Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior (Icetex)

ACUERDO 63 DE 2014 

(Octubre 23)

“Por el cual se actualiza el manual de políticas y procedimientos del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft)”.

La Junta Directiva,

en ejercicio de sus facultades legales y estatutarias en especial de las que le confiere la Ley 1002 de diciembre 30 de 2005, el numeral 1º del artículo 9º del Decreto 1050 del 6 de abril de 2006, y

CONSIDERANDO:

Que la Ley 1002 del 30 de diciembre de 2005, transformó al Icetex en una entidad financiera de naturaleza especial, con personería jurídica, autonomía administrativa y patrimonio propio, vinculada al Ministerio de Educación Nacional, cuyas operaciones financieras son vigiladas, inspeccionadas y controladas por la Superintendencia Financiera.

Que el numeral 4º del artículo 9º del Decreto 1050 de 2006 faculta a la junta directiva del Icetex, expedir conforme a la ley y a los estatutos del Icetex, los actos administrativos que se requieran para el cumplimiento de las funciones y de las operaciones autorizadas al Icetex como entidad financiera de naturaleza especial.

Que la junta directiva del Icetex adoptó mediante Acuerdo 11 del 28 de abril de 2011, el manual de políticas y procedimientos del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft) del Icetex, el cual fue modificado por los acuerdos 40 del 13 de diciembre de 2012 y el 2 del 14 de febrero de 2014.

Que mediante el Acuerdo 40 del 13 de diciembre de 2012, se adoptó el Nuevo manual del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft) del Icetex el cual tiene como finalidad disponer de políticas, mecanismos, procesos, metodologías y controles para que la entidad se proteja de ser utilizada como instrumento por cualquier medio para dar apariencia de legalidad a activos derivados de actividades delictivas (lavado de activos) o para la canalización de recursos dirigidos a la realización de actividades terroristas (financiación del terrorismo) para el ocultamiento de activos provenientes de dichas actividades en cumplimiento de las políticas internas de la organización como de la normatividad que la regula, especialmente en lo relacionado con la protección frente al lavado de activos y la financiación del terrorismo.

Que mediante memorando ORD-2500-14-182 del 15 de octubre de 2014, el oficial de cumplimiento suplente del Icetex propuso a la junta directiva la actualización del manual del sistema de administración de riesgo de lavado de activos y financiación del terrorismo (Sarlaft) con el fin de ajustar e incorporar los siguientes cambios relevantes:

a) Ajustar la introducción del manual, el alcance del manual, marco conceptual;

b) Actualizar el marco normativo y los capítulos 6, 8, 9, 12, 13, 14 y 15 según recomendaciones de los diferentes entes de control;

c) Cambio metodológico en el análisis, medición y tratamiento de los riesgos de Sarlaft, de conformidad con la metodología Saro.

Que en el comité de Saro-Sarlaft que se realizó el 6 de octubre se revisó y aprobó la actualización del manual Sarlaft.

Que en sesión del 22 de octubre de 2014, la junta directiva aprobó la actualización al manual de políticas y procedimientos del sistema de administración de riesgo de lavado de activos y financiación del terrorismo (Sarlaft).

En virtud de lo anterior,

ACUERDA:

ART. 1º—Adoptar la actualización del manual de políticas y procedimientos del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft), el cual desarrolla los siguientes aspectos:

I. Objetivo del manual

II. Alcance del manual

III. Marco normativo

IV. Acerca del Instituto Colombiano de Crédito Educativo y Estudios en el Exterior Mariano Ospina Pérez

V. Sistema de administración del riesgo de lavado de activos y financiación del terrorismo

VI. Políticas para la administración del riesgo de lavado de activos y financiación del terrorismo

VII. Metodología del sistema de administración de riesgo de lavado de activos y financiación del terrorismo (Sarlaft)

VIII. Procedimiento Sarlaft

IX. Instrumentos

X. Estructura organizacional Sarlaft

XI. Programa de capacitación Sarlaft

XII. Sanciones por incumplimiento a las normas relacionadas con Sarlaft

XIII. Documentación

XIV. Infraestructura tecnológica

XV. Divulgación de la información

XVI. Práctica insegura

XVII. Comité de análisis y reporte de operaciones sospechosas

ART. 2º—El manual del sistema de políticas y procedimientos del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft), a que se refiere el artículo anterior hace parte integral de este acuerdo.

ART. 3º—Vigencia y derogatorias. El presente acuerdo rige a partir de la fecha de su publicación, modifica en lo pertinente el manual de políticas y procedimientos del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft) adoptado mediante el Acuerdo 40 del 13 de diciembre de 2012 y modificado por los acuerdos 40 del 13 de diciembre de 2012(sic) y el 2 del 14 de febrero de 2014 y deroga las disposiciones que le sean contrarias.

Publíquese, comuníquese y cúmplase.

Dado en Bogotá D.C., a 23 de octubre de 2014.

Ac 63-2014 Imagen 1
 

Tabla de contenido

Introducción

1. Objetivo del manual

2. Alcance del manual

3. Marco normativo

3.1. Declaratorias y normas internacionales

3.2. Marco normativo nacional

3.3. Políticas y normas internas

3.4. Régimen sancionatorio

4. Acerca del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior Mariano Ospina Pérez (Icetex)

4.1. Objeto legal

4.2. Mapa de procesos

4.3. Productos

5. Sistema de administración del riesgo de lavado de activos y financiación del terrorismo

5.1. Marco conceptual

5.1.1. Definición del riesgo LA/FT:

5.1.2. Alcance del Sarlaft

5.2. Estructura Sarlaft

5.3. Objetivo principal Sarlaft

5.4. Objetivos específicos del Sarlaft

6. Políticas para la administración del riesgo de lavado de activos y financiación del terrorismo

6.1. Políticas estratégicas

6.2. Políticas del sistema Sarlaft

• El máximo nivel de tolerancia de riesgo residual por parte del Icetex de acuerdo con la metodología Sarlaft es tolerable, los riesgos que se ubiquen por encima de este límite deben ser tratados inmediatamente a través de acciones de control que mitiguen sus causas e impactos.

6.3. Políticas operativas

6.3.1. Políticas operativas - Productos financieros objeto de inspección, vigilancia y control de la Superintendencia Financiera de Colombia

6.3.2. Políticas operativas - Otorgamiento de productos no vigilados

6.3.3. Políticas operativas - Fondos en administración

6.3.4. Políticas operativas - Otros

6.4. Política documental

6.5. Políticas en relación con divulgación de la información

6.6. Políticas en relación con la capacitación

6.7. Políticas para la prevención y resolución de conflictos de interés

6.7.1 Conflicto de interés en el análisis de operaciones inusuales

6.7.2 Conflicto de interés en el estudio de operaciones sospechosas

6.7.3 Conflicto de interés en reportes

6.7.4 Conflicto de interés en la administración de listas de control

6.7.5 Conflicto de interés en la atención de consultas de información por parte de las autoridades

7. Metodología del sistema de administración de riesgo de lavado de activos y financiación del terrorismo Sarlaft

7.1. Marco metodológico

7.2. Identificación de riesgos

7.3. Medición del riesgo

La medición se realiza a nivel de causa, basada en el juicio de experto y los criterios definidos previamente para la estimación de la frecuencia e impacto de las causas que se encuentran en el Anexo 4 del presente manual.

7.4. Control del riesgo

7.4.1. Perfil de riesgo

7.4.2. Nivel de tolerancia al riesgo

7.4.3. Tratamiento del riesgo residual

7.5. Monitoreo

7.5.1. Metodología para el monitoreo

7.5.2. Sistema de indicadores de gestión de riesgo de LA/FT

b) (Sic) Sobre monitoreo de noticias y listas

c) Estadísticas comités de crédito

7.5.3. Indicadores prospectivos

8. Procedimientos Sarlaft

8.1. Procedimiento de conocimiento del cliente/beneficiario

8.1.1. Título de ahorro educativo TAE (producto objeto de inspección, vigilancia y control según Libro 7 del Decreto 2555 de 2010)

8.1.2. Producto no vigilado

a) Procedimiento conocimiento beneficiarios de crédito educativo

b) Procedimiento conocimiento cliente constituyentes y beneficiarios de los fondos en administración

c) Procedimiento conocimiento cliente de becarios colombianos y extranjeros

g) (Sic) Proceso de otorgamiento a firmas los cupos de emisor y contraparte

8.2. Procedimiento para la vinculación de clientes personas públicamente expuestas (PEP’s).

8.3. Procedimiento para la actualización de los datos de los clientes

8.4. Procedimiento para el conocimiento del mercado

8.5. Identificación y análisis de operaciones Inusuales

8.5.1. Metodología para la detección

8.5.2. Procedimiento para la detección

8.6. Determinación de operaciones sospechosas

9. Instrumentos

El Icetex ha definido los siguientes instrumentos que apoyan el funcionamiento de mecanismos adoptados en materia del Sarfalat

9.1. Señales de alerta

9.1.1. Producto título de ahorro educativo (TAE)

9.1.2. Producto fondos en administración

9.1.3. Producto crédito educativo de fomento

9.2. Segmentación de los factores de riesgo

b) (Sic) Productos:

c) Canales:

d) Jurisdicción

9.3. Seguimiento de operaciones

9.4. Consolidación electrónica de operaciones

10. Estructura organizacional Sarlaft

10.1. Funciones de la junta directiva.

10.2. Funciones del representante legal

10.3. Requisitos del oficial de cumplimiento principal

10.4. Requisitos oficial de cumplimiento suplente

10.5. Funciones del oficial de cumplimiento principal y suplente

10.6. Comité Saro y Sarlaft

10.7. Órganos de control

10.7.1. Revisoría fiscal

10.7.2. Oficina de control interno

10.8. Funciones de quienes participan en la administración del riesgo de lavado de activos y la financiación del terrorismo

10.9. Vicepresidencia de crédito y cobranza

10.10. Vicepresidencia financiera

10.11. Vicepresidencia de fondos en administración

10.12. Vicepresidencia de operaciones y tecnología

10.13. Oficina de riesgo

10.14. Oficina de relaciones internacionales

10.15. Oficina asesora de comunicaciones

10.16. Oficina asesora jurídica

10.17. Oficina comercial y de mercadeo

10.18. Dirección de tecnología

10.19. Grupo de contratación de la secretaría general

10.20. Grupo de talento humano de la secretaría general

10.21. Grupo de administración de recursos físicos

10.22. (Sic) Procedimientos para la evaluación de las capacitaciones

10.23. (Sic) Esquema de capacitación

11. (Sic) Sanciones por incumplimiento a las normas relacionadas con el Sarlaft

12. Documentación

12.1. Documentación física:

12.2. Documentación en medios magnéticos:

12.3. Esquema documental Sarlaft

13. Infraestructura tecnológica

14. Divulgación de la información

14.1 Reportes internos

14.1.1 Transacciones inusuales

14.1.2. Reportes de la etapa de monitoreo

14.2. Reportes externos

14.2.1. Reporte de operaciones sospechosas

14.2.2. Reporte de transacciones en efectivo

14.2.3. Reporte de transacciones múltiples en efectivo

14.2.4. Reporte de clientes exonerados

14.2.5. Reporte de información sobre productos ofrecidos por las entidades vigiladas

14.3. Forma como se suministra la información al mercado para que evalúe la estrategia de la administración del riesgo LA/FT

15. Práctica insegura

Glosario

Anexo

Introducción

De conformidad con la Ley 1002 del 30 de diciembre de 2005, el Decreto 1050 del 6 de abril de 2006, el Libro 7 del Título 1 del Decreto 2555 del 15 de julio de 2010 (antes Decreto 2792 de julio 27 de 2009), el Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior (en adelante Icetex) como entidad financiera de naturaleza especial, está autorizado legalmente para realizar operaciones financieras relacionadas con su objeto legal. Bajo esta perspectiva le son aplicables en el marco del estatuto orgánico del sistema financiero, como entidad con régimen especial, algunas de las disposiciones relacionadas en la Circular Básica Contable y Financiera y Básica Jurídica, expedidas por la Superintendencia Financiera de Colombia y delimitadas a las operaciones que son objeto de la inspección, vigilancia y control de ese órgano supervisor.

Por lo anterior, el sistema de administración de riesgos de lavado de activos y financiación del terrorismo (Sarlaft) del Icetex, tiene como finalidad disponer de políticas, mecanismos, procesos, procedimientos, metodologías y controles para que la entidad se proteja de ser utilizada como instrumento por cualquier medio para dar apariencia de legalidad a activos derivados de actividades delictivas (lavado de activos) o para la canalización de recursos dirigidos a la realización de actividades terroristas (financiación del terrorismo) o para el ocultamiento de activos provenientes de dichas actividades en cumplimiento de las políticas internas de la organización y de la normatividad que la regula, especialmente en lo relacionado con la protección frente al lavado de activos y la financiación del terrorismo.

El presente documento, contiene las políticas, normas de conducta y procedimientos que conforman la estructura, mecanismos e instrumentos que han sido diseñados para efectos de garantizar el cumplimiento de los postulados legales e institucionales, no sin antes aclarar que la administración del riesgo de lavado de activos y la financiación del terrorismo, abarca todas las operaciones relacionadas con los servicios y productos y de forma especial el producto vigilado por la Superintendencia Financiera de Colombia del Icetex a partir del Libro 7 del Título 1 del Decreto 2555 del 15 de julio de 2010 y Circular Externa 19 del 23 de julio de 2010.

1. Objetivo del manual

Este manual establece las políticas, procedimientos, metodologías y formatos aplicables para la adecuada implementación, funcionamiento, monitoreo, mejora de los elementos y etapas del Sarlaft.

2. Alcance del manual

Este manual se rige por la normatividad expedida por la Superintendencia Financiera de Colombia, los lineamientos del modelo estándar de control interno (Meci) y las normas de carácter interno expedidas por la junta directiva y la presidencia.

El tratamiento a aplicar para los riesgos de LA/FT, conforme a la metodología establecida en la Circular Básica Jurídica Título l – Capítulo Undécimo es: prevención, detección y reporte a las autoridades competentes:

• Prevención: La entidad, según la normatividad internacional y nacional, evitará que se introduzcan recursos provenientes de actividades relacionadas con el lavado de activos y/o financiación del terrorismo.

• Detección: La entidad, según la normatividad internacional y nacional, detectará las operaciones que se pretendan realizar o se hayan realizado para intentar dar apariencia de legalidad a operaciones vinculadas con el lavado de activos y/o financiación del terrorismo.

• Reporte a las autoridades: La entidad reportará a las autoridades correspondientes las operaciones que resulten sospechosas de LA/FT, según la legislación vigente y el presente manual.

3. Marco normativo

3.1. Declaratorias y normas internacionales

El Grupo de Acción Financiera Internacional Gafi se encuentra integrado por 29 países y dos organizaciones internacionales (la Comisión Europea y el Consejo de Cooperación del Golfo). Anualmente presenta un informe relacionado con los esfuerzos que realizan los países en relación con el lavado de activos y la financiación del terrorismo.

Adicionalmente, el Gafi actualizó un documento denominado Las 40 recomendaciones, en las cuales se encuentra detallada la definición de las medidas apropiadas en relación con el lavado de activos, la financiación del terrorismo y la proliferación, para ser aplicadas por los países.

