Recibe pagos en línea
connuestras soluciones
Controla y maneja el pago
de tus facturas
Automatiza tus cobros
recurrentes
Mitiga el fraude en tus
transacciones
Repartición automática
de tus pagos
Recibe pagos en cualquier
lugar del mundo
Haz realidad tu tienda
en pocos minutos
Recibe pagos en línea
connuestras soluciones
Controla y maneja el pago
de tus facturas
Automatiza tus cobros
recurrentes
Mitiga el fraude en tus
transacciones
Recibe pagos en cualquier
lugar del mundo
Haz realidad tu tienda
en pocos minutos
Repartición automática
de tus pagos
Recibe pagos en línea
connuestras soluciones
Controla y maneja el pago
de tus facturas
Automatiza tus cobros
recurrentes
Mitiga el fraude en tus
transacciones
Repartición automática
de tus pagos
Recibe pagos en cualquier
lugar del mundo
Haz realidad tu tienda
en pocos minutos
Recibe pagos en línea
connuestras soluciones
Controla y maneja el pago
de tus facturas
Automatiza tus cobros
recurrentes
Mitiga el fraude en tus
transacciones
Recibe pagos en cualquier
lugar del mundo
Haz realidad tu tienda
en pocos minutos
Repartición automática
de tus pagos
INTRODUCCIÓN
EPAYCO.COM S.A.S (en adelante, “Epayco” o la “Compañía”) es una es una sociedad comercial legalmente constituida, con domicilio principal en la ciudad de Medellín, Antioquia, Colombia.
Epayco cuenta con todas las autorizaciones legales y administrativas de conformidad con la legislación aplicable, para la prestación de los servicios de pasarela de pagos, entre otros.
Debido al nivel de ingresos de Epayco y a las actividades que realiza, la Compañía no es ajena a los riesgos relacionados con el Lavado de Activos, la Financiación del terrorismo y el Financiamiento de la Proliferación de Armas de Destrucción Masiva (“LA/FT/FPADM”), conductas delictivas que pueden afectar la competitividad, productividad y perdurabilidad de la Compañía.
Es por ello que la Asamblea General de Accionistas de Epayco, en observancia de las normas de prevención del riesgo de LA/FT/FPADM en Colombia, en particular el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades (en su más reciente modificación a través de la Circular Externa 100-000016 de 2020), ha decidido adoptar los principios y estándares para la implementación de un Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos y Financiación del Terrorismo (el “SAGRILAFT”), del cual hace parte el presente documento que contiene las políticas y procedimientos de dicho sistema.
OBJETIVO DEL MANUAL
El presente Manual del Sistema de Autocontrol y Gestión de Riesgo Integral de LA/FT/FPADM (el “Manual SAGRILAFT” o simplemente el “Manual”) tiene como objetivo definir los criterios y procedimientos que aplica la Compañía para prevenir y gestionar los riesgos de LA/FT/FPADM en el desarrollo de cualquiera de las actividades comprendidas dentro de su objeto social y en particular, se busca prevenir que la Compañía sea usada como medio para dar apariencia de legalidad a dineros provenientes de actividades delictivas o con destino a éstas.
Por otra parte, este manual sirve de carta de presentación ante los grupos de interés que requieran conocer cómo maneja la Compañía el riesgo de LA/FT/FPADM al que se encuentra expuesta.
Son objetivos del Sistema de Autocontrol y Gestión del Riesgo integral de LA/FT/FPADM (SAGRILAFT), los siguientes:
Prevenir que la Compañía sea utilizada para dar apariencia de legalidad a dineros obtenidos en la ejecución de actividades delictivas o para la canalización de recursos destinados hacia la realización de este tipo de actividades.
Controlar el riesgo de LA/FT/FPADM al que se ve expuesta la Compañía, en razón a las fuentes de riesgo y riesgos asociados, adoptando metodologías descritas en este manual y que permitan gestionar dicho riesgo.
Detectar y reportar oportunamente las operaciones sospechosas a la Unidad de Información y Análisis Financiero – UIAF y a las demás autoridades.
Cumplir con la normatividad vigente en materia de autocontrol y gestión del riesgo integral de LA/FT/FPADM.
MARCO NORMATIVO
A continuación, se describe el marco normativo aplicable a Epayco en materia de prevención y gestión del riesgo de LA/FT/FPADM:
General
Ley 1121 de 2006. Establece que la Compañía debe realizar un reporte a la UIAF cuando tenga conocimiento de la presencia o tránsito de una persona incluida en una de las listas internacionales vinculantes para Colombia de conformidad con el derecho internacional. En este sentido, la Compañía deberá realizar consultas periódicas en la lista emitida por el Consejo de Seguridad de la Naciones Unidas (ONU) y las listas de terroristas de Estados Unidos y la Unión Europea de acuerdo con el Consejo de Seguridad Nacional (Acta del 17 de enero de 2020), frente a las personas con las cuales mantiene cualquier tipo de vínculo.
Ley 1708 de 2014 – Código de Extinción de Dominio. De acuerdo con el artículo 119, la Compañía tiene la obligación de informar a la Fiscalía General de la Nación sobre la existencia de bienes que haya detectado en desarrollo de sus actividades y que pueden ser objeto de la acción de extinción de dominio.
De igual forma, el artículo 7 impone a la Compañía una carga de actuar con buena fe exenta de culpa para que en caso de tener que comparecer a un proceso de extinción de dominio pueda demostrar que actuó con diligencia y prudencia, y de esta forma ejercer su derecho a la defensa.
Código Penal Colombiano. Artículo 441. La Compañía tiene la obligación de denunciar a la autoridad competente cuando tenga conocimiento de la realización de los delitos de LA/FT/FPADM, entre otros. La omisión de esta denuncia dará lugar a una sanción penal respecto de la persona que teniendo el conocimiento del cometimiento del delito no lo denunció.
Decreto 830 de 2021: Por el cual se adicionan algunos artículos al Decreto 1081 de 2015 relacionados con el régimen de las Personas Expuestas Política PEP, incluyendo las PEP Extranjeras y PEP de Organizaciones Internacionales.
Especifico
Circular Básica Jurídica, Capítulo X, Autocontrol y Gestión del Riesgo LA/FT/FPADM y reporte de operaciones sospechosas a la UIAF, de la Superintendencia de Sociedades, Instruye a las empresas sujetas a la vigilancia permanente o al control que ejerce la Superintendencia de Sociedades y que al 31 de diciembre del año inmediatamente anterior, hubieren obtenido ingresos o activos totales iguales o superiores a 40.000SMLMV para que diseñen e implementen un sistema de autocontrol y gestión del riesgo de LA/FT/FPADM que tiene como objetivo principal minimizar la posibilidad que a través de las distintas actividades que llevan a cabo la Compañía se introduzcan recursos provenientes de Lavado de Activos o que los recursos de éstas tengan como destino la Financiación del Terrorismo y/o el financiamiento de la proliferación de armas de destrucción masiva. El plazo de cumplimiento para poner en marcha el sistema, es de doce meses, contado a partir del primero de enero del año siguiente a aquel en que se cumplan los requisitos establecidos.
AMBITO DE APLICACIÓN
El presente documento está dirigido a los accionistas, administradores, empleados directos o indirectos y demás terceros que establezcan algún tipo de relación con la Compañía.
