INTRODUCCIÓN. ALCANCE Mercado y Bolsa, En su obligatoriedad de administrar el riesgo de lavado de activos y financiación del

Transcripción

1 Página 1 de 46 INTRODUCCIÓN El lavado de activos y la financiación del terrorismo representan una gran amenaza para la estabilidad y la Integridad de Mercado y Bolsa S.A. por su representación global y las redes utilizadas para el manejo de tales recursos. Consciente de ello, y sometidos a la supervisión de la Superintendencia Financiera de Colombia, la firma implemento un Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo con el fin de prevenir que la misma sea utilizada para dar apariencia de legalidad a activos provenientes de actividades delictivas o para la canalización de recursos hacia la realización de actividades terroristas. Se destaca que el SARLAFT se compone de dos fases a saber: la primera que corresponde a la prevención del riesgo y cuyo objetivo es prevenir que se introduzcan al sistema financiero recursos provenientes de actividades relacionadas con el lavado de activos y/o de la financiación del terrorismo (en adelante LA/FT); la segunda, que corresponde al control y cuyo propósito consiste en detectar las operaciones que se pretendan realizar o se hayan realizado, para intentar dar apariencia de legalidad a operaciones vinculadas al LA/FT. A cada nuevo funcionario, administrador, accionista, y/o cualquier otro miembro de la sociedad, le será entregada una copia del Manual de SARLAFT de Mercado y Bolsa y su lectura y aplicación será de obligatorio cumplimiento por parte de cada uno de estos. Así mismo, consagra la exigencia de que los funcionarios antepongan el cumplimiento de las normas en materia de administración de riesgo de LA/FT al logro de las metas comerciales ALCANCE Mercado y Bolsa, En su obligatoriedad de administrar el riesgo de lavado de activos y financiación del terrorismo en desarrollo de las operaciones y actividades de su objeto social, estableció metodologías, fijó políticas, implementó mecanismos y controles, para controlar los riesgos a los que pueda estar expuesta la sociedad. Para los efectos de este manual de SARLAFT, el lavado de activos (LA) y la financiación del Terrorismo (FT), en adelante (LA/FT) se vincula al riesgo legal y reputacional a que se expone la Firma, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera, al ser utilizada, entre otros, para el ocultamiento, manejo, inversión o aprovechamiento, en cualquier forma, de dinero u otros bienes provenientes de actividades delictivas, o para dar apariencia de legalidad a las transacciones y fondos vinculados con las mismas. El SARLAFT de Mercado y Bolsa es objeto de permanente seguimiento, evaluación y actualización de acuerdo con la evolución del mercado y las prácticas internacionales. El SARLAFT implementado por la sociedad se instrumenta a través de etapas y elementos que se describirán más adelante en este manual.