3.2. Marco normativo nacional

El marco legal existente en Colombia sobre la prevención y control del LA/FT, tiene como finalidad evitar que las instituciones financieras a través de sus operaciones, puedan ser utilizadas para dar apariencia de legalidad a activos provenientes de ilícitos o se destinen para actividades terroristas, a continuación se relaciona las disposiciones en el ámbito nacional normativo:

• Ley 67 de 1993 (por la cual el Congreso de Colombia adoptó y acogió como legislación interna, la Convención de Naciones Unidas contra tráfico de estupefacientes).

• Ley 190 de 1995 (normas tendientes a preservar la moralidad en la administración pública y se fijan disposiciones con el fin de erradicar la corrupción administrativa).

• Ley 1474 de 2011 (por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública).

• Ley 383 de 1997 (normas tendientes a fortalecer la lucha contra la evasión y el contrabando).

• Ley 488 de 1998 (normas en materia tributaria y se dictan otras disposiciones fiscales de las entidades territoriales).

• Ley 526 de 1999, por medio de la cual se crea la Unidad de Información y Análisis Financiero (UIAF).

• Ley 599 de 2000 (Código Penal), y adicionada por la Ley 890 de 2004, tipifica en el artículo 323 del Código Penal, el delito de lavado de activos.

• Artículo 323 de Ley 599 de 2000 adicionado por la Ley 747 de 2002 (Código Penal- lavado de activos).

• Ley 793 de 2003 (extinción del dominio).

• Ley 1121 de 2006 - Financiación de terrorismo.

• Ley 30 del 1992, por la cual se organiza el servicio público de la educación superior.

• Ley 1002 de 2005 por la cual se transforma el Icetex en una entidad financiera de naturaleza especial.

• Decreto 1050 del 6 de abril de 2006, por el cual se reglamenta parcialmente la Ley 1002 del 30 de diciembre de 2005.

• Ley 1328 de 2009, por la cual se dictan normas en materia financiera, de seguros, del mercado de valores y otras disposiciones.

• Ley 1581 de protección de datos.

• Estatuto orgánico del sistema financiero artículos 102 al 107.

• Decreto 2555 del 15 de julio de 2010 el Libro 7 del Título 1 del artículo 10.7.1.1.1 por el cual se reglamenta el artículo 6º de la Ley 1002 de 2005.

• Circular Básica Jurídica 7 de 1996. Título I – Capítulo Undécimo. Instrucciones relativas a la administración del riesgo de lavado de activos y de la financiación del terrorismo (Sarlaft).

• Circular Externa 26 de 2008 (Sarlaft).

• Circular Externa 19 de 2010 - Excluir los créditos educativos otorgados a personas naturales, de la obligación de diligenciar el formulario de solicitud de vinculación de clientes y de realizar entrevistas.

• Circular Externa 10 del 22 de marzo de 2013 (Sarlaft).

• Circular Externa 29 del 3 de octubre de 2014 (Sarlaft).

3.3. Políticas y normas internas

• Acuerdo 16 de 2008 de la junta directiva del Icetex, por el cual se aprueban políticas de lavado de activos y financiación del terrorismo con las listas utilizables para la prevención del riesgo de lavado de activos y financiación del terrorismo o delitos fuentes de los mismos.

• Acuerdo 21 de 2008 de la junta directiva del Icetex, por el cual se adopta el manual del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft).

• Acuerdo 31 del 29 de agosto de 2008 y Resolución de Presidencia 797 del 2 de octubre de 2008, mediante el cual se reorganizan los comités de apoyo a la junta directiva del Icetex, y se crea el comité Saro y Sarlaft.

• Acuerdo 11 del 28 de abril de 2010 de la junta directiva del Icetex, por el cual se adopta el manual del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft) (versión 2).

• Acuerdo 46 del 22 de diciembre de 2010 de la junta directiva del Icetex, por el cual se adopta el manual del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft) (versión 3).

• Acuerdo 40 del 13 de diciembre de 2012 de la junta directiva del Icetex, por el cual se aprueba el nuevo manual del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft) (versión 4).

• Acuerdo 2 del 14 de febrero de 2014 de la junta directiva del Icetex, por el cual se actualiza el manual del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft) (versión 5).

• Resolución 613 del 31 de julio de 2013, por la cual se crea el comité de análisis y reporte de operaciones sospechosas relacionado con lavado de activos y financiación del terrorismo.

3.4. Régimen sancionatorio

El incumplimiento de las políticas y procedimientos para el desarrollo de Sarlaft definidas en el presente manual, acarrea la imposición de las sanciones de acuerdo con el régimen sancionatorio aplicable a los servidores públicos del Icetex estipulado en la Ley 734 de 2002 Código Disciplinario Único, el estatuto orgánico del sistema financiero y la normatividad vigente, sin perjuicio de las sanciones penales y administrativas correspondientes, acorde con el capítulo VI del Código de Ética y Conducta de la entidad.

4. Acerca del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior Mariano Ospina Pérez (Icetex)

El Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior Icetex en su proceso de transformación a entidad financiera de naturaleza especial (L. 1002 de dic. 30/2005) y para el desarrollo de sus funciones cuenta con operaciones financieras vigiladas por la Superintendencia Financiera de Colombia que quedó contenido en el Libro 7 del Título 1 del Decreto 2555 de 2010 y ha adoptado de forma integral y voluntaria el sistema de administración de riesgos para el lavado de activos y de la financiación del terrorismo, en adelante Sarlaft, de acuerdo a las operaciones, riesgo y tamaño de la entidad, que contempla el cumplimiento de lo establecido en el estatuto orgánico del sistema financiero colombiano (EOSF) (D. 663/93) y demás normas emitidas por la Superintendencia Financiera de Colombia, lo mismo que las recomendaciones y mejores prácticas internacionales en esta materia.

4.1. Objeto legal

Icetex tiene por objeto el fomento social de la educación superior, priorizando en la población de bajos recursos económicos y aquella con mérito académico en todos los estratos, a través de mecanismos financieros que hagan posible el acceso y la permanencia de las personas a la educación superior, la canalización y administración de recursos, becas y otros apoyos de carácter nacional e internacional, con recursos propios o de terceros. Para cumplir con su objeto, el Icetex ha establecido criterios de cobertura, calidad y pertinencia educativa, en condiciones de equidad territorial; igualmente otorga subsidios para el acceso y permanencia en la educación superior de los estudiantes de estratos 1, 2 y 3.

4.2. Mapa de procesos

Dentro de los pilares corporativos Icetex ha establecido conforme la política de calidad su mapa de macroprocesos clasificados según la cadena de valor en aquellos que son de tipo estratégico, de evaluación, misionales y de apoyo. El mapa de riesgos está publicado en el aplicativo que administra el sistema de gestión de calidad.

4.3. Productos

El título de ahorro educativo (TAE), constituye objeto exclusivo de inspección, vigilancia y control dentro de las demás operaciones autorizadas en la actualidad, conforme a las disposiciones del artículo 10.7.1.1.2 del Libro 7 del Título 1 del Decreto 2555 de 2010, bajo la supervisión de la Superintendencia Financiera de Colombia, para efectos del presente decreto son operaciones financieras:

a) Descuento o redescuento directamente relacionado con su objeto legal.

b) Emisión y colocación de títulos de ahorro educativo (TAE). EI Icetex está autorizado para que, directamente o a través de fideicomiso, emita, coloque y mantenga en circulación, títulos de ahorro educativo (TAE) en los términos de las disposiciones legales aplicables a esta operación financiera autorizada.

c) Captación de fondos provenientes del ahorro privado y reconocimiento de intereses sobre los mismos, de acuerdo con el literal a) del numeral 1º del artículo 277 del estatuto orgánico del sistema financiero. Para llevar a cabo esta operación pasiva, se requerirá la expedición previa de las reglas prudenciales de la Superintendencia Financiera de Colombia que le sean aplicables.

d) Las demás actividades financieras que sean necesarias para el cumplimiento de su objeto de conformidad con lo dispuesto en el numeral 2º del artículo 4º de la Ley 1002 de 2005. Para llevar a cabo estas operaciones, se requerirá la expedición previa de las reglas prudenciales de la Superintendencia Financiera de Colombia que le sean aplicables.

5. Sistema de administración del riesgo de lavado de activos y financiación del terrorismo

5.1 Marco conceptual

5.1.1. Definición del riesgo LA/FT

“Se entiende por riesgo de LA/FT la posibilidad de pérdida o daño que puede sufrir una entidad vigilada por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de LA/FT se materializa a través de los riesgos asociados, estos son: el legal, reputacional, operativo y de contagio, a los que se expone la entidad, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando es utilizada para tales actividades”(1).

5.1.2. Alcance del Sarlaft

“El Sarlaft debe abarcar todas las actividades que realizan las entidades vigiladas en desarrollo de su objeto social principal y deberá prever además procedimientos y metodologías para que estas se protejan de ser utilizadas en forma directa, es decir a través de sus accionistas, administradores y vinculados como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades”(2).

5.2. Estructura Sarlaft

La estructura de riesgo Sarlaft se instrumenta a través de las etapas y elementos: en primer lugar, con las fases o pasos sistemáticos interrelacionados mediante los cuales Icetex administra el riesgo de LA/FT; y en segundo lugar, con el conjunto de componentes a través de los cuales se compone de forma organizada y metódica la administración del riesgo de LA/FT

Ac 63-2014 Imagen 2
 

5.3. Objetivo principal Sarlaft

Diseñar e implementar el sistema de administración del riesgo de LA/FT, teniendo en cuenta los criterios y parámetros establecidos por la Superintendencia Financiera de Colombia y en concordancia con los estándares internacionales aplicables al Icetex.

5.4. Objetivos específicos del Sarlaft

• Prevenir que en el desarrollo de su objeto legal y cualquier actividad conexa, el Icetex sea utilizado para dar apariencia de legalidad a recursos provenientes de actividades delictivas o para la canalización de recursos hacia la realización de actividades terroristas.

• Implementar un proceso de detección de operaciones inusuales y sospechosas, que permita el reporte oportuno y eficaz a las autoridades competentes.

• Prevenir que el Icetex sea sancionado por incumplimiento a las normas legales relacionadas con la administración del riesgo de LA/FT.

• Adoptar un proceso de control efectivo que impida la realización de operaciones con personas relacionadas en listas de control, procesos administrativos o judiciales por lavado de activos, financiación del terrorismo o delitos fuentes de los mismos.

6. Políticas para la administración del riesgo de lavado de activos y financiación del terrorismo

Icetex a través de sus políticas, ha definido criterios y lineamientos generales de actuación que orientan la gestión frente al sistema de administración del riesgo de lavado de activos y financiación del terrorismo.

Cada una de las políticas definidas una vez adoptadas se convierte en pautas de comportamiento de obligatorio cumplimiento, las cuales se encuentran documentadas con sus procedimientos en el presente manual.

6.1. Políticas estratégicas

Definen los criterios y lineamientos generales de actuación encaminados a generar una alineación entre el direccionamiento estratégico y el sistema de administración del riesgo de lavado de activos y financiación del terrorismo, del Icetex.

• La junta directiva y el representante legal del Icetex reconocen en la administración del riesgo de lavado de activos y financiación del terrorismo, una herramienta de gestión que le permitirá mantener bajo estricto control los riesgos LA/FT.

• La junta directiva y el representante legal del Icetex, se comprometen con el desarrollo y mantenimiento de un eficaz sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft).

• Icetex incorpora en el Código de Ética las políticas Sarlaft orientando la actuación de los funcionarios de la entidad para el funcionamiento del Sarlaft y estableciendo procedimientos sancionatorios frente a su inobservancia.

• Icetex asegura la prevención de conflictos de interés en la recolección de información en las diferentes etapas del Sarlaft.

• La oficina de control interno, la revisoría fiscal, el oficial de cumplimiento y los líderes de proceso dando alcance a sus niveles de autoridad, responsabilidades, aseguran el cumplimiento de las disposiciones relacionadas con Sarlaft.

• Icetex, debe contar con la tecnología y los sistemas necesarios para garantizar la adecuada administración del riesgo LA/FT, así como los reportes internos y externos requeridos por las autoridades competentes.

6.2. Políticas del sistema Sarlaft

Corresponden a las directrices, criterios y lineamientos generales de actuación que orientan el desarrollo y la gestión del sistema de administración de riesgo de lavado de activos y financiación del terrorismo (Sarlaft) dentro del Icetex.

• Icetex cuenta con una metodología y procedimientos de administración del riesgo LA/FT, los cuales permiten identificar, medir, controlar y monitorear los riesgos inherentes y residuales de la entidad.

• Icetex cuenta con procedimientos establecidos para el conocimiento del cliente/beneficiario en los productos y detección de operaciones inusuales y sospechosas.

• El máximo nivel de tolerancia de riesgo residual por parte de Icetex de acuerdo con la metodología Sarlaft es Tolerable, los riesgos que se ubiquen por encima de este límite deben ser tratados inmediatamente a través de acciones de control que mitiguen sus causas e impactos.

• Icetex cuenta con los mecanismos para realizar la consolidación electrónica de operaciones mensualmente, así como el análisis de operaciones inusuales y el reporte oportuno de las operaciones sospechosas.

6.3. Políticas operativas

Las políticas operativas fijan directrices que orientan eficaz y eficientemente las operaciones sobre la entidad y gestión para el logro de los objetivos del sistema de administración del riesgo Sarlaft en el Icetex.

• El riesgo Sarlaft se encuentra alineado con el sistema de riesgo operativo (Saro).

• Icetex reconoce dentro de su estructura organizacional, el cargo correspondiente al oficial de cumplimiento.

• Icetex cuenta con un oficial de cumplimiento principal y suplente, quienes se encuentran posesionados ante la Superintendencia Financiera de Colombia y cumplen con los requisitos exigidos por la misma.

• Icetex no establecerá relaciones contractuales ni otorgará beneficios a personas naturales y/o jurídicas y/o terceros que se encuentren en las listas restrictivas utilizadas por la entidad, o vinculadas en procesos administrativos y/o judiciales por LA/FT, ni continuará con la relación contractual cuando luego de haber establecido una relación contractual o se hubiesen otorgado beneficios, sean incluidas en dichas listas restrictivas o se les inicie procesos administrativos y/o judiciales por LA/FT. Adicionalmente, aquellos delitos que considere la oficina del oficial de cumplimiento afecten a nivel reputacional, legal y de contagio a la entidad.

• El oficial de cumplimiento dispondrá de unas listas alternas actualizadas en caso que los sistemas de consulta de listas presenten fallas internas o externas, dando así, soporte a las dependencias para no afectar la operación.

• El Icetex analizará todas las devoluciones de saldo a favor de terceros para detectar si hay operaciones inusuales o sospechosas.

• Una vez al año, el Icetex a través de su oficial de cumplimiento debe coordinar y gestionar una capacitación dirigida a todos los funcionarios, contratistas y pasantes.

• Se deberá realizar el monitoreo a los riesgos y controles con una periodicidad semestral.

• Todo funcionario que detecte y considere que una operación puede catalogarse como inusual, o tenga conocimiento por cualquier medio que un cliente, beneficiario, contratista o usuario de la entidad, se encuentra incluido en alguna de las listas restrictivas o se encuentre en un proceso administrativo o judicial relacionado con LA/FT o delito fuente de los mismos, debe informarlo de manera inmediata al oficial de cumplimiento.

• El Icetex se obliga a incluir en todos sus contratos con terceros la facultad de terminación unilateral del contrato en los eventos en que se determine por la autoridad competente que los dineros que se utilizan en las operaciones descritas en el contrato provienen de alguna actividad ilícita. Su no inclusión, en los contratos vigentes impedirá convenir su prórroga, e impedirá celebrar nuevos contratos que no la incluya.

