Politica de Sagrilaft 

2. OBJETIVO DEL MANUAL 

El presente Manual del Sistema de Autocontrol y Gestión de Riesgo Integral de LA/FT/FPADM (el “Manual SAGRILAFT” o simplemente el “Manual”) tiene como objetivo definir los criterios y procedimientos que aplica la Compañía para prevenir y gestionar los riesgos de LA/FT/FPADM en el desarrollo de cualquiera de las actividades comprendidas dentro de su objeto social y en particular, se busca prevenir que la Compañía sea usada como medio para dar apariencia de legalidad a dineros provenientes de actividades delictivas o con destino a éstas. 

Por otra parte, este manual sirve de carta de presentación ante los grupos de interés que requieran conocer cómo maneja la Compañía el riesgo de LA/FT/FPADM al que se encuentra expuesta.  

Son objetivos del Sistema de Autocontrol y Gestión del Riesgo integral de LA/FT/FPADM (SAGRILAFT), los siguientes: 

Cumplir con la normatividad vigente en materia de autocontrol y gestión del riesgo integral de LA/FT/FPADM. 

3. MARCO NORMATIVO 

A continuación, se describe el marco normativo aplicable a Epayco en materia de prevención y gestión del riesgo de LA/FT/FPADM: 

1. General 

• Ley 1121 de 2006. Establece que la Compañía debe realizar un reporte a la UIAF cuando tenga conocimiento de la presencia o tránsito de una persona incluida en una de las listas internacionales vinculantes para Colombia de conformidad con el derecho internacional. En este sentido, la Compañía deberá realizar consultas periódicas en la lista emitida por el Consejo de Seguridad de la Naciones Unidas (ONU) y las listas de terroristas de Estados Unidos y la Unión Europea de acuerdo con el Consejo de Seguridad Nacional (Acta del 17 de enero de 2020), frente a las personas con las cuales mantiene cualquier tipo de vínculo. 

• Ley 1708 de 2014 – Código de Extinción de Dominio. De acuerdo con el artículo 119, la Compañía tiene la obligación de informar a la Fiscalía General de la Nación sobre la existencia de bienes que haya detectado en desarrollo de sus actividades y que pueden ser objeto de la acción de extinción de dominio.  

De igual forma, el artículo 7 impone a la Compañía una carga de actuar con buena fe exenta de culpa para que en caso de tener que comparecer a un proceso de extinción de dominio pueda demostrar que actuó con diligencia y prudencia, y de esta forma ejercer su derecho a la defensa. 

• Código Penal Colombiano. Artículo 441. La Compañía tiene la obligación de denunciar a la autoridad competente cuando tenga conocimiento de la realización de los delitos de LA/FT/FPADM, entre otros. La omisión de esta denuncia dará lugar a una sanción penal respecto de la persona que teniendo el conocimiento del cometimiento del delito no lo denunció.  

• Decreto 830 de 2021: Por el cual se adicionan algunos artículos al Decreto 1081 de 2015 relacionados con el régimen de las Personas Expuestas Política PEP, incluyendo las PEP Extranjeras y PEP de Organizaciones Internacionales. 

2. Especifico 

Circular Básica Jurídica, Capítulo X, Autocontrol y Gestión del Riesgo LA/FT/FPADM y reporte de operaciones sospechosas a la UIAF, de la Superintendencia de Sociedades, Instruye a las empresas sujetas a la vigilancia permanente o al control que ejerce la Superintendencia de Sociedades y que al 31 de diciembre del año inmediatamente anterior, hubieren obtenido ingresos o activos totales iguales o superiores a 40.000SMLMV para que diseñen e implementen un sistema de autocontrol y gestión del riesgo de LA/FT/FPADM que tiene como objetivo principal minimizar la posibilidad que a través de las distintas actividades que llevan a cabo la Compañía  se introduzcan recursos provenientes de Lavado de Activos o que los recursos de éstas tengan como destino la Financiación del Terrorismo y/o el financiamiento de la proliferación de armas de destrucción masiva.  El plazo de cumplimiento para poner en marcha el sistema, es de doce meses, contado a partir del primero de enero del año siguiente a aquel en que se cumplan los requisitos establecidos. 

4. AMBITO DE APLICACIÓN  

El presente documento está dirigido a los accionistas, administradores, empleados directos o indirectos y demás terceros que establezcan algún tipo de relación con la Compañía. 

5. OBJETIVOS DEL SISTEMA 

El sistema de autocontrol y gestión del riesgo de LA/FT/FPADM que adopta la compañía, tiene como objetivos los siguientes: 

• No permitir el ingreso a La Compañía de personas con algún vínculo de lavado de activos o financiación del terrorismo como contraparte. 

• No recibir en las transacciones que realicen La Compañía activos de origen ilícito. 

• No permitir que La Compañía sean utilizadas en ninguna circunstancia como instrumento para lavar activos o financiar al terrorismo. 

Que La Compañía no sean sancionadas por incumplir o no observar las obligaciones relacionados con la prevención y el control del LA/FT/FPADM. 

6. GLOSARIO 

Sin perjuicio de aquellos términos que se definen a lo largo de las presentes disposiciones, los cuales, podrán estar desarrollados en el presente Glosario, para una mejor comprensión de este Manual, se aplican las siguientes definiciones, que deberán ser interpretadas indistintamente del género en singular o plural: 

Beneficiario Final: Hace referencia a la(s) persona(s) natural(es) que finalmente posee(n) o controla(n) a un cliente o a la persona natural en cuyo nombre se realiza una transacción. Incluye también a la(s) persona(s) que ejerzan el control efectivo y/o final, directa o indirectamente, sobre una persona jurídica u otra estructura sin personería jurídica. Son Beneficiarios Finales de la persona jurídica los siguientes:  

1. Persona natural que, actuando individual o conjuntamente, ejerza control sobre la persona jurídica, en los términos del artículo 2603 y siguientes del Código de Comercio; o  

2. Persona natural que, actuando individual o conjuntamente, sea titular, directa o indirectamente, del cinco por ciento (5%) o más del capital o los derechos de voto de la persona jurídica, y/o se beneficie en un cinco por ciento (5%) o más de los rendimientos, utilidades o Activos de la persona jurídica; 

3. Cuando no se identifique alguna persona natural en los numerales anteriores, la persona natural que ostente el cargo de representante legal, salvo que exista una persona natural que ostente una mayor autoridad en relación con las funciones de gestión o dirección de la persona jurídica. 

Cliente: Es toda persona natural o jurídica con la cual la Compañía establece una relación contractual o legal, para la venta de servicios de Epayco. 

Contraparte: Hace referencia a cualquier persona natural o jurídica con la que la Compañía tenga vínculos civiles, comerciales, de negocios, contractuales o jurídicos de cualquier orden. Hacen parte de las Contrapartes, los Clientes, Empleados, Proveedores, Asociados y demás terceros que tengan vínculos con la Compañía. 

Para efectos del presente Manual se tendrán en cuenta los siguientes Factores de Riesgo: 

1. Contraparte: Hace referencia a cualquier persona natural o jurídica con la que la Compañía tenga vínculos civiles, comerciales, de negocios, contractuales o jurídicos de cualquier orden. Hacen parte de las Contrapartes, los Clientes, Empleados, Proveedores, Asociados y demás terceros que tengan vínculos con la Compañía. 

2. Servicios: Son las asistencias que provee, comercializa, u ofrece la Compañía o adquiere de un tercero. 

3. Canales de distribución: Medios que utiliza Epayco para ofrecer y comercializar sus servicios. 

4. Jurisdicción territorial: Zonas geográficas identificadas como expuestas al riesgo LA/FT/FPADM en donde la Compañía comercializase u ofrece sus servicios o Zonas geográficas en donde se ubican sus clientes. 

• La lista del Consejo de Seguridad de las Naciones Unidas (ONU), relativa a las personas físicas y Entidades miembros de los Talibanes, de la Organización AL-QAIDA o asociados con ellos, que conforme al derecho internacional es la única Lista Vinculante para Colombia. 

• La lista de la Oficina de Control de Activos Extranjeros del Gobierno de los Estados Unidos (OFAC por sus siglas en inglés), quién publica periódicamente la Lista de ciudadanos especialmente designados (SDN por sus siglas en inglés), en la que se enlistan individuos y organizaciones relacionadas con el delito de narcotráfico, con quienes las personas de los Estados Unidos y quienes tienen intereses en ese país tienen prohibido hacer negocios.  

• La lista de INTERPOL, relativa a las personas más buscadas por la justicia del mundo. 

A nivel nacional, entre otras, se cuenta con: 

• La lista de la Contraloría General de la Nación, relativa a las personas que han tenido relaciones contractuales con ese organismo y han sido sancionados, más conocida como el boletín de responsables fiscales. 

• La base de datos de la Procuraduría General de la Nación, relativa a los antecedentes disciplinarios de las personas. 

• La lista colombiana de organizaciones terroristas, relativa a la transcripción de la lista de organizaciones terroristas de Estados Unidos y la Unión Europea. 

• Riesgo Legal: Es la posibilidad de pérdida o daño en que incurre la Compañía, los accionistas, sus Administradores o cualquier otra persona vinculada, al ser sancionada, multada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones relacionadas con la prevención de LA/FT/FPADM y obligaciones contractuales. Surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.  

• Riesgo Reputacional: Es la posibilidad de pérdida o daño en que incurre la Compañía, por desprestigio, mala imagen, publicidad negativa cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o vinculación a procesos judiciales.  

• Riesgo Operacional: Es la posibilidad que tiene la Compañía, de ser utilizada en actividades de LA/FT/FPADM por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el Riesgo Legal y el Riesgo Reputacional, asociados a tales factores. 

• Riesgo de Contagio: Es la posibilidad de pérdida que puede sufrir la Compañía, directa o indirectamente, por una acción o experiencia de un Cliente, Empleado, proveedor, asociado o relacionado, vinculado con los delitos de LA/FT/FPADM. El relacionado o asociado incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la Compañía. 

