ACUERDO 21 DE 2008 

(Junio 25)

“Por el cual se adopta el manual del Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo – Sarlaft”

(Nota: Derogado por el Acuerdo 11 de 2010 artículo 3° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)

La junta directiva,

en ejercicio de sus facultades legales y estatutarias en especial las que le confiere el artículo 7º de la Ley 1002 del 30 de diciembre de 2005, el numeral 1º del artículo 9º del Decreto 1050 del 6 de abril de 206 y el Acuerdo 13 del 24 de febrero de 2007, y

CONSIDERANDO:

Que la Ley 1002 del 30 de diciembre de 2005, transformó al Icetex creado por el Decreto 2586 de 1950, en una entidad financiera de naturaleza especial, con personeria jurídica, autonomía, administrativa y patrimonio propio, vinculada al Ministerio de Educación Nacional, cuyo objeto es el fomento social de la educación superior priorización la población de bajos recursos económicos y aquella con mérito académico en todos los estratos a través de mecanismos financieros que hagan posible el acceso y la permanencia de las personas a la educación superior, la canalización y administración de recursos, becas y otros apoyos de carácter nacional e internacional, con recursos propios o de terceros y cumplirá su objeto con criterios de cobertura, calidad y pertinencia educativa, en condiciones de equidad territorial. lgualmente otorgará subsidios para el acceso y permanencia en la educación superior de los estudiantes de estratos 1, 2 y 3.

Que el máximo órgano de dirección y administración del Icetex es la junta directiva, acorde con lo señalado en el artículo 7º de la Ley 1002 del 30 de diciembre de 2005.

Que el numeral 1º del artículo 9º del Decreto 1050 de 2006, establece que es función de la junta directiva formular la política general y los planes, programas y proyectos para el cumplimiento del objeto legal del Icetex, de sus funciones y operaciones autorizadas y todas aquellas inherentes a su naturaleza jurídica, acorde con lo dispuesto por la Ley 1002 de diciembre 30 de 2005, y los lineamientos y política del Gobierno Nacional en materia de crédito educativo.

Que el numeral 4º del artículo 9º del Decreto 1050 de 2006 faculta a la junta directiva del Icetex para expedir conforme a la ley y a los estatutos; los actos administrativos que se requieran para el cumplimiento de las funciones y de las operaciones autorizadas al Icetex como entidad financiera de naturaleza especial.

Que el Icetex, como entidad financiera de naturaleza especial, está sujeto al régimen especial de inspección, vigilancia y control que expida el Gobierno Nacional, según lo prescrito en el artículo 6º de la Ley 1002 del 30 de diciembre de 2005.

Que la Circular Externa 61 de 2007 que modifica el título I, capítulo XI de la Circular Externa 7 de 1996 expedida por la Superintendencia Financiera de Colombia establece los lineamientos del sistema de administración de riesgo de lavado de activos y financiación del terrorismo, Sarlaft.

Que mediante Acuerdo 15 del 21 de febrero de 2007, se adoptó el manual general del sistema integral para la prevención y control del lavado de activos, Sipla del Icetex y que mediante Acuerdo 55 del 31 de octubre de 2007 se modificó el citado manual.

Que mediante Acuerdo 16 del 3 de abril de 2008 la junta directiva aprobó las políticas de lavado de activos y financiación del terrorismo relacionadas con las listas utilizables para la prevención del riesgo de lavado de activos y financiación del terrorismo o delitos fuentes de LA/FT.

En virtud de lo anterior,

ACUERDA:

ART. 1º—Adoptar el manual del sistema de administración de riesgo de lavado de activos y financiación del terrorismo, Sarlaft, del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior “Mariano Ospina Pérez” cuyo objeto es suministrar las políticas, los lineamientos, los procedimientos y las reglas para la adecuada implementación del sistema de administración de riesgo de lavado de activos y financiación del terrorismo en el Icetex.

El manual del sistema de administración de riesgo de lavado de activos y financiación del terrorismo desarrolla los siguientes capítulos, así:

1. Introducción

2. Definiciones

3. Políticas para (sic)sa la administración del riesgo de lavado de activos y financiación del terrorismo

4. Etapas del Sarlaft

5. Procedimientos establecidas para la adecuada implementación y funcionamiento de los elementos y las etapas del Sarlaft

6. Estructura organizacional del Sarlaft

7. Medidas necesarias para asegurar el cumplimiento de las políticas del Sarlaft

8. Procedimientos de control interno y revisión del Sarlaft

9. Programa de capacitación del Sarlaft

10. Sanciones por incumplimiento a las normas relacionadas con el Sarlaft

11. Documentación

12. Infraestructura tecnológica

13. Divulgación de la información

14. Funciones relacionadas con Sarlaft del Icetex realizadas por terceros.

15. Conceptos de Sarlaft no aplicables a Icetex

(Nota: Derogado por el Acuerdo 11 de 2010 artículo 3° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)

ART. 2º—El manual a que se refiere el artículo anterior, el cual forma parte integral del presente acuerdo, comprende las políticas, las metodologías, los procedimientos y los criterios que deben ser aprobados por la junta directiva en cumplimiento de la normatividad del Sarlaft.

(Nota: Derogado por el Acuerdo 11 de 2010 artículo 3° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)

ART. 3º—Vigencia. El presente acuerdo rige a partir de la fecha de su expedición y deroga las disposiciones que le sean contrarias.

Publíquese, comuníquese y cúmplase.

Dado en Bogotá, D.C., a 25 de junio de 2008.

(Nota: Derogado por el Acuerdo 11 de 2010 artículo 3° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)

Manual del sistema de administración del riesgo de lavado de activos y financiación del terrorismo

Sistema de administración del riesgo de lavado de activos y financiación del terrorismo – Sarlaft

Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior – Icetex

Área de aplicación: Icetex

Versión: 1

Fecha: Junio 2008

Elaboración: Lozano Consultores LTDA.

Oficial de Cumplimiento

Oficina de Riesgos

Junio de 2008

Registro de cambios

CambiosFechaÁrea
   
   
   
   

Tabla de contenido

Introducción

1. Definiciones

2. Marco normativo

2.1. Marco normativo internacional

2.2. Marco Normativo Nacional

3. Políticas para la administración del riesgo de lavado de activos y financiación del terrorismo

3.1. Políticas generales

3.1.1. Cultura Sarlaft

3.1.2. Políticas aplicables a clientes del Icetex incluidas listas internacionales vinculantes o no, para Colombia o con procesos judiciales relacionados con lavado de activos o financiación del terrorismo

3.2. Políticas por factores de riesgo y los riesgos asociados de LA/FT

3.2.2. Política en relación con los riesgos asociados

3.3. Políticas para cada una de las etapas del Sarlaft

3.3.1. Políticas en relación con la identificación

3.3.2. Políticas en relación con la medición

3.3.3. Políticas en relación con el control

3.3.4. Políticas en relación con el monitoreo

3.4. Políticas para cada uno de los elementos de Sarlaft

3.4.1. Políticas en relación con los procedimientos

3.4.2. Políticas en relación con el manejo de la documentación

3.4.3. Políticas en relación con la estructura organizacional

3.4.4. Políticas en relación con los órganos de control

3.4.5. Políticas en relación con la infraestructura tecnológica

3.4.6. Políticas en relación con divulgación de la información

3.5. Políticas en relación con la capacitación

3.6. Lineamientos para la prevención y resolución de conflictos de interés.

3.7. Política para la vinculación de clientes y monitoreo de operaciones de personas nacionales o extranjeras que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT.

3.8. Reserva de la información reportada

3.9. Consecuencias que genera el incumplimiento del Sarlaft

4. Etapas del Sarlaft

4.1. Identificación de riesgos

4.1.1. Metodologías para identificación de riesgos

4.1.2. Procedimiento para la identificación de riesgos

4.2. Medición del riesgo

4.2.1. Metodología para la medición del riesgo

4.2.2. Procedimiento para la medición del riesgo

4.3. Control del riesgo

4.3.1. Metodología para el tratamiento (control) de los riesgos

4.3.2. Procedimiento para el control del riesgo

4.4. Monitoreo

4.4.1. Metodología para el monitoreo

4.4.2. Procedimiento para el monitoreo

5. Procedimientos establecidos para la adecuada implementación y funcionamiento de los elementos y las etapas del Sarlaft

5.1. Procedimiento para el conocimiento efectivo, eficiente y oportuno de los clientes actuales y potenciales

5.1.1. Requisitos para la vinculación del cliente

5.1.2. Reglas especiales de procedimiento para conocimiento de clientes de acuerdo con los productos del Icetex

5.1.2.1. Crédito educativo a estudiantes, docentes avalados por las Instituciones de educación superior

5.1.2.2. Fondos en administración.

5.1.2.3. Títulos de ahorro educativo —TAE—.

5.1.2.4. Vinculación de clientes a través de canales que no requieren presencia física.

5.1.2.5. Procedimiento para la vinculación de clientes personas públicamente expuestas (PEPs)

5.2. Procedimiento para la confirmación de datos del cliente

5.3. Procedimiento para la actualización de los datos de los clientes

5.4. Procedimiento para el monitoreo de las transacciones efectuadas por los clientes

5.4.1. Procedimientos adicionales de monitoreo

5.5. Procedimiento para conocer el mercado

5.6. Detección de operaciones inusuales

5.6.1. Metodología para la detección

5.6.2. Procedimiento para la detección

5.7. Determinación de operaciones sospechosas

5.8. Segmentación de los factores de riesgo

5.8.1. Clientes/usuarios

5.8.2. Productos

5.8.3. Canales

5.8.4. Jurisdicciones

5.8.5. Metodología para la segmentación de los factores de riesgo

5.9. Consolidación electrónica de operaciones

6.1. Funciones de la junta directiva.

6.2. Funciones del representante legal

6.3. Funciones del oficial de cumplimiento

6.4. Órganos de control

6.4.1. Revisoría fiscal

6.4.2. Oficina de control interno

6.5. Funciones de quienes participan en la administración del riesgo de lavado de activos y la financiación del terrorismo

6.6. Vicepresidencia de crédito y cobranza

6.7. Vicepresidencia financiera

6.8. Vicepresidencia de fondos en administración

6.9. Oficina asesora de comunicaciones

6.10. Oficina asesora jurídica

6. 11. Oficina comercial y de mercadeo

6.12. Oficina de relaciones internacionales

6.13. Secretaría general.

6.14. Vicepresidencia de operaciones y tecnología

6.15. Grupo de talento humano (secretaría general)

8.1. Periodicidad de la revisión de los elementos y etapas del Sarlaft

8.2. Órganos encargados de la revisión del Sarlaft

8.2.1. Revisoría fiscal

8.2.2. Oficina de control interno

8.2.3. Oficial de cumplimiento

9. Programa de capacitación del Sarlaft

9.1. Alcance de los programas

9.2. Procedimientos para la evaluación de las capacitaciones

10. Sanciones por incumplimiento a las normas relacionadas con el Sarlaft

12. Infraestructura tecnológica

13. Divulgación de la información

13.1. Reportes internos

13.1.1. Transacciones inusuales

13.1.2. Reportes de la etapa de monitoreo

13.2. Reportes externos

13.2.1. Reporte de operaciones sospechosas

13.2.2. Reporte de transacciones en efectivo

13.2.3. Reporte de transacciones múltiples en efectivo

13.2.4. Reporte de clientes exonerados

13.2.5. Reporte de información sobre productos ofrecidos por las entidades vigiladas

13.2.6. Reporte de información sobre transacciones realizadas en Colombia con tarjetas crédito o débito expedidas en el exterior

13.2.7. Reporte sobre operaciones de transferencia, remesa, compra y venta de divisas

13.3. Forma como se suministra la información al mercado para que evalúe la estrategia de la administración del riesgo LA/FT

13.4. Reglas especiales para transferencias

14. Funciones relacionadas con el Sarlaft de Icetex realizadas por terceros.

14.1. Razones objetivas por las cuales se realizan estas funciones a través de las IES:

15. Conceptos de sarlaft no aplicables al Icetex

Introducción

El sistema de administración de riesgos de lavado de activos y financiación del terrorismo (en adelante Sarlaft) del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior (en adelante Icetex) tiene como finalidad establecer e implementar los procedimientos y metodologías para que la entidad se proteja de ser usada como instrumento por cualquier medio para dar apariencia de legalidad a activos derivados de actividades delictivas (lavado de activos) o para la canalización de recursos dirigidos a la realización de actividades terroristas (financiación del terrorismo) o para el ocultamiento de activos provenientes de dichas actividades.

El Sarlaft comprende las reglas, mecanismos, procesos y controles que Icetex, como entidad con operaciones vigiladas por la Superintendencia Financiera de Colombia, debe adoptar para el cumplimiento tanto de las políticas internas de la organización como de la normatividad que la regula, especialmente en lo relacionado con la protección frente al lavado de activos y la financiación del terrorismo.