• Icetex se obliga a incluir una cláusula de declaración de la procedencia de los dineros al momento de celebrar convenios en fondos en administración y en cualquier contratación que implique movimiento de recursos para la entidad, de tal forma que esos mismos tengan procedencia ilícita. Sin dicha inclusión no podrá celebrarse el respectivo convenio o contrato.

• En el caso de identificar un cliente actual que presente sanciones judiciales o administrativas, a raíz de las búsquedas en listas restrictivas, se deberá solicitar asesoría a la oficina jurídica con el fin de que emitan un concepto acerca de si se debe continuar la relación comercial o no, y de ser procedente, acerca de la forma de modificarla, condicionarla o terminarla.

6.3.1. Políticas operativas - Productos financieros objeto de inspección, vigilancia y control de la Superintendencia Financiera de Colombia

• Para los títulos que se encuentran para redención y fueron emitidos directamente por el Icetex, antes de la entrada en vigencia del Decreto 2792 de 2009, se les continuará aplicando el formato de redención, hasta la redención del último título.

• La oficina del oficial de cumplimiento cruzará frente a listas restrictivas los beneficiarios y ahorradores de la base de pasivo del TAE, con el propósito de detectar aquellos que se encuentren relacionados con actividades de LA/FT y que puedan representar un potencial riesgo reputacional y/o legal para la entidad.

6.3.2. Políticas operativas – Otorgamiento de productos no vigilados

• Icetex como debida diligencia solicitará el diligenciamiento por la página de Internet del formulario solicitud de crédito y formulario de deudor solidario a los beneficiarios y deudores solidarios de préstamos educativos.

• Cuando se trate de personas jurídicas, se realizará la verificación en listas de las personas jurídicas y de las naturales que figuren en el certificado de existencia y representación de la Cámara de Comercio o en informes suministrados por los representantes legales y los respectivos revisores fiscales o contadores, y que sean administradores de ellas, miembros a cualquier título (fundadores, etc.), o asociados, socios o accionistas que posean o controlen en forma directa o indirecta más del 5% de su capital social, aporte o participación en la entidad, o que sean beneficiarios reales de una participación igual o superior a dicho 5%,n. Esta verificación en listas se realizará cuando la información sea actualizada.

• Icetex solicitará diligenciar el formato de solicitud de becas por la página de Internet y diligenciar la carta de compromiso que incluye una cláusula Sarlaft a los beneficiarios de becas internacionales y de programas de reciprocidad extranjeros, al momento de su vinculación.

6.3.3. Políticas operativas – Fondos en administración

• Cuando se trate de personas jurídicas, se realizará la verificación en listas de las personas jurídicas y de las naturales que figuren en el certificado de existencia y representación de la Cámara de Comercio o en informes suministrados por los representantes legales y los respectivos revisores fiscales o contadores, y que sean administradores de ellas, miembros a cualquier título (fundadores, etc.), o asociados, socios o accionistas que posean o controlen en forma directa o indirecta más del 5% de su capital social, aporte o participación en la entidad, o que sean beneficiarios reales de una participación igual o superior a dicho 5%. Esta verificación en listas se realizará cuando la información sea actualizada.

• Esta verificación en listas se realizará cuando la información sea actualizada o se adicionen recursos al fondo.

• Icetex cruzará frente a listas restrictivas a los nuevos beneficiarios y deudores solidarios, que apliquen, de los constituyentes de fondos vigentes.

6.3.4. Políticas operativas – Otros

• Los datos de todos los proveedores y contratistas serán cotejados frente a las listas restrictivas en el momento de su selección. Cuando se trate de personas jurídicas, se realizará la verificación en listas de las personas jurídicas y de las naturales que figuren en el certificado de existencia y representación de la Cámara de Comercio o en informes suministrados por los representantes legales y los respectivos revisores fiscales o contadores, y que sean administradores de ellas, miembros a cualquier título (fundadores, etc.), o asociados, socios o accionistas que posean o controlen en forma directa o indirecta más del 5% de su capital social, aporte o participación en la entidad, o que sean beneficiarios reales de una participación igual o superior a dicho 5%. Esta verificación en listas se realizará cuando la información sea actualizada.

• Los datos de todos los contratistas serán comparados frente a las listas restrictivas al inicio del proceso de selección.

• Los datos de todas aquellas personas que desean ingresar como funcionarios, pasantes y estudiantes en práctica del Icetex serán comparados frente a las listas restrictivas en el momento de iniciar el proceso de selección, cuando sean actualizadas dichas listas.

• Se debe realizar visita domiciliaria a los aspirantes a cargos de la entidad.

6.4. Política documental

• Icetex documenta y actualiza las políticas, procesos y procedimientos Sarlaft, garantizando su integridad, oportunidad y confiabilidad.

• Icetex garantiza a través del grupo de archivo, la debida conservación de los documentos que componen el Sarlaft.

• Icetex garantiza la confidencialidad del resultado de la visita domiciliaria realizada a los aspirantes a cargos de la entidad

• La información y documentos soporte remitidos a la UIAF, estará bajo la custodia de la oficina del oficial de cumplimiento y de grupo de archivo.

6.5. Políticas en relación con divulgación de la información

El oficial de cumplimiento deberá suministrar la información relacionada con las actividades del Sarlaft al representante legal y a la junta directiva del Icetex, quienes deberán observar las disposiciones contenidas en el Título I Capítulo XI de la Circular Básica Jurídica expedida por la Superintendencia Financiera de Colombia.

6.6. Políticas en relación con la capacitación

El oficial de cumplimiento coordinará las capacitaciones a través del grupo de talento humano, cumpliendo con lo establecido en el numeral 4.2.8 (Capacitaciones) del Capítulo XI de la Circular Externa 7.

6.7. Políticas para la prevención y resolución de conflictos de interés

El Icetex deberá prevenir y resolver los conflictos que surjan en desarrollo de su actividad entre sus propios intereses y de sus clientes, así como los conflictos que surjan entre los intereses de dos o más clientes de una manera transparente e imparcial, velando porque siempre prevalezca el interés de la entidad en cumplir con este sistema de administración de riesgo, sin perjuicio de otras disposiciones aplicables al respecto.

Se consideran situaciones relacionadas con el lavado de activos y financiación del terrorismo que dan lugar a conflictos de interés, las siguientes:

6.7.1. Conflicto de interés en el análisis de operaciones inusuales

Se entiende que hay conflicto de interés en el análisis de operaciones inusuales cuando estas han sido realizadas por cónyuges o compañeros permanentes, parientes dentro del cuarto grado de consanguinidad, segundo de afinidad o primero civil a la luz de los artículos 37, 47 y 50 del Código Civil, o de aquellas operaciones en las que la persona encargada de realizar el análisis tenga algún interés personal o busque el favorecimiento de otra persona.

6.7.2. Conflicto de interés en el estudio de operaciones sospechosas

Se entiende que hay conflicto de interés en el estudio de operaciones sospechosas cuando estas han sido realizadas por cónyuges o compañeros permanentes, parientes dentro del cuarto grado de consanguinidad, segundo de afinidad o primero civil, o de aquellas operaciones en las que la persona encargada de realizar el análisis tenga algún interés personal o busque el favorecimiento de otra persona.

6.7.3. Conflicto de interés en reportes

Se entiende que hay conflicto de interés cuando en la toma de la decisión de realizar el reporte se encuentren involucradas situaciones personales de quien realiza el reporte o se trata de operaciones realizadas por cónyuges o compañeros permanentes, parientes dentro del cuarto grado de consanguinidad, segundo de afinidad o primero civil.

6.7.4. Conflicto de interés en la administración de listas de control

Los funcionarios de Icetex que realicen la administración de listas, deberán mantener confidencialidad sobre el uso de las listas, la(s) persona(s) que consultan y obran sin interés personal y sin buscar el favorecimiento de otra(s) persona(s).

6.7.5. Conflicto de interés en la atención de consultas de información por parte de las autoridades

La persona encargada de atender consultas relacionadas con información solicitada por autoridades competentes deberá obrar sin interés personal y/o sin buscar el favorecimiento de otra persona. Así mismo, se presentará conflicto de interés cuando la información solicitada involucra operaciones realizadas por cónyuges o compañeros permanentes, parientes dentro del cuarto grado de consanguinidad, segundo de afinidad o primero civil.

La junta directiva del Icetex, como máximo órgano de administración y dirección, deberá determinar los mecanismos para el seguimiento de las reglas sobre conflictos de interés. En caso de que un miembro de la junta directiva esté implicado en un conflicto de interés, en sesión de junta directiva deberá informar la respectiva inhabilidad y declararse impedido para votar.

El comité de ética y buen gobierno corporativo de la entidad deberá velar por el cumplimiento de las políticas, normas y demás lineamientos dirigidos a la prevención de los conflictos de interés, manejo, divulgación y resolución de los mismos. Cualquier irregularidad que se presente en el cumplimiento de estas políticas deberá informarse al representante legal y a la junta directiva.

Adicionalmente, de conformidad con los principios y normas de conducta establecidas por el Código de Ética y Conducta de la entidad, así como por la legislación vigente, los directivos, servidores y proveedores del Icetex respecto al Sarlaft deberán:

• Abstenerse de participar en actividades, negocios u operaciones contrarias a la ley y a los intereses del Icetex, que puedan perjudicar el cumplimiento de sus deberes y responsabilidades o afectar el buen nombre de la entidad.

• Abstenerse de realizar cualquier negocio u operación con fundamento en sentimientos de amistad, enemistad o relaciones familiares.

• Todo servidor del Icetex con acceso a información privilegiada deberá abstenerse de realizar cualquier operación que dé lugar a conflicto de interés en razón de tal información.

• Los directivos y servidores del instituto no podrán recibir remuneración, dádivas o cualquier otro tipo de compensación en dinero o en especie por parte de cualquier persona natural o jurídica, en razón del trabajo o servicio prestado a la sociedad.

• Los servidores del Icetex que se encuentren frente a un posible conflicto de interés o consideren que pueden encontrarse frente a uno, deberán proceder a informar inmediata y oportunamente a su superior jerárquico por escrito de conformidad con el Código de Ética y Conducta y el régimen de inhabilidades e incompatibilidad aplicable a los servidores del Icetex.

• En toda situación en la cual sea imposible evitar un conflicto de interés con respecto al Icetex, los directivos y/o servidores a quienes corresponda adoptar la respectiva decisión deberán abstenerse de celebrar el respectivo acto o contrato o de realizar la operación que genera dicha situación, salvo autorización expresa de la junta directiva.

7. Metodología del sistema de administración de riesgo de lavado de activos y financiación del terrorismo (Sarlaft)

7.1. Marco metodológico

Para la implementación y administración del riesgo de lavado de activos y financiación de terrorismo, en el Icetex se tomó como base la norma técnica colombiana NTC 5254 del Icontec “Gestión de riesgos”, basada en estándares internacionales (estándar australiano AS/NZ 4360:2004). Al igual que los requerimientos normativos de la Circular Externa 26 de 2008 expedida por la Superintendencia Financiera de Colombia y aquellas que las modifiquen, complemente o deroguen, de igual forma se tuvo en cuenta la estructura de autocontrol, control self assessment - CSA e ISO 31000.

El proceso de administración del riesgo LA/FT, se desarrolla bajo los siguientes criterios metodológicos:

• El proceso de administración del riesgo LA/FT, se ejecutará para los procesos identificados por Icetex y que apliquen según la naturaleza de la operación.

• El proceso de administración del riesgo LA/FT será ejecutado por los funcionarios responsables o delegados de cada uno de los procesos, bajo la dirección metodológica de la oficina del oficial de cumplimiento.

• La identificación del Riesgo para cada proceso se realizará teniendo como parámetro principal los factores de riesgo y los riesgos asociados; se deben identificar los eventos que puedan llegar a materializar un riesgo LA/FT.

• Luego de identificar los riesgos LA/FT para los procesos relacionados con Sarlaft, deben identificarse las causas que pueden generar dichos riesgos.

• Los riesgos de cada proceso relacionado con LA/FT según su factor de riesgo, deben ser medidos y controlados por los funcionarios de cada proceso, bajo el acompañamiento de la oficina del oficial de cumplimiento.

El proceso descrito anteriormente para el desarrollo de la metodología del Sarlaft se basa en la identificación de riesgos y causas que permiten tener una mayor cobertura en el momento de controlar los eventos que puedan generar un riesgo LA/FT, para lo cual la medición se realiza por cada una de las causas, identificando así los riesgos de mayor impacto y las medidas a tomar para su control o mitigación, esto proporciona una seguridad razonable de la prevención, detección y mitigación de los riesgos.

7.2. Identificación de riesgos

En esta etapa se busca identificar los riesgos de LA/FT inherentes al desarrollo del objeto legal del Icetex, con base en los factores de riesgos y riesgos asociados a los cuales está expuesto, considerando la normatividad vigente.

La identificación del riesgo para cada proceso se realizará teniendo como parámetro focal las tipologías de lavado de activos y financiación del terrorismo y su afectación al objetivo del proceso Sarlaft, basado en los factores de riesgo y riesgos asociados. Empleando así mismo las siguientes fuentes de información:

• Reportes de operaciones sospechosas realizados por la entidad.

• Tipologías y señales de alerta publicados por la UIAF-Colombia.

• Información de medios de comunicación.

• Opinión de expertos de la entidad y de los consultores externos.

• Autoridades competentes.

La oficina del oficial de cumplimiento junto con el(los) líder(es) de proceso o los funcionarios designados por el mismo serán los responsables de la identificación de riesgos de LA/FT y sus riesgos asociados, definido en un monitoreo semestral para su estudio y reconocimiento o cuando sea necesario, igualmente se presentará a la junta directiva el resultado de esta identificación con las recomendaciones pertinentes, para su análisis y decisión.

Para realizar la identificación de los riesgos se realizan reuniones con los líderes de proceso y/o demás personal del área que tenga relación directa con los mismos, basado en su conocimiento de la operación de la Entidad se identifican los riesgos LA/FT, relacionados con los factores de riesgo, identificando así mismo las causas que dan origen al riesgo, se realiza una breve descripción del impacto que podría generar para Icetex la materialización de dicho riesgo y finalmente se relacionan con los riesgos asociados definidos en la circular 26 de 2008, de la Superintendencia Financiera de Colombia.

El impacto se debe identificar teniendo en cuenta los siguientes criterios:

Riesgo asociado
Económico
Legal
Reputacional
Operativo
Contagio

7.3. Medición del riesgo

Tiene como objetivo establecer el nivel de riesgo inherente al cual está expuesto los procesos de Icetex relacionados con LA/FT, teniendo en cuenta los criterios de frecuencia del riesgo y la magnitud del impacto en caso de materializarse dicho riesgo.

La medición se realiza a nivel de causa, basada en el juicio de experto y los criterios definidos previamente para la estimación de la frecuencia e impacto de las causas que se encuentran en el anexo 4 del presente manual.

La oficina del oficial de cumplimiento puede sugerir mejoras en los criterios para la estimación de la frecuencia, impacto y controles, que deben ser presentados para aprobación del comité Saro - Sarlaft.

Después de determinar la frecuencia y la magnitud del impacto para cada causa, se estima el perfil inherente (sin controles), medido de acuerdo a los criterios de probabilidad e impacto, y se ubica en el mapa térmico de la entidad.

Ac 63-2014 Imagen 3
 

Con la información del nivel inherente de cada una de las causas, se debe elaborar la matriz de riesgos consolidada por procesos, y de toda la organización, en la cual se observe la exposición de riesgos sin controles.