7. POLÍTICAS DEL SISTEMA DE AUTOCONTROL Y GESTION DEL RIESGO LA/FT/FPADM 

7.1 Generales 

• Epayco rechaza cualquier actividad delictiva o conducta ilícita, especialmente si esto implica actividades de LA/FT/FPADM en las que se utilice a la Compañía o sus activos. Por lo anterior, se establece que el cumplimiento de las metas comerciales de Epayco estará siempre supeditado al estricto cumplimiento de las normas de autocontrol y gestión del riesgo integral de LA/FT/FPADM. 

• Todas las operaciones, negocios y contratos que adelante Epayco con clientes, empleados, proveedores y asociados, deben ajustarse a las políticas y procedimientos dispuestos en el presente Manual y demás normas internas de la Compañía. 

• El SAGRILAFT de la Compañía tiene en cuenta los riesgos propios y la materialidad relacionada con LA/FT/FPADM, para lo cual se ha analizado el negocio, la operación, el tamaño y las áreas geográficas donde Epayco desarrolla su objeto social, así como otras características particulares. 

7.2 Específicas 

7.2.1 Políticas frente a los elementos del sistema 

• Diseño y aprobación: La Compañía diseñará el SAGRILAFT, de acuerdo con la política general y haciendo uso de las medidas operativas, económicas, físicas, tecnológicas y de recursos que se han dispuesto para ello. El SAGRILAFT será presentado por el Representante Legal y el Oficial de Cumplimiento a la Asamblea General de Accionistas para su aprobación, actividad que constará en el acta de la reunión en que se lleve a cabo. 

• Auditoría y Cumplimiento: El Máximo Órgano Social seleccionará y designará a la persona responsable de la auditoría y verificación del cumplimiento del SAGRILAFT. Igualmente decidirá si selecciona y designa un suplente, quién será responsable en ausencia definitiva o temporal de esta persona, evitando la suspensión de actividades del Oficial de Cumplimiento. El representante legal certificará al Máximo Órgano Social que las personas seleccionadas y designadas cumplen con los requisitos exigidos, y de ello y otros aspectos enviará informe por escrito a la Superintendencia de Sociedades, dentro de los quince (15) días hábiles siguientes a la designación. 

• Divulgación y capacitación: La Compañía establecerá como mecanismo de divulgación de las políticas y procedimientos para la prevención y control de LA/FT/FPADM, el diseño y desarrollo de un programa de capacitación, liderado por el Oficial de Cumplimiento que permitirá la sensibilización y entrenamiento a empleados en el inicio y durante el tiempo que se mantenga la relación contractual, asegurando de esta forma su cumplimiento y el desarrollo de capacidades en las personas para identificar qué es una operación inusual o qué es una operación sospechosa, su contenido y forma en que debe reportarse. La divulgación y capacitación se realizará por lo menos una (1) vez al año y se dejará constancia de su realización.  

El programa contemplará la frecuencia de la capacitación, el alcance, las formas de evaluación y los medios para ejecutarlo.  

El programa de capacitación estará dirigido a terceros cuando la Compañía lo considere procedente. 

• Asignación de funciones a los responsables: El funcionamiento del SAGRILAFT requiere de la participación de todos los empleados. Las funciones y responsabilidades frente al SAGRILAFT son una regla de conducta que orienta la actuación de la Compañía, los empleados, administradores y demás vinculados o partes interesadas. Las medidas de prevención y control que se señalan en las funciones servirán de instrumento a la administración para tomar decisiones informadas y facilitar la mitigación del riesgo integral del LA/FT/FPADM.  La Compañía asignará de forma clara a quién corresponde, las facultades y funciones a través de este manual con el fin de que exista una adecuada interacción de todos los responsables y un adecuado funcionamiento, cumplimiento y efectividad del SAGRILAFT. 

7.2.2 Políticas frente a las etapas del Sistema e identificación de situaciones que pueden generar riesgos y su evaluación. 

• El Oficial de Cumplimiento identificará las situaciones de riesgo de LA/FT/FPADM que según las características particulares de la operación de la Compañía puedan suceder al interior de éstas. Las alertas, los seguimientos y la información interna recopilada, servirán para actualizar y mejorar las situaciones de riesgo de LA/FT/FPADM identificadas. 

La Compañía contará con metodologías para evaluar las situaciones de riesgo, su probabilidad de ocurrencia, el riesgo inherente frente a cada una de las fuentes de riesgo y el impacto en caso de materializarse mediante riesgos asociados7. 

La Compañía diseñará controles que pueden ser preventivos, detectivos o correctivos, con el fin de mitigar el impacto y/o probabilidad de ocurrencia de las situaciones de riesgo identificadas. El seguimiento debe permitir hacer ajustes al sistema de autocontrol y gestión del riesgo de LA/FT/FPADM y tomar decisiones sobre las situaciones de riesgo identificadas. 

El riesgo residual asociado a cada fuente de riesgo y calificado por la Compañía en un nivel alto, debe ser evaluado teniendo presente que la gestión del riesgo LA/FT/FPADM tiene prelación sobre las operaciones que realicen la Compañía. 

• La empresa ejecutará las etapas del SAGRILAFT a través de un proceso de gestión de riesgos que se verá reflejado en una matriz de riesgos. 

Para ello, la Compañía establecerá las metodologías y ejecutará las siguientes etapas: 

• Identificará y realizará una clasificación o segmentación de los factores de riesgo y, con base en esto, identificará los riesgos de LA/FT/FPADM aplicables de acuerdo con las características de Epayco.  

• Realizará una medición o evaluación de la probabilidad e impacto inherentes de los riesgos de LA/FT/FPADM previamente identificados, de manera individual y consolidada frente a los factores de riesgo. 

• Establecerá las medidas razonables, controles y herramientas que permitan la detección de operaciones inusuales y sospechosas con base en los riesgos de LA/FT/FPADM identificados, teniendo en cuenta que, a mayor riesgo, mayor control; con la aplicación de los controles, la Compañía establecerá el perfil de riesgo residual. 

• Finalmente, monitoreará el SAGRILAFT a través de un seguimiento periódico y comparativo del riesgo inherente y el residual, el seguimiento continuo y efectivo que facilite la rápida detección de deficiencias asegurará que los controles sean integrales y se refieran a todos los riesgos, así como que funcionen de manera oportuna, efectiva y eficiente, y asegurará que el riesgo residual se mantenga dentro de los niveles aceptables.  

7.2.3 Debida Diligencia y debida diligencia intensificada 

• Epayco no iniciará o continuará relaciones contractuales y/o comerciales con clientes, empleados, proveedores o asociados que se encuentren registrados en las listas y bases de datos vinculantes para Colombia de acuerdo con la Ley 1121 de 2006 (Resoluciones 1267 de 1999, 1373 de 2001, 1718 y 1714 de 2006 y 2178 de 2014 del Consejo de Seguridad  de las Naciones Unidas), las listas de terroristas de Estados Unidos y la Unión Europea de acuerdo con el Acta del 17 de enero de 2020 del Consejo de Seguridad Nacional o en la lista OFAC denominada “Specially Designated Narcotics Traffickers” “SDNT” o “Lista Clinton”. La coincidencia de contrapartes en otras listas o la existencia de información negativa de carácter público relacionada con LA/FT/FPADM, o con otras actividades ilícitas o irregulares, se considerará un criterio importante para denegar o terminar una relación contractual. 

• Epayco no iniciará relaciones comerciales, legales o contractuales con contrapartes que no hayan sido plenamente identificadas o que se niegan a entregar la información solicitada por la Compañía. 

• Para la vinculación de clientes y proveedores, se garantizará que éstos sean identificados y cumplan un proceso de evaluación mediante el diligenciamiento de un formulario y la entrega de documentación soporte. Aprobado el proceso de vinculación, el cliente o proveedor podrá ser vinculado y registrado como apto para que la Compañía pueda negociar con éste. 

• Las personas naturales que aspiren a desempeñar un cargo en la Compañía o pretendan vincularse como asociados o accionistas de ésta, deberán cumplir con el suministro de los requisitos dispuestos en este Manual SAGRILAFT, a fin de poder contar con la información que permita verificar sus antecedentes.   

• Conocimiento de Accionistas: la Compañía solo admitirá socios o accionistas cuyo origen de los recursos aportados hayan sido previa y satisfactoriamente verificados. 

• La Compañía mantendrá la debida diligencia actualizada y realizará el monitoreo o seguimiento como mínimo una vez cada dos (2) años, a través de una revisión masiva en listas y bases de datos, y con la revisión de las transacciones, cuando esto resulte aplicable.  Para llevar a cabo esta actividad, la Compañía cuenta con una base de datos que le permite consolidar e identificar alertas presentes y futuras. 

• Los procedimientos de debida diligencia en el conocimiento de clientes, empleados, proveedores y asociados son de obligatorio cumplimiento. Por ninguna razón se omitirán controles establecidos en el Manual SAGRILAFT, salvo que exista una justificación razonable y autorización previa del Oficial de Cumplimiento. 

• Epayco verificará y preguntará a su clientes, proveedores, empleados y asociados si tienen la calidad de Personas Expuestas Políticamente (PEP) de acuerdo con el Decreto 830 de 2021. Igualmente, tomará medidas razonables para conocer si las contrapartes tienen la calidad de PEP extranjeras o PEP de organizaciones internacionales.  

En caso de que una contraparte pretenda vincularse a Epayco teniendo la calidad de PEP, deberá surtir el procedimiento de Debida Diligencia Intensificada contemplado en este Manual SAGRILAFT, que comprenderá por lo menos la aprobación de la vinculación por el superior jerárquico que usualmente realiza esta aprobación o por el Oficial de Cumplimiento. 

• Epayco realizará un procedimiento de Debida Diligencia Intensificada para la iniciación de relaciones comerciales y operaciones con personas naturales o jurídicas procedentes de países considerados de mayor riesgo. 

• Se consideran países de mayor riesgo, las jurisdicciones sancionadas por la OFAC8 y las jurisdicciones de mayor riesgo catalogadas por el GAFI9. 