Parte esencial de las políticas adoptadas por Icetex se basa en el cumplimiento estricto de la ley y las normas internas de la organización.

La administración del riesgo de lavado de activos y financiación del terrorismo, es de gran trascendencia para nuestra entidad, pues favorece el aseguramiento de la confianza del público en los servicios prestados.

Las pautas y normas de comportamiento indicadas en el presente manual son de obligatorio cumplimiento para los directivos, funcionarios, contratistas y demás personal que integre el Icetex en el ámbito de las funciones y responsabilidades propias del respectivo cargo.

1. Definiciones

Riesgo de lavado de activos y financiación del terrorismo (en adelante LA/FT): Es la posibilidad de pérdida o daño que puede sufrir una entidad vigilada por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de LA/FT se materializa a través de los riesgos asociados, estos son: el legal, reputacional, operativo y de contagio, a los que se expone la entidad, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando es utilizada para tales actividades.

Sarlaft: El Sarlaft es el sistema de administración que deben implementar las entidades vigiladas por la Superintendencia Financiera de Colombia para protegerse frente al riesgo de lavado de activos y financiación del terrorismo.

Clientes: Son clientes de la entidad, aquellas personas naturales o jurídicas con las que se establece y mantiene una relación de tipo legal o contractual para la prestación de algún servicio o el suministro de cualquier producto propio de la actividad del Icetex.

Se entiende que un cliente adquiere la calidad de Inactivo cuando no realice ningún tipo de movimiento con la entidad durante un (1) año. Lo anterior sin perjuicio de que en atención al tipo de relación legal o contractual, el área competente del Icetex fije un criterio distinto para calificar como inactivo a un cliente o a determinada clase de clientes.

Productos: Los productos del Icetex son: Crédito educativo en sus diferentes líneas, fondos en administración (entidades privadas, sector solidario y mutuales e instituciones de educación superior) y TAE (títulos de ahorro educativo), los giros por convenios o acuerdos internacionales a cada uno de los cuales se les aplica bajo los términos del presente manual, el sistema de administración de riesgos del lavado de activos y financiación del terrorismo Sarlaft.

Usuarios: Son personas naturales o jurídicas a las que sin ser clientes, la entidad les presta un servicio.

Beneficiario final: Es toda persona natural o jurídica que, sin tener la condición de cliente, es la propietaria o destinataria de los recursos o bienes objeto del contrato o se encuentra autorizada o facultada para disponer de los mismos.

Factores de riesgo: Para efectos del Sarlaft las entidades vigiladas deben tener en cuenta como mínimo los siguientes agentes generadores del riesgo de LA/FT:

a) Clientes/usuarios

b) Productos

c) Canales de distribución

d) Jurisdicciones

Riesgos asociados al LA/FT: Son los riesgos a través de los cuales se materializa el riesgo de LA/FT, estos son: reputacional, legal, operativo y contagio.

Riesgo reputacional: Es la posibilidad de pérdida en que puede incurrir una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada, multada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivados de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

Riesgo operativo: Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

Riesgo de contagio: Es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por una acción o experiencia de un vinculado.

El vinculado es el relacionado o asociado e incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la entidad.

Riesgo inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo residual: Es el nivel resultante del riesgo después de aplicar los controles.

Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas, en sus características (variables de segmentación).

Personas públicamente expuestas (PEPs): Son personas nacionales o extranjeras que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT, tales como: personas que por razón de su cargo manejan recursos públicos, detentan algún grado de poder público o gozan de reconocimiento público.

Operación inusual: Se entiende por operación inusual, todas aquellas transacciones que cumplen, cuando menos, con las siguientes características:

• No guardan relación con la actividad económica del cliente o se salen de los parámetros adicionales fijados por la entidad.

• Respecto de las cuales la entidad no ha encontrado explicación o justificación que se considere razonable.

Operación sospechosa: Es la operación que resulta de la confrontación de las operaciones detectadas como inusuales, con la información acerca de los clientes o usuarios y de los mercados, conforme a las razones objetivas establecidas por la entidad.

2. Marco normativo

2.1. Marco normativo internacional

a) GAFI – Grupo de acción financiera

El GAFI se encuentra integrado por 29 países y dos organizaciones internacionales (la Comisión Europea y el Consejo de Cooperación del Golfo). anualmente presenta un informe relacionado con los esfuerzos que realizan los países en relación con el lavado de activos y la financiación del terrorismo.

El GAFI comprende diferentes organizaciones regionales tales como:

– GAP: Grupo Asia Pacífico

– Gafic: Grupo de acción financiera del caribe

– Gafisud: Grupo de acción financiera de Sudamérica del cual es miembro Colombia.

Adicionalmente, el GAFI elaboró un documento denominado Las 40 recomendaciones, en las cuales se encuentra detallada la definición de las medidas apropiadas en relación con el lavado de activos, para ser aplicadas por los países. Así mismo añadió 9 recomendaciones las cuales hacen referencia al financiamiento del terrorismo.

b) Comité de Basilea

El Comité de Basilea se encuentra conformado por los gobernadores de los bancos centrales del G-10 en 1974. Su función es la de impulsar estándares internacionales especiales de supervisión.

Dicho comité elaboró una declaración de principios llamada “prevención del uso criminal del sistema bancario con fines de lavado de dinero”, en reconocimiento a la vulnerabilidad del sector financiero por el uso incorrecto hecho por los delincuentes.

Sus principios fundamentales son:

– Identificación del cliente

– Cumplimiento de las leyes

– Actuación de acuerdo con altos estándares de ética y con las leyes locales

– Cooperación total con las autoridades sin violar la confidencialidad del cliente

– Capacitación constante del personal

– Mantenimiento de archivos y realización de auditorías

c) Grupo Egmont

Es un grupo de unidades de inteligencia financiera. Inició labores en 1995, tiene creadas 106 UIFs que cumplen con los criterios de intercambio de inteligencia financiera, busca mejorar el apoyo a sus respectivos programas antilavado de dinero, financiación del terrorismo y otros delitos financieros y desarrollar protocolos para compartir la información.

d) Grupo Wolfberg

El Grupo Wolfberg es una asociación de 12 bancos mundiales, cuyo objetivo es desarrollar estándares para los servicios financieros, relacionados con los productos, para el conocimiento del cliente, antilavado de activos y políticas sobre el financiamiento del terrorismo.

El Grupo inició en el año 2000, en Château Wolfsberg ubicado en el noreste de Suiza, en el año 2002 presentaron guías antilavado de dinero voluntarias, que en calidad de control y como política son implementadas por los bancos en el mundo. Tales guías fueron llamadas “Los principios Wolfberg” que recomiendan controles para la banca privada que va desde lo básico como la identificación de clientes, hasta el más resonante, como es el escrutinio más minucioso de PEPs.

2.2. Marco normativo nacional

• Ley 67 de 1993 (convención de naciones unidas contra tráfico de estupefacientes).

• Ley 190 de 1995 (normas tendientes a preservar la moralidad en la administración pública y se fijan disposiciones con el fin de erradicar la corrupción administrativa).

• Ley 383 de 1997 (se expiden normas tendientes a fortalecer la lucha contra la evasión y el contrabando).

• Ley 488 de 1998 (se expiden normas en materia tributaria y se dictan otras disposiciones fiscales de las entidades territoriales).

• Ley 599 de 2000 (Código Penal)

• Artículo 323 de la Ley 599 de 2000 adicionado por la Ley 747 de 2002 (Código Penal - lavado de activos).

• Ley 793 de 2003 (extinción del dominio).

• Ley 1121 de 2006 – relacionada con la financiación de terrorismo.

• Circular básica jurídica. Título I – capítulo XI. Instrucciones relativas a la administración del riesgo de lavado de activos y de la financiación del terrorismo, Sarlaft.

3. Políticas para la administración del riesgo de lavado de activos y financiación del terrorismo

El Icetex con el objeto de implementar el sistema de administración de riesgos de lavado de activos y financiación del terrorismo adopta las siguientes políticas:

3.1. Políticas generales

3.1.1. Cultura Sarlaft

El Icetex se obliga a capacitar a todos sus funcionaros desde la etapa de vinculación para lo cual realizará actividades tendientes a que busquen que todas las personas que integran el Icetex (directivos, funcionarios, contratistas, practicantes y demás personal) conozcan y apliquen el Sarlaft.

Así mismo el Icetex tomará todas las medidas necesarias para que al interior de la entidad se sigan los más estrictos parámetros de legalidad, de forma tal que el Icetex en todas las actividades que desarrolle, aplique el Sarlaft y evite así ser vinculada a cualquier actividad relacionada con lavado de activos o financiación del terrorismo. Por lo anterior, el Icetex establecerá las siguientes políticas:

a) Es obligación de los funcionarios de Icetex tener un comportamiento recto, ético y diligente en el cumplimiento de las normas sobre la administración del riesgo de lavado de activos y financiación del terrorismo que la ley, las entidades de control y el Icetex han dispuesto.

b) Es deber de todos los funcionarios de la entidad dar cabal cumplimiento a las disposiciones contenidas en el Código de Ética y Conducta adoptado por la junta directiva del Icetex.

c) El Manual Sarlaft es de obligatorio cumplimiento y debe ser de pleno conocimiento por parte de todos los funcionarios de la entidad.

d) El Sarlaft debe ser de obligatoria aplicación en todo lo relacionado con la operación tanto en lo estratégico, en lo misional como en los procesos de apoyo administrativo.

e) Es política del Icetex, dar efectivo apoyo y colaboración a las autoridades a fin de proporcionarles de acuerdo con lo exigido por la ley, la información que soliciten con el fin de dar desarrollo a sus indagaciones.

f) Los funcionarios del Icetex deben anteponer el cumplimiento de las normas en materia de administración de riesgo de LA/FT al logro de las metas comerciales.

g) Las etapas del Sarlaft deben ser ejecutadas y actualizadas como mínimo una vez al año, los elementos se actualizarán cuando se considere conveniente.

h) El comité de auditoría debe velar por que existan los controles suficientes y necesarios para evitar que la entidad sea utilizada como instrumento para canalizar recursos provenientes de actividades delictivas o tendientes a financiar actos terroristas.

i) La información suministrada por el cliente, así como por la institución de educación superior, IES, debe ser actualizada mínimo una vez al año tratándose de créditos educativos durante la etapa de ejecución, así como en los fondos de administración y en los títulos TAE. Se debe mantener actualizada la información para conocer los cambios de los clientes de manera clara y oportuna. Por lo anterior, el Icetex incluirá en el formato de vinculación como obligación del cliente, la actualización anual de sus datos, allegando los soportes documentales que se exijan por línea de producto o servicio si fuera ese el caso. Toda actualización de información debe reposar en la carpeta de cada cliente.

j) Por lo menos una vez al año, el Icetex a través de su oficial de cumplimiento debe coordinar y gestionar una capacitación dirigida a todos los funcionarios relacionada con el Sarlaft. Esta capacitación incluirá, todas las modificaciones, adiciones y actualizaciones que haya sufrido el Sarlaft durante el periodo. De cada capacitación se debe dejar constancia escrita por parte del funcionario responsable. Adicionalmente Icetex se obliga a capacitar a todos sus funcionaros desde la etapa de vinculación con el fin que directivos, funcionarios, contratistas, practicantes y demás personal conozcan y apliquen el Sarlaft, dentro del ámbito de sus funciones y responsabilidades.

k) Todo funcionario que detecte y considere que una operación puede catalogarse como inusual, debe informarlo de manera inmediata al oficial de cumplimiento.

l) El Icetex se obliga a incluir en todos sus contratos la facultad de terminación unilateral del contrato en los eventos en que se determine por la autoridad competente que los dineros que se utilizan en las operaciones descritas en el contrato provienen de alguna actividad ilícita.

m) Icetex se obliga a incluir una cláusula de declaración de la procedencia de los dineros al momento de celebrar convenios en fondos en administración y en cualquier contratación que implique movimiento de recursos para la entidad, de tal forma que esos mismos tengan procedencia lícita.

n) Es deber de todos los funcionarios de la entidad, cumplir con los reglamentos internos y demás disposiciones relacionadas con el Sarlaft.

o) Todos los integrantes del Icetex (órganos de administración y de control, el oficial de cumplimiento, contratistas, practicantes y demás funcionarios) se obligan a seguir las políticas internas y a adoptar comportamientos que revelen el estricto cumplimiento de la ley y en especial aquellas que hacen referencia al lavado de activos y la financiación del terrorismo.

Política de no exoneración

El Icetex no exonerará a ninguno de sus clientes de la obligación de diligenciar el formato de transacciones en efectivo. Por lo anterior, el reporte mensual de clientes exonerados deberá enviarse a la UIAF sin novedad.

