Ministerio de Tecnologías de la Información y las Comunicaciones

RESOLUCIÓN 2705 DE 2010 

(Diciembre 29)

“Por la cual se fijan los requisitos y parámetros mínimos del sistema de administración y mitigación del riesgo de lavado de activos y financiación del terrorismo por parte de quienes quieren obtener su habilitación como operadores de servicios postales de pago”.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

El Ministro de Tecnologías de la Información y las Comunicaciones,

en ejercicio de sus facultades legales, y en especial de las que le confiere el parágrafo 2º del artículo 4º de la Ley 1369 de 2009, y

CONSIDERANDO:

Que el artículo 1º de la Ley 1369 de 2009 señala el régimen general de los servicios postales y, a su vez, establece que son considerados un servicio público en los términos del artículo 365 de la Constitución Política;

Que el citado artículo prevé además que la prestación de los servicios postales estará sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia y universalidad;

Que el artículo 2º de la citada ley establece dentro de los objetivos de intervención del Estado, el de asegurar la prestación eficiente, óptima y oportuna de los servicios postales;

Que a su vez el parágrafo 2º del artículo 4º dispone que para el caso particular de los operadores de servicios postales de pago, el Ministerio de Tecnologías de la Información y las Comunicaciones reglamentará los requisitos de tipo patrimonial y de mitigación de riesgos que se deberán acreditar para la obtención del respectivo título habilitante, adicionales a los contemplados en los literales a), c) y d) del citado artículo;

Que el Ministerio de Tecnologías de la Información y las Comunicaciones publicó para comentarios de los interesados el pasado 6 de diciembre, cinco proyectos de resolución relativos al mandato contenido en el parágrafo 2º del artículo 4º de la precitada ley, entre ellos, el borrador de la presente resolución, por el término inicial de ocho días hábiles para comentarios, límite que fue prorrogado por dos días más, y venció el 20 de diciembre.

Que se recibieron diversas comunicaciones con comentarios sobre los proyectos publicados.

Que en cumplimiento de lo dispuesto por el artículo 7º de la Ley 1340 de 2009, reglamentado por el Decreto 2897 de 2010, el Ministerio de Tecnologías de la Información y las Comunicaciones remitió a la Superintendencia de Industria y Comercio mediante comunicación con registro número 428837 del 16 de diciembre de 2010, los proyectos de resoluciones los cuales fueron publicados en su página web, con el objeto de tener el concepto previo de esa entidad sobre los mismos.

Que mediante oficio radicado bajo el número 10-158347 del 24 de diciembre de 2010, el superintendente delegado para la protección de la competencia, se pronunció sobre los proyectos de resolución, en los siguientes términos: “(...) aunque la habilitación por parte del Ministerio de las Tecnologías de la Información y las Comunicaciones puede considerarse un obstáculo a la competencia, esta es una obligación legal la cual se basa en la característica de servicio público que tienen los servicios postales”.

Que en la fijación de los requisitos patrimoniales y de mitigación de riesgos, se tuvo en cuenta que si bien en la prestación de los servicios postales de pago se maneja dinero del público, dicha actividad no implica una intermediación financiera; por ello, la prestación de servicios postales de pago conllevan un espectro de operaciones autorizadas menor que las autorizadas a las entidades financieras sometidas a la vigilancia de la Superintendencia Financiera, por lo que dichas exigencias patrimoniales y de mitigación de riesgos deben ajustarse a la naturaleza y tipo de operaciones permitidas a los nuevos agentes.

Que se hace necesario fijar los requisitos y parámetros mínimos con que deben contar cada uno de los sistemas de administración de riesgos a que hace referencia la resolución que reglamenta los requisitos de tipo patrimonial y de mitigación de riesgos con que deben contar quienes pretendan solicitar su habilitación como operadores postales de pago;

Que en los términos del numeral 14 del artículo 2º de la Resolución 517 de 2010, corresponde por delegación al director de Comunicaciones del Ministerio de Tecnologías de la Información y las Comunicaciones la facultad de determinar y verificar los requisitos de tipo patrimonial y operacional exigibles a los interesados en la obtención del título habilitante para la prestación de los servicios postales.

Que para los efectos de la expedición de esta resolución, tal función es reasumida por el Ministro de Tecnologías de la Información y las Comunicaciones;

Que en virtud de lo expuesto;

RESUELVE:

ART.1º—Objeto. La presente resolución tiene por objeto establecer los requisitos y parámetros mínimos para la adecuada mitigación y administración del riesgo de lavado de activos y financiación del terrorismo que deben acreditar las personas jurídicas interesadas en obtener su habilitación como operadores de servicios postales de pago y mantener durante toda la vigencia de su habilitación.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 2º—Sujetos obligados. Las personas jurídicas interesadas en obtener su habilitación como operadores de servicios postales de pago deberán implementar y desarrollar un sistema para la administración del riesgo de lavado de activos y financiación del terrorismo, atendiendo los requisitos establecidos en la presente resolución.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 3º—Definiciones. Para efectos de la interpretación y aplicación de la presente resolución se adoptan las siguientes definiciones:

Administración de riesgos: se entiende por tal, la cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos.