OBJETIVOS DEL SISTEMA
El sistema de autocontrol y gestión del riesgo de LA/FT/FPADM que adopta la compañía, tiene como objetivos los siguientes:
No permitir el ingreso a La Compañía de personas con algún vínculo de lavado de activos o financiación del terrorismo como contraparte.
No recibir en las transacciones que realicen La Compañía activos de origen ilícito.
No permitir que La Compañía sean utilizadas en ninguna circunstancia como instrumento para lavar activos o financiar al terrorismo.
Que La Compañía no sean sancionadas por incumplir o no observar las obligaciones relacionados con la prevención y el control del LA/FT/FPADM.
GLOSARIO
Sin perjuicio de aquellos términos que se definen a lo largo de las presentes disposiciones, los cuales, podrán estar desarrollados en el presente Glosario, para una mejor comprensión de este Manual, se aplican las siguientes definiciones, que deberán ser interpretadas indistintamente del género en singular o plural:
Activo Virtual: Es la representación digital de valor que se puede comercializar o transferir digitalmente y se puede utilizar para pagos o inversiones. Los activos virtuales no incluyen representaciones digitales de moneda fiat, valores y otros Activos financieros que ya están cubiertos en otras partes de las Recomendaciones GAFI1.
Activos: Es un recurso económico presente controlado por la Compañía como resultado de sucesos pasados.
Administradores: Son administradores el representante legal, el liquidador, los miembros de juntas o consejos directivos y quienes de acuerdo con los estatutos de la compañía ejerzan o detenten esas funciones2.
Asociados: Son los denominados socios o accionistas, es decir, aquellas personas que ostentan la titularidad de las cuotas sociales, partes de interés o acciones de la compañía.
Autocontrol: Es la voluntad de la Compañía y los Administradores para detectar, controlar y gestionar de manera eficiente y eficaz los riesgos LA/FT/FPADM a los que está expuesta Epayco.
Beneficiario Final: Hace referencia a la(s) persona(s) natural(es) que finalmente posee(n) o controla(n) a un cliente o a la persona natural en cuyo nombre se realiza una transacción. Incluye también a la(s) persona(s) que ejerzan el control efectivo y/o final, directa o indirectamente, sobre una persona jurídica u otra estructura sin personería jurídica. Son Beneficiarios Finales de la persona jurídica los siguientes:
Persona natural que, actuando individual o conjuntamente, ejerza control sobre la persona jurídica, en los términos del artículo 2603 y siguientes del Código de Comercio; o
Persona natural que, actuando individual o conjuntamente, sea titular, directa o indirectamente, del cinco por ciento (5%) o más del capital o los derechos de voto de la persona jurídica, y/o se beneficie en un cinco por ciento (5%) o más de los rendimientos, utilidades o Activos de la persona jurídica;
Cuando no se identifique alguna persona natural en los numerales anteriores, la persona natural que ostente el cargo de representante legal, salvo que exista una persona natural que ostente una mayor autoridad en relación con las funciones de gestión o dirección de la persona jurídica.
Cliente: Es toda persona natural o jurídica con la cual la Compañía establece una relación contractual o legal, para la venta de servicios de Epayco.
Contraparte: Hace referencia a cualquier persona natural o jurídica con la que la Compañía tenga vínculos civiles, comerciales, de negocios, contractuales o jurídicos de cualquier orden. Hacen parte de las Contrapartes, los Clientes, Empleados, Proveedores, Asociados y demás terceros que tengan vínculos con la Compañía.
Control del riesgo de LA/FT/FPADM: Comprende la implementación de políticas, procesos, prácticas u otras acciones existentes que actúan para minimizar el riesgo LA/FT/FPADM en las operaciones, negocios o contratos que realice la Compañía.
Debida Diligencia (Due diligence en inglés): Equivale a ejecutar algo con suficiente cuidado. En los términos del Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, se entiende como el proceso mediante el cual la Compañía adopta medidas para el conocimiento de la Contraparte, de su negocio, operaciones y productos y el volumen de sus transacciones.
Debida Diligencia Intensificada: Es el proceso mediante el cual la Compañía adopta medidas adicionales y con mayor intensidad para el conocimiento de la Contraparte, de su negocio, operaciones, productos y el volumen de sus transacciones.
Empresa: Se refiere a las sociedades comerciales y las sucursales de sociedades extranjeras según la definición del Código de Comercio, a las empresas unipersonales regidas por la Ley 222 de 1995, a la sociedad por acciones simplificada según la ley 1258 de 2008 y demás personas jurídicas que estén bajo la vigilancia o no de la Superintendencia de Sociedades.
Empleado: Es toda persona natural que de manera personal y habitual desempeña un cargo o trabajo dentro de la Compañía y a cambio recibe una remuneración.
Eventos de riesgo: Hace referencia a eventos o incidentes de LA/FT/FPADM que ocurren en la Compañía durante un intervalo particular de tiempo.
Factores de Riesgo: Son los posibles elementos o causas generadoras del riesgo de LA/FT/FPADM en la Compañía y se deben tener en cuenta para identificar las situaciones que puedan generarlo en las operaciones, negocios o contratos que realizan las empresas.
Para efectos del presente Manual se tendrán en cuenta los siguientes Factores de Riesgo:
Contraparte: Hace referencia a cualquier persona natural o jurídica con la que la Compañía tenga vínculos civiles, comerciales, de negocios, contractuales o jurídicos de cualquier orden. Hacen parte de las Contrapartes, los Clientes, Empleados, Proveedores, Asociados y demás terceros que tengan vínculos con la Compañía.
Servicios: Son las asistencias que provee, comercializa, u ofrece la Compañía o adquiere de un tercero.
Canales de distribución: Medios que utiliza Epayco para ofrecer y comercializar sus servicios.
Jurisdicción territorial: Zonas geográficas identificadas como expuestas al riesgo LA/FT/FPADM en donde la Compañía comercializase u ofrece sus servicios o Zonas geográficas en donde se ubican sus clientes.
Financiación del Terrorismo – FT: Delito que comete toda persona que incurra en alguna de las conductas descritas en el artículo 345 del Código Penal, que establece: “El que directa o indirectamente provea, recolecte, entregue, reciba, administre, aporte, custodie o guarde fondos, bienes o recursos, o realice cualquier otro acto que promueva, organice, apoye, mantenga, financie o sostenga económicamente a grupos de delincuencia organizada, grupos armados al margen de la ley o a sus integrantes, o a grupos terroristas nacionales o extranjeros, o a terroristas nacionales o extranjeros, o a actividades terroristas, incurrirá en prisión de trece (13) a veintidós (22) años y multa de mil trescientos (1.300) a quince mil (15.000) salarios mínimos legales mensuales vigentes”.
Financiamiento de la Proliferación de Armas de Destrucción Masiva o FPADM: Es todo acto que provea fondos o utilice servicios financieros, en todo o en parte, para la fabricación, adquisición, posesión, desarrollo, exportación, trasiego de material, fraccionamiento, transporte, trasferencia, deposito o uso dual para propósitos ilegítimos en contravención de las leyes nacionales u obligaciones internacionales, cuando esto último sea aplicable4.
Gestión del Riesgo Integral de LA/FT/FPADM: Consiste en la adopción de políticas y procedimientos que permitan prevenir y controlar el riesgo de LA/FT/FPADM en la Compañía.
