1. 1
2
3
ELEMENTOS SAGRILAFT
ANTECEDENTES
ETAPAS SAGRILAFT
• Fundamentos teóricos.
• Metodologías de análisis de riesgos
• SAGRILAFT – SARLAFT
• (Cambios Normativos – Entes Reguladores SFC- SIS)
• Diseño y aprobación
• Auditoría y cumplimiento del SAGRILAFT
• Divulgación y capacitación
• Asignación y responsabilidades
• Oficial de cumplimiento (Actualización)
• Identificación del Riesgo
• Medición o evaluación del Riesgo
• Control del riesgo
• Monitoreo del riesgo
Agenda
2. 4
5
6
REPORTES OPERACIONES INSUALES
Y SOSPECHOSAS
MATRICES DE RIESGO
ESTRUCTURACION DE
DOCUMENTOS REQUERIDOS
Diseño de Mapa de Procesos.
• Construcción Matriz de Riesgos
• Construcción Testing de Controles
• Monitoreo y Auditoria Sectores Económicos
• Reportes a la UIAF
• Matrices de Riesgo y Testeo de Controles
• Reportes a la UIAF
• Matrices de Riesgo y Testeo de Controles.
• Políticas.
• Procedimientos.
• Estructura organizacional.
• Órganos de control.
• Infraestructura tecnológica.
• Divulgación de información.
• Plan de Capacitación
Agenda
7 EJERCICIO PRÁCTICO
3. Agenda
Sesiones Temática Fechas
MÓDULO I ANTECEDENTES
Sesión 1 Fundamentos teóricos. 26-07-2021
Sesión 2 Metodologías de análisis de riesgos 26-07-2021
Sesión 3 SAGRILAFT – SARLAFT (Cambios Normativos – Entes Reguladores SFC- SIS) 27-07-2021
MÓDULO II ELEMENTOS SAGRILAFT
Sesión 4 Estructura Organizacional 28-07-2021
Sesión 5 Auditoría y cumplimiento del SAGRILAFT 28-07-2021
Sesión 6 Divulgación y capacitación 28-07-2021
Sesión 7 Asignación y responsabilidades 29-07-2021
Sesión 8 Oficial de cumplimiento (Actualización) 29-07-2021
MÓDULO III ETAPAS SAGRILAFT
Sesión 9 Identificación del Riesgo 02-08-2021
Sesión 10 Medición o evaluación del Riesgo 03-08-2021
Sesión 11 Control del riesgo 04-08-2021
Sesión 12a Monitoreo del riesgo 05-08-2021
Sesión 12b Segmentación Factores (Árbol de decisión) 06-08-2021
4. Sesiones Temática Fechas
MÓDULO IV MATRICES DE RIESGO (EJE ESPECIFICO)
Sesión 13 Diseño de Mapa de Procesos. 10-08-2021
Sesión 14 Construcción Matriz de Riesgos 11-08-2021
Sesión 15 Construcción Testing de Controles 12-08-2021
Sesión 16 Monitoreo y Auditoria Sectores Económicos 12-08-2021
Sesión 17 Reportes a la UIAF 13-08-2021
Sesión 18 Matrices de Riesgo y Testeo de Controles 13-08-2021
MÓDULO V REPORTES OPERACIONES INSUALES Y SOSPECHOSAS
Sesión 19 Reportes a la UIAF 17-08-2021
Sesión 20 • Matrices de Riesgo y Testeo de Controles. 17-08-2021
MÓDULO VI ESTRUCTURACION DE DOCUMENTOS REQUERIDOS
Sesión 21
Políticas.
Procedimientos.
Estructura organizacional.
Órganos de control.
Infraestructura tecnológica.
Divulgación de información.
Plan de Capacitación
18-08-2021
MÓDULO VII EJERCICIO PRÁCTICO 20-08-2021
6. Entre otras entidades del Estado, tales como SuperSociedades, Superfinanciera, Supersolidaria, Supervigilancia,
Supersalud, Super Intendencia de Notariado y registro, la Super Intendencia de puertos y transportes, Coljuegos, el Consejo
nacional de juegos de suerte y azar, la DIAN, MinTIC, Coldeportes, la Alcaldía mayor de Bogotá, han dispuesto por medio de
Resoluciones y circulares las medidas que deben implementar cada una de las compañías en el territorio nacional.