7.2.4 Manejo de dinero en efectivo y activos virtuales 

• Epayco no realiza operaciones en efectivo con clientes o proveedores, por lo que todas las operaciones de intercambio de dinero de la Compañía con estas contrapartes se realizarán a través del sistema financiero, por medio de transferencia o cheque. En caso de que, excepcionalmente, se requiera realizar o recibir pagos en efectivo de clientes o realiza pagos en efectivo a proveedores, se solicitará autorización al Oficial de Cumplimiento para esta operación, cuando este valor sea igual o mayor a los $10.000.000 (Diez millones de pesos COP), quien evaluará si la operación expone a un riesgo de LA/FT/FPADM a la Compañía y las medidas para mitigarlo. 

• Epayco podrá entregar dinero en efectivo a empleados para gastos no recurrentes debidamente justificados mediante factura de venta o documento equivalente. Las operaciones en efectivo que no se ajusten a este lineamiento, requerirán aprobación previa del Oficial de Cumplimiento. 

• Hasta nueva orden de la Asamblea de Accionistas, y aprobación del Oficial de Cumplimiento, Epayco no realizará transacciones con activos virtuales, por lo que no es necesario realizar ninguna identificación adicional de contrapartes que efectúen este tipo de operaciones dentro del proceso de gestión del riesgo. 

7.2.5 Ventas masivas 

• Epayco es una pasarela de pago, por medio de la cual, una persona natural o jurídica, a través de cualquiera de sus modelos (Gateway o Agregador), para efectos de vender sus productos y/o servicios a través de sus páginas web o e-commerce a cambio de una comisión. De acuerdo con el análisis de riesgos realizado por Epayco, se consideran los cuatro factores de riesgo para la identificación de operaciones inusuales y, por ende, son relevantes para la prevención de LA/FT/FPADM. Las operaciones que salen de los parámetros normales requerirán la ejecución del procedimiento de conocimiento del cliente contemplado en el Numeral 7.3: 

7.2.6 Reportes internos sobre monitoreo del SAGRILAFT 

• El Oficial de Cumplimiento, rendirá periódicamente informes a la Asamblea de Accionistas y al Representante Legal con una evaluación y análisis sobre la eficiencia y efectividad del SAGRILAFT y, de ser el caso, proponiendo las mejoras respectivas. Igualmente, demostrará los resultados de su gestión y de la administración de la Compañía en el cumplimiento del SAGRILAFT. 

7.2.7 Reportes internos y externos 

• En el caso de que cualquier empleado o asociado detecte una señal de alerta en los términos de este Manual SAGRILAFT, deberá presentar de forma inmediata un reporte interno de operaciones inusuales al Oficial de Cumplimiento de Epayco. 

• El Oficial de Cumplimiento es el responsable de analizar todas las operaciones inusuales y señales de alerta que detecte en el ejercicio de su cargo, o que sean reportadas por empleados o asociados de la Compañía. En este análisis, comprobará que se realizaron actividades de profundización sobre la señal de alerta y sobre el conocimiento de la contraparte, solicitará información adicional cuando el análisis lo amerite, y determinará si la situación, operación, contrato o negocio, por la característica de la inusualidad, se considera sospechoso y debe ser reportado a la UIAF como Reporte de Operación Sospechosa (ROS). 

• En caso de que transcurra un trimestre sin que Epayco presente un ROS a la UIAF, el Oficial de Cumplimiento procederá a presentar el AROS (Ausencia de ROS) dentro de los diez (10) días calendario siguientes al vencimiento del respectivo trimestre. 

7.2.8 Conservación y manejo de la documentación del sistema 

• La Compañía conservará los documentos y registros relativos al sistema de autocontrol y gestión del riesgo LA/FT/FPADM de conformidad con lo establecido en las normas que regulan la conservación de libros y papeles de comercio.  

En todo caso la Compañía conservará los documentos por el término de diez (10) años y concluido el término citado los documentos pueden ser destruidos, siempre que se cumplan las siguientes condiciones: 

• Que no medie solicitud de entrega de los mismos formulada por autoridad competente. 

• Que se conserven en un medio técnico que garantice su posterior reproducción exacta y la preservación de su valor probatorio. 

• En los casos de fusión, la Compañía absorbente debe garantizar la continuidad en el estricto cumplimiento de esta disposición. 

• En caso de liquidación, corresponde al liquidador adoptar las medidas necesarias para garantizar el archivo y protección de estos documentos. 

• Los reportes internos y externos del SAGRILAFT, así como cualquier resultado o información obtenida durante los procesos de conocimiento de contrapartes se considera información confidencial y no podrán ser comunicados a terceros por fuera de Epayco, salvo que exista previa autorización del Oficial de Cumplimiento.  

• Epayco garantizará la reserva de la información recaudada y reportada en el marco del SAGRILAFT, en particular los ROS remitidos a la UIAF. Bajo ningún motivo se le informará o comunicará a una contraparte, que la Compañía ha presentado o planea presentar un ROS a la UIAF respecto de operaciones con dicha contraparte. 

Solo podrá ser levantada la reserva cuando medie autorización expresa y por escrito de las autoridades competentes, validada previamente por el Oficial de Cumplimiento. 

7.2.9 Sanciones 

• El incumplimiento de un empleado o asociado de las medidas indicadas en estas políticas, o en el Manual SAGRILAFT se considerará como una falta grave y podrá conllevar la aplicación de sanciones disciplinarias internas, la desvinculación o terminación del contrato con Epayco y/o la respectiva denuncia frente a las autoridades correspondientes, según la gravedad de la infracción y el riesgo al que exponga a Epayco. 

• 7.2.10 Política de conflicto de intereses 

• Este tema será tratado conforme lo establece el Código de Ética y Conducta de Epayco10.  

11.  Política de incursión en nuevas actividades o prestación de nuevos servicios  

• Si la Compañía decide incursionar en nuevas actividades, deberán llevar a cabo un análisis de riesgo de LA/FT/FPADM y dejar constancia escrita de dicho análisis. De igual forma, se definirán las actividades de control que se requieran. 

12. Política frente al reporte de operaciones sospechosas 

La Compañía, reportará aquellas operaciones que, por su cuantía, características y demás elementos pudieren calificar como sospechosas.  En este caso no se requiere que la Compañía tengan la certeza de que se trata de una actividad delictiva, ni identificar el tipo penal o que los recursos involucrados provienen de tales actividades. Para el envío del reporte de operación sospechosa a la UIAF, se observarán las instrucciones dadas por dicha Compañía en el Anexo 1 – ROS el cual se encuentra disponible en la página de Internet www.uiaf.gov.co.  Dicho instructivo puede ser modificado o adicionado por la UIAF por lo cual corresponde al Oficial de Cumplimento validar periódicamente si han existido cambios en el mismo. 

8. FUNCIONES Y RESPONSABLES DEL SAGRILAFT 

8.1 Funciones de la Asamblea General de Accionistas. 

La Asamblea General de Accionistas de Epayco, como responsable de la puesta en marcha y efectividad del SAGRILAFT, cuenta con las siguientes funciones específicas: 

1. Designar al Oficial de Cumplimiento responsable del sistema. En caso de considerarlo necesario, podrá designar a un Oficial de Cumplimiento Suplente. 

2. Aprobar las políticas y procedimientos diseñados por el Representante Legal y el Oficial de Cumplimiento de la Compañía, para el sistema de autocontrol y gestión del riesgo LA/FT/FPADM, así como sus actualizaciones. 

3. Aprobar el Manual del SAGRILAFT y sus actualizaciones. 

4. Analizar oportunamente los informes que presente el Oficial de Cumplimiento sobre el funcionamiento del SAGRILAFT, así como las propuestas de correctivos y actualizaciones, tomando decisiones sobre cada uno de los temas allí tratados. 

5. Analizar oportunamente los reportes y solicitudes presentados por el Representante Legal y/o el Oficial de Cumplimiento. 

6. Pronunciarse sobre los informes presentados por la revisoría fiscal o las auditorías interna y externa, que tengan relación con la implementación y el funcionamiento del SAGRILAFT, y hacer el seguimiento a las observaciones o recomendaciones incluidas.  

7. Ordenar y garantizar los recursos económicos, técnicos, logísticos y humanos necesarios para implementar y mantener en funcionamiento el SAGRILAFT, según los requerimientos que para el efecto realice el Oficial de Cumplimiento. 

8. Aprobar los criterios parala vinculación de contrapartes que ostenten la calidad de PEP.  

9. Aprobar relaciones con contrapartes que por las características de su objeto social o sector económico expongan a la Compañía a un mayor riesgo de LA/FT/FPADM. 

10. Establecer pautas y determinar los responsables de realizar auditorías sobre el cumplimiento y efectividad del SAGRILAFT, de manera que ello le permita el cumplimiento de sus funciones. 

11. Verificar que el Oficial de Cumplimiento cuente con la disponibilidad y capacidad necesaria para desarrollar sus funciones.  

12. Constatar que la Compañía, el Oficial de Cumplimiento y el Representante Legal desarrollan las actividades designadas en este manual. 

8.2 Funciones del Representante Legal. 

En adición a las funciones establecidas por otras normas externas o internas, se establecen de manera específica las siguientes, frente al sistema de autocontrol y gestión del riesgo de LA/FT/FPADM:  

1. Designar al Oficial de Cumplimiento responsable del sistema, en el evento de que no exista Asamblea de Accionistas, con la aprobación del máximo órgano social. 

2. Disponer de las medidas operativas, económicas, físicas, tecnológicas y de recursos que sean necesarias y requeridas para que el Oficial de Cumplimiento pueda desarrollar sus labores. 

3. Someter a aprobación de la Asamblea de Accionistas o máximo órgano social y en coordinación con el Oficial de Cumplimiento, la(s) política(s) diseñada(s) y las actualizaciones del Sistema de Autocontrol y Gestión del Riesgo de LA/FT/FPADM, así como al respectivo manual. 

4. Estudiar los resultados de la evaluación del riesgo de LA/FT/FPADM efectuada por el Oficial de Cumplimiento y establecer los planes de acción que correspondan. 

5. Verificar que el Oficial de Cumplimiento cuente con la disponibilidad y capacidad necesaria para desarrollar sus funciones. 

6. Prestar efectivo, eficiente y oportuno apoyo al Oficial de Cumplimiento en el diseño, dirección, supervisión y monitoreo del SAGRILAFT. 