LA/FT/FPADM: Significa Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva.
Herramientas: Son los medios que utiliza la Compañía para prevenir que se presente el riesgo de LA/FT/FPADM y para detectar operaciones intentadas, inusuales o sospechosas. Dentro de dichas herramientas se pueden mencionar, entre otras, las señales de alerta, indicadores de operaciones inusuales, programas para administración de riesgos y hojas electrónicas de control.
Lavado de Activos – LA: Delito que comete toda persona que busca dar apariencia de legalidad a bienes o dinero provenientes de alguna de las actividades descritas en el artículo 323 del Código Penal.
Según lo establecido en el artículo 323 del Código Penal, los delitos fuente del LA son: “tráfico de migrantes, trata de personas, extorsión, enriquecimiento ilícito, secuestro extorsivo, rebelión, tráfico de armas, tráfico de menores de edad, financiación del terrorismo y administración de recursos relacionados con actividades terroristas, tráfico de drogas tóxicas, estupefacientes o sustancias sicotrópicas, delitos contra el sistema financiero, delitos contra la administración pública, contrabando, contrabando de hidrocarburos o sus derivados, fraude aduanero o favorecimiento y facilitación del contrabando, favorecimiento de contrabando de hidrocarburos o sus derivados, en cualquiera de sus formas o vinculados con el producto de delitos ejecutados bajo concierto para delinquir, o les dé a los bienes provenientes de dichas actividades apariencia de legalidad o los legalice, oculte o encubra la verdadera naturaleza, origen, ubicación, destino, movimiento o derecho sobre tales bienes incurrirá por esa sola conducta, en prisión de diez (10) a treinta (30) años y multa de mil (1.000) a cincuenta mil (50.000) salarios mínimos legales mensuales vigentes.”
Listas de prevención de LA/FT/FPADM / Listas Restrictivas: Relación de personas y empresas que, de acuerdo con el organismo que las publica, pueden estar vinculadas con actividades de LA/FT/FPADM. A nivel internacional, entre otras, se cuenta con:
La lista del Consejo de Seguridad de las Naciones Unidas (ONU), relativa a las personas físicas y Entidades miembros de los Talibanes, de la Organización AL-QAIDA o asociados con ellos, que conforme al derecho internacional es la única Lista Vinculante para Colombia.
La lista de la Oficina de Control de Activos Extranjeros del Gobierno de los Estados Unidos (OFAC por sus siglas en inglés), quién publica periódicamente la Lista de ciudadanos especialmente designados (SDN por sus siglas en inglés), en la que se enlistan individuos y organizaciones relacionadas con el delito de narcotráfico, con quienes las personas de los Estados Unidos y quienes tienen intereses en ese país tienen prohibido hacer negocios.
La lista de INTERPOL, relativa a las personas más buscadas por la justicia del mundo.
A nivel nacional, entre otras, se cuenta con:
La lista de la Contraloría General de la Nación, relativa a las personas que han tenido relaciones contractuales con ese organismo y han sido sancionados, más conocida como el boletín de responsables fiscales.
La base de datos de la Procuraduría General de la Nación, relativa a los antecedentes disciplinarios de las personas.
La lista colombiana de organizaciones terroristas, relativa a la transcripción de la lista de organizaciones terroristas de Estados Unidos y la Unión Europea.
Listas Vinculantes: Listas de personas o Entidades, ya sea, asociadas con organizaciones terroristas o con actividades delictivas que son de obligatoria verificación por parte de Colombia en virtud de tratados internacionales. De acuerdo con el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, son aquellas listas de personas y Entidades asociadas con organizaciones terroristas que son vinculantes para Colombia bajo la legislación colombiana5 y conforme al derecho internacional6 y todas aquellas que le sucedan, relacionen y complementen, y cualquiera otra lista vinculante para Colombia (como las listas de terroristas de los Estados Unidos de América, la lista de la Unión Europea de Organizaciones Terroristas y la lista de la Unión Europea de Personas Catalogadas como Terroristas).
Matriz de Riesgo LA/FT/FPADM: Es uno de los instrumentos que le permite a la Compañía identificar, individualizar, segmentar, evaluar y controlar los Riesgos LA/FT/FPADM a los que se podría ver expuesta, conforme a los Factores de Riesgo LA/FT/FPADM identificados.
Máximo órgano social: Hace referencia a la Asamblea de Accionistas y está conformada por los accionistas de la Compañía.
Medidas Razonables: Son las acciones suficientes, apropiadas y medibles en calidad y cantidad para mitigar el Riesgo LA/FT/FPADM, teniendo en cuenta los riesgos propios de la Compañía y su materialidad.
Monitoreo y/o seguimiento: Es el proceso continuo y sistemático mediante el cual se verifica la eficiencia y eficacia de una política o de un proceso, mediante la identificación de sus logros y debilidades para recomendar medidas correctivas tendientes a optimizar los resultados esperados. Es condición para rectificar o profundizar la ejecución y para asegurar la retroalimentación entre los objetivos, los presupuestos teóricos y las lecciones aprendidas a partir de la práctica.
Oficial de Cumplimiento: Hace referencia al Empleado de la Compañía, que está encargado de promover y desarrollar los procedimientos específicos de prevención, actualización y mitigación del Riesgo de LA/FT/FPADM.
Operación intentada: Se configura cuando se tiene conocimiento de la intención de una persona natural o jurídica de realizar una operación sospechosa, pero no se perfecciona por cuanto quien intenta llevarla a cabo desiste de la misma o porque los controles establecidos o definidos por la Compañía no permitieron realizarla. Estas operaciones también deben reportarse a la UIAF.
Operación inusual: Es aquella cuya cuantía o características no guardan relación con la actividad económica ordinaria de las contrapartes, o que por su número, por las cantidades transadas o por sus características particulares, no se enmarca dentro de las pautas de normalidad o prácticas ordinarias de los negocios en un sector o en una industria, saliéndose de los parámetros de normalidad establecidos por la Compañía.
Operación sospechosa: Es aquella Operación Inusual que, además, de acuerdo con los usos y costumbres de la actividad que se trate no ha podido ser razonablemente justificada. Este tipo de operaciones incluye las operaciones intentadas o rechazadas que contengan características que les otorguen el carácter de sospechosas.
Personas Expuestas Políticamente – PEP: Son personas nacionales o extranjeras que pueden exponer a un mayor riesgo de LA/FT/FPADM a la Compañía por desempeñar o haber desempeñado funciones públicas destacadas o que por su cargo, manejan o administran recursos públicos De acuerdo con el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, PEP son los servidores públicos de cualquier sistema de nomenclatura y clasificación de empleos de la administración pública nacional y territorial, cuando en los cargos que ocupen, tengan en las funciones del área a que pertenecen o en las de la ficha de empleo que ocupan, baso su responsabilidad directa o por delegación, la dirección general, de formulación de políticas institucionales y de adopción de planes, programas y proyectos, el manejo directo de bienes, dineros o valores del Estado. Estos pueden ser a través de ordenación de gasto, contratación pública, gerencia de proyectos de inversión, pagos, liquidaciones, administración de bienes muebles e inmuebles. La calidad de PEP sólo la conservará la persona por un período de 2 años con posterioridad a la fecha en que haya dejado de desempeñar las funciones o cargos.