Análisis de riesgo: Un uso sistemático de la información disponible para determinar cuán frecuentemente puede ocurrir eventos especificados y la magnitud de sus consecuencias.

Beneficiario final: Toda persona natural o jurídica que, sin tener la condición de cliente, es la propietaria o destinataria de los recursos o bienes objeto del contrato o se encuentra autorizada o facultada para disponer de los mismos

Control de riesgos: La parte de administración de riesgos que involucra la implementación de políticas, estándares, procedimientos para eliminar o minimizar los riesgos adversos.

Evaluación de riesgos: El proceso global de análisis de riesgo y evaluación de riesgo. El proceso utilizado para determinar las prioridades de administración de riesgos comparando el nivel de riesgo respecto de estándares predeterminados, niveles de riesgo objetivos u otro criterio.

Evento: Un incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo particular.

Factores de riesgo: Agentes generadores del riesgo de LA/FT.

GAFI - Grupo de acción financiera: Organismo intergubernamental constituido en 1989, que tiene como propósito desarrollar y promover políticas y medidas para combatir el lavado de activos y la financiación del terrorismo.

Gestión de riesgo: Cultura, procesos y estructuras dirigidas a obtener oportunidades potenciales mientras se administran los efectos adversos.

Identificación de riesgos: El proceso de determinar qué puede suceder, por qué y cómo.

Interesados (partes interesadas): Aquellas personas y organizaciones que pueden afectar, ser afectados por, o percibir ellos mismos ser afectados, por una decisión o actividad.

Monitoreo: Comprobar, supervisar, observar críticamente, o registrar el progreso de una actividad, acción o sistema en forma sistemática para identificar cambios.

Operador: Persona jurídica habilitada para operar servicios postales de pago operaciones inusuales: Operaciones que realizan las personas naturales o jurídicas, que por su número, cantidad o características, no se enmarcan dentro de los sistemas y prácticas normales de los negocios de una industria o sector determinado.

Operaciones sospechosas: Operaciones que realizan las personas naturales o jurídicas, que por su número, cantidad o características, no se enmarcan dentro de los sistemas y prácticas normales de los negocios de una industria o sector determinado, y de acuerdo con los usos y costumbres de la actividad que se trate, no hayan podido ser razonablemente justificadas.

Reporte de operaciones inusuales (ROI): Reporte que se efectúa al gestor del riesgo de una operación inusual.

Reporte de operaciones sospechosas (ROS): Reporte de una operación sospechosa que el operador efectúa a la unidad de información y análisis financiero.

Probabilidad: La probabilidad de un evento específico o resultado, medido por el coeficiente de eventos o resultados específicos en relación a la cantidad total de posibles eventos o resultados, utilizado como una descripción cualitativa de probabilidad o frecuencia.

Proceso de administración de riesgos: La aplicación sistemática de políticas, procedimientos y prácticas de administración a las tareas de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar riesgos.

Riesgos asociados al LA/FT: Riesgos a través de los cuales se materializa el riesgo de LA/FT; estos son: reputacional, legal, operativo y contagio, entre otros.

Riesgo reputacional: Posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo legal: Posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

Riesgo de contagio: Posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por una acción o experiencia de un vinculado.

Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo residual o neto: Es el nivel resultante del riesgo después de aplicar los controles.

Segmentación: Proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).

Señales de alerta o alertas tempranas: Conjunto de indicadores cualitativos y cuantitativos que permiten identificar oportuna y/o prospectivamente comportamientos atípicos de las variables relevantes, previamente determinadas por la entidad.

Sistema de administración de riesgo de lavado de activos y financiación del terrorismo (Sarlaft): Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales los operadores de servicios postales de pago identifican, miden, controlan y monitorean el riesgo de lavado de activos y financiación del terrorismo en su operación.

Tratamiento del riesgo: proceso de selección e implementación de medidas para modificar el riesgo.

Valoración del riesgo: Proceso total de identificación del riesgo, análisis del riesgo y evaluación del riesgo.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 4º—Etapas del Sarlaft. El sistema para la administración del riesgo de lavado de activos y financiación del terrorismo (Sarlaft) que implementen los operadores de servicios postales de pago deberá incluir las etapas que a continuación se señalan:

4.1. Identificación: En desarrollo del Sarlaft, los operadores de servicios postales de pago deberán identificar los riesgos asociados al lavado de activos y financiación del terrorismo potenciales a que se ven expuestos en desarrollo de su actividad. Dicha identificación se deberá realizar sobre cada uno de los procesos que implementen para el desarrollo de su actividad.