7. Designar la instancia superior que tendrá la decisión final de aceptar contrapartes que ostenten el titulo PEP o cuyas características identificadas en el conocimiento del cliente puedan llegar a materializar situaciones de riesgo de tipo LA/FT/FPADM en la compañía. 

8. Presentar a la Asamblea de Accionistas, los reportes, solicitudes y alertas que considere que deban ser tratados por dicho órgano y que estén relacionados con el SAGRILAFT. 

9. Asegurarse de que las actividades que resulten del desarrollo del SAGRILAFT se encuentran debidamente documentadas, de modo que se permita que la información responda a unos criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad. 

10. Evaluar con el acompañamiento del oficial de cumplimiento, el riesgo de LA/FT/FPADM que implica la incursión de la compañía en la prestación de nuevos servicios. 

11. Certificar ante la Superintendencia de Sociedades el cumplimiento de lo previsto en el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, cuando así se solicite.  

12. Recibir y atender en conjunto con el oficial de cumplimiento, los requerimientos y recomendaciones de los órganos de control relacionados con el sistema de autocontrol y gestión del riesgo de LA/FT/FPADM. 

13. Suministrar los recursos humanos, tecnológicos y físicos para la implementación y correcto funcionamiento del sistema de autocontrol y gestión del riesgo de LA/FT/FPADM. 

14. Verificar que los procedimientos del SAGRILAFT desarrollen las políticas de LA/FT/FPADM adoptadas por la Asamblea de Accionistas. 

8.3 Oficial de Cumplimiento 

1. Gozar de capacidad para tomar decisiones y tener comunicación directa con la Asamblea de Accionistas 

2. Contar con conocimiento en administración de riesgos y entender el giro ordinario de las actividades de la Compañía 

3. Contar con un equipo de trabajo humano y técnico acorde con el tamaño de la Compañía 

4. No pertenecer a la administración, a los órganos sociales ni a la auditoría interna o externa, o revisoría fiscal. 

5. En caso de que la Asamblea de Accionistas designe a un Oficial de Cumplimiento que no se encuentre vinculado laboralmente, esta persona podrá realizar este cargo en no más de diez (10) empresas; en caso de que realice este cargo en otras empresas diferentes a Epayco, el Oficial de Cumplimiento deberá certificar que no lo hace en empresas que compitan con la Compañía. 

• Cometido delitos contra el patrimonio económico público o privado, lavado de activos o enriquecimiento ilícito. 

• Haber sido o sea objeto de extinción de dominio por participar en actividades ilícitas.  

• Haber sido o sea sancionado por violar normas que regulan la prevención, control y detección del LA/FT/FPADM 

Incompatibilidades 

No podrá ser designado como Oficial de Cumplimiento la persona que:  

• Pertenezca a los órganos de la administración. 

• Ostente el cargo de auditor interno o revisor fiscal. 

• Ostente el cargo de Representante Legal o Administrador de la Compañía. 

8.3.3 Conflictos de interés 

Conflictos de interés: El Oficial de Cumplimiento debe abstenerse de incurrir en situaciones de conflicto de interés en donde pueda anteponer sus intereses personales sobre los del SAGRILAFT, informando de dicha situación al comité o área encargada en la Compañía. Se presentan conflictos de interés para el Oficial de Cumplimiento en los siguientes casos: 

• En la consulta en listas, el análisis de operaciones inusuales, estudio de operaciones sospechosas y realización de reporte de operación sospechosa – ROS: Cuando la consulta, el estudio, análisis o reporte ha sido realizado para el cónyuge o compañero permanente, parientes dentro del primero11 y segundo grado de consanguinidad12, primero y segundo de afinidad13 o primero civil14, o respecto de aquellas operaciones o reportes en las que el Oficial de Cumplimiento tenga algún interés personal o busque el favorecimiento de otra persona.  

• En la realización de reportes a las autoridades: Se entiende que hay conflicto de interés cuando en la toma de decisión de la realización del reporte se encuentran involucradas situaciones personales de quien realiza el reporte o se trata de operaciones realizadas por cónyuges o compañeros permanentes, parientes dentro del segundo grado de consanguinidad, segundo de afinidad o primero civil. 

8.3.4 Funciones y responsabilidades del Oficial de Cumplimiento 

El Oficial de Cumplimiento debe cumplir como mínimo las siguientes funciones: 

1. Velar por el cumplimiento efectivo, eficiente y oportuno del SAGRILAFT. 

2. Diseñar la(s) política(s) y procedimientos del Sistema de Autocontrol y Gestión del riesgo de LA/FT/FPADM, que se ajusten a las características de la Compañía. 

3. Implementar las políticas y procedimientos descritos en este manual. 

4. Controlar y verificar periódicamente la ejecución de las medidas adoptadas en este manual con el fin de garantizar que el funcionamiento del sistema sea efectivo, eficiente y oportuno. 

5. Informar al Representante Legal de la Compañía o a quién haga las veces, acerca de las posibles fallas u omisiones en los controles establecidos para mitigar las situaciones de riesgo identificadas, que comprometan la responsabilidad de los empleados. 

6. Promover la adopción de correctivos y actualizaciones al SAGRILAFT, cuando las circunstancias lo requieran por lo menos una vez cada dos (2) años. Para ello deberá presentar a la Asamblea de Accionistas las propuestas y justificaciones de los correctivos y actualizaciones sugeridas al SAGRILAFT. 

7. Presentar a la Asamblea de Accionistas o máximo órgano de social y al representante legal, un informe semestral que contenga como mínimo:  1) La evaluación y análisis de la eficiencia y efectividad del SAGRILAFT, junto con la propuesta de mejoras, cuando a ello haya lugar; 2) la demostración con las actividades realizadas, de los resultados de la gestión del Oficial de Cumplimiento en el cumplimiento del SAGRILAFT y; 3) la demostración de los resultados de la gestión de la administración de la Compañía, en el cumplimiento del SAGRILAFT; 4) la evaluación y análisis sobre la eficiencia y efectividad del Sistema de autocontrol y gestión del riesgo LA/FT/FPADM. 

8. Diseñar, programar y coordinar la ejecución de los planes de capacitación necesarios para que los empleados de La Compañía estén debidamente informados, actualizados y entrenados para identificar y reportar señales de alerta, operaciones intentadas, inusuales o sospechosas. 

9. Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, así como los informes que presente el revisor fiscal o de auditorías externas, si es el caso, y adoptar medidas correctivas en caso de presentarse alguna deficiencia. 

10. Certificar cuando y como lo requiera la Superintendencia de Sociedades, el cumplimiento de lo previsto en el Capítulo X de la Circular Básica Jurídica. 

11. Verificar el cumplimiento de los procedimientos de Debida Diligencia y Debida Diligencia Intensificada, definidos por la Compañía. 

12. Velar por el adecuado archivo de los soportes documentales y demás información relativa a la gestión y prevención del riesgo de LA/FT/FPADM. 

13. Diseñar las metodologías de identificación, medición, control y monitoreo del riesgo de LA/FT/FPADM que formarán parte del SAGRILAFT. 

14. Realizar la evaluación de los riesgos de LA/FT/FPADM a los que se encuentra expuesta la Compañía. 

15. Diseñar las metodologías de segmentación, identificación, medición y control del riesgo de LA/FT/FPADM que forman parte del sistema.  

16. Registrarse en el SIREL administrado por la UIAF, solicitar el usuario y contraseña para el ingreso a esta plataforma y cumplir con el envío de los reportes. 

17. Recibir de las distintas áreas de la Compañía los reportes internos de operaciones intentadas, inusuales y sospechosas que le sean remitidos a través del mecanismo dispuesto para tal fin. 

18. Analizar los reportes recibidos, realizar las verificaciones necesarias con la colaboración de las áreas que se requiera, para determinar si una señal de alerta puede dar lugar a ser catalogada como una operación inusual y de ser necesario revestirla con el carácter de sospechosa. 

19. Realizar el reporte de las Operaciones Sospechosas (ROS) a la UIAF, el reporte de Ausencia de ROS (AROS) y cualquier otro reporte o informe que establezcan las normas que le son aplicables a la Compañía en materia de prevención y control del riesgo de LA/FT/FPADM, a través del SIREL. 

20. Reportar a la UIAF y poner en conocimiento del Vicefiscal General de la Nación a través de los canales físicos o electrónicos que determinen estas autoridades, las coincidencias de personas que se identifiquen en las Resoluciones 1267 de 1999, 1373 de 2001, 1718 y 1714 de 2006 y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas, en las listas de terroristas de Estados Unidos y la Unión Europea de acuerdo con el Acta del 17 de enero de 2020 del Consejo de Seguridad Nacional y todas aquellas que en un futuro las sustituyan o deroguen, con observancia de la respectiva reserva legal. 

21. Informar a la fiscalía general de la Nación sobre la existencia de bienes que haya detectado en desarrollo de sus actividades y que pueden ser objeto de la acción de extinción de dominio. 

22. Denunciar a la autoridad competente (fiscalía general de la Nación), cuando tenga conocimiento en desarrollo de sus actividades, de la realización de los delitos de LA/FT/FPADM. 

23. Atender y coordinar cualquier requerimiento, solicitud o diligencia de autoridad judicial o administrativa en materia de prevención y control de actividades delictivas. 

24. Recibir y en conjunto con el Representante Legal o con quién este designe, atender los requerimientos y recomendaciones de los órganos de control. 

25. Recibir y absolver las consultas de todos los empleados de la Compañía que ejecutan actividades de o para la Compañía o de los empleados que en un futuro contraten de manera directa la Compañía en todo lo relacionado con el Sistema autocontrol y gestión del riesgo LA/FT/FPADM. 

26. Acreditar los conocimientos requeridos sobre la operación de la Compañía y la administración de riesgos y tener la facultad de toma de decisiones en la Compañía.  

8.4 Funciones de los órganos de control 

Auditoría interna 

1. Cerciorarse de que se esté dando cumplimiento al sistema diseñado y que éste cumple con la normatividad aplicable a la Compañía en materia de autocontrol y gestión del riesgo integral de LA/FT/FPADM. 

