Sistema Financiero a la Unidad de Información y Análisis Financiero (UIAF).

2.   DESCRIPCIÓN

Las entidades vigiladas por la SFC deberán reportar mensualmente a la UIAF el informe sobre las transacciones individuales y múltiples en efectivo. Se entenderá por transacciones en efectivo, todas aquellas transacciones que en desarrollo del giro ordinario de los negocios de los clientes involucren entrega o recibo de dinero en billetes y/o en moneda nacional o extranjera.

La entidad vigilada deberá en primer lugar calcular las transacciones múltiples en efectivo, es decir, aquellas que en su conjunto igualen o superen cincuenta millones de pesos ($50.000.000) si es moneda legal o su equivalente en otras monedas. Una vez calculadas las operaciones múltiples en efectivo, la entidad vigilada deberá reportar aquellas transacciones individuales que permitieron cumplir con el mencionado criterio.

En el mismo reporte, la entidad vigilada deberá reportar las transacciones individuales que no fueron reportadas como múltiples y que cumplan con el monto establecido, es decir, aquellas iguales o superiores a diez millones de pesos ($10.000.000) si es moneda legal o su equivalente en otras monedas.

La entidad vigilada de la cual es cliente la persona también debe reportar los retiros en efectivo que realice su cliente a través de los canales de retiros de efectivo, tales como: cajeros electrónicos, IGT y demás operadores que funcionen como corresponsales. Ello incluye los retiros en efectivo producto de avances realizados con tarjeta de crédito de su cliente.

2.1.  Descripción de las transacciones

El reporte de transacciones en efectivo se compone de:

Transacciones múltiples en efectivo

Las entidades vigiladas deberán reportar todas las transacciones en efectivo que se realicen en una o varias oficinas, durante un (1) mes calendario, por o en beneficio de un mismo cliente o usuario y que en su conjunto igualen o superen los cincuenta millones de pesos ($50.000.000) en moneda legal o su equivalente en otras monedas, según la tasa de conversión a dólares americanos del día en que se realice la operación, de acuerdo con la certificación de la Tasa de Cambio Representativa del Mercado (TCRM) que expida la SFC.

Se encuentran exceptuadas del reporte de transacciones múltiples en efectivo, las siguientes:

  1. Recaudo de impuestos nacionales, distritales y municipales.
  2. Recaudo de Contribución de Valorización.
  • Recaudo de aportes para salud y pensiones obligatorias.
  1. Recaudo de servicios públicos domiciliarios.
  2. Recaudo de telefonía móvil celular.
  3. Recaudo de aportes al sistema de riesgos laborales (ARL).

Para el caso del Reporte de Transacciones Múltiples en Efectivo, la entidad vigilada debe reportar la totalidad de las operaciones de recepción o entrega de efectivo en cabeza de un mismo cliente o usuario. Sin embargo, se aclara que aunque la entidad vigilada debe sumar las operaciones de recepción o entrega de efectivo para efectos de determinar y cumplir con el monto señalado para el reporte de transacción múltiples en efectivo, ésta debe reportar de forma individual todas las operaciones.

Transacciones individuales en efectivo

Las entidades vigiladas deberán reportar las transacciones individuales en efectivo iguales o superiores a diez millones de pesos ($10.000.000) en moneda legal o su equivalente en otras monedas, según la tasa de conversión a dólares americanos del día en que se realice la operación de acuerdo con la certificación de la TCRM que expida la SFC.

Se encuentran exceptuadas del reporte de transacciones individuales en efectivo, las siguientes transacciones en efectivo:

  1. Recaudo de impuestos nacionales, distritales y municipales.
  2. Recaudo de Contribución de Valorización.
  • Recaudo de aportes para salud y pensiones obligatorias.
  1. Recaudo de servicios públicos domiciliarios.
  2. Recaudo de telefonía móvil celular.
  3. Recaudo de aportes al sistema de riesgos laborales (ARL).

Tanto las transacciones múltiples, como las transacciones individuales en efectivo se deben reportar en 1 solo archivo.

3.     ESPECIFICACIONES DEL ARCHIVO

El Archivo tipo texto que la entidad vigilada reportante debe enviar a la UIAF contiene información sobre cada una de las transacciones de efectivo. Dentro del archivo en mención se deben incluir 3 tipos de registros: encabezado (registro tipo 1), cuerpo del formato (registros tipo 2) y cola (registro tipo 3).

El formato del archivo es: archivo plano.

El formato para el nombre del archivo es: SSTTTCCCMMAA, donde SS identifica el sector, la TTT el tipo de entidad y CCC el código de la entidad, asignados por la SFC, MM para mes y AA para año.

El archivo debe tener extensión .txt y debe venir grabado en codificación de texto ANSI.

La información registrada puede tener los siguientes formatos:

 

  • Numérico: aquel que contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), o ANSI 45 (-) y ANSI 46(.). Esto es: los numerales arábicos 0-9, el punto como indicador de la posición decimal, y el guion para indicar un valor negativo.

Alfanumérico: incluye los caracteres ANSI 32 (espacio en blanco), aquellos en el rango ANSI 65 a ANSI 90 (alfabeto inglés), ANSI 140 y ANSI 142 (caracteres especiales de algunas lenguas romances), caracteres entre ANSI 192 y ANSI 214 caracteres especiales de algunas lenguas romances), entre ANSI 216 y ANSI 221 (caracteres especiales de algunas lenguas romances), y aquellos descritos en los datos de tipo numérico. Estos caracteres se resaltan en la Figura 1. (no se transcribe dada su extensión)

  • Fecha: este formato contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), y ANSI 45 (-). Esto es: los numerales arábicos 0-9 para los valores de año, mes y día, y el guion como separador de estas posiciones.

La longitud de registro es de 550 posiciones.

Todos los campos son obligatorios.

A continuación se presentan el diseño y la descripción detallada de los registros que contiene el Archivo.

3.1.  Encabezado

Es el encabezado del archivo. Recoge la identificación de la entidad reportante. Sólo existe un registro de este tipo por archivo. Es la cabecera del archivo.

Este registro se genera de acuerdo a la siguiente información:

Cuadro 1. Encabezado del Archivo del Reporte de Transacciones en Efectivo

No. Campo Posición Inicial Posición Final Longitud Formato Contenido Campo obligatorio
1 Número consecutivo de registro 1 10 10 Numérico -Siempre el valor 0.
-Alineado a la derecha.
2 Código de la Entidad 11 18 8 Alfanumérico -Formato SSTTTCCC, donde SS identifica el sector (Ej. 01), TTT el tipo de entidad (Ej. 021) y la CCC el código de la entidad (Ej. 001) asignados por la SFC.
-Alineado a la izquierda.
3 Fecha de Corte 19 28 10 Fecha -Corresponde al último día del período reportado.
-Formato AAAA-MM-DD donde AAAA es el año (Ej. 2021), MM es el mes (Ej. 10) y DD es el día (Ej. 31).
-Si el día o el mes tiene un solo dígito, se debe llenar el otro dígito con “0”. Ej. Enero 1 del 2025 será 2025-01-31.
4 Número total de transacciones reportadas 29 38 10 Numérico -Es el número total de registros tipo 2 (cuerpo del formato) reportados en el archivo.
-Alineado a la derecha.
5 Fin de registro 39 550 512 Alfanumérico -Llenado con X hasta completar las 550 posiciones.

 

Cuerpo del formato

NOTA DE FASECOLDA. No se transcribe dada su extensión.

4.   CONSIDERACIONES A LA HORA DE REALIZAR LOS REPORTES

En general, para la escritura de variables con formato numérico se debe tener en cuenta lo siguiente:

  • Todas estas variables deben estar alineadas a la derecha.
  • En ningún caso se deben dejar espacios antes del dato, o agregar espacios después del dato.

En general, para la escritura de variables con formato alfanumérico se debe tener en consideración lo siguiente:

  • Todas estas variables deben estar alineadas a la izquierda.
  • En ningún caso se debe completar con ceros a la izquierda o a la derecha del dato.
  • Todas las letras incluidas en la información relacionada deben ser escritas en mayúscula.

Para ayudar al correcto diligenciamiento de la información solicitada, en la página Web de la UIAF (www.uiaf.gov.co) podrá descargar:

  • La codificación ISO 4217 de divisas.
  • Codificación DANE de los municipios.

Un archivo plano de ejemplo que sirve como guía para el diseño y construcción del archivo plano requerido para realizar el Reporte de Transacciones en Efectivo.

5.   ESPECIFICACIONES PARA EL ENVÍO DE LOS REPORTES 5.1.  Envío de los reportes

El medio de envío de los reportes realizados por las entidades vigiladas por la SFC es el Sistema de Reporte en Línea (SIREL) de la UIAF.

La entidad usuaria de la información enviada por los reportantes es la UIAF.

Los reportes deben entregarse con una periodicidad mensual y contener la información solicitada correspondiente al mes inmediatamente anterior (es decir, la fecha de corte de la información es el último día del mes inmediatamente anterior).

La fecha de entrega de los reportes corresponde a los primeros 20 días calendario después de la fecha de corte del período mensual.

Antes de enviar la información, cada entidad debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas, porque el sólo hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace el reporte.

Si durante el período de reporte no se presentó alguna transacción que haya dado lugar al Reporte de Transacciones en Efectivo motivo de este anexo técnico, la entidad reportante debe realizar, a través de SIREL, el reporte negativo (reporte de ausencia) durante los primeros 20 días del mes siguiente al periodo de reporte.

Si las entidades vigiladas por la SFC presentan alguna transacción que da origen a este anexo técnico y no envían el reporte respectivo a la UIAF, estarán sujetas a las sanciones a las que haya lugar.

5.2.  Proceso de envío de los reportes

Para enviar los reportes a la UIAF, cada entidad reportante debe contar con un usuario que le permitirá ingresar a SIREL y realizar el cargue de los reportes.

La entidad debe registrarse a través de la página web de la UIAF www.uiaf.gov.co en el enlace SIREL – Solicitud de Código en Línea, seleccionando sector: Financiero y el tipo de entidad correspondiente según el listado de la Superintendencia Financiera de Colombia. Luego de obtener el código de entidad, ésta debe solicitar el usuario para acceder al SIREL a través del enlace SIREL – Solicitud de Usuario.

Cada usuario está ligado al número de identificación de quien se registra. Por lo tanto, si la persona encargada de realizar el ingreso a SIREL cambia, la entidad reportante debe solicitar un nuevo usuario asociado al documento de identificación de la nueva persona encargada. Así mismo, la entidad debe solicitar la cancelación del anterior usuario a través del módulo de PQRSD dispuesto en la página web de la UIAF.

Recuerde solicitar las siguientes actualizaciones a través del módulo PQRSD:

  • La actualización de datos de los usuarios en el SIREL: sólo se actualizarán correos electrónicos, datos de contacto.
  • La actualización de datos del oficial de cumplimiento: sólo se actualizarán correos electrónicos, datos de contacto, nombres. En caso que no tenga un usuario en el SIREL debe solicitarlo a través de la opción mencionada con anterioridad.
  • La cancelación de los usuarios retirados de la entidad reportante.
  • La cancelación de la entidad reportante
  • La asociación de entidades a un usuario registrado y activo en el SIREL.

5.3.  Estado de los reportes respecto a los tiempos de envío

Los reportes enviados pueden presentar 3 situaciones:

  • Recibido: la UIAF considera que el reporte fue recibido a tiempo cuando el cargue EXITOSO fue realizado dentro del período estipulado y de conformidad con todas las exigencias y especificaciones establecidas en el presente Anexo. También cuando el reporte fue enviado dentro del periodo estipulado con cargue FALLIDO y al corregir tuvo cargue EXITOSO a más tardar 10 días después de la fecha límite de reporte.

Por ejemplo, si debe reportar los primeros 20 días del mes siguiente a la fecha de corte y las correcciones se hacen hasta el día 30 del mes, el reporte queda clasificado como recibido a tiempo.

  • Recibido extemporáneo: la UIAF considera que el reporte fue recibido extemporáneo cuando el primer cargue EXITOSO fue realizado fuera del período estipulado. También cuando el reporte fue enviado dentro del período estipulado con cargue FALLIDO y al corregir tuvo cargue EXITOSO después de los 10 días calendario que transcurren luego de la fecha límite de reporte.

Por ejemplo, si la entidad reportante obtuvo cargue FALLIDO el día 18 del mes y el cargue EXITOSO fue el día 02 del mes siguiente, el reporte queda clasificado como recibido extemporáneo.

  • No recibido: la UIAF considera que un reporte fue no recibido cuando en la base de datos de la UIAF, no se encuentra ningún registro de reporte correspondiente a uno o más períodos.

El no recibido, el recibido extemporáneo y la mala calidad de los datos, afectan las labores de inteligencia que realiza la UIAF.

5.4.  Solicitud de anulación para corrección de reporte

Puede suceder que una vez cargado el archivo en forma exitosa, la entidad reportante o la UIAF identifique inconsistencias en la información enviada. En este caso la entidad reportante debe corregir la información y retransmitir el archivo completo. Los pasos a seguir son los siguientes:

  • Paso 1: La entidad reportante debe diligenciar el formato de solicitud de anulación para la corrección de reportes que encontrará en la página web de la UIAF www.uiaf.gov.co, sección SIREL-Formatos y tablas generales.
  • Paso 2: La entidad reportante debe ingresar al módulo PQRSD de la página web de la UIAF www.uiaf.gov.co, en tipo de solicitud debe seleccionar “Peticiones”, luego “Soporte” y, por último, “Solicitud Anulación para corrección de Reportes” y adjuntar el formato. El módulo de PQRSD le entregará un código para hacer el seguimiento a su solicitud.
  • Paso 3: Una vez que la UIAF recibe la solicitud y hace la verificación, pone en estado fallido el reporte y le comunica a la entidad reportante (respuesta a la PQRSD) que puede realizar nuevamente el cargue.
  • Paso 4: La entidad reportante debe realizar el cargue de información corregida tan pronto reciba respuesta a la PQRSD. Esta información quedará cargada como ENVÍO CORREGIDO.

Antes de enviar la información, cada entidad reportante debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas. Por ejemplo, sólo el hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace la información. Asimismo, los reportantes deben verificar que sea incluida la información de los campos obligatorios.

5.5.  Certificado de cargue de los reportes

Una vez que la entidad reportante envíe cada uno de los reportes que le correspondan, recibirá mediante SIREL el certificado de recibo de la información, en donde se indicará el número de radicación, entidad, usuario, fecha y hora de cargue, fecha de corte de la información, número de registros, tipo de reporte y el estado del envío: EXITOSO O FALLIDO. Este certificado puede ser impreso o almacenado en formato .pdf.

En el evento en el que el cargue sea FALLIDO, el sistema informará a la entidad los errores y ésta deberá corregir la información y cargarla nuevamente hasta que el estado del envío sea EXITOSO. La entidad reportante tendrá un plazo único de 10 días calendario para realizar el cargue exitoso de la información después de finalizado el plazo inicial.

6.   SOPORTE

Con el objetivo de solucionar sus inquietudes, la UIAF cuenta con los siguientes canales de comunicación para atención a las entidades reportantes y/o sujetos obligados:

  • Línea Telefónica: en Bogotá el PBX: 288 5222 Ext. 450, a nivel nacional la línea gratuita: 018000-11 11 83.
  • Chat Técnico: disponible de lunes a viernes de 8:30 a.m. a 11:30 a.m. y de 2:30 p.m. a 4:00 p.m.
  • Módulo PQRSD (Peticiones, Quejas, Reclamos y Denuncias): en www.uiaf.gov.co / Contáctenos / Peticiones, Quejas, Reclamos y Denuncias – (PQRSD).

 

TEMA: Transacciones en Efectivo
 NOMBRE DE PROFORMA: Reporte de Transacciones en Efectivo.
OBJETIVO: Entregar información a la Unidad Administrativa Especial de Información y Análisis Financiero – UIAF, sobre las transacciones en efectivo en el Sector Financiero.
TIPO DE ENTIDAD A LA QUE APLICA: Entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia –SFC-
PERIODICIDAD: Mensual
FECHA DE REPORTE: Dentro de los primeros diez (10) días calendario del mes siguiente a la fecha de corte mensual.
FECHA DE CORTE DE LA INFORMACION: Último día de cada mes.
MEDIO DE ENVÍO: Sistema de Reporte en Línea
ENTIDAD USUARIA: Unidad Administrativa Especial de Información y Análisis Financiero – UIAF.

INSTRUCTIVO

Generalidades

Las entidades vigiladas deberán reportar mensualmente a la Unidad de Información y Análisis Financiero, dentro de los primeros diez (10) días calendario del mes siguiente al del corte, el informe sobre las transacciones individuales y múltiples en efectivo.

Se entenderá por transacciones en efectivo, todas aquellas transacciones que en desarrollo del giro ordinario de los negocios de los clientes involucren entrega o recibo de dinero en billetes y/o en moneda nacional o extranjera.

La entidad deberá en primer lugar calcular las transacciones múltiples en efectivo (es decir aquellas que en su conjunto igualen o supere cincuenta millones de pesos ($50.000.000) si es moneda legal o cincuenta mil dólares de los Estados Unidos de América (USD50.000) o su equivalente en otras monedas).

Una vez calculadas las operaciones múltiples en efectivo, la entidad deberá tomar las transacciones individuales que no fueron reportadas como múltiples y que cumplan con el monto establecido, es decir aquellas iguales o superiores a diez millones de pesos ($10.000.000) si es moneda legal o cinco mil dólares de los Estados Unidos de América (USD5000) o su equivalente en otras monedas.