PEP de Organizaciones Internacionales: Son las personas naturales que ejercen funciones directivas en una organización internacional, tales como la Organización de Naciones Unidas, Organización para la Cooperación y el Desarrollo Económicos, el Fondo de las Naciones Unidas para la Infancia (UNICEF) y la Organización de Estados Americanos, entre otros (vr.gr. directores, subdirectores, miembros de Asamblea de Accionistas o cualquier persona que ejerza una función equivalente).
PEP Extranjeras: Son las personas naturales que desempeñan funciones públicas prominentes y destacadas en otro país. En especial, las siguientes personas: (i) jefes de estado, jefes de gobierno, ministros, subsecretarios o secretarios de estado; (ii) congresistas o parlamentarios; (iii) miembros de tribunales supremos, tribunales constitucionales u otras altas instancias judiciales cuyas decisiones no admitan normalmente recurso, salvo en circunstancias excepcionales; (iv) miembros de tribunales o de las juntas directivas de bancos centrales; (v) embajadores; (vi) encargados de negocios; (vii) altos funcionarios de las fuerzas armadas; (viii) miembros de los órganos administrativos, de gestión o de supervisión de empresas de propiedad estatal; (ix) miembros de familias reales reinantes; (x) dirigentes destacados de partidos o movimientos políticos; y (xi) representantes legales, directores, subdirectores, miembros de la alta gerencia y miembros de la Junta de una organización internacional (vr.gr. jefes de estado, políticos, funcionarios gubernamentales, judiciales o militares de alta jerarquía y altos ejecutivos de empresas estatales).
Política: Son los lineamientos generales que debe adoptar la Compañía para que esté en condiciones de identificar, evaluar, prevenir y mitigar el Riesgo LA/FT/FPADM y los riesgos asociados. Cada una de las etapas y elementos del SAGRILAFT debe contar con unas políticas claras y efectivamente aplicables. Las políticas deben incorporarse en el manual de procedimientos que oriente la actuación de los funcionarios de la Compañía para el funcionamiento del SAGRILAFT y establecer consecuencias y las sanciones frente a su inobservancia.
Proveedor: Son todas las personas naturales o jurídicas que suministran bienes y servicios necesarios para el desarrollo de las actividades de la Compañía.
Reportes Internos: Son aquellos que se manejan al interior de la Compañía y pueden ser efectuados por cualquier Empleado o miembro de la Compañía, que tenga conocimiento de una posible señal de alerta u operación intentada, inusual o sospechosa.
Riesgo de LA/FT/FPADM: Es la posibilidad de pérdida o daño que puede sufrir la Compañía por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el Lavado de Activos y/o canalización de recursos hacia la realización de actividades terroristas o el Financiamiento de la Proliferación de Armas de Destrucción Masiva, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. Las contingencias inherentes al LA/FT/FPADM se materializan a través de riesgos tales como el Riesgo de Contagio, Riesgo Legal, Riesgo Operativo, Riesgo Reputacional y los demás a los que se expone la Compañía, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera, cuando es utilizada para tales actividades.
Riesgos asociados al LA/FT/FPADM: Se refieren a las consecuencias para la Compañía, derivadas de la materialización del Riesgo de LA/FT/FPADM. Estas son:
Riesgo Legal: Es la posibilidad de pérdida o daño en que incurre la Compañía, los accionistas, sus Administradores o cualquier otra persona vinculada, al ser sancionada, multada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones relacionadas con la prevención de LA/FT/FPADM y obligaciones contractuales. Surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.
Riesgo Reputacional: Es la posibilidad de pérdida o daño en que incurre la Compañía, por desprestigio, mala imagen, publicidad negativa cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o vinculación a procesos judiciales.
Riesgo Operacional: Es la posibilidad que tiene la Compañía, de ser utilizada en actividades de LA/FT/FPADM por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el Riesgo Legal y el Riesgo Reputacional, asociados a tales factores.
Riesgo de Contagio: Es la posibilidad de pérdida que puede sufrir la Compañía, directa o indirectamente, por una acción o experiencia de un Cliente, Empleado, proveedor, asociado o relacionado, vinculado con los delitos de LA/FT/FPADM. El relacionado o asociado incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la Compañía.
Riesgo Inherente: Es el nivel de riesgo propio de la actividad de la Compañía, sin tener en cuenta el efecto de los controles
Riesgo Residual: Es el nivel resultante del riesgo después de aplicar los controles.
ROS: Reporte de Operaciones Sospechosas. Es aquella operación que por su número, cantidad o características no se enmarca en el sistema y prácticas normales del negocio, de una industria o de un sector determinado y, además que de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada.
Señales de alerta: Son circunstancias particulares que llaman la atención y justifican un mayor análisis.
SIREL: Sistema de reporte en línea administrado por la UIAF. Es una herramienta WEB que permite a las Entidades reportantes cargar y/o reportar en línea la información de las obligaciones establecidas en la normativa de cada sector, de forma eficiente y segura, disponible las 24 horas del día, 7 días a la semana y 365 días al año.
Sistema o SAGRILAFT: hace referencia al Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM adoptado por la Compañía y contenido en este Manual.
Terrorismo: Se define como cualquier acto destinado a mantener en estado de zozobra a la población civil mediante actos que pongan en peligro su vida, integridad o libertad utilizando instrumentos capaces de causar estragos. El terrorismo se financia a través de fuentes tanto legítimas como ilegítimas. Dentro de las actividades ilegítimas se encuentran la extorsión, el secuestro y el tráfico de drogas. Como fuentes legítimas aparecen las donaciones a organizaciones que aparentan ser Entidades sin fines de lucro de carácter humanitario y los auspicios de gobiernos extranjeros.
UIAF: Unidad de Información y Análisis Financiero. Compañía adscrita al Ministerio de Hacienda y Crédito Público de Colombia, encargada de centralizar, sistematizar y analizar datos relacionados con operaciones de LA/FT/FPADM, es decir, la Unidad es un filtro de información que se apoya en tecnología para consolidar y agregar valor a los datos recolectados y ello le permite detectar operaciones que pueden estar relacionadas con el delito de LA/FT/FPADM.
POLÍTICAS DEL SISTEMA DE AUTOCONTROL Y GESTION DEL RIESGO LA/FT/FPADM
7.1 Generales
Epayco rechaza cualquier actividad delictiva o conducta ilícita, especialmente si esto implica actividades de LA/FT/FPADM en las que se utilice a la Compañía o sus activos. Por lo anterior, se establece que el cumplimiento de las metas comerciales de Epayco estará siempre supeditado al estricto cumplimiento de las normas de autocontrol y gestión del riesgo integral de LA/FT/FPADM.
Todas las operaciones, negocios y contratos que adelante Epayco con clientes, empleados, proveedores y asociados, deben ajustarse a las políticas y procedimientos dispuestos en el presente Manual y demás normas internas de la Compañía.
El SAGRILAFT de la Compañía tiene en cuenta los riesgos propios y la materialidad relacionada con LA/FT/FPADM, para lo cual se ha analizado el negocio, la operación, el tamaño y las áreas geográficas donde Epayco desarrolla su objeto social, así como otras características particulares.