2 Página 2 de 46 OBJETIVOS GENERALES El objetivo fundamental del Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo, ahora en adelante SARLAFT, es evitar que Mercado y Bolsa en la realización de operaciones en la Bolsa Mercantil de Colombia y otras de su objeto social, utilice o sea utilizada como instrumento para el ocultamiento, manejo, inversión o aprovechamiento, en cualquier forma, de dinero u otros bienes provenientes de actividades delictivas y financiación del terrorismo, o para dar apariencia de legalidad a éstas o a las transacciones y fondos vinculados con las mismas. OBJETIVOS ESPECÍFICOS Efectuar o crear instrumentos, mecanismos suficientes para prevenir y controlar el riesgo de lavado de activos y financiación del terrorismo en la realización de las operaciones diarias. Crear procedimientos que incluyan responsabilidades, deberes y facultades de los distintos órganos de dirección y administración de la entidad en el adecuado cumplimiento del SARLAFT. Implementar un sistema tecnológico para dar cumplimiento al Sarlaft. Establecer dentro de las etapas del Sarlaft la Identificación, Medición, Control y Monitoreo de los riesgos de LA/FT. Implementar políticas que orienten a los funcionarios de MERCADO Y BOLSA S.A para el adecuado desarrollo del sistema. ÁMBITO DE APLICACIÓN De acuerdo a las recomendaciones efectuadas por el GRUPO DE ACCIÓN FINANCIERA INTERNACIONAL, las VIII recomendaciones especiales del GAFI sobre financiamiento del terrorismo y las Tipologías Regionales del GAFISUD; además con los parámetros y criterios mínimos exigidos por la Superintendencia Financiera de Colombia, y los contextos de los estándares internacionales sobre LA/FT, Mercado y Bolsa para protegerse frente al riesgo de LA/FT se instrumenta a través de las etapas y elementos, de los cuales se instrumenta de forma organizada y metódica la administración del riesgo de LA/FT en la firma. NORMATIVIDAD En la Tabla 1 se presentan las normas relacionadas con el control y prevención del lavado de activos. Tabla 1 NO. DOCUMENTO NO. FECHA EMITIDO POR DESCRIPCION 1 Decreto /04/1993 Congreso de la Republica 2 Ley /06/1995 Congreso de la Republica Estatuto orgánico del Sistema Financiero Estatuto anticorrupción 3 Decreto /06/1995 Ministerio de Justicia Creación de la comisión de coordinación interinstitucional para el control de lavado de activos de la superintendencia de economía solidaria

3 Página 3 de 46 4 Decreto /09/1995 Ministerio de hacienda y crédito publico 5 Circular Externa Superfinanciera Creación de la unidad especial de prevención de lavado de activos de la superintendencia de economía solidaria 6 Circular Externa Superfinanciera Circular Básica Jurídica sobre reglas de prevención del lavado de activos 7 Decreto /04/1996 Ministerio de Justicia Modificación varios artículos del decreto 950 de 1995 Congreso de la 8 Ley /02/1997 Republica Delito de lavado de activos 9 Circular Externa 25 10/06/2003 Superfinanciera 10 Ley Congreso de la Republica Modificaciones al capítulo decimoprimero, título I de la circular externa 007 de Circular Básica Jurídica sobre reglas de prevención de lavado de activos Articulo 22 (LV/FT) 11 Circular Externa 3 01/04/2005 Superfinanciera Prevención SARLAFT 12 Circular Externa Superfinanciera Modificaciones por la circular externa 061 de Circular Externa Superfinanciera Modificaciones a la circular externa 022 del Circular Externa Superfinanciera Modificaciones a la circular externa 026 del Circular Externa Superfinanciera Circular Básica Jurídica sobre reglas de prevención del lavado de activos 16 Circular Externa Superfinanciera Modificación Circular Básica Jurídica 029/14 sobre reglas de prevención del lavado de activos CAPÍTULO I. ASPECTOS GENERALES 1.1. DEFINICIÓN DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO Se entiende por riesgo del Lavado de Activos y Financiación del Terrorismo (LA/FT), la posibilidad de pérdida o daño que pueda sufrir Mercado y Bolsa al ser utilizado, directamente o a través de sus operaciones, como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. Es una conducta tendiente a dar apariencia de legalidad a bienes que originalmente provienen de actividades ilícitas. Es intentar ocultar la verdadera fuente o propiedad de capital ilícitamente devengado para que aparente ser producto de un negocio lícito.

