Síntesis: las entidades vigiladas pueden contratar con terceros la realización de las gestiones necesarias para el conocimiento del cliente, siempre que dichas actividades se desarrollen conforme a los parámetros, procedimientos y metodologías previamente establecidos por la entidad. Cabe destacar que se encuentra prohibida la tercerización de las funciones asignadas al oficial de cumplimiento, así como las relacionadas con la identificación y reporte de operaciones sospechosas.  

«… mediante la cual solicita concepto jurídico sobre la viabilidad de que una entidad vigilada por la Superintendencia Financiera de Colombia (SFC) en cumplimiento de sus deberes legales (i) contrate a un tercero con el fin de que este gestione la debida diligencia de las contrapartes con las que se relacionan y (ii) genere cobros por completar dicho proceso.

Señala que, como oficial de cumplimiento principal de una sociedad por acciones simplificada que está comprometida con el cumplimiento de la normativa en materia de prevención del riesgo de lavado de activos, financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva (LAFTFPADM) le llama la atención esta práctica, razón por la cual le gustaría conocer la postura de la SFC frente a los siguientes interrogantes:

1. ¿Existe alguna normativa o concepto por parte de la Superintendencia Financiera que prohíba o limite a sus vigilados tercerizar el proceso de Debida Diligencia requerida por la normativa LA/FT?

La SFC en virtud de lo dispuesto en los artículos 102 y siguientes del Estatuto Orgánico del Sistema Financiero (EOSF) emitió las instrucciones referentes a la administración del riesgo de lavado de activos y financiación del terrorismo (LAFT), aplicables de manera general a las entidades que se encuentran bajo su vigilancia^[1].

Dichas instrucciones se encuentran contenidas en el Capítulo IV, Título IV de la Primera Parte de la Circular Básica Jurídica^[2] (en adelante Capítulo SARLAFT) y establecen los criterios y parámetros mínimos que las Entidades Vigiladas deben atender en el diseño, implementación y funcionamiento de un Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo -SARLAFT-. El referido sistema tiene como fin prevenir que aquellas sean utilizadas para dar apariencia de legalidad a activos provenientes de actividades delictivas o para la canalización de recursos hacia la realización de actividades terroristas.

Para dar cumplimiento a los mencionados lineamientos, las Entidades Vigiladas deben, entre otros procesos, llevar a cabo un efectivo, eficiente y oportuno conocimiento de sus clientes actuales y potenciales, así como verificar la información suministrada y sus correspondientes soportes, atendiendo los requisitos establecidos en la señalada Circular; tienen la obligación de recolectar los antecedentes necesarios para adelantar dicho procedimiento y sin que pueda iniciar relaciones contractuales o legales hasta tanto no se haya surtido tal procedimiento.

Ahora bien, el numeral 4.2.4.2.8 de la precitada Circular señala que el SARLAFT de las entidades vigiladas debe contemplar, entre otras funciones a cargo del representante legal, la de aprobar los criterios, metodologías y procedimientos para la selección, seguimiento y cancelación de los contratos celebrados con terceros para la realización de aquellas funciones relacionadas con el SARLAFT que pueden realizarse por éstos, de acuerdo con lo señalado en la referida normativa.

A su vez, el numeral 4.2.4.3.2.11 establece que no pueden contratarse con terceros las funciones asignadas al oficial de cumplimiento, ni aquellas relacionadas con la identificación y reporte de operaciones inusuales, así como las relacionadas con la determinación y reporte de operaciones sospechosas.

Teniendo en cuenta que la Circular Básica Jurídica sólo prohíbe de manera expresa la tercerización de las funciones asignadas al oficial de cumplimiento, así como las relacionadas con la identificación y reporte de operaciones inusuales y las relativas a la determinación y reporte de operaciones sospechosas, es posible que las entidades vigiladas contraten con terceros la realización de las gestiones necesarias para el conocimiento del cliente; proceso que deberá adelantarse bajo los parámetros, procedimientos y metodologías previamente establecidos por aquellas.

No obstante lo anterior, se aclara que la información suministrada por el tercero debe ser verificada y analizada por la entidad vigilada, junto con sus respectivos soportes, ya que la obligación de determinar la procedencia o no de la vinculación de un cliente, radica única y exclusivamente en cabeza suya, por lo que dicha decisión no es susceptible de ser delegada en terceros.

En ese sentido, en los términos de la consulta, podrá el tercero realizar el análisis de la información y presentar su correspondiente informe y sugerencias, pero en modo alguno esto releva a las instituciones sujetas a vigilancia de efectuar los análisis pertinentes, de adoptar las decisiones del caso sobre la vinculación, de aplicar los controles implementados y realizar el respecto monitoreo, ya que son aquellas quienes deben atender el diseño, implementación y funcionamiento del SARLAFT, a efectos de evitar la materialización del riesgo LAFT.

Vale la pena resaltar que esta normativa se encuentra en línea con la Recomendación 17 del Grupo de Acción Financiera Internacional -GAFI- que permite a las entidades confiar en terceros para realizar ciertas labores de conocimiento del cliente, siempre que se dé cumplimiento a los criterios allí establecidos tales como el acceso inmediato a la información necesaria por parte de la entidad financiera; que el tercero esté regulado, supervisado o monitoreado en cuanto a los requisitos sobre la debida diligencia del cliente y el mantenimiento de registros y que cuenta con medidas establecidas para el cumplimiento de los mismos y que la entidad que utiliza al tercero siga siendo plenamente responsable del cumplimiento de la obligación de conocer a sus clientes, entre otros aspectos^[3].

2. De acuerdo con lo anterior, ¿Es posible que el tercero contratado pueda cobrar por dicho servicio, trasladando esta carga a la contraparte con quien se va a relacionar su contratante?

Como se indicó anteriormente las instrucciones emitidas por esta Superintendencia están encaminadas a establecer los criterios y parámetros mínimos que sus vigiladas deben atender en el diseño, implementación y funcionamiento de su SARLAFT y, en esa medida, no está facultada para pronunciarse sobre los aspectos comerciales que aquellas puedan llegar a incluir en los contratos que celebren con terceros para recibir apoyo en sus procesos de conocimiento del cliente.

3. Finalmente, en caso de no existir una prohibición expresa, ¿cuáles serían los lineamientos o consideraciones que la Superintendencia Financiera tendría en cuenta para evaluar la legitimidad de dicho cobro?

Frente a este punto, se reitera que corresponde a esta Superintendencia velar por el cumplimiento de las instrucciones emitidas en materia de prevención del riesgo LAFT en los términos establecidos en el Capítulo SARLAFT, razón por la cual corresponde exclusivamente a las entidades vigiladas definir los términos económicos en las relaciones que aquellas establezcan con terceros, sin que ello implique supervisión, aprobación o legitimación previa por parte de la SFC.