7.2 Específicas
7.2.1 Políticas frente a los elementos del sistema
Diseño y aprobación: La Compañía diseñará el SAGRILAFT, de acuerdo con la política general y haciendo uso de las medidas operativas, económicas, físicas, tecnológicas y de recursos que se han dispuesto para ello. El SAGRILAFT será presentado por el Representante Legal y el Oficial de Cumplimiento a la Asamblea General de Accionistas para su aprobación, actividad que constará en el acta de la reunión en que se lleve a cabo.
Auditoría y Cumplimiento: El Máximo Órgano Social seleccionará y designará a la persona responsable de la auditoría y verificación del cumplimiento del SAGRILAFT. Igualmente decidirá si selecciona y designa un suplente, quién será responsable en ausencia definitiva o temporal de esta persona, evitando la suspensión de actividades del Oficial de Cumplimiento. El representante legal certificará al Máximo Órgano Social que las personas seleccionadas y designadas cumplen con los requisitos exigidos, y de ello y otros aspectos enviará informe por escrito a la Superintendencia de Sociedades, dentro de los quince (15) días hábiles siguientes a la designación.
Divulgación y capacitación: La Compañía establecerá como mecanismo de divulgación de las políticas y procedimientos para la prevención y control de LA/FT/FPADM, el diseño y desarrollo de un programa de capacitación, liderado por el Oficial de Cumplimiento que permitirá la sensibilización y entrenamiento a empleados en el inicio y durante el tiempo que se mantenga la relación contractual, asegurando de esta forma su cumplimiento y el desarrollo de capacidades en las personas para identificar qué es una operación inusual o qué es una operación sospechosa, su contenido y forma en que debe reportarse. La divulgación y capacitación se realizará por lo menos una (1) vez al año y se dejará constancia de su realización.
El programa contemplará la frecuencia de la capacitación, el alcance, las formas de evaluación y los medios para ejecutarlo.
El programa de capacitación estará dirigido a terceros cuando la Compañía lo considere procedente.
Asignación de funciones a los responsables: El funcionamiento del SAGRILAFT requiere de la participación de todos los empleados. Las funciones y responsabilidades frente al SAGRILAFT son una regla de conducta que orienta la actuación de la Compañía, los empleados, administradores y demás vinculados o partes interesadas. Las medidas de prevención y control que se señalan en las funciones servirán de instrumento a la administración para tomar decisiones informadas y facilitar la mitigación del riesgo integral del LA/FT/FPADM. La Compañía asignará de forma clara a quién corresponde, las facultades y funciones a través de este manual con el fin de que exista una adecuada interacción de todos los responsables y un adecuado funcionamiento, cumplimiento y efectividad del SAGRILAFT.
7.2.2 Políticas frente a las etapas del Sistema e identificación de situaciones que pueden generar riesgos y su evaluación.
El Oficial de Cumplimiento identificará las situaciones de riesgo de LA/FT/FPADM que según las características particulares de la operación de la Compañía puedan suceder al interior de éstas. Las alertas, los seguimientos y la información interna recopilada, servirán para actualizar y mejorar las situaciones de riesgo de LA/FT/FPADM identificadas.
La Compañía contará con metodologías para evaluar las situaciones de riesgo, su probabilidad de ocurrencia, el riesgo inherente frente a cada una de las fuentes de riesgo y el impacto en caso de materializarse mediante riesgos asociados7.
La Compañía diseñará controles que pueden ser preventivos, detectivos o correctivos, con el fin de mitigar el impacto y/o probabilidad de ocurrencia de las situaciones de riesgo identificadas. El seguimiento debe permitir hacer ajustes al sistema de autocontrol y gestión del riesgo de LA/FT/FPADM y tomar decisiones sobre las situaciones de riesgo identificadas.
El riesgo residual asociado a cada fuente de riesgo y calificado por la Compañía en un nivel alto, debe ser evaluado teniendo presente que la gestión del riesgo LA/FT/FPADM tiene prelación sobre las operaciones que realicen la Compañía.
La empresa ejecutará las etapas del SAGRILAFT a través de un proceso de gestión de riesgos que se verá reflejado en una matriz de riesgos.
Para ello, la Compañía establecerá las metodologías y ejecutará las siguientes etapas:
Identificará y realizará una clasificación o segmentación de los factores de riesgo y, con base en esto, identificará los riesgos de LA/FT/FPADM aplicables de acuerdo con las características de Epayco.
Realizará una medición o evaluación de la probabilidad e impacto inherentes de los riesgos de LA/FT/FPADM previamente identificados, de manera individual y consolidada frente a los factores de riesgo.
Establecerá las medidas razonables, controles y herramientas que permitan la detección de operaciones inusuales y sospechosas con base en los riesgos de LA/FT/FPADM identificados, teniendo en cuenta que, a mayor riesgo, mayor control; con la aplicación de los controles, la Compañía establecerá el perfil de riesgo residual.
Finalmente, monitoreará el SAGRILAFT a través de un seguimiento periódico y comparativo del riesgo inherente y el residual, el seguimiento continuo y efectivo que facilite la rápida detección de deficiencias asegurará que los controles sean integrales y se refieran a todos los riesgos, así como que funcionen de manera oportuna, efectiva y eficiente, y asegurará que el riesgo residual se mantenga dentro de los niveles aceptables.
7.2.3 Debida Diligencia y debida diligencia intensificada
Epayco no iniciará o continuará relaciones contractuales y/o comerciales con clientes, empleados, proveedores o asociados que se encuentren registrados en las listas y bases de datos vinculantes para Colombia de acuerdo con la Ley 1121 de 2006 (Resoluciones 1267 de 1999, 1373 de 2001, 1718 y 1714 de 2006 y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas), las listas de terroristas de Estados Unidos y la Unión Europea de acuerdo con el Acta del 17 de enero de 2020 del Consejo de Seguridad Nacional o en la lista OFAC denominada “Specially Designated Narcotics Traffickers” “SDNT” o “Lista Clinton”. La coincidencia de contrapartes en otras listas o la existencia de información negativa de carácter público relacionada con LA/FT/FPADM, o con otras actividades ilícitas o irregulares, se considerará un criterio importante para denegar o terminar una relación contractual.
Epayco no iniciará relaciones comerciales, legales o contractuales con contrapartes que no hayan sido plenamente identificadas o que se niegan a entregar la información solicitada por la Compañía.
Para la vinculación de clientes y proveedores, se garantizará que éstos sean identificados y cumplan un proceso de evaluación mediante el diligenciamiento de un formulario y la entrega de documentación soporte. Aprobado el proceso de vinculación, el cliente o proveedor podrá ser vinculado y registrado como apto para que la Compañía pueda negociar con éste.
Las personas naturales que aspiren a desempeñar un cargo en la Compañía o pretendan vincularse como asociados o accionistas de ésta, deberán cumplir con el suministro de los requisitos dispuestos en este Manual SAGRILAFT, a fin de poder contar con la información que permita verificar sus antecedentes.
Conocimiento de Accionistas: la Compañía solo admitirá socios o accionistas cuyo origen de los recursos aportados hayan sido previa y satisfactoriamente verificados.
La Compañía mantendrá la debida diligencia actualizada y realizará el monitoreo o seguimiento como mínimo una vez cada dos (2) años, a través de una revisión masiva en listas y bases de datos, y con la revisión de las transacciones, cuando esto resulte aplicable. Para llevar a cabo esta actividad, la Compañía cuenta con una base de datos que le permite consolidar e identificar alertas presentes y futuras.