3.1.2. Políticas aplicables a clientes del Icetex incluidas listas internacionales vinculantes o no, para Colombia o con procesos judiciales relacionados con lavado de activos o financiación del terrorismo

Previo a la vinculación de cualquier cliente, el Icetex deberá verificar que el mismo no se encuentre incluido en alguna lista internacional, ya sea vinculante o no para Colombia, con el fin de evitar que la entidad se vea expuesta al riesgo legal, reputacional, de contagio y operativo.

En el evento de que cualquier funcionario tenga conocimiento por cualquier medio de que un cliente de la entidad se encuentra incluido en alguna de las listas internacionales o tenga un proceso judicial relacionado con lavado de activos o financiación del terrorismo, deberá, en forma inmediata, informar al oficial de cumplimiento quien procederá a tomar las decisiones pertinentes y para ello podrá apoyarse en las demás áreas de la entidad, con el fin de que se analice el caso jurídica y financieramente y se recomienden las medidas pertinentes.

3.2. Políticas por factores de riesgo y los riesgos asociados de LA/FT

El sistema de administración de riesgos de lavado de activos y financiación del terrorismo, Sarlaft, está diseñado para el Icetex acorde con el nivel de riesgo de cada uno de sus productos, clientes, canales y jurisdicciones.

3.2.1. Política por factores de riesgo

• Política en relación con los clientes.

El Sarlaft del Icetex, es diseñado acorde con el nivel de exposición y riesgo de cada uno de sus productos y las características de sus clientes.

En consecuencia, los mecanismos de control e instrumentos enunciados en el presente manual corresponden al análisis y caracterización de nuestros clientes: Estudiantes y deudores solidarios, personas jurídicas y naturales constituyentes de fondos y tomadores de TAE, así como las instituciones de educación superior.

El análisis de los mecanismos e instrumentos para la adecuada implementación del Sarlaft tiene en cuenta la caracterización de las operaciones que realizan nuestros clientes, en el entendido de que estas se realizan, ya sea, para solicitar crédito educativo y para el pago del mismo o para la financiación de educación en todos los niveles a través de la constitución de fondos en administración, para lo cual se transfieren recursos al instituto quien debe administrar el otorgamiento de los créditos, subsidios y becas, según las instrucciones del constituyente para que esos recursos sean adjudicados y destinados al pago periódico y para la constitución de títulos TAE.

En cuanto a las personas jurídicas o naturales constituyentes de fondos, el Icetex debe negociar únicamente con personas de reconocida trayectoria en la constitución de los mismos.

• Política en relación con los productos.

El Icetex aplicará el Sarlaft a todos sus productos. Para esto, deberá analizar las características de cada producto previo a su lanzamiento con el fin de determinar el grado de riesgo que puede generar, los controles que se deben implementar y la forma de monitorear cada control con el fin de identificar posibles falencias.

• Política en relación con los canales.

El Icetex se compromete a utilizar en la realización de sus operaciones, canales seguros. Así mismo se compromete a analizarlos individualmente frente a cada uno de los factores de riesgo.

• Política en relación con las jurisdicciones (territorio).

El Icetex previa a la iniciación de cualquier operación en una nueva jurisdicción, evaluará los riesgos de lavado de activos y financiación del terrorismo de la zona y adoptar los controles a que haya lugar, de acuerdo a parámetros objetivos determinados por el oficial de cumplimiento.

Así mismo deberá monitorear constantemente las zonas geográficas en las que realiza habitualmente operaciones con el fin de evaluar los riesgos que le generen.

3.2.2. Política en relación con los riesgos asociados

• Política en relación con el riesgo legal.

Icetex está comprometido con el cumplimiento legal, por lo que debe resolver eficaz y eficientemente todas las peticiones de las autoridades competentes, así como colaborar con las investigaciones pertinentes y velar por el buen desarrollo de las visitas que realicen.

• Política en relación con el riesgo reputacional.

Se prohíbe a los empleados y funcionarios de Icetex divulgar información de la entidad, por cuanto el único vocero autorizado es el presidente de Icetex.

Así mismo, es deber de todos los funcionarios guardar estricta confidencialidad de la información de todos los clientes, salvo en los eventos que por ley o requerimiento de autoridad competente deba suministrarse.

• Política en relación con el riesgo de contagio.

El Icetex tomará todas las medidas necesarias con el fin de que en el desarrollo de sus actividades no sufra pérdidas derivadas directa o indirectamente por las acciones o experiencia de sus relacionados o asociados, entendiéndose por estas últimas aquellas personas naturales o jurídicas que tienen la posibilidad de ejercer influencia sobre la entidad.

En los eventos en que Icetex realice operaciones con entidades educativas, el convenio suscrito no se entenderá como un aval a la entidad educativa.

• Política en relación con el riesgo operativo.

El Icetex tomará todas las medidas necesarias para que en el ejercicio de las operaciones que realiza no se vea involucrado en actividades delictivas, especialmente en lavado de activos o financiación del terrorismo, para lo cual debe crear mecanismos que le permitan evitar sufrir pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o la ocurrencia de acontecimientos externos.

Así mismo, debe capacitar a su personal, de acuerdo a lo dispuesto en el presente manual con el fin de disminuir en la entidad el riesgo operativo al que se ve expuesto.

3.3. Políticas para cada una de las etapas del Sarlaft

3.3.1. Políticas en relación con la identificación

El Sarlaft del Icetex debe contar con metodologías, procedimientos y mecanismos de identificación que le permite reconocer los riesgos de lavado de activos y financiación del terrorismo inherentes al desarrollo de su actividad.

El Icetex a través del oficial de cumplimiento deberá estar muy atento del entorno de la entidad, para lo cual observará los registros de inusualidades que se presenten por medio de los reportes que se generen por los monitoreos que se realicen al sistema, así como las señales de alerta que se presenten. Esto permitirá identificar nuevos eventos de riesgo.

3.3.2. Políticas en relación con la medición

El Sarlaft del Icetex contará con metodologías, procedimientos y mecanismos de medición que permitan a la entidad medir la probabilidad de ocurrencia del riesgo inherente de lavado de activos y financiación del terrorismo frente a cada uno de los factores de riesgo y el impacto en caso de materializarse mediante riesgos asociados.

3.3.3. Políticas en relación con el control

El Sarlaft del Icetex contará con metodologías, procedimientos y mecanismos de control del riesgo inherente en razón de los factores de riesgo y los riesgos asociados.

Los controles que implemente el Icetex deben disminuir el impacto y/o probabilidad de ocurrencia del riesgo de forma que lleguen a los niveles aceptables por la junta directiva.

3.3.4. Políticas en relación con el monitoreo

El Icetex contará con metodologías, procedimientos y mecanismos que le permiten hacer seguimiento a los perfiles de riesgo y, en general al Sarlaft.

3.4. Políticas para cada uno de los elementos de Sarlaft

3.4.1. Políticas en relación con los procedimientos

Icetex debe contar con cada uno de los procedimientos requeridos para la implementación del Sarlaft e implementar todos los que sean necesarios en desarrollo de sus operaciones con el fin de controlar el riesgo de lavado de activos y financiación del terrorismo.

3.4.2. Políticas en relación con el manejo de la documentación

Las etapas y los elementos del Sarlaft implementados por la entidad deberán constar en documentos y registros.

Los documentos y registros de Icetex deben garantizar la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida. La documentación como mínimo debe:

1. Contar con un respaldo físico o electrónico.

2. Contar con requisitos de seguridad de forma tal que se permita su consulta sólo por quienes estén autorizados.

3. Contar con los criterios y procesos de manejo, guarda y conservación de la misma.

El Icetex debe solicitar a sus potenciales clientes, de acuerdo con el nivel de riesgo, toda la documentación que se requiera para el adecuado funcionamiento de los controles internos.

Todos los procedimientos, metodologías, e indicadores relacionados con Sarlaft también deben estar debidamente documentados.

3.4.3. Políticas en relación con la estructura organizacional

El Icetex contará dentro de su estructura organizacional con el personal necesario para el adecuado funcionamiento del Sarlaft.

Así mismo, deberá asignar las funciones que se requieran de acuerdo a las responsabilidades que se asuman frente al Sarlaft.

3.4.4. Políticas en relación con los órganos de control

El Icetex debe contar con órganos de control (oficina de control interno y revisoría fiscal) e instancias responsables de realizar evaluaciones del Sarlaft, las cuales determinan las fallas que pueda presentar el sistema.

3.4.5. Políticas en relación con la infraestructura tecnológica

El Icetex debe contar con tecnología adecuada frente a la actividad que realiza, así como a sus operaciones, riesgo y tamaño que le permitan garantizar una adecuada administración del riesgo de lavado de activos y financiación del terrorismo.

La tecnología transaccional que se implemente debe permitir disminuir el riesgo de lavado de activos y financiación del terrorismo.

3.4.6. Políticas en relación con divulgación de la información

La información relacionada con Sarlaft debe ser suministrada al presidente de Icetex y a la junta directiva de Icetex por el oficial de cumplimiento.

El Icetex cuenta con un vocero que corresponde al presidente de la institución. Ningún funcionario o contratista se encuentra autorizado para divulgar información de la entidad inherente al Sarlaft sin previa autorización del presidente del instituto.

3.5. Políticas en relación con la capacitación

El Icetex debe contar con programas de capacitación dirigidos a los funcionarios de la entidad con el fin de concientizarlos de la importancia de cumplir a cabalidad con la normatividad vigente relacionada con la prevención de lavado de activos y la financiación del terrorismo.

La falta de interés en la participación en estas jornadas por parte de los directivos y funcionarios se entenderá como una falta grave a las obligaciones laborales y generará las correspondientes sanciones.

3.6. Lineamientos para la prevención y resolución de conflictos de interés

En términos generales se entiende por conflicto de interés, toda situación en la que los motivos particulares del personal o funcionarios de la entidad, son contrarios a los de la misma entidad de forma tal que interfieren con sus deberes o lo llevan a actuar en su desempeño por motivaciones diferentes a la justa y verdadera observancia de sus obligaciones y responsabilidades, que compromete la decisión objetiva y justa de la situación que se somete a su consideración o decisión o tenga conocimiento o participación directa o indirecta.

En el Icetex se presentará conflicto de interés cuando el presidente, la alta gerencia, los miembros de comités de apoyo a la junta directiva, los servidores públicos, contratistas, estudiantes en pasantía y todas aquellas personas naturales o jurídicas vinculadas con el Icetex por cualquier circunstancia, deban tomar una decisión o participar en ella, y puedan escoger entre el interés de la entidad, relacionado con la situación presentada, y su interés propio o el de un tercero, de manera que de optar por cualquiera de estos dos últimos, obtendría o generaría para sí o para el tercero una ventaja o un beneficio indebido que de otra forma no se produciría.

Se consideran situaciones que dan lugar a conflictos de interés, entre otras, las siguientes:

Relacionados con lavado de activos y financiación del terrorismo

1. Análisis de operaciones inusuales

Se entiende que hay conflicto de interés en el análisis de operaciones inusuales cuando estas han sido realizadas por cónyuges o compañeros permanentes, parientes dentro del cuarto grado de consanguinidad, segundo de afinidad o primero civil a la luz de los artículos 37, 47 y 50 del Código Civil, o de aquellas operaciones en las que la persona encargada de realizar el análisis tenga algún interés personal o busque el favorecimiento de otra persona o por razones de amistad o enemistad.

2. Estudio de operaciones sospechosas

Se entiende que hay conflicto de interés en el análisis de operaciones sospechosas cuando estas han sido realizadas por cónyuges o compañeros permanentes, parientes dentro del cuarto grado de consanguinidad, segundo de afinidad o primero civil, o de aquellas operaciones en las que la persona encargada de realizar el análisis tenga algún interés personal o busque el favorecimiento de otra persona.

3. Reportes

Se entiende que hay conflicto de interés cuando en la toma de decisión de la realización del reporte se encuentren involucradas situaciones personales de quién realiza el reporte o se trata de operaciones realizadas por cónyuges o compañeros permanentes, parientes dentro del cuarto grado de consanguinidad, segundo de afinidad o primero civil.

4. Administración de listas

Los funcionarios de Icetex que realicen la administración de listas, deben obrar sin interés personal o buscando el favorecimiento de otra persona o personas.

5. Definición de segmentos de riesgo y mercados objetivos

El funcionario encargado de definir los segmentos de riesgo y los mercados objetivos debe obrar sin interés personal o buscando el favorecimiento de otra persona o personas.

6. Atención de consultas de información por parte de las autoridades

La persona encargada de atender consultas relacionadas con información solicitada por autoridades competentes debe obrar sin interés personal y/o sin buscar el favorecimiento de otra persona. Así mismo, se entiende que se presenta conflicto de interés cuando la información solicitada involucra operaciones realizadas por cónyuges o compañeros permanentes, parientes dentro del cuarto grado de consanguinidad, segundo de afinidad o primero civil. Lo anterior conforme a lo señalado por la ley.