7.4. Control del riesgo

Una vez definido el perfil de riesgo inherente, se identifican los controles que permitan prevenir y/o detectar cada una de las causas asociadas a los riesgos y los controles que al implementarse logren disminuir el impacto o la frecuencia de las causas identificadas y asociadas a cada riesgo, para posteriormente evaluar la calidad de los controles asociados a los riesgos identificados y medidos.

Los controles deben atacar las causas e impactos que originan el riesgo, desde tres perspectivas, prevención, detección y corrección, generando una cadena de control suficiente para el tratamiento del riesgo.

En la valoración de los riesgos identificados, se tendrán en cuenta la calidad de los controles establecidos para el tratamiento de los mismos, para así valorar el riesgo residual. Los criterios base para determinar la calidad de los controles se encuentran en el anexo 4 de este manual.

La calificación de estos criterios es determinada por el resultado que mide la fortaleza del control, para así identificar el nivel de exposición a nivel de causa y del riesgo una vez aplicado los controles y por ende el riesgo residual individual y consolidado. Así mismo, luego de la valoración de los controles se puede identificar el porcentaje de mitigación para disminuir causa e impacto teniendo en cuenta la descripción del riesgo. Las escalas de mitigación de controles se encuentran en el anexo 4 del presente manual.

7.4.1. Perfil de riesgo

El perfil de riesgo es el resultado consolidado del promedio ponderado de la probabilidad y del impacto, el cual debe ubicarse en el mapa térmico de la entidad.

Ac 63-2014 Imagen 4
 

El perfil de riesgo debe poderse consolidar para toda la entidad, por proceso, por dependencia o por factor de riesgo.

7.4.2. Nivel de tolerancia al riesgo

La junta directiva ha definido el nivel máximo de aceptación de exposición al riesgo, medido a nivel de causas, en su calificación residual en tolerable, es decir, que en caso de que la calificación de cada causa después del efecto de mitigación derivado de los controles sea grave o crítico requiere de la ejecución de un plan de acción específico que debe ser diseñado por el dueño del proceso.

7.4.3. Tratamiento del riesgo residual

Una vez identificados y calificados los controles y su mitigación frente a las causas del riesgo inherente de no alcanzarse en las causas el nivel de riesgo residual definido por la junta directiva o de detectarse debilidades en los controles existentes se definirá el tratamiento del nivel residual que debe ir orientado a cualquiera de las siguientes opciones:

• Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión administrativa.

• Mitigar el riesgo: Al generar cambios sustanciales en el interior de los procesos por mejoramiento, rediseño o eliminación, como resultado de unos adecuados controles y planes de acción, los cuales deben ir orientados a la disminución del impacto, mediante la distribución de la frecuencia o la disminución de las dos.

• Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares, procesos o personas.

• Transferir el riesgo: Buscar respaldo y compartir con otro todo o parte del riesgo.

• Asumir el riesgo: Luego que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso en el cual la junta directiva o la presidencia aceptarán la pérdida residual tolerable y se deberán realizar tratamientos a estos riesgos para su manejo.

Para las causas de los riesgos que en su calificación residual se clasifiquen como graves o críticos, el líder de proceso debe establecer planes de acción que busquen reducir la exposición de la entidad a través de la creación de nuevos controles o la implementación de modificaciones a los controles existentes o la creación de actividades de corrección inmediata. A dichos planes se les hará seguimiento y se verificará la eficacia por parte de la oficina de control interno, y se reportará su avance al nivel directivo de la entidad, con el fin de tomar las decisiones respectivas para su tratamiento y mitigación.

Las causas de los riesgos clasificados como aceptables y tolerables deben ser evaluadas continuamente por los líderes de riesgo y los integrantes de la oficina del oficial de cumplimiento, garantizando la eficacia de los controles en el tiempo, ya sea mejorándolos o planteando unos nuevos, cuando haya lugar. Si se percibe un incremento en el nivel del riesgo debe ser informado inmediatamente a la oficina del oficial de cumplimiento, con el fin de realizar la respectiva reclasificación.

7.5. Monitoreo

Tiene por objeto realizar el seguimiento a los perfiles de riesgo inherente y residual, y a las etapas del Sarlaft con el fin de realizar las acciones correctivas y de mejora al sistema.

El seguimiento y la verificación de la eficiencia de los planes de acción de la entidad, se realizará conforme a lo establecido en el sistema de gestión de calidad para las acciones preventivas, correctivas y de mejora.

7.5.1. Metodología para el monitoreo

El monitoreo es parte esencial e integral de la gestión del riesgo y, es uno de los pasos más importantes del proceso de gestión del riesgo en el ámbito organizacional.

Una herramienta fundamental para el monitoreo de la implementación y eficacia del Sarlaft son las auditorías internas, estas serán coordinadas por la oficina de control interno y la revisoría fiscal. Para tal fin se determinará anualmente el programa de auditorías que tendrá en consideración el estado e importancia de los procesos a auditar. Se definirá el plan de la auditoría, teniendo en cuenta los criterios a evaluar.

El monitoreo realizado por el oficial de cumplimiento o la persona que él delegue para realizar dicha labor, al Sarlaft, se enfocará en:

• Evaluar el cumplimiento de los objetivos y políticas del sistema.

• Evaluar la oportunidad, cumplimiento, efectividad de los controles.

• Verificar que los riesgos residuales se encuentren en los niveles de aceptación establecidos.

• Establecer indicadores descriptivos que evidencien potenciales fuentes de riesgo de LA/FT.

El monitoreo se realizará con la aplicación de un test de monitoreo anual al sistema de administración riesgo de lavado de activos y financiación del terrorismo, los cuales arrojarán una calificación que determinará el grado de eficacia de los controles LA/FT y cumplimiento de las etapas Sarlaft.

En esta etapa el monitoreo debe permitir comparar la evaluación del riesgo inherente con el riesgo residual de cada factor de riesgo y de los riesgos asociados.

7.5.2. Sistema de indicadores de gestión de riesgo de LA/FT

El monitoreo comprende el empleo de los indicadores descriptivos que facilitan el seguimiento y estudio de las potenciales causas de riesgo de LA/FT por factores, permitiendo la gestión efectiva del sistema Sarlaft.

a) Sobre operaciones inusuales en recaudos

Respecto de la evaluación de las operaciones inusuales de la entidad, se ha diseñado un sistema de indicadores de gestión de riesgo de LA/FT, el cual permite evaluar de manera trimestral la información suministrada por la vicepresidencia de crédito y cobranzas, a partir de las transacciones fuente de los recaudos iguales o mayores a 10 millones. Igualmente, se examina, entre otros, la etapa del crédito, jurisdicción, línea de crédito e Institución de educación superior del beneficiario.

b) Sobre monitoreo de noticias y listas

En este monitoreo se revisan en listas restrictivas de Sarlaft las personas vinculadas administrativa y/o judicialmente con el lavado de activos y/o financiación del terrorismo o delitos fuentes de los mismos. Algunos de estos delitos pueden ser:

• Actos de terrorismo.

• Concierto para delinquir.

• Contrabando.

• Delitos contra el sistema financiero.

• Delitos contra la administración pública.

• Enriquecimiento ilícito.

• Extorsión.

• Lavado de activos.

• Secuestro.

• Terrorismo.

• Trata de personas.

Esta revisión se realiza contra los clientes de la entidad y de manera paralela esta actividad hace parte de la actualización de las listas internas de Sarlaft.

c) Estadística comités de crédito

La vicepresidencia de crédito y cobranzas remite al oficial de cumplimiento las “Solicitudes de crédito a analizar en el comité de crédito”, una vez validados los potenciales beneficiarios y deudores expuestos en listas de control y reportados previamente en los comités celebrados, es posible proyectar la estadística comités de crédito manteniendo el cómputo sobre el cruce positivo de los potenciales beneficiarios.

7.5.3. Indicadores prospectivos

Se dispondrán de indicadores prospectivos en la medida que la entidad decida realizar nuevas operaciones que involucre otro tipo de clientes y productos en cumplimiento del objeto legal según lo autorizado en el Decreto 2555 del 15 de julio de 2010 del Libro 7 del Título 1 del artículo 10.7.1.1.2 operaciones financieras objeto de supervisión.

8. Procedimientos Sarlaft

8.1. Procedimiento de conocimiento del cliente/beneficiario

El conocimiento del cliente/beneficiario se inicia con el adecuado diligenciamiento de los diferentes formularios de vinculación o de redención (físicos o virtuales) que utiliza la entidad en el ofrecimiento de sus productos, así como con el cumplimiento de los requisitos de información y documentación que determine el Icetex. El conocimiento apropiado del cliente, permite proteger a la entidad contra el lavado de activos y la financiación del terrorismo.

De acuerdo al Libro 7 del Título 1 del Decreto 2555 de 2010, y a la Circular Externa 19 de 2010, el Icetex ha adoptado reglas especiales de procedimiento de conocimiento del cliente para dar cumplimiento a los requisitos legales exigidos para los productos vigilados por la Superintendencia Financiera de Colombia. Y por política no se establecerá relaciones contractuales hasta no haber realizado listas de verificación en:

• Lista consolidada de personas físicas y entidades miembros de organizaciones terroristas que es emitida por el Consejo de Seguridad de las Naciones Unidas: lista vinculante para Colombia en virtud de tratados de derecho internacional.

• Lista SDN (narcotraficantes específicamente señalados) emitida por la Office of Foreign Assets Control (Ofac) del Departamento del Tesoro de los Estados Unidos: lista no vinculante para Colombia. El Icetex al mantener relaciones contractuales con organismos de crédito multilateral y cuentas en el exterior con bancos extranjeros adopta esta lista como vinculante.

• Otras que determine la entidad como las personas que se encuentran en procesos administrativos y/o judiciales por delitos del lavado de activos y financiación del terrorismo o delitos fuentes de los mismos.

• Aquellos delitos que considere la oficina del oficial de cumplimiento afecten a nivel reputacional, legal y de contagio a la entidad.

8.1.1. Título de ahorro educativo TAE (producto objeto de inspección, vigilancia y control según Libro 7 del Decreto 2555 de 2010)

Dando alcance al Libro 7 del Título 1 del Decreto 2555 de 2010 y a la Circular Externa 19 de 2010, el conocimiento del cliente/beneficiarios por parte del Icetex de los beneficiarios, inversionistas y endosatarios se hará aplicando el formulario de redención del TAE, cruce contra listas restrictivas y revisión de los documentos e información consignada requeridos según sea el caso.

Para redimir los cupones de los títulos de ahorro educativo TAE, que se encuentran pendientes de redimir y que fueron emitidos directamente por el Icetex antes de la entrada en vigencia del Libro 7 del Título 1 del Decreto 2555 de 2010, se les continuará aplicando el formato de redención de TAE actual, hasta la redención del último título de la segunda emisión.

Es preciso anotar que el endoso se produce cuando el beneficiario del título lo transfiere a un tercero, la carta donde se registra que se ha efectuado el endoso debe ser suscrita por las dos personas y autenticarse ante notario, anexando las fotocopias de los documentos de identidad.

De igual manera, la dirección de tesorería envía de manera periódica el detalle de la base del pasivo de TAE correspondiente al cierre mensual de beneficiarios y ahorradores para que se realice el cruce en listas restrictivas de Sarlaft.

8.1.2. Producto no vigilado

El Icetex para el cumplimiento de su objeto legal utiliza recursos propios, de la Nación, de terceros con finalidad específica y tiene aprobados cupos de endeudamiento con la banca multilateral.

a) Procedimiento conocimiento beneficiarios de crédito educativo

El proceso de conocimiento del beneficiario del crédito educativo iniciará en el momento en que el posible beneficiario, junto con el deudor solidario en las líneas que lo requiere, realice a través de la página web, el diligenciamiento del formulario de vinculación al Icetex para acceder al crédito educativo. El formulario de vinculación contiene la información necesaria para un adecuado conocimiento del cliente según las políticas establecidas por la entidad y en cumplimiento de la normatividad vigente.

Previo al análisis de la solicitud de crédito en comité de crédito, la vicepresidencia de crédito y cobranza remite al oficial de cumplimiento de la entidad la información de los solicitantes y los deudores solidarios para cruzarlas contra las listas negativas, y este reporta los resultados de sus análisis a la vicepresidencia de crédito y cobranzas para los fines pertinentes. De igual forma, el oficial de cumplimiento realiza monitoreo de prensa continuo para verificar que tanto los beneficiarios como sus deudores no se encuentren en las mencionadas listas.

Una vez la solicitud de crédito es aprobada en comité de crédito, pasa al proceso de legalización ante la institución de educación superior, la cual valida y certifica al Icetex que la documentación entregada por el estudiante corresponde a la información registrada en la solicitud de crédito, posteriormente el Icetex procederá a adelantar, directamente o por terceros, la verificación de la documentación y la información aportada por el estudiante y su deudor solidario para la obtención jurídica de las garantías del crédito educativo.

Para la confirmación de los datos académicos registrados por el estudiante en el formulario se realiza con base en la información obtenida del Icfes y con las certificaciones aportadas por este durante el proceso de legalización.

b) Procedimiento conocimiento cliente constituyentes y beneficiarios de los fondos en administración

Para el caso de constitución de fondos con entidades privadas, sector cooperativo y mutual e instituciones de educación superior, se describe el procedimiento de conocimiento del cliente a continuación:

El conocimiento del potencial cliente comenzará en el momento en que el Icetex recibe las ofertas de los posibles constituyentes para la conformación de fondos, pues, es a partir de este momento en el que se puede tener certeza de la entidad con la que posiblemente se va a constituir el fondo en administración.

El potencial cliente diligenciará el formulario de vinculación en el momento en que se fijan los compromisos viables entre la entidad y el constituyente.

Una vez diligenciado el formulario de vinculación, el Icetex verificará, directamente o a través de un tercero, que se haya diligenciado correctamente y que haya sido firmado por el representante legal del constituyente o por quien este expresamente delegue para tal efecto.

Si el formulario de vinculación es diligenciado y firmado correctamente, el Icetex en la etapa de legalización, suscripción y perfeccionamiento del contrato, directamente o a través de un tercero contratado para tal gestión, verificará la documentación y la información aportada por el constituyente del fondo, y se asegurará que el potencial constituyente, directivos y demás personas que figuran en cámara de comercio, no se encuentren reportados dentro de las listas de control o negativos del Icetex.

Previo a la adjudicación de los créditos educativos, el funcionario encargado de la vicepresidencia de fondos, remitirá el listado al oficial de cumplimiento para cruzarlas contras las listas negativas, una vez este realiza el análisis de la misma, reporta los resultados a la vicepresidencia de fondos en administración para los fines pertinentes. De igual manera, cada vez que realicen adiciones o nuevos aportes a los fondos, se debe remitir el listado al oficial de cumplimiento para su respectivo análisis.

Una vez realizadas las verificaciones mencionadas, el funcionario encargado por el Icetex remitirá la información al grupo de contratación.

Para el procedimiento de verificación de datos será cada área la encargada de confirmar los datos del beneficiario, entre ellas verificando las referencias comerciales y/o financieras si da a lugar.

c) Procedimiento conocimiento cliente de becarios colombianos y extranjeros

La oficina de relaciones internacionales administra la oferta de becas que hacen a Colombia los gobiernos, organismos internacionales y las instituciones de educación superior extranjeras, en virtud de convenios y acuerdos de cooperación técnica en materia educativa.