4 Página 4 de 46 Mercado y Bolsa se expone al riesgo del LA/FT cuando es utilizado para éstas actividades anteriormente mencionadas y es materializable a través de los riesgos asociados, a saber: el legal, reputacional, operativo y el de contagio, a los que se expone Mercado y Bolsa con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando es utilizada para tales actividades PROCESO EN LAS ACTIVIDADES DE LAVADO DE ACTIVOS De acuerdo con los expertos, el blanqueo de activos es un proceso que comprende varias etapas: Obtención Consiste en la recepción física de grandes cantidades de dinero en efectivo en desarrollo y como consecuencia de actividades ilícitas Colocación Consiste en la introducción de los activos en el sistema financiero. Supone normalmente intervención de paraísos financieros Diversificación Consiste en la realización de sucesivas operaciones financieras y comerciales dirigidas a eliminar su rastro, o bien a que éste sea más complejo de encontrar, de tal suerte que se impida conocer el verdadero origen ilícito de los dineros mediante la mezcla con dineros de origen legal Integración Consiste en el proceso mediante el cual el dinero líquido se convierte en bienes tanto muebles como inmuebles o en negocios de fachada. Al efecto, se utilizan mecanismos como traspasar los fondos blanqueados a organizaciones o empresas legales, sin vínculos aparentes con el delito organizado Reutilización Consiste en reutilizar los activos para la financiación de nuevas actividades ilícitas DEFINICIONES De acuerdo a los conceptos de adopción del SARLAFT, a continuación, se describen las definiciones más utilizadas: Agentes económicos Son todas las personas que realizan operaciones económicas dentro de un sistema. Beneficiario final Es toda persona natural o jurídica que, sin tener la condición de cliente, es la propietaria o destinataria de los recursos o bienes objeto del contrato o se encuentra autorizada o facultada para disponer de los mismos. Cliente: Aquella persona natural o jurídica con la que se establece y mantiene una relación de tipo legal o contractual para la prestación de algún servicio o el suministro de cualquier producto propio de su objeto social.

5 Página 5 de 46 Factores de riesgo Son los agentes generadores del riesgo de LA/FT. Para efectos del SARLAFT Mercado y Bolsa, tendrá en cuenta como mínimo los siguientes: Clientes /usuarios, Productos, Canales de distribución y Jurisdicciones. Producto Son las operaciones legalmente autorizadas que pueden adelantar las entidades vigiladas mediante la celebración de un contrato. Riesgos Asociados al LA/FT Son los riesgos a través de los cuales se materializa el riesgo de LA/FT: estos son: reputacional, legal, operativo y contagio. Riesgo reputacional Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. Riesgo legal Es la posibilidad de pérdida en que incurre una entidad al ser sancionada, multada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones. Riesgo operativo Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores. Riesgo de Contagio Es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por una acción o experiencia de un vinculado. El vinculado es el relacionado o asociado e incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la entidad.

6 Página 6 de 46 Riesgo Inherente Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. Riesgo Residual o Neto Es el nivel resultante del riesgo después de aplicar los controles. Segmentación Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación). Señales de Alerta o Alertas Tempranas Es el conjunto de indicadores cualitativos y cuantitativos que permiten identificar oportuna y/o prospectivamente comportamientos atípicos de las variables relevantes, previamente determinadas por la entidad. Servicios Son todas aquellas interacciones de las entidades sometidas a inspección y vigilancia de la Superintendencia Financiera de Colombia con personas diferentes a sus clientes. Transferencias Es la transacción efectuada por una persona natural o jurídica denominada ordenante, a través de una entidad autorizada en la respectiva jurisdicción para realizar transferencias nacionales, mediante movimientos electrónicos o contables, con el fin de que una suma de dinero se ponga a disposición de una persona natural o jurídica denominada beneficiaria, en otra entidad autorizada para realizar este tipo de operaciones. El ordenante y el beneficiario pueden ser la misma persona. Usuarios Son aquellas personas naturales o jurídicas a las que, sin ser clientes, se les presta un servicio. Mercado y Bolsa adopta procedimientos que le permitan la identificación plena y confiable de sus clientes y usuarios, tanto de aquellos vigentes como de los que vayan a ser vinculados, así como la verificación y monitoreo de la información suministrada por éstos, los cuales deben ser aplicados con la debida diligencia y responsabilidad. Riesgo de lavado de activos y de la financiación del terrorismo Se entiende por riesgo de LA/FT la posibilidad de pérdida o daño que puede sufrir una entidad vigilada por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de LA/FT se materializa a través de los riesgos asociados, estos son: el legal, reputacional, operativo y de contagio, a

