Conceptos de la Superintendencia Financiera 

Concepto 2009017224-00 del 22 de abril de 2009

Síntesis: El papel que el SARLAFT le ha asignado a los órganos de control es el de evaluar el cumplimiento que la entidad le ha dado al mismo. Su función es la de pronunciarse, en el caso de la revisoría fiscal, sobre el cumplimiento de las normas e instructivos del sistema; en el caso de los auditores su pronunciamiento debe versar sobre la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del mismo. En relación con los reportes de operaciones sospechosas, evaluarán si la entidad ha diseñado e implementado de acuerdo con las normas y sus propias políticas y procedimientos lo relacionado con la determinación y reporte de operaciones sospechosas. Los órganos de control están facultados para pedir los soportes de las operaciones que hayan sido seleccionadas como objeto de evaluación de acuerdo con las técnicas de auditoria aplicables. Normas sobre la información que está sujeta a reserva, cuál debe ser reportada y/o suministrada y a quién, y quienes deben guardar reserva sobre tal información.

«(…) solicita se le resuelvan las siguientes inquietudes, relacionadas con la aplicación de la Circular 026 de 2008, las cuales absolveremos en el mismo orden en que fueron planteadas.

Consulta usted lo siguiente:

“P/1. ¿Si la a (sic) Auditoría Interna y /o el (sic) Revisoría Fiscal de las entidades vigiladas por la Superintendencia Financiera de Colombia, están facultadas legalmente y bajo que (sic) normas, para solicitar el acceso a todos los datos y soportes de las personas reportadas por operación sospechosas a la UIAF, cual (sic) es la normativa que los faculta o no a tener dicha información?

R/ Sea lo primero señalar que lo que se reporta son  las operaciones que realizan los clientes, no los clientes como tales. 

Para una mejor comprensión de la respuesta, se trascriben a continuación las normas del SARLAFT contenidas en el Capítulo 11 del título I de la Circular Básica Jurídica 007 de 1996 relacionadas con los revisores fiscales y los auditores internos y las del Código de Comercio pertinentes. 

“4.2.5. Órganos de Control

Las entidades deben establecer órganos e instancias responsables de efectuar una evaluación del SARLAFT, a fin de que se puedan determinar sus fallas o debilidades e informarlas a las instancias pertinentes. Sin embargo, los órganos de control que se establezcan para el efecto no son responsables de las etapas de la  administración del riesgo de LA/FT.

Los órganos de control serán por lo menos los siguientes: Revisoría Fiscal y Auditoría Interna o quien ejecute funciones similares o haga sus veces.

4.2.5.1.  Revisoría Fiscal

Sin perjuicio de las funciones asignadas en otras disposiciones al Revisor Fiscal, éste deberá elaborar un reporte trimestral dirigido a la Junta Directiva u órgano que haga sus veces, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARLAFT.

Además, deberá poner en conocimiento del oficial de cumplimiento, las inconsistencias y fallas detectadas en el SARLAFT y, en general, todo incumplimiento que detecte a las disposiciones que regulan la materia.

4.2.5.2.  Auditoría Interna o quien ejecute funciones similares o haga sus veces

Sin perjuicio de las funciones asignadas en otras disposiciones a la auditoría interna, o quien ejecute funciones similares o haga sus veces, ésta deberá evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT, con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, deberá informar los resultados de la evaluación al oficial de cumplimiento y a la junta directiva.

(…) .” (Negrilla fuera del texto)

De lo anterior es claro que el papel que el SARLAFT le ha asignado a los órganos de control es el de evaluar el cumplimiento que la entidad le ha dado al mismo. Es decir que su función es la de pronunciarse, en el caso de la revisoría fiscal,  sobre el cumplimiento de las normas e instructivos del sistema; en el caso de los auditores su pronunciamiento debe versar sobre la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del mismo.

En relación con  los reportes de operaciones sospechosas, evaluarán si la entidad ha diseñado e implementado de acuerdo con las normas y sus propias políticas y procedimientos lo relacionado con la determinación y reporte de operaciones sospechosas.

Los órganos de control están facultados para pedir los soportes de las operaciones que hayan sido seleccionadas como objeto de evaluación de acuerdo con las técnicas de auditoria aplicables

La facultad legal del auditor interno está en que éste es un funcionario de la entidad, quien por instrucción de la superintendencia Financiera de acuerdo con el numeral 4.2.5.2 antes trascrito, debe evaluar cada una de las etapas y elementos del SARLAFT.