El Icetex ofrece becas para estudios de posgrado en Colombia a ciudadanos extranjeros provenientes de países cooperantes y al mismo tiempo, en asocio con las universidades colombianas, el Icetex apoya económicamente la participación de expertos internacionales en programas de posgrado con alto nivel de investigación, que vengan al país a realizar aportes significativos a estos programas teniendo como objetivo fomentar y fortalecer la calidad de la educación superior en Colombia.

Todos los ciudadanos colombianos que son preseleccionados luego de la evaluación por parte de la Comisión Nacional de Becas, son objeto de revisión en las listas de control de Sarlaft y de esta manera evitar que los becarios se encuentren allí relacionados.

Si un ciudadano cruza en la verificación de listas se solicita revisión por parte del oficial de cumplimiento para confirmar o desestimar que sea la misma persona la que se encuentra en las listas de control.

Una vez realizada la mencionada verificación se anexa el resultado de la búsqueda en el expediente de cada beneficiario.

En relación con los ciudadanos extranjeros que vienen al país a través de los diferentes programas ofrecidos por el Icetex en el marco del programa de reciprocidad para extranjeros en Colombia, una vez son aprobados en el comité interno de selección, se somete a verificación en las listas de control los nombres y apellidos de cada uno de estos. Si un extranjero cruza en la revisión de listas se solicita revisión por parte del oficial de cumplimiento para confirmar o desestimar que sea la misma persona la que se encuentra en las listas de control.

Los resultados de las búsquedas se anexan a los documentos de cada uno de estos ciudadanos extranjeros y se archivan en las respectivas carpetas.

d) Procedimiento conocimiento del cliente contratistas y proveedores

Previo a la celebración de un contrato, orden de servicios, orden de compra o convenios, el grupo de contratos además de los documentos que se solicitan para la suscripción y en cumplimiento de la prevención del lavado de activos y financiación del terrorismo, consultará a las personas naturales y jurídicas, y sobre estas últimas solicitará el listado de los principales socios, asociados, accionistas y/o fundadores con su respectivo número de identificación cuando esta información no conste en el certificado de existencia y representación legal y su participación sea del 5% o más del capital.

Así mismo, una vez presentada (s) la (s) propuesta (s), el funcionario encargado del trámite, realizará la consulta de listas de control de Sarlaft de la persona natural o jurídica.

Si de la consulta realizada, el resultado es positivo, se solicita validación por parte del oficial de cumplimiento, para confirmar o desestimar que sea la misma persona la que se encuentra en las listas de control.

Una vez realizada la verificación se anexa el resultado de la búsqueda en el expediente único del contrato.

Para el procedimiento de confirmación de datos será cada área la encargada de confirmar los datos del contratista o proveedor, entre ellas verificando las referencias comerciales y/o financieras si da a lugar.

e) Procedimiento de conocimiento del cliente funcionarios

En el caso de cargos vacantes, cuya naturaleza es de carrera administrativa, se procede a solicitar permiso a la Comisión Nacional del Servicio Civil para su provisión. De igual manera se remite requerimiento a la firma especializada a cargo de los procesos de selección, con el fin de que inicie la etapa de reclutamiento de los candidatos, realice las entrevistas y pruebas psicotécnicas pertinentes, en las cuales se miden estilos de pensamiento, rasgos de comportamiento, intereses ocupacionales, competencias gerenciales, administrativas, y escala de valores del individuo.

En este proceso puede darse que el Icetex presente las hojas de vida de los candidatos potenciales para ocupar el cargo, caso en el cual la firma obvia la etapa de reclutamiento y realiza las entrevistas y pruebas psicotécnicas correspondientes, de acuerdo con la descripción señalada anteriormente.

En los dos eventos descritos, es decir, tanto para proceso de selección como de evaluación, el outsourcing remite al Icetex, en el primer caso los informes de la evaluación correspondientes a una terna de candidatos y en el segundo los informes de evaluación de los candidatos presentados por la entidad.

Una vez constatado el cumplimiento de los requisitos, se remiten los informes a los jefes de las áreas en donde se ha originado la vacante, con el fin de que sean analizados y se informe sobre las decisiones de selección.

En caso de no darse la selección de ninguno de los candidatos presentados, se requiere al outsourcing la presentación de nuevos postulantes. Cuando se selecciona a uno de los candidatos presentados, cada jefe gestiona la autorización de la presidencia, e informa a la secretaria general, con el fin de continuar con el proceso.

Una vez el candidato ha sido seleccionado, el área de talento humano realiza la consulta en listas de control de Sarlaft. Efectuada esta verificación solicita al outsourcing realizar la etapa de referenciación y posteriormente la realización de la visita domiciliaria.

Validados los informes de evaluación, consultas, referenciación y visita domiciliaria, así como el permiso de la Comisión Nacional del Servicio Civil se procede a realizar el nombramiento.

f) Procedimiento de conocimiento del cliente pasantías

Una vez se ha determinado el plan de pasantías de cada año, el cual señala las necesidades de pasantes informadas por cada una de las áreas, se realiza el contacto y gestión con las instituciones de educación superior con el fin de realizar la suscripción del convenio interinstitucional correspondiente.

Una vez suscrito el convenio se realiza la convocatoria para las diferentes plazas. Las hojas de vida de los estudiantes interesados son remitidas por la universidad al Icetex, con el fin de que el jefe de cada área solicitante realice las entrevistas pertinentes y proceda a la selección del estudiante idóneo para que apoye el proyecto específico para el cual se requirió.

De esta situación informa al grupo de talento humano, dependencia que gestiona ante la universidad la fecha de vinculación del estudiante, y realiza la consulta en listas de control de Sarlaft.

g) Proceso de otorgamiento a firmas los cupos de emisor y contraparte

La dirección de tesorería de la vicepresidencia financiera quien ejecuta las inversiones de portafolio previamente aprobadas por el comité financiero, le solicitará a las entidades emisoras y de contraparte la certificación Sarlaft o Siplaft una vez al año, según corresponda de acuerdo a la normatividad vigente.

8.2. Procedimiento para la vinculación de clientes personas públicamente expuestas (PEP)

Se consideran PEP a las siguientes personas:

• Personas que manejan recursos públicos: Son personas que por razones de su cargo manejan dineros cuyo titular es el Estado.

• Personas que detentan algún grado de poder público: Son personas que hacen parte de una de las ramas del poder público, gobernadores, alcaldes, etc.

• Personas que gozan de reconocimiento público: Son personas que por razones de la actividad que realizan gozan de autoridad o superioridad.

La oficina del oficial de cumplimiento cuenta con un listado de los clientes clasificados como PEP, que se identifican a través de los comités de otorgamiento de crédito para los beneficiarios y deudores. De igual manera se realiza un monitoreo y revisión constante a través de los diferentes comunicados de prensa, para identificar personas clasificadas como PEP.

En el Icetex, se aplicarán procedimientos de control y monitoreo más exigentes respecto de las operaciones que puedan realizar los PEP, a los clientes/beneficiarios de los productos objeto de inspección, vigilancia y control de acuerdo a la entrada en vigencia del Libro 7 del Título 1 del Decreto 2555 de 2010, que sean colocados y administrados directamente por el Icetex.

8.3. Procedimiento para la actualización de los datos de los clientes

La vicepresidencia de crédito y cobranza, la vicepresidencia de fondos en administración y la vicepresidencia financiera son las responsables de actualizar por lo menos anualmente la información de todos los clientes en los casos que aplique:

• Vicepresidencia de crédito y cobranzas a los beneficiarios del crédito educativo.

• Vicepresidencia de fondos en administración a los constituyentes de fondos en administración, cada vez que realicen adiciones o nuevos aportes al fondo.

• Vicepresidencia financiera (dirección de tesorería) la redención de títulos de ahorro educativo TAE.

• Vicepresidencia financiera (dirección de tesorería) certificación Sarlaft o Siplaft a entidades con las cuales se realizan inversiones de emisor y contraparte.

Dentro del proceso de renovación del crédito el beneficiario deberá realizar la actualización de datos básicos y del deudor solidario, actividad que realiza directamente en el sistema de Icetex, siendo la misma prerrequisito para legalizar la renovación.

En la época de amortización, la dirección de cobranzas debe efectuar la actualización de datos, el cual se encuentra documentado en el procedimiento de gestión cobro administrativo.

En el proceso de seguimiento al crédito la institución de educación superior es la que valida y certifica la información de la renovación del estudiante.

De igual manera, se cuenta con una guía de actualización de beneficiarios que está a cargo de atención al cliente.

8.4. Procedimiento para el conocimiento del mercado

El conocimiento del mercado le permitirá a la entidad establecer cuáles son las características usuales de los agentes económicos y las transacciones que desarrollan. El conocimiento del mercado se hará conforme a los siguientes parámetros:

• Conocer las características particulares de las actividades económicas de sus clientes, así como de las operaciones que estos realizan en los diferentes mercados.

• La entidad deberá establecer las variables relevantes que le permitan realizar el conocimiento del mercado para cada uno de los factores de riesgo.

Por lo anterior, el mercado objetivo del Icetex se determina de acuerdo con los factores de riesgo que se detallan a continuación:

Cliente:

— Beneficiarios de créditos educativos.

— Beneficiarios e inversionistas TAE.

— Constituyentes de fondos en administración.

Producto:

— Créditos educativos.

— Inversionistas y beneficiarios de títulos TAE.

— Constituyentes de fondos en administración.

Canal:

Icetex cuenta con canales de servicios que son: atención presencial, virtual, chat, escrita, pbx y contact center. Igualmente se cuenta con aliados que son las instituciones de educación superior (IES) y los constituyentes de fondos en administración. La red bancaria es el único mecanismo de recaudo de la entidad.

Jurisdicción:

Basados en el criterio de equidad territorial establecida por la Ley 1002 del 30 de diciembre de 2005 y el objeto legal de la entidad, este factor no aplica teniendo en cuenta que los productos están dirigidos al cualquier tipo de persona sin excepción, independientemente su ubicación regional.

Para el caso del Icetex como buenas prácticas, se realiza un análisis de jurisdicción a partir de los recaudos superiores a $10.000.000, mediante segmentación por montos, principales ciudades y promedios de las operaciones.

Adicionalmente, se tienen identificadas zonas geográficas de riesgos con fines de lavado de activos y/o financiación del terrorismo; basados en fuentes externas y el criterio de la oficina del oficial de cumplimiento, las cuales se clasificaron como alto, medio y bajo riesgo y se encuentran en el anexo 5.

Teniendo en cuenta el resultado generado por regiones, se generan actividades de verificación por usuario en las listas de control para los niveles altos y los mismos se ejecutan para los otros niveles.

8.5. Identificación y análisis de operaciones inusuales

El Icetex define las transacciones inusuales de clientes y usuarios, adaptando a su operación, tamaño y riesgo los términos conceptuales definidos en la Circular Básica Jurídica 7 de 1996 Título I, Capítulo XI, expedida por la SFC y las políticas internas de la entidad.

8.5.1. Metodología para la detección

a) Operación inusual

Una transacción se considera inusual siempre que no guarde relación con la actividad económica del cliente, se salga de los parámetros fijados por la entidad o cuando la entidad no haya encontrado explicación o justificación razonable.

b) Fuentes de detección

• Operaciones inusuales basadas en la información transaccional de recaudos de créditos.

• Operaciones o transacciones inusuales detectadas por cualquier funcionario de la entidad, en el desempeño normal de su función.

• Situaciones inusuales derivadas de la presencia de una señal de alerta interna, de conocimiento público o informado por algún organismo autorizado o autoridad competente.

• Monitoreo de personas que se encuentran en listas de control o en procesos administrativos o judiciales asociados al lavado de activos, financiación del terrorismo o delitos fuentes de los mismos.

8.5.2. Procedimiento para la detección

El análisis y reporte de todas las operaciones inusuales deben canalizarse a la oficina del oficial de cumplimiento a través del formato de operaciones inusuales.

8.6. Determinación de operaciones sospechosas

La oficina del oficial de cumplimiento es la encargada de analizar los reportes de operaciones inusuales que las diferentes dependencias le envíen. Mediante el comité de análisis y reporte de operaciones sospechosas se determinan qué operaciones deben reportarse a la UIAF, confrontando las operaciones detectadas como inusuales, con la información acerca del cliente o usuario.

El reporte debe estar documentado, es decir, que deben existir soportes que permitan verificar el proceso por el cual se llegó al reporte de la operación sospechosa.

9. Instrumentos

El Icetex ha definido los siguientes instrumentos que apoyan el funcionamiento de los mecanismos adoptados en materia del Sarlaft:

9.1. Señales de alerta

Son los hechos, situaciones, eventos, cuantías, y demás información que el Icetex determine como relevante, a partir de los cuales se puede inferir oportuna y/o prospectivamente la posible existencia de un hecho o situación que escapa a lo que la entidad en desarrollo del Sarlaft, determina como normal.

Las señales de alerta deben ser analizadas por la oficina del oficial de cumplimiento y los funcionarios de las áreas dueñas del proceso, con el fin de identificar la existencia de operaciones inusuales o sospechosas.

A continuación, se relaciona un listado de señales de alerta que se han identificado de acuerdo con los productos ofrecidos en cumplimiento del objeto legal de la entidad.

9.1.1. Producto título de ahorro educativo (TAE)

— Endoso de títulos o cupones, especialmente los múltiples.

— Solicitud de cobro anticipado de todos o varios cupones.

— Redención de títulos o cupones y el giro no sea para la IES sino para un tercero con el cual no exista una relación aparente.

— Posibles clientes que omitan información relevante en el formato de vinculación o no realicen actualización de datos o actualización parcial.

— Solicitud de giro con poder a un tercero con el cual no exista una relación aparente.

9.1.2. Producto fondos en administración

— Cuando los aportes a un fondo en un año específico sean muy superiores a los excedentes de ese año o que los aportes del fondo constituido superen los ingresos y activos líquidos certificados por el cliente en los documentos soporte de la operación.

— Aportes y posterior solicitud de devolución del dinero argumentando error en la operación (empresas privadas y cooperativas públicas o privadas).

— Constituyentes de fondos (públicos, privados y cooperativas) que cancelan el fondo sin razón aparente y solicitan la devolución del saldo administrado por el Icetex, así no se pueda realizar la devolución de los recursos como en el caso de las cooperativas.

— Tercero vinculado con conductas ilícitas en noticias y en medios de comunicación que realicen aportes a un fondo en administración.

— Fondos activos o inactivos por un plazo prolongado de tiempo y que de un momento a otro son capitalizados con grandes sumas de dinero y no ejecutan el fondo.

— Cooperativas y empresas privadas recientemente constituidas (plazo inferior a un año) y que deseen constituir fondos con aportes grandes.

— Prepagos de beneficiarios de un mismo fondo.

— Beneficiarios de fondos que reciben beneficios o subsidios de varios constituyentes de fondos.

— Que el giro al beneficiario no se realice a la institución de educación sino al mismo beneficiario. Quedan excluidos los casos en los cuales a la institución no le interese abrir cuentas para recibir giros del Icetex y sea necesario realizar el giro directamente a la cuenta del beneficiario (tampoco se consideran operaciones inusuales).

9.1.3. Producto crédito educativo de fomento

— Prepago de la obligación parcial o total en un lapso de tiempo notoriamente inferior al plazo inicialmente acordado cuando fue concedido el crédito y por un monto considerable sin que medie alguna explicación razonable, bien sea en etapa de ejecución o amortización.

— Pagos o abonos al crédito por parte de un mismo cliente que consolidados representen un monto significativo (fraccionamiento), bien sea en etapa de ejecución o amortización.

— Pago o prepago del crédito en etapa de ejecución o en periodo de gracia.