El comité de buen gobierno corporativo de la entidad debe velar por el cumplimento de las políticas, normas y demás lineamientos dirigidos a la prevención de los conflictos de interés, manejo, divulgación y resolución de los mismos.

La junta directiva del Icetex, como máximo órgano de administración y dirección, deberá determinar los mecanismos para el seguimiento de las reglas sobre conflictos de interés. En caso de que un miembro de la junta directiva esté implicado en un conflicto de interés, en sesión de junta directiva, deberá informar la respectiva inhabilidad y declararse impedido para votar.

Adicionalmente, de conformidad con los principios y normas de conducta establecidas por el Código de Ética y Conducta de la entidad, el reglamento interno de trabajo, así como por la legislación vigente, los directivos, servidores y proveedores del Icetex respecto al Sarlaft deben:

a) Abstenerse de participar en actividades, negocios u operaciones contrarias a la ley y a los intereses del Icetex, que puedan perjudicar el cumplimiento de sus deberes y responsabilidades o afectar el buen nombre de la entidad.

b) Abstenerse de realizar cualquier negocio u operación con fundamento en sentimientos de amistad, enemistad o relaciones familiares.

c) Abstenerse de otorgar a los ahorradores, beneficiarios y constituyentes de fondos cualquier tipo de preferencia económica que esté por fuera de los parámetros y políticas establecidas por el instituto para las diferentes operaciones que realice.

d) Todo servidor del Icetex con acceso a información privilegiada, tiene el deber legal de abstenerse de realizar cualquier operación que dé lugar a conflicto de interés en razón de tal información.

e) Los directivos y servidores del instituto no podrán recibir remuneración, dádivas o cualquier otro tipo de compensación en dinero o en especie por parte de cualquier persona natural o jurídica, en razón del trabajo o servicio prestado a la sociedad.

f) Los servidores del icetex que se encuentren frente a un posible conflicto de interés o consideren que pueden encontrarse frente a uno, deben proceder a dar información inmediata y oportuna al jefe de área por medio verbal y escrito de conformidad con el Código de Ética y Conducta y al régimen de inhabilidades e incompatibilidades aplicable a los servidores del Icetex. Ante cualquier situación que presente duda en relación con la posible existencia de un conflicto de interés, los directivos y/o servidores están obligados a proceder como si este existiera.

g) Los servidores del Icetex quedan completamente inhabilitados para otorgar compensaciones extraordinarias a los miembros de la junta directiva.

h) En toda situación en la cual sea imposible evitar un conflicto de interés con respecto al Icetex, los directivos y/o servidores a quienes corresponda adoptar la respectiva decisión, deben abstenerse de celebrar el respectivo acto o contrato o de realizar la operación que genera dicha situación, salvo autorización expresa de la junta directiva.

i) Abstenerse de recibir atenciones, o cualquier otro tipo de compensación en dinero o en especie que afecte las decisiones de los funcionarios.

j) Utilizar indebidamente la información privilegiada o confidencial para obtener provecho o salvaguardar intereses individuales o de terceros.

3.7. Política para la vinculación de clientes y monitoreo de operaciones de personas nacionales o extranjeras que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT

El Icetex, conciente del riesgo que generan determinados clientes para la entidad, desarrollará lineamientos más exigentes en relación con los clientes que por razones de su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de lavado de activos y la financiación del terrorismo.

De esta forma, la vinculación de clientes catalogados como personas públicamente expuestas, PEP, además de dar cumplimiento a todos los requisitos para la vinculación de clientes, la vinculación deberá ser aprobada en los comités establecidos en la entidad, dejando constancia de los PEP aprobados.

En relación con esta clase de cliente, el Icetex debe tomar las medidas necesarias de monitoreo con el fin de que el riesgo inherente de lavado de activos y financiación del terrorismo que provenga de este tipo de personas se minimice lo máximo posible.

3.8. Reserva de la información reportada

Con el fin de preservar el deber de reserva, todos los funcionarios que en ejercicio de sus funciones o con ocasión de las mismas tengan conocimiento sobre reportes de operaciones inusuales o sospechosas, deben mantener la confidencialidad de dicha información conforme al artículo 105 de estatuto orgánico del sistema financiero, motivo por el cual, ningún funcionario puede suministrar información sobre este tipo de reportes relacionados con las personas que hayan efectuado o intenten efectuar operaciones inusuales o sospechosas.

3.9. Consecuencias que genera el incumplimiento del Sarlaft

Los funcionarios, en el ámbito de las funciones y responsabilidades propias del respectivo cargo, que no acaten lo dispuesto en el presente manual deben ser sujeto de las sanciones contempladas en el Código de Ética y Conducta, en el régimen único disciplinario y en las demás normas administrativas bajo las cuales estén obligados los funcionarios públicos.

4. Etapas del Sarlaft

4.1. Identificación de riesgos

4.1.1. Metodologías para identificación de riesgos

Para la identificación del riesgo se empleará la metodología contenida en la norma técnica colombiana NTC 5254 del Icontec.

Se emplearán las siguientes fuentes de información:

• Reporte de operaciones sospechosas realizados por la entidad.

• Documentos de tipologías y señales de alerta publicados por la UIAF-Colombia (1) .

• Información de medios de comunicación.

• Opinión de expertos de la entidad y de los consultores externos.

• Autoridades competentes.

La identificación de los eventos de riesgo, incluye la descripción de los mismos, según el siguiente modelo de ficha:

 

4.1.2. Procedimiento para la identificación de riesgos

El responsable de la identificación de riesgos es el oficial de cumplimiento.

El procedimiento para la identificación de los riesgos será realizado por el oficial de cumplimiento y se desarrollará a través de entrevistas y cuestionarios diligenciados por los expertos seleccionados.

Los siguientes son los eventos de riesgo identificados:

 

El oficial de cumplimiento realizará la identificación de eventos de riesgo y riesgos asociados una vez al año o cuando sea necesario y si es pertinente consultará con las personas que tengan relación directa con el riesgo y generará los instructivos correspondientes. El resultado de la identificación de los factores de riesgo y los riesgos asociados será presentado por el oficial de cumplimiento a la junta directiva, quien deberá pronunciarse al respecto.

4.2. Medición del riesgo

4.2.1. Metodología para la medición del riesgo

Para la medición del riesgo se empleará la metodología contenida en la norma técnica colombiana NTC 5254 del Icontec.

Para la medición del riesgo se tomarán en cuenta los objetivos de la entidad en materia de prevención y control del lavado de activos:

1. Cumplir con la normatividad expedida por las autoridades competentes en materia de LA/FT.

2. Protegerse de no sostener relaciones de tipo comercial o contractual con personas vinculadas con el LA/FT.

3. Tomar las medidas necesarias para que la entidad no reciba activos de origen ilícito.

4. Evitar ser utilizado como instrumento para lavar dinero o financiar el terrorismo.

5. Mantener una buena reputación en materia de cumplimiento de las normas de prevención de LA/FT.

4.2.2. Procedimiento para la medición del riesgo

Para esta versión inicial del Sarlaft en la cual no es necesaria una precisión cuantitativa, teniendo en cuenta que no existen datos numéricos ni en la entidad ni a disposición de la misma, se emplearán mediciones cualitativas según la metodología NTC 5254. Para efectos de presentación y conceptualización, las valoraciones cualitativas podrán expresarse numéricamente (análisis semicuantitativo).

Como principio de análisis se tomará la definición de riesgo como una función del impacto y la probabilidad, según la siguiente fórmula:

Riesgo=impacto x probabilidad

Para cada uno de los eventos de riesgo identificados se debe determinar el impacto y la probabilidad, los cuales se medirán de acuerdo a las tablas de clasificación, que Icetex defina a través de su oficial de cumplimiento. Para determinar estas tablas se tendrán en cuenta los objetivos de la entidad en materia de prevención y control del lavado de activos y la financiación del terrorismo.

Estas mediciones se deben realizar inicialmente sin tener en cuenta los controles, lo cual permitirá determinar el riesgo inherente. Como resultado de esta etapa, el Icetex establecerá su perfil de riesgo inherente de LA/FT así como las mediciones agregadas en cada factor de riesgo y sus riesgos asociados.

Los resultados de estas mediciones deben ser comparados con el nivel de riesgo definido como aceptable por la junta directiva y se deben tomar las medidas de control que se requieran.

1. Matriz de probabilidad

Para medir la probabilidad de ocurrencia de los riesgos inherentes y residuales de LA/FT, se empleará la siguiente tabla:

 

2. Matriz de impacto

Para determinar el impacto de los riesgos inherentes y residuales de LA/FT se empleará la siguiente tabla, teniendo el de mayor grado de los riesgos asociados a LA/FT.

 

3. Niveles de riesgo

La gráfica que se muestra a continuación describe frente a la probabilidad y el impacto los niveles de tolerancia al riesgo de la entidad, los cuales son:

 

Aceptable: En caso de que el evento de riesgo se encuentre en este nivel, la entidad debe realizar un monitoreo periódico para asegurar el cumplimiento de los controles.

Tolerable: Cuando el evento de riesgo se ubique dentro de este nivel, se requerirán controles específicos para tratar este tipo de riesgos.

Intolerable: En el caso en que un evento de riesgo se encuentre en este nivel, la entidad requiere perfeccionar controles y efectuar un plan de acción, adicionalmente deberá informar al comité de riesgos.

Crítico: En este caso, el oficial de cumplimiento debe intervenir de una forma directa y debe informar de esto al representante legal y a la junta directiva.

4.3. Control del riesgo

4.3.1. Metodología para el tratamiento (control) de los riesgos

La metodología de tratamiento de los riesgos (control) aplicable se basará en la norma técnica colombiana NTC 5254 de Icontec.

Para efectos de aplicar la metodología de tratamiento de los riesgos, y conforme a la circular básica jurídica. Título I - capítulo XI, los tratamientos posibles son: prevención, detección y reporte a las autoridades.

Prevención: la entidad hará todo lo que resulte a su alcance, según los estándares nacionales e internacionales, para prevenir los eventos de riesgo identificados.

Detección: la entidad hará todo lo que resulte a su alcance, según los estándares nacionales e internacionales, para detectar mediante señales de alerta y otros mecanismos similares, la ocurrencia de los eventos de riesgo identificados.

Reporte a las autoridades: la entidad reportará a las autoridades las operaciones que resulten sospechosas de lavado de activos y financiamiento del terrorismo, según la legislación vigente y los manuales internos.

Como opciones de tratamiento de los riesgos identificados se evaluarán los controles y las medidas contenidas en las recomendaciones del grupo de acción financiera internacional, GAFI, según la versión que para la región aprobó el grupo de acción financiera internacional de Suramérica, Gafisud.

4.3.2. Procedimiento para el control del riesgo

Para el diseño o rediseño de controles, según sea el caso, el oficial de cumplimiento deberá seguir los siguientes pasos:

Paso 1: Examen de las causas y controles.

Paso 2: Objetivos de tratamiento.

Paso 3: Diseño detallado de las medidas de tratamiento.

Paso 4: Revisión del diseño.

Paso 5: Comunicación e implementación

La selección de las opciones de tratamiento se hará basada en un análisis costo-beneficio. En esta etapa se deben establecer los niveles de exposición. Así mismo determinar el perfil de riesgo (residual) consolidado.

4.4. Monitoreo

4.4.1. Metodología para el monitoreo

El Monitoreo de las etapas del Sarlaft se hará según la metodología contenida en norma técnica colombiana NTC 5254 de Icontec.

El monitoreo contemplará los cambios en el contexto organizacional, los niveles de los riesgos y la efectividad de los controles.

4.4.2. Procedimiento para el monitoreo

El monitoreo se hará en tres niveles:

• Oficial de cumplimiento: monitoreo continuo de la eficacia de los controles.

• Responsable del proceso: monitoreo periódico de los sistemas y las actividades del proceso para asegurar de que no han aparecido nuevos riesgos y que las estrategias de tratamiento siguen siendo eficaces y apropiadas.

• Areas de control: auditorías esporádicas, según las funciones asignadas.

Habrá un sistema de indicadores de desempeño de los procesos y sistemas de gestión del riesgo de lavado de activos y financiamiento del terrorismo.

En esta etapa el monitoreo debe permitir comparar la evaluación del riesgo inherente con el riesgo residual de cada factor de riesgo y de los riesgos asociados.

5. Procedimientos establecidos para la adecuada implementación y funcionamiento de los elementos y las etapas del Sarlaft

5.1. Procedimiento para el conocimiento efectivo, eficiente y oportuno de los clientes actuales y potenciales

El conocimiento del cliente se inicia con el adecuado diligenciamiento del formulario de vinculación así como con el cumplimiento de los requisitos de información y documentación que determine el Icetex. El conocimiento apropiado del cliente, permite proteger a la entidad contra el lavado de activos y la financiación del terrorismo.