2. Dejar constancia en papeles de trabajo de la verificación, la implementación y ejecución del sistema de gestión del riesgo de LA/FT/FPADM. 

3. Informar los resultados de la verificación al órgano competente dentro de la Compañía y al Oficial de Cumplimiento. 

4. Las demás que le asignen otras normas en relación con LA/FT/FPADM. 

Es responsabilidad de los encargados de proceso y/o jefes de áreas: 

1. Promover la asistencia a las capacitaciones que se programen en la Compañía sobre las políticas y procedimientos del sistema de autocontrol y gestión del riesgo de LA/FT/FPADM. 

2. Participar en las mesas de trabajo que convoque el Oficial de Cumplimiento para la identificación, medición, control y monitoreo a los factores de riesgo y eventos identificados. 

3. Proponer e implementar planes de acción o tratamiento para prevenir o reducir la ocurrencia o consecuencias de las situaciones de riesgo identificadas con LA/FT/FPADM. 

4. Ejecutar los controles establecidos para mitigar los eventos de riesgo de LA/FT/FPADM identificados en las áreas o procesos a cargo.  

5. Reportar al Oficial de Cumplimiento las fallas o debilidades del sistema, a efecto de coordinar las medidas correctivas.  

6. Asegurar la ejecución de las medidas de control para la prevención del riesgo de LA/FT/FPADM con la frecuencia y la conservación de las evidencias establecidas en las políticas y procedimientos del SAGRILAFT.   

7. Certificar al Oficial de Cumplimiento trimestralmente, la ejecución de los controles establecidos para mitigar eventos de riesgo de LA/FT/FPADM identificados en las áreas o procesos a cargo, así como la realización de reportes o no, por la detección de señales de alerta u operaciones inusuales durante el período. 

8. Realizar los reportes de detección de señales de alerta u operaciones inusuales de LA/FT/FPADM al Oficial de Cumplimiento. 

9. Autorizar con su firma los documentos que soporten las operaciones, negocios y contratos que se generen desde las áreas a cargo, incluyendo la fecha. 

8.6 De los empleados en general 

Es función y deber de todos los empleados frente al SAGRILAFT: 

1. Conocer y aplicar el SAGRILAFT.  

2. Atender las convocatorias de capacitación. 

3. Prestar el apoyo que le sea requerido por el Oficial de Cumplimiento para el cabal funcionamiento del SAGRILAFT. 

4. Reportar al jefe inmediato o al Oficial de Cumplimiento, cuando identifique una señal de alerta o detecte una operación inusual relacionada con las actividades a su cargo. 

5. Colaborar con la provisión de información sobre señales de alerta u operaciones inusuales, para establecer si éstas constituyen o no operaciones sospechosas. 

6. Guardar reserva ante terceros y empleados distintos del jefe inmediato y el Oficial de Cumplimiento sobre los reportes de señales de alerta, operaciones inusuales y/u operaciones sospechosas que conozcan.  

9. PROCEDIMIENTOS DEL SISTEMA DE AUTOCONTROL Y GESTION DEL RIESGO LA/FT/FPADM 

9.1 Procedimiento de diseño del SAGRILAFT a través del desarrollo de las etapas 

Para diseñar el SAGRILAFT, Epayco tiene en cuenta los riesgos propios y la materialidad relacionada con el LA/FT/FPADM, para lo cual contempla las etapas que le permiten identificar, medir, controlar y monitorear el riesgo de LA/FT/FPADM y las consecuencias de su materialización, tomando como base algunos de los numerales de la metodología de gestión del riesgo NTC ISO 31000. 

Los resultados del desarrollo de cada etapa se dejarán debidamente documentados. Cuando la Compañía decida incursionar en nuevas actividades u opte por ofrecer los servicios, deberá llevar a cabo un análisis de riesgo, para lo cual utilizará la metodología corporativa. De dicho análisis se deberá dejar constancia documentada de su ejecución y resultados, así como la definición de las actividades de control que se requieran. 

Una vez desarrollado el procedimiento de identificación, los responsables de las áreas y procesos asociados con las fuentes de riesgo LA/FT/FPADM y el Oficial de Cumplimiento listarán las situaciones que pueden generar riesgo de LA/FT/FPADM a la Compañía y las dejarán debidamente documentadas en la herramienta20 dispuesta para tal fin. 

1. Encabezado con: Nombre del área o proceso, Objetivo del área o proceso, Alcance del área o proceso, Dueño del área o proceso 

2. Identificación del evento 

3. Descripción del evento de riesgo LA/FT/FPADM 

4. Factor de riesgo o fuente de riesgo asociado al evento 

9.1.2 Medición o evaluación de situaciones que pueden generar riesgos LA/FT/FPADM 

La etapa de medición y evaluación de la situaciones de riesgos identificadas, tiene como propósito determinar el grado o nivel de exposición de la Compañía sin tener en cuenta controles, al riesgo general de LA/FT/FPADM, en cada una de las actividades de su objeto social, expresado en términos de probabilidad (posibilidad de ocurrencia del evento y número de veces en una ventana de tiempo de un año) e impacto (consecuencias o riesgos asociados legales, reputacionales, operativas o de contagio), obteniendo de esta forma el riesgo inherente. 

Para medir la probabilidad y el impacto de la situación de riesgo de LA/FT/FPADM y de acuerdo con la metodología de la compañía, en esta etapa, se realiza la consulta a través de un cuestionario a un grupo de expertos designados por el Oficial de Cumplimiento, que por su conocimiento de la Compañía y de los procesos expuestos al riesgo de LA/FT/FPADM, ayuden con su percepción a medir la probabilidad de que una situación de riesgo ocurra y el impacto que este riesgo puede causar, sin tener en cuenta los controles existentes o por implementar.   

Las respuestas obtenidas en los cuestionarios son incluidas en la base de datos, tabuladas y promediadas para posteriormente ubicar los resultados del promedio de la calificación de probabilidad e impacto por cada evento de riesgo en un mapa de riesgo (coordenadas cartesianas), obteniendo el nivel de riesgo inherente.  La información obtenida debe contener como mínimo la siguiente información: 

1. Causas: Situaciones que puedan generar el evento de riesgo LA/FT/FPADM 

2. Impactos o consecuencias: Estimación de las consecuencias generadas por la materialización del evento de riesgo. Para LA/FT/FPADM se mide en las dimensiones de Legal, Reputacional, Operativo y Contagio (Según tabla de probabilidad e impacto).  

3. Valoración del Riesgo inherente (Según lo establecido por el modelo corporativo) 

La Valoración del Riesgo se calcula utilizando las tablas de Probabilidad e Impacto.  

La etapa de control tiene como propósito tomar las medidas razonables para tratar el riesgo inherente en los eventos de riesgo a los que se ve expuesta la Compañía por cada factor de riesgo. El control deberá permitir una disminución de la probabilidad de ocurrencia y/o del impacto de la situación de riesgo en caso de materializarse y siempre debe aplicarse en el respectivo proceso. 

De acuerdo con la metodología de la compañía, en esta etapa, se realiza el análisis de cada evento de riesgo identificado a partir de la información obtenida en los numerales anteriores y se asocian a los controles que contribuyen a prevenir la ocurrencia del evento y/o ayudan a mitigar el impacto en caso de que el evento de riesgo se presente. Para las medidas razonables de los controles de los riesgos de LA/FT/FPADM y para la detección de operaciones inusuales y operaciones sospechosas, se utilizará una, alguna o todas las siguientes herramientas: 

• Levantamiento de un Inventario de controles a partir de documentos existentes o de entrevistas con empleados de las distintas áreas. 

• Talleres de validación. 

• Experiencia de los líderes de las áreas y procesos.  

Para determinar el perfil de los riesgos residuales, se debe: 

• Establecer, de acuerdo con el resultado de la efectividad del grupo de controles, si el conjunto de controles disminuye la probabilidad y/o el nivel de impacto y el número de niveles en que puede disminuir la probabilidad y el impacto inherentes, para obtener: 1) La probabilidad residual y 2) El impacto residual. 

• Determinar el riesgo residual en la matriz de riesgo, calculando la calificación del riesgo residual, donde el vector resultante es la disminución que la solidez del conjunto de controles genera al riesgo inherente, lo cual se grafica en el mapa de riesgo. 

La valoración final resultante del análisis permitirá a la Compañía: 

• Identificar los eventos de riesgo que requieren tratamiento. 

• Determinar los controles actuales que requieren algún tipo de modificación. 

• Definir los nuevos controles teniendo en cuenta los requerimientos normativos. 

• Elaborar una propuesta de nuevos controles a partir de la revisión de las mejores prácticas y los nuevos eventos de riesgo identificados. 

Para documentar el resultado de la evaluación se complementan la herramienta21 incluyendo la siguiente información: 

1. Objetivo del Control 

2. Descripción del Control  

3. Tipo de control:  

1. Controles Preventivos: Controles establecidos para disminuir la probabilidad de ocurrencia del evento de riesgo.  

2. Controles Correctivos: Controles definidos para disminuir el impacto una vez se ha materializado el evento. 

4. Ejecutor del Control: Persona responsable de que el control opere y de su efectividad 

5. Frecuencia del Control: periodicidad con la cual se realiza el control 

6. Evidencias de la ejecución del Control. 

Las actividades señaladas a continuación serán desarrolladas por el Oficial de Cumplimiento y el equipo de trabajo que éste determine, con el apoyo de los líderes de las áreas de las que se requiera colaboración, así: 

• Oficial de Cumplimiento y su equipo de trabajo: realizaran un seguimiento efectivo y continuo del sistema SAGRILAFT con el fin de evaluar la eficacia de los controles, asegurando que sean integrales y se asocien a todos los eventos de riesgo identificados. Adicionalmente deberá realizar una comparación entre el riesgo inherente y residual de cada factor de riesgo LA/FT/FPADM de los riesgos asociados y asegurar que los riesgos residuales se encuentren en el nivel de aceptación establecido por la política. 

• Este seguimiento se deberá realizar con una periodicidad mínima de seis meses y podrá hacer uso de indicadores u otras herramientas que decida Epayco a través del Oficial de Cumplimiento y quedará documentado en el informe que el Oficial de Cumplimiento le presente al Representante Legal.  