— Prepago por cuantía superior o pago total de crédito y solicitud posterior de la devolución de dinero argumentando error en el pago.

— Datos o inconsistencias en la documentación presentada por el solicitante y que el crédito sea negado por ese motivo.

9.2. Segmentación de los factores de riesgo

Segmento es la clase de mercado dentro de la cual se inscribe cada cliente de acuerdo con la naturaleza, características, volumen o frecuencia de sus transacciones, nivel de riesgo, clase de producto o servicio, origen o destino de las operaciones, o cualquier otro criterio similar, conforme las políticas de clasificación implementadas por el Icetex.

La metodología para la segmentación de factores de riesgo de LA/FT (clientes, productos, canales y jurisdicciones) del Icetex se establece teniendo presente el objeto legal de la entidad y su operatividad.

a) Clientes:

Clientes que por sus operaciones pueden presentar un riesgo de LA/FT a la entidad:

— Beneficiarios de créditos educativos: estudiantes, docentes e investigadores avalados por las IES e instituciones de educación superior, entre otros.

— Beneficiarios y/o inversionistas TAE: inversionistas y/o beneficiarios actuales de las dos primeras emisiones.

— Constituyentes de fondos en administración: empresas privadas y del sector cooperativo y mutual, entre otros.

b) Productos:

Productos que por sus operaciones pueden presentar un riesgo de LA/FT a la entidad:

— Inversionistas y beneficiarios de títulos TAE.

— Créditos educativos.

— Constituyentes de fondos en administración.

c) Canales:

Según su naturaleza y características los canales de operación de la entidad en cumplimiento de su objeto legal en atención al usuario son: atención presencial, virtual, chat, escrita, pbx y contact center. Igualmente se cuenta con aliados que son las instituciones de educación superior y los constituyentes de fondos en administración. La red bancaria es el único mecanismo de recaudo de la entidad.

d) Jurisdicción

Para cumplir con el criterio de equidad territorial en el logro del objeto legal, la demanda calificada, de los estudiantes interesados en el crédito educativo, los recursos presupuestales disponibles se distribuirán de tal forma que aseguren la participación equitativa de todas las regiones del país, con base en la población matriculada en la educación media y superior. Por consiguiente este factor no aplica teniendo en cuenta que los productos están dirigidos a cualquier tipo de persona sin excepción, independientemente su ubicación regional.

Para el caso del Icetex como buenas prácticas, se realiza un análisis de jurisdicción a partir de los recaudos superiores a $10.000.000, mediante segmentación por montos, principales ciudades y promedios de las operaciones.

En consecuencia, el proceso de segmentación del Icetex se implementa bajo la metodología del sistema de administración de riesgo de lavado de activos y financiación Sarlaft que se encuentra definida en el numeral 7º del presente manual.

9.3. Seguimiento de operaciones

Con el ánimo de observar atentamente el movimiento de las operaciones que realizan los clientes, beneficiarios y usuarios, a través de los demás factores de riesgo, el Icetex realiza como mínimo, las siguientes diligencias:

— Seguimiento a las operaciones, con una frecuencia acorde a la evaluación de los factores de riesgo involucrados en las operaciones. En todo caso, para aquellos factores de mayor criticidad, el seguimiento se realizará de manera continua.

— Monitorear las operaciones realizadas en cada uno de los segmentos de los factores de riesgo.

9.4. Consolidación electrónica de operaciones

En la actualidad Icetex realiza consolidaciones para efectos del negocio y de la contabilidad. En el caso de recaudos de pagos y prepagos de créditos se reportarán los que determine el oficial de cumplimiento para su monitoreo.

10. Estructura organizacional Sarlaft

Dado que controlar el Sarlaft es una responsabilidad individual y un trabajo en equipo, es deber de todos los funcionarios de Icetex, según la naturaleza general de sus funciones, las competencias y los requisitos exigidos para su desempeño, asegurar el cumplimiento de los reglamentos internos y de todas las disposiciones relacionadas con el Sarlaft.

Se presentan las funciones específicas por funcionarios y dependencias en relación con el Sarlaft:

10.1. Funciones de la junta directiva

• Establecer las políticas del Sarlaft.

• Adoptar el código de ética en relación con el Sarlaft.

• Aprobar el manual de procedimientos y sus actualizaciones.

• Designar al oficial de cumplimiento y su respectivo suplente.

• Aprobar el procedimiento para la vinculación de los clientes que pueden exponer en mayor grado a la entidad al riesgo de LA/FT, así como las instancias responsables, atendiendo que las mismas deben involucrar funcionarios de la alta gerencia.

• Hacer seguimiento y pronunciarse periódicamente sobre el perfil de riesgo de LA/ FT de la entidad.

• Pronunciarse respecto de cada uno de los puntos que contengan los informes que presente el oficial de cumplimiento, dejando la expresa constancia en la respectiva acta.

• Pronunciarse sobre los informes presentados por la revisoría fiscal y la oficina de control interno, y hacer seguimiento a las observaciones o recomendaciones adoptadas, dejando la expresa constancia en la respectiva acta.

• Ordenar los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el Sarlaft.

• Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y reporte de las operaciones sospechosas.

• Establecer y hacer seguimiento a las metodologías para la realización de entrevistas no presenciales y/o la realización de entrevistas por personal que no tenga la condición de empleado de la entidad.

• Aprobar las metodologías de segmentación, identificación, medición y control del Sarlaft.

• Designar la(s) instancia(s) responsable(s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.

• Designar la(s) instancia(s) autorizada(s) para exonerar clientes del diligenciamiento del formulario de transacciones en efectivo.

10.2. Funciones del representante legal

Las funciones en cabeza del representante legal de Icetex en relación con el Sarlaft son las siguientes:

• Someter a aprobación de la junta directiva u órgano que haga sus veces en coordinación con el oficial de cumplimiento, el manual de procedimientos del Sarlaft y sus actualizaciones.

• Verificar que los procedimientos establecidos desarrollen todas las políticas adoptadas por la junta directiva u órgano que haga sus veces.

• Adoptar las medidas adecuadas como resultado de la evolución de los perfiles y factores de riesgo y de los riesgos asociados.

• Garantizar que las bases de datos y la plataforma tecnológica cumplan con los criterios y requisitos establecidos en la Circular Básica Jurídica. Título I - Capítulo Décimo Primero.

• Proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el Sarlaft.

• Prestar efectivo, eficiente y oportuno apoyo al oficial de cumplimiento.

• Garantizar que los registros utilizados en el Sarlaft cumplan con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.

• Aprobar los criterios, metodologías y procedimientos para la selección, seguimiento y cancelación de los contratos celebrados con terceros para la realización de aquellas funciones relacionadas con el Sarlaft que pueden realizarse por estos, de acuerdo con lo señalado en el presente manual.

10.3. Requisitos del oficial de cumplimiento principal

Por disposición legal, todas las entidades vigiladas por la SFC deben designar a un oficial de cumplimiento principal y a su respectivo suplente, los cuales deberán posesionarse ante la SFC. La junta directiva de Icetex imparte todo su apoyo y soporte a la gestión del oficial de cumplimiento.

• Ser como mínimo de segundo nivel jerárquico dentro de la entidad (asesor adscrito a presidencia grado 02). Tener capacidad decisoria en el ámbito de sus funciones y de reporte directo al representante legal, a quien mantendrá informado de lo de su cargo.

• Acreditar conocimiento y experiencia en materia de administración de riesgos.

• Estar apoyado por un equipo de trabajo humano y técnico, de acuerdo con el riesgo de LA/FT y el tamaño de la entidad.

• No pertenecer a órganos de control ni a las áreas directamente relacionadas con las actividades previstas en el objeto social principal.

• Ser empleado de la entidad.

• Estar posesionado ante la SFC.

10.4. Requisitos oficial de cumplimiento suplente

• Tener capacidad decisoria.

• Acreditar conocimiento en materia de administración de riesgos.

• Estar apoyado por un equipo de trabajo humano y técnico, de acuerdo con el riesgo de LA/FT y el tamaño de la entidad.

• No pertenecer a órganos de control ni a las áreas directamente relacionadas con las actividades previstas en el objeto social principal.

• Ser empleado de la entidad.

• Estar posesionado ante la SFC

10.5. Funciones del oficial de cumplimiento principal y suplente

• Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el Sarlaft.

• Presentar, cuando menos en forma trimestral, informes escritos a la junta directiva, en los cuales debe referirse como mínimo a los siguientes aspectos:

• Los resultados de la gestión desarrollada.

• El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades.

• La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgos asociados.

• La efectividad de los mecanismos e instrumentos establecidos en la Circular Básica Jurídica. Título I - Capítulo Décimo Primero, así como de las medidas adoptadas para corregir las fallas en el Sarlaft.

• Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces.

• Los documentos y pronunciamientos emanados de las entidades de control y de la Unidad Administrativa Especial de Información y Análisis Financiero (UIAF).

• Promover la adopción de correctivos al Sarlaft, de acuerdo con lo que haya detectado y a los informes que hayan presentado la revisoría fiscal y la auditoría interna de la entidad.

• Coordinar el desarrollo de programas internos de capacitación.

• Proponer a la administración la actualización del manual de procedimientos y velar por su divulgación a los funcionarios.

• Colaborar con la instancia designada por la junta directiva en el diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.

• Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, y los informes que presente el revisor fiscal y adoptar las medidas del caso frente a las deficiencias informadas.

• Diseñar las metodologías de segmentación, identificación, medición y control del Sarlaft.

• Elaborar y someter a la aprobación de la Junta Directiva, los criterios objetivos para la determinación de las operaciones sospechosas. Analizar los reportes de operaciones inusuales remitidos por cualquier funcionario de la entidad y de acuerdo a su análisis, determinar la existencia de una operación sospechosa, caso en el cual remitirá en forma inmediata el reporte de operación sospechosa respectivo a la UIAF.

• Realizar una evaluación del Sarlaft.

• Conocer el informe de debilidades o fallas del Sarlaft.

• Diseñar metodologías, modelos e indicadores cualitativos y cuantitativos de reconocido valor técnico para la detección de operaciones inusuales.

• Las demás asignadas en el presente manual.

La designación de este funcionario no exime al Icetex, a su junta directiva, a su representante legal, promotores de negocios y demás funcionarios y terceros de la obligación de detectar y reportar las operaciones inusuales conservando el conducto regular.

10.6. Comité Saro y Sarlaft

El comité Saro-Sarlaft estará integrado por los funcionarios descritos en la Resolución 797 del 2 de octubre de 2008.

Son funciones del comité Saro y Sarlaft, además de las contenidas en el Acuerdo 1 del 11 de enero de 2007, modificado por Acuerdo 61 del 19 de diciembre de 2007 y derogado por el Acuerdo 31 del 29 de agosto del 2008, el cual modifica “en lo pertinente” el Acuerdo 61 las siguientes:

a) Evaluar los informes sobre la evolución del perfil de riesgo de la entidad y los controles adoptados de acuerdo con el objeto legal del Icetex;

b) Evaluar la efectividad de los mecanismos e instrumentos para prevenir y detectar LA/FT;

c) Analizar el impacto que pueda tener la operatividad de la entidad ante cambios normativos sobre el Sarlaft;

d) Analizar las fallas presentadas y los correctivos propuestos para mejorar el Sarlaft;

e) Analizar los cambios propuestos al manual de procedimientos Sarlaft;

f) Analizar las metodologías de segmentación, identificación, medición y control del Sarlaft;

g) Analizar los informes de los órganos de control;

h) Proponer a junta directiva los límites de exposición y/o niveles de tolerancia al riesgo operacional establecidos;

i) Evaluar periódicamente la evolución histórica de los riesgos operacionales asumidos por la institución;

j) Evaluar y proponer para aprobación de la junta directiva:

• La políticas referentes al sistema de control interno y monitoreo de los diferentes riesgos a que está expuesta la entidad, así como de la administración de la infraestructura informática y equipo humano técnico dedicado a la gestión de riesgos.

• Las metodologías para identificar, medir, monitorear y controlar los diferentes tipos de riesgos inherentes al negocio y propios del Icetex.

• Los límites de exposición de riesgos globales y por tipo de riesgo propuestos por un control eficiente de riesgo.

• Los ajustes en políticas, metodologías y límites de exposición al riesgo como consecuencia de cambios en la normatividad o necesidades internas de la entidad.

Son miembros del comité los siguientes funcionarios del Icetex:

• El presidente del Icetex o su delegado con voz y voto.

• Secretario general (podrá actuar como presidente suplente del comité).

• Vicepresidente financiero con voz y voto.

• Vicepresidente de crédito y cobranza con voz y voto.

• Vicepresidente de fondos en administración con voz y voto.

• Vicepresidente de operaciones y tecnología con voz y voto.

• Jefe de la oficina jurídica con voz y voto.

• Oficial de cumplimiento con voz y voto.

• Jefe oficina de riesgo con voz y voto.

• Jefe de la oficina de control interno con voz pero sin voto.

El jefe de la oficina de riesgo presentará al comité los informes, estudios, recomendaciones y demás inherentes al ejercicio de las funciones atribuidas a la oficina de riesgo, mediante el Decreto 380 del 12 de febrero de 2007.

10.7. Órganos de control

En el Icetex las instancias responsables de efectuar una revisión y evaluación del sistema de administración de riesgo de lavado de activos y financiación de terrorismo Sarlaft son la revisoría fiscal y la oficina de control interno.

10.7.1. Revisoría fiscal

Evaluar trimestralmente el estricto cumplimiento de lo dispuesto en la normatividad vigente e incluir un pronunciamiento detallado sobre el sistema de administración de riesgo de lavado de activos y financiación del terrorismo.

10.7.2. Oficina de control interno

Verificar anualmente que el sistema de administración del riesgo de lavado de activos y financiación del terrorismo haya cumplido satisfactoriamente lo establecido con la normatividad vigente.

10.8. Funciones de quienes participan en la administración del riesgo de lavado de activos y la financiación del terrorismo

El cumplimiento del sistema de administración de riesgos de lavado de activos y financiación del terrorismo (Sarlaft) es responsabilidad de todos y cada uno de los funcionarios del Icetex, ningún motivo es razón suficiente y válida para su desconocimiento. Por tal razón todos los funcionarios de la entidad deben cumplir con:

• El Código de Ética y Conducta.

• El Código de Buen Gobierno.

• Manual Sarlaft.

• Atender los requerimientos y solicitudes que les haga el oficial de cumplimiento y colaborar para el buen funcionamiento del Sarlaft.

• Cada vez que un funcionario de la entidad detecte un comportamiento o una operación anormal, deberá inmediatamente, informar a su superior jerárquico, y este a su vez procederá a informar al oficial de cumplimiento por medio del formato único de operaciones inusuales, entregando la documentación que soporta la operación.

• Informar al oficial de cumplimiento cualquier alerta o indicación de incumplimiento del presente manual.

10.9. Vicepresidencia de crédito y cobranza

• Gestionar y verificar el debido diligenciamiento del formulario de conocimiento del cliente (Formulario de inscripción del estudiante y formulario del deudor solidario).

• Verificar que los estudiantes o sus deudores solidarios no estén incluidos en las listas de control.

• Reportar inmediatamente operaciones inusuales al oficial de cumplimiento si no hay justificación de estas.

• Actualizar anualmente la información del estudiante mientras se encuentra en etapa de ejecución.

10.10. Vicepresidencia financiera

• Reportar inmediatamente operaciones inusuales al oficial de cumplimiento si no hay justificación de estas.

• Reportar mensualmente la ausencia de operaciones inusuales al oficial de cumplimiento.