7 Página 7 de 46 los que se expone la entidad, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando es utilizada para tales actividades TIPOLOGÍAS DE LAVADO DE ACTIVOS i. Utilización de Fondos ilícitos para disminuir endeudamiento o capitalizar empresas legítimas. Se utilizan empresas legalmente constituidas con historia comercial y financiera con problemas de endeudamiento para capitalizarlas con dinero ilícito. ii. iii. iv. Uso de documentación falsa. Solicitud y apertura de productos con documentos de identidad y documentos de soporte falsos, con el fin de utilizar los productos para actividades ilícitas. Pago en especie de actividades ilícitas con mercancías ingresadas de contrabando al territorio nacional. Utilización de productos agroindustriales ingresados al país de forma ilícita para ejecutar y respaldar operaciones realizadas por las comisionistas de la BMC Transporte de dinero de origen ilícito a otro país para adquirir mercancías que ingresan al país local mediante contrabando técnico por subfacturación. Adquisición de productos en el exterior con dineros ilícitos, para luego ser ingresados de alguna forma y comercializados en el país. v. Exportación de mercancía sobre facturada y posterior reingreso de contrabando al territorio colombiano. Ingreso al país de dinero resultado de una actividad ilícita, justificándolo con los ingresos recibidos de una supuesta exportación lícita. vi. vii. viii. ix. Contrabando y falsedad marcaria. Utilización de operaciones de comercio exterior para el ingreso al país de productos adquiridos con dinero ilícitos y justificar ingresos por ventas de productos supuestamente reconocidos por sus marcas. Contrabando técnico de materias primas (Exportaciones o Importaciones). Se realizan operaciones de importación o exportación de estos productos utilizando un mayor valor para la operación, una cantidad diferente a la declarada o se cambie la calidad del producto. Simulación de producción de cosechas de arroz, maíz amarillo, maíz blanco, yuca industrial, café, frutas, hortalizas, flores. Certificación de compra de una cosecha que nunca se produjo. Utilización / Creación de cooperativas o empresas para la cría y/o levante de animales o producción de agroindustriales. Constitución de empresas con dineros resultantes de actividades ilícitas o utilización de empresas legalmente constituidas para actividades ilícitas.

8 Página 8 de 46 x. Falsa Facturación: El Cliente presenta facturas sin un respaldo legal, es decir falsas, con datos incorrectos o que no corresponden al objeto social, o con producto ficticio, no existe o simplemente se cambia. xi. xii. xiii. Creación de empresas fachada: Para poder realizar la operación los clientes crean empresas fachada y así iniciar una relación comercial donde lavan su dinero. Pitufeo: El cliente cuando va a realizar el pago de su obligación con la comisionista fracciona estos para evitar un seguimiento por parte de los órganos de control. Testaferrato: El cliente pone a nombre de terceros sus bienes declarados para evitar el seguimiento por parte de los órganos de control. CAPITULO II ESTRUCTURA ORGANIZACIONAL FRENTE AL SARLAFT El SARLAFT prevé mecanismos adecuados que le permiten a Mercado y Bolsa garantizar el funcionamiento de los mecanismos e instrumentos propios de la prevención y control del riesgo de Lavado de Activos y Financiación del Terrorismo Todos los funcionarios de la entidad deberán cumplir con el Código de Conducta,, atender los requerimientos y solicitudes que les haga el oficial de cumplimiento y colaborar con el buen funcionamiento del Sistema de Prevención Lavado de Activos y Financiación del Terrorismo. El cumplimiento de lo anterior tendrá prelación sobre el cumplimiento de las metas comerciales y demás indicadores que se hayan establecido para su gestión JUNTA DIRECTIVA Las funciones de la Junta Directiva comprenderán los siguientes aspectos: Adoptar el código de ética en relación con el SARLAFT. Aprobar el Manual, políticas, mecanismo, instrumentos y procedimientos del SARLAFT, así como sus actualizaciones o modificaciones. Aprobar el procedimiento para la vinculación de los clientes que pueden exponer en mayor grado a la entidad al riesgo de LA/FT, así como las instancias responsables. Hacer seguimiento y pronunciarse periódicamente sobre el perfil de riesgo de LA/FT de la entidad. Pronunciarse respecto de cada uno de los puntos que contengan los informes que presente el Oficial de Cumplimiento, dejando la expresa constancia en la respectiva acta; así como los informes presentados por la Revisoría Fiscal.