5.1.1. Requisitos para la vinculación del cliente

El Icetex no iniciará relaciones contractuales o legales con un potencial cliente hasta tanto no se hayan cumplido los siguientes requisitos:

a) Diligenciamiento completo del formulario de vinculación.

b) Realización de entrevista presencial en los casos que ameriten dependiendo de la operatividad del Icetex.

c) Se adjunten los documentos anexos.

d) Se verifique al potencial cliente en las listas de control implementadas por el Icetex.

e) Se apruebe la vinculación.

a) Diligenciamiento del formulario de vinculación

El oficial de cumplimiento participará en las especificaciones del formulario de vinculación para cada uno de los tipos de clientes o productos, teniendo presente el objeto social de la entidad.

Con el fin de lograr un adecuado conocimiento del cliente, se debe obtener en el formulario de vinculación como referente la siguiente información:

PN: Vinculación de persona natural PJ: Vinculación de persona jurídica

 

Si la actividad del potencial cliente involucra transacciones en moneda extranjera, el formulario debe adicionalmente contener espacios para recolectar la siguiente información:

 

Clientes exceptuados para el diligenciamiento del formulario de vinculación

Según la circular básica jurídica. Título I - capítulo XI se encuentran exceptuados de diligenciar el formato de vinculación, aquellos potenciales clientes que pretendan vincularse a alguna de las siguientes operaciones, productos o servicios:

• Operaciones realizadas con organismos multilaterales.

• La constitución de fiducias de administración para el pago de obligaciones pensionales.

• En los títulos de capitalización colocados mediante mercadeo masivo o contratos de red, siempre que el pago de las cuotas se haga mediante descuento directo de cuenta de ahorros, cuenta corriente o tarjeta de crédito, y que el cliente haya autorizado expresamente el traslado.

• En los siguientes seguros:

– Los tomados por entidades financieras, aseguradoras o sociedades administradoras de fondos de pensiones por cuenta de sus clientes.

– Los relativos a la seguridad social.

– Aquellos en que el tomador, asegurado, afianzado o beneficiario sea una persona jurídica bajo el régimen de derecho público, salvo los tomados por empresas industriales y comerciales del Estado y/o sociedades de economía mixta que no estén sometidas a inspección y vigilancia de la SFC.

– Los contratos de reaseguro.

– Los tomados mediante mercadeo masivo o bancaseguros siempre que el pago de las primas se haga mediante descuento directo de cuenta de ahorros, cuenta corriente o tarjeta de crédito, y que el cliente haya autorizado expresamente el traslado.

– Aquellos tomados por personas naturales o jurídicas por cuenta y a favor de sus empleados, cuyo origen sea un contrato de trabajo o relación laboral, respecto de la información del asegurado y el beneficiario. En lo que hace al tomador, la información debe solicitarse en su totalidad.

– Aquellos que las entidades aseguradoras están obligadas a expedir por disposición legal.

– Aquellos otorgados mediante procesos de licitación pública.

– De cumplimiento cuando se celebren para garantizar el cumplimiento de contratos con entidades de carácter público.

– De accidentes personales en vuelo.

– Los contratos de coaseguro para las compañías distintas a la líder.

– Pólizas judiciales.

– De salud.

– Exequiales.

– Aquellos tomados por personas naturales o jurídicas en una misma entidad aseguradora, que cumplan los siguientes requisitos en forma simultánea:

i) Que el valor asegurado sea igual o inferior a 135 salarios mínimos legales mensuales vigentes; y

ii) Que el máximo pago bimestral (cada dos meses) de la prima sea igual o inferior a la doceava parte de un (1) salario mínimo legal mensual vigente. Sin perjuicio de lo anterior, al momento del siniestro las entidades aseguradoras deberán darle cumplimiento a las disposiciones sobre conocimiento del cliente de que trata el presente capítulo.

• Cuentas de ahorro abiertas exclusivamente para el manejo y pago de pasivos pensionales.

• En los créditos que se instrumentan a través de libranza, siempre que estas no excedan de seis (6) salarios mínimos legales mensuales y sean otorgadas a empleados de empresas que se encuentren previamente vinculadas en calidad de cliente con la entidad vigilada otorgante del crédito.

• La vinculación a entidades administradoras del sistema general de pensiones en cuanto a los aportes obligatorios.

• La vinculación a entidades administradoras de cesantías en lo relacionado con los recursos provenientes de dicha prestación.

• Los productos o servicios financieros abiertos a nombre de los beneficiarios del programa “Familias en acción” y “Familias guardabosques” que hacen parte del programa “Contra cultivos ilícitos” administrados por la Agencia Presidencial para la Acción Social y la cooperación internacional (Acción Social), siempre que estén destinadas exclusivamente al manejo de los recursos provenientes de dichos programas.

• Aquellas operaciones, productos o servicios financieros en los cuales la información del potencial cliente se suministre directamente por una caja de compensación legalmente constituida y contenga cuando menos, la información de que trata el numeral 4.2.2.1.1. de la circular básica jurídica. Título I - capítulo XI. Cuentas de ahorro abiertas exclusivamente para el pago de nómina. Cuando se manejen otros recursos en tales cuentas, no se aplicará dicha excepción.

Salvo las anteriores excepciones, no se exceptúan clientes del diligenciamiento del formato de vinculación.

b) Realización de la entrevista presencial

El funcionario encargado de conocer el cliente deberá realizar una entrevista presencial, previa a la vinculación del potencial cliente que permita establecer el origen de los recursos con los cuales cancelará las obligaciones adquiridas con el Icetex y el perfil del mismo. (Aplica para constituyentes privados, cooperativas e IES privadas en fondos en administración).

c) Documentos anexos al formato de vinculación

El proceso de vinculación de clientes supone no sólo el diligenciamiento del formulario de vinculación sino que incluye también la recolección de documentos que permitan a Icetex contar con información adicional sobre las características de los potenciales clientes y faciliten confirmar la veracidad de la información recibida. Para la vinculación de un cliente nuevo deben anexarse los siguientes documentos:

Personas naturales (estudiantes, deudores solidarios y beneficiarios del TAE): para los estudiantes y deudores solidarios los aprobados en los manuales de legalización de crédito y para los beneficiarios del TAE los acordados por la entidad.

Personas naturales (contratistas): los acordados por la entidad.

Nota: en el evento de que el potencial cliente o deudor dependa económicamente de un tercero, deberá certificar esta dependencia económica y presentar los documentos requeridos para la vinculación respecto del tercero del cual depende.

Personas jurídicas (Instituciones de educación superior, contratistas y fondos privados y cooperativas):

• Certificado de cámara de comercio o equivalente, lo más reciente posible.

• Declaración de renta, en los casos que amerite.

• Estados financieros certificados o dictaminados, en los casos que amerite.

• Copia del número de identificación tributaria, NIT.

• Copia del documento de identidad del representante legal.

• Copia de la tarjeta profesional del contador que certifica o dictamina los estados financieros, en los casos que amerite.

• Lista de los principales socios, accionistas y/o fundadores cuando esta información no conste en el certificado de existencia y representación legal y su participación sea del 5% o más del capital social, aporte o participación.

Entidades públicas

• Norma mediante la cual se crea la entidad.

• Norma mediante la cual se otorgan las funciones al representante legal.

• Documentos que acrediten al representante legal o a quien detente sus facultades.

Nota: En el caso de constitución de fondos en administración privados y cooperativas manifiesten no tener alguno o algunos de los documentos requeridos para la vinculación a Icetex, será causal de rechazo hasta no contar con la documentación requerida.

d) Verificación del potencial cliente en la lista de control o negativos del Icetex

El Icetex previa a la vinculación de un cliente debe verificar que el cliente, su deudor solidario, los compradores o tomadores de títulos de ahorro educativo, la institución de educación superior así como sus accionistas y miembros de junta directiva, las entidades aportantes de un fondo educativo así como sus accionistas, cooperados y beneficiarios no se encuentren incluidos como mínimo en las siguientes listas:

• Lista consolidada de personas físicas y entidades miembros de organizaciones terroristas que es emitida por el Consejo de Seguridad de las Naciones Unidas: lista vinculante para Colombia en virtud de tratados de derecho internacional.

• Lista SDN emitida por OFAC: lista no vinculante para Colombia.

El responsable de la verificación en las listas es el área encargada de la vinculación sin perjuicio de la verificación adicional que realice el oficial de cumplimiento.

Por su parte el responsable de mantener la base de datos que contiene las listas al día es el oficial de cumplimiento.

e) Aprobación de la vinculación de los clientes nuevos:

Todo cliente nuevo deberá ser aprobado conforme a los procedimientos internos de la entidad.

5.1.2 Reglas especiales de procedimiento para conocimiento de clientes de acuerdo con los productos del Icetex

5.1.2.1. Crédito educativo a estudiantes, docentes avalados por las instituciones de educación superior

El proceso de conocimiento del cliente iniciará en el momento en que el posible cliente realice a través de la página Web, el diligenciamiento del formulario de vinculación al Icetex para acceder al crédito educativo. El formulario de vinculación contiene la información necesaria para un adecuado conocimiento del cliente según las políticas establecidas por la entidad y en cumplimiento de la normatividad vigente.

Una vez diligenciado el formato de vinculación el posible cliente deberá cancelar el valor del estudio de historial crediticio del deudor solidario y/o deudor principal a cargo de la Cifin o de la entidad que para tal efecto se estime conveniente, aplicando el score utilizado por el sistema financiero (Asobancaria) o en su defecto el sociodemográfico teniendo en cuenta, la misión institucional del Icetex.

Si el crédito es aprobado, el cliente seguirá con el proceso de legalización ante la institución de educación superior, y el Icetex procederá a adelantar, directamente o por contrato, la verificación de la documentación y la información aportada por el estudiante y su deudor solidario para la obtención del crédito educativo según Decreto 4327 de noviembre 25 de 2005.

Si en principio la información y documentación aportadas por el cliente y su deudor solidario son correctas, se autoriza el desembolso. Una vez autorizado el desembolso, el Icetex confronta, directamente o a través de un externo, que la documentación entregada corresponda a los datos que el cliente grabó en el sistema a través del aplicativo para solicitar el crédito. Si el resultado de la confrontación es adecuado, el funcionario respectivo da su visto bueno.

En dicha confrontación se verificará que el cliente no se encuentre reportado dentro de las listas de control o negativos del Icetex.

Una vez culminada la confrontación, la persona encargada realizará en el sistema la aprobación del procedimiento de conocimiento del cliente para que este genere la certificación de operaciones.

En el evento en que se encuentren inconsistencias en los documentos y/o la información suministrada por el cliente, la persona encargada generará en el sistema la novedad por inconsistencia para que este arroje el resultado de operación inusual o sospechosa, y siempre lo remitirá al oficial de cumplimiento.

5.1.2.2. Fondos en administración

Para el caso de constitución de fondos con entidades privadas, sector cooperativo y mutual e instituciones de educación superior (2) , el procedimiento de conocimiento del cliente es el siguiente:

El conocimiento del cliente comenzará en el momento en que el Icetex recibe las ofertas de los posibles constituyentes para la conformación de fondos, pues, es a partir de este momento en el que se puede tener certeza de la entidad privada con la que posiblemente se va a constituir el fondo en administración.

El potencial cliente diligenciará el formulario de vinculación en el momento en que se fijan los compromisos viables entre la entidad y el constituyente.

Una vez diligenciado el formulario de vinculación, el Icetex verificará, directamente o por contrato, que se haya diligenciado correctamente y que haya sido firmado por el constituyente.

Si el formulario de vinculación es diligenciado correctamente y firmado por el constituyente, el Icetex en la etapa de legalización, suscripción y perfeccionamiento del contrato, directamente o por contrato, verificará la documentación y la información aportada por el constituyente del fondo, y se asegurará que el potencial cliente y sus principales accionistas cooperados o directivos no se encuentren reportados dentro de las listas de control o negativos del Icetex.

Una vez realizadas las verificaciones mencionadas, el funcionario encargado por el Icetex procederá a dar su visto bueno y posteriormente la vicepresidencia de fondos en administración o un externo, según sea el caso, realizará la aprobación en el sistema. Finalmente generará la certificación de operaciones, y remitirá la información al grupo de contratación.

En el evento en que los documentos y/o la información suministrada por el posible constituyente sean inconsistentes, el encargado genera en el sistema la novedad por inconsistencia para que este arroje el resultado de operación inusual o sospechoso, y sea remitido al oficial de cumplimiento.

5.1.2.3. Títulos de ahorro educativo —TAE—

Para el caso de la vinculación de clientes a los títulos de ahorro educativos, TAE, es la fiduciaria contratada por Icetex para la administración de la emisión de los títulos, las colocaciones directamente o a través de la bolsa de valores y para efectuar el pago de los títulos a su vencimiento, la responsable de dar cumplimiento al procedimiento de conocimiento de los clientes.