La entidad de la cual es cliente la persona que realiza retiros en efectivo a través de cajeros automáticos, deberán reportar a la UIAF dichos retiros. Cuando se trate de avances y/o pagos en efectivo a través de tarjetas de crédito, se deben reportar estas operaciones por las entidades que entreguen o reciben el dinero en efectivo.

El reporte de transacciones en efectivo se compone de:

1- Transacciones múltiples en efectivo

Las entidades deberán reportar todas las transacciones en efectivo que se realicen en una o varias oficinas, durante un (1) mes calendario, por o en beneficio de un mismo cliente o usuario y que en su conjunto igualen o superen los cincuenta millones de pesos ($50.000.000) en moneda legal o cincuenta mil dólares de los Estados Unidos de América (USD$50.000) o su equivalente en otras monedas, según la tasa de conversión a dólares americanos del día en que se realice la operación, de acuerdo con la certificación de la TCRM que expida la Superintendencia Financiera de Colombia.

Se encuentran exceptuadas del reporte de transacciones múltiples en efectivo, las siguientes:

  • a) Recaudo de impuestos nacionales, distritales y municipales.
  • b) Recaudo de Contribución de Valorización
  • c) Recaudo de aportes para salud y pensiones obligatorias
  • d) Recaudo de servicios públicos domiciliarios
  • e) Recaudo de telefonía móvil celular
  • f) Recaudo de aportes a riegos profesionales (ARP)

Para el caso del Reporte de Transacciones Múltiples en Efectivo, la entidad debe reportar la totalidad de las operaciones de recepción o entrega de efectivo en cabeza de un mismo cliente o usuario. Sin embargo, se aclara que aunque la entidad debe sumar las operaciones de recepción o entrega de efectivo para efectos de determinar y cumplir con el monto señalado para el reporte de transacción múltiples en efectivo, ésta debe reportar de forma individual todas las operaciones.

2- Transacciones individuales en efectivo

Las entidades deberán reportar las transacciones individuales en efectivo iguales o superiores a diez millones de pesos m/cte ($10.000.000) en moneda legal o cinco mil dólares de los Estados Unidos de América (USD$5.000) o su equivalente en otras monedas, según la tasa de conversión a dólares americanos del día en que se realice la operación de acuerdo con la certificación de la TCRM que expida la Superintendencia Financiera de Colombia.

Se encuentran exceptuadas del reporte de transacciones individuales en efectivo, las siguientes transacciones en efectivo:

  • a) Recaudo de aportes para salud y pensiones obligatorias
  • b) Recaudo de servicios públicos domiciliarios
  • c) Recaudo de telefonía móvil celular
  • d) Recaudo de aportes a riegos profesionales (ARP)

Tanto las transacciones múltiples, como las transacciones individuales en efectivo se deben reportar en un (1) solo archivo.

En todos los casos la información debe ser enviada a la UIAF a través del Sistema de Reporte en Línea https://reportes.uiaf.gov.co/ReportesFSMCif64/Modules/Home/html/default.aspx

Si durante el periodo de reporte no se presentó ninguna transacción que haya dado lugar al reporte de transacciones en efectivo individuales o múltiples, se deberá realizar el reporte negativo a través del Sistema de Reporte en Línea.

La entidad recibirá mediante el Sistema de Reporte en Línea el certificado de recibo de la información, en donde se indicará el número de radicación, entidad, usuario, fecha y hora de cargue, fecha de corte de la información, número de registros, tipo de reporte y el estado del envió: “SATISFACTORIO” O “FALLIDO”. En el evento en el que el cargue sea “FALLIDO”, el sistema informará a la entidad los errores y esta deberá corregir la información y cargarla nuevamente hasta que el estado del envío sea “SATISFACTORIO”. La entidad tendrá un plazo único de diez (10) días calendario para realizar el cargue satisfactorio de la información después de finalizado el plazo inicial.

Para el reporte de la información las entidades deben consultar el documento técnico dispuesto en la página web: www.superfinanciera.gov.co en la sección Normativa/Índice de Reportes/Guías para el reporte de información/Documentos Técnicos, archivo “Transacciones en Efectivo- UIAF”.

Para ayudar al correcto diligenciamiento de la información solicitada, en la página Web de la UIAF www.uiaf.gov.co podrá descargar: Codificación DANE para departamentos y municipios,  Instrucciones para el correcto diligenciamiento de direcciones y archivo plano de ejemplo  que sirve como guía para el diseño y construcción del archivo plano requerido.

ENCABEZADO:

Entidad: Identificación de la entidad reportante. Indicando sector (01 sector financiero), Tipo y Código de la entidad asignado por la SFC.

Fecha de corte: Fecha del corte bajo formato AAAA-MM-DD y corresponde al último día del mes reportado.

CUERPO DEL FORMATO:

Columna 1 – Subcuenta: Se registra el número consecutivo de registro, inicia en 1.

Columna 2 – Fecha de la transacción: Se registra la fecha en que se realizó la transacción bajo el formato AAAA- MM-DD.

Columna 3 – Valor de la transacción: Se registra, en pesos sin decimales,  el valor de la transacción realizada. En el caso de que se haya efectuado en moneda extranjera, se debe convertir a pesos expresada con la TCRM vigente para el día en que se realizó la transacción certificada por la SFC.

Columna 4 – Tipo Moneda: Se registra la moneda en que se efectuó la transacción, de acuerdo con los siguientes códigos: 1 = Moneda nacional, 2 = Moneda extranjera.

Columna 5 – Código de la Oficina: Se registra el código asignado por la entidad a la oficina o sucursal donde se efectuó la transacción.

Columna 6 – Tipo de producto: Se diligencia el código del producto mediante el cual se efectuó la transacción: 01=Cuenta corriente, 02=Cuenta de ahorros, 03=Créditos, 04=Tarjeta Crédito, 05=Certificados de Depósito, 06=Fondos Fiduciarios, 07=Fondos de pensiones y Cesantías, 08=Operaciones realizadas por otra entidad, 9=Otro, 10= Servicios de almacenes generales de depósito, 11= Operaciones de remates y subastas públicas. El producto reportado debe ser aquel que vincula la operación en efectivo con el cliente o usuario.

Columna 7 – Tipo Transacción: Se diligencia el código del tipo de transacción efectuada, así: 1=Retiro (dinero en efectivo que entrega la entidad),  2= Depósito (dinero en efectivo que recibe la entidad).

Columna 8 – Medio de la Transacción: Se diligencia el código para determinar el origen de la operación, así: 1 = Pago de cheque en ventanilla (independiente del tipo de cheque) 9= Otro medio.

Columna 9 – Número de la cuenta: Se registra el número de la cuenta o producto con que se efectuó la transacción, sin incluir guiones, espacios en blanco, ni otro tipo de separadores.

Columna 10 – Tipo de Identificación: Se debe registrar el tipo de documento o dato de identificación de la persona titular de la cuenta (producto). Los códigos a utilizar son: 06=Carné Diplomático,  07=Sociedad Extranjera sin NIT en Colombia, 08=Fideicomiso, 11= Registro Civil de Nacimiento, 12=Tarjeta de identidad, 13=Cédula de Ciudadanía, 21= Tarjeta de Extranjería, 22=Cédula de Extranjería, 31=NIT, 41=Pasaporte, 42=Tipo de Documento Extranjero, 00=Otro tipo de identificación. Para el caso de los Fideicomisos inmobiliarios se debe reportar por parte de las fiduciarias al comprador y no al constructor.

Columna 11 – Número de Identificación: Se debe indicar el número del documento de identificación de la persona o empresa titular de la cuenta o producto. En caso de ser una persona jurídica, incluir el dígito de verificación. Para el caso de los Fideicomisos inmobiliarios se debe reportar por parte de las fiduciarias al comprador y no al constructor.

Columna 12 – Primer apellido del titular: Se registra el primer apellido de la persona natural titular de la cuenta o producto. Para el caso de los Fideicomisos inmobiliarios se debe reportar por parte de las fiduciarias al comprador y no al constructor.

Columna 13 – Segundo apellido del titular: Se registra el segundo apellido de la persona natural titular de la cuenta o producto. Para el caso de los Fideicomisos inmobiliarios se debe reportar por parte de las fiduciarias al comprador y no al constructor.

Columna 14 – Primer nombre del titular: Se registra el primer nombre de la persona natural titular de la cuenta o producto. Para el caso de los Fideicomisos inmobiliarios se debe reportar por parte de las fiduciarias al comprador y no al constructor.

Columna 15 – Otros nombres del titular: Se registran otros nombres de la persona natural titular de la cuenta o producto. Para el caso de los Fideicomisos inmobiliarios se debe reportar por parte de las fiduciarias al comprador y no al constructor.

Columna 16 – Razón social del titular: Se registra la razón social de la persona jurídica titular de la cuenta o producto. Solo diligenciar en caso de ser una persona jurídica, de lo contrario dejar en blanco. Para el caso de los Fideicomisos inmobiliarios se debe reportar por parte de las fiduciarias al comprador y no al constructor.

Columna 17 – Código Departamento / Municipio: Se debe indicar el código del departamento y municipio donde se efectuó la transacción, de acuerdo con la codificación del Departamento Nacional de Estadística DANE. Tener en cuenta que Bogotá por ser distrito capital, tiene código especial de departamento y municipio = 11001.

NOTA: Las columnas 18 a 23 se deben diligenciar para las transacciones individuales iguales o superiores a diez millones de pesos ($10.000.000) si es en moneda legal o cinco mil dólares de los Estados Unidos de América (US $5.000) o su equivalente en otras monedas. Es de obligatorio cumplimiento que los establecimientos de crédito diligencien las columnas mencionadas. Para las entidades vigiladas por la SFC que tengan contrato de uso de red u otro mecanismo para recaudar o manejar efectivo, es opcional el diligenciamiento de tales columnas.

Estas columnas NO aplican para clientes exonerados.

Columna 18 – Tipo de Identificación de la persona que realiza la transacción: Se debe registrar el tipo de documento o dato de identificación de la persona que realiza la transacción individual. Los códigos a utilizar son: 06=Carné Diplomático,  07=Sociedad Extranjera sin NIT en Colombia, 08=Fideicomiso, 11= Registro Civil de Nacimiento, 12=Tarjeta de identidad, 13=Cédula de Ciudadanía, 21=Tarjeta de Extranjería, 22=Cédula de Extranjería, 31=NIT, 41=Pasaporte, 42=Tipo de Documento Extranjero, 00=Otro tipo de identificación.

Columna 19 – Número de Identificación de la persona que realiza la transacción: Se debe indicar el número del documento de identificación de la persona que realiza la transacción individual.

Columna 20 – Primer apellido: Se registra el primer apellido de la persona natural que realiza la operación individual.

Columna 21 – Segundo apellido: Se registra el segundo apellido de la persona natural que realiza la operación.

Columna 22 – Primer nombre: Se registra el primer nombre de la persona natural que realiza la operación.

Columna 23 – Otros nombres: Se registran otros nombres de la persona natural que realiza la operación.

Eliminada – Actividad  económica del titular de la cuenta

Eliminada – Ingreso mensual en pesos del titular de la cuenta

NOTA DE FASECOLDA.- No se transcribe el cuadro correspondiente a la proforma dada su extensión.

NOTA DE FASECOLDA: Mediante la Circular Externa 005 de 2017 de la Superintendencia Financiera se deja sin efecto la modificación de este reporte.

REPORTE DE CLIENTES EXONERADOS

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la Circular Externa 055 de 2016 de la Superintendencia Financiera, modificada por las Circulares Externas 005 de 2017 y 017 de 2018 de la Superintendencia Financiera.

[2–0909] PARTE I, TIT IV, CAP IV, REPORTE DE CLIENTES EXONERADOS DEL REPORTE DE TRANSACCIONES DE EFECTIVO DE LAS ENTIDADES VIGILADAS POR LA SUPERINTENDENCIA FINANCIERA DE COLOMBIA.

ADVERTENCIA LEGAL

Los sujetos obligados por el presente anexo técnico deberán dar cumplimiento a los principios en el tratamiento de datos personales señalados en la Ley 1581 de 2012, específicamente los principios de veracidad, acceso y circulación restringida, seguridad y confidencialidad. En ese orden, se entiende que la transmisión de información a la que se refiere el reporte de que trata este anexo técnico se hace cumpliendo con las obligaciones normativas contempladas en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero; 3°, 4° y 9° de la Ley 526 de 1999, y con el Capítulo IV del Título IV de la Parte Primera de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia, y las demás normas que aclaren, sustituyan, condicionen, modifiquen o adicionen las anteriores normas”.

1.   OBJETIVO

Este documento presenta los lineamientos técnicos e instrucciones a seguir por las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC) para realizar y enviar la información de los clientes exonerados del Reporte de Transacciones en Efectivo a la Unidad de Información y Análisis Financiero (UIAF).

2.   DESCRIPCIÓN

Las entidades vigiladas por la SFC deben reportar trimestralmente a la UIAF la información (p.ej. nombres, identificación) de todos sus clientes exonerados del Reporte de Transacciones en Efectivo.

Para cada período de reporte las entidades vigiladas deberán enviar la información de los clientes exonerados vigentes, de acuerdo con las especificaciones técnicas definidas en el presente anexo.

Las entidades vigiladas reportantes deben conservar una copia del estudio que soporte la existencia de las condiciones de exoneración, en caso que éste sea requerido por la UIAF para adelantar las labores definidas en la ley.

3.   ESPECIFICACIONES DEL ARCHIVO

El Archivo que la entidad vigilada reportante debe enviar a la UIAF contiene información sobre los clientes exonerados del reporte de transacciones en efectivo. Dentro del archivo en mención se debe incluir 3 tipos de registros: encabezado (registro tipo 1), cuerpo del formato (registro tipo 2) y cola (registro tipo 3).

El formato del archivo es: archivo plano.

Formato para el nombre del archivo: SSTTTCCCMMAA, donde S identifica el sector, la T el tipo de entidad y la C el código de la entidad, asignados por la Superintendencia Financiera de Colombia, MM para mes y AA para año.

El archivo debe tener extensión .txt y debe venir grabado en codificación de texto ANSI.

La información registrada puede tener los siguientes formatos:

  • Numérico: aquel que contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), o ANSI 45 (-) y ANSI 46(.). Esto es: los numerales arábicos 0-9, el punto como indicador de la posición decimal, y el guion para indicar un valor negativo.
  • Alfanumérico: incluye los caracteres ANSI 32 (espacio en blanco), aquellos en el rango ANSI 65 a ANSI 90 (alfabeto inglés), ANSI 140 y ANSI 142 (caracteres especiales de algunas lenguas romances), caracteres entre ANSI 192 y ANSI 214 caracteres especiales de algunas lenguas romances), entre ANSI 216 y ANSI 221 (caracteres especiales de algunas lenguas romances), y aquellos descritos en los datos de tipo numérico. Estos caracteres se resaltan en la Figura 1.

Figura 1. Caracteres de la Codificación ANSI para el Formato Alfanumérico

  • Fecha: este formato contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), y ANSI 45 (-). Esto es: los numerales arábicos 0-9 para los valores de año, mes y día, y el guion como separador de estas posiciones.

La longitud de registro es de 299 posiciones.

Todos los campos son obligatorios.

A continuación se presentan el diseño y la descripción detallada de los registros que contiene el Archivo.

3.1.  Encabezado

Es el encabezado del archivo. Recoge la identificación de la entidad reportante. Solo existe un registro de este tipo por archivo.

 

Este registro se genera de acuerdo a la siguiente información:

Cuadro 1. Encabezado del Archivo del Reporte de Clientes Exonerados del Reporte de Transacciones de Efectivo

No. Campo Posición Inicial Posición Final Longitud Formato Contenido Campo obligatorio
1 Número consecutivo de registro 1 10 10 Numérico -Siempre el valor 0.
-Alineado a la derecha.
2 Código de entidad 11 18 8 Alfanumérico -Formato SSTTTCCC, donde SS identifica el sector (Ej. 01), TTT el tipo de entidad (Ej. 021) y la CCC el código de la entidad (Ej. 001) asignados por la SFC.
-Alineado a la izquierda.
3 Fecha de corte 19 28 10 Fecha -Corresponde al último día del período reportado.
-Formato AAAA-MM-DD donde AAAA es el año (Ej. 2021), MM es el mes (Ej. 10) y DD es el día (Ej. 31).
-Si el día o el mes tiene un solo dígito, se debe llenar el otro dígito con “0”. Ej. Enero 1 del 2025 será 2025-01-31.
4 Número total de clientes reportados 29 38 10 Numérico -Es el número total de registros tipo 2 (cuerpo del formato) reportados en el archivo.
-Alineado a la derecha.
5 Fin de registro 39 299 261 Alfanumérico -Llenado con X hasta completar las 299 posiciones.

3.2.  Cuerpo del formato

Este tipo de registros contienen la información referente a los clientes exonerados del Reporte de Transacciones de Efectivo. El archivo debe contener tantos registros de este tipo, como clientes exonerados a reportar.

Cada registro corresponde a un cliente exonerado por la entidad reportante.

Para cada uno de los registros debe reportar la información de los siguientes campos:

  • Número consecutivo de registro: es el número único de cada uno de los registros reportados en el archivo.
  • Fecha de exoneración: es la fecha en la cual la entidad reportante exonera al cliente para ser reportado en el reporte de transacciones de efectivo.
  • Tipo de identificación: corresponde al código de identificación del cliente exonerado del Reporte de Transacciones en Efectivo que fue reportado en el Archivo. Este código debe asignarse de acuerdo al Cuadro 1 del archivo “Cuadros Complementarios del Anexo 3”, el cual se encuentra a disposición de las entidades reportantes en la sección Reportantes > Superintendencia Financiera de Colombia > Anexos técnicos – Utilidades, de la página web de la UIAF (www.uiaf.gov.co).
  • Número de identificación: es el número de identificación del cliente exonerado del reporte de transacciones en efectivo. En el caso de los NIT, no debe incluir el dígito de verificación.
  • Dígito de verificación: en este campo debe reportar el dígito de verificación de las identificaciones tipo NIT. Debe ingresar el valor de “-1” cuando se desconozca el dígito de verificación del NIT o cuando el tipo de identificación es diferente a NIT.
  • Nombre: es el nombre con que se encuentra registrado el cliente exonerado del Reporte de Transacciones en Efectivo. Para una persona natural, se incluyen los nombres y apellidos (respetando este orden). Para una persona jurídica, es la razón social.

La longitud y el formato que debe tener cada uno de los anteriores campos descritos es la siguiente:

Cuadro 2. Cuerpo del Archivo del Reporte de Clientes Exonerados del Reporte de Transacciones en Efectivo

No. Campo Posición Inicial Posición Final Longitud Formato Contenido Campo obligatorio
1 Número consecutivo de registro 1 10 10 Numérico -Inicia en 1.
-No se puede repetir.
-Alineado a la derecha.
2 Fecha de exoneración 11 20 10 Fecha -Formato AAAA-MM-DD donde AAAA es el año (Ej. 2021), MM es el mes (Ej. 10) y DD es el día (Ej. 01).

-Si el día o el mes tiene un solo dígito, se debe llenar el otro dígito con “0”. Ej. Enero 1 del 2025 será 2025-01-01.

3 Tipo de Identificación 21 22 2 Numérico -Código seleccionado del Cuadro 1 del archivo “Cuadros Complementarios del Anexo 3”.
4 Número Identificación 23 42 20 Alfanumérico -Diligenciar sin guiones, puntos, comas, espacios en blanco o separadores.
-Alineado a la izquierda.
-Para los NIT, no incluir el dígito de verificación.
5 Dígito de verificación 43 44 2 Numérico -Para los NIT, debe ingresar el dígito de verificación precedido de un “0” (Ej. Un NIT con dígito de verificación 5, debe ingresar el valor “05”).
-Debe ingresar el valor “-1” cuando desconozca el dígito de verificación del NIT del individuo reportado o cuando el tipo de identificación del individuo reportado es diferente a un NIT.
6 Nombre 45 299 255 Alfanumérico -Alineado a la izquierda.

3.3.  Cola

Es el último registro del archivo. Tiene como objetivo realizar una verificación de la información entregada. Así, se incluye un registro en el que se totalizan los registros tipo 2 que contiene el archivo.

Este registro se elabora a partir de la siguiente información:

Cuadro 3. Cola del Archivo del Reporte de Clientes Exonerados del Reporte de Transacciones en Efectivo

No. Campo Posición Inicial Posición Final Longitud Formato Contenido Campo obligatorio
1 Número consecutivo de registro 1 10 10 Numérico -Siempre el valor 0.
-Alineado a la derecha.
2 Código de entidad 11 18 8 Alfanumérico -Formato SSTTTCCC, donde SS identifica el sector (Ej. 01), TTT el tipo de entidad (Ej. 021) y la CCC el código de la entidad (Ej. 001) asignados por la SFC.
-Alineado a la izquierda.
3 Número total de clientes reportados 19 28 10 Numérico -Es el total de clientes exonerados reportados en el Archivo.
-Es el número total de registros tipo 2 (cuerpo del formato) reportados en el archivo.
-Alineado a la derecha.
4 Fin de Registro 29 299 271 Alfanumérico -Llenado con X hasta completar las 299 posiciones.

 

4.   CONSIDERACIONES A LA HORA DE REALIZAR EL REPORTE

En general, para la escritura de variables con formato numérico se debe tener en cuenta lo siguiente:

  • Todas estas variables deben estar alineadas a la derecha.
  • En ningún caso se deben dejar espacios antes del dato, o agregar espacios después del dato.

En general, para la escritura de variables con formato alfanumérico se debe tener en consideración lo siguiente:

  • Todas estas variables deben estar alineadas a la izquierda.
  • En ningún caso se debe completar con ceros a la izquierda o a la derecha del dato.
  • Todas las letras incluidas en la información relacionada deben ser escritas en mayúscula.

Para ayudar al correcto diligenciamiento de la información solicitada, en la página Web de la UIAF (www.uiaf.gov.co) puede descargar:

  • Un archivo plano de ejemplo que sirve como guía para el diseño y construcción del archivo plano requerido para realizar el Reporte de Clientes Exonerados del Reporte de Transacciones en Efectivo.

Para que exista un adecuado análisis de la información, es de suma importancia para la UIAF que el reporte sea oportuno, veraz y de calidad.

5.   ESPECIFICACIONES PARA EL ENVÍO DE LOS REPORTES 5.1.  Envío de los reportes

El medio de envío de los reportes realizados por las entidades vigiladas por la SFC es el Sistema de Reporte en Línea (SIREL) de la UIAF.

La entidad usuaria de la información enviada por los reportantes es la UIAF.

Los reportes deben entregarse con una periodicidad trimestral y contener la información solicitada correspondiente al trimestre inmediatamente anterior (es decir, la fecha de corte de la información es el último día de cada trimestre).

La fecha de entrega de los reportes corresponde a los primeros 20 días calendario del mes siguiente a la fecha de corte del período trimestral. Así, el reporte del primer trimestre del año (Enero-Marzo) se debe entregar los primeros 20 días calendario de mes de Abril. El reporte del segundo trimestre del año (Abril-Junio) se debe entregar los primeros 20 días calendario de Julio. El reporte del tercer trimestre del año (Julio-Septiembre) se debe entregar los primeros 20 días calendario de Octubre y el reporte del cuarto trimestre del año (Octubre-Diciembre) se debe entregar los primeros 20 días calendario de mes de Enero del siguiente año.

Antes de enviar la información, cada entidad debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas, porque el sólo hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace el reporte.

Si durante el período de reporte no se contó con algún cliente que haya dado lugar al Reporte de Clientes Exonerados del Reporte de Transacciones en Efectivo motivo de este anexo técnico, la entidad reportante debe realizar, a través de SIREL, el reporte negativo (reporte de ausencia) durante los primeros 20 días del mes siguiente al periodo de reporte.

Si las entidades vigiladas por la SFC cuentan con un cliente exonerado del reporte de Transacciones en Efectivo que da origen a este anexo técnico y no envían el reporte respectivo a la UIAF, estarán sujetas a las sanciones a las que haya lugar.

5.2.  Proceso de envío de los reportes

Para enviar los reportes a la UIAF, cada entidad reportante debe contar con un usuario que le permitirá ingresar a SIREL y realizar el cargue de los reportes.

La entidad debe registrarse a través de la página web de la UIAF www.uiaf.gov.co en el enlace SIREL – Solicitud de Código en Línea, seleccionando sector: Financiero y el tipo de entidad correspondiente según el listado de la Superintendencia Financiera de Colombia. Luego de obtener el código de entidad, ésta debe solicitar el usuario para acceder al SIREL a través del enlace SIREL – Solicitud de Usuario.

Cada usuario está ligado al número de identificación de quien se registra. Por lo tanto, si la persona encargada de realizar el ingreso a SIREL cambia, la entidad reportante debe solicitar un nuevo usuario asociado al documento de identificación de la nueva persona encargada. Así mismo, la entidad debe solicitar la cancelación del anterior usuario a través del módulo de PQRSD dispuesto en la página web de la UIAF.

Recuerde solicitar las siguientes actualizaciones a través del módulo PQRSD:

  • La actualización de datos de los usuarios en el SIREL: sólo se actualizarán correos electrónicos, datos de contacto.
  • La actualización de datos del oficial de cumplimiento: sólo se actualizarán correos electrónicos, datos de contacto, nombres. En caso que no tenga un usuario en el SIREL debe solicitarlo a través de la opción mencionada con anterioridad.
  • La cancelación de los usuarios retirados de la entidad reportante.
  • La cancelación de la entidad reportante
  • La asociación de entidades a un usuario registrado y activo en el SIREL.

5.3.  Estado de los reportes respecto a los tiempos de envío

Los reportes enviados pueden presentar 3 situaciones:

  • Recibido: la UIAF considera que el reporte fue recibido a tiempo cuando el cargue EXITOSO fue realizado dentro del período estipulado y de conformidad con todas las exigencias y especificaciones establecidas en el presente Anexo. También cuando el reporte fue enviado dentro del período estipulado con cargue FALLIDO y al corregir tuvo cargue EXITOSO a más tardar 10 días calendario después de la fecha límite de reporte.

Por ejemplo, si debe reportar los primeros 20 días del mes siguiente a la fecha de corte y las correcciones se hacen hasta el día 30 del mes, el reporte queda clasificado como recibido a tiempo.

  • Recibido extemporáneo: la UIAF considera que el reporte fue recibido extemporáneo cuando el primer cargue EXITOSO fue realizado fuera del período estipulado. También cuando el reporte fue enviado dentro del período estipulado con cargue FALLIDO y al corregir tuvo cargue EXITOSO después de los 10 días calendario que transcurren luego de la fecha límite de reporte.

Por ejemplo, si la entidad reportante obtuvo cargue FALLIDO el día 18 del mes y el cargue EXITOSO fue el día 02 del mes siguiente, el reporte queda clasificado como recibido extemporáneo.

  • No recibido: la UIAF considera que un reporte fue no recibido cuando en la base de datos de la UIAF, no se encuentra ningún registro de reporte correspondiente a uno o más períodos.

El no recibido, el recibido extemporáneo y la mala calidad de los datos, afectan las labores de inteligencia que realiza la UIAF.

5.4.  Solicitud de anulación para corrección de reporte

Puede suceder que una vez cargado el archivo en forma exitosa, la entidad reportante o la UIAF identifique inconsistencias en la información enviada. En este caso la entidad reportante debe corregir la información y retransmitir el archivo completo. Los pasos a seguir son los siguientes:

  • Paso 1: La entidad reportante debe diligenciar el formato de solicitud de anulación para la corrección de reportes que encontrará en la página web de la UIAF www.uiaf.gov.co, sección SIREL-Formatos y tablas generales.
  • Paso 2: La entidad reportante debe ingresar al módulo PQRSD de la página web de la UIAF www.uiaf.gov.co, en tipo de solicitud debe seleccionar “Peticiones”, luego “Soporte” y, por último, “Solicitud Anulación para corrección de Reportes” y adjuntar el formato. El módulo de PQRSD le entregará un código para hacer el seguimiento a su solicitud.
  • Paso 3: Una vez que la UIAF recibe la solicitud y hace la verificación, pone en estado fallido el reporte y le comunica a la entidad reportante (respuesta a la PQRSD) que puede realizar nuevamente el cargue.
  • Paso 4: La entidad reportante debe realizar el cargue de información corregida tan pronto reciba respuesta a la PQRSD. Esta información quedará cargada como ENVÍO CORREGIDO.

Antes de enviar la información, cada entidad reportante debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas. Por ejemplo, sólo el hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace la información. Asimismo, los reportantes deben verificar que sea incluida la información de los campos obligatorios.

5.5.  Certificado de cargue de los reportes

Una vez que la entidad reportante envíe cada uno de los reportes que le correspondan, recibirá mediante SIREL el certificado de recibo de la información, en donde se indicará el número de radicación, entidad, usuario, fecha y hora de cargue, fecha de corte de la información, número de registros, tipo de reporte y el estado del envío: EXITOSO O FALLIDO. Este certificado puede ser impreso o almacenado en formato .pdf.

En el evento en el que el cargue sea FALLIDO, el sistema informará a la entidad los errores y ésta deberá corregir la información y cargarla nuevamente hasta que el estado del envío sea EXITOSO. La entidad reportante tendrá un plazo único de 10 días calendario para realizar el cargue exitoso de la información después de finalizado el plazo inicial.

6.   SOPORTE

Con el objetivo de solucionar sus inquietudes, la UIAF cuenta con los siguientes canales de comunicación para atención a las entidades reportantes y/o sujetos obligados:

  • Línea Telefónica: en Bogotá el PBX: 288 5222 Ext. 450, a nivel nacional la línea gratuita: 018000-11 11 83.
  • Chat Técnico: disponible de lunes a viernes de 8:30 a.m. a 11:30 a.m. y de 2:30 p.m. a 4:00 p.m.
  • Módulo PQRSD (Peticiones, Quejas, Reclamos y Denuncias): en www.uiaf.gov.co / Contáctenos / Peticiones, Quejas, Reclamos y Denuncias – (PQRSD).

Antes de enviar la información, cada entidad reportante debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas. Por ejemplo, sólo el hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace la información. Asimismo, los reportantes deben verificar que sea incluida la información de los campos obligatorios.

6.1.  Certificado de cargue de los reportes

Una vez que la entidad reportante envíe cada uno de los reportes que le correspondan, recibirá mediante SIREL el certificado de recibo de la información, en donde se indicará el número de radicación, entidad, usuario, fecha y hora de cargue, fecha de corte de la información, número de registros, tipo de reporte y el estado del envío: EXITOSO O FALLIDO. Este certificado puede ser impreso o almacenado en formato .pdf.

En el evento en el que el cargue sea FALLIDO, el sistema informará a la entidad los errores y ésta deberá corregir la información y cargarla nuevamente hasta que el estado del envío sea EXITOSO. La entidad reportante tendrá un plazo único de 10 días calendario para realizar el cargue exitoso de la información después de finalizado el plazo inicial.

7.   SOPORTE

Con el objetivo de solucionar sus inquietudes, la UIAF cuenta con los siguientes canales de comunicación para atención a las entidades reportantes y/o sujetos obligados:

  • Línea Telefónica: en Bogotá el PBX: 288 5222 Ext. 450, a nivel nacional la línea gratuita: 018000-11 11 83.
  • Chat Técnico: disponible de lunes a viernes de 8:30 a.m. a 11:30 a.m. y de 2:30 p.m. a 4:00 p.m.
  • Módulo PQRSD (Peticiones, Quejas, Reclamos y Denuncias): en www.uiaf.gov.co / Contáctenos / Peticiones, Quejas, Reclamos y Denuncias – (PQRSD).
REPORTE DE OPERACIONES DE TRANSFERENCIA, REMESA, COMPRA Y VENTA DE DIVISAS

Circular Externa 029 de 2014 de la Superintendencia Financiera (Reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por las Circulares Externas 055 de 2016 y 017 de 2018 de la Superintendencia Financiera

[2–0910] PARTE I, TIT IV, CAP IV, Anexo REPORTE DE LAS OPERACIONES DE TRANSFERENCIA, REMESA, COMPRA Y VENTA DE DIVISAS DE LAS ENTIDADES VIGILADAS POR LA SUPERINTENDENCIA FINANCIERA DE COLOMBIA

ADVERTENCIA LEGAL

Los sujetos obligados por el presente anexo técnico deberán dar cumplimiento a los principios en el tratamiento de datos personales señalados en la Ley 1581 de 2012, específicamente los principios de veracidad, acceso y circulación restringida, seguridad y confidencialidad. En ese orden, se entiende que la transmisión de información a la que se refiere el reporte de que trata este anexo técnico se hace cumpliendo con las obligaciones normativas contempladas en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero; 3°, 4° y 9° de la Ley 526 de 1999, y con el Capítulo IV del Título IV de la Parte Primera de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia, y las demás normas que aclaren, sustituyan, condicionen, modifiquen o adicionen las anteriores normas”.

1.   OBJETIVO

Este documento presenta los lineamientos técnicos e instrucciones a seguir por las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC) para realizar y enviar el Reporte de Operaciones de Transferencia, Remesa, Compra y Venta de Divisas a la Unidad Administrativa Especial de Información y Análisis Financiero (UIAF).

2.   DESCRIPCIÓN

Los intermediarios del mercado cambiario vigilados por la SFC deben remitir mensualmente a la UIAF la información correspondiente a las siguientes operaciones:

a) Operaciones individuales de transferencia de divisas desde o hacia el exterior. Es decir aquellas operaciones en virtud de las cuales salen o ingresan divisas al país mediante movimientos electrónicos o contables. Los intermediarios del mercado cambiario deben reportar bajo este concepto las operaciones de monetización de divisas desde o hacia el exterior.

b) Remesas de divisas desde o hacia el exterior, las cuales corresponden a las operaciones de traslado físico de divisas desde o hacia el exterior.

c) Operaciones de compra y venta de divisas por ventanilla. Corresponden a las operaciones de compra y venta de divisas efectuadas por ventanilla, realizadas por los intermediarios del mercado cambiario en las modalidades de efectivo o cheque, las cuales no implican movimiento electrónico de divisas.

Para tales efectos, las entidades deben incluir en el reporte:

  • Las divisas que deben canalizarse en forma obligatoria a través de los intermediarios autorizados; así como aquellas que, no obstante encontrarse exentas de dicha obligación, se canalicen voluntariamente a través de los mismos.
  • Las divisas no monetizadas, es decir aquellas que no son convertidas a moneda legal colombiana.

No se deben reportar operaciones de derivados sobre divisas, ni aquellas celebradas con el Banco de la República o con otras entidades vigiladas por la SFC.

Para realizar un adecuado reporte de las operaciones, las entidades reportantes deben tener en consideración todas las entidades y jurisdicciones que participan en la operación. Por ejemplo, en una operación de transferencia internacional de divisas pueden participar entidades en diferentes países que actúan como corresponsales, intermediarios, originador de la operación y destinatario final.

Este tipo de operaciones pueden verse gráficamente en las Figura 1 y Figura 2. (no se transcriben dada su extensión)

Bajo la anterior descripción, en este reporte deben incluirse información sobre:

  • El cliente de la entidad: es el individuo que realiza la operación que está siendo reportada. Esta operación pueden ser: i) enviar o recibir divisas a través de una operación de transferencia o remesa, y ii) comprar o vender de divisas.
  • La entidad que envía/recibe las divisas: esta entidad es la que se relaciona directamente con la entidad reportante pues envía las divisas desde el exterior o recibe las divisas en el exterior. Puede ocurrir que la entidad que envía/recibe las divisas sea la misma entidad de origen/destino y en dicho caso la operación no contaría con una entidad intermediaria.
  • La entidad intermediaria que envía/recibe: es la entidad que se interpone entre la entidad que envía/recibe las divisas y la entidad de origen/destino cuando no existe un canal directo entre dichas entidades. No todas las operaciones cuentan con entidad intermediaria.
  • La entidad de origen/destino: es aquella entidad que se relaciona con el remitente que envía las divisas o con el beneficiario que recibe las divisas.
  • Remitente o beneficiario: es el individuo que remite las divisas desde el exterior hacia el cliente en Colombia o el individuo que recibe las divisas en el exterior que fueron enviadas por el cliente desde Colombia.

3.   ESPECIFICACIONES DEL ARCHIVO

El Archivo tipo texto que la entidad reportante debe enviar a la UIAF contiene información sobre cada una de las operaciones de transferencia, remesa, compra y venta de divisas. Dentro del archivo en mención se deben incluir 3 tipos de registros: encabezado (registro tipo 1), cuerpo del formato (registros tipo 2) y cola (registro tipo 3).

El formato del archivo es: archivo plano.

El formato para el nombre del archivo es: SSTTTCCCMMAA, donde SS identifica el sector, la TTT el tipo de entidad y CCC el código de la entidad, asignados por la SFC, MM para mes y AA para año.

El archivo debe tener extensión .txt y debe venir grabado en codificación de texto ANSI.

La información registrada puede tener los siguientes formatos:

  • Numérico: aquel que contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), o ANSI 45 (-) y ANSI 46(.). Esto es: los numerales arábicos 0-9, el punto como indicador de la posición decimal, y el guion para indicar una valor negativo.

Alfanumérico: incluye los caracteres ANSI 32 (espacio en blanco), aquellos en el rango ANSI 65 a ANSI 90 (alfabeto inglés), ANSI 140 y ANSI 142 (caracteres especiales de algunas lenguas romances), caracteres entre ANSI 192 y ANSI 214 caracteres especiales de algunas lenguas romances), entre ANSI 216 y ANSI 221 (caracteres especiales de algunas lenguas romances), y aquellos descritos en los datos de tipo numérico. Estos caracteres se resaltan en la Figura 3. (no se transcribe dada su extensión).

  • Fecha: este formato contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), y ANSI 45 (-). Esto es: los numerales arábicos 0-9 para los valores de año, mes y día, y el guion como separador de estas posiciones.

La longitud de registro es de 1760 posiciones.

Todos los campos son obligatorios.

A continuación se presentan el diseño y la descripción detallada de los registros que contiene el Archivo.

3.1.  Encabezado

Recoge la identificación de la entidad reportante. Solo existe un registro de este tipo por archivo.

Este registro se genera a partir la siguiente información:

Cuadro 1. Encabezado del Archivo del Reporte de Operaciones de Transferencias, Remesas, Compras y Venta de Divisas

No. Campo Posición Inicial Posición Final Longitud Formato Contenido Campo obligatorio
1 Número consecutivo de registro 1 10 10 Numérico -Siempre el valor 0.
-Alineado a la derecha.
2 Código de entidad 11 18 8 Alfanumérico -Formato SSTTTCCC, donde SS identifica el sector (Ej. 01), TTT el tipo de entidad (Ej. 021) y la CCC el código de la entidad (Ej. 001) asignados por la SFC.
-Alineado a la izquierda.
3 Fecha de corte 19 28 10 Fecha -Corresponde al último día del período reportado.
-Formato AAAA-MM-DD donde AAAA es el año (Ej. 2021), MM es el mes (Ej. 10) y DD es el día (Ej. 31).
-Si el día o el mes tiene un solo dígito, se debe llenar el otro dígito con “0”. Ej. Enero 1 del 2025 será 2025-01-31.
4 Número total de operaciones
reportadas
29 38 10 Numérico -Es el número total de registros tipo 2 (cuerpo del formato) reportados en el archivo.
-Alineado a la derecha.
5 Fin de registro 39 1760 1722 Alfanumérico -Llenado con X hasta completar las 1760 posiciones.

Cuerpo del formato

NOTA DE FASECOLDA: No se transcribe dada su extensión.

4.   CONSIDERACIONES A LA HORA DE REALIZAR LOS REPORTES

En general, para la escritura de variables con formato numérico se debe tener en cuenta lo siguiente:

  • Todas estas variables deben estar alineadas a la derecha.

En ningún caso se deben dejar espacios antes del dato, o agregar espacios después del dato.

En general, para la escritura de variables con formato alfanumérico se debe tener en consideración lo siguiente:

  • Todas estas variables deben estar alineadas a la izquierda.
  • En ningún caso se debe completar con ceros a la izquierda o a la derecha del dato.
  • Todas las letras incluidas en la información relacionada deben ser escritas en mayúscula.

Para ayudar al correcto diligenciamiento de la información solicitada, en la página Web de la UIAF (www.uiaf.gov.co) puede descargar:

  • Los numerales cambiarios de la Circular Reglamentaria Externa – DCIN – 83.
  • La codificación DANE de los municipios.
  • La codificación ISO 3166 de países.
  • La codificación ISO 4217 de divisas.
  • Un archivo plano de ejemplo que sirve como guía para el diseño y construcción del archivo plano requerido en el Reporte de las Operaciones de Transferencia, Remesa, Compra y Venta de Divisas.
  • Un documento de preguntas frecuentes para aclarar inquietudes relacionadas con este reporte.

Para que exista un adecuado análisis de la información, es de suma importancia para la UIAF que el reporte sea oportuno, veraz y de calidad.

5.   ESPECIFICACIONES PARA EL ENVÍO DE LOS REPORTES 5.1.  Envío de los reportes

El medio de envío de los reportes realizados por las entidades vigiladas por la SFC es el Sistema de Reporte en Línea (SIREL) de la UIAF.

La entidad usuaria de la información enviada por los reportantes es la UIAF.

Los reportes deben entregarse con una periodicidad mensual y contener la información solicitada correspondiente al mes inmediatamente anterior (es decir, la fecha de corte de la información es el último día del mes inmediatamente anterior).

La fecha de entrega de los reportes corresponde a los primeros 20 días calendario después de la fecha de corte del período mensual.

Antes de enviar la información, cada entidad debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas, porque el sólo hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace el reporte.

Si durante el período de reporte no se presentó alguna operación que haya dado lugar al Reporte de las Operaciones de Transferencia, Remesa, Compra y Venta de Divisas motivo de este anexo técnico, la entidad reportante debe realizar, a través de SIREL, el reporte negativo (reporte de ausencia) durante los primeros 20 días del mes siguiente al periodo de reporte.

Si las entidades vigiladas por la SFC presentan alguna operación que da origen a este anexo técnico y no envían el reporte respectivo a la UIAF, estarán sujetas a las sanciones a las que haya lugar.

5.2.  Proceso de envío de los reportes

Para enviar los reportes a la UIAF, cada entidad reportante debe contar con un usuario que le permitirá ingresar a SIREL y realizar el cargue de los reportes.

La entidad debe registrarse a través de la página web de la UIAF www.uiaf.gov.co en el enlace SIREL – Solicitud de Código en Línea, seleccionando sector: Financiero y el tipo de entidad correspondiente según el listado de la Superintendencia Financiera de Colombia. Luego de obtener el código de entidad, ésta debe solicitar el usuario para acceder al SIREL a través del enlace SIREL – Solicitud de Usuario.

Cada usuario está ligado al número de identificación de quien se registra. Por lo tanto, si la persona encargada de realizar el ingreso a SIREL cambia, la entidad reportante debe solicitar un nuevo usuario asociado al documento de identificación de la nueva persona encargada. Así mismo, la entidad debe solicitar la cancelación del anterior usuario a través del módulo de PQRSD dispuesto en la página web de la UIAF.

Recuerde solicitar las siguientes actualizaciones a través del módulo PQRSD:

  • La actualización de datos de los usuarios en el SIREL: sólo se actualizarán correos electrónicos, datos de contacto.
  • La actualización de datos del oficial de cumplimiento: sólo se actualizarán correos electrónicos, datos de contacto, nombres. En caso que no tenga un usuario en el SIREL debe solicitarlo a través de la opción mencionada con anterioridad.
  • La cancelación de los usuarios retirados de la entidad reportante.
  • La cancelación de la entidad reportante
  • La asociación de entidades a un usuario registrado y activo en el SIREL.

5.3.  Estado de los reportes respecto a los tiempos de envío

Los reportes enviados pueden presentar 3 situaciones:

  • Recibido: la UIAF considera que el reporte fue recibido a tiempo cuando el cargue EXITOSO fue realizado dentro del período estipulado y de conformidad con todas las exigencias y especificaciones establecidas en el presente Anexo. También cuando el reporte fue enviado dentro del período estipulado con cargue FALLIDO y al corregir tuvo cargue EXITOSO a más tardar 10 días calendario después de la fecha límite de reporte.

Por ejemplo, si debe reportar los primeros 20 días del mes siguiente a la fecha de corte y las correcciones se hacen hasta el día 30 del mes, el reporte queda clasificado como recibido a tiempo.

  • Recibido extemporáneo: la UIAF considera que el reporte fue recibido extemporáneo cuando el primer cargue EXITOSO fue realizado fuera del período estipulado. También cuando el reporte fue enviado dentro del período estipulado con cargue FALLIDO y al corregir tuvo cargue EXITOSO después de los 10 días calendario que transcurren luego de la fecha límite de reporte.

Por ejemplo, si la entidad reportante obtuvo cargue FALLIDO el día 18 del mes y el cargue EXITOSO fue el día 02 del mes siguiente, el reporte queda clasificado como recibido extemporáneo.

  • No recibido: la UIAF considera que un reporte fue no recibido cuando en la base de datos de la UIAF, no se encuentra ningún registro de reporte correspondiente a uno o más períodos.

El no recibido, el recibido extemporáneo y la mala calidad de los datos, afectan las labores de inteligencia que realiza la UIAF.

5.4.  Solicitud de anulación para corrección de reporte

Puede suceder que una vez cargado el archivo en forma exitosa, la entidad reportante o la UIAF identifique inconsistencias en la información enviada. En este caso la entidad reportante debe corregir la información y retransmitir el archivo completo. Los pasos a seguir son los siguientes:

  • Paso 1: La entidad reportante debe diligenciar el formato de solicitud de anulación para la corrección de reportes que encontrará en la página web de la UIAF www.uiaf.gov.co sección SIREL-Formatos y tablas generales.
  • Paso 2: La entidad reportante debe ingresar al módulo PQRSD de la página web de la UIAF www.uiaf.gov.co, en tipo de solicitud debe seleccionar “Peticiones”, luego “Soporte” y, por último, “Solicitud Anulación para corrección de Reportes” y adjuntar el formato. El módulo de PQRSD le entregará un código para hacer el seguimiento a su solicitud.

Paso 3: Una vez que la UIAF recibe la solicitud y hace la verificación, pone en estado fallido el reporte y le comunica a la entidad reportante (respuesta a la PQRSD) que puede realizar nuevamente el cargue.

  • Paso 4: La entidad reportante debe realizar el cargue de información corregida tan pronto reciba respuesta a la PQRSD. Esta información quedará cargada como ENVÍO CORREGIDO.

Antes de enviar la información, cada entidad reportante debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas. Por ejemplo, sólo el hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace la información. Asimismo, los reportantes deben verificar que sea incluida la información de los campos obligatorios.

5.5.  Certificado de cargue de los reportes

Una vez que la entidad reportante envíe cada uno de los reportes que le correspondan, recibirá mediante SIREL el certificado de recibo de la información, en donde se indicará el número de radicación, entidad, usuario, fecha y hora de cargue, fecha de corte de la información, número de registros, tipo de reporte y el estado del envío: EXITOSO O FALLIDO. Este certificado puede ser impreso o almacenado en formato .pdf.

En el evento en el que el cargue sea FALLIDO, el sistema informará a la entidad los errores y ésta deberá corregir la información y cargarla nuevamente hasta que el estado del envío sea EXITOSO. La entidad reportante tendrá un plazo único de 10 días calendario para realizar el cargue exitoso de la información después de finalizado el plazo inicial.

6.   SOPORTE

Con el objetivo de solucionar sus inquietudes, la UIAF cuenta con los siguientes canales de comunicación para atención a las entidades reportantes y/o sujetos obligados:

  • Línea Telefónica: en Bogotá el PBX: 288 5222 Ext. 450, a nivel nacional la línea gratuita: 018000-11 11 83.
  • Chat Técnico: disponible de lunes a viernes de 8:30 a.m. a 11:30 a.m. y de 2:30 p.m. a 4:00 p.m.
  • Módulo PQRSD (Peticiones, Quejas, Reclamos y Denuncias): en www.uiaf.gov.co / Contáctenos / Peticiones, Quejas, Reclamos y Denuncias – (PQRSD)
REPORTE DE PRODUCTOS OFRECIDOS POR LAS ENTIDADES VIGILADAS

Circular Externa 029 de 2014 de la Superintendencia Financiera (reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la circular externa 055 de 2016 de la Superintendencia Financiera, modificada por las Circulares Externas 005 de 2017 y 017 de 2018 de la Superintendencia Financiera.

[2–0910-01] PARTEI, TIT IV, CAP IV, Anexo Reporte de productos ofrecidos por las entidades vigiladas.

ADVERTENCIA LEGAL

Los sujetos obligados por el presente anexo técnico deberán dar cumplimiento a los principios en el tratamiento de datos personales señalados en la Ley 1581 de 2012, específicamente los principios de veracidad, acceso y circulación restringida, seguridad y confidencialidad. En ese orden, se entiende que la transmisión de información a la que se refiere el reporte de que trata este anexo técnico se hace cumpliendo con las obligaciones normativas contempladas en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero; 3°, 4° y 9° de la Ley 526 de 1999, y con el Capítulo IV del Título IV de la Parte Primera de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia, y las demás normas que aclaren, sustituyan, condicionen, modifiquen o adicionen las anteriores normas”.

1.   OBJETIVO

Este documento presenta los lineamientos técnicos e instrucciones a seguir por las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC) para realizar y enviar el Reporte de Productos Ofrecidos a la Unidad de Información y Análisis Financiero (UIAF).

Las entidades vigiladas por la SFC deben reportar todos los productos vigentes, saldados, cancelados, en liquidación y liquidados durante todo el período reportado; los cuales representen operaciones activas y/o pasivas.

Se exceptúa del presente reporte los productos constituidos directamente entre entidades vigiladas por la SFC y aquellos constituidos con el Banco de la República. Es decir, solo debe reportarse la información correspondiente a productos constituidos en beneficio o por cuenta de un tercero diferente a una entidad vigilada por la SFC y al Banco de la República.

Todas las entidades quedarán exentas de entrega de información de operaciones activas y pasivas que se canalicen a través del mercado de valores colombiano que se encuentren inscritos en el Registro Nacional de Valores y emisores (compraventa de títulos valores).

2.   DESCRIPCIÓN

La SFC vigila entidades financieras con diferente naturaleza y amplia diversidad de productos ofrecidos. Dichas características justifican la división del Reporte de Productos en cuatro categorías, los cuales se describen a continuación:

  • Reporte de Productos General: las entidades vigiladas por la SFC deben reportar todos sus productos ofrecidos diferentes a los fondos administrados, a las cuentas ómnibus administradas, a los negocios fiduciarios, a los seguros y a los títulos de capitalización.
  • Reporte de Fondos: en este reporte deben incluirse los fondos de inversión colectiva, fondos de capital privado, fondos mutuos, fondos de capital extranjero, fondos de pensiones voluntarias y demás fondos administrados por las entidades vigiladas por la SFC. También deben reportarse las cuentas ómnibus administradas a través de la actividad de distribución especializada.

Reporte del Negocio Fiduciario: es específico para todas las sociedades fiduciarias y deben reportarse todos los negocios fiduciarios de acuerdo con la clasificación utilizada por la SFC al momento de inscribir el negocio. Existen dos excepciones: i) los fondos de inversión colectiva administrados por las fiduciarias deben reportarse en el Reporte de Fondos; y ii) los negocios fiduciarios inscritos en el subtipo fondos de pensiones de jubilación e invalidez (fondos de pensiones voluntarias) del tipo recursos del sistema general de seguridad social y otros de la SFC, deben reportarse como fondos de pensiones voluntarias en el Reporte de Fondos.

  • Reporte de la Industria Aseguradora: en este reporte se contemplan aquellos productos financieros con componente de ahorro-inversión, teniendo en cuenta las recomendaciones del GAFI en materia de seguros de vida. Así, deben registrarse los seguros de vida con componente de ahorro o inversión ofrecidos por las compañías y cooperativas de seguros, y los títulos de capitalización emitidos por las sociedades de capitalización.

Cada entidad vigilada por la SFC debe enviar a la UIAF los reportes en donde se encuentren sus productos ofrecidos. De acuerdo a la regulación vigente al cierre de 2017, en el siguiente cuadro de se indica qué categorías de reporte deben enviar las entidades vigiladas.

Cuadro 1. Reporte de Productos y tipo de entidad que debe reportar

Entidad vigiladas por la SFC Categoría de reporte que debe enviar la entidad*
Reporte de Productos General Reporte de Fondos Reporte del Negocio Fiduciario Reporte de la Industria Aseguradora
Establecimientos bancarios x x
Corporaciones Financieras x
Compañías de Financiamiento x
Cooperativas Financieras x
Instituciones Oficiales Especiales x
Sociedades Especializadas en Depósitos y Pagos Electrónicos x
Almacenes Generales de Depósitos x
Sociedades Administradoras de Inversión x x
Sociedades Comisionistas de Bolsa de Valores x x
Sociedades Administradoras de Pensiones y Cesantías x
Sociedades fiduciarias x x
Compañías de Seguros y Reaseguros x
Cooperativas de Seguros x
Sociedades de Capitalización x

* Con regulación vigente al cierre del año 2017.

Cabe destacar que la categoría de reporte que debe enviar cada entidad vigilada por la SFC puede cambiar en el tiempo, gracias a modificaciones regulatorias que permitan a las entidades ofrecer otro tipo de productos financieros y/o cambiar su naturaleza. Por lo tanto, el anterior cuadro es informativo y solo describe el tipo de reportes que debe enviar cada entidad vigilada por la SFC a la UIAF con la regulación vigente al corte de 2017. Por ello, cada entidad debe verificar constantemente cuáles productos ofrece y en qué categoría de reporte deben ser reportados a la UIAF.

En los casos del Reporte de Productos General y del Reporte de la Industria Aseguradora, cada mes las entidades vigiladas por la SFC deben reportar a la UIAF todos los productos vigentes (activos e inactivos) correspondientes al mes inmediatamente anterior, aunque no presenten alguna modificación con respecto a lo reportado en el mes anterior. Por su parte, los productos saldados y/o cancelados solo deben reportarse en el mes en que tuvieron ese estado y posteriormente no deben reportarse a la UIAF. Las definiciones de los estados vigente, saldado y cancelado se encuentran en cada uno de los reportes.

En el Reporte de Fondos, cada mes las entidades vigiladas por la SFC deben reportar a la UIAF todos los productos vigentes correspondientes al mes inmediatamente anterior, aunque no presenten alguna modificación con respecto a lo reportado en el mes anterior. Si un fondo o cuenta ómnibus deja de existir en el mes de reporte, desde ese momento debe dejarse de reportar a la UIAF. La definición de los productos vigentes se encuentra en el mencionado reporte.

Para el Reporte del Negocio Fiduciario, cada mes las entidades vigiladas por la SFC deben reportar a la UIAF todos los productos vigentes y/o en liquidación correspondientes al mes inmediatamente anterior, aunque no presenten alguna modificación con respecto a lo reportado en el mes anterior. Por su parte, los productos liquidados solo deben reportarse en el mes en que tuvieron ese estado y posteriormente no deben reportarse a la UIAF. Las definiciones de los estados vigente, en liquidación y liquidado se encuentran en dicho reporte.

3.   REPORTE DE PRODUCTOS GENERAL 3.1.  Generalidades

En este reporte deben registrarse todos los productos ofrecidos por las entidades vigiladas diferentes a: los fondos administrados y las cuentas ómnibus administradas (los cuales deben registrarse en el Reporte de Fondos), los negocios fiduciarios (los que se incluyen en el Reporte de Negocios Fiduciarios), los seguros y los títulos de capitalización (los cuales deben reportarse en el Reporte de la Industria Aseguradora). Deben ser reportados todos los productos del activo y del pasivo ofrecidos por las entidades reportantes; tales como: productos activos e inactivos (v.gr. cuentas y depósitos sin movimientos, créditos en mora) y productos que se encuentran al día en sus pagos y aquellos que presentan retraso en sus pagos.

Este reporte está conformado por 2 archivos, tal como se muestra a continuación: (no se trasnscribe dada su extensión).

Cada mes deben reportarse a la UIAF el Archivo 1 y el Archivo 2. Es decir, siempre tienen que enviarse los dos archivos, así uno de los dos o los dos archivos no presenten alguna modificación con respecto al reportado en el mes inmediatamente anterior. Por ejemplo, si el Archivo 1 tuvo modificaciones y el Archivo 2 no presentó cambios frente a los archivos enviados el mes inmediatamente anterior, el reportante debe enviar los 2 archivos que componen el reporte. Si el Archivo 1 no tuvo modificaciones y el Archivo 2 sí presentó cambios frente a los archivos enviados el mes inmediatamente anterior, el reportante debe enviar los 2 archivos que conforman el reporte. Finalmente, si tanto el Archivo 1 como el Archivo 2 presentaron cambios frente a los archivos enviados el mes inmediatamente anterior, el reportante debe enviar los 2 archivos que componen el reporte.

A la hora de realizar el cargue de cada archivo, el Sistema de Reporte en Línea (SIREL) validará que los dos archivos estén cargados exitosamente. En caso que no sea así, se considerará que el reporte no fue exitoso.

3.2. Especificaciones del Archivo 1

El Archivo 1 que la entidad reportante debe enviar a la UIAF contiene información sobre cada uno de sus productos ofrecidos. Dentro del archivo en mención se deben incluir 3 tipos de registros: encabezado (registro tipo 1), cuerpo del formato (registros tipo 2) y cola (registro tipo 3).

El formato del archivo es: archivo plano.

El formato para el nombre del archivo es: SSTTTCCCMMAA_1, donde SS identifica el sector, la TTT el tipo de entidad y CCC el código de la entidad, asignados por la SFC, MM para mes y AA para año.

El archivo debe tener extensión .txt y debe venir grabado en codificación de texto ANSI.

La información registrada puede tener los siguientes formatos:

  • Numérico: aquel que contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), o ANSI 45 (-) y ANSI 46(.). Esto es: los numerales arábicos 0-9, el punto como indicador de la posición decimal, y el guion para indicar un valor negativo.

Alfanumérico: incluye los caracteres ANSI 32 (espacio en blanco), aquellos en el rango ANSI 65 a ANSI 90 (alfabeto inglés), ANSI 140 y ANSI 142 (caracteres especiales de algunas lenguas romances), caracteres entre ANSI 192 y ANSI 214 caracteres especiales de algunas lenguas romances), entre ANSI 216 y ANSI 221 (caracteres especiales de algunas lenguas romances), y aquellos descritos en los datos de tipo numérico. Estos caracteres se resaltan en la Figura 2 (no se adjunta dada su extensión).

  • Fecha: este formato contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), y ANSI 45 (-). Esto es: los numerales arábicos 0-9 para los valores de año, mes y día, y el guion como separador de estas posiciones.

La longitud de registro es de 108 posiciones.

Todos los campos son obligatorios.

A continuación se presentan el diseño y la descripción detallada de los registros que contiene el Archivo 1.

3.1.1. Encabezado

Es el encabezado del archivo. Recoge la identificación de la entidad reportante. Sólo existe un registro de este tipo por archivo.

Este registro se genera de acuerdo a la siguiente información:

Cuadro 2. Encabezado del Archivo 1 del Reporte de Productos General

No. Campo Posición Inicial Posición Final Longitud Formato Contenido Campo obligatorio
1 Número consecutivo de registro 1 10 10 Numérico -Siempre el valor 0.
-Alineado a la derecha.
2 Código de entidad 11 18 8 Alfanumérico -Formato SSTTTCCC, donde SS identifica el sector (Ej. 01), TTT el tipo de entidad (Ej. 021) y la CCC el código de la entidad (Ej. 001) asignados por la SFC.
-Alineado a la izquierda.
3 Fecha de corte 19 28 10 Fecha -Corresponde al último día del período reportado.
-Formato AAAA-MM-DD donde AAAA es el año (Ej. 2021), MM es el mes (Ej. 10) y DD es el día (Ej. 31).
-Si el día o el mes tiene un solo dígito, se debe llenar el otro dígito con “0”. Ej. Enero 1 del 2025 será 2025-01-31.
4 Número total de productos
reportados
29 38 10 Numérico -Es el número total de registros tipo 2 (cuerpo del formato) reportados en el archivo.
-Alineado a la derecha.
5 Fin de registro 39 108 70 Alfanumérico -Llenado con X hasta completar las 108 posiciones.

 

Cuerpo del formato:

NOTA DE FASECOLDA: no se transcribe dada su extensión.

3.3. Especificaciones del Archivo 2

El Archivo 2 que debe enviarse contiene información sobre cada uno de los titulares, firmantes y apoderados de los productos ofrecidos que son reportados en el Archivo 1. Dentro del Archivo 2 también se deben incluir 3 tipos de registros: encabezado (registro tipo 1), cuerpo del formato (registros tipo 2) y cola (registro tipo 3).

El formato del archivo es: archivo plano.

El formato para el nombre del archivo es: SSTTTCCCMMAA_2, donde SS identifica el sector, la TTT el tipo de entidad y CCC el código de la entidad, asignados por la SFC, MM para mes y AA para año.

El archivo debe tener extensión .txt y debe venir grabado en codificación de texto ANSI.

La información registrada puede tener los siguientes formatos:

  • Numérico: aquel que contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), o ANSI 45 (-) y ANSI 46(.). Esto es: los numerales arábicos 0-9, el punto como indicador de la posición decimal, y el guion para indicar un valor negativo.
  • Alfanumérico: incluye los caracteres ANSI 32 (espacio en blanco), aquellos en el rango ANSI 65 a ANSI 90 (alfabeto inglés), ANSI 140 y ANSI 142 (caracteres especiales de algunas lenguas romances), caracteres entre ANSI 192 y ANSI 214 caracteres especiales de algunas lenguas romances), entre ANSI 216 y ANSI 221 (caracteres especiales de algunas lenguas romances), y aquellos descritos en los datos de tipo numérico. Estos caracteres se resaltan en la Figura 2.
  • Fecha: este formato contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), y ANSI 45 (-). Esto es: los numerales arábicos 0-9 para los valores de año, mes y día, y el guion como separador de estas posiciones.

La longitud de registro es de 312 posiciones.

Todos los campos son obligatorios.

A continuación se presentan el diseño y la descripción detallada de los registros que contiene el Archivo 2.

3.1.2.  Encabezado

Recoge la identificación de la entidad reportante. Sólo existe un registro de este tipo por archivo.

Este registro se genera de acuerdo a la siguiente información:

Cuadro 5. Encabezado del Archivo 2 del Reporte de Productos General

No. Campo Posición Inicial Posición Final Longitud Formato Contenido Campo obligatorio
1 Número consecutivo de registro 1 10 10 Numérico -Siempre el valor 0.
-Alineado a la derecha.
2 Código de entidad 11 18 8 Alfanumérico -Formato SSTTTCCC, donde SS identifica el sector (Ej. 01), TTT el tipo de entidad (Ej. 021) y la CCC el código de la entidad (Ej. 001) asignados por la SFC.
-Alineado a la izquierda.
3 Fecha de corte 19 28 10 Fecha -Corresponde al último día del período reportado.
-Formato AAAA-MM-DD donde AAAA es el año (Ej. 2021), MM es el mes (Ej. 10) y DD es el día (Ej. 31).
-Si el día o el mes tiene un solo dígito, se debe llenar el otro dígito con “0”. Ej. Enero 1 del 2025 será 2025-01-31.
4 Número total de
reportados
29 38 10 Numérico -Es el total de titulares, firmantes y apoderados de cada producto reportado en el Archivo 1.

Es el número total de registros tipo 2 (cuerpo del formato) reportados en el archivo.
-Alineado a la derecha.

5 Fin de registro 39 312 274 Alfanumérico -Llenado con X hasta completar las 312 posiciones.

 

Cuerpo del formato

NOTA DE FASECOLDA: No se transcribe dada su extensión.

(……)

6. REPORTE DE LA INDUSTRIA ASEGURADORA 6.1. Generalidades

En este reporte se contemplan aquellos productos financieros con componente de ahorro-inversión y capitalización, teniendo en cuenta las recomendaciones del GAFI en materia de seguros de vida. Los productos a reportar son los seguros de vida con componente de ahorro o inversión, y los títulos de capitalización ofrecidos por las entidades vigiladas por la SFC. Estos productos representan solo operaciones activas para la industria aseguradora.

En dichas operaciones activas deben incluirse los movimientos que se generan por los préstamos con garantías de pólizas o de títulos de capitalización, pues son operaciones asociadas a un producto (ya sea una póliza de seguro o un título de capitalización) y no se genera un nuevo producto ofrecido por la industria aseguradora. Es decir, el reporte de los préstamos con garantías de pólizas o de títulos de capitalización se realiza como el movimiento (salidas y/o entradas) de un producto y no como un nuevo producto u operación.

Deben reportarse todos los productos ofrecidos que cumplan con las condiciones solicitadas. Para cada producto ofrecido debe reportarse la información de todos los tomadores, asegurados y beneficiarios de los productos.

Este reporte está compuesto por 2 archivos, tal como se muestra a continuación: (no se transcribe dada su extensión).

Cada mes deben reportarse a la UIAF el Archivo 1 y el Archivo 2. Es decir, siempre tienen que enviarse los dos archivos, así uno de los dos o los dos archivos no presenten alguna modificación con respecto al reportado en el mes inmediatamente anterior. Por ejemplo, si el Archivo 1 tuvo modificaciones y el Archivo 2 no presentó cambios frente a los archivos enviados el mes inmediatamente anterior, el reportante debe enviar los 2 archivos que componen el reporte. Si el Archivo 1 no tuvo modificaciones y el Archivo 2 sí presentó cambios frente a los archivos enviados el mes inmediatamente anterior, el reportante debe enviar los 2 archivos que conforman el reporte. Finalmente, si tanto el Archivo 1 como el Archivo 2 sí presentaron cambios frente a los archivos enviados el mes inmediatamente anterior, el reportante debe enviar los 2 archivos que componen el reporte.

A la hora de realizar el cargue de cada archivo, el Sistema de Reporte en Línea (SIREL) validará que los dos archivos estén cargados exitosamente. En caso que no sea así, se considerará que el reporte no fue exitoso.

6.1 Especificaciones del Archivo 1

El archivo que la entidad reportante debe enviar a la UIAF contiene información sobre cada uno de sus productos ofrecidos. Dentro del archivo en mención se deben incluir 3 tipos de registros: encabezado (registro tipo 1), cuerpo del formato (registros tipo 2) y cola (registro tipo 3).

El formato del archivo es: archivo plano.

El formato para el nombre del archivo es: SSTTTCCCMMAA_1, donde SS identifica el sector, la TTT el tipo de entidad y CCC el código de la entidad, asignados por la SFC, MM para mes y AA para año.

El archivo debe tener extensión .txt y debe venir grabado en codificación de texto ANSI.

La información registrada puede tener los siguientes formatos:

  • Numérico: aquel que contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), o ANSI 45 (-) y ANSI 46(.). Esto es: los numerales arábicos 0-9, el punto como indicador de la posición decimal, y el guion para indicar un valor negativo.
  • Alfanumérico: incluye los caracteres ANSI 32 (espacio en blanco), aquellos en el rango ANSI 65 a ANSI 90 (alfabeto inglés), ANSI 140 y ANSI 142 (caracteres especiales de algunas lenguas romances), caracteres entre ANSI 192 y ANSI 214 caracteres especiales de algunas lenguas romances), entre ANSI 216 y ANSI 221 (caracteres especiales de algunas lenguas romances), y aquellos descritos en los datos de tipo numérico. Estos caracteres se resaltan en la Figura 2.
  • Fecha: este formato contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), y ANSI 45 (-). Esto es: los numerales arábicos 0-9 para los valores de año, mes y día, y el guion como separador de estas posiciones.

La longitud de registro es de 161 posiciones.

Todos los campos son obligatorios.

A continuación se presentan el diseño y la descripción detallada de los registros que contiene el Archivo 1.

6.2.1. Encabezado

Es el encabezado del archivo. Recoge la identificación de la entidad reportante. Sólo existe un registro de este tipo por archivo.

Este registro se genera de acuerdo a la siguiente información:

Cuadro 20. Encabezado del Archivo 1 del Reporte de la Industria Aseguradora

No. Campo Posición Inicial Posición Final Longitud Formato Contenido Campo obligatorio
1 Número consecutivo de registro 1 10 10 Numérico -Siempre el valor 0.
-Alineado a la derecha.
2 Código de entidad 11 18 8 Alfanumérico -Formato SSTTTCCC, donde SS identifica el sector (Ej. 01), TTT el tipo de entidad (Ej. 021) y la CCC el código de la entidad (Ej. 001) asignados por la SFC.
-Alineado a la izquierda.
3 Fecha de corte 19 28 10 Fecha -Corresponde al último día del período reportado.
-Formato AAAA-MM-DD donde AAAA es el año (Ej. 2021), MM es el mes (Ej. 10) y DD es el día (Ej. 31).
-Si el día o el mes tiene un solo dígito, se debe llenar el otro dígito con “0”. Ej. Enero 1 del 2025 será 2025-01-31.
4 Número total de reportados 29 38 10 Numérico -Es el número total de registros tipo 2 (cuerpo del formato) reportados en el archivo.
-Alineado a la derecha.
5 Fin de registro 39 161 123 Alfanumérico -Llenado con X hasta completar las 161 posiciones.

 

Cuerpo del formato:

NOTA DE FASECOLDA: No se transcribe dada su extensión.

(…) 6.3 Especificaciones del Archivo 2

El Archivo 2 contiene información sobre cada uno de los tomadores, asegurados y beneficiarios de los productos ofrecidos que son reportados en el Archivo 1. Dentro del Archivo 2 también se deben incluir 3 tipos de registros: encabezado (registro tipo 1), cuerpo del formato (registros tipo 2) y cola (registro tipo 3). El formato del archivo es: archivo plano.