• Facilitaran la rápida detección y corrección de las deficiencias del sistema. Igualmente, realizará pruebas de recorrido que permitan evaluar la oportunidad, efectividad y eficiencia de los controles. 

• Responsables de áreas o procesos impactados por el riesgo y sus equipos de trabajo: los responsables de cada proceso deberán monitorear permanentemente las actividades del proceso22 específico al cargo, para evidenciar que no se presenten situaciones de riesgos asociados a LA/FT/FPADM y que los controles ejecutados, operen oportuna, eficaz y eficientemente. Cualquier desviación deberá ser informada al Oficial de Cumplimiento. Así mismo, cualquier señal de alerta u operación inusual que se advierta en la ejecución de los controles deberá ser informada al Oficial de Cumplimiento. 

• Áreas de Control: Las áreas de control, hacen revisiones periódicas cuyos resultados son comunicados al Representante Legal o quién haga sus veces y al Oficial de Cumplimiento, quienes determinan las acciones correctivas a seguir.   

9.2 Medidas mínimas de debida diligencia en el conocimiento de contrapartes.  

1. Los siguientes datos del cliente: 

 Se podrán incluir textos que permitan ejecutar controles para mitigar situaciones de riesgo de LA/FT/FPADM, así:

Declaraciones y autorizaciones, se refiere a clausulas mediante las cuales la Compañía mitiga posibles situaciones de riesgo, solicitando al cliente entre otros:

Autorizar a ser consultado en bases de datos.  

Aceptar la terminación automática de la relación contractual en caso de encontrarse relacionado negativamente en listas vinculantes, restrictivas o noticias por temas asociados al lavado de activos o financiación del terrorismo.  

El compromiso de actualizar anualmente o en un tiempo menor en caso de que ocurran cambios en la información suministrada.

Una vez diligenciado el formulario, el cliente lo debe suscribir confirmando su id de manera digital, reconociendo y aceptando de esta forma la información en él contenida. 

2. Solicitar los documentos soporte que permiten realizar la verificación y/o confirmación de la información registrada en formulario, los cuales deben contar con lo siguiente:   

Una vez el área o proceso que corresponda cuente con la información citada, adelantará las siguientes actividades de debida diligencia: 

3. Verificar que el formulario y los soportes cumplan con lo requerido 

4. Conservar el formulario y los soportes en una carpeta electrónica 

5. Verificar los datos del formulario con los soportes en cuanto al Id, dirección y teléfono. 

6. Realizará o garantizará que se hubiese realizado la verificación en Listas Vinculantes y en otras bases de datos de prevención de LA/FT/FPADM, de forma directa o por medio de un tercero. En caso de personas jurídicas, verificará al representante legal y a los beneficiarios finales. 

1. Las coincidencias encontradas en la verificación de las Listas Vinculantes, información pública o la identificación de cualquier señal de alerta deberán ser informadas al Oficial de Cumplimiento, con el fin de evaluar el reporte de envío a la UIAF y ponerlo en conocimiento del Vicefiscal General de la nación a través de los canales dispuestos para tal fin. 

7. El resultado obtenido en la verificación en Listas Vinculantes, información pública u otras señales de alerta hará parte de los criterios definidos para que un potencial cliente resulte elegible o no para hacer negocios con Epayco. 

8. Dejar evidencia del resultado de las consultas realizadas en las listas.  

9. Dejar constancia del resultado del control de verificación de la información y de la consulta en listas con el nombre, fecha y hora del empleado que realizó la actividad, esto para efectos probatorios futuros de debida diligencia. 

10. Cuando los funcionarios determinen que la relación con un potencial cliente puede implicar un mayor riesgo de LA/FT/FPADM, cuando la ubicación geográfica es de alto riesgo, o se trate de PEPs, se procederá de acuerdo con el procedimiento descrito en el numeral 7.7 de este Capítulo. 

11. Coincidencias encontradas durante las verificaciones en las listas o las inconsistencias entre el formulario y los soportes, u otras señales de alerta durante el procedimiento, deberán ser informadas por escrito al Oficial de Cumplimiento de la Compañía tal y como se indica en el numeral de este manual y el proceso se detiene hasta tanto el Oficial de Cumplimiento de La Compañía lo autorice. 

Una vez los resultados de las anteriores actividades resulten satisfactorios, el área o proceso que corresponda continuará con la actividad de creación del cliente en las bases de datos. 

12. Los siguientes datos del cliente: 

13. Solicitará los documentos que permiten verificar la información del formulario, a saber:  

14.  Realizará o garantizará que se hubiese realizado la verificación en Listas Vinculantes y en otras bases de datos de prevención de LA/FT/FPADM, de forma directa o por medio de un tercero. En caso de personas jurídicas, verificará al representante legal y a los beneficiarios finales. 

15.  Las coincidencias encontradas en la verificación de las Listas Vinculantes, información pública o la identificación de cualquier señal de alerta deberán ser informadas al Oficial de Cumplimiento. 

16.  El resultado obtenido en la verificación en Listas Vinculantes, información pública u otras señales de alerta hará parte de los criterios definidos para que un potencial cliente resulte elegible o no para hacer negocios con Epayco. 

17. Cuando el área o proceso que corresponda determine que la relación con un potencial cliente puede implicar un mayor riesgo de LA/FT/FPADM, cuando la ubicación geográfica es de alto riesgo, o se trate de PEPs, se procederá de acuerdo con el procedimiento descrito en el numeral 7.7 de este Capítulo. 

• Contacto directo con el cliente para recopilar la información que puede ser susceptible de cambio en el tiempo a saber: dirección de ubicación, teléfono, representantes legales, asociados, cifras financieras etc. 

• Comunicaciones personalizadas y por escrito, invitando al cliente a actualizar la información. 

Todas las diligencias que se realicen, tendientes a actualizar la información deben quedar documentadas (cartas, formularios de actualización, soportes recibidos) en un archivo general de actualización o en la carpeta de cada cliente. 

Con el fin de mitigar que las operaciones con proveedores expongan a Epayco al riesgo de LA/FT/FPADM, el área o proceso a quién corresponda iniciar la selección y vinculación de proveedores de bienes o servicios para la compañía, adelantará las actividades descritas a continuación, con el fin de mitigar los riesgos de LA/FT/FPADM: 

1. Solicitará el diligenciamiento del formulario de conocimiento del proveedor, con las siguientes preguntas: 

2. Solicitará los documentos que permiten verificar la información del formulario, a saber:  

Una vez el área o proceso a quién corresponda cuenten con la información citada, adelantará las siguientes actividades de debida diligencia: 

3. Verificará que el formulario se encuentre correcta y totalmente diligenciado y los soportes solicitados sean legibles. 

4. Realizará o garantizará que se realice la consulta en Listas Vinculantes del proveedor por nombres de las personas que aparezcan en el formulario y en los soportes, para el caso de las personas jurídicas, se verificará al representante legal y a los beneficiarios finales, en la herramienta de consulta de listas dispuesta para tal fin.  Consultar los nombres de las personas en otras listas disponibles en Internet como son la Procuraduría General de la Nación, Policía Nacional, Interpol y las demás que disponga la Compañía. 

5. Dejar constancia del resultado del control de verificación de la información y de la consulta en listas con el nombre, fecha y hora del empleado que realizó la actividad, esto para efectos probatorios de debida diligencia. 

6. Las coincidencias encontradas en la verificación de las Listas Vinculantes, información pública o la identificación de cualquier señal de alerta deberán ser informadas al Oficial de Cumplimiento. 

7. El resultado obtenido en la verificación en Listas Vinculantes, información pública u otras señales de alerta hará parte de los criterios definidos para que un potencial proveedor resulte elegible o no para hacer negocios con Epayco y ser incluido en la base de datos. 

8. Cuando el área o el proceso que evalúa al proveedor, determine que la relación puede implicar un mayor riesgo de LA/FT/FPADM, cuando la ubicación geográfica principal del proveedor es de alto riesgo, se trate o tenga vínculos con un PEP o se evidencian señales de alerta relacionadas con falta de experiencia en el mercado o personas no reconocidas, se procederá a realizar una debida diligencia intensificada y con apoyo del Oficial de Cumplimiento se establecerá si existen características particulares u otro tipo de información que no guarde relación con su actividad económica o cualquier otra situación que pueda generar duda sobre la legalidad de sus operaciones y se definirá si es necesario realizar o mantener el vínculo con el proveedor. 

9. En el proceso de pago a los proveedores, la Compañía deberá implementar procesos de validación que permitan prevenir que los dineros entregados sean usados para el financiamiento del terrorismo o la proliferación de armas de destrucción masiva.  En caso de encontrar alguna operación sospechosa se deberá ejecutar el proceso de reporte a la UIAF.  

Los resultados de esta verificación deberán dejarse consignado en un documento qué se anexará a los documentos del potencial proveedor.  En caso de no considerar necesaria la verificación a pesar de existir características particulares, área o proceso a quién corresponda deberá dejar igualmente constancia de las razones que motivan la decisión.  

1. Solicitar un formato de hoja de vida institucional, junto con los documentos que acreditan la identidad e idoneidad del aspirante. 

2. Recopilará el nombre y copia del documento de identificación del potencial empleado y se indagará si es una PEP, PEP Extranjera o PEP de Organizaciones Internacionales  

3. Realizar y garantizar que se realice la verificación en Listas Vinculantes del potencial empleado por nombre de la persona y su número de identificación en las listas internacionales que tienen el carácter de vinculante para Colombia. 

4. Consultar los nombres de las personas en otras listas disponibles en Internet como son la OFAC, Procuraduría General de la Nación, Policía Nacional, Interpol y demás que disponga la Compañía a quienes realizan los estudios de seguridad a fin de verificar los antecedentes del potencial empleado. 

5. Cuando el Área de Talento Humano determine que la relación con un empleado puede implicar un mayor riesgo de LA/FT/FPADM, cuando la ubicación geográfica es de alto riesgo, o por tratarse de PEPs, se procederá de acuerdo con el procedimiento descrito de debida diligencia intensificada. 