Los procedimientos de debida diligencia en el conocimiento de clientes, empleados, proveedores y asociados son de obligatorio cumplimiento. Por ninguna razón se omitirán controles establecidos en el Manual SAGRILAFT, salvo que exista una justificación razonable y autorización previa del Oficial de Cumplimiento.
Epayco verificará y preguntará a su clientes, proveedores, empleados y asociados si tienen la calidad de Personas Expuestas Políticamente (PEP) de acuerdo con el Decreto 830 de 2021. Igualmente, tomará medidas razonables para conocer si las contrapartes tienen la calidad de PEP extranjeras o PEP de organizaciones internacionales.
En caso de que una contraparte pretenda vincularse a Epayco teniendo la calidad de PEP, deberá surtir el procedimiento de Debida Diligencia Intensificada contemplado en este Manual SAGRILAFT, que comprenderá por lo menos la aprobación de la vinculación por el superior jerárquico que usualmente realiza esta aprobación o por el Oficial de Cumplimiento.
Epayco realizará un procedimiento de Debida Diligencia Intensificada para la iniciación de relaciones comerciales y operaciones con personas naturales o jurídicas procedentes de países considerados de mayor riesgo.
Se consideran países de mayor riesgo, las jurisdicciones sancionadas por la OFAC8 y las jurisdicciones de mayor riesgo catalogadas por el GAFI9.
7.2.4 Manejo de dinero en efectivo y activos virtuales
Epayco no realiza operaciones en efectivo con clientes o proveedores, por lo que todas las operaciones de intercambio de dinero de la Compañía con estas contrapartes se realizarán a través del sistema financiero, por medio de transferencia o cheque. En caso de que, excepcionalmente, se requiera realizar o recibir pagos en efectivo de clientes o realiza pagos en efectivo a proveedores, se solicitará autorización al Oficial de Cumplimiento para esta operación, cuando este valor sea igual o mayor a los $10.000.000 (Diez millones de pesos COP), quien evaluará si la operación expone a un riesgo de LA/FT/FPADM a la Compañía y las medidas para mitigarlo.
Epayco podrá entregar dinero en efectivo a empleados para gastos no recurrentes debidamente justificados mediante factura de venta o documento equivalente. Las operaciones en efectivo que no se ajusten a este lineamiento, requerirán aprobación previa del Oficial de Cumplimiento.
Hasta nueva orden de la Asamblea de Accionistas, y aprobación del Oficial de Cumplimiento, Epayco no realizará transacciones con activos virtuales, por lo que no es necesario realizar ninguna identificación adicional de contrapartes que efectúen este tipo de operaciones dentro del proceso de gestión del riesgo.
7.2.5 Ventas masivas
Epayco es una pasarela de pago, por medio de la cual, una persona natural o jurídica, a través de cualquiera de sus modelos (Gateway o Agregador), para efectos de vender sus productos y/o servicios a través de sus páginas web o e-commerce a cambio de una comisión. De acuerdo con el análisis de riesgos realizado por Epayco, se consideran los cuatro factores de riesgo para la identificación de operaciones inusuales y, por ende, son relevantes para la prevención de LA/FT/FPADM. Las operaciones que salen de los parámetros normales requerirán la ejecución del procedimiento de conocimiento del cliente contemplado en el Numeral 7.3:
7.2.6 Reportes internos sobre monitoreo del SAGRILAFT
El Oficial de Cumplimiento, rendirá periódicamente informes a la Asamblea de Accionistas y al Representante Legal con una evaluación y análisis sobre la eficiencia y efectividad del SAGRILAFT y, de ser el caso, proponiendo las mejoras respectivas. Igualmente, demostrará los resultados de su gestión y de la administración de la Compañía en el cumplimiento del SAGRILAFT.
7.2.7 Reportes internos y externos
En el caso de que cualquier empleado o asociado detecte una señal de alerta en los términos de este Manual SAGRILAFT, deberá presentar de forma inmediata un reporte interno de operaciones inusuales al Oficial de Cumplimiento de Epayco.
El Oficial de Cumplimiento es el responsable de analizar todas las operaciones inusuales y señales de alerta que detecte en el ejercicio de su cargo, o que sean reportadas por empleados o asociados de la Compañía. En este análisis, comprobará que se realizaron actividades de profundización sobre la señal de alerta y sobre el conocimiento de la contraparte, solicitará información adicional cuando el análisis lo amerite, y determinará si la situación, operación, contrato o negocio, por la característica de la inusualidad, se considera sospechoso y debe ser reportado a la UIAF como Reporte de Operación Sospechosa (ROS).
En caso de que transcurra un trimestre sin que Epayco presente un ROS a la UIAF, el Oficial de Cumplimiento procederá a presentar el AROS (Ausencia de ROS) dentro de los diez (10) días calendario siguientes al vencimiento del respectivo trimestre.
7.2.8 Conservación y manejo de la documentación del sistema
La Compañía conservará los documentos y registros relativos al sistema de autocontrol y gestión del riesgo LA/FT/FPADM de conformidad con lo establecido en las normas que regulan la conservación de libros y papeles de comercio.
En todo caso la Compañía conservará los documentos por el término de diez (10) años y concluido el término citado los documentos pueden ser destruidos, siempre que se cumplan las siguientes condiciones:
Que no medie solicitud de entrega de los mismos formulada por autoridad competente.
Que se conserven en un medio técnico que garantice su posterior reproducción exacta y la preservación de su valor probatorio.
En los casos de fusión, la Compañía absorbente debe garantizar la continuidad en el estricto cumplimiento de esta disposición.
En caso de liquidación, corresponde al liquidador adoptar las medidas necesarias para garantizar el archivo y protección de estos documentos.
Los reportes internos y externos del SAGRILAFT, así como cualquier resultado o información obtenida durante los procesos de conocimiento de contrapartes se considera información confidencial y no podrán ser comunicados a terceros por fuera de Epayco, salvo que exista previa autorización del Oficial de Cumplimiento.
Epayco garantizará la reserva de la información recaudada y reportada en el marco del SAGRILAFT, en particular los ROS remitidos a la UIAF. Bajo ningún motivo se le informará o comunicará a una contraparte, que la Compañía ha presentado o planea presentar un ROS a la UIAF respecto de operaciones con dicha contraparte.
Solo podrá ser levantada la reserva cuando medie autorización expresa y por escrito de las autoridades competentes, validada previamente por el Oficial de Cumplimiento.
7.2.9 Sanciones
El incumplimiento de un empleado o asociado de las medidas indicadas en estas políticas, o en el Manual SAGRILAFT se considerará como una falta grave y podrá conllevar la aplicación de sanciones disciplinarias internas, la desvinculación o terminación del contrato con Epayco y/o la respectiva denuncia frente a las autoridades correspondientes, según la gravedad de la infracción y el riesgo al que exponga a Epayco.
7.2.10 Política de conflicto de intereses
Este tema será tratado conforme lo establece el Código de Ética y Conducta de Epayco10.
Política de incursión en nuevas actividades o prestación de nuevos servicios
Si la Compañía decide incursionar en nuevas actividades, deberán llevar a cabo un análisis de riesgo de LA/FT/FPADM y dejar constancia escrita de dicho análisis. De igual forma, se definirán las actividades de control que se requieran.