La facultad del revisor fiscal se desprende de lo señalado en el numeral 4.2.4.1 antes citado, en concordancia con el artículo 207 del código de Comercio, el cual establece como la tercera de sus funciones la de “Colaborar con las entidades gubernamentales que ejerzan la inspección y vigilancia de las compañías, y rendirles los informes a que haya lugar o le sean solicitados”.

En concordancia con lo anterior, esta superintendencia expidió la Circular Externa 054 de 2008, incorporada en el título i Capítulo tercero de la circular básica jurídica 007 de 1996, la cual en numeral 4.2 funciones y responsabilidades de la revisoría fiscal, subnumeral 4.2.8 quinto párrafo señala:

“Además, deberá poner oportunamente en conocimiento del representante legal, y cuando sea del caso del oficial de cumplimiento, del Comité de Auditoria y del Auditor Interno, según corresponda, las inconsistencias y fallas detectadas en cada uno de los Sistemas de Administración de Riesgo, así como todo incumplimiento que detecte a las disposiciones que regulan la materia.”

A su turno el segundo párrafo del numeral 4.2.9 de la circular citada establece:

“Para efectos de cumplir en forma adecuada las funciones antes relacionadas, dentro del ámbito de  fiscalización del revisor fiscal estarán todas las operaciones, actos y áreas de la entidad, así como todos sus bienes, sin reserva alguna.”(Subrayado fuera del texto).

Debe señalarse que por las razones que se expondrán en la respuesta a la pregunta numero 2, los órganos de control deben mantener la total reserva de que trata el artículo 105 del Estatuto Orgánico del Sistema Financiero, so pena de hacerse acreedores de las sanciones administrativas y penales del caso.

P/“2. Se defina cual (sic) es el nivel de confidencialidad y acceso de la información de clientes o personas que fueron reportadas como operación sospechosas (sic) a la UIAF”.

R/ Se reitera lo señalado en la pregunta anterior, en el sentido de que lo que se reporta son las operaciones que realizan los clientes, y en ningún caso los clientes como tales.

Las normas aplicables al tema de su consulta son las siguientes:

1. Constitución Política

Artículo 15. “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

(…)

Para efectos tributarios o judiciales y para los casos de inspección, vigilancia e intervención del Estado  podrá exigirse la presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley”. (Subrayado fuera de texto)

2. Estatuto Orgánico del Sistema Financiero (EOSF)

“ARTÍCULO 102. RÉGIMEN GENERAL.

(…)

2. Mecanismos de control.

Para los efectos del numeral anterior, esas instituciones deberán adoptar mecanismos y reglas de conducta que deberán observar sus representantes legales, directores, administradores y funcionarios, con los siguientes propósitos:

(…)

d) Reportar de forma inmediata y suficiente a la Unidad de' Información y Análisis Financiero cualquier información relevante sobre manejo de activos o pasivos u otros recursos, cuya cuantía o características no guarden relación con la actividad económica de sus clientes, o sobre transacciones de sus usuarios que por su número, por las cantidades transadas o por las características particulares de las mismas, puedan conducir razonablemente a sospechar que los mismos están usando a la entidad para transferir, manejar, aprovechar o invertir dineros o recursos provenientes de actividades delictivas o destinados a su financiación.

ARTÍCULO 105. RESERVA SOBRE LA INFORMACIÓN REPORTADA. Sin perjuicio de la obligación de reportar de forma inmediata y suficiente a la Unidad de Información y Análisis Financiero la información a que se refiere la letra d) del numeral 2 del artículo 102, las instituciones financieras sólo estarán obligadas a suministrar información obtenida en desarrollo de los mecanismos previstos en los artículos anteriores cuando así lo solicite la Unidad de Información y Análisis Financiero o la Fiscalía General de la Nación.

Las autoridades, las entidades, Sus administradores y sus funcionarios que tengan conocimiento por cualquier motivo de las informaciones y documentos a que se refieren los artículos anteriores deberán mantener reserva sobre los mismos.

Las autoridades, las entidades, sus administradores y sus funcionarios no podrán dar a conocer a las personas que hayan efectuado o intenten efectuar operaciones sospechosas, que se ha comunicado a la Unidad de Información y Análisis Financiero información sobre las mismas, y deberán guardar reserva sobre dicha información." (Subrayado y negrilla fuera del texto).

2. Código de Comercio

"Artículo 61. EXCEPCIONES AL DERECHO DE RESERVA. Los libros y papeles del comerciante no podrán examinarse por personas distintas de sus propietarios o personas autorizadas para ello, sino para los fines indicados en la Constitución Nacional y mediante orden de autoridad competente.