El siguiente obedece a un resumen de las Circulares y Resoluciones que obligan a las compañías a implementar medidas de
prevención para que puedan ser utilizadas para dar apariencia de legalidad de dineros ilícitos o financiación al terrorismo o la
financiación de proliferación de armas de destrucción masiva:
COLJUEGOS
•Resolución 20161200032334 de 2016: Sector de juegos de suerte y azar localizados, novedosos
y de apuestas en eventos deportivos, gallísticos, caninos y similares autorizados.
•CONSEJO NACIONAL DE JUEGOS DE SUERTE Y AZAR
•Acuerdo 317 de 2016: Operadores de juegos de loterías tradicional o de billetes, juego de
apuestas permanentes o chance y apuestas en eventos hípicos y demás juegos de explotación por
entidades territoriales.
•DIAN
•Resolución 285 de 2007 (adicionada por la resolución 212 de 2009 – modificada por la
Resolución 017 de 2016): Sector de comercio exterior, responsables de la función aduanera.
•Resoluciones 059 de 2013 y 000061 de 2017: Cambistas profesionales.
¿QUIÉNES ESTÁN OBLIGADOS A IMPLEMENTAR SAGRILAFT/ SIPLAFT/ SARLAFT, ENTRE OTROS?
7. • MINTIC
• Resoluciones 0002679 de 2016 y 0002564 de 2016: Operadores postales de pago, operador postal oficial.
• COLDEPORTES
• Circular externa 005 de 2016: Clubes con deportistas profesionales.
• Circular externa 006 de 2016: Organismos deportivos sin ánimo de lucro (ESAL).
• SUPERINTENDENCIA DE NOTARIADO Y REGISTRO.
• Instrucción administrativa 17 de 2016 – circular externa 1536 de 2013 – instrucción administrativa 08 de 2017: Notarios.
• SUPERINTENDENCIA DE PUERTOS Y TRANSPORTES.
• Resolución 074854 de 2016: Empresas transportadoras de vehículos de carga terrestre.
¿QUIÉNES ESTÁN OBLIGADOS A IMPLEMENTAR SAGRILAFT/ SIPLAFT/ SARLAFT, ENTRE
OTROS?
8. •SUPERSOCIEDADES.
• Ley 1762 de 2015: Revisores fiscales.
• Resolución 101 de 2013: Concesionarios de vehículos nuevos y usados.
•Resolución 363 de 2008: Sector real de la economía – Oro.
•Circular 100-000016 de 2020: Sociedades comerciales vigiladas o controladas:
Obligados a implementar medidas mínimas:
SECTOR
Ingresos o activos
(año anterior)
SMMLV
Agentes inmobiliarios
Ingresos > 3.000, o
Activos > 5.000
Metales y piedras preciosas
Ingresos > 3.000, o
Activos > 5.000
Servicios Jurídicos
Ingresos > 3.000, o
Activos > 5.000
Servicios Contables
Ingresos > 3.000, o
Activos > 5.000
Obligados a implementar el Sistema completo:
SECTOR
Ingresos o activos
(año anterior)
SMMLV
Vigiladas o controladas > 40.000
Agentes inmobiliarios
> 30.000, y
> 100 operaciones propias
Metales y piedras preciosas > 30.000
Servicios Jurídicos > 30.000
Servicios Contables > 30.000
Construcción e ingeniería Civil > 30.000
Activos virtuales
Activos > 5.000
Ingresos > 30.000
> 100 operaciones propias
Supervisión especial o regímenes especiales Todos
Empresas que reciban aportes en Activos
Virtuales
Todos
¿QUIÉNES ESTÁN OBLIGADOS A IMPLEMENTAR SAGRILAFT/ SIPLAFT/ SARLAFT, ENTRE
OTROS?
9. •SUPERFINANCIERA.
•Circular Básica Jurídica – modificado por Circular Externa 055/16 y CIRCULAR
EXTERNA 017/18: Sector financiero.
•SUPERSOLIDARIA.
•Circular Básica Jurídica – modificado por Circular Externa 04/17: Cooperativas
financieras y no financieras.
•SUPERVIGILANCIA.