9 Página 9 de 46 Ordenar los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT. Aprobar los criterios objetivos y establecer los procedimientos para la determinación y reporte de las operaciones sospechosas. Aprobar las metodologías de segmentación, identificación, medición y control del SARLAFT. Designar al Oficial de Cumplimiento y su debido suplente, de conformidad con las calidades y requisitos requeridos para ocupar dicho cargo. Revisar y aprobar el plan anual que presente el Oficial de Cumplimiento en la primera reunión de junta directiva de cada año. Incluir dentro del informe de gestión una exposición sobre la evolución de las actividades sobre LA/FT. Las demás que le imponga las leyes relacionadas y los estatutos REPRESENTANTE LEGAL Someter a aprobación de la Junta Directiva u órgano que haga sus veces en coordinación con el Oficial de Cumplimiento, el SARLAFT y sus actualizaciones. Verificar que los procedimientos establecidos, desarrollen todas las políticas adoptadas por la Junta Directiva u órgano que haga sus veces. Adoptar las medidas adecuadas como resultado de la evolución de los perfiles de riesgo de los factores de riesgo y de los riesgos asociados. Garantizar que las bases de datos y la plataforma tecnológica cumplan con los criterios y requisitos establecidos en la normatividad SARLAFT. Proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT. Prestar efectivo, eficiente y oportuno apoyo al Oficial de Cumplimiento. Garantizar que los registros utilizados en el SARLAFT cumplan con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida. Aprobar los criterios, metodologías y procedimientos para la selección, seguimiento y cancelación de los contratos celebrados con terceros para la realización de aquellas funciones relacionadas con el SARLAFT que pueden realizarse por éstos, de acuerdo a la Circular 029 del OFICIAL DE CUMPLIMIENTO El Oficial de Cumplimiento es el funcionario responsable de velar por la aplicación de los procedimientos específicos para la prevención y control del lavado de activos, establecidos al interior de la Firma, así como de la observancia del Código de Conducta por parte de todos y cada uno de los Empleados en el desarrollo de sus funciones.

10 Página 10 de 46 La designación del Oficial de Cumplimiento no exime a la Firma Comisionista ni a los demás empleados de la obligación de aplicar, en el desarrollo de sus funciones, los procedimientos de prevención y control del lavado de activos. El Oficial de Cumplimiento jerárquicamente depende de la Junta Directiva y administrativamente del Gerente, y debe tomar posesión de su cargo de manera previa al inicio del ejercicio de sus funciones ante la Superintendencia Financiera de Colombia acreditando los requisitos establecidos en el Capítulo IV, Titulo IV, Parte I de la Circular Externa 029 de La administración deberá actualizar la información tan pronto como se produzca alguna novedad al respecto. Las principales funciones del oficial de cumplimiento son: Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el Sarlaft. Procurar la formulación de las estrategias para establecer los controles necesarios, con base en el grado de exposición al riesgo de lavado de activos. Promover el diseño de procedimientos específicos y adecuados para prevenir y controlar el riesgo de lavado de activos y verificar la adecuada observancia de los mismos. Examinar, los procedimientos operativos que efectúan los Empleados en el desempeño de su cargo, los clientes en la realización de las operaciones, y, las herramientas automáticas que pueda ofrecer el desarrollo tecnológico de la entidad. Vigilar el cumplimiento de las disposiciones legales e institucionales frente a la prevención detección y control de lavado de activos. Promover, junto con la Dirección, la capacitación, entrenamiento y divulgación de las normas y procedimientos relacionados con el presente manual y participar en el desarrollo de los programas internos de instrucción. Requerir documentos e informes necesarios para el desarrollo de sus funciones. Realizar oportunamente el reporte de operaciones sospechosas a la Unidad de Información y Análisis Financiero del Ministerio de Hacienda UIAF, previo análisis y estudio de las operaciones registradas en documentos soporte. Reportar las faltas o errores en relación con el Sarlaft, que impliquen la responsabilidad de Empleados o intermediarios, al estamento interno que corresponda, para que se tomen las medidas conducentes. Cuando las circunstancias lo indiquen, sugerir la desvinculación inmediata de clientes, proveedores, intermediarios o empleados que directa o indirectamente estén relacionados o faciliten el lavado de activos, previo concepto de las gerencias respectivas. Colaborar con la instancia designada por la Junta Directiva en el diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales. Evaluar los informes presentados por la auditoría interna o quien haga sus veces, y los informes que presente el Revisor Fiscal y adoptar las medidas del caso frente a las deficiencias informadas.