• Gestionar y verificar el debido diligenciamiento y obtener la firma del formulario de redención del TAE (dirección de tesorería).

• Solicitar constancia o certificado Sarlaft a las entidades con las cuales se realizan inversiones y cupos de contraparte (dirección de tesorería).

• Verificar que las personas a las cuales el Icetex transfiere o gira recursos no estén incluidas en las listas de control.

• Realizar la actualización de datos de sus clientes, mínimo una vez por año.

10.11. Vicepresidencia de fondos en administración

• Obtener información completa del cliente (constituyente del fondo), acerca de antecedentes y de actividades comerciales que desarrolla que permita al Icetex tener un alto conocimiento del cliente que ingresará o que ya está vinculado a la entidad.

• Reportar al oficial de cumplimiento de manera inmediata las operaciones inusuales detectadas.

• Reportar mensualmente la ausencia de operaciones inusuales al oficial de cumplimiento.

• Realizar la actualización de datos de los constituyentes cada vez que realicen aportes o adiciones al fondo.

10.12. Vicepresidencia de operaciones y tecnología

• Reportar las operaciones inusuales al oficial de cumplimiento a través del grupo de administración de cartera.

• Reportar los recaudos mayores a $10.000.000 en efectivo al oficial de cumplimiento a través del grupo de administración de cartera.

10.13. Oficina de riesgo

• La oficina de riesgo asesora al oficial de cumplimiento en la metodología Sarlaft, toda vez que se encuentra alineada con la del sistema Saro. Y en caso de requerirse apoyarán en las etapas del Sarlaft.

10.14. Oficina de relaciones internacionales

• Verificar que los estudiantes preseleccionados por la Comisión Nacional de Becas no estén incluidos en las listas de control.

• Verificar que los oferentes de becas no estén incluidos en las listas de control.

• Verificar sobre listas de control todos los extranjeros que vienen a Colombia a través del Icetex.

10.15. Oficina asesora de comunicaciones

• Asesorar, diseñar y producir instrumentos de divulgación tendientes a comunicar a los funcionarios del Icetex las medidas adoptadas relacionadas con la prevención del lavado de activos y financiación del terrorismo, en colaboración con el oficial de cumplimiento.

• Realizar la divulgación de información al mercado relacionada con el Sarlaft.

10.16. Oficina asesora jurídica

• Asesorar al oficial de cumplimiento en la interpretación de las normas sobre control y prevención de lavado de activos y financiación del terrorismo.

10.17. Oficina comercial y de mercadeo

• Asesorar e informar las estrategias requeridas para determinar las características de las operaciones que se desarrollan dentro del instituto y compararlas con aquellas que realicen los clientes a efectos de detectar las operaciones inusuales.

10.18. Dirección de tecnología

• Proveer al oficial de cumplimiento de las herramientas tecnológicas requeridas para el adecuado cumplimiento de sus funciones.

• Proveer a todas las dependencias que lo requieran la herramienta tecnológica que permita verificar si una persona se encuentra incluida en las listas de control.

• Garantizar que la información mantenida en las bases de datos del Icetex cumpla con criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad.

10.19. Grupo de contratación de la secretaría general

• Consulta de lista de los principales socios, asociados, accionistas y/o fundadores con su respectivo número de identificación cuando esta información no conste en el certificado de existencia y representación legal y su participación sea del 5% o más del capital social, aporte o participación y porcentaje de participación. (Nombre, Tipo de identificación, Número de identificación y % del capital social) de los contratistas y proveedores.

• Garantizar que los convenios, contratos o documentos suscritos por Icetex contengan las políticas y controles relacionados con el lavado de activos y financiamiento del terrorismo.

• Verificar que en los contratos que se realicen con la entidad, esté incluida de manera expresa la cláusula en la que se manifieste que los recursos que posee el contratista no provienen de actividad ilícita alguna de las contempladas en el Código Penal Colombiano o en cualquier norma que lo modifique o lo adicione.

• Verificar a través de la herramienta de control o lista que suministre el oficial de cumplimiento que los proveedores, contratistas, representante legal y sus principales accionistas no estén incluidos en listas de control.

10.20. Grupo de talento humano de la secretaría general

• Distribuir el presente manual a todos los funcionarios y obtener la firma de sus anexos, en el que consta el conocimiento y el acatamiento a los lineamientos aquí definidos. Adjuntar el respectivo documento en la hoja de vida, manteniendo una debida custodia de los mismos.

• Informar oportunamente la vinculación de nuevos funcionarios, incluyendo terceros, para que este aplique el proceso de capacitación en los procesos de inducción.

• Verificar a través de la lista que suministre el oficial de cumplimiento que los candidatos a nuevos funcionarios y pasantes no estén incluidos en listas de control.

10.21. Grupo de administración de recursos físicos

• Solicitar certificación Sarlaft a la entidad financiera que realiza la venta de bienes muebles e inmuebles por martillo.

Solicitar apoyo del oficial de cumplimiento o funcionario de la secretaría general que consulta listas, previo a una venta de un bien inmueble o mueble de forma directa.

10.21. (Sic) Grupo de archivo

Responder por la custodia de los formularios de conocimiento de cliente (Formulario de inscripción del cliente y formulario del deudor solidario).

11. (Sic) Programa de capacitación del Sarlaft

El Icetex debe brindar la capacitación necesaria para desarrollar las competencias de los funcionarios en relación con la administración del riesgo de lavado de activos y financiación del terrorismo, a través de cualquier mecanismo que le permita llevar a cabo dicha gestión.

Todos los funcionarios de la entidad deberán recibir capacitación en dos momentos:

• Durante el proceso de inducción de los nuevos empleados y contratistas.

• Una sesión de refuerzo, por lo menos una vez al año para lo cual podrá utilizar diversas herramientas como lo son el correo electrónico, cartillas, intranet, aplicaciones de e-learning o en forma presencial si fuera el caso.

11.1. (Sic) Procedimientos para la evaluación de las capacitaciones

Las capacitaciones impartidas al personal de la entidad serán evaluadas mediante la utilización de cuestionarios escritos o a través de medios electrónicos, los cuales permitirán determinar:

1. El entendimiento de los temas.

2. La metodología utilizada y conocimiento del facilitador.

3. La efectividad de los programas.

4. El alcance de los objetivos propuestos.

El responsable de verificar el cumplimiento en la realización de las evaluaciones así como la eficacia de los programas de capacitación será el oficial de cumplimiento y el grupo de talento humano de la secretaría general.

El oficial de cumplimiento informará en los diferentes comités el resultado obtenido en las capacitaciones de Sarlaft.

11.2. (Sic) Esquema de capacitación

Icetex cuenta con programas de capacitación del Sarlaft dirigidos a sus funcionarios. Las características de dichos programas de capacitación son:

• Los programas de capacitación serán diseñados, revisados, actualizados y evaluados por la oficina del oficial de cumplimiento y el grupo de talento humano.

• Los programas de capacitación tendrán al menos una periodicidad anual o se realizarán cada vez que un área o funcionario así lo requiera.

• El programa de capacitación será impartido durante el proceso de inducción a los nuevos funcionarios.

• Los programas de capacitación deberán contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos.

12. (Sic) Sanciones por incumplimiento a las normas relacionadas con el Sarlaft

Los funcionarios que no acaten lo dispuesto en el presente manual serán sujetos a las sanciones de acuerdo con el régimen sancionatorio aplicable a los servidores públicos del Icetex contempladas en el Código de Ética y Conducta, en el Régimen Único Disciplinario (L. 734/2002), el estatuto orgánico del sistema financiero y en las demás normas administrativas bajo las cuales estén obligados los funcionarios del Icetex, sin perjuicio de las sanciones penales, fiscales y administrativas correspondientes.

13. Documentación

Con el propósito de garantizar un mayor grado de colaboración con las autoridades, el Icetex, debe conservar los documentos y registros relativos al cumplimiento de las normas sobre prevención y control del Sarlaft por un término no menor a cinco años tal y como se encuentra establecido en el artículo 96 del EOSF, al cabo de este lapso los documentos pueden ser destruidos, siempre que por cualquier medio técnico adecuado se garantice su reproducción exacta.

Respecto de los documentos que soportan la decisión de determinar una operación como sospechosa, así como los demás formularios requeridos por la normatividad, junto con sus soportes; el oficial de cumplimiento es responsable de la conservación centralizada, secuencial y cronológica de los documentos con las debidas seguridades, junto con el respectivo reporte a la Unidad Administrativa Especial de información y Análisis Financiero (UIAF), con el propósito de hacerlos llegar en forma completa y oportuna a las autoridades cuando estas los soliciten.

Los documentos Sarlaft reposan en el área del oficial de cumplimiento de Icetex bajo su responsabilidad y custodia:

13.1. Documentación física:

• Carpeta de reportes UIAF: Reposan las certificaciones físicas de la presentación del reporte a la UIAF para los ROS negativos, transacciones individuales en efectivo, productos ofrecidos y clientes exonerados del reporte de transacciones en efectivo.

• Expedientes de investigaciones de cada caso ROI o ROS.

• Carpeta informe trimestral a la junta directiva.

• Carpeta de informe de respuestas a revisoría fiscal.

• Carpeta de respuestas a la oficina de control interno.

• Carpeta Superintendencia Financiera de Colombia.

• Carpeta de actas de reuniones.

• Carpeta de capacitación, incluye listados de asistencia y evaluaciones realizadas.

• Carpeta donde reposan los requerimientos e informes de la UIAF.

• Carpeta de certificaciones emitidas y exigidas.

13.2. Documentación en medios magnéticos:

• Manual Sarlaft.

• Mapas de riesgo.

• Presentaciones de los comités de auditoría.

• Base de datos de las investigaciones.

• Monitoreo de noticias.

13.3. Esquema documental Sarlaft

Los registros utilizados en el Sarlaft tanto en las etapas como en los elementos deberán cumplir con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida, a continuación se relacionan algunos de los documentos y el responsable de su custodia, entre otros de los mencionados en los numerales anteriores.

DocumentoObjetivoResponsable
Manual del sistema de administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft).Establecer la estructura, directrices y procedimientos para gestionar eficazmente el riesgo LAFT.Oficial de cumplimiento
Representante legal.
Documento aplicación Sarlaft.Documentar los resultados de la aplicación de la metodología de identificación de riesgos LA/FT.Oficial de cumplimiento.
Los informes del oficial de cumplimiento con destino a la junta directiva.Conservar los informes relacionados con el Sarlaft.Oficial de cumplimiento
Secretaría general.
Informes a entidades reguladoras y de control.Reporte de operaciones sospechosas.Oficial de cumplimiento.
Soportes de gestión del oficial de cumplimiento.Documentación relacionada con la gestión del oficial de cumplimiento.Oficial de cumplimiento.

14. Infraestructura tecnológica

• Se dispone de un reporteador que suministra la información para la elaboración del reporte en efectivo con destino a la UIAF.

• El oficial de cumplimiento dispone de un aplicativo de listas de consulta de Sarlaft online. De igual manera, las áreas involucradas con el sistema de administración de riesgo de lavado de activos y financiación del terrorismo tienen acceso al mismo.

• El oficial de cumplimiento utiliza un desarrollo en Acces donde se cargan los reportes de operaciones inusuales y sospechosas que realizan las dependencias basados en las señales de alerta manuales y monitoreo de noticias.

• El Icetex cuenta con una herramienta tecnológica de administración de riesgos que le permite desarrollar la estructura del Sarlaft de acuerdo con las políticas, objetivos y metodología de medición.

15. Divulgación de la información

• Como parte integral de la capacitación y divulgación de la información, el manual de Sarlaft debe ser socializado a todos los funcionarios del Icetex.

• El monitoreo de los riesgos de LA/FT debe realizarse dos veces al año y el resultado del mismo se debe presentar a aprobación del comité Saro-Sarlaft y a la junta directiva.

• Los cambios que se presenten durante las diferentes etapas del Sarlaft con su respectiva justificación, y que hacen parte integral del monitoreo, deben ser presentados en su orden a la presidencia, al comité Saro-Sarlaft y a la junta directiva.

• Los reportes regulatorios a la UIAF son responsabilidad de la oficina del oficial de cumplimiento y el resultado del mismo debe notificarse a la junta directiva.

15.1. Reportes Internos

15.1.1. Transacciones inusuales

En el evento en que cualquier funcionario o contratista del Icetex identifique una operación como inusual con base en los criterios objetivos y/o señales de alerta establecidas, está en la obligación de reportarlo inmediatamente a través del formato F132.

15.1.2. Reportes de la etapa de monitoreo

Los reportes de la etapa de monitoreo permiten establecer el perfil de riesgo residual de la entidad, la evolución individual y consolidada de los perfiles, factores de riesgo y riesgos asociados.

Los reportes de la etapa de monitoreo son los siguientes:

a) Informe trimestral del oficial de cumplimiento a la junta directiva. Este informe deberá contener como mínimo:

• Los resultados de la gestión desarrollada.

• El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades.

• La evolución individual y consolidada de los perfiles de riesgo, sus factores y los controles adoptados, así como los riesgos asociados.

• La efectividad de los mecanismos e instrumentos establecidos en el presente manual, así como las medidas adoptadas para corregir las fallas en el Sarlaft.

• Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces.

• Los documentos y pronunciamientos emanados de las entidades de control y de la Unidad Administrativa Especial de Información y Análisis Financiero;

b) Informe de la revisoría fiscal a la junta directiva: Este informe contiene las conclusiones obtenidas del proceso de evaluación del cumplimiento de las normas e instructivos internos de Icetex relacionados con el Sarlaft;

c) Informe de la auditoría interna a la junta directiva y al oficial de cumplimiento: Por lo menos una vez al año la oficina de control interno presentará un informe que contenga la efectividad y el cumplimiento de todas y cada una de las etapas y elementos del Sarlaft, con el fin de determinar las deficiencias y sus posibles soluciones;

d) El presidente de Icetex en su informe de gestión al cierre de cada ejercicio contable, deberá incluir la gestión adelantada en materia de administración de riesgo de lavado de activos y financiación del terrorismo.

15.2. Reportes externos

Es responsabilidad del oficial de cumplimiento, generar y remitir a tiempo a la UIAF los siguientes reportes:

15.2.1. Reporte de operaciones sospechosas

Siempre que se determine la existencia de una operación sospechosa, el oficial de cumplimiento debe proceder a su reporte a la mayor brevedad mediante le remisión de un reporte de operación sospechosa (ROS) a la UIAF.

De lo contrario, remitirá a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente al de corte el reporte de ausencia de operaciones sospechosas.

15.2.2. Reporte de transacciones en efectivo

El Icetex no realiza directamente transacciones en efectivo pero para el recaudo de dinero podrá celebrar contratos de uso de red o acordar algún mecanismo para recaudar o manejar efectivo con establecimientos de crédito. El reporte se realiza sobre los recaudos de beneficiarios de créditos educativos.

El Icetex remitirá a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente al de corte, un informe mensual de las transacciones en efectivo realizadas a través de los establecimientos de crédito respectivos que superen las cuantías establecidas en el instructivo Anexo II de la Circular Básica Jurídica de la Superintendencia Financiera.

15.2.3. Reporte de transacciones múltiples en efectivo

Son transacciones múltiples aquellas transacciones individuales en efectivo realizadas por cuantías inferiores a las señaladas en el instructivo definido para ello que se realicen en una o varias oficinas, durante un (1) mes calendario, por o en beneficio de una misma persona y que en su conjunto igualen o superen tales sumas.