•Circular 008 de 2011: Empresas transportadoras de valores, empresas brindadoras
de vehículos.
•Circular 465 de 2017: Empresas de seguridad y vigilancia privada.
•Circular 045 de 2018: Empresas arrendadoras de vehículos blindados.
•ALCALDIA MAYOR DE BOGOTA.
•Circular 011 de 2017: Entidades Sin Ánimo de Lucro ESALES (BOGOTA D.C.).
•SUPERSALUD.
Circular 0000009 DE 2016: Sector salud.
¿QUIÉNES ESTÁN OBLIGADOS A IMPLEMENTAR SAGRILAFT/ SIPLAFT/ SARLAFT, ENTRE
OTROS?
11. 2. Etapa de Diagnóstico
Objetivos:
Comprometer a los dueños y directivos del negocio.
Conocer el contexto de la entidad.
Elaborar el diagnóstico del riesgo de LA/FT.
Definir las metodologías, técnicas, herramientas y fuentes de
información para el diseño y adopción del Sistema.
ETAPAS SAGRILAFT
12. 2. Etapa de Diagnóstico
Paso 1. Comprometer a los dueños y directivos del negocio.
Paso 2. Determinar el contexto externo e interno.
• Establecer el contexto externo:
El entorno regulatorio y de negocios.
La identificación de las partes interesadas externas.
• Establecer el contexto interno:
El direccionamiento estratégico (visión, misión
oportunidades, amenazas, fuerzas y debilidades).
El entorno interno de negocios.
Los interesados internos.
El sistema de gestión, control y administración.
ETAPAS SAGRILAFT
13. Paso 2. Determinar el contexto externo e interno.
Definir la estructura requerida para el Sistema de gestión del
riesgo de LA/FT :
Definición de los objetivos de la administración de riesgo (AR)
de LA/FT.
Definición de las políticas de la AR de LA/FT.
Definición de la estructura organizacional.
Definición del sistema de control interno.
ETAPAS SAGRILAFT
14. Paso 3. Determinar los factores de riesgo de LA/FT.
-Las contrapartes:
Internas
Externas
-Los productos.
-Los canales de distribución.
-Las áreas geográficas o jurisdicciones.
Los productos, los canales de distribución y las áreas geográficas son
calificados como “factores de riesgo” de LA/FT, sin embargo, pueden ser
tratados como “criterios” para la valoración del riesgo de LA/FT de las
respectivas “contrapartes”.
ETAPAS SAGRILAFT
15. Paso 4. Elaboración del diagnóstico del riesgo de LA/FT.
Determinar una primera aproximación a nivel de riesgos inherente
de LA/FT.
Será la base para planear el desarrollo de las siguientes etapas
(identificación, medición, control y monitoreo).
Paso 5. Definición de las metodologías y herramientas para la
gestión de riesgos de LA/FT.
ETAPAS SAGRILAFT
17. -
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Monitoreo y Revisión – Rol de las Líneas de Defensa.
El monitoreo y revisión de la gestión de riesgos, esta alineada al estándar ISO 31000, COSO y BASILEA II, a través de un esquema de asignación de
responsabilidades y roles, el cual se distribuye en diversos roles organizacionales.
• Gerencia de Cumplimiento
• Areas de Riesgo y Cumplimiento
• SAGRILAFT
• SARLAFT
• SARO
• (Riesgo Financieros – No Financieros).
Define el marco general para la gestión del riesgo y el control
A cargo de la Alta Dirección / Junta Directiva y Roles y Responsabilidades del Área de Cumplimiento y Auditoria
1ª. Línea de Defensa
• Controles de Gerencia Operativa (Líderes de
proceso y sus equipos).
• La gestión operacional se encarga del
mantenimiento efectivo de controles internos,
ejecutar procedimientos de riesgo y el control
sobre una base del día a día. La gestión
operacional identifica, evalúa, controla y
mitiga los riesgos.
2ª. Línea de Defensa 3ª. Línea de Defensa
• A cargo de la Oficina de Auditoria, Control
Interno, Revisoría Fiscal o quién haga sus
veces
• Proporciona Información sobre la
efectividad del sistema de administración
de riesgos, la operación de la
• 1ª y 2ª Línea de defensa con un enfoque
basado en riesgos
LÍNEA ESTRATÉGICA
Autoevaluación Evaluación
Independiente
Autocontrol
18. Riesgo Inherente: Es la evaluación preliminar del riesgo, con la cual la Entidad quiere
conocer el nivel de exposición al mismo.