11 Página 11 de 46 Diseñar las metodologías de segmentación, identificación, medición y control del SARLAFT. Atender y coordinar cualquier requerimiento, solicitud o diligencia de autoridad judicial o administrativa en materia de prevención y control de actividades delictivas. Presentar trimestralmente informes a la Junta Directiva en los cuales debe referirse como mínimo a los siguientes aspectos: a. Los resultados de la gestión desarrollada. b. El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades. c. La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así como de los riesgos asociados. d. La efectividad de los mecanismos e instrumentos establecidos en el Capítulo IV Titulo IV Parte I de la Circular Externa 029 de Noviembre de 2014, así como de las medidas adoptadas para corregir las fallas en el SARLAFT. e. Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces. f. Los documentos y pronunciamientos emanados de las entidades de control y de la Unidad Administrativa Especial de Información y Análisis Financiero UIAF. Promover la adopción de correctivos al SARLAFT Conservar y custodiar los documentos relativos a la prevención de lavado de activos. Proponer los criterios objetivos para la determinación de las operaciones inusuales y sospechosas, y efectuar el análisis correspondiente conforme lo indicado en este manual 2.5. ÓRGANOS DE CONTROL REVISOR FISCAL Elaborar un reporte trimestral especial dirigido a la Junta Directiva, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas sobre SARLAFT, Salvo que se detecten situaciones extraordinarias que deban ser reportadas a la asamblea de accionistas, caso en el cual deberá informarlo inmediatamente. Poner en conocimiento del Oficial de Cumplimiento, las inconsistencias y fallas detectadas en el SARLAFT y, en general, todo incumplimiento que detecte a las disposiciones que regulan la materia AUDITORIA EXTERNA: O quien haga sus veces, tendrá la responsabilidad de: Evaluará como mínimo anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT con el fin de determinar las deficiencias y posibles soluciones, así como la presentación de los informes en donde se presentaran los resultados de la evaluación al Oficial de Cumplimiento y al Comité de Auditoria. CAPITULO III.