Por lo anterior, debe expresarse en el contrato de fiducia que se celebre, una cláusula en la que se manifieste expresamente que es una obligación de resultado por parte de la fiduciaria, la de realizar los trámites pertinentes tendientes a llevar a cabo el mecanismo de conocimiento del cliente previsto en la circular básica jurídica. Título I - capítulo XI, expedida por la Superintendencia Financiera.

5.1.2.4. Vinculación de clientes a través de canales que no requieren presencia física

En relación con los canales que no requieren presencia física, como es el caso del Internet, el potencial cliente deberá diligenciar el formato de vinculación y posteriormente se presentarse en la institución educativa, IES, con el fin de dar cumplimiento a los requisitos de firma y huella.

5.1.2.5. Procedimiento para la vinculación de clientes personas públicamente expuestas (PEPs)

Para el caso de vinculación de clientes catalogados como personas públicamente expuestas, PEPs, además de dar cumplimiento a todos los requisitos para la vinculación de clientes, la vinculación deberá ser aprobada en los comités establecidos en la entidad, dejando constancia de los PEPs aceptados.

El listado de PEPs vinculados con la información completa será remitida al oficial de cumplimiento, el cual analizará si encuentra alguna inusualidad frente a quien solicita el servicio o producto y además llevar un registro de todos los PEP con los cuales el Icetex mantiene relaciones contractuales.

Se consideran PEPs a las siguientes personas:

• Personas que manejan recursos públicos.

Son personas que por razones de su cargo manejan dineros cuyo titular es el Estado.

• Personas que detentan algún grado de poder público.

Son personas que hacen parte de una de las ramas del poder público.

• Personas que gozan de reconocimiento público.

Son personas que por razones de la actividad que realizan gozan de autoridad o superioridad.

5.2. Procedimiento para la confirmación de datos del cliente

En el caso de créditos, el responsable del procedimiento de confirmación de datos del cliente será el área que tramita el crédito.

El procedimiento de confirmación se realiza con base en la información obtenida del Icfes, Cifin y de los establecimientos educativos, entre otros.

En fondos en administración y contratos será cada área la encargada de confirmar los datos, entre ellas verificando las referencias comerciales y/o financieras.

5.3. Procedimiento para la actualización de los datos de los clientes

La vicepresidencia de crédito y cobranza, la vicepresidencia financiera, la vicepresidencia de fondos en administración y la secretaría general son las responsables de actualizar por lo menos anualmente la información de todos los clientes.

En caso de que no se pueda actualizar la información de cualquiera de los clientes, se debe expedir una certificación avalada por el área que corresponda según el caso, donde conste la imposibilidad de realizar la actualización de la información del respectivo cliente.

5.4. Procedimiento para el monitoreo de las transacciones efectuadas por los clientes

El oficial de cumplimiento se encargará de realizar el monitoreo de la totalidad de operaciones realizadas por los clientes. Para ello la dirección de operaciones y tecnología desarrollará o adquirirá las herramientas tecnológicas que se requieran para cumplir con esta función.

Mensualmente el oficial de cumplimiento deberá consolidar todas las operaciones realizadas por cada cliente durante el mes inmediatamente anterior. Una vez consolidadas las operaciones deberá verificar que las mismas sean consistentes con el perfil y características de los mismos. Lo anterior permitirá a la entidad identificar posibles operaciones inusuales o sospechosas.

5.4.1. Procedimientos adicionales de monitoreo

En adición al monitoreo mensual de operaciones, el oficial de cumplimiento debe realizar un monitoreo más exigente de las operaciones que realizan los clientes catalogados como (PEPs). Este monitoreo adicional consistirá en verificar en forma detallada las operaciones realizadas por todos los clientes catalogados como PEPs.

5.5. Procedimiento para conocer el mercado

El conocimiento del mercado le permitirá a la entidad establecer con claridad cuáles son las características usuales de los agentes económicos que participan en él y las transacciones que desarrollan. El conocimiento del mercado se hará conforme a los siguientes parámetros:

• Conocer a fondo las características particulares de las actividades económicas de sus clientes, así como de las operaciones que estos realizan en los diferentes mercados.

• Se implementarán procedimientos que le permitan a la entidad conocer a fondo el mercado al cual se dirigen los productos que ofrece.

• La entidad deberá establecer las variables relevantes que le permitan realizar el conocimiento del mercado para cada uno de los factores de riesgo.

5.6. Detección de operaciones inusuales

El Sarlaft del Icetex cuenta con metodologías, modelos e indicadores de reconocido valor técnico para la oportuna detección de las operaciones inusuales. El responsable del diseño y actualización e implementación de estas metodologías es el oficial de cumplimiento.

Una transacción se considera inusual siempre que no guarde relación con la actividad económica del cliente, se salga de los parámetros fijados por la entidad o cuando la entidad no haya encontrado explicación o justificación razonable.

5.6.1. Metodología para la detección

Para la metodología de detección, se emplearán señales de alerta, según el documento técnico de la UIAF-Colombia (3) . La detección se tomará como un control (detectivo) según el desarrollo de las etapas del Sarlaft.

5.6.2. Procedimiento para la detección

Una vez identificados los eventos de riesgo, el oficial de cumplimiento diseñará señales de alerta que permitan identificar con un grado de certeza aceptable la ocurrencia de los eventos de riesgo. Para esto se utilizarán las técnicas identificadas por varios expertos, en especial los documentos elaborados por la UIAF, oficina contra la droga y el delito de las Naciones Unidas (4) y documento sobre lavado de activos de la OTA (5) .

• Estas técnicas son:

• Método de expertos

• Modelos de scoring

• Modelos de algoritmos

• Indicadores perfiles

• Verificación

• Inteligencia reactiva y preactiva

Los controles detectivos podrán ser manuales, automáticos o semiautomáticos. Como tal, los procedimientos empleados y el método deben cumplir con las siguientes condiciones, para considerarse “método de reconocido valor técnico”:

“Las características del método entonces implican que este sea verificable por la experiencia o sea empírico; comprobable por varios sujetos para obtener el mismo resultado; operativo ya que expresa la operación por cuyo medio llega a determinarse el objeto de que se habla; fidedigno ya que está formulado de tal manera que dadas las condiciones expuestas en él, cualquier persona pueda distinguir el objeto definido de los demás objetos”. Tomado del concepto CCTCP 23 de octubre 5 de 1995, de la junta central de contadores.

5.7. Determinación de operaciones sospechosas

El oficial de cumplimiento es el funcionario encargado de analizar los reportes de operaciones inusuales que las diferentes dependencias le reporten, así como el encargado de determinar qué operaciones son consideradas como sospechosas, confrontando las operaciones detectadas como inusuales, con la información acerca del cliente o usuario y de los mercados.

1. El reporte debe estar documentado, es decir que deben existir soportes que permitan verificar el proceso por el cual se llegó al reporte de la operación sospechosa.

2. El establecimiento de criterios objetivos para la detección de operaciones sospechosas implica que el funcionario o funcionarios encargados de determinar si una operación es sospechosa abandonarán en la toma de la decisión, las pasiones, arbitrariedades, motivos personales, reflexiones que vayan en contra de la razón y se basarán en las lecciones aprendidas, pautas, señales de alerta, documentos de autoridades competentes, documentos realizados en el área de cumplimiento y de control, así como en la experiencia acumulada que queda en los procedimientos, pautas y políticas de la entidad.

5.8. Segmentación de los factores de riesgo

La segmentación se realizará para los siguientes factores de riesgo:

• Clientes/usuarios

• Productos

• Canales

• Jurisdicciones

5.8.1. Clientes/usuarios

De acuerdo con las operaciones y productos de instituto para el cumplimiento de su objeto social y el tipo de entidades, los clientes se clasifican en los siguientes segmentos:

 

5.8.2. Productos

De acuerdo con la naturaleza, características y nichos de mercado propias de los productos, estos se segmentan de la siguiente manera:

 

5.8.3. Canales

Según su naturaleza y características los canales se segmentan de la siguiente manera:

 

5.8.4. Jurisdicciones

Según la ubicación y las estadísticas oficiales de la Policía Nacional sobre delitos cometidos de lavado de activos y financiación del terrorismo y delitos fuentes de los mismos, los departamentos fueron segmentados de la siguiente manera:

 

Manual del sistema de administración del riesgo de lavado de activos y financiación del terrorismo

 

5.8.5. Metodología para la segmentación de los factores de riesgo

La segmentación de factores de riesgo para clientes, productos y canales del Icetex se establecen utilizando el método de expertos, mientras se cuenta con la información necesaria para aplicar un método de cuantificación estadística.

Para el caso de las jurisdicciones se realizó un proceso de segmentación estadística, identificando diferentes clusters de forma que las observaciones pertenecientes a un grupo sean muy similares entre sí y lo más disímiles posible entre grupos, fundamentados en la información de los delitos de lavado de activos y financiación del terrorismo y delitos fuente de los mismos.

5.9. Consolidación electrónica de operaciones

En la actualidad Icetex realiza consolidación para efectos del negocio y de la contabilidad.

6. Estructura organizacional Sarlaft

Es deber de todos los funcionarios de Icetex, según la naturaleza general de sus funciones, las competencias y los requisitos exigidos para su desempeño, asegurar el cumplimiento de los reglamentos internos y de todas las disposiciones relacionadas con el Sarlaft.

El artículo 4º del Decreto 382 de 2007 clasifica los siguientes niveles jerárquicos:

• Directivo

• Asesor

• Profesional

• Técnico

• Asistencial

Adicionalmente, a continuación se presentan las funciones específicas en cabeza de algunos funcionarios de la entidad en relación con el Sarlaft:

 

6.1. Funciones de la junta directiva

• Establecer las políticas del Sarlaft.

• Adoptar el Código de Ética en relación con el Sarlaft.

• Aprobar el manual de procedimientos y sus actualizaciones.

• Designar al oficial de cumplimiento y su respectivo suplente.

• Aprobar el procedimiento para la vinculación de los clientes que pueden exponer en mayor grado a la entidad al riesgo de LA/FT, así como las instancias responsables, atendiendo que las mismas deben involucrar funcionarios de la alta gerencia.

• Hacer seguimiento y pronunciarse periódicamente sobre el perfil de riesgo de LA/FT de la entidad.

• Pronunciarse respecto de cada uno de los puntos que contengan los informes que presente el oficial de cumplimiento, dejando la expresa constancia en la respectiva acta.

• Pronunciarse sobre los informes presentados por la revisoría fiscal y la oficina de control interno, y hacer seguimiento a las observaciones o recomendaciones adoptadas, dejando la expresa constancia en la respectiva acta.

• Ordenar los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el Sarlaft.

• Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y reporte de las operaciones sospechosas.

• Establecer y hacer seguimiento a las metodologías para la realización de entrevistas no presenciales y/o la realización de entrevistas por personal que no tenga la condición de empleado de la entidad.

• Aprobar las metodologías de segmentación, identificación, medición y control del Sarlaft.

• Designar la (s) instancia (s) responsable (s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.

• Designar la (s) instancia (s) autorizada (s) para exonerar clientes del diligenciamiento del formulario de transacciones en efectivo.

6.2. Funciones del representante legal

Las funciones en cabeza del representante legal de Icetex en relación con el Sarlaft son las siguientes:

• Someter a aprobación de la junta directiva u órgano que haga sus veces en coordinación con el oficial de cumplimiento, el manual de procedimientos del Sarlaft y sus actualizaciones.

• Verificar que los procedimientos establecidos, desarrollen todas las políticas adoptadas por la junta directiva u órgano que haga sus veces.

• Adoptar las medidas adecuadas como resultado de la evolución de los perfiles de riesgo de los factores de riesgo y de los riesgos asociados.

• Garantizar que las bases de datos y la plataforma tecnológica cumplan con los criterios y requisitos establecidos en la circular básica jurídica. Título I - capítulo XI.

• Proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el Sarlaft.

• Prestar efectivo, eficiente y oportuno apoyo al oficial de cumplimiento.

• Garantizar que los registros utilizados en el Sarlaft cumplan con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.

• Aprobar los criterios, metodologías y procedimientos para la selección, seguimiento y cancelación de los contratos celebrados con terceros para la realización de aquellas funciones relacionadas con el Sarlaft que pueden realizarse por estos, de acuerdo con lo señalado en el presente manual.

6.3. Funciones del oficial de cumplimiento

El oficial de cumplimiento será de segundo nivel jerárquico dentro de la entidad (asesor adscrito a presidencia grado 02) y tendrá capacidad decisoria. Es decir reportará al representante legal y lo mantendrá informado.

Las siguientes son sus funciones:

• Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el Sarlaft.

• Presentar, cuando menos en forma trimestral, informes escritos a la junta directiva, en los cuales debe referirse como mínimo a los siguientes aspectos:

– Los resultados de la gestión desarrollada.

• El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades.