Clasificación del tipo de evento: Corresponde a la clasificación del riesgo teniendo en
cuenta su origen. (Ejemplo: fraude interno).
Determinación de la Causa (falla): Falla es la causa directa o subyacente asociada a la
presencia del riesgo. (Es el QUE y el POR QUE se presenta el riesgo).
Control: Son las medidas tomadas para administrar o gestionar el riesgo y para
incrementar las probabilidad que el negocio o proceso logre sus metas y objetivos.
Riesgo Residual: Es el nivel de riesgo al cual está expuesta la Entidad de acuerdo con los
controles existentes. El riesgo residual es el resultado de combinar la calificación del
riesgo inherente ó bruto y la evaluación de los controles considerando el diseño y la
efectividad operacional de los mismos.
El resultado de la combinación de la probabilidad y el impacto genera el perfil de riesgos
(Magnitud del Riesgo) Qué se debe tener en cuenta al redactar un Riesgo?
Identificación de Riesgos
¿Qué debemos tener en cuenta para identificar los riesgos?
19. • El riesgo debe estar escrito en un lenguaje común y comprensible para toda la Compañía.
• Responde fácilmente a la pregunta si ocurre el riesgo ¿Qué pérdida es generada? Es decir,
permite identificar la pérdida potencial: fraude, multa, demanda, reproceso, robo, sanción, etc.
• Permite establecer la probabilidad e impacto, obteniendo así la calificación del mismo.
• Evitar las negaciones para expresar el Riesgo.
• La ausencia de control no es un riesgo. Ejemplo: No afiliar adecuadamente Realizar afiliaciones
inadecuadamente Qué se debe tener en cuenta para determinar una Causa (falla)?
• Las fallas se clasifican en:
Falla de Tecnología de Información: Se refiere al uso de software y hardware de la
organización.
Fallas de Recurso Humano: La formación y promoción de competencias de los
trabajadores, con el fin de mejorar sus capacidades, habilidades y aptitudes para
ejecutar los procesos alineados a la estrategia y evitar las desviaciones que demoren o
eviten alcanzar los objetivos.
Identificación de Riesgos
¿Qué debemos tener en cuenta para identificar los riesgos?
20. • IDENTIFICACION DE RIESGOS
Lluvia de Ideas
Juicio de Expertos (Método Delphi)
Eventos de Riesgo
Reunión Panel Expertos (Primera Línea de Defensa)
Análisis Contextual
DOFA
Identificación de Riesgos
¿Qué debemos tener en cuenta para identificar los riesgos?
21. Etapa de Identificación
Objetivos:
Identificar los riesgos de LA/FT inherentes al desarrollo
de la actividad de la empresa.
Se identifican los eventos de riesgo LA/FT en cada uno
de los factores de riesgo.
Clasificar el grado de riesgo de LA/FT:
Alto riesgo.
Medio riesgo.
Bajo riesgo.
ETAPAS SAGRILAFT
22. Paso 1. identificar los eventos de riesgo.
Apoyarse en las matrices de riesgos existentes en la empresa o proceder al diseño
de la respectiva matriz.
El alcance, forma y metodologías aplicables en la identificación de los eventos de
riesgo, dependerá del nivel de riesgo de la empresa, de su tamaño, del desarrollo
de los sistemas de gestión de riesgo de cada empresa.
Enumerar los eventos de riesgo
Definir ¿qué puede suceder?
Determinar ¿cómo y por qué puede suceder?
ETAPAS SAGRILAFT
23. Paso 1. Identificar los eventos de riesgo
Enumerar los eventos de riesgo
Para estos efectos se debe ejecutar el siguiente procedimiento:
Definir ¿qué puede suceder?
Elaborar una lista de los posibles eventos de riesgo LA/FT.
Esta lista permite definir qué puede suceder, si tales eventos se
pueden presentar.