4.2. Medición: Concluida la etapa de identificación, los operadores de servicios postales de pago deberán medir la probabilidad de ocurrencia de los riesgos asociados al lavado de activos y financiación del terrorismo y su impacto en caso de materializarse.

4.3. Control: Los operadores de servicios postales de pago deberán tomar medidas para controlar los riesgos asociados al lavado de activos y financiación del terrorismo a que se ven expuestos en desarrollo de su actividad con el fin de mitigarlos.

4.4. Monitoreo: Los operadores de servicios postales de pago deberán hacer un monitoreo constante para velar porque las medidas que hayan establecido sean efectivas.

El monitoreo debe cumplir con los siguientes requisitos mínimos:

a) Guardar correspondencia con el monto y volumen de los pagos realizados, a través de su red.

b) Permitir el seguimiento de los niveles de exposición al riesgo de LA/FT establecidos por el operador, según su estructura, características y operaciones.

c) Permitir la elaboración de reportes gerenciales y de monitoreo del riesgo de LA/FT que evalúen los resultados de las estrategias adoptadas.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 5º—Elementos del Sarlaft. El Sarlaft para los servicios postales de pago, debe contemplar los siguientes elementos:

— Políticas

— Estructura organizacional y órganos de control

— Infraestructura tecnológica

— Procedimientos

— Documentación

— Divulgación

— Capacitación

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 6º—Políticas. Los operadores deben adoptar políticas para la administración de riesgo de LA/FT que desarrollen, al menos los siguientes aspectos:

A) Objetivos de la política para la prevención del LA/FT.

El cumplimiento de la ley, la cooperación con las autoridades, la responsabilidad social empresarial y el buen gobierno corporativo, son algunos de los objetivos de la política de prevención del LA/FT.

B) Política de cumplimiento del sistema de prevención del LA/FT.

Debe ser una obligación de todos los empleados del operador y de los empleados de las empresas en las que el mismo se apoye para el desarrollo de su operación, cumplir con las políticas de administración del riesgo de LA/FT.

C) Política de promoción de la cultura del sistema de prevención del LA/FT.

Los operadores deben buscar la formación en sus entidades de una cultura organizacional resaltando la importancia de operar sobre un ambiente de control de riesgo de LA/FT.

D) Reserva de información del Sarlaft.

Los operadores y sus empleados no deben dar a conocer a las personas que hayan efectuado o intenten efectuar operaciones sospechosas, que han comunicado a la unidad de análisis e información financiera (UIAF) información sobre las mismas, guardando reserva sobre dicha información.

E) Prevalencia del cumplimiento del Sarlaft al logro de las metas comerciales.

Todos los empleados de los operadores y de las empresas en las cuales el operador se apoye para realizar su operación, deben anteponer el cumplimiento de las normas en materia de administración de riesgo de LA/FT al logro de las metas comerciales.

F) Políticas en relación con los conflictos de interés.

Los operadores deben establecer en sus códigos de buen gobierno corporativo y/o códigos de ética u otros reglamentos, los criterios para la prevención y resolución de conflictos de interés.

G) Política de “conozca a su contraparte”.

Los operadores deben tener un adecuado conocimiento de su contraparte, conforme los procedimientos que se establezcan en el manual del Sarlaft.

Se entiende por “contraparte” (interna o externa) cualquier persona o entidad con quien exista una relación profesional o de negocios, directa o indirecta. El término incluye, entre otros, los siguientes:

• Los accionistas, socios o asociados.

• Los administradores.

• Los empleados con vínculo laboral o contractual de cualquier tipo con el operador.

• Las empresas (canales) en las que se apoya la empresa para la prestación del servicio.

• Los remitentes/destinatarios de los servicios postales de pago (clientes, usuarios o consumidores).

• Los proveedores de bienes o servicios.

Para el adecuado conocimiento de las contrapartes debe involucrarse el estudio y evaluación de los demás factores de riesgo de LA/FT (productos, áreas geográficas y canales).

H) Lineamientos para la aceptación de contrapartes.

Los operadores deben adoptar lineamientos para la aceptación de contrapartes de conformidad con el nivel de riesgo de las mismas.

I) Lineamientos para las contrapartes con un nivel de riesgo de LA/FT superior.

Frente a las contrapartes que reflejen un nivel de riesgo superior de LA/FT, se deben consagrar controles más exigentes de vinculación y control.

J) Lineamientos para el control de operaciones de las contrapartes y detección de operaciones inusuales.

Para efecto de determinar eventuales operaciones inusuales se debe adoptar un sistema de control de las operaciones de las contrapartes, basado, por lo menos, en los siguientes aspectos:

• Política de conozca a su contraparte

• Política de conocimiento del mercado

• Instrumentos para detección de operaciones inusuales.