– La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgos asociados.

– La efectividad de los mecanismos e instrumentos establecidos en la circular básica jurídica. Título i - capítulo 11, así como de las medidas adoptadas para corregir las fallas en el Sarlaft.

– Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces.

– Los documentos y pronunciamientos emanados de las entidades de control y de la unidad administrativa especial de información y análisis financiero, UIAF.

• Promover la adopción de correctivos al Sarlaft.

• Coordinar el desarrollo de programas internos de capacitación.

• Proponer a la administración la actualización del manual de procedimientos y velar por su divulgación a los funcionarios.

• Colaborar con la instancia designada por la junta directiva en el diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.

• Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, y los informes que presente el revisor fiscal y adoptar las medidas del caso frente a las deficiencias informadas.

• Diseñar las metodologías de segmentación, identificación, medición y control del Sarlaft.

• Elaborar y someter a la aprobación de la Junta directiva, los criterios objetivos para la determinación de las operaciones sospechosas. Analizar los reportes de operaciones inusuales remitidos por cualquier funcionario de la entidad y de acuerdo a su análisis, determinar la existencia de una operación sospechosa, caso en el cual remitirá en forma inmediata el reporte de operación sospechosa respectivo a la UIAF.

• Realizar una evaluación del Sarlaft.

• Conocer el informe de debilidades o fallas del Sarlaft.

• Diseñar metodologías, modelos e indicadores cualitativos y cuantitativos de reconocido valor técnico para la detección de operaciones inusuales.

• Las demás asignadas en el presente manual.

La designación de este funcionario no exime al Icetex, a su junta directiva, a sus representantes legales, promotores de negocios y demás funcionarios y empleados de la obligación de detectar y reportar —conservando el conducto regular— las operaciones inusuales.

6.4. Órganos de control

6.4.1. Revisoría fiscal

• Realizar un reporte trimestral dirigido a la junta directiva u órgano que haga sus veces, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el Sarlaft.

• Poner en conocimiento del oficial de cumplimiento, las inconsistencias y fallas detectadas en el Sarlaft y, en general, todo incumplimiento que detecte a las disposiciones que regulan la materia.

• Establecer los controles adecuados que le permitan evidenciar el cumplimiento de las instrucciones que para la prevención del lavado de activos se consagran en el estatuto orgánico del sistema financiero.

• Evaluar trimestralmente el Sarlaft de la entidad.

6.4.2. Oficina de control interno

• Evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del Sarlaft.

• Informar los resultados de la evaluación al oficial de cumplimiento y a la junta directiva.

• Realizar una revisión periódica de los procesos relacionados con las exoneraciones y parametrizaciones de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico.

• Velar por el cumplimiento de los mecanismos de control diseñados e implementados en el sistema de administración del riesgo de lavado de activos y de la financiación del terrorismo e informar al oficial de cumplimiento de la entidad sobre los resultados obtenidos.

6.5. Funciones de quienes participan en la administración del riesgo de lavado de activos y la financiación del terrorismo

El cumplimiento del sistema de administración de riesgos de lavado de activos y financiación del terrorismo, Sarlaft, es responsabilidad de todos y cada uno de los funcionarios del Icetex, ningún motivo es razón suficiente y válida para su desconocimiento. Por tal razón todos los funcionarios de la entidad deben cumplir con:

• El Código de Ética y Conducta.

• Manual Sarlaft.

• Atender los requerimientos y solicitudes que les haga el oficial de cumplimiento y colaborar para el buen funcionamiento del Sarlaft.

• Cada vez que un empleado de la entidad detecte un comportamiento o una operación anormal, deberá inmediatamente, informar a su superior jerárquico, y este a su vez procederá a informar al oficial de cumplimiento por medio del formato único de operaciones inusuales, entregando la documentación que soporta la operación.

• Informar al oficial de cumplimiento cualquier alerta o indicación de incumplimiento del presente manual.

6.6. Vicepresidencia de crédito y cobranza

• Gestionar y verificar el debido diligenciamiento del formulario de conocimiento del cliente (formulario de inscripción del estudiante y formulario del deudor solidario).

• Verificar que los estudiantes o sus deudores solidarios no estén incluidos en las listas de control.

• Reportar inmediatamente operaciones inusuales al oficial de cumplimiento si no hay justificación de estas.

• Reportar mensualmente la ausencia de operaciones inusuales al oficial de cumplimiento.

• Reportar los clientes que presenten pagos intempestivos del crédito en cartera castigada, sin que medie alguna explicación razonable.

• Responder por la custodia de los formularios de conocimiento del cliente debidamente diligenciado (formulario de inscripción del estudiante y formulario del deudor solidario).

• Actualizar anualmente la información del estudiante mientras se encuentra en etapa de ejecución.

• Reportar los prepagos inusuales al oficial de cumplimiento, de acuerdo a los criterios establecidos para el efecto por la vicepresidencia.

• La vicepresidencia de crédito y cobranzas es la instancia responsable de la vinculación de los clientes que pueden exponer en mayor grado a la entidad al riesgo del lavado de activos y la financiación del terrorismo (LA/FT), cuando se trate de estudiantes y sus respectivos deudores solidarios.

6.7. Vicepresidencia financiera

• Gestionar y verificar el debido diligenciamiento y obtener la firma del formulario de conocimiento del cliente en todas las operaciones de colocación de TAE.

• Verificar que las personas a las cuales el Icetex transfiere o gira recursos no estén incluidas en las listas de control.

• Reportar inmediatamente operaciones inusuales al oficial de cumplimiento si no hay justificación de estas.

• Reportar mensualmente la ausencia de operaciones inusuales al oficial de cumplimiento.

• Realizar la actualización de datos de sus clientes, mínimo una vez por año.

• La vicepresidencia financiera es la instancia responsable de la vinculación de los clientes que pueden exponer en mayor grado a la entidad al riesgo del lavado de activos y/o a la financiación del terrorismo (LA/FT), cuando se trate de operaciones de colocación de TAE, compra o venta de inversiones de capital, o compra o venta de aportes con personas distintas a las vigiladas por la Superintendencia Financiera.

6.8. Vicepresidencia de fondos en administración

• Obtener información completa del cliente (constituyente del fondo), acerca de antecedentes y de actividades comerciales que desarrolla que permita al Icetex tener un alto conocimiento del cliente que ingresará o que ya está vinculado a la entidad.

• Verificar que los clientes (constituyentes del fondo) y beneficiarios no estén incluidos en listas de control.

• Reportar al oficial de cumplimiento de manera inmediata las operaciones inusuales detectadas.

• Reportar mensualmente la ausencia de operaciones inusuales al oficial de cumplimiento.

• Realizar la actualización de datos de sus clientes, mínimo una vez por año.

6.9. Oficina asesora de comunicaciones

• Asesorar, diseñar y producir instrumentos de divulgación tendientes a comunicar a los funcionarios del Icetex las medidas adoptadas relacionadas con la prevención del lavado de activos y financiación del terrorismo, en colaboración con el oficial de cumplimiento.

• Realizar la divulgación de información al mercado relacionada con el lavado de activos y la financiación del terrorismo.

6.10. Oficina asesora jurídica

• Asesorar al oficial de cumplimiento en la interpretación de las normas sobre control y prevención de lavado de activos y financiación del terrorismo.

6. 11. Oficina comercial y de mercadeo

• Asesorar e informar las estrategias requeridas para determinar las características de las operaciones que se desarrollan dentro del instituto y compararlas con aquellas que realicen los clientes a efectos de detectar las operaciones inusuales.

6.12. Oficina de relaciones internacionales

• Verificar que los estudiantes solicitantes de becas no estén incluidos en las listas de control.

• Verificar que los oferentes de becas no estén incluidos en las listas de control.

• Verificar las listas de control previo a suscribir un convenio con Instituciones de educación superior del exterior.

• Verificar listas de control sobre los extranjeros que vienen a Colombia a través del Icetex.

6.13. Secretaría general

• Gestionar y verificar el debido diligenciamiento y obtener la firma del formulario de conocimiento del cliente en todas las contrataciones que se realicen con el Icetex.

• Garantizar que los convenios, contratos o documentos suscritos por el Icetex contengan las políticas y controles relacionados con el lavado de activos y financiamiento del terrorismo.

• Verificar que en los contratos que se realicen con la entidad, esté incluida de manera expresa la cláusula en la que se manifieste que los recursos que posee el contratista no provienen de actividad ilícitas alguna de las contempladas en el Código Penal Colombiano o en cualquier norma que lo modifique o lo adicione.

• Obtener el diligenciamiento del formulario de conocimiento del cliente de los proveedores una vez se haya realizado el proceso de selección.

• Verificar a través de la herramienta de control o lista que suministre el oficial de cumplimiento que los proveedores, contratistas ni sus principales accionistas no estén incluidos en listas de control.

6.14. Vicepresidencia de operaciones y tecnología

• Proveer a la institución de un adecuado desarrollo tecnológico, que permita conocer el número de clientes con que se cuenta, su comportamiento respecto al pago de la obligación, con el fin de confrontarla frente a las listas internacionales vinculantes para Colombia, de conformidad con el derecho internacional.

• Proveer al oficial de cumplimiento de las herramientas tecnológicas requeridas para el adecuado cumplimiento de sus funciones.

• Proveer a todas las dependencias que lo requieran la herramienta tecnológica que permita verificar si una persona se encuentra incluida en las listas de control.

• Verificar el adecuado funcionamiento de la totalidad de los sistemas de la entidad.

• Corroborar los datos de los clientes con el objeto de mantener una base de datos actualizada y completa.

• Garantizar que la información mantenida en las bases de datos del Icetex cumpla con criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad.

• Realizar los backups que garanticen la disponibilidad de la información.

6.15. Grupo de talento humano (secretaría general)

• Distribuir el presente manual a todos los funcionarios y obtener la firma de sus anexos, en el que conste el conocimiento y el acatamiento a los lineamientos aquí definidos. Adjuntar el respectivo documento en la hoja de vida, manteniendo una debida custodia de los mismos.

• Informar oportunamente la vinculación de nuevos funcionarios, incluyendo personal temporal, para que este aplique el proceso de capacitación en los procesos de inducción.

• Verificar a través de la lista que suministre el oficial de cumplimiento que los candidatos a nuevos funcionarios no estén incluidos en listas de control.

7. Medidas necesarias para asegurar el cumplimiento de las políticas del Sarlaft

El representante legal del Icetex velará porque la entidad cuente con la infraestructura tecnológica y humana para que el Sarlaft sea desarrollado de forma efectiva dentro de la entidad.

Por su parte, el oficial de cumplimiento en colaboración con los órganos de control, permanentemente evaluará las deficiencias que pueda presentar el sistema y propondrá a la junta directiva los correctivos que sean necesarios.

La oficina de control Interno deberá evaluar la efectividad y cumplimiento de todas y cada una de las etapas y elementos que componen el Sarlaft, para lo cual deberá dentro de sus visitas a las diferentes áreas contemplar la revisión de los temas referentes a la prevención de lavado de activos y financiación del terrorismo, informando por lo menos una vez al año los resultados de la evaluación al oficial de cumplimiento y junta directiva.

El Sarlaft será divulgado a todos los funcionarios del Icetex, quienes estarán en la obligación de cumplirlo a cabalidad para lo cual suscribirán constancias de conocimiento del mismo y compromisos de cumplimiento.

El Icetex a través de su secretaría general sancionará a los funcionarios que expongan a la entidad a un mayor riesgo derivado del incumplimiento de las normas consagradas en el presente manual.

8. Procedimientos de control interno y revisión del Sarlaft

8.1. Periodicidad de la revisión de los elementos y etapas del Sarlaft

El oficial de cumplimiento elaborará un plan anual de revisión de los elementos y etapas del Sarlaft, el cual deberá ser presentado a la junta directiva y entregado a la revisoría fiscal y a la auditoría interna de la entidad.

8.2. Órganos encargados de la revisión del Sarlaft

8.2.1. Revisoría fiscal

La revisoría fiscal contratada por el Icetex evaluará trimestralmente el Sarlaft que se ha implementado, para lo cual tendrá acceso a los documentos, archivos, indicadores y procesos que lo integren.

Los resultados de la evaluación constarán en el reporte trimestral dirigido a la junta directiva u órgano que haga sus veces, el cual deberá indicar de manera precisa las inconsistencias y fallas detectadas en el Sarlaft y, en general, todo incumplimiento que detecte a las disposiciones que regulan la materia. Este reporte deberá ser puesto en conocimiento del oficial de cumplimiento.

8.2.2. Oficina de control interno

La auditoría interna evaluará anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del Sarlaft, con el fin de determinar las deficiencias y sus posibles soluciones.

Este informe será puesto en conocimiento de la junta directiva de la compañía, y del oficial de cumplimiento, indicando de manera precisa las inconsistencias y fallas detectadas en el Sarlaft y, en general, todo incumplimiento que detecte a las disposiciones que regulan la materia.