Política frente al reporte de operaciones sospechosas
La Compañía, reportará aquellas operaciones que, por su cuantía, características y demás elementos pudieren calificar como sospechosas. En este caso no se requiere que la Compañía tengan la certeza de que se trata de una actividad delictiva, ni identificar el tipo penal o que los recursos involucrados provienen de tales actividades. Para el envío del reporte de operación sospechosa a la UIAF, se observarán las instrucciones dadas por dicha Compañía en el Anexo 1 – ROS el cual se encuentra disponible en la página de Internet www.uiaf.gov.co. Dicho instructivo puede ser modificado o adicionado por la UIAF por lo cual corresponde al Oficial de Cumplimento validar periódicamente si han existido cambios en el mismo.
FUNCIONES Y RESPONSABLES DEL SAGRILAFT
8.1 Funciones de la Asamblea General de Accionistas.
La Asamblea General de Accionistas de Epayco, como responsable de la puesta en marcha y efectividad del SAGRILAFT, cuenta con las siguientes funciones específicas:
Designar al Oficial de Cumplimiento responsable del sistema. En caso de considerarlo necesario, podrá designar a un Oficial de Cumplimiento Suplente.
Aprobar las políticas y procedimientos diseñados por el Representante Legal y el Oficial de Cumplimiento de la Compañía, para el sistema de autocontrol y gestión del riesgo LA/FT/FPADM, así como sus actualizaciones.
Aprobar el Manual del SAGRILAFT y sus actualizaciones.
Analizar oportunamente los informes que presente el Oficial de Cumplimiento sobre el funcionamiento del SAGRILAFT, así como las propuestas de correctivos y actualizaciones, tomando decisiones sobre cada uno de los temas allí tratados.
Analizar oportunamente los reportes y solicitudes presentados por el Representante Legal y/o el Oficial de Cumplimiento.
Pronunciarse sobre los informes presentados por la revisoría fiscal o las auditorías interna y externa, que tengan relación con la implementación y el funcionamiento del SAGRILAFT, y hacer el seguimiento a las observaciones o recomendaciones incluidas.
Ordenar y garantizar los recursos económicos, técnicos, logísticos y humanos necesarios para implementar y mantener en funcionamiento el SAGRILAFT, según los requerimientos que para el efecto realice el Oficial de Cumplimiento.
Aprobar los criterios parala vinculación de contrapartes que ostenten la calidad de PEP.
Aprobar relaciones con contrapartes que por las características de su objeto social o sector económico expongan a la Compañía a un mayor riesgo de LA/FT/FPADM.
Establecer pautas y determinar los responsables de realizar auditorías sobre el cumplimiento y efectividad del SAGRILAFT, de manera que ello le permita el cumplimiento de sus funciones.
Verificar que el Oficial de Cumplimiento cuente con la disponibilidad y capacidad necesaria para desarrollar sus funciones.
Constatar que la Compañía, el Oficial de Cumplimiento y el Representante Legal desarrollan las actividades designadas en este manual.
8.2 Funciones del Representante Legal.
En adición a las funciones establecidas por otras normas externas o internas, se establecen de manera específica las siguientes, frente al sistema de autocontrol y gestión del riesgo de LA/FT/FPADM:
Designar al Oficial de Cumplimiento responsable del sistema, en el evento de que no exista Asamblea de Accionistas, con la aprobación del máximo órgano social.
Disponer de las medidas operativas, económicas, físicas, tecnológicas y de recursos que sean necesarias y requeridas para que el Oficial de Cumplimiento pueda desarrollar sus labores.
Someter a aprobación de la Asamblea de Accionistas o máximo órgano social y en coordinación con el Oficial de Cumplimiento, la(s) política(s) diseñada(s) y las actualizaciones del Sistema de Autocontrol y Gestión del Riesgo de LA/FT/FPADM, así como al respectivo manual.
Estudiar los resultados de la evaluación del riesgo de LA/FT/FPADM efectuada por el Oficial de Cumplimiento y establecer los planes de acción que correspondan.
Verificar que el Oficial de Cumplimiento cuente con la disponibilidad y capacidad necesaria para desarrollar sus funciones.
Prestar efectivo, eficiente y oportuno apoyo al Oficial de Cumplimiento en el diseño, dirección, supervisión y monitoreo del SAGRILAFT.
Designar la instancia superior que tendrá la decisión final de aceptar contrapartes que ostenten el titulo PEP o cuyas características identificadas en el conocimiento del cliente puedan llegar a materializar situaciones de riesgo de tipo LA/FT/FPADM en la compañía.
Presentar a la Asamblea de Accionistas, los reportes, solicitudes y alertas que considere que deban ser tratados por dicho órgano y que estén relacionados con el SAGRILAFT.
Asegurarse de que las actividades que resulten del desarrollo del SAGRILAFT se encuentran debidamente documentadas, de modo que se permita que la información responda a unos criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad.
Evaluar con el acompañamiento del oficial de cumplimiento, el riesgo de LA/FT/FPADM que implica la incursión de la compañía en la prestación de nuevos servicios.
Certificar ante la Superintendencia de Sociedades el cumplimiento de lo previsto en el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, cuando así se solicite.
Recibir y atender en conjunto con el oficial de cumplimiento, los requerimientos y recomendaciones de los órganos de control relacionados con el sistema de autocontrol y gestión del riesgo de LA/FT/FPADM.
Suministrar los recursos humanos, tecnológicos y físicos para la implementación y correcto funcionamiento del sistema de autocontrol y gestión del riesgo de LA/FT/FPADM.
Verificar que los procedimientos del SAGRILAFT desarrollen las políticas de LA/FT/FPADM adoptadas por la Asamblea de Accionistas.
8.3 Oficial de Cumplimiento
La persona natural seleccionada y designada como Oficial de Cumplimiento, con el apoyo efectivo de la Compañía y los recursos humanos, físicos, financieros y técnicos, así como la capacidad de tomar decisiones frente a la gestión del riesgo LA/FT/FPADM, es un participante activo en los procedimientos de diseño, dirección, implementación, auditoría, verificación del cumplimiento y monitoreo del SAGRILAFT.
Por lo anterior, el Representante Legal certificará el cumplimiento de los siguientes requisitos, previo a la presentación del Oficial de Cumplimiento a la Asamblea de Accionistas para su designación.
8.3.1 Requisitos del Oficial de Cumplimiento
Gozar de capacidad para tomar decisiones y tener comunicación directa con la Asamblea de Accionistas
Contar con conocimiento en administración de riesgos y entender el giro ordinario de las actividades de la Compañía
Contar con un equipo de trabajo humano y técnico acorde con el tamaño de la Compañía
No pertenecer a la administración, a los órganos sociales ni a la auditoría interna o externa, o revisoría fiscal.
En caso de que la Asamblea de Accionistas designe a un Oficial de Cumplimiento que no se encuentre vinculado laboralmente, esta persona podrá realizar este cargo en no más de diez (10) empresas; en caso de que realice este cargo en otras empresas diferentes a Epayco, el Oficial de Cumplimiento deberá certificar que no lo hace en empresas que compitan con la Compañía.
8.3.2 Inhabilidades e incompatibilidades
Inhabilidades
No podrá ser designado como Oficial de Cumplimiento la persona que haya:
Cometido delitos contra el patrimonio económico público o privado, lavado de activos o enriquecimiento ilícito.