K) Política de aceptación de canales en los cuales el operador se apoye para prestar el servicio postal de pago.

i) Los operadores deben efectuar un análisis de riesgo de los canales en quienes se apoyen para prestar los servicios postales de pago, de conformidad con la matriz de riesgo que se diseñe para el efecto.

ii) Los operadores, previa aplicación de la matriz de riesgo a cada uno de los canales en quienes se apoyen para prestar los servicios postales de pago, deben realizar una descripción de los canales que podrían presentar un riesgo inherente superior. Con base en este análisis deben decidir con qué clase de canales, en virtud del riesgo de lavado de activos y financiación del terrorismo (por diferentes factores de riesgo), no deben tener relaciones comerciales y a qué tipo de canales se les aplicará la debida diligencia mejorada.

iii) En el manual del Sarlaft se deben consagrar lineamientos más exigentes de vinculación de canales que por su perfil pueden exponer en mayor grado a la entidad al riesgo de LA/FT. Así mismo, estos canales deben ser objeto de control especial y más exigente.

iv) El estudio y aprobación de la vinculación de canales a los cuales estén vinculadas personas que por cualquier circunstancia sean calificadas como de alto riesgo de LA/FT, se llevará a cabo por la junta directiva, consejo de administración u órgano equivalente del operador.

v) Los operadores no deben tener relaciones comerciales con canales cuando se presenten elementos que conlleven dudas fundadas sobre la legalidad de sus operaciones o licitud de sus recursos.

vi) Las empresas no deben tener relaciones comerciales con canales incluidos en las listas internacionales vinculantes de conformidad con el derecho internacional, o en otras listas que impliquen un riesgo imposible de mitigar con la adopción de controles.

vii) En caso de canales de alto riesgo, que después de aplicados los controles continúen evidenciando un riesgo residual alto, o cuando por la aplicación de los controles se hace inviable la operación desde el punto de vista financiero, las empresas deben considerar que este hecho constituye una causal objetiva para no entablar o no continuar relaciones comerciales con dichos terceros.

L) Política de conocimiento de canales en los cuales el operador se apoye para prestar el servicio postal de pago.

i) Los operadores deben establecer en sus manuales procedimientos que les permitan la identificación plena y confiable de los canales en quienes se apoyen para prestar los servicios postales de pago, así como la verificación de la información suministrada por estos, los cuales deben ser aplicados con diligencia y responsabilidad.

ii) Los operadores para identificar y conocer a los canales deben solicitar la información que se considere necesaria, de acuerdo con el nivel de riesgo que el respectivo canal represente.

iii) Los operadores deben solicitar la documentación soporte de dicha información, la cual deberá ser verificada.

iv) Los operadores deben realizar en todos los casos una visita a las instalaciones del canal.

M) Divulgación de las políticas.

Los operadores deben divulgar las presentes políticas, por medio de la entrega de las mismas a cada empleado y a los canales en los que se apoyen para la prestación de los servicios postales de pago, de lo cual deberá quedar constancia escrita o por medio electrónico verificable.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 7º—Estructura organizacional. Los operadores de servicios postales de pago deberán definir claramente en su estructura organizacional los niveles de responsabilidad de las personas o funcionarios encargados de las funciones relacionadas con la administración del riesgo de LA/FT, precisando su alcance y límites. En todo caso, deberán dar cumplimiento a las disposiciones que a continuación se establecen:

a) Junta directiva, consejo de administración u órgano equivalente: Sin perjuicio de las funciones asignadas en otras disposiciones, la junta directiva, el consejo de administración o el órgano equivalente del operador de servicios postales de pago deberá:

i) Aprobar el Sarlaft que implementará el operador lo cual debe constar en la respectiva acta de la junta directiva, el consejo de administración o el órgano equivalente.

ii) Aprobar los lineamientos que en materia de ética deben observarse en relación con el Sarlaft, así como el sistema de control interno.

iii) Pronunciarse respecto de cada uno de los aspectos que contengan los informes periódicos que rinda el representante legal o el gestor de riesgos, respecto de la administración de este riesgo, así como sobre las evaluaciones periódicas que efectúen los órganos de control.

iv) Proveer los recursos necesarios para la adecuada administración del riesgo.

v) Aprobar el diseño y definir la periodicidad de los informes internos para los reportes de la gestión del riesgo de LA/FT.

vi) Designar al gestor de riesgo.

vii) Aprobar el procedimiento para la vinculación de los canales en los que se apoye el operador para la prestación del servicio postal de pago.

b) Representante legal: Sin perjuicio de las funciones asignadas en otras disposiciones, el representante legal del operador de servicios postales de pago tendrá, como mínimo las siguientes funciones:

i) Diseñar y someter a aprobación de la junta directiva, consejo de administración u órgano equivalente, los procedimientos para la administración del riesgo de LA/FT.