8.2.3. Oficial de cumplimiento

El oficial de cumplimiento deberá promover la adopción de correctivos al Sarlaft de acuerdo con lo que haya detectado y a los informes que hayan presentado la revisoría fiscal y la auditoría interna de la entidad.

9. Programa de capacitación del Sarlaft

El Icetex, a través del oficial de cumplimiento debe desarrollar programas de capacitación dirigidos a los empleados de la entidad con el fin de generar una conciencia sobre la importancia de dar cumplimiento a las políticas y procedimientos establecidos por la entidad en materia de prevención y control del lavado de activos y la financiación del terrorismo. Estos programas de capacitación deben ser constantemente revisados y actualizados por parte del oficial de cumplimiento.

Todos los funcionarios de la entidad deberán recibir capacitación en dos momentos:

• Durante el proceso de inducción de los nuevos empleados y contratistas.

• Una sesión de refuerzo con periodicidad por lo menos anual a través del correo electrónico, cartillas, intranet o en forma presencial si fuera el caso.

9.1. Alcance de los programas

Los programas de capacitación y entrenamiento serán elaborados por el oficial de cumplimiento, constarán por escrito y desarrollarán como mínimo los siguientes temas:

• Las responsabilidades de las instancias encargadas de ejecutar los mecanismos e instrumentos de prevención de actividades delictivas.

• Los cargos responsables de supervisar el cumplimiento de los procedimientos en cada área.

• El régimen de responsabilidades por el incumplimiento de los deberes que obligan a una adecuada prevención y control de lavado de activos y financiación del terrorismo.

• Las actividades que a la luz de La Superintendencia Financiera se consideran prácticas inseguras.

• Los programas de capacitación se revisarán, actualizarán y evaluarán como mínimo anualmente y se adoptarán los mecanismos pertinentes para corregir sus deficiencias.

9.2. Procedimientos para la evaluación de las capacitaciones

Las capacitaciones dictadas serán evaluadas por escrito, mediante la utilización de cuestionarios o por vía electrónica, los cuales permitirán determinar:

1. El entendimiento de los temas.

2. El rendimiento y conocimiento del facilitador.

3. La efectividad de los programas.

4. El alcance de los objetivos propuestos.

El responsable de verificar el cumplimiento en la realización de las evaluaciones así como la eficacia de los programas de capacitación será el oficial de cumplimiento.

10. Sanciones por incumplimiento a las normas relacionadas con el Sarlaft

Los funcionarios que no acaten lo dispuesto en el presente manual serán sujetos a las sanciones contempladas en el Código de Ética y Conducta, en el régimen único disciplinario y en las demás normas administrativas bajo las cuales estén obligados los funcionarios públicos.

11. Documentación

Los registros utilizados en el Sarlaft deberán cumplir con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.

Con el propósito de garantizar un mayor grado de colaboración con las autoridades, el Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior Mariano Ospina Pérez. Icetex, debe conservar los documentos y registros relativos al cumplimiento de las normas sobre prevención y control de lavado de activos y financiamiento del terrorismo por un término no menor a cinco años tal y como se encuentra establecido en el artículo 96 del EOSF, al cabo de este lapso los documentos pueden ser destruidos, siempre que por cualquier medio técnico adecuado se garantice su reproducción exacta y se cumplan las siguientes condiciones:

• Que no medie solicitud de entrega de los mismos formulada por autoridad competente.

• Que se conserve en un medio técnico que garantice su posterior reproducción exacta y la preservación de su valor probatorio.

Respecto de los documentos que soportan la decisión de determinar una operación como sospechosa, así como los demás formularios requeridos por la normatividad, junto con sus soportes; el oficial de cumplimiento es responsable de la conservación centralizada, secuencial y cronológica de los documentos con las debidas seguridades, junto con el respectivo reporte a la unidad administrativa especial de información y análisis financiero —UIAF—, con el propósito de hacerlos llegar en forma completa y oportuna a las autoridades cuando estas los soliciten.

12. Infraestructura tecnológica

• El Icetex cuenta con un sistema de conocimiento del cliente vía Internet el cual permite capturar toda la información de la persona que solicita la vinculación, esta información es pasada a un servicio que presta Cifin que permite validar la información.

• KYR. – Se cuenta con una licencia del software know Your Risk —KYR— (conozca su riesgo), para la administración de los riesgos identificados por el Sarlaft.

• En relación con la consulta de listas de sanciones, la validación se realiza frente a una base de datos en excel, la cual debe ser utilizada en todos los procesos de vinculación a la entidad.

13. Divulgación de la información

13.1. Reportes internos

13.1.1. Transacciones inusuales

En el evento en que cualquier funcionario o contratista del Icetex encuentre una operación como inusual, está en la obligación de reportarlo inmediatamente, por escrito e indicando las razones que dieron lugar al reporte, al oficial de cumplimiento, quien deberá realizar el análisis del mencionado reporte.

13.1.2. Reportes de la etapa de monitoreo

Los reportes trimestrales de la etapa de monitoreo permiten establecer el perfil de riesgo residual de la entidad, la evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y de los riesgos asociados.

Los reportes de la etapa de monitoreo son los siguientes:

Informe trimestral del oficial de cumplimiento a la junta directiva: este informe deberá contener como mínimo:

a) Los resultados de la gestión desarrollada

b) El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades

c) La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgos asociados.

d) La efectividad de los mecanismos e instrumentos establecidos en el presente manual, así como de las medidas adoptadas para corregir las fallas en el Sarlaft.

e) Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces.

f) Los documentos y pronunciamientos emanados de las entidades de control y de la unidad administrativa especial de información y análisis financiero.

• Informe trimestral de la revisoría fiscal a la junta directiva: este informe contiene las conclusiones obtenidas del proceso de evaluación del cumplimiento de las normas e instructivos internos de Icetex relacionados con el Sarlaft.

• Informe de la auditoría interna a la junta directiva y al oficial de cumplimiento: por lo menos una vez al año la auditoría interna presentará un informe que contenga la efectividad y el cumplimiento de todas y cada una de las etapas y elementos del Sarlaft, con el fin de determinar las deficiencias y sus posibles soluciones.

• El presidente del Icetex en su informe de gestión al cierre de cada ejercicio contable, deberá incluir la gestión adelantada en materia de administración de riesgo de lavado de activos y financiación del terrorismo.

13.2. Reportes externos

Es responsabilidad del oficial de cumplimiento, generar y remitir a tiempo a la UIAF los siguientes reportes:

13.2.1. Reporte de operaciones sospechosas

Siempre que se determine la existencia de una operación sospechosa, el oficial de cumplimiento debe proceder a su reporte inmediato mediante la remisión de un reporte de operación sospechosa, ROS, a la UIAF.

13.2.2. Reporte de transacciones en efectivo

El Icetex no realiza directamente transacciones en efectivo pero para el recaudo de dinero podrá celebrar contratos de uso de red o se acuerde algún mecanismo para recaudar o manejar efectivo con establecimientos de crédito. El oficial de cumplimiento suministrará a las áreas encargadas de elaborar dicho reporte el instructivo y formato para la elaboración del reporte, el cual tiene que ser remitido al oficial de cumplimiento para su posterior envío a la unidad de información y análisis financiero, UIAF.

El Icetex remitirá a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente al de corte, un informe mensual de las transacciones en efectivo realizadas a través de los establecimientos de crédito respectivos que superen las cuantías establecidas en el instructivo anexo II de la circular básica jurídica. Título I - capítulo XI y de acuerdo al formato preestablecido por la Superintendencia Financiera.

13.2.3. Reporte de transacciones múltiples en efectivo

Son transacciones múltiples aquellas transacciones individuales en efectivo realizadas por cuantías inferiores a las señaladas en el instructivo definido para ello que se realicen en una o varias oficinas, durante un (1) mes calendario, por o en beneficio de una misma persona y que en su conjunto igualen o superen tales sumas.

El Icetex reportará a la UIAF dentro de los diez (10) días calendario del mes siguiente al del corte, las transacciones múltiples en efectivo cuyo valor sea igual o superior a las cuantías establecidas para tal fin.

13.2.4. Reporte de clientes exonerados

El Icetex tiene como política no exonerar a ninguno de sus clientes de la obligación de diligenciar el reporte de transacciones en efectivo. Por lo anterior el reporte a la UIAF sobre el particular se enviará dentro de los plazos fijados por la norma sin novedad.

13.2.5. Reporte de información sobre productos ofrecidos por las entidades vigiladas

El Icetex reportará a la UIAF los productos ofrecidos, los primeros diez (10) días calendario del mes siguiente al corte del trimestre. De acuerdo al formato preestablecido por la Superintendencia Financiera.

13.2.6 Reporte de información sobre transacciones realizadas en Colombia con tarjetas crédito o débito expedidas en el exterior

Icetex no es propietaria de ninguna red de cajeros automáticos ni de sistemas POS por lo que no debe remitir a la UIAF reporte de información sobre transacciones realizadas en Colombia con tarjetas crédito o débito expedidas en el exterior.

13.2.7 Reporte sobre operaciones de transferencia, remesa, compra y venta de divisas

Icetex no es una entidad intermediaria del mercado cambiario por lo que no debe remitir a la UIAF reporte sobre operaciones de transferencia, remesa, compra y venta de divisas.

13.3. Forma como se suministra la información al mercado para que evalúe la estrategia de la administración del riesgo LA/FT

La divulgación de la información relacionada con la administración del riesgo de lavado de activos y financiación del terrorismo estará en cabeza de la oficina de comunicaciones siguiendo los lineamientos, pautas y contenido dado por el oficial de cumplimiento.

13.4. Reglas especiales para transferencias

Según lo establecido por la circular básica jurídica. Título I - capítulo XI, en las transferencias de fondos realizadas dentro del territorio nacional, así como en las transferencias internacionales, debe capturarse y conservarse la información relacionada con el ordenante y con el beneficiario.

El Icetex no presta el servicio de transferencias nacionales ni internacionales por lo que no tiene la obligación de cumplir con lo establecido por la Circular Externa 61 de 2007, referente a reglas especiales para transferencias.

14. Funciones relacionadas con el sarlaft de icetex realizadas por terceros

El Icetex por medio de las instituciones de educación superior, IES, que se consideran terceros que no tienen la condición de empleados realizará las siguientes funciones relacionadas con el Sarlaft:

• Recolección de la firma del potencial cliente

• Recolección de la huella del potencial cliente

14.1. Razones objetivas por las cuales se realizan estas funciones a través de las IES:

• El Icetex no tiene presencia en todos los lugares en donde se encuentran las instituciones de educación superior, IES, con las cuales realiza los convenios.

• Las IES tienen cercanía y vínculos directos con el estudiante.

• El Icetex no tiene la capacidad de recolectar la firma y huella de todos los potenciales clientes, así como de realizar la entrevista, dado que no cuenta con suficientes empleados que cubran las necesidades de la cantidad de nuevos clientes que se vinculan a Icetex.

15. Conceptos de sarlaft no aplicables al icetex

Al ser Icetex una institución financiera de carácter especial no le son aplicables los siguientes conceptos contemplados en la circular básica jurídica. Título I - capítulo XI, modificado por la Circular Externa 61 de 2007 de la Superintendencia Financiera de Colombia:

Reglas especiales sobre cuentas para el manejo de los recursos de las campañas políticas y partidos políticos: El Icetex no presta ningún servicio ni ofrece productos a partidos políticos ni destinados a canalizar recursos provenientes de campañas políticas.

Instancia autorizada para exonerar clientes del diligenciamiento del formulario de transacciones en efectivo: Icetex no realiza directamente transacciones en efectivo sino que el recaudo lo efectúa a través de instituciones financieras con las cuales celebra convenios de recaudo.

Usuarios: Dadas las características propias de los servicios que presta el Icetex, se puede considerar que esta entidad no presta ningún tipo de servicio a usuarios, sino que lo hace únicamente con sus clientes directos.

Reporte sobre operaciones de transferencia, remesa, compra y venta de divisas: Este reporte no aplica al Icetex dado que no es un intermediario del mercado cambiario ni realiza este tipo de operaciones con sus clientes.

• Reglas especiales para transferencias.

(1) Compilación de tipologías relacionadas con el lavado de activos y financiación del terrorismo. Unidad de información y análisis financiero – Colombia. Octubre de 2006.

(2) Están exentas del procedimiento de conocimiento del cliente las entidades públicas.

(3) Ibíd.

(4) Riesgo de lavado de activos en instrumentos financieros, usuarios y empleados de instituciones financieras. Programa de asistencia legal para América Latina y el Caribe. 1ª versión 2008.

(5) Information technologies for the control of money laundering. OTA-ITC-630. September 1995.

(Nota: Derogado por el Acuerdo 11 de 2010 artículo 3° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)

___________________________________________________________________