6. Las coincidencias encontradas deberán ser informadas al Oficial de Cumplimiento como una señal de detección y análisis de operaciones inusuales. 

7. Se debe dejar evidencia física o electrónica del resultado y proceso de las consultas realizadas en las listas, otras fuentes de información y demás situaciones que se presenten al momento de la selección. 

8. El resultado de la verificación en las listas hará parte de los criterios utilizados para considerar elegible o no al empleado y poder continuar el proceso de selección y pasar a la contratación.  

Durante la contratación 

• Adelantar capacitación de inducción sobre las políticas y procedimientos contenidos en este manual, dejando constancia de que el empleado asistió a la actividad. 

Durante la permanencia del empleado 

• Adelantar jornadas de actualización de la información básica de los empleados, que es susceptible de cambiar con el paso del tiempo, con el fin de poder hacer seguimiento y detectar comportamientos inusuales que deben ser reportados al Oficial de Cumplimiento. 

• Con el apoyo del Oficial de Cumplimiento, llevar a cabo jornadas anuales de sensibilización y de entrenamiento a los empleados, para que estén en la capacidad de detectar operaciones intentadas, inusuales y sospechosas y conozcan con claridad a quién y cómo deben reportarse.  

9.6 Debida diligencia a accionistas o asociados 

Para evitar que la vinculación de nuevos asociados a Epayco represente un riesgo de LA/FT/FPADM para la Compañía, se adelantará las siguientes gestiones de debida diligencia: 

1. Recopilar y mantener disponible la identificación del socio/accionista con una copia del documento de identificación del asociado persona natural. Para personas jurídicas, se recopilará el Certificado de Existencia y Representación o equivalente y copia del documento del representante legal, junto con la información de dirección y teléfono de ubicación. Deberá velar por la actualización de la información que sea susceptible a cambiar con el paso del tiempo. 

2. En caso de que el socio/accionista sea una persona jurídica, solicitará información sobre la identidad de los beneficiarios finales, esto es, los accionistas o socios que posean más del 5% de participación en el capital social. 

3. Indagará si el asociado, o para el caso de personas jurídicas, el representante legal, tiene la categoría de PEP, PEP Extranjera o PEP de Organizaciones Internacionales  

• Con la información de identificación recopilada se debe Realizar y garantizar que se realice la verificación en Listas Vinculantes a los socios/accionistas, en caso de personas jurídicas, verificará al representante legal y a los beneficiarios finales, a través de la herramienta dispuesta para tal fin, dejando evidencia (pantalla) del resultado con fecha y hora de realización de la actividad.  El mencionado resultado debe guardarse en la carpeta física o electrónica del asociado.   

4. Las coincidencias encontradas en la verificación de las Listas Vinculantes, información pública o la identificación de cualquier señal de alerta deberán ser informadas al Oficial de Cumplimiento como un análisis y detección de operaciones inusuales. 

5. Cuando el área responsable determine que la relación con un asociado puede implicar un mayor riesgo de LA/FT/FPADM, o cuando la ubicación geográfica es de alto riesgo, o se trata de una PEP, se procederá de acuerdo con el procedimiento de debida diligencia intensificada. 

9.7 Debida Diligencia Intensificada a personas que pueden exponer a un mayor riesgo a la compañía. 

Cuando se realice la vinculación de cualquier contraparte (cliente, proveedor, empleado o asociado) que: 

• Personas que manejan recursos públicos: se incluyen dentro de esta categoría las que directa o indirectamente tengan bajo su responsabilidad la administración de recursos de origen público. Por ejemplo: Gobernadores, Alcaldes, Contratistas del Estado, Directores de Entidades Públicas. 

• Personas que detentan algún grado de poder público: se incluyen dentro de esta categoría quienes gozan de un nivel de influencia sobre decisiones o estrategias políticas que impacten en la Sociedad. Estas personas pueden o no estar relacionadas directa o indirectamente con el sector público. Por ejemplo: ministros, Diplomáticos, Notarios, Directores de Gremios, Líderes sociales o religiosos con influencia política, Líderes sindicales entre otros. 

Así mismo, se considera PEP a los funcionarios que representan legalmente a las Entidades Públicas que puedan en un futuro ser clientes de la compañía.  

Al momento de decidir sobre la aceptación de una contraparte PEP, los encargados de su selección y vinculación deben prestar especial atención a lo siguiente: 

• Al origen de los fondos 

• El país de origen de los fondos que el PEP entrega para la administración o inversión (si el país cumple con los estándares mínimos de conocimiento del cliente). 

• El país de origen de la persona, verificando si es residente en Colombia o no, persona reconocida o de influencia pública o política que ocupe importantes posiciones. 

• Si el servicio solicitado no es para el beneficio personal del PEP, se debe indagar sobre la autorización para contratar o negociar, otorgada por el órgano competente de la Compañía que represente. 

Por su parte, el área o cargo que corresponda realizará las siguientes actividades de debida diligencia: 

• Verificar la reputación del PEP en fuentes públicas, en especial que no se encuentre asociado con temas de corrupción o de LA/FT/FPADM, e informar al Jefe Inmediato y al Oficial de Cumplimiento las coincidencias, de acuerdo con lo descrito en la detección y análisis de operaciones inusuales. 

• Que la decisión final de aceptar como cliente a un PEP sea adoptada por la instancia superior designada al interior de la Compañía, es decir por el Oficial de cumplimiento.  

Finalmente, el área o cargo responsable de la creación, registrará la condición de PEP en la base de datos de la compañía, para llevar un control sobre las personas que cumplen con esta característica.    

Se consideran actividades de mayor riesgo cuando:  

• Personas que desarrollan actividades económicas catalogadas como de riesgo superior28 desde LA/FT/FPADM 

La compañía reconoce que puede darse en algún momento la presencia de algunas de las mencionadas actividades económicas en su negocio, las cuales representan un riesgo de LA/FT/FPAMD superior debido a que son más utilizadas por organizaciones criminales, para cometer delitos relacionados con lavado de activos o financiación del terrorismo.  

• Solicitar y examinar los estados financieros para determinar si su situación financiera es acorde con la de las empresas del sector, dejando un informe escrito sobre las conclusiones el cual debe quedar en la respectiva carpeta de la contraparte. 

• Verificar los antecedentes de las personas jurídicas constituidas en el extranjero. 

Algunos documentos de debida diligencia ampliada que se pueden requerir a las contrapartes catalogadas como de riesgo superior, de acuerdo con la actividad económica: 

• Solicitar certificados donde conste que la empresa cuenta con políticas y procedimientos para la prevención y control del LA/FT/FPADM. Ejemplo: Empresas de Comercio Exterior vigiladas por la DIAN, en virtud de la Circular Externa 170/02 o Empresas del sector real vigiladas por la Superintendencia de Sociedades a quienes les aplica la Circular Externa 100-0005 de 2014, Empresas del sector transporte de carga vigiladas por la Superintendencia de puertos y transporte a quienes les aplica la Circular Externa 011 de 2012, entre otras. 

• Solicitar a empresas extranjeras el certificado de cumplimiento de las medidas de prevención y/o control de LA/FT/FPADM que apliquen en el país de origen. Ejemplo: Ley patriota en EEUU. 

• Solicitar el “Certificado de carencia de informes por tráfico de estupefacientes para el manejo de sustancias químicas controladas”, para empresas productoras o distribuidoras de sustancias controladas. 

• Consultar información de la potencial contraparte en las bases de datos de centrales de riesgo, previa solicitud de la autorización correspondiente. 

• Y está solicitando vincularse: No se puede continuar con el proceso de vinculación, negociación o contratación. 

• Ya se encuentra vinculada: Con base en la cláusula de terminación unilateral contenida en el formulario de vinculación o en el contrato suscrito, se terminará de manera automática la relación, aduciendo razones estrictamente corporativas. 

• La compañía a través del Oficial de Cumplimiento realizará de forma inmediata el reporte como una operación sospechosa a la UIAF y/o a las autoridades competentes. 

Si la persona se encuentra involucrada en otra lista, en una noticia adversa o negativa: 

• Y está solicitando vincularse; El Oficial de Cumplimiento y el dueño del área o proceso29 según se trate de cliente, proveedor, empleado o accionista, evaluarán la situación y definirán con el concurso del Representante Legal o de quién este designe el tratamiento que se dará a la contraparte. Las definiciones pueden implicar de acuerdo con el riesgo legal, reputacional que pueda representarle a la Compañía o de contagio a su matriz, la no aceptación de la contraparte o la solicitud de explicaciones y estudio de las mismas. 

• Se elaborará un acta de la reunión, en donde además de los requisitos legales se deje constancia de las decisiones tomadas, la cual se conservará dentro de los documentos del sistema de autogestión y control del riesgo de LA/FT/FPADM. 

• Si se decide no adelantar o cerrar la relación, el dueño del proceso al que corresponde, según se trate de cliente, proveedor, empleado o accionista, adelantará el protocolo de información a la contraparte según corresponda, aduciendo razones estrictamente corporativas. 

• Si se decide solicitar explicaciones a la contraparte, se deberá establecer un tiempo máximo de respuesta, vencido el cual deberá reunirse nuevamente el órgano consultivo para tomar las acciones correspondientes. Se generará el acta de la reunión y el dueño del proceso ejecutará las decisiones adoptadas. 

La Compañía a través del Oficial de Cumplimiento, realizará un seguimiento especial al comportamiento de las personas con las que tiene una relación contractual y que han sido identificadas en algunas de las listas no vinculantes o en noticias adversas o negativas, reservándose el derecho de terminar en forma anticipada su relación contractual, en los casos que no contravenga la ley. 

Es obligación de los empleados de la Compañía, guardar reserva sobre los resultados de la consulta de terceros en las listas. 

Los siguientes países se encuentra incluidos en la lista negra y gris del GAFI (2022): Albania, Bahamas, Barbados, Botsuana, Camboya, Corea del Norte, Ghana, Irán, Islandia, Jamaica, Mauritania, Mongolia, Myanmar, Nicaragua, Pakistán, Panamá, Siria, Uganda, Yemen, Zimbabue.  