Lo dispuesto en este artículo no restringirá el derecho de inspección que confiere la ley a los asociados sobre libros y papeles de las compañías comerciales, ni el que corresponda a quienes cumplan funciones de vigilancia o auditoría en las mismas (Subrayado, fuera del texto)

Artículo 214. RESERVA DEL REVISOR FISCAL EN EL EJERCICIO DE SU CARGO. El revisor fiscal deberá guardar completa reserva sobre los actos o hechos de que tenga conocimiento en ejercicio de su cargo y solamente podrá comunicarlos o denunciarlos en la forma y casos previstos expresamente en las leyes." (Negrilla fuera del texto).

4. UIAF

Ley 526 de 1999

"Artículo 4º. ”Funciones de la Dirección General. Las siguientes serán las funciones generales de la Dirección General

(…)

5. Solicitar a cualquier entidad pública o privada la información que considere necesaria para el cumplimiento de sus funciones, salvo la sujeta a reserva en poder de la Fiscalía General de la Nación.”

Artículo 9º. Manejo de información

(…)

Las entidades obligadas a cumplir con lo previsto en los artículos 102 a 107 del Estatuto Orgánico del Sistema Financiero deberán colocar en forma inmediata a disposición de la Unidad de que trata esta ley, la información atinente al conocimiento de un determinado cliente o transacción u operación cuando se les solicite.

Para los temas de competencia de la UIAF, no será oponible la reserva, bancaria, cambiaria, bursátil y tributaria  …

La información que recaude la Unidad de que trata la presente ley en cumplimiento de sus funciones y la que se produzca como resultado de su análisis, estará sujeta a reserva, salvo solicitud de las .autoridades competentes y las entidades legitimadas para ejercitar la acción de extinción de dominio quienes deberán mantener la reserva aquí prevista. (Subrayado, fuera del texto)

Artículo 10. Obligaciones de las Entidades del Estado. Las autoridades que ejerzan funciones de inspección, vigilancia y control, instruirán a sus vigilados sobre las características, periodicidad y controles en relación con la información a recaudar para la Unidad Administrativa Especial de que trata esta ley, de acuerdo con los criterios e indicaciones que reciban de ésta sobre el particular.”

5. Sanciones

EOSF Artículo 209

“Sanciones administrativas personales. La Superintendencia Bancaria podrá imponer las sanciones previstas en el presente Estatuto a los directores, administradores, representantes legales, revisores fiscales u otros funcionarios o empleados de una institución sujeta a su vigilancia cuando incurran en cualquiera de los siguientes eventos:

a) Incumplan los deberes o las obligaciones legales que les correspondan en desarrollo de sus funciones;

b) Ejecuten actos que resulten violatorios de la ley, de las normas que expida el Gobierno Nacional de acuerdo con la Constitución y la ley en desarrollo de sus facultades de intervención, de los estatutos sociales o de cualquier norma legal a la que estos en ejercicio de sus funciones o la institución vigilada deban sujetarse; ”(Negrilla fuera del texto).

Ley  190 DE 1995

“Artículo 41. Quien incumpla la obligación contenida en el último inciso del  artículo 105 del Estatuto Orgánico del Sistema Financiero (Decreto 663 de 1993), incurrirá en la sanción allí prevista (derogado), sin perjuicio de la sanción penal que por tal conducta pueda corresponder.” (Subrayado, fuera del texto).

Código de Comercio

“Artículo 62. El revisor fiscal, el contador o el tenedor de los libros regulados en este Título que violen la reserva de los mismos, será sancionado con arreglo al Código Penal en cuanto a la violación de secretos y correspondencia, sin perjuicio de las sanciones disciplinarias del caso”

II. Desarrollo
 
De la lectura de las normas anteriores, se desprende qué información está sujeta a reserva, cuál debe ser reportada y/o suministrada y a quién, y quienes deben guardar reserva sobre tal información:  

a) La información obtenida en desarrollo de los artículos 102-104 del EOSF. (EOSF. Art. 105 primer inciso)

b) Informar a las personas que hayan efectuado o intenten efectuar operaciones sospechosas que se han reportado a la UIAF tales operaciones  (EOSF Art. 105 inciso 3)
c) Las autoridades que tengan conocimiento de las informaciones y documentos a que hacen referencia los artículos 102 -104 del EOSF deberán mantener reserva sobre los mismos (Art. 105 inciso 2)