El Icetex reportará a la UIAF dentro de los diez (10) días calendario del mes siguiente al del corte, las transacciones múltiples en efectivo cuyo valor sea igual o superior a las cuantías establecidas para tal fin.

Tanto las transacciones múltiples como las transacciones individuales en efectivo se deben reportar en un solo archivo.

15.2.4. Reporte de clientes exonerados

El Icetex tiene como política no exonerar a ninguno de sus clientes de la obligación de diligenciar el reporte de transacciones en efectivo. Por lo anterior, el reporte a la UIAF sobre el particular se enviará dentro de los plazos fijados por la norma sin novedad.

15.2.5. Reporte de información sobre productos ofrecidos por las entidades vigiladas

El Icetex reportará a la UIAF los productos financieros ofrecidos (TAE), dentro de los diez (10) primeros días del mes siguiente al de corte, de acuerdo con el formato preestablecido por la Superintendencia Financiera.

15.3. Forma como se suministra la información al mercado para que evalúe la estrategia de la administración del riesgo LA/FT

La divulgación de la información relacionada con la administración del riesgo de lavado de activos y financiación del terrorismo estará en cabeza de la oficina asesora de comunicaciones y/o de planeación siguiendo los lineamientos, pautas y contenido dado por el oficial de cumplimiento.

16. Práctica insegura

El Icetex es una entidad sometida a inspección, vigilancia y control de las operaciones financieras autorizadas por la Superintendencia Financiera de Colombia, de conformidad con lo descrito en el Libro 7 del Título I del Decreto 2555 del 15 de julio de 2010 (antes D. 2792/2009) expedido por el Ministerio de Hacienda y Crédito Público. La Superintendencia Financiera de Colombia, califica como práctica insegura, conforme a lo establecido en el numeral 5º del artículo 326 EOSF, la realización de operaciones sin el cumplimiento de las disposiciones contenidas en el Título I - Capítulo XI de la Circular Básica Jurídica.

Por consiguiente, para el Icetex el incumplimiento de este manual se considera una práctica insegura.

17. Comité de análisis y reporte de operaciones sospechosas

De acuerdo con lo establecido en la Resolución 613 del 31 de julio del 2013 se crea el comité de análisis y reporte de operaciones sospechosas relacionado con lavado de activos y financiación del terrorismo.

Algunas funciones del comité son:

• Proponer Políticas Institucionales para la prevención y control de lavado de activos y financiación del terrorismo en las actividades que desarrolle la entidad.

• Analizar las operaciones inusuales y determinar cuáles se reportan como ROS a la Unidad de Información y Análisis Financiero (UIAF).

• Coordinar la realización de actividades periódicas de capacitación en dicha materia de funcionarios del Icetex, con el propósito de fortalecer el proceso de conocimiento y vigilancia del tema.

• Revisar y soportar documentalmente posibles casos de operaciones sospechosas de los usuarios del Icetex y determinar su reporte a la Unidad de Información y Análisis Financiero (UIAF).

• Asistir en representación del Icetex a reuniones y eventos que sobre la materia se programen.

Serán miembros del comité de análisis y reporte de operaciones sospechosas relacionado con lavado de activos y financiación del terrorismo:

• Oficial de cumplimiento con voz y voto, quien lo preside.

• Jefe de la oficina de riesgo con voz y voto.

• Jefe de la oficina jurídica o su delegado con voz y voto.

Glosario

Beneficiario final: Es toda persona natural o jurídica que, sin tener la condición de cliente, es la propietaria o destinataria de los recursos o bienes objeto del contrato o se encuentra autorizada o facultada para disponer de los mismos.

Clientes: Son clientes de la entidad, aquellas personas naturales o jurídicas con las que se establece y mantiene una relación de tipo legal o contractual para la prestación de algún servicio o el suministro de cualquier producto propio de la actividad del Icetex.

Clientes potenciales: son las personas naturales o jurídicas que se encuentran en la fase previa tratativas preliminares con el Icetex, respecto de los productos o servicios ofrecidos por este.

Crédito educativo: Mecanismo financiero para el fomento social de la educación, el cual se otorga al estudiante con el objeto de financiar el acceso, la permanencia y la culminación de los programas de los diferentes ciclos de la educación superior y el ciclo complementario de las escuelas normales superiores.

Factores de riesgo: Para efectos del Sarlaft las entidades vigiladas por la Superintendencia Financiera de Colombia deben tener en cuenta como mínimo los siguientes agentes generadores del riesgo de LA/FT: Clientes/usuarios, productos, canales de distribución y jurisdicción.

Financiación del terrorismo: En Colombia es un delito definido como “el que directamente provea, recolecte, entregue, reciba, administre, aporte, custodie o guarde fondos, bienes o recursos, o realice cualquier otro acto que promueva, organice, apoye, mantenga, financie o sostenga económicamente a grupos armados al margen de la ley o terroristas nacionales o extranjeros”. Ver Código Penal artículo 345.

Fondos en administración: Corresponde al portafolio de recursos de entidades públicas y privadas que administra el Icetex, con el fin de ejecutar diferentes programas y proyectos educativos para la población objetivo que los constituyentes del fondo hayan determinado atender, fortaleciendo así los mecanismos de cobertura en educación que busca el país.

Lavado de activos: En Colombia es un delito definido como “el que adquiera, resguarde, invierta, transporte, transforme, custodie o administre bienes que tengan su origen mediato o inmediato en actividades de tráfico de migrantes, trata de personas, extorsión, enriquecimiento ilícito, secuestro extorsivo, rebelión, tráfico de armas, financiación del terrorismo y administración de recursos relacionados con actividades terroristas, tráfico de drogas tóxicas, estupefacientes o sustancias sicotrópicas, delitos contra el sistema financiero, delitos contra la administración pública, o vinculados con el producto de delitos ejecutados bajo concierto para delinquir, o les dé a los bienes provenientes de dichas actividades apariencia de legalidad o los legalice, oculte o encubra la verdadera naturaleza, origen, ubicación, destino, movimiento o derecho sobre tales bienes o realice cualquier otro acto para ocultar o encubrir su origen ilícito (...)” Ver Código Penal artículo 323.

Operación inusual: Se entiende por operaciones inusuales, todas aquellas transacciones que cumplen, cuando menos, con las siguientes características: no guarda relación con la actividad económica del cliente o se salen de los parámetros adicionales fijados por la entidad y respecto de la cual la entidad no ha encontrado explicación o justificación que se considere razonable.

Operación sospechosa: Es la operación que resulta de la confrontación de la operación detectada como inusual, con la información acerca de los clientes o usuarios y de los mercados, conforme las razones objetivas establecidas por la entidad.

Personas públicamente expuestas (PEP): Son personas nacionales o extranjeras que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT, tales como: personas que por razón de su cargo manejan recursos públicos, detentan algún grado de poder público o gozan de reconocimiento público.

Productos: Los productos del Icetex son: crédito educativo en sus diferentes líneas, becas, fondos en administración (entidades privadas, sector solidario y mutuales e instituciones de educación superior) y títulos de ahorro educativo (TAE), a cada uno de los cuales, dependiendo de su riesgo se les aplica bajo los términos del presente manual, el sistema de administración de riesgos de lavado de activos y financiación del terrorismo Sarlaft.

Riesgo de lavado de activos y financiación del terrorismo (LA/FT): Es la posibilidad de pérdida o daño que puede sufrir una entidad vigilada por la Superintendencia Financiera de Colombia por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de LA/FT se materializa a través de los riesgos asociados, los cuales son: legal, reputacional, operativo y de contagio, a los que se expone la entidad, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando es utilizada para tales actividades.

Riesgos asociados al LA/FT: Son los riesgos a través de los cuales se materializa el riesgo de LA/FT, tales como: reputacional, legal, operativo y contagio.

Riesgo reputacional: Es la posibilidad de pérdida en que puede incurrir una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada, multada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivados de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

Riesgo operativo: Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

Riesgo de contagio: Es la posibilidad de pérdida que una entidad puede tener directa o indirectamente, por una acción o experiencia de un vinculado.

El vinculado es el relacionado o asociado e incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la entidad.

Riesgo inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo residual: Es el nivel resultante del riesgo después de aplicar los controles.

Sarlaft: Es el sistema de administración de riesgo que deben implementar las entidades vigiladas por la Superintendencia Financiera de Colombia para gestionar el riesgo de lavado de activos y financiación del terrorismo.

Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas, en sus características (variables de segmentación).

Señal de alerta: Una señal de alerta es simplemente un hecho, información o circunstancia particular que rodea la realización de una transacción o actividad (vinculación, comportamiento o transacción) de un cliente, usuario o funcionario de una entidad reportante, que supera lo normal y podría ser susceptible de catalogarse como sospechoso de lavado de activos o financiación del terrorismo.

TAE: Título de ahorro educativo emitido por el Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior, Icetex. Es un título valor nominativo de contenido crediticio, que le permite a cualquier persona ahorrar para asegurar total o parcialmente los costos de la educación superior en el país o en el exterior del beneficiario del título valor elegido por el inversionista.

Terrorismo: El que provoque o mantenga en estado de zozobra o terror a la población o a un sector de ella, mediante actos que pongan en peligro la vida, la integridad física o la libertad de las personas, o las edificaciones, o medios de comunicación, transporte, procesamiento o conducción de fluidos o fuerzas motrices, valiéndose de medios capaces de causar estragos.

Usuarios: Son personas naturales o jurídicas a las que sin ser clientes, la entidad les presta un servicio.

Anexo

Anexo 1. Sobre recaudos de créditos educativos

Tabla 1 - Número de recaudos (cantidad)
PeriodosSospechososInusualesTotal recaudoSospechosos / inusualesInusuales / totalesSospechosos / totales
Mes 1      
Mes 2      
Mes 3      
Trim. Año0000,00%$ 0,000,00%

Tabla 2 - Número de recaudos (valores $)
PeriodosSospechososInusualTotalSospechosos / inusualesInusuales / totalesSospechosos / totales
Mes 1      
Mes 2      
Mes 3      
Trim. Año0$ 0$ 00,00%$ 0,000,00%

Tabla 3 - Registro contable
Registro del crédito%Monto $%Promedio $
Icetex     
Fondos     
Total00%$ 0,000%$ 0,00

Tabla 4 - Etapa del crédito
Etapa del crédito%Monto $%Promedio $
Amortización     
Ejecución     
Total00%$ 0,000%$ 0,00

Tabla 5 - Línea del crédito
Línea del crédito%Monto $%Promedio $
Acces     
País     
Exterior     
Total00%$ 0,000%$ 0,00

Tabla 6 - Forma de pago
Forma de pago%Monto $%Promedio $
Efectivo     
Cheque     
Total00%$ 0,000%$ 0,00

Tabla 7 - Jurisdicciones por montos
Ciudades%Monto $%Promedio $
      
      
Total general00%$ 00%$ 0,00

Tabla 8 - Forma de pago y etapa del crédito
Forma de pagoAmortizaciónEjecución
%Monto $%Promedio $%Monto $%Promedio $
Efectivo          
Cheque          
Total00%$ 0,000%$ 0,0000%$ 0,000%$ 0,00

Tabla 9 - Forma de pago y registro contable
Forma deFondosIcetex
 %Monto $%Promedio $%Monto $%Promedio $
Efectivo          
Cheque          
Total00%$ 0,000%$ 0,0000%$ 0,000%$ 0,00

Tabla 10 - Jurisdicciones y forma de pago
CiudadesEfectivoChequeTotal
Monto $Monto $Monto $Promedio $
        
        
Total0$ 0,000$ 0,000$ 0,00$ 0,00

Anexo 2. Sobre monitoreo de noticias y listas

MesSemanaFecha de envíoFecha de respuestaDías respuestaRegistros enviadosRegistros positivosRos
__00/00/0000/00/000000

Anexo 3. Sobre comités de otorgamiento de crédito educativo

Fecha comitéNº BeneficiariosCruce positivoNº DeudoresCruce positivoTotal personas cruzadasTotal cruce positivo
Semana 1      
Semana 2      
Semana 3      
Semana 4      
Total del mes000000

Fecha comitéNº BeneficiariosCruce positivoNº DeudoresCruce positivoTotal personas cruzadasTotal cruce positivo
Mes 1      
Mes 2      
Mes 3      
Total del trimestre000000

Total comités trim./añoNº BeneficiariosCruce positivoNº DeudoresCruce positivoTotal personas cruzadasTotal cruce positivo
0000000

Anexo 4. Escalas para cálculo de probabilidad e impacto

1. Estimación de la frecuencia de los riesgos

 Grado de automatizaciónFallas tecnológicasPorcentaje de ocurrencia
Muy bajaCompletamente automáticoRaroOcurre menos del 2% de las operaciones en el año
BajaMuy altaPoco probableOcurre entre el 2% y el 4% de las operaciones en el año
ModeradaAltoPosibleOcurre entre el 4% y el 6% de las operaciones en el año
AltaMedioProbableOcurre entre el 6% y el 10% de las operaciones en el año
Muy altaBajoMuy probableOcurre más del 10% de las operaciones en el año

Estimación de la magnitud del impacto

 EconómicoReputacionalLegalContagio (sarlaft)Operativo (sarlaft)
1De 1 a 60 millones
Util. mensual: 0.5%
Al interior del procesoGlosas de control internoFuncionariosAjustes de controles
2De 60 a 300 millones
Util. mensual: 2.5%
En la entidad y algunos clientesGlosas de órganos de control o salvedades de la revisoría fiscalBeneficiariosAjustes en una actividad concreta
3De 300 a 3.000 millones
Util. mensual: 25.1%
Considerable número de clientesDemandas y tutelasIESCambios significativos en los procedimientos
4De 3.000 a 10.000
Millones
Util. mensual: 83.6%
Medios de comunicaciónSanciones o multas de entes de controlAliadosCambios en la interacción de los procesos
5Más de 10.000 millonesSectorial o entes de controlEmbargo de cuentasAlta dirección junta directivaCambios en la cadena de valor de la entidad

2. Criterios para la calificación y mitigación de los controles

Criterios de calificación de los controles

PuntajeCriterioCalificaciones individuales
15DocumentaciónSi15
Parcialmente7
No0
10AplicaciónSiempre10
Aleatoria5
50Efectividad del controlEl control es efectivo y tiene evidencia50
El control requiere mejoras25
El control no es efectivo0
15Grado de automatizaciónAutomático15
Mixto7
Manual5
10Tipo de controlPreventivo10
Detectivo8
Correctivo3

Escalas de mitigación

Mitigación de controles
1Entre 0 y 20%0
2Entre 21 y 40%0
3Entre 41 y 60%1
4Entre 61 y 80%1
5Entre 81 y 100%2

Anexo 5. Jurisdicción

Variables para segmentación
DepartamentoNivel de riesgo de LA/FT
GuajiraBajo
MagdalenaBajo
BolívarBajo
ChocoBajo
BoyacáBajo
NariñoBajo
CaucaBajo
San AndrésBajo
SucreBajo
CesarMedio
Norte de SantanderMedio
CórdobaMedio
AntioquiaMedio
CasanareMedio
VichadaMedio
TolimaMedio
BogotáMedio
QuindíoMedio
AmazonasMedio
AtlánticoAlto
AraucaAlto
CaldasAlto
RisaraldaAlto
Valle del CaucaAlto
PutumayoAlto
MetaAlto
GuaviareAlto
VaupésAlto
GuainíaAlto
HuilaAlto
CaquetáAlto

(1) Superintendencia Financiera de Colombia. Circular Externa 26 de 2008.

(2) Ídem.