Se debe basar en el análisis interno (experiencia de la industria y de la
empresa) utilizando el análisis de tipologías y señales de alerta
derivadas de análisis de expertos, documentos expedidos por las
Unidades de Análisis Financiero y documentos y recomendaciones
internacionales, sobre prevención de LA/FT.
ETAPAS SAGRILAFT
24. Paso 1. Identificación de los eventos de riesgo
Determinar ¿cómo y por qué puede suceder?
Habiendo identificado una lista de eventos, se deben
considerar las causas posibles.
CÓDIGO EVENTO DE RIESGO CAUSA
Código de
identificación del
evento de riesgo
Determine el evento por el cual se puede
generar el riesgo ¿QUÉ PUEDE SUCEDER?
Explique la causa que da
origen al evento de riesgo
¿CÓMO Y POR QUÉ PUEDE
SUCEDER?
RIESGO 1
1. Ser utilizado para el LA/FT y ser objeto de
pérdida de reputación por no contar con
patrones éticos y políticas para la prevención de
LAFT.
1.1. Inexistencia de
patrones éticos y políticas
para la prevención del LA/FT.
ETAPAS SAGRILAFT
25. Objetivos:
Medir el riesgo inherente de cada evento de riesgo.
Medir la probabilidad o posibilidad de ocurrencia del riesgo inherente
de LA/FT. Matrices de riesgos diseñadas para cada factor de riesgo,
así como el impacto en caso de materializarse mediante los riesgos
asociados.
Las consecuencias y probabilidades se combinan para producir el nivel
de riesgo.
ETAPA DE MEDICION
26. Paso 1. Determinar los criterios para la medición de los riesgos.
Probabilidad e Impacto
Probabilidad
Muy probable.
Posible.
Raro.
Impacto
Alto.
Medio.
Bajo.
ESTANDARES INTERNACIONALES DE AUDITORIA
ETAPA DE MEDICION
28. Procedimientos para la medición del riesgo de LA/FT
Clasificar los riesgos e identificar el impacto y la probabilidad de ocurrencia.
Los riesgos inherentes son evaluados de acuerdo con la magnitud del impacto y la
probabilidad de ocurrencia.
Se priorizan los riesgos, de forma que los mismos lleguen al nivel considerado como
aceptable.
Para estos efectos, cada uno de los eventos de riesgo que resulten con una
calificación de alto o medio riesgo debe ser objeto de Plan de Tratamiento.
Generar la respectiva matriz de riesgo.
ETAPA DE MEDICION
29. Objetivos:
Tomar las medidas conducentes a controlar los riesgos.
Detectar operaciones inusuales.
ETAPA DE CONTROL – MEDIDAS PREVENTIVAS
30. El control se debe traducir en una disminución de la posibilidad de
ocurrencia y/o del impacto del riesgo LA/FT en caso de
materializarse.
Debe reiterarse que siempre los controles se deben aplicar en los
respectivos procesos.
Los controles permiten mitigar la “probabilidad” de ocurrencia del
riesgo, pero no su “impacto”.
ETAPA DE CONTROL – MEDIDAS PREVENTIVAS
31. Calificación y valoración de los controles de los riesgos de LA/FT
Tipos de controles
Preventivo.
Detectivo.
Formas de los controles
Manuales.
Automáticos.
Sobre su implementación
Implementado.
En desarrollo.
No existe.
Valoración
Fuerte.
Moderado.
Débil.
ESTANDARES INTERNACIONALES DE AUDITORIA
ETAPA DE CONTROL – MEDIDAS PREVENTIVAS
32. Opciones de tratamiento. Determinación de controles: Las opciones de tratamiento de los riesgos de LA/FT, pueden ser las siguientes:
Evitar el riesgo: Sugiere que no se identificó ninguna opción de respuestas que redujera el impacto y probabilidad hasta un nivel de “riesgo aceptable” (riesgo bajo).
Reducir el riesgo: La respuesta a reducir el riesgo reduce el riesgo residual a un nivel de tolerancia del riesgo deseado.
Aceptar los riesgos: La aceptación de un riesgo de LA/FT, sugiere que el riesgo inherente ya está dentro de las tolerancias del riesgo.
Transferir los riesgos: Por la propia naturaleza del riesgo de LA/FT, no es posible legalmente transferir estos riesgos a terceros.