d)  Los libros y papeles del comerciante (Art. 61 del Código de Comercio)

a) Las instituciones financieras tienen la obligación de reportar a la UIAFlas operaciones sospechosas de sus clientes (ROS) (EOSF Art. 102 literal d) y el reporte mensual de ausencia de ROS ( Art. 10 Ley 526 de 1999)

b) Las instituciones financieras tienen la obligación de reportar a la UIAFla totalidad de las transacciones en efectivo (individuales, múltiples, reporte de  clientes exonerados del reporte de transacciones en efectivo; reporte sobre operaciones de transferencia, remesa, compra y venta de divisas; reporte de Información sobre transacciones realizadas en Colombia con tarjetas crédito o débito expedidas en el exterior; reporte sobre productos ofrecidos por las entidades vigiladas; reportes de los Almacenes Generales de Depósito a otras autoridades.  (EOSF Arts. 103 y 104 y numerales 4.2.7.2.2 a 4.2.7.2.7 del Capítulo 11 citado)

c) Las instituciones financieras tienen la obligación de reportar a la UIAF la información que esa Unidad les solicite (Ley 526 Art. 9°)

a) Las instituciones financieras sólo estarán obligadas a suministrar la información a que hacen referencia los artículos 102 -104 del EOSF a las siguientes autoridades:

-  a la UIAF (Art. 105 Inciso 1°)
-  a la Fiscalía General de la Nación   
   (Art. 105 Inciso 1°)
-  la Superintendencia Financiera (C. Nal. Art. 15 último inciso)
- a quienes de acuerdo con la ley deban “Colaborar con las entidades gubernamentales que ejerzan la inspección y vigilancia de las compañías…” (Revisores fiscales: numeral 3, del artículo 207 del Código de Comercio)

b) Las instituciones financieras deberán suministra la información que la UIAF les solicite. (Numeral 5 del artículo 4º de la ley 525 de 1999)

 
De acuerdo con las normas antes citadas deberán guardar reserva:

- Las entidades a las que aplican los artículos 102 a 105 del ESOF, sus administradores y sus funcionarios (ESOF Art. 105)
-  La UIAF (Art.  9° Ley 526 y ESOF Art 105)
-  La Fiscalía General de la Nación (ESOF Art 105) 
- La Superintendencia Financiera de Colombia y demás autoridades de supervisión (ESOF Art 105) 
-  Revisores Fiscales (Artículo 214 del Código de Comercio y ESOF Art. 105). 

III. Conclusión

Sea lo primero señalar, que de las normas antes citadas se desprende que únicamente el cliente es quien puede autorizar que la información personal que le ha suministrado a la entidad en virtud del formulario de vinculación, así como la derivada de su relación contractual, esto es, la información relativa a sus transacciones y movimientos (consignaciones, pagos, retiros, extractos, etc.,) y a su comportamiento comercial, sea divulgada a quien él designe. Por tratarse de un derecho fundamental protegido por la Constitución, la autorización del cliente para que se divulgue a un determinado tercero la información de la cual puede disponer, debe ser clara y expresa; para poder probar que ello fue así, debe constar por escrito.

En relación con el resto de la información, es decir aquella que ha sido “trabajada”  “desarrollada” “analizada” “comparada” o “manipulada” por la entidad, como es la obtenida en desarrollo de los mecanismos previstos en los artículos. 102 a 104 del EOSF, la misma está sujeta a reserva de acuerdo con lo consagrado en el citado Art. 105. El cliente no tiene facultad para levantar tal reserva, pues este tipo de información no le pertenece, y la Entidad tiene prohibición legal de divulgarla, salvo a quienes la ley expresamente ha señalado como usuarios de tal información.

Es decir que el nivel de acceso a la información de los clientes y de la que ha sido obtenida en desarrollo de loas artículos 102 a 104 del EOSF y la contemplada en el artículo 105 del citado estatuto, es totalmente restringido. Sólo tendrán acceso a ella: 1. Los  administradores y funcionarios de la entidad vigilada que de acuerdo con el Capítulo 11 citado y el SARLAFT adoptado, les hayan sido asignadas funciones sobre tal información, y sólo en lo relacionado con el cumplimiento de  tales funciones. 2. La UIAF. 3. La Fiscalía General de la Nación. 4. La Superintendencia Financiera de Colombia. 5. Quienes de acuerdo con la ley deban “Colaborar con las entidades gubernamentales que ejerzan la inspección y vigilancia de  las compañías…” (Revisores fiscales).
 