12 Página 12 de 46 ETAPAS DEL SARLAFT El SARLAFT implementado en Mercado y Bolsa cuenta con las etapas las siguientes etapas: 3.1. IDENTIFICACION Esta etapa permite identificar los riesgos de LA/FT inherentes al desarrollo de su actividad, teniendo en cuenta, por lo menos, los siguientes factores de riesgo: a. Clientes/usuarios, b. Productos, c. Canales de distribución y d. Jurisdicciones. La etapa de identificación debe quedar documentada por parte del Oficial de Cumplimiento. Los resultados de dicha etapa deben además ser presentados a la Junta Directiva. Esta etapa se materializa en cuatro elementos: a) Estableciendo la metodología para la segmentación de los factores de riesgo LA/FT b) Segmentar los factores de riesgo c) Establecer metodologías para la Identificación del riesgo y los riesgos asociados a los cuales se ven expuestos en relación al riesgo de LA/FT, para cada uno de los segmentos definidos. d) Con base en las metodologías establecidas en desarrollo del numeral anterior, identificar las formas a través de las cuales se puede presentar el riesgo de LA/FT. Para identificar los riesgos de LA/FT y sus riesgos asociados, se estableció la Metodología de Expertos la cual se basa en la consulta a personas que poseen grandes conocimientos dentro de la organización sobre el entorno en el que la organización desarrolla su labor, basándose en su experiencia y los registros. La Metodología de expertos tiene las características del Método Delphi que consiste en extraer y maximizar las ventajas que presentan los métodos basados en grupos de expertos y minimizar sus inconvenientes. Para ello se aprovecha la sinergia de debate en grupo y se eliminan las interacciones sociales indeseables que existen dentro de todo el grupo. De esta manera se espera obtener un consenso lo más fiable posible del grupo de expertos. Para el caso de Mercado y Bolsa el Comité de Riesgos se considera el grupo de expertos. El objetivo de esta etapa es generar una lista exhaustiva de riesgos con base en aquellos eventos que podrían crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de los objetivos. La metodología de la Segmentación de Factores de Riesgo es desarrollada en el Anexo 1.

13 Página 13 de Procedimiento para la Identificación de los Riesgos LAFT: En concordancia con los objetivos trazados por la Firma Comisionista, contenidos en el Capítulo I del presente Manual y siguiendo los lineamientos consagrados en la Circular Básica Jurídica (CE029/14), se determinaron las variables a tener en cuenta para identificar los posibles eventos de riesgo a los que está expuesta Mercado y Bolsa. A través de las diferentes características y criterios de segmentación, según la normatividad LA/FT, se analizaron al interior de la entidad y se identificaron aquellos que por su naturaleza, características, nicho de mercado o destinatarios, etc., que atendemos, se debían tener en cuenta para estructurar un Sistema de riesgos LA/FT eficaz y efectivo. Para estos fines: Se analizaron las diferentes tipologías y documentos relacionados con LA/FT. Se consultó la información y la experiencia interna existente sobre LA/FT. Se definió la forma (Sintaxis) para expresar los eventos de riesgo. Se identificó una lista de los eventos de riesgo de LA\FT para la empresa, descritos en el Anexo 2 del presente Manual MEDICION O EVALUACION Con la medición, se lleva a cabo un análisis de los eventos de riesgo de LA/FT, con el fin de determinar si necesitan algún tipo de control o tratamiento, esto es, con base en el perfil de riesgo individual. Este análisis considera los eventos de riesgo de LA/FT, combinando las consecuencias y probabilidades de que estos eventos pueden ocurrir y tomando en cuenta las medidas de control existentes. Una vez los riesgos son identificados se procede a realizar la medición de la probabilidad de ocurrencia y el impacto en caso de materialización de los riesgos. Inicialmente se debe identificar el riesgo inherente (riesgo sin controles) esto se hace media nte la definición de variables cuantitativas y cualitativas para cada uno de los criterios de impacto y probabilidad. Con respecto a los riesgos asociados, estos deben ser incorporados a los riesgos identificados en la primera etapa para así tener una forma clara por medio de la cual el evento se podrá materializar y el cual sería una cuantificación aproximada de su materialización. El Oficial de Cumplimiento periódicamente medirá el riesgo de LA/FT teniendo en cuenta el procedimiento Metodología para la Medición o Evaluación del riesgo LAF/T: Con el objetivo de no caer en subjetividades en la calificación del riesgo esta se hará para cada uno de los riesgos por medio del juicio de expertos, metodología que se basa en seleccionar un grupo de funcionarios que tienen un buen conocimiento de los clientes, productos, canales y jurisdicciones (entendidas como zonas en las cuales tenemos negocios) de la Empresa para que sean ellos los