ii) Velar por el cumplimiento efectivo de las políticas establecidas por la junta directiva, el consejo de administración u órgano equivalente para la administración del riesgo de LA/FT y presentar los informes periódicos sobre el mismo.

iii) Velar porque las etapas y elementos del Sarlaft cumplan, como mínimo, con las disposiciones señaladas en la presente resolución.

iv) Velar porque se dé cumplimiento a los lineamientos establecidos en el código de ética del operador en materia de conflictos de interés y uso de información privilegiada que tengan relación con el riesgo de LA/FT.

v) Velar porque las bases de datos y la plataforma tecnológica cumplan con los estándares mínimos establecidos en la presente resolución.

vi) Efectuar las gestiones necesarias para proveer los recursos técnicos y humanos

necesarios para implementar y mantener en funcionamiento el Sarlaft.

c) Responsable de la gestión del riesgo: Los operadores de servicios postales de pago deberán asignar dentro de su estructura organizacional, la función de gestión de riesgos a una persona (gestor del riesgo) que tenga y acredite conocimiento en administración de riesgos, y que no dependa de los órganos de control internos. Esta persona podrá tener a su cargo la gestión de otros riesgos, pero para efectos del Sarlaft deberá demostrar que ha tenido capacitación específica en prevención y control al lavado de activos y el financiamiento del terrorismo.

Sin perjuicio de las funciones y responsabilidades adicionales que cada operador asigne al gestor del riesgo en sus propios sistemas de administración de riesgo de LA/FT, dicho funcionario tendrá, al menos, las siguientes funciones y responsabilidades:

i) Definir los instrumentos, metodologías y procedimientos tendientes a que el operador administre efectivamente el riesgo de liquidez, en concordancia con los lineamientos, etapas y elementos mínimos previstos en esta resolución.

ii) Desarrollar e implementar el sistema de reportes del riesgo de liquidez.

iii) Realizar el seguimiento permanente de los instrumentos, metodologías y procedimientos relacionados con el Sarlaft y proponer sus correspondientes actualizaciones y modificaciones.

iv) Desarrollar los programas de capacitación relacionados con el Sarlaft.

v) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad.

vi) Reportar periódicamente al representante legal y a la junta directiva, consejo de administración u órgano equivalente, la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos de la presente resolución.

El operador postal de pago podrá contratar con terceros expertos en administración de riesgos todas las funciones operativas descritas en este literal con el fin de apoyar la gestión del gestor de riesgos.

d) Órganos de control interno: Los operadores de servicios postales de pago deben establecer instancias responsables de efectuar una evaluación de la forma como se está administrando el riesgo de LA/FT. Dichas instancias informarán, de forma oportuna, los resultados a los órganos de control.

En ejercicio de sus funciones, la revisoría fiscal, la auditoría interna o quien ejerza las funciones de control interno, serán responsables de evaluar periódicamente el cumplimiento de todas y cada una de las etapas de la administración del riesgo de LA/FT con el fin de determinar las deficiencias y el origen de las mismas.

Así mismo, los órganos de control deberán elaborar un informe con una periodicidad no superior a seis meses dirigido a la junta directiva, consejo de administración u órgano equivalente, en el que se reporten las conclusiones obtenidas acerca del proceso de evaluación del cumplimiento de las disposiciones establecidas para la administración de este riesgo.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 8º—Requerimientos de las aplicaciones y desarrollos tecnológicos. Sin perjuicio de los requisitos mínimos de tipo operativo que defina el Ministerio de Tecnologías de la Información y las Comunicaciones en ejercicio de sus funciones reglamentarias, los operadores de servicios postales de pago deben contar con aplicaciones o desarrollos tecnológicos que permitan, al menos, las siguientes funciones mínimas:

1. Consulta de listas, según los requerimientos de cada operador y la legislación que le sea aplicable.

2. Consolidación electrónica de operaciones.

3. Reporte de operaciones inusuales y sospechosas.

4. Señales de alerta automáticas.

5. Seguimiento automático sobre las operaciones de servicio postal de pago, mediante el reporte de informes producto de consultas efectuadas con base en criterios definidos.

Ejemplo: Acumulaciones por canal, operaciones por monto, operaciones por zona geográfica o región, etc.

6. El desarrollo tecnológico debe facilitar la debida identificación de los usuarios y la actualización de sus datos.

Adicionalmente, los operadores, para soportar el proceso de administración del riesgo de LA/FT, deben contar con aplicaciones o desarrollos tecnológicos que les permitan cumplir, por lo menos, con lo siguiente:

1. Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo.

2. El módulo de gestión de riesgo de LA/FT, debe desarrollar cada una de las etapas del Sarlaft, en especial los siguientes aspectos:

— Sistematización de todos los aspectos que hacen parte del análisis del contexto interno y externo del operador postal de pago.