En cuanto al nivel de confidencialidad o reserva sobre la misma es total. Las entidades y sus funcionarios sólo podrán suministrar este tipo de información a las personas que de acuerdo con lo señalado en el párrafo precedente tengan acceso a la misma.

P/“3. ¿Si la auditoría interna de una empresa, está facultada legalmente para practicarle pruebas o exámenes de conocimiento específicos sobre SARLAFT, u otros temas relacionado (sic) con el ejercicio de sus funciones a los Oficiales de Cumplimiento de las entidades vigiladas por la superintendencia Financiera de Colombia?”

R/ Si, siempre y cuando la entidad haya facultado a la auditoria interna para ello. Las normas contempladas en el citado Capítulo 11 son normas mínimas. El numeral 4.2.5.2 establece las funciones que debe desempeñar la auditoria interna o quien haga sus veces, pero la entidad puede establecer si lo considera necesario, funciones adicionales a aquellas. Debe señalarse que las funciones asignadas a los “auditores internos” deben ser desempeñadas por “funcionarios internos” y no pueden contratarse con terceros, por cuanto se trataría entonces de una “auditoria externa”. 

P/*4. ¿Qué acciones administrativas, legales o de otro orden deben emprender las empresas en donde se han presentado estas situaciones de los numerales 1 y 3 y cuáles serían los fundamentos jurídicos para sustentar dichas acciones?”

R/ Las acciones que deben emprender las empresas en el evento en que se haya dado la violación a una norma de obligatorio cumplimiento para ellas, sus administradores y/o sus funcionarios son: por una parte, poner en conocimiento de las autoridades administrativas y/o penales correspondientes la presumible infracción y el presunto responsable para que sean tales autoridades las que decidan de acuerdo con los procedimientos del caso, si hay lugar a la imposición de sanciones o no y proceder de conformidad; y por otra, las acciones disciplinarias de carácter interno que la entidad haya preestablecido para tales casos, de acuerdo con los procedimientos fijados por ella y si es del caso imponer las sanciones del caso.

P/“5. El Revisor Fiscal puede en su dictamen declarar limitación  al alcance de su auditoría, en razón de la falta de acceso a la información confidencial de los clientes de la entidad que dieron origen al reporte de operación sospechosa a UIAF.”

R/ De acuerdo con la respuesta a la pregunta 2, el revisor fiscal tiene acceso a la totalidad de la información de la entidad que audita. Su función la debe adelantar de acuerdo con las técnicas y prácticas de auditoria generalmente aceptadas. De acuerdo con lo dispuesto en el subnumeral 4.2.8 de la Circular externa 054 de 2008 citado: “… el revisor fiscal debe evaluar si el sistema de control interno de la entidad fiscalizada, incluyendo en éste los sistemas de administración de riesgos implementados o que deban ser implementados de conformidad con las disposiciones que le resulten aplicables.

(…)

La evaluación del revisor fiscal debe realizarse en el contexto del alcance de las funciones que le asigna la ley y permitir verificar que los referidos sistemas coadyuvan a que la administración garantice el adecuado cumplimiento de las normas vigentes.” (Subrayado, fuera del texto).

Así mismo el subnumeral  4.4.3.2.Elementos del dictamen del Revisor fiscal del citado instructivo señala lo siguiente:

“Adicionalmente, de conformidad con lo establecido en el artículo 209 del Código de Comercio, el revisor fiscal debe informar a la asamblea, junta de socios o máximo órgano social lo siguiente:

(…)

iii. Si hay y son adecuadas las medidas de control interno, de conservación y custodia de los bienes de la sociedad o de terceros que estén  en poder de la compañía.” (Negrilla  y Subrayado, fuera del texto)

De lo anterior es claro que el revisor fiscal podría en su dictamen declarar la limitación a la que su pregunta se  refiere. 

P/“6. La Superintendencia Financiera, se pronuncie acerca del alcance y los documentos o información debe contener el reporte de operaciones consolidadas”.

R/ Las entidades sometidas a la vigilancia de esta Superintendencia sólo deben realizar los reportes contemplados en los numerales 4.2.7.2.1 a 4.2.7.2.7 del Capítulo 11 citado, ya discriminadas en el punto de reportes correspondiente al desarrollo de la respuesta a la pregunta 2. Debe señalarse que ninguno de tales reportes se denomina “ Reporte de operaciones consolidadas”.

Finalmente, de la simple lectura de los numerales citados se desprende que todos los reportes tienen un instructivo y una proforma que señalan claramente qué información debe contener cada uno de ellos.

(…).»