El cargo responsable de la vinculación de cada contraparte procederá a realizar las actividades de debida diligencia intensificada que se indican a continuación: 

1. Verificar que las personas han cumplido con el suministro de la información y soportes mínimos requeridos por la Compañía. 

2. Verificar cuál fue el resultado de la consulta en listas vinculante, restrictiva y otras de que disponga la Compañía. 

3. Marcar en la base de datos de clientes, proveedores, empleados y asociados, según corresponda a las personas como de “ALTO RIESGO” de manera que la Compañía pueda tener control sobre las personas que cumplen con esta característica.    

4. Anualmente monitorear los negocios y operaciones que se mantengan con clientes, proveedores y empleados marcados como de “ALTO RIESGO”, para determinar que éstos se encuentran dentro de parámetros de normalidad frente al perfil del segmento al cual pertenecen. 

5. Mientras dure la relación comercial activa con la Compañía, semestralmente se verificará el estado de la persona y sus relacionados en las listas de prevención de LA/FT/FPADM. 

Operaciones que pueden generar mayor riesgo a la compañía 

• Manejo de dinero en efectivo al interior de la compañía 

La Compañía no manejará transacciones en efectivo con sus contrapartes, todas las operaciones se realizarán haciendo uso de los servicios del sistema financiero.  

Por lo anterior, si se evidencia que una contraparte realiza consignaciones en efectivo en las cuentas bancarias de la Compañía, podrá considerarse una situación inusual, objeto de reporte al Oficial de Cumplimiento. 

• Manejo de ingreso de recursos en cuentas bancarias de la Compañía 

La compañía recibirá en sus cuentas bancarias, de manera única y exclusiva recursos provenientes de los servicios que presta Epayco como parte de su objeto social. Cualquier otra clase de recurso que ingrese a la cuenta bancaria de la Compañía, deberá analizarse, verificarse y documentarse en el área correspondiente y en caso de establecer que se trata de una operación inusual se deberá reportar al Jefe Inmediato y al Oficial de Cumplimiento. 

Las operaciones inusuales que tras ser analizadas por el Oficial de Cumplimiento sean susceptibles de reintegro al beneficiario real, deberán ser debidamente documentadas y en caso de que revistan el carácter de sospechosas deberán ser reportadas a la UIAF. 

• Operaciones de comercio exterior 

• Contacto directo con las contrapartes para recopilar (formulario) la información que puede ser susceptible de cambio en el tiempo a saber: dirección de ubicación, teléfono, nombre de representantes legales y beneficiarios finales.   

• Comunicaciones personalizadas y por escrito, invitando a la contraparte a actualizar la información. 

• Revisión en Listas Vinculantes 

• Listas nacionales e internacionales. A través de su uso se identifican posibles vínculos con personas o activos relacionados con delitos de LA/FT/FPADM. Se realiza llevando a cabo un proceso de cruce individual o masivo de la información de identificación de las contrapartes con las bases de datos dispuestas por la Compañía, en donde repose la información de personas o activos relacionados con este tipo de delitos. Estos cruces de información se realizan de manera previa al establecimiento de cualquier tipo de relación y durante el tiempo que dure la relación comercial. 

Mientras dure la relación comercial, mínimo una vez cada semestre, el Oficial de Cumplimiento adelantará el cruce de las bases de datos de las contrapartes con la lista vinculante ONU y la lista restrictiva OFAC, con el fin de establecer si la situación inicial de las contrapartes se mantiene o ha sufrido modificaciones en cuánto al estado en las listas consultadas. 

• Seguimiento a transacciones Vs. Parámetros o indicadores de normalidad. En adición a lo anterior, el área y cargo que corresponda realizará actividades de detección a través del seguimiento a las transacciones de ingreso de recursos, salida y destino de los recursos, para lo cual adelantarán un análisis semestral de las características básicas de las operaciones que se realizan con las contrapartes clientes y proveedores y establecerá los perfiles, parámetros o indicadores de normalidad para cada uno. 

De los resultados de los análisis se deberá elaborar papeles de trabajo. Las bases de datos señaladas por las normas se tomarán de las herramientas tecnológicas en donde la Compañía conservan la información de conocimiento y transaccional de la contraparte. 

• Señales de alerta no transaccionales. Mediante el levantamiento de información con relación a la actividad económica de la contraparte, el conocimiento del negocio y la experiencia de las áreas y cargos que desarrollan actividades de o para la compañía, se establecen señales de alerta relacionadas con comportamientos atípicos que de ser detectados por las áreas y cargos que desarrollan actividades de o para la compañía, deben ser reportados al Oficial de Cumplimiento.  

A continuación, se enuncian algunas señales de alerta de riesgo de LA/FT/FPADM que la Compañía tiene en cuenta: 

• Contrapartes que se niegan a suministrar información al momento de la vinculación. Incluye la no entrega del formulario debidamente diligenciado o de los soportes requeridos. 

• Negarse a actualizar la información cuando se le requiera.  

• Cuando existan coincidencias en el número de identificación o nombre de la contraparte, su representante legal o sus beneficiarios finales, al realizar la validación con listas vinculantes y en cualquier otra información pública que tenga relación con actividades ilícitas o irregulares. 

• Encontrarse vinculado con delitos relacionados con LA/FT/FPADM. 

• Cuando como resultado de control y verificación de la información se encuentren diferencias. 

• Cuando ante la solicitud de información o de aclaraciones la contraparte decide no continuar el proceso.  

• Cuando las características usuales de la actividad económica o de las transacciones que realiza la contraparte, se apartan del perfil definido. 

• Cuando la contraparte realiza operaciones en efectivo.   

• Clientes o proveedores que presenten insolvencia empresarial o se encuentren incursos en algún tipo de liquidación. 

• Proveedores que ofrecen bienes con precios notoriamente inferiores a los que ofrece el mercado sin justificación razonable.  

• Proveedores que solicitan pagos a favor de terceras personas, sin justificación razonable. 

• En la adquisición de bienes inmuebles o bienes muebles sujetos a registro, se observa en su tradición personas relacionadas con LA/FT/FPADM. 

• Cualquier otro hecho que no se encuentre expresamente mencionado pero que llame la atención o genere desconfianza. 

Señales de alerta de trabajadores o empleados al servicio de la Compañía 

• Negarse a suministrar información al momento del proceso de selección y/o contratación. Incluye la no entrega del formato de hoja de vida debidamente diligenciado o de los soportes requeridos. 

• Negarse a actualizar la información cuando se le requiera. 

• Cuando existan coincidencias en número de identificación o nombre al realizar la validación con las listas vinculantes, restrictivas u otras fuentes. 

• Empleados actuales que resulten vinculados con delitos relacionados con LA/FT/FPADM. 

• Cambios significativos en la calidad de vida del empleado sin aparente justificación. 

• Empleado que evita ciertos controles internos o de aprobación, establecidos para determinadas operaciones, productos o servicios. 

• Empleado que omite la verificación de la identidad de una contraparte o no confronta sus datos con los registros suministrados en los formatos o bases de datos dispuestas. 

• Empleado que frecuentemente recibe regalos, invitaciones, y dádivas de ciertos clientes o contrapartes, sin una justificación clara y razonable. 

• Empleado que atiende en forma preferencial, exclusiva y permanente o exime de ciertos controles a una contraparte con el argumento que es «bastante conocido», «referenciado de otra Compañía«, «sólo confía en mí», «yo le colaboro en todos sus negocios» o similares. 

Señales de alerta socios 

• Identificar bienes relacionados con delitos asociados a LA/FT/FPADM que pretendan ser recibidos como aportes. 

• Imposibilidad de identificar el origen de los aportes realizados por el socio o accionista. 

También se tienen por señales de alerta las operaciones, negocios o contratos que representen, tengan por objeto o involucren: 

• Alto volumen en efectivo sin justificación aparente. 

• Bienes muebles o inmuebles a precios considerablemente distintos a los normales del mercado. 

• Donaciones que no tengan un beneficiario final aparente, que no se conozca su origen o que éste se encuentre domiciliado en un país o una jurisdicción de alto riesgo según el GAFI y la OFAC. 

• Operaciones, negocios o contratos relevantes que no consten por escrito. 

• Operaciones con productos que no han sido debidamente nacionalizados. 

• Operaciones con productos de venta restringida que no cuenten con las debidas autorizaciones o licencias. 

La forma en que se notificará al Oficial de Cumplimiento de una operación inusual es mediante el diligenciamiento del formulario de reporte de señales de alerta y operaciones inusuales, el cual debe ser enviado junto con todos los documentos de soporte. 

El medio que disponga la Compañía para realizar el correspondiente reporte debe contener: 

• Fecha del reporte 

• Empleado que lo realiza 

• Nombre y número de identificación de la contraparte relacionada con la señal de alerta 

• Descripción de la señal de alerta que genera el reporte 

• Razones claras por las cuales la operación, negocio o contrato se considera inusual 

• Toda la información relevante del caso. 

1. Identificar la contraparte de que trata el reporte 

2. Verificar si la contraparte ha presentado señales de alerta o investigaciones previas 

3. Compilar la información suficiente y necesaria para el análisis (debida diligencia e información pública) 

4. Crear una carpeta con la información relacionada 

5. Adelantar el análisis y documentar los resultados 

6. El análisis puede arrojar los siguientes resultados o conclusiones: 

9.9.3 Identificación y determinación e de operaciones ejecutadas e intentadas determinadas como sospechosa. 

El Oficial de Cumplimiento, es el responsable de realizar el análisis de las operaciones inusuales para efectos de: 

• Comprobar que se realizaron actividades de profundización sobre la señal de alerta y sobre el conocimiento de la contraparte. 

• Solicitar información adicional cuando el análisis lo amerite. 

• Determinar si la situación, operación, contrato o negocio por la característica de la inusualidad puede ser susceptible de reporte a la UIAF y de acuerdo con el momento en que se detectó clasificarla como intentada o sospechosa.30  

Una vez el Oficial de Cumplimiento determina que la situación, la operación, contrato o negocio, por las características de la inusualidad y su falta de justificación, tiene las características de sospechosa, procederá a realizar el correspondiente reporte a la Unidad de Inteligencia y Análisis Financiero UIAF. Los criterios aplicables para determinar si una operación es sospechosa son: