Los enormes retos en prevención de delitos financieros para el sector real y, sobre todo, sus directores y gerentes
(Esta es la primera parte de un artículo escrito por los expertos Juan Pablo Rodríguez y René Castro, presidente y vicepresidente respectivamente de RICS Management en Colombia que explica en forma muy práctica y precisa los desafíos que enfrentan entidades de todo tipo—y los ejecutivos encargados de dirigirlas y hacerlas crecer en forma eficiente y transparente— en la detección, prevención y control de los delitos financieros en general. El avance normativo de Colombia, que incluye nuevos sujetos obligados a cumplir con normativa contra el lavado de activos, y que genera grandes riesgos y pesadas cargas para sectores menos familiarizados con estos controles, sirve de lección no solo para Colombia sino también como guía y referencia para el resto del continente).
La importancia de efectuar una auditoría de cumplimiento
La Superintendencia de Sociedades de Colombia emitió una normativa (Circular Básica Jurídica No. 100-000005 de 2015), que obliga a las sociedades comerciales, empresas unipersonales y sucursales de sociedades extranjeras vigiladas por la Superintendencia de Sociedades –que al 31 de diciembre de 2015 registraron ingresos iguales o superiores a 160.000 salarios mínimos mensuales legales vigentes (SMMLV) (103.096.000.000 pesos colombianos, aproximadamente unos US$31 millones— a diseñar e implementar el Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo (SAGRLAFT). La adopción es obligatoria y deberá implementarse a más tardar el 31 de diciembre de 2016.
La Superintendencia también estableció una sanción de hasta 200 SMMLV (doscientos salarios mínimos legales mensuales), es decir $137.891.000 pesos colombianos o unos US$42.000, por el incumplimiento de lo establecido en esa Circular.
Sin embargo, hay que hacer un seguimiento juicioso al Proyecto de Ley 070 de 2015 sobre la modificación del Código de Comercio, que dentro de los potenciales cambios, adiciona como administradores de las empresas a los funcionarios de la Alta Gerencia, dentro de los que se encuentran, el presidente, el gerente, el subgerente, los vicepresidentes, el tesorero y los miembros de comités que tengan tal condición; por otro lado, se pretende aumentar el valor de las sanciones a las personas jurídicas hasta 10.000 SMMLV (diez mil salarios mínimos legales mensuales) es decir 6.894.550.000 pesos colombianos o unos US$ 2 millones y generar un régimen sancionatorio para las personas naturales vinculadas a las sociedades con multas de hasta 2.000 SMMLV (dos mil salarios mínimos legales mensuales) es decir 1.378.910.000 pesos colombianos, unos US$410.000, lo cual debe estar ahora en las prioridades de las agendas de las Juntas Directivas de las compañías.
Son muchos los retos para estos nuevos sujetos obligados durante 2016. Veamos algunos:
Conciencia
Los administradores, representantes legales, miembros de juntas directivas, directivos, oficiales de cumplimiento y en general todos los empleados, deberán tomar conciencia que al implementar el SAGRLAFT, no le están haciendo un favor al gobierno sino que por el contrario se estarán blindando a sí mismos y a sus compañías contra los delitos de lavado de activos y financiación del terrorismo y sus delitos fuente. Así mismo, al implementarlo deben tener la conciencia de haberlo hecho bien y no simplemente por cumplir una norma.
También deben ser conscientes de la responsabilidad penal que como administradores, representantes legales, miembros de juntas directivas, directivos, oficiales de cumplimiento y como empleados tienen en caso de presentarse un caso de lavado de activos o de financiación del terrorismo en sus empresas.
Es importante anotar, como ya se anotó, que en el Congreso de la República está siendo discutido el proyecto de ley No. 070 que modifica la Ley 222 de 1995 y el Código de Comercio de 1971 y redefine quienes se consideran administradores de una sociedad y esto también tendrá un efecto en este tema LA/FT.
En nuestra opinión, los empresarios del sector real tienen una ventaja sobre los empresarios de otros sectores ya obligados, porque al desconocer por completo el tema LA/FT y al estar aprendiendo del tema, no están prejuiciados y no creen tampoco que su sistema de administración de riesgo es perfecto. Por el contrario, saben que deben mejorar sus procesos, sus procedimientos y sus controles para mitigar el riesgo de lavado de activos y financiación del terrorismo.
Conocimiento del cliente (Know your customer – KYC), un salto hacia el conocimiento del vinculado
Conocer verdaderamente al cliente no es simplemente incluir en una carpeta todos los documentos solicitados y proporcionados por el cliente. Conocer al cliente (que es la regla número uno en el mundo en la lucha contra el lavado de activos y financiación del terrorismo) significa la debida diligencia para establecer que ese cliente no es una amenaza o un riesgo para la compañía. Conocer al cliente es tener una entrevista personal con él (en el caso de personas jurídicas es tener una entrevista personal con el representante legal o alguno de sus directivos), es verificar físicamente su domicilio mediante una visita a la empresa, es verificar la información proporcionada en los documentos, es la verificación del cliente, de sus directivos, de sus socios, de sus auditores en las listas restrictivas (no solamente en la lista OFAC o lista Clinton), es conocer el tipo de operaciones que efectúa su cliente, es verificar por medios estadísticos cómo se comporta su cliente en su relación comercial con la compañía, en fin, es verdaderamente “conocer a su cliente” y no simplemente disponer de una carpeta con los documentos entregados por el cliente que nadie revisa o verifica sino que han sido solicitados por la empresa simplemente por cumplir con la norma.
Otro de los problemas que se presenta cuando hablamos de riesgo, es que casi siempre le damos al riesgo una connotación negativa. Sin embargo, existe el riesgo positivo (sugerimos leer el interesante libro sobre este tema llamado Riesgo Positivo de Adrian Slywotzky) y en nuestra opinión creemos que es ahí donde cometemos el error en el conocimiento del cliente, porque asumimos que conocer al cliente es simplemente una obligación (negativa casi siempre) para que el cliente entregue unos documentos señalados por la norma o por la ley, pero si lo viéramos como un riesgo positivo nos daríamos cuenta que al conocer verdaderamente al cliente y saber sus necesidades le podríamos vender muchos más productos o servicios de nuestra empresa que los que realmente le estamos vendiendo en el momento.
En este caso es muy importante recordar cómo define el riesgo la norma ISO 31000 de 2009 sobre Gestión de Riesgo: “Riesgo: Efecto de la incertidumbre sobre los objetivos”.
Como se puede observar en esta definición, el riesgo no tiene connotación ni positiva ni negativa.
Ese gran salto del conocimiento del cliente al conocimiento del vinculado o conocimiento de la contraparte, es obligado, ya que los denominados stakeholders o grupos de interés que de forma positiva o negativa tienen injerencia sobre las compañías, por lo que las políticas, procesos, procedimientos, cláusulas contractuales, formatos, guías, instructivos con los que se documenta el SAGRLAFT deben aplicar también para los accionistas, socios, asociados, miembros de junta directiva, empleados, trabajadores temporales, proveedores y contratistas, bajo el amparo del principio de la debida diligencia, por lo que se propone la nueva locución: “conozca su vinculado”.
Conocer el mercado o la industria
Así mismo, se supone que si pertenecemos a un mercado o una industria, verdaderamente la conocemos, pero en la mayoría de los casos, las empresas solo conocen a su competencia, pero nunca conocen verdaderamente su mercado, su sector o su industria. Si la conociéramos podríamos reaccionar inmediatamente a los cambios o podríamos innovar en nuestros productos o servicios.
Conocer el mercado o la industria en relación con la prevención y control del riesgo de lavado de activos y financiación del terrorismo, es saber cómo se comporta la industria en general y como su cliente puede estar comportándose diferente a la industria a la que pertenece, lo cual le debería llamar la atención para efectuar otro tipo de investigaciones para verificar la razonabilidad de sus operaciones. Un ejemplo claro de esto, es cuando toda una industria a la que pertenece su cliente, está dando pérdidas pero su cliente en el mismo período está generando grandes utilidades; en ese caso, algo debería estar pasando y usted debería hacer nuevos estudios, análisis o investigaciones para averiguar o confirmar la razonabilidad de las operaciones de sus clientes.
Capacitación diferencial continua y permanente
La capacitación sobre el riesgo de lavado de activos y financiación del terrorismo, no es un tema más de capacitación. Es una obligación que debe ser permanente. La mayoría de las empresas comete el error de hacer una capacitación anual creyendo que eso es todo, solo porque la norma dice que se debe hacer una capacitación anual a los empleados que tengan relación directa con este riesgo, como si en este tema las actividades ilícitas solo se dieran una vez al año o sí solo una porción de la plantilla de la empresa estuviera expuesta y las otras áreas estuvieran cubiertas de los riesgos asociados como el operativo, legal, contagio y reputacional.
La capacitación debe ser permanente, todo el tiempo, porque los negocios son dinámicos, no estáticos. Todos los días los delincuentes encuentran nuevas formas de lavar activos o financiar el terrorismo. También, las capacitaciones deben cambiar la temática tradicional, no debe ser una capacitación leyendo unas diapositivas con unos textos trasnochados.
La capacitación debe hacerse sobre casos reales, mostrando las vulnerabilidades de los sistemas de control interno pero también los mecanismos de defensa para luchar contra estos delitos. Además, las capacitaciones deben ser eficaces y para eso se necesita que se hagan evaluaciones al final de la capacitación no para certificar que los empleados asistieron a la capacitación, sino para evaluar si los empleados comprendieron los conceptos emitidos en la capacitación, si los pueden aplicar a su vida profesional y sobre todo personal, y además, se debe dejar evidencia de ello.
Asignación de recursos
La Circular Básica Jurídica No. 100-000005 de 2015 establece:
“El representante legal deberá hacer cumplir la política e instrucciones que en materia de prevención y control de LA/FT sean aprobadas por la junta directiva o el máximo órgano social. Igualmente, suministrará los recursos tecnológicos, humanos y físicos necesarios para la implementación del sistema y atenderá los requerimientos o recomendaciones realizados por el ente de control, asociados y junta directiva, para su adecuado cumplimiento.”
De acuerdo con lo anterior, el representante legal suministrará los recursos tecnológicos, humanos y físicos necesarios para la implementación del sistema, sin embargo, uno de los problemas expuestos por los Oficiales de Cumplimiento es la falta de recursos de todo tipo (tecnológicos, humanos y físicos) para desarrollar sus funciones en forma adecuada. Por este motivo, la alta gerencia, así como las Juntas Directivas de los nuevos sujetos obligados deben asignar los recursos necesarios no solo para implementar el sistema SAGRLAFT sino para garantizar su adecuado cumplimiento.
Uno de los aspectos fundamentales de cualquier sistema de administración de riesgos es su monitoreo y seguimiento que compromete la asignación de recursos para garantizar su eficacia y eficiencia.
Las empresas deben garantizar y asignar un presupuesto anual al área de cumplimiento que pueda ejecutar durante todo el año y no como está pasado en muchas empresas en las que el Oficial de Cumplimiento debe justificar y hacer aprobar ante todas las instancias de la empresa cualquier gasto que deba efectuar (por mínimo que sea) en el ejercicio de sus funciones (capacitación, personal, software especializado, material didáctico para promocionar el tema LA/FT, etc.).
En cuanto al personal que debe dar el soporte al Oficial de Cumplimiento debe ser personal especializado y no personal en entrenamiento o en pasantía, que aunque tienen muy buena voluntad no conocen del tema y una vez se capacitan en él, se les termina el contrato y se van de la compañía y nuevamente se debe entrenar al nuevo personal asignado.
Revisión de la matriz de riesgo
Como lo expusimos anteriormente, los negocios no son estáticos, son dinámicos y como tal, esa matriz de riesgo elaborada debe ser revisada y evaluada para verificar que los riesgos identificados aún permanecen y son debidamente tratados, para identificar nuevos riesgos que afecten las operaciones o el negocio, para confirmar que las calificaciones dadas a los riesgos identificados son adecuadas teniendo en cuenta las nuevas condiciones del mercado en que se desenvuelve la empresa, para identificar que en los nuevos productos o servicios ofrecidos por la empresa no existe el riesgo de LA/FT y que en caso de existir ese riesgo ha sido debidamente evaluado y calificado.
Muchas veces, la estrategia empresarial de las empresas no es analizada desde la perspectiva del riesgo y mucho menos desde la perspectiva del riesgo de LA/FT y desde la misma estrategia se podría generar sin saberlo el riesgo de LA/FT.
También es muy importante verificar que los responsables de los riesgos identificados estén actuando conforme a las responsabilidades asignadas cuando se identificaron los riesgos y que en el transcurso del tiempo han actuado proactivamente informando al Oficial de Cumplimiento de los cambios en los procesos o actividades que a su vez han modificado los riesgos y sus controles y que se han tomado las medidas necesarios para adaptarse a las nuevas realidades.
En cuanto a los controles establecidos, se deben hacer pruebas de recorrido para verificar que los controles implementados para cada uno de los riesgos identificados de LA/FT son eficaces y eficientes. Estos controles, además, deben estar siendo efectuados no porque lo dice el procedimiento o el manual LA/FT sino porque todos los involucrados en el proceso están convencidos que de esta forma estamos blindando a la compañía que pueda ser usada para lavar activos o para financiar el terrorismo.
Hay que recordar que en lo que respecta a la prevención y control del riesgo de lavado de activos y financiaron del terrorismo, el margen de tolerancia debe ser “cero”, porque en todos los escenarios posibles de materialización del riesgo de LA/FT será de una inmensa pérdida para la compañía y no solo por el riesgo de LA/FT sino por los riesgos asociados: Legal, Operativo, Reputacional y de Contagio, por lo que es responsabilidad de la Junta Directiva definir el “apetito de riesgo de LA/FT” que en ningún caso puede trasgredir la ley y a este concepto deben sumar los de “tolerancia al riesgo de LA/FT” y capacidad de riesgo de LA/FT”, los cuales en terminos de controles y requisitos podrían coincidir con los de “debida diligencia simplificada”, “debida diligencia tradicional” y “debida diligencia mejorada”.
*Juan Pablo Rodríguez C.
Escritor, conferencista y consultor internacional.
Presidente y Socio de Rics Management.
www.ricsmanagement.com
jrodriguez@ricsmanagement.com
**René M Castro V.
Escritor, conferencista y consultor internacional.
Certificate on Corporate Compliance and Ethics, New York University.
Vice-Presidente & Socio RICS Management
www.ricsmanagement.com
rcastro@ricsmanagement.com