— El soporte para elaboración de las matrices y mapas de riesgo de cada uno de los factores de riesgo a los que esté expuesta la empresa, en las que conste el desarrollo de las etapas de identificación, medición y control de cada factor de riesgo, con base en las cuales se defina el riesgo inherente y riesgo residual de cada factor de riesgo.

— El módulo de gestión de riesgo de LA/FT, debe comprender el seguimiento de los controles y planes de mejoramiento que se deban adoptar para garantizar la adecuada aplicación de los controles.

— Este módulo debe soportar las medidas definidas en la etapa de monitoreo de cada uno de los factores de riesgo, que garanticen el seguimiento al perfil de riesgo de cada uno de los factores de riesgo.

— El módulo debe permitir el desarrollo de todos los elementos que conformen la etapa de comunicación y consulta del Sarlaft del operador.

— Consolidar las operaciones de los distintos factores de riesgo de acuerdo con los criterios establecidos en el manual del Sarlaft - Centralizar los registros correspondientes a cada uno de los factores de riesgo.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 9º—Procedimientos, mecanismos e instrumentos para detectar operaciones inusuales

A) Procedimientos y mecanismos.

Los operadores postales de pago deben establecer los procedimientos y mecanismos para la adecuada implementación y funcionamiento del Sarlaft, para lo cual, deben adoptar, por lo menos, los siguientes:

Procedimientos y mecanismos para el conocimiento de los usuarios remitentes y los usuarios destinatarios de los servicios postales de pago.

Procedimientos y mecanismos para la identificación y análisis de operaciones inusuales.

Procedimientos y mecanismos para la identificación y reporte de operaciones sospechosas.

i) Procedimientos y mecanismos para el conocimiento de los usuarios remitentes y los usuarios destinatarios de los servicios postales de pago.

En relación con los procedimientos y mecanismos para el conocimiento de los usuarios de los servicios postales de pago, los operadores dentro del Sarlaft, deben implementar procedimientos para obtener un conocimiento de los usuarios de los servicios postales de pago, de acuerdo con los niveles de riesgo que cada uno de ellos refleje según las matrices de riesgo que diseñe e implemente el operador.

La aplicación de este principio busca:

a) Conocer al potencial usuario, poder definir su nivel de riesgo de LA/FT con base en factores objetivos de vulnerabilidad y definir los controles que deben aplicarse.

b) Detectar las apariencias engañosas de un usuario, establecer cuándo los usuarios potenciales de una institución que aparecen como legítimos, en realidad están dirigiendo una actividad ilícita.

c) Recolectar la información suficiente para elaborar un perfil del usuario y de sus transacciones, de tal forma que el funcionario responsable pueda identificar cuál es su comportamiento transaccional habitual.

Los procedimientos de conocimiento del usuario así como los requerimientos de información y documentación, se pueden aplicar de manera diferenciada, según el perfil y nivel de riesgo de cada tipo de usuario de los servicios postales de pago, según se defina en matrices de riesgo de los tipos de usuarios correspondientes.

Dentro de dichos procedimientos, los operadores deben solicitar a los usuarios de los servicios postales de pago la información o documentación soporte necesaria para obtener un debido conocimiento de los mismos.

Las metodologías para conocer al usuario deben permitir a los operadores, cuando menos:

— Recaudar la información que le permita comparar las características de sus transacciones con las de su actividad económica.

— Monitorear continuamente las operaciones de los usuarios.

— Contar con elementos de juicio que permitan analizar las transacciones inusuales de los usuarios y determinar la existencia de operaciones sospechosas.

Los operadores deben incluir procedimientos especiales frente a los usuarios de alto riesgo, que contemplen un estándar de control más exigente.

ii) Procedimientos y mecanismos para la identificación y análisis de operaciones inusuales.

Se consideran como operaciones inusuales aquellas operaciones o transacciones que cumplan con las siguientes características:

— Operaciones respecto de las cuales no ha encontrado explicación o justificación que se considere razonable.

— La presencia de alguna de las señales de alerta adoptadas por el operador.

— La presencia de posibles tipologías de operaciones de LA/FT, definidas por documentos nacionales o internacionales.

— El usuario figura en alguna de las listas de control adoptadas por el operador.

a) El Sarlaft debe permitir a los operadores establecer cuándo una operación se considera como inusual.

b) Los operadores deben dejar constancia de cada una de las operaciones inusuales detectadas, así como del responsable o responsables de su análisis y los resultados del mismo.

c) A través de la segmentación y conocimiento del mercado se podrán determinar características usuales de las operaciones y compararlas con aquellas que realicen los usuarios, a efectos de detectar operaciones inusuales.

d) Si se presenta alguna operación o situación inusual, el funcionario que la detectó deberá efectuar el reporte de la operación inusual al gestor del riesgo, junto con la documentación soporte, para que el operador elabore el respectivo análisis tendiente a establecer si se trata de operación sospechosa susceptible de reporte a la autoridad competente.

iii) Procedimientos y mecanismos para la identificación y reporte de operaciones sospechosas.

a) La confrontación de las operaciones detectadas como inusuales, con la información acerca de los usuarios y de los mercados, debe permitir, conforme los análisis y verificaciones efectuadas por los operadores, identificar si una operación es o no sospechosa y reportarlo de forma oportuna y eficiente a la autoridad competente.

b) El gestor del riesgo, previo estudio de lo razonable del análisis y las características de las operaciones inusuales que le han sido reportadas, procede a establecer si la operación bajo análisis debe ser o no reportada como sospechosa y proceder a efectuar el respetivo reporte (ROS).

c) Para efectos del ROS, no se requiere que los operadores tengan certeza de que se trata de una actividad ilícita, así como tampoco deben identificar el tipo penal o que los recursos que maneja provienen de actividades ilícitas.

d) Cuando las operaciones de un usuario hayan sido reportadas nunca se le debe comunicar al usuario o contraparte este hecho.

e) En el caso que el operador considere no está en presencia de una “operación sospechosa”, sino frente a la ocurrencia de un delito, previa consulta con su área legal, deberá proceder a ponerlo en conocimiento de las autoridades competentes.

B) Instrumentos.

Para que los procedimientos y mecanismos adoptados por las empresas operen de manera efectiva, eficiente y oportuna, los operadores deben implementar, al menos, los siguientes instrumentos:

i) Señales de alerta o alertas tempranas.

a) Los operadores deben contar con señales de alerta para la detección de operaciones inusuales.

b) Las señales de alerta son solo un listado ilustrativo, siempre deben considerarse como señales de alerta todo hecho o circunstancia que, con base en el buen criterio del empleado, lo lleve a dudar por la atipicidad o anormalidad de la operación o de la circunstancia o situación.

ii) Verificación de listas.

Los operadores deben verificar listas restrictivas y de control, tanto frente al usuario remitente como frente al usuario destinatario o cualquier contraparte.

iii) Segmentación para detectar operaciones inusuales.

Los operadores deben efectuar una segmentación de su mercado de acuerdo con las características particulares del mismo, garantizando homogeneidad al interior de los segmentos y heterogeneidad, entre ellos.

A través de la segmentación, los operadores pueden determinar las características usuales del mercado particular en el cual se desenvuelven y compararlas con aquellas que realicen los usuarios, a efectos de definir señales de alerta sistematizadas que permitan detectar operaciones inusuales.

iv) Seguimiento y consolidación de operaciones.

a) Los operadores deben efectuar un seguimiento a las operaciones de los usuarios y contrapartes. Para dicho efecto, pueden implementar procedimientos para efectuar una consolidación de operaciones, preferiblemente con la utilización de una herramienta tecnológica.

b) Dicha consolidación se efectuará conforme su naturaleza y particularidades organizacionales.

No obstante, la misma se debe efectuar, cuando menos, mensualmente.

c) Estas consolidaciones serán tenidas en cuenta para la detección de operaciones inusuales.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 10.—Procedimientos para la identificación de riesgos y la aplicación de controles para mitigar el riesgo de LA/FT en las operaciones.

Antes de definir los controles para mitigar el riesgo de LA/FT es necesario establecer cuáles son los factores de riesgo de LA/FT e identificar los eventos de riesgo en los servicios postales de pago, para lo cual se sugiere seguir la metodología de los sistemas de gestión de riesgo que recomienda el modelo de negocios responsables y seguros de la Unodc, para la identificación de riesgos, adecuado a la naturaleza de los servicios postales de pago.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 11.—Procedimientos para la identificación de riesgos y la aplicación de controles para mitigar el riesgo de LA/FT frente a otros factores de riesgo- contrapartes. Los operadores deben adoptar procedimientos para la identificación de riesgos y aplicación de controles para mitigar el riesgo de LA/FT frente a otros factores de riesgo que resultan relevantes dentro de un Sarlaft, en la medida en que los mismos son fundamentales para la debida protección de los operadores frente a actividades ilícitas y, por lo mismo, evitan un riesgo contagio frente al servicio postal de pago.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 12.—Documentación. El gestor del riesgo es el responsable de la documentación del Sarlaft, para lo cual debe dar cumplimiento a los principios de integridad, oportunidad, confiabilidad y disponibilidad de la información.

La documentación relacionada con el Sarlaft de los operadores debe cumplir con los siguientes requisitos:

a) Los registros y demás elementos que evidencien la operación efectiva de la administración de este riesgo.

b) Los informes que la junta directiva, consejo de administración o el órgano equivalente, el representante legal, el gestor de riesgos y los órganos de control, deben elaborar en los términos de la presente resolución.

c) Contar con un respaldo físico y/o en medio magnético.

d) Contar con requisitos de seguridad, de forma tal que se permita su consulta solo por los funcionarios autorizados.

La documentación deberá comprender, por lo menos:

i) La aprobación expresa de la Junta Directiva, o quien haga sus veces, del Sarlaft que adopte el operador.

ii) El manual de procedimientos del Sarlaft.

iii) El registro de las operaciones inusuales y sospechosas debidamente reportadas.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 13.—Divulgación de la información y reportes externos e internos. Los operadores deben incluir, al menos, los siguientes reportes como consecuencia de la implementación del Sarlaft:

Reportes internos

• Operaciones inusuales

Reportes externos

• Reporte de operaciones sospechosas (ROS)

• Reporte de operaciones intentadas y rechazadas pero con características de sospechosas

• Reporte de transacciones en efectivo

• Otros reportes que requieran las autoridades competentes.

A) Reportes internos.

Reporte interno de operaciones inusuales

Para efectuar el reporte interno de operación inusual debe seguir el siguiente procedimiento:

a) Si se presenta alguna operación o situación inusual, la persona o empleado que la haya detectado, deberá elaborar un reporte sobre dicha operación y remitirlo de forma inmediata al gestor del riesgo del operador, junto con la documentación soporte.

b) Se debe diligenciar el reporte por cada operación inusual que se detecte sobre la que no fue posible encontrar explicación razonable de su consistencia y enviarse en la misma fecha de ocurrencia del hecho con la información, con los soportes requeridos y con la documentación que compruebe la diligencia previa.

c) Todo reporte interno de operación inusual debe quedar debidamente documentado tanto por la persona o empleado que detectó dicha operación, como por el gestor del riesgo.

d) Una vez el gestor del riesgo reciba el reporte de operación inusual, deberá realizar un estudio detallado del usuario, consultando tanto la información documental como las operaciones realizadas con el fin de confirmar la existencia de la operación inusual y la probabilidad del reporte de operación sospechosa.

e) En el evento que el operador no encuentre procedente hacer el reporte de la operación, archiva toda la documentación justificativa, junto con el correspondiente reporte de operación inusual, dejando constancia de las razones por las que no se considera operación sospechosa sujeta de reporte a las autoridades competentes.

Esta decisión deberá quedar debidamente documentada.

B) Reportes externos.

i) Reporte externo de operaciones sospechosas.

a) El operador, previo estudio de lo razonable del análisis y las características de las operaciones, procede a establecer si la operación bajo análisis debe ser o no reportada como sospechosa a las autoridades competentes, reporte que deberá hacerse bajo la forma y en los términos que establezca la UIAF.

b) Una vez efectuado el reporte de operación sospechosa, se debe proceder al archivo del mismo junto con los correspondientes soportes.

c) No se debe comunicar al usuario que sus operaciones han sido reportadas como sospechosas.

d) En el caso que el operador considere no está en presencia de una operación sospechosa, sino frente a la ocurrencia de un delito, previa consulta con su área legal, se debe proceder a colocar las denuncias correspondientes.

ii) Otros reportes que requieran las autoridades en el ámbito de su competencia.

Los operadores deben atender los reportes que requieran las autoridades en el ámbito de su competencia.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 14.—Procedimientos para la sanción de eventuales incumplimientos del Sarlaft.

Los operadores deben exigir a sus empleados y a los de los terceros en los cuales se apoyen para llevar a cabo su operación, aplicar los controles, mecanismos, instrumentos y procedimientos contenidos en el Sarlaft para evitar ser utilizados directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos para ser utilizados por organizaciones al margen de la ley.

Los operadores deberán contemplar las sanciones que se derivan para sus empleados del incumplimiento del Sarlaft. Así mismo, deberán exigirles a los canales en los cuales se apoyen para la prestación del servicio postal de pago, que contemplen en sus propios reglamentos internos, sanciones a sus empleados por el incumplimiento de los controles, mecanismos, instrumentos y procedimientos establecidos para mitigar el riesgo de LA/FT.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 15.—Certificación del cumplimiento de la presente resolución. Cada seis (6) meses el operador de servicios postales de pago, deberá remitir al Ministerio de Tecnologías de Información y Comunicaciones, certificación emitida por su revisor fiscal o, en su defecto, por una empresa de consultoría especializada en temas de administración, prevención y control de LA/FT, en la que se expresé el grado de cumplimiento de lo dispuesto en la presente resolución.

Dicha certificación no impide que el Ministerio de Tecnologías de Información y Comunicaciones realice sus propias verificaciones directamente o a través de terceros.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)

ART. 16.—Vigencia. La presente resolución rige a partir de la fecha de su publicación.

Publíquese y cúmplase.

Dada en Bogotá, D.C., a 29 de diciembre de 2010.

(Nota: Derogada por la Resolución 3677 de 2013 artículo 8° del Ministerio de Tecnologías de la Información y las Comunicaciones)