ETAPA DE CONTROL – MEDIDAS PREVENTIVAS
33. Paso 1. Definir los controles para mitigar los eventos de riesgo.
CÓDIGO EVENTO DE RIESGO
DESCRIPCIÓN DE LOS
CONTROLES REQUERIDOS
Código de identificación del
evento de riesgo
Determine el evento por el cual se
puede generar el riesgo ¿QUÉ PUEDE
SUCEDER?
Describa el control requerido
RIESGO 1
1. Ser utilizado para el LA/FT y ser
objeto de pérdida de reputación por
no contar con patrones éticos y
políticas para la prevención de LA/FT.
1.1 Código de ética y Código
de Buen Gobierno
Corporativo (CBGC).
1.2. Políticas para la
prevención del LA/FT para el
control de contrapartes.
ETAPA DE CONTROL – MEDIDAS PREVENTIVAS
34. Paso 2. Definir los procedimientos para la aplicación de los controles.
En cada uno de los procesos de las contrapartes en que haya factores de riesgo
LA/FT se deben definir los procedimientos para la prevención del LA/FT.
Al aplicar los controles sobre cada proceso se aplican los “controles” a cada
contraparte.
Así mismo, en cada uno de los procesos se deben describir los “controles
detectivos” para la detección de operaciones inusuales y sospechosas.
ETAPA DE CONTROL – MEDIDAS PREVENTIVAS
35. En los procesos se deben describir los procedimientos y se definen controles para:
La segmentación de las contrapartes por niveles de riesgo (al momento de su
vinculación).
Procedimientos para el control y seguimiento de las operaciones de las
contrapartes.
El seguimiento y control de operaciones y detección de operaciones inusuales.
Todo ello se hace sobre las actividades de los procesos, por intermedio de los
respectivos canales y que utiliza cada contraparte en las respectivas áreas
geográficas.
Los controles se definen y aplican a las contrapartes, pero en cada una de las
actividades o etapas de cada proceso.
ETAPA DE CONTROL – MEDIDAS PREVENTIVAS
36. Paso 3. Diseñar y aplicar un plan de tratamiento de los riesgos de LA/FT.
• Descripción de la acción a ejecutar: Definición y características del tratamiento.
• Prioridad de la acción o tratamiento: Alta, media, o baja.
• Quién tiene la responsabilidad por la implementación del plan.
• Qué recursos se van a utilizar.
• Responsable del monitoreo.
• Fecha del monitoreo.
• Asignación de presupuesto.
• Calendario de implementación.
• Detalles del mecanismo y frecuencia de la revisión de cumplimiento del plan.
ETAPA DE CONTROL – MEDIDAS PREVENTIVAS
37. Paso 4. Seguimiento y control de las operaciones de las contrapartes
Las exigencias normativas para el control, seguimiento, detección y reporte de
operaciones de las contrapartes se deben llevar a cabo con la aplicación de los
controles detectivos aplicables a cada proceso. La empresa debe adoptar un sistema
de control de las operaciones de sus “contrapartes”:
Principio “conozca a su contraparte”.
Principio “conozca el mercado”.
Instrumentos para detección de operaciones inusuales:
Conocimiento del mercado.
Tipologías de operaciones de LA/FT.
“Señales de alerta”.
Procedimientos para el análisis y reporte de operaciones inusuales y sospechosas.
ETAPA DE CONTROL – MEDIDAS PREVENTIVAS
38. -
F
U
N
C
I
Ó
N
P
Ú
B
L
I
C
A
-
Tratamiento del riesgo
Es la respuesta establecida por la Primer Línea de Defensa para la mitigación de
los diferentes riesgos..
No se adopta ninguna
medida que afecte la
probabilidad o el impacto
del riesgo.
OPCIONES DE
TRATAMIENTO
Aceptar el Riesgo
Se adoptan medidas para
reducir la probabilidad o el
impacto del riesgo, o ambos;
por lo general conlleva a la
implementación de controles.
Reducir el Riesgo
Se abandonan las actividades
que dan lugar al riesgo,
decidiendo no iniciar o no
continuar con la actividad que
causa el riesgo.
Evitar el Riesgo
Se reduce la probabilidad o el
impacto del riesgo,
transfiriendo o compartiendo
una parte del riesgo.
Compartir el Riesgo