El formato para el nombre del archivo es: SSTTTCCCMMAA_2, donde SS identifica el sector, la TTT el tipo de entidad y CCC el código de la entidad, asignados por la SFC, MM para mes y AA para año.

El archivo debe tener extensión .txt y debe venir grabado en codificación de texto ANSI.

La información registrada puede tener los siguientes formatos:

  • Numérico: aquel que contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), o ANSI 45 (-) y ANSI 46(.). Esto es: los numerales arábicos 0-9, el punto como indicador de la posición decimal, y el guion para indicar un valor negativo.

Alfanumérico: incluye los caracteres ANSI 32 (espacio en blanco), aquellos en el rango ANSI 65 a ANSI 90 (alfabeto inglés), ANSI 140 y ANSI 142 (caracteres especiales de algunas lenguas romances), caracteres entre ANSI 192 y ANSI 214 caracteres especiales de algunas lenguas romances), entre ANSI 216 y ANSI 221 (caracteres especiales de algunas lenguas romances), y aquellos descritos en los datos de tipo numérico. Estos caracteres se resaltan en la Figura 2.

  • Fecha: este formato contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), y ANSI 45 (-). Esto es: los numerales arábicos 0-9 para los valores de año, mes y día, y el guion como separador de estas posiciones.

La longitud del registro es de 312 posiciones.

Todos los campos son obligatorios.

A continuación se presentan el diseño y la descripción detallada de los registros que contiene el Archivo 2.

3.1.3. Encabezado

Es el encabezado del archivo. Recoge la identificación de la entidad reportante. Sólo existe un registro de este tipo por archivo.

Este registro se genera de acuerdo con la siguiente información:

Cuadro 23. Encabezado del Archivo 2 del Reporte de la Industria Aseguradora

No. Campo Posición Inicial Posición Final Longitud Formato Contenido Campo obligatorio
1 Número consecutivo de registro 1 10 10 Numérico -Siempre el valor 0.
-Alineado a la derecha.
2 Código de entidad 11 18 8 Alfanumérico -Formato SSTTTCCC, donde SS identifica el sector (Ej. 01), TTT el tipo de entidad (Ej. 021) y la CCC el código de la entidad (Ej. 001) asignados por la SFC.
-Alineado a la izquierda.
3 Fecha de corte final 19 28 10 Fecha -Corresponde al último día del período reportado.
-Formato AAAA-MM-DD donde AAAA es el año (Ej. 2021), MM es el mes (Ej. 10) y DD es el día (Ej. 31).
-Si el día o el mes tiene un solo dígito, se debe llenar el otro dígito con “0”. Ej. Enero 1 del 2025 será 2025-01-31.
4 Número total de participantes reportados 29 38 10 Numérico -Es el número total de registros tipo 2 (cuerpo del formato) reportados en el archivo.
-Alineado a la derecha.
5 Fin de registro 39 312 274 Alfanumérico -Llenado con X hasta completar las 312 posiciones.

 

Cuerpo del formato (no se transcribe dada su extensión).

7. CONSIDERACIONES A LA HORA DE REALIZAR LOS REPORTES

Para cada producto ofrecido deben reportarte todos los titulares (incluye todos los cotitulares), apoderados, firmantes y ordenantes. Es decir, todos los individuos que tienen autorización para realizan movimientos sobre el producto ofrecido.

Las Administradoras de Sistemas de Pago de Bajo Valor no deben reportar directamente las transferencias de fondos que se realizan a través de sus sistemas, pues dichas transacciones son utilizadas como un medio de transacción de los productos ofrecidos o como un servicio que prestan las entidades vigiladas. No obstante, las entidades reportantes del Reporte de Productos Ofrecidos que da lugar a este documento, sí deben incluir el valor de todas las transacciones que se realicen a través de los Sistemas de Pago de Bajo Valor en los campos: i) Entradas, Salidas y Saldo de los Reportes de Productos General, Reporte de Fondos y Reporte de Negocios Fiduciarios; y ii) Entradas, Salidas y Ahorro del Reporte de la Industria Aseguradora.

Para cada negocio fiduciario ofrecido y/o administrado deben reportarse: todos los participantes (fideicomitentes, beneficiarios y ordenadores del gasto) que tienen un rol desde el inicio hasta el cierre del negocio fiduciario.

Los patrimonios autónomos constituidos bajo la Ley 1508 de 2012 deben reportarse:

  • En el Reporte de Patrimonios Autónomos de la Ley 1508 de 2018 (Anexo 7) al momento de su constitución.
  • En el Reporte de Productos (Anexo 6) desde su constitución y durante toda su vida, lo cual implica reportar sus modificaciones.

No deben reportarse:

  • Operaciones realizadas por la entidad para cumplir con un propósito en particular, tales como: las operaciones que modifiquen la posición propia de la entidad vigilada, la compra-venta de divisas, las operaciones en el mercado monetario, los giros internacionales, etc.
  • Productos financieros que no pueden ser ofrecidos por la entidad reportante. Por ejemplo, de acuerdo con lo establecido en la normatividad vigente, una entidad fiduciaria no puede reportar cuentas de ahorro, una entidad bancaria no puede reportar fondos de inversión colectiva y una cooperativa de seguros no puede reportar una cuenta corriente, etc.
  • Productos financieros donde la entidad reportante es un cliente y no es un oferente del producto. Por ejemplo, una cooperativa financiera no debe reportar una cuenta de ahorros que haya abierto a su nombre en un establecimiento bancario.

El reporte de los campos entradas, salidas y saldo debe realizarse desde la perspectiva del “extracto” del producto que la entidad reportante envía al cliente.

El reporte de los productos ofrecidos debe tener en consideración la titularidad de los participantes.

  • Por ejemplo, en una fiducia inmobiliaria, los aportes que realizan los individuos durante la etapa de preventas son puestos en un fondo de inversión colectiva hasta que se cierra la preventa. Posteriormente, los recursos recogidos en la preventa son enviados a la fiducia inmobiliaria para proceder a la etapa de ejecución del proyecto. En este caso, durante la etapa de preventas deben reportarse como cuentas individuales en el Reporte de Fondos los aportes que está haciendo cada individuo. A su vez, en el Reporte de los Negocios Fiduciarios tiene que reportarse la fiducia inmobiliaria sin las entradas por concepto de aportes que se están realizando en la preventa.

Cuando la preventa finaliza, las cuentas individuales de todos los aportantes se cierran y dejan de reportarse en el Reporte de Fondos. Entretanto, los aportes totales de la preventa serán una entrada para la fiducia inmobiliaria que ya viene siendo reportada.

En general, para la escritura de variables con formato numérico se debe tener en cuenta lo siguiente:

  • Todas estas variables deben estar alineadas a la derecha.
  • En ningún caso se deben dejar espacios antes del dato, o agregar espacios después del dato.

En general, para la escritura de variables con formato alfanumérico se debe tener en consideración lo siguiente:

  • Todas estas variables deben estar alineadas a la izquierda.
  • En ningún caso se debe completar con ceros a la izquierda o a la derecha del dato.
  • Todas las letras incluidas en la información relacionada deben ser escritas en mayúscula.

Para ayudar al correcto diligenciamiento de la información solicitada, en la página Web de la UIAF (www.uiaf.gov.co) puede descargar:

  • La codificación DANE de los municipios.
  • La codificación ISO 4217 de divisas.
  • Un archivo plano de ejemplo que sirve como guía para el diseño y construcción para cada uno de los archivos planos requeridos en las cuatro categorías del Reporte de Productos.
  • Un documento de preguntas frecuentes para aclarar inquietudes relacionadas con este reporte.

Para que exista un adecuado análisis de la información, es de suma importancia para la UIAF que el reporte sea oportuno, veraz y de calidad.

8 ESPECIFICACIONES PARA EL ENVÍO DE LOS REPORTES 8.1  Envío de los reportes

El medio de envío de los reportes realizados por las entidades vigiladas por la SFC es el Sistema de Reporte en Línea (SIREL) de la UIAF.

La entidad usuaria de la información enviada por los reportantes es la UIAF.

Los reportes deben entregarse con una periodicidad mensual y contener la información solicitada correspondiente al mes inmediatamente anterior (es decir, la fecha de corte de la información es el último día del mes inmediatamente anterior).

La fecha de entrega de los reportes corresponde a los primeros 20 días calendario después de la fecha de corte del período mensual.

Antes de enviar la información, cada entidad debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas, porque el sólo hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace el reporte.

Si durante el período de reporte no fue ofrecido algún producto que haya dado lugar al Reporte de Productos motivo de este anexo técnico, la entidad reportante debe realizar, a través de SIREL, el reporte negativo (reporte de ausencia) durante los primeros 20 días del mes siguiente al periodo de reporte.

Si las entidades vigiladas por la SFC ofrecen algún producto que da origen a este anexo técnico y no envían el reporte respectivo a la UIAF, estarán sujetas a las sanciones a las que haya lugar.

8.2  Proceso de envío de los reportes

Para enviar los reportes a la UIAF, cada entidad reportante debe contar con un usuario que le permitirá ingresar a SIREL y realizar el cargue de los reportes.

La entidad debe registrarse a través de la página web de la UIAF www.uiaf.gov.co en el enlace SIREL – Solicitud de Código en Línea, seleccionando sector: Financiero y el tipo de entidad correspondiente según el listado de la Superintendencia Financiera de Colombia. Luego de obtener el código de entidad, ésta debe solicitar el usuario para acceder al SIREL a través del enlace SIREL – Solicitud de Usuario.

Cada usuario está ligado al número de identificación de quien se registra. Por lo tanto, si la persona encargada de realizar el ingreso a SIREL cambia, la entidad reportante debe solicitar un nuevo usuario asociado al documento de identificación de la nueva persona encargada. Así mismo, la entidad debe solicitar la cancelación del anterior usuario a través del módulo de PQRSD dispuesto en la página web de la UIAF.

Recuerde solicitar las siguientes actualizaciones a través del módulo PQRSD:

  • La actualización de datos de los usuarios en el SIREL: sólo se actualizarán correos electrónicos, datos de contacto.
  • La actualización de datos del oficial de cumplimiento: sólo se actualizarán correos electrónicos, datos de contacto, nombres. En caso que no tenga un usuario en el SIREL debe solicitarlo a través de la opción mencionada con anterioridad.
  • La cancelación de los usuarios retirados de la entidad reportante.
  • La cancelación de la entidad reportante
  • La asociación de entidades a un usuario registrado y activo en el SIREL.

8.3  Estado de los reportes respecto a los tiempos de envío

Los reportes enviados pueden presentar 3 situaciones:

  • Recibido: la UIAF considera que el reporte fue recibido a tiempo cuando el cargue EXITOSO fue realizado dentro del período estipulado y de conformidad con todas las exigencias y especificaciones establecidas en el presente Anexo. También cuando el reporte fue enviado dentro del período estipulado con cargue FALLIDO y al corregir tuvo cargue EXITOSO a más tardar 10 días calendario después de la fecha límite de reporte.

Por ejemplo, si debe reportar los primeros 20 días del mes siguiente a la fecha de corte y las correcciones se hacen hasta el día 30 del mes, el reporte queda clasificado como recibido a tiempo.

  • Recibido extemporáneo: la UIAF considera que el reporte fue recibido extemporáneo cuando el primer cargue EXITOSO fue realizado fuera del período estipulado. También cuando el reporte fue enviado dentro del período estipulado con cargue FALLIDO y al corregir tuvo cargue EXITOSO después de los 10 días calendario que transcurren luego de la fecha límite de reporte.

Por ejemplo, si la entidad reportante obtuvo cargue FALLIDO el día 18 del mes y el cargue EXITOSO fue el día 02 del mes siguiente, el reporte queda clasificado como recibido extemporáneo.

  • No recibido: la UIAF considera que un reporte fue no recibido cuando en la base de datos de la UIAF, no se encuentra ningún registro de reporte correspondiente a uno o más períodos.

El no recibido, el recibido extemporáneo y la mala calidad de los datos, afectan las labores de inteligencia que realiza la UIAF.

8.4  Solicitud de anulación para corrección de reporte

Puede suceder que una vez cargado el archivo en forma exitosa, la entidad reportante o la UIAF identifique inconsistencias en la información enviada. En este caso la entidad reportante debe corregir la información y retransmitir el archivo completo. Los pasos a seguir son los siguientes:

  • Paso 1: La entidad reportante debe diligenciar el formato de solicitud de anulación para la corrección de reportes que encontrará en la página web de la UIAF www.uiaf.gov.co, sección SIREL-Formatos y tablas generales.
  • Paso 2: La entidad reportante debe ingresar al módulo PQRSD de la página web de la UIAF www.uiaf.gov.co, en tipo de solicitud debe seleccionar “Peticiones”, luego “Soporte” y, por último, “Solicitud Anulación para corrección de Reportes” y adjuntar el formato. El módulo de PQRSD le entregará un código para hacer el seguimiento a su solicitud.
  • Paso 3: Una vez que la UIAF recibe la solicitud y hace la verificación, pone en estado fallido el reporte y le comunica a la entidad reportante (respuesta a la PQRSD) que puede realizar nuevamente el cargue.
  • Paso 4: La entidad reportante debe realizar el cargue de información corregida tan pronto reciba respuesta a la PQRSD. Esta información quedará cargada como ENVÍO CORREGIDO.

Antes de enviar la información, cada entidad reportante debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas. Por ejemplo, sólo el hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace la información. Asimismo, los reportantes deben verificar que sea incluida la información de los campos obligatorios.

8.5  Certificado de cargue de los reportes

Una vez que la entidad reportante envíe cada uno de los reportes que le correspondan, recibirá mediante SIREL el certificado de recibo de la información, en donde se indicará el número de radicación, entidad, usuario, fecha y hora de cargue, fecha de corte de la información, número de registros, tipo de reporte y el estado del envío: EXITOSO O FALLIDO. Este certificado puede ser impreso o almacenado en formato .pdf.

En el evento en el que el cargue sea FALLIDO, el sistema informará a la entidad los errores y ésta deberá corregir la información y cargarla nuevamente hasta que el estado del envío sea EXITOSO. La entidad reportante tendrá un plazo único de 10 días calendario para realizar el cargue exitoso de la información después de finalizado el plazo inicial.

9. SOPORTE

Con el objetivo de solucionar sus inquietudes, la UIAF cuenta con los siguientes canales de comunicación para atención a las entidades reportantes y/o sujetos obligados:

  • Línea Telefónica: en Bogotá el PBX: 288 5222 Ext. 450, a nivel nacional la línea gratuita: 018000-11 11 83.
  • Chat Técnico: disponible de lunes a viernes de 8:30 a.m. a 11:30 a.m. y de 2:30 p.m. a 4:00 p.m.
  • Módulo PQRSD (Peticiones, Quejas, Reclamos y Denuncias): en www.uiaf.gov.co / Contáctenos / Peticiones, Quejas, Reclamos y Denuncias – (PQRSD).

INFORMACIÓN SOBRE CAMPAÑAS POLÍTICAS Y PARTIDOS POLÍTICOS

Circular Externa 029 de 2014 de la Superintendencia Financiera (reemplaza a la Circular Externa 07 de 1996 de la Superintendencia Bancaria), modificada por la circular externa 055 de 2016 de la Superintendencia Financiera, modificada por las Circulares Externas 005 de 2017 y 017 de 2018 de la Superintendencia Financiera.

[2–0910-02] PARTE I, TIT IV, CAP IV, Anexo. Información sobre Campañas Políticas y Partidos Políticos.

ADVERTENCIA LEGAL

Los sujetos obligados por el presente anexo técnico deberán dar cumplimiento a los principios en el tratamiento de datos personales señalados en la Ley 1581 de 2012, específicamente los principios de veracidad, acceso y circulación restringida, seguridad y confidencialidad. En ese orden, se entiende que la transmisión de información a la que se refiere el reporte de que trata este anexo técnico se hace cumpliendo con las obligaciones normativas contempladas en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero; 3°, 4° y 9° de la Ley 526 de 1999, y con el Capítulo IV del Título IV de la Parte Primera de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia, y las demás normas que aclaren, sustituyan, condicionen, modifiquen o adicionen las anteriores normas”.

1.   OBJETIVO

Este documento presenta los lineamientos técnicos e instrucciones a seguir por las entidades vigiladas por la Superintendencia Financiera de Colombia (SFC) para realizar y enviar el Reporte de Información de Campañas Políticas y Partidos Políticos a la Unidad de Información y Análisis Financiero (UIAF).

2.   DESCRIPCIÓN

Las entidades vigiladas por la SFC deben reportar mensualmente toda la información solicitada en el presente documento técnico e instructivo sobre los productos financieros de las campañas políticas, grupos políticos y partidos políticos.

3.   REPORTE DE INFORMACIÓN DE CAMPAÑAS POLÍTICAS Y PARTIDOS POLÍTICOS 3.1.  Generalidades

En este reporte debe registrarse la información solicitada acerca de los productos y servicios financieros de las campañas políticas y partidos políticos ofrecidos por las entidades vigiladas por la SFC.

Este reporte está conformado por 2 archivos, tal como se muestra a continuación: (no se transcribe dada su extensión).

Cada mes deben reportarse a la UIAF el Archivo 1 y el Archivo 2. Es decir, siempre tienen que enviarse los dos archivos, así uno de los dos o los dos archivos no presenten alguna modificación con respecto al reportado en el mes inmediatamente anterior. Por ejemplo, si el Archivo 1 tuvo modificaciones y el Archivo 2 no presentó cambios frente a los archivos enviados el mes inmediatamente anterior, el reportante debe enviar los 2 archivos que componen el reporte. Si el Archivo 1 no tuvo modificaciones y el Archivo 2 sí presentó cambios frente a los archivos enviados el mes inmediatamente anterior, el reportante debe enviar los 2 archivos que conforman el reporte. Finalmente, si tanto el Archivo 1 como el Archivo 2 sí presentaron cambios frente a los archivos enviados el mes inmediatamente anterior, el reportante debe enviar los 2 archivos que componen el reporte.

A la hora de realizar el cargue de cada archivo, el Sistema de Reporte en Línea (SIREL) validará que los dos archivos estén cargados exitosamente. En caso que no sea así, se considerará que el reporte no fue exitoso.

3.2  Especificaciones del Archivo 1

El Archivo 1 que la entidad reportante debe enviar a la UIAF contiene información sobre campañas políticas y partidos políticos. Dentro del archivo en mención se debe incluir 3 tipos de registros: encabezado (registro tipo 1), cuerpo del formato (registro tipo 2) y cola (registro tipo 3).

El formato del archivo es: archivo plano.

El formato para el nombre del archivo: SSTTTCCCMMAA_1, donde S identifica el sector, la T el tipo de entidad y la C el código de la entidad, asignados por la SFC, MM para mes y AA para año.

El archivo debe tener extensión .txt y debe venir grabado en codificación de texto ANSI.

La información registrada puede tener los siguientes formatos:

  • Numérico: aquel que contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), o ANSI 45 (-) y ANSI 46(.). Esto es: los numerales arábicos 0-9, el punto como indicador de la posición decimal, y el guion para indicar un valor negativo.

Alfanumérico: incluye los caracteres ANSI 32 (espacio en blanco), aquellos en el rango ANSI 65 a ANSI 90 (alfabeto inglés), ANSI 140 y ANSI 142 (caracteres especiales de algunas lenguas romances), caracteres entre ANSI 192 y ANSI 214 caracteres especiales de algunas lenguas romances), entre ANSI 216 y ANSI 221 (caracteres especiales de algunas lenguas romances), y aquellos descritos en los datos de tipo numérico. Estos caracteres se resaltan en la Figura 2 (no se transcribe dada su extensión)

  • Fecha: este formato contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), y ANSI 45 (-). Esto es: los numerales arábicos 0-9 para los valores de año, mes y día, y el guion como separador de estas posiciones.

La longitud de registro es de 1396 posiciones.

Todos los campos son obligatorios.

A continuación se presentan el diseño y la descripción detallada de los registros que contiene el Archivo 1.

3.2.1 Encabezado

Es el encabezado del archivo. Recoge la identificación de la entidad reportante. Solo existe un registro de este tipo por archivo.

Este registro se genera de acuerdo a la siguiente información:

Cuadro 1. Encabezado del Archivo 1 Reporte de Información de Campañas, Grupos y Partidos Políticos

No. Campo Posición Inicial Posición Final Longitud Formato Contenido Campo obligatorio
1 Número consecutivo de registro 1 10 10 Numérico -Siempre el valor 0.
-Alineado a la derecha.
2 Código de entidad 11 18 8 Alfanumérico -Formato SSTTTCCC donde “S” identifica al sector (01). La “T” el tipo de entidad (Ej. 021) y la “C” el código de la entidad (Ej. 001), asignados por la SFC.
-Alineado a la izquierda.
3 Fecha de corte 19 28 10 Fecha -Corresponde al último día del período reportado.
-Formato AAAA-MM-DD donde AAAA es el año (Ej. 2021), MM es el mes (Ej. 10) y DD es el día (Ej. 01).
-Si el día o el mes tiene un solo dígito, se debe llenar el otro dígito con “0”. Ej. Enero 1 del 2025 será 2025-01-01.
4 Número de registros reportados 29 38 10 Numérico -Es el número total de registros tipo 2 (cuerpo del formato) reportados en el archivo.
-Alineado a la derecha.
5 Fin de registro 39 1396 1358 Alfanumérico -Llenado con X hasta completar las 1396 posiciones.

 

Cuerpo del formato (no se transcribe dada su extensión). 3.3 Especificaciones del Archivo 2

El Archivo 2 que la entidad reportante debe enviar a la UIAF contiene información sobre cada uno de los productos financieros que tienen las campañas, grupos y partidos políticos que son reportados en el Archivo 1. Dentro del archivo en mención se debe incluir 3 tipos de registros: encabezado (registro tipo 1), cuerpo del formato (registro tipo 2) y cola (registro tipo 3).

El formato del archivo es: archivo plano.

Formato para el nombre del archivo: SSTTTCCCMMAA_2, donde S identifica el sector, la T el tipo de entidad y la C el código de la entidad, asignados por la SFC, MM para mes y AA para año.

El archivo debe tener extensión .txt y debe venir grabado en codificación de texto ANSI.

La información registrada puede tener los siguientes formatos:

  • Numérico: aquel que contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), o ANSI 45 (-) y ANSI 46(.). Esto es: los numerales arábicos 0-9, el punto como indicador de la posición decimal, y el guion para indicar un valor negativo.

Alfanumérico: incluye los caracteres ANSI 32 (espacio en blanco), aquellos en el rango ANSI 65 a ANSI 90 (alfabeto inglés), ANSI 140 y ANSI 142 (caracteres especiales de algunas lenguas romances), caracteres entre ANSI 192 y ANSI 214 caracteres especiales de algunas lenguas romances), entre ANSI 216 y ANSI 221 (caracteres especiales de algunas lenguas romances), y aquellos descritos en los datos de tipo numérico. Estos caracteres se resaltan en la Figura 2.

  • Fecha: este formato contiene UNICAMENTE caracteres de la codificación ANSI entre ANSI 48 (0) y ANSI 57 (9), y ANSI 45 (-). Esto es: los numerales arábicos 0-9 para los valores de año, mes y día, y el guion como separador de estas posiciones.

La longitud de registro es de 56 posiciones.

Todos los campos son obligatorios.

A continuación se presentan el diseño y la descripción detallada de los registros que contiene el Archivo 2.

3.3.1 Encabezado

Recoge la identificación de la entidad reportante. Solo existe un registro de este tipo por archivo.

Este registro se genera de acuerdo con la siguiente información: (no se transcribe dada su extensión)

3.3.2      Cuerpo del formato (no se transcribe dada su extensión)

(…)

4. CONSIDERACIONES A LA HORA DE REALIZAR EL REPORTE

En general, para la escritura de variables con formato numérico se debe tener en cuenta lo siguiente:

  • Todas estas variables deben estar alineadas a la derecha.
  • En ningún caso se deben dejar espacios antes del dato, o agregar espacios después del dato.

En general, para la escritura de variables con formato alfanumérico se debe tener en consideración lo siguiente:

  • Todas estas variables deben estar alineadas a la izquierda.
  • En ningún caso se debe completar con ceros a la izquierda o a la derecha del dato.
  • Todas las letras incluidas en la información relacionada deben ser escritas en mayúscula.

Para ayudar al correcto diligenciamiento de la información solicitada, en la página Web de la UIAF (www.uiaf.gov.co) puede descargar:

  • La codificación DANE de los municipios.
  • Instrucciones para el correcto diligenciamiento de direcciones.
  • Un archivo plano de ejemplo que sirve como guía para el diseño y construcción del archivo plano requerido del Reporte de Información de Campañas Políticas y Partidos Políticos.

Para que exista un adecuado análisis de la información, es de suma importancia para la UIAF que el reporte sea oportuno, veraz y de calidad.

5 ESPECIFICACIONES PARA EL ENVÍO DE LOS REPORTES 5.1 Envío de los reportes

El medio de envío de los reportes realizados por las entidades vigiladas por la SFC es el Sistema de Reporte en Línea (SIREL) de la UIAF.

La entidad usuaria de la información enviada por los reportantes es la UIAF.

Los reportes deben entregarse con una periodicidad mensual y contener la información solicitada correspondiente al mes inmediatamente anterior (es decir, la fecha de corte de la información es el último día del mes inmediatamente anterior).

La fecha de entrega de los reportes corresponde a los primeros 20 días calendario después de la fecha de corte del período mensual.

Antes de enviar la información, cada entidad debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas, porque el sólo hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace el reporte.

Si durante el período de reporte la entidad no vinculó o tenía como cliente a una campaña, grupo o partido político que haya dado lugar al Reporte de Información de Campañas Políticas y Partidos Políticos motivo de este anexo técnico, la entidad reportante debe realizar, a través de SIREL, el reporte negativo (reporte de ausencia) durante los primeros 20 días del mes siguiente al periodo de reporte.

Si las entidades vigiladas por la SFC cuentan con información de clientes que son campañas, grupos o partidos políticos que dan origen a este anexo técnico y no envían el reporte respectivo a la UIAF, estarán sujetas a las sanciones a las que haya lugar.

5.2 Proceso de envío de los reportes

Para enviar los reportes a la UIAF, cada entidad reportante debe contar con un usuario que le permitirá ingresar a SIREL y realizar el cargue de los reportes.

La entidad debe registrarse a través de la página web de la UIAF www.uiaf.gov.co en el enlace SIREL – Solicitud de Código en Línea, seleccionando sector: Financiero y el tipo de entidad correspondiente según el listado de la Superintendencia Financiera de Colombia. Luego de obtener el código de entidad, ésta debe solicitar el usuario para acceder al SIREL a través del enlace SIREL – Solicitud de Usuario.

Cada usuario está ligado al número de identificación de quien se registra. Por lo tanto, si la persona encargada de realizar el ingreso a SIREL cambia, la entidad reportante debe solicitar un nuevo usuario asociado al documento de identificación de la nueva persona encargada. Así mismo, la entidad debe solicitar la cancelación del anterior usuario a través del módulo de PQRSD dispuesto en la página web de la UIAF.

Recuerde solicitar las siguientes actualizaciones a través del módulo PQRSD:

  • La actualización de datos de los usuarios en el SIREL: sólo se actualizarán correos electrónicos, datos de contacto.
  • La actualización de datos del oficial de cumplimiento: sólo se actualizarán correos electrónicos, datos de contacto, nombres. En caso que no tenga un usuario en el SIREL debe solicitarlo a través de la opción mencionada con anterioridad.
  • La cancelación de los usuarios retirados de la entidad reportante.
  • La cancelación de la entidad reportante
  • La asociación de entidades a un usuario registrado y activo en el SIREL.

5.3 Estado de los reportes respecto a los tiempos de envío

Los reportes enviados pueden presentar 3 situaciones:

  • Recibido: la UIAF considera que el reporte fue recibido a tiempo cuando el cargue EXITOSO fue realizado dentro del período estipulado y de conformidad con todas las exigencias y especificaciones establecidas en el presente Anexo. También cuando el reporte fue enviado dentro del período estipulado con cargue FALLIDO y al corregir tuvo cargue EXITOSO a más tardar 10 días calendario después de la fecha límite de reporte.

Por ejemplo, si debe reportar los primeros 20 días del mes siguiente a la fecha de corte y las correcciones se hacen hasta el día 30 del mes, el reporte queda clasificado como recibido a tiempo.

  • Recibido extemporáneo: la UIAF considera que el reporte fue recibido extemporáneo cuando el primer cargue EXITOSO fue realizado fuera del período estipulado. También cuando el reporte fue enviado dentro del período estipulado con cargue FALLIDO y al corregir tuvo cargue EXITOSO después de los 10 días calendario que transcurren luego de la fecha límite de reporte.

Por ejemplo, si la entidad reportante obtuvo cargue FALLIDO el día 18 del mes y el cargue EXITOSO fue el día 02 del mes siguiente, el reporte queda clasificado como recibido extemporáneo.

  • No recibido: la UIAF considera que un reporte fue no recibido cuando en la base de datos de la UIAF, no se encuentra ningún registro de reporte correspondiente a uno o más períodos.

El no recibido, el recibido extemporáneo y la mala calidad de los datos, afectan las labores de inteligencia que realiza la UIAF.

5.4 Solicitud de anulación para corrección de reporte

Puede suceder que una vez cargado el archivo en forma exitosa, la entidad reportante o la UIAF identifique inconsistencias en la información enviada. En este caso la entidad reportante debe corregir la información y retransmitir el archivo completo. Los pasos a seguir son los siguientes:

  • Paso 1: La entidad reportante debe diligenciar el formato de solicitud de anulación para la corrección de reportes que encontrará en la página web de la UIAF www.uiaf.gov.co, sección SIREL-Formatos y tablas generales.
  • Paso 2: La entidad reportante debe ingresar al módulo PQRSD de la página web de la UIAF www.uiaf.gov.co, en tipo de solicitud debe seleccionar “Peticiones”, luego “Soporte” y, por último, “Solicitud Anulación para corrección de Reportes” y adjuntar el formato. El módulo de PQRSD le entregará un código para hacer el seguimiento a su solicitud.
  • Paso 3: Una vez que la UIAF recibe la solicitud y hace la verificación, pone en estado fallido el reporte y le comunica a la entidad reportante (respuesta a la PQRSD) que puede realizar nuevamente el cargue.
  • Paso 4: La entidad reportante debe realizar el cargue de información corregida tan pronto reciba respuesta a la PQRSD. Esta información quedará cargada como ENVÍO CORREGIDO.

Antes de enviar la información, cada entidad reportante debe verificar que la información se encuentra completamente ajustada a las especificaciones exigidas. Por ejemplo, sólo el hecho que algún dato esté corrido una posición, implica que ese registro no sea cargado adecuadamente y se rechace la información. Asimismo, los reportantes deben verificar que sea incluida la información de los campos obligatorios.

5.5 Certificado de cargue de los reportes

Una vez que la entidad reportante envíe cada uno de los reportes que le correspondan, recibirá mediante SIREL el certificado de recibo de la información, en donde se indicará el número de radicación, entidad, usuario, fecha y hora de cargue, fecha de corte de la información, número de registros, tipo de reporte y el estado del envío: EXITOSO O FALLIDO. Este certificado puede ser impreso o almacenado en formato .pdf.

En el evento en el que el cargue sea FALLIDO, el sistema informará a la entidad los errores y ésta deberá corregir la información y cargarla nuevamente hasta que el estado del envío sea EXITOSO. La entidad reportante tendrá un plazo único de 10 días calendario para realizar el cargue exitoso de la información después de finalizado el plazo inicial.

6 SOPORTE

Con el objetivo de solucionar sus inquietudes, la UIAF cuenta con los siguientes canales de comunicación para atención a las entidades reportantes y/o sujetos obligados:

  • Línea Telefónica: en Bogotá el PBX: 288 5222 Ext. 450, a nivel nacional la línea gratuita: 018000-11 11 83.
  • Chat Técnico: disponible de lunes a viernes de 8:30 a.m. a 11:30 a.m. y de 2:30 p.m. a 4:00 p.m.
  • Módulo PQRSD (Peticiones, Quejas, Reclamos y Denuncias): en www.uiaf.gov.co / Contáctenos / Peticiones, Quejas, Reclamos y Denuncias – (PQRSD)
REPORTE DE INFORMACIÓN A LA FISCALÍA Y MINISTERIO DE RELACIONES EXTERIORES SOBRE ACTIVIDADES TERRORISTAS

Carta Circular 085 de 2012 de la Superintendencia Financiera

[2–0910-03] Respetados señores:

El 24 de septiembre de 2012 la Superintendencia Financiera de Colombia suscribió un convenio inter administrativo con las entidades señaladas en la referencia, el cual tiene como propósito dar efectivo cumplimiento al artículo 20 de la Ley 1121 de 2006, y a todas las obligaciones internacionales asumidas por Colombia sobre congelamiento y prohibición de manejo de fondos u otros activos de personas y entidades asociadas a actos o grupos terroristas, en especial a lo dispuesto en las Resoluciones 1267 de 1999 y 1373 de 2001 del Consejo de Seguridad de las Naciones Unidas, y las Recomendaciones del GAFI y GAFISUD.

En desarrollo del mencionado convenio y dentro del marco de nuestra competencia, esta Entidad asumió las siguientes obligaciones:

  • Avocada comunicación del Ministerio de Relaciones Exteriores o de la Fiscalía General de la Nación, comunicar a los representantes legales y revisores fiscales de las entidades vigiladas, las decisiones adoptadas por el Consejo de Seguridad de las Naciones Unidas o por la Fiscalía General de la Nación.
  • Instruir a las entidades vigiladas respecto del procedimiento y término de entrega de información a la Fiscalía General de la Nación.

Para el adecuado cumplimiento de los compromisos adquiridos, se continuarán utilizando los sistemas de intercambio de información Red Digital de Servicios Integrales (RDSI), Sistema de Acceso Remoto (RAS) o los sistemas que los sustituyan, hasta tanto esta Superintendencia disponga lo contrario y conforme con las siguientes directrices:

1- Una vez el Ministerio de Relaciones Exteriores informe a esta entidad las decisiones adoptadas por el Consejo de Seguridad de las Naciones Unidas, la Superintendencia Financiera de Colombia las comunicará a los representantes legales y revisores fiscales de las entidades vigiladas.

2- En forma inmediata, las entidades vigiladas deberán confrontar la información atendiendo los procedimientos para dar cumplimiento a las obligaciones señaladas en el literal d), numeral 4.2.2, Capítulo XI, Título I de la Circular Básica Jurídica 007 de 1996 (SARLAFT).

3- Si como resultado de la aplicación de los procedimientos aludidos se identifican personas, bienes y/u operaciones sospechosas o inusuales, las respectivas entidades deben comunicar de inmediato y por escrito los hallazgos al Despacho del Vicefiscal General de la Nación, sin perjuicio del cumplimiento del artículo 20 de la Ley 1121 de 2006 en lo relativo al procedimiento para la publicación y cumplimiento de las obligaciones relacionadas con listas internacionales vinculantes para Colombia.

Las entidades vigiladas deberán atender el procedimiento señalado en los numerales 2 y 3 en un periodo máximo de tres (3) días comunes, contados desde el recibo de la comunicación a la que hace referencia el numeral 1° remitida por esta Superintendencia.

REQUERIMIENTOS MÍNIMOS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y LA CIBERSEGURIDAD – AMBITO DE APLICACIÓN

Circular Básica Jurídica de la Superintendencia Financiera, adicionada por la Circular Externa 007 de 2018 de la Superintendencia Financiera

[2–0910-04] PARTE I, TITULO IV, CAPÍTULO V, NUM. 1. ÁMBITO DE APLICACIÓN

Las instrucciones de que trata el presente Capitulo deben ser adoptadas por las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC) y operadores de información de la PILA, con excepción del Fondo Nacional de Garantías (FNG), Fondo Financiero de Proyectos de Desarrollo (FONADE), los Almacenes Generales de Depósito, los Fondos de Garantía que se constituyan en el mercado de valores, los Fondos Mutuos de Inversión, los Fondos Ganaderos, las Sociedades Calificadoras de Valores y/o Riesgo, las Oficinas de Representación de Instituciones Financieras y de Reaseguros del Exterior, los Corredores de Seguros y de Reaseguros, los Comisionistas Independientes de Valores, las Sociedades Comisionistas de Bolsas Agropecuarias y los Organismos de Autorregulación. En todo caso, las entidades exceptuadas deben hacer periódicamente una autoevaluación del riesgo de ciberseguridad y seguridad de la información, que incluya una identificación de las mejoras a implementar en su Sistema de Administración de Riesgo Operativo.

Los resultados de la autoevaluación, así como el plan de acción para implementar los ajustes a que haya lugar, deben estar a disposición de la SFC.

REQUERIMIENTOS MÍNIMOS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y LA CIBERSEGURIDAD – DEFINICIONES

Circular Básica Jurídica de la Superintendencia Financiera, adicionada por la Circular Externa 007 de 2018 de la Superintendencia Financiera

[2–0910-05] PARTE I, TITULO IV, CAPÍTULO V, NUM. 2. DEFINICIONES  

Para efectos del presente Capítulo, se establecen las siguientes definiciones:

2.1. Activo de información

Conocimiento o datos que tienen valor para la entidad o el individuo.

2.2. Ciberamenaza o amenaza cibernética

Aparición de una situación potencial o actual que pudiera convertirse en un ciberataque.

2.3. Ciberataque o ataque cibernético

Acción criminal organizada o premeditada de uno o más agentes que usan los servicios o aplicaciones del ciberespacio o son el objetivo de la misma o donde el ciberespacio es fuente o herramienta de comisión de un crimen.

2.4. Ciberespacio

Entorno complejo resultante de la interacción de personas, software y servicios en Internet a través de dispositivos tecnológicos conectados a dicha red, el cual no existe en ninguna forma física.

2.5. Ciberiesgo o riesgo cibernético

Posibles resultados negativos derivados de fallas en la seguridad de los sistemas tecnológicos o asociados a ataques cibernéticos.

2.6. Ciberseguridad

Es el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad.

2.7. CSIRT (Computer Security Incident Response Team)

Equipo responsable del desarrollo de medidas preventivas y de respuesta ante incidentes informáticos.

2.8. Evento de ciberseguridad

Ocurrencia de una situación que podría afectar la protección o el aseguramiento de los datos, sistemas y aplicaciones de la entidad que son esenciales para el negocio.

2.9. Incidente de ciberseguridad

Ocurrencia de una situación que afecta la protección o el aseguramiento de los datos, sistemas y aplicaciones de la entidad que son esenciales para el negocio.

2.10. Información en reposo

Datos guardados en dispositivos de almacenamiento persistente (por ejemplo, cintas, copias de seguridad externas, dispositivos móviles, discos duros, entre otros).

2.11. Información en tránsito

Información que fluye a través de la red pública, como Internet, y los datos que viajan en una red privada, como una red de área local (LAN) corporativa o empresarial.

2.12. Resiliencia

Es la capacidad de un mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que pudo estar sometido.

2.13. Seguridad de la información

Es el conjunto de políticas, estrategias, metodologías, recursos, soluciones informáticas, prácticas y competencias para proteger, asegurar y preservar la confidencialidad, integridad y disponibilidad de la información que se almacene, reproduzca o procese en los sistemas informáticos de la entidad.

2.14. SIEM (Security Information and Event Management)

Sistema de información que proporciona análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones, dispositivos de seguridad y los elementos de red. Suelen ser sistemas de centralización de logs.

2.15. SOC (Security Operation Center)

Unidad encargada de monitorear, evaluar y defender los sistemas de información empresarial (sitios web, aplicaciones, bases de datos, centros de datos, servidores, redes, escritorios y otros dispositivos).

2.16. Terceros críticos

Terceros con quien se vincula la entidad y que, de acuerdo con los parámetros establecidos por la propia entidad, pueden tener incidencia directa en la seguridad de su información.

2.17. Vulnerabilidad

Debilidad de un activo o control que puede ser explotado por una amenaza. Se tienen en cuenta todas aquellas amenazas que surgen por la interacción de los sistemas en el ciberespacio.

REQUERIMIENTOS MÍNIMOS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y LA CIBERSEGURIDAD – OBLIGACIONES GENERALES EN MATERIA DE CIBERSEGURIDAD

Circular Básica Jurídica de la Superintendencia Financiera, adicionada por la Circular Externa 007 de 2018 de la Superintendencia Financiera

[2–0910-06] PARTE I, TITULO IV, CAPÍTULO V, NUM. 3. OBLIGACIONES GENERALES EN MATERIA DE CIBERSEGURIDAD   Las entidades deben contar con políticas, procedimientos y recursos técnicos y humanos necesarios para gestionar efectivamente el riesgo de ciberseguridad. En ese sentido, deben adoptar, como mínimo, las medidas que se relacionan a continuación en materia de ciberseguridad:

3.1. Establecer una política que contenga los principios, procedimientos y lineamientos para la gestión de la seguridad de la información y riesgo de ciberseguridad en la entidad. Esta política debe tener las siguientes características:

3.1.1. Ser aprobada por la junta directiva.

3.1.2. Documentar las responsabilidades, procesos, procedimientos, etapas y la gestión que se realiza frente a la ciberseguridad.

3.1.3. Establecer las funciones de la unidad de seguridad de la información y la ciberseguridad.

3.1.4. Establecer los principios y lineamientos para promover una cultura de ciberseguridad que incluya actividades de difusión, capacitación y concientización tanto al interior de la entidad como frente a usuarios y terceros que esta considere relevantes dentro de la política de ciberseguridad. Estas actividades deben realizarse periódicamente y pueden incluirse, adicionalmente, en los cursos sobre riesgo operativo que realice la entidad.

3.2. Establecer una unidad que gestione los riesgos de seguridad de la información y la ciberseguridad. Esta unidad debe tener, al menos, las siguientes características y responsabilidades:

3.2.1. Se debe conformar considerando aspectos tales como la estructura, tamaño, canales de atención, volumen transaccional, número de clientes, evaluación del riesgo y servicios prestados por la entidad.

3.2.2. Debe realizar una gestión efectiva de la seguridad de la información y la ciberseguridad en la entidad.

3.2.3. Debe reportar a la junta directiva y a la alta dirección, los resultados de su gestión, especialmente en la evaluación que haga de la confidencialidad, integridad y disponibilidad de la información, identificación de ciberamenazas, resultados de la evaluación de efectividad de los programas de ciberseguridad, propuestas de mejora en materia de ciberseguridad y resumen de los incidentes de ciberseguridad que afectaron la entidad. La periodicidad de los reportes debe ser, al menos, semestralmente.

3.2.4. Debe actualizarse permanentemente y de manera especializada para que esté al tanto de las nuevas modalidades de ciberataques que pudieran llegar a afectar a la entidad, según las políticas que establezca la entidad de acuerdo con su evaluación de riesgo y atendiendo criterios de razonabilidad.

3.2.5. Debe sugerir las capacitaciones que deben recibir regularmente los funcionarios de la entidad en temas relacionados con ciberseguridad y mantenerlos actualizados sobre las nuevas ciberamenazas.

3.2.6. Ser la principal responsable en el monitoreo y verificación del cumplimiento de las políticas y procedimientos que se establezcan en materia de ciberseguridad, sin perjuicio a aquellas tareas que realiza la auditoría interna.

3.2.7. Asesorar a la alta gerencia y la junta directiva en temas que considere necesarios sobre seguridad de la información y ciberseguridad para que estas últimas puedan hacer seguimiento y tomar las decisiones adecuadas en esta materia.

3.2.8. Realizar análisis de riesgo para determinar la pertinencia de contratar o implementar el servicio de un SOC, que puede ser manejado desde el exterior. El análisis debe identificar las características del proveedor y herramientas y servicios que se contratarán.

3.2.9 Sugerir los presupuestos de seguridad de la información y ciberseguridad. Dichos presupuestos deben manejarse de manera diferenciada a los de operaciones y tecnología de la información.

3.2.10. Verificar el cumplimiento de las obligaciones contenidas en el Capítulo I del Título II de la Parte I de la CBJ, en lo que sea pertinente con sus funciones.

3.2.11. Debe realizar las demás actividades establecidas en este Capítulo que por su naturaleza les sean asignadas

Sin perjuicio de las funciones que debe realizar la unidad de la que trata este subnumeral 3.2., las funciones de gestión de riesgos relacionadas con respuesta a incidentes pueden ser desagregadas en diferentes áreas de la entidad.

3.3. Contar con un sistema de gestión para la ciberseguridad, para lo cual se pueden tomar como referencia el estándar ISO 27032, NIST con sus publicaciones SP800 y SP1800, ISF (Information Security Forum), CIS Critical Security Controls (CSC) o Cobit 5 for Information Security, y sus respectivas actualizaciones.

3.4. Implementar controles para mitigar los riesgos que pudieran afectar la seguridad de información confidencial, en reposo o en tránsito.

3.5. Emplear mecanismos para la adecuada autenticación y segregar las funciones y responsabilidades de los usuarios con privilegios de administrador o que brindan soporte remoto, para mitigar los riesgos de seguridad de la información.

3.6. Establecer procedimientos para la retención y destrucción final de la información, sin que se desconozca lo establecido en el Artículo 96 del EOSF y demás normas aplicables.

3.7. Establecer una estrategia de comunicación e información que contemple los siguientes ejes, sin perjuicio de las obligaciones de reporte a la SFC y demás autoridades de acuerdo con la normatividad aplicable:

3.7.1. Información que reportará a la SFC, sobre incidentes de ciberseguridad que afecten de manera significativa la confidencialidad, integridad o disponibilidad de la información de la entidad, haciendo una breve descripción del incidente, su impacto y las medidas adoptadas para gestionarlo.

3.7.2. Información que reportará a las autoridades que hacen parte del modelo nacional de gestión de incidentes cibernéticos, sobre incidentes cibernéticos.

3.7.3. Información que reportará a los consumidores financieros, sobre incidentes cibernéticos que hubiesen afectado la confidencialidad o integridad de su información, así como las medidas adoptadas para remediar la información.

3.8. Incluir dentro del ciclo de vida del desarrollo del software, incluyendo servicios web y apps, que procesan la información confidencial de la entidad o de los consumidores financieros (desde las etapas iniciales tales como levantamiento de requerimientos hasta las pruebas de seguridad pertinentes y producción), aspectos relativos con la seguridad de la información que permitan mitigar dicho riesgo.

3.9. Incluir en los contratos que se celebren con terceros críticos, las medidas y obligaciones pertinentes para la adopción y el cumplimiento de políticas para la gestión de los riesgos de seguridad de la información y ciberseguridad.

3.10. Verificar periódicamente el cumplimiento de las obligaciones y medidas establecidas conforme al subnumeral 3.9. de este Capítulo, para lo cual pueden implementar los mecanismos adecuados para el efecto.

3.11. Contar con indicadores para medir la eficacia y eficiencia de la gestión de la seguridad de la información y la ciberseguridad.

3.12. Gestionar la seguridad de la información y la ciberseguridad en los proyectos que impliquen la adopción de nuevas tecnologías.

3.13. Considerar la conveniencia de contar con un seguro que cubra los costos asociados a ataques cibernéticos.

REQUERIMIENTOS MÍNIMOS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y LA CIBERSEGURIDAD – ETAPAS

Circular Básica Jurídica de la Superintendencia Financiera, adicionada por la Circular Externa 007 de 2018 de la Superintendencia Financiera

[2–0910-07] PARTE I, TITULO IV, CAPÍTULO V, NUM. 4. ETAPAS

Para la gestión de la seguridad de la información y la ciberseguridad las entidades deberán considerar, como mínimo, las siguientes etapas:

4.1. Prevención

Las entidades deben desarrollar e implementar los controles adecuados para velar por la seguridad de la información y la gestión de la ciberseguridad. La función de prevención admite la capacidad de limitar o contener el impacto de un posible incidente de ciberseguridad. En esta etapa, las entidades deben cuando menos:

4.1.1. Establecer, mantener y documentar los controles de acceso (lógicos, físicos y procedimentales) y gestión de identidades bajo la premisa que las personas solo pueden disponer de los recursos que demande su trabajo, durante el tiempo que ello sea necesario.

4.1.2. Adoptar políticas, procedimientos y mecanismos para evitar la fuga de datos e información.

4.1.3. Gestionar y documentar la seguridad de la plataforma tecnológica.

4.1.4. La unidad de la que trata el subnumeral 3.2. de este Capítulo debe contar con los recursos necesarios para realizar una adecuada gestión de la seguridad de la información y la ciberseguridad.

4.1.5. Identificar, y en la medida de lo posible, medir, los riesgos cibernéticos emergentes que puedan llegar a afectar a la entidad y establecer controles para su mitigación.

4.1.6. Considerar dentro del plan de continuidad del negocio la respuesta, recuperación, reanudación de la operación en contingencia y restauración ante la materialización de ataques cibernéticos.

4.1.7. Realizar pruebas del plan de continuidad del negocio que simulen la materialización de ataques cibernéticos.

4.1.8. Contar con herramientas o servicios que permitan hacer correlación de eventos que puedan alertar sobre incidentes de seguridad, tal como un SIEM.

4.1.9. De acuerdo con la estructura, canales de atención, volumen transaccional y número de clientes, monitorear diferentes fuentes de información tales como sitios web, blogs y redes sociales, con el propósito de identificar posibles ataques cibernéticos contra la entidad.

4.1.10. Colaborar con las autoridades que hacen parte del modelo nacional de gestión de ciberseguridad en los proyectos que se adelanten con el propósito de fortalecer la gestión de la ciberseguridad en el sector financiero y a nivel nacional.

4.1.11. Informar a los consumidores financieros de la entidad sobre las medidas de seguridad y recomendaciones que deberán adoptar para su ciberseguridad.

4.2. Protección y detección

Las entidades deben desarrollar e implementar actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad. La función de protección y detección permite el descubrimiento oportuno de eventos e incidentes de ciberseguridad y cómo protegerse ante los mismos. Las entidades deben:

4.2.1. Adoptar procedimientos y mecanismos para identificar y analizar los incidentes de ciberseguridad que se presenten.

4.2.2. Gestionar las vulnerabilidades de aquellas plataformas que soporten activos de información críticos y que estén expuestos en el ciberespacio.

4.2.3. Realizar un monitoreo continuo a su plataforma tecnológica con el propósito de identificar comportamientos inusuales que puedan evidenciar ciberataques contra la entidad.

4.3. Respuesta y comunicación

Aún con las medidas de seguridad adoptadas, las entidades deben desarrollar e implementar actividades para mitigar los incidentes relacionados con ciberseguridad. Para hacerle frente a esta situación las entidades deben:

4.3.1. Establecer procedimientos de respuesta a incidentes cibernéticos tales como: desconexión automática de equipos, cambios de contraseñas, actualizar la base de firmas del antivirus, bloqueo de direcciones IP o cualquier otro que determine la entidad.

4.3.2. Evaluar los elementos de la red para identificar otros dispositivos que pudieran haber resultado afectados.

4.3.3. Establecer los procedimientos para reportar, cuando se considere pertinente, al Grupo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT) o quien haga sus veces, directamente o a través de CSIRT sectoriales, los ataques cibernéticos que requieran de su gestión.

4.3.4. Adoptar los mecanismos necesarios para recuperar los sistemas de información al estado en que se encontraban antes del ataque cibernético.

4.3.5. En la medida de lo posible, preservar las evidencias digitales para que las áreas de seguridad o las autoridades puedan realizar las investigaciones correspondientes.

4.4. Recuperación y aprendizaje

Desarrollar e implementar actividades apropiadas para mantener los planes de resiliencia y restaurar cualquier capacidad o servicio que se haya deteriorado debido a un incidente de ciberseguridad. Las entidades deben:

4.4.1. Ajustar sus sistemas de gestión de riesgo y de seguridad de la información como consecuencia de los incidentes presentados, adoptando los controles que resulten pertinentes.

4.4.2. Socializar, cuando la entidad lo considere pertinente, las lecciones aprendidas al interior de la organización y con las entidades de su sector.

 

NOTA DE FASECOLDA: Las instrucciones sobre gestión del riesgo de ciberseguridad entran a regir seis meses después del momento de su publicación. No obstante, lo anterior, las entidades deben dar cumplimiento a los requerimientos establecidos en los subnumerales 3.10., 4.1., 4.2., 4.3. y 4.4., un año después y los requerimientos establecidos en los subnumerales 3.2.8., 4.1.6. y 4.1.7., dieciocho meses después de la publicación. La citada Circular Externa 07 de 2018 fue publicada el día 5 de junio de 2018.