Haber sido o sea objeto de extinción de dominio por participar en actividades ilícitas.
Haber sido o sea sancionado por violar normas que regulan la prevención, control y detección del LA/FT/FPADM
Incompatibilidades
No podrá ser designado como Oficial de Cumplimiento la persona que:
Pertenezca a los órganos de la administración.
Ostente el cargo de auditor interno o revisor fiscal.
Ostente el cargo de Representante Legal o Administrador de la Compañía.
8.3.3 Conflictos de interés
Conflictos de interés: El Oficial de Cumplimiento debe abstenerse de incurrir en situaciones de conflicto de interés en donde pueda anteponer sus intereses personales sobre los del SAGRILAFT, informando de dicha situación al comité o área encargada en la Compañía. Se presentan conflictos de interés para el Oficial de Cumplimiento en los siguientes casos:
En la consulta en listas, el análisis de operaciones inusuales, estudio de operaciones sospechosas y realización de reporte de operación sospechosa – ROS: Cuando la consulta, el estudio, análisis o reporte ha sido realizado para el cónyuge o compañero permanente, parientes dentro del primero11 y segundo grado de consanguinidad12, primero y segundo de afinidad13 o primero civil14, o respecto de aquellas operaciones o reportes en las que el Oficial de Cumplimiento tenga algún interés personal o busque el favorecimiento de otra persona.
En la realización de reportes a las autoridades: Se entiende que hay conflicto de interés cuando en la toma de decisión de la realización del reporte se encuentran involucradas situaciones personales de quien realiza el reporte o se trata de operaciones realizadas por cónyuges o compañeros permanentes, parientes dentro del segundo grado de consanguinidad, segundo de afinidad o primero civil.
8.3.4 Funciones y responsabilidades del Oficial de Cumplimiento
El Oficial de Cumplimiento debe cumplir como mínimo las siguientes funciones:
Velar por el cumplimiento efectivo, eficiente y oportuno del SAGRILAFT.
Diseñar la(s) política(s) y procedimientos del Sistema de Autocontrol y Gestión del riesgo de LA/FT/FPADM, que se ajusten a las características de la Compañía.
Implementar las políticas y procedimientos descritos en este manual.
Controlar y verificar periódicamente la ejecución de las medidas adoptadas en este manual con el fin de garantizar que el funcionamiento del sistema sea efectivo, eficiente y oportuno.
Informar al Representante Legal de la Compañía o a quién haga las veces, acerca de las posibles fallas u omisiones en los controles establecidos para mitigar las situaciones de riesgo identificadas, que comprometan la responsabilidad de los empleados.
Promover la adopción de correctivos y actualizaciones al SAGRILAFT, cuando las circunstancias lo requieran por lo menos una vez cada dos (2) años. Para ello deberá presentar a la Asamblea de Accionistas las propuestas y justificaciones de los correctivos y actualizaciones sugeridas al SAGRILAFT.
Presentar a la Asamblea de Accionistas o máximo órgano de social y al representante legal, un informe semestral que contenga como mínimo: 1) La evaluación y análisis de la eficiencia y efectividad del SAGRILAFT, junto con la propuesta de mejoras, cuando a ello haya lugar; 2) la demostración con las actividades realizadas, de los resultados de la gestión del Oficial de Cumplimiento en el cumplimiento del SAGRILAFT y; 3) la demostración de los resultados de la gestión de la administración de la Compañía, en el cumplimiento del SAGRILAFT; 4) la evaluación y análisis sobre la eficiencia y efectividad del Sistema de autocontrol y gestión del riesgo LA/FT/FPADM.
Diseñar, programar y coordinar la ejecución de los planes de capacitación necesarios para que los empleados de La Compañía estén debidamente informados, actualizados y entrenados para identificar y reportar señales de alerta, operaciones intentadas, inusuales o sospechosas.
Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, así como los informes que presente el revisor fiscal o de auditorías externas, si es el caso, y adoptar medidas correctivas en caso de presentarse alguna deficiencia.
Certificar cuando y como lo requiera la Superintendencia de Sociedades, el cumplimiento de lo previsto en el Capítulo X de la Circular Básica Jurídica.
Verificar el cumplimiento de los procedimientos de Debida Diligencia y Debida Diligencia Intensificada, definidos por la Compañía.
Velar por el adecuado archivo de los soportes documentales y demás información relativa a la gestión y prevención del riesgo de LA/FT/FPADM.
Diseñar las metodologías de identificación, medición, control y monitoreo del riesgo de LA/FT/FPADM que formarán parte del SAGRILAFT.
Realizar la evaluación de los riesgos de LA/FT/FPADM a los que se encuentra expuesta la Compañía.
Diseñar las metodologías de segmentación, identificación, medición y control del riesgo de LA/FT/FPADM que forman parte del sistema.
Registrarse en el SIREL administrado por la UIAF, solicitar el usuario y contraseña para el ingreso a esta plataforma y cumplir con el envío de los reportes.
Recibir de las distintas áreas de la Compañía los reportes internos de operaciones intentadas, inusuales y sospechosas que le sean remitidos a través del mecanismo dispuesto para tal fin.
Analizar los reportes recibidos, realizar las verificaciones necesarias con la colaboración de las áreas que se requiera, para determinar si una señal de alerta puede dar lugar a ser catalogada como una operación inusual y de ser necesario revestirla con el carácter de sospechosa.
Realizar el reporte de las Operaciones Sospechosas (ROS) a la UIAF, el reporte de Ausencia de ROS (AROS) y cualquier otro reporte o informe que establezcan las normas que le son aplicables a la Compañía en materia de prevención y control del riesgo de LA/FT/FPADM, a través del SIREL.
Reportar a la UIAF y poner en conocimiento del Vicefiscal General de la Nación a través de los canales físicos o electrónicos que determinen estas autoridades, las coincidencias de personas que se identifiquen en las Resoluciones 1267 de 1999, 1373 de 2001, 1718 y 1714 de 2006 y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas, en las listas de terroristas de Estados Unidos y la Unión Europea de acuerdo con el Acta del 17 de enero de 2020 del Consejo de Seguridad Nacional y todas aquellas que en un futuro las sustituyan o deroguen, con observancia de la respectiva reserva legal.
Informar a la fiscalía general de la Nación sobre la existencia de bienes que haya detectado en desarrollo de sus actividades y que pueden ser objeto de la acción de extinción de dominio.
Denunciar a la autoridad competente (fiscalía general de la Nación), cuando tenga conocimiento en desarrollo de sus actividades, de la realización de los delitos de LA/FT/FPADM.
Atender y coordinar cualquier requerimiento, solicitud o diligencia de autoridad judicial o administrativa en materia de prevención y control de actividades delictivas.
Recibir y en conjunto con el Representante Legal o con quién este designe, atender los requerimientos y recomendaciones de los órganos de control.
Recibir y absolver las consultas de todos los empleados de la Compañía que ejecutan actividades de o para la Compañía o de los empleados que en un futuro contraten de manera directa la Compañía en todo lo relacionado con el Sistema autocontrol y gestión del riesgo LA/FT/FPADM.
Acreditar los conocimientos requeridos sobre la operación de la Compañía y la administración de riesgos y tener la facultad de toma de decisiones en la Compañía.
8.4 Funciones de los órganos de control
Auditoría interna