14 Página 14 de 46 encargados de evaluar la posibilidad de ocurrencia y el impacto en caso de materialización de los riesgos identificados en la organización y se hará en una escala de cinco (5) niveles de riesgo. Esta escala se aplicará tanto para medir la probabilidad de ocurrencia como el impacto, en caso de materializarse, en cada uno de los factores de riesgo identificados, de acuerdo con la segmentación establecida en el presente Manual y la información contenida en la Matriz General Consolidada de Riesgo. Los resultados de la medición deben darse para cada uno de los factores de riesgo identificados, los cuales se consolidarán, para obtener el perfil de riesgo inherente, tanto en forma desagregada, como consolidada, para cada factor de riesgo. Para realizar la medición de la probabilidad de ocurrencia de los riesgos inherentes y residuales de LA/FT se empleara la siguiente tabla: NIVEL MUY ALTA ALTA MODERADA BAJA MUY BAJA DESCRIPCION Se espera la ocurrencia del evento en mas del 10% de los casos. Nos ocurre con cierta periodicidad ( 1 vez cada mes) El evento puede ocurrir entre el 10 y el 20% de los casos. Se presenta con alguna frecuencia ( 1 vez cada trimestre). El evento puede ocurrir entre el 5 y el 10% de los casos. Se presenta por lo menos 1 vez cada semestre. El evento puede ocurrir entre el 2,5 y el 5% de los casos. Se ha presentado 1 vez en la entidad o en el sector en el ultimo año. El evento puede ocurrir en menos del 2,5% de los casos. Se ha presentado 1 vez en la entidad o en el sector en 5 años. Para determinar el impacto de los riesgos inherentes y residuales de LA/FT se empleara la siguiente tabla: NIVEL DE IMPACTO SUPERIOR MAYOR IMPORTANTE MENOR INFERIOR IMPACTO CUANTITATIVO * Impacto que reduzca el capital mínimo requeridode la entidad en 10% o más. * Impacto que reduzca en 30% o más las utilidades netas de la entidad. * Perdidas acumuladas superior a $ 12 de pesos, y superiores a Ochocientos mil por evento. * Impacto que reduzca el capital mínimo requerido de la entidad entre el 5 y 10%. * Impacto que reduzca las utilidades netas de la entidad entre el 15 y 30%. * Perdidas acumuladas entre $ 8 y $ 12, y Ochocientos mil pesos por evento. * Impacto que reduzca el capital mínimo requerido de la entidad entre el 3 y 5%. * Impacto que reduzca las utilidades netas de la entidad entre el 8 y 15%. * Perdidas acumuladas entre $ 4 y $ 8 millones de pesos, y Quinientos mil pesos por evento. * Impacto que reduzca el capital mínimo requerido de la entidad entre el 1 y 3%. * Impacto que reduzca las utilidades netas de la entidad entre el 3 y 8%. * Perdidas acumuladas entre $ 2 y $ 4 millones de pesos, y Trescientos mil pesos por * Impacto que reduzca el capital mínimo requerido de la entidad en menos del 1%. * Impacto que reduzca las utilidades netas de la entidad en un valor menor que el 3%. * Perdidas acumuladas inferiores a Dos millones de pesos, e inferiores a Doscientos mil

15 Página 15 de 46 Los valores de impacto se incrementan de 1 hasta llegar a 5 (siendo 1 el valor más bajo y 5 el más alto), dando un valor mayor a cada nivel subsiguiente en la tabla, esto con el fin de asignar un peso más representativo a los valores de impacto, porque esta es la variable que puede afectar a la organización en caso que se materialice el riesgo. En razón a lo anterior, para la calificación del impacto se tendrán en cuenta los riesgos asociados de LA/FT determinados en la matriz de riesgo. La gráfica que se presenta a continuación describe la forma como Mercado y Bolsa debe gestionar los riesgos, es decir estas son las respuestas a los diferentes riesgos: ACEPTAR EL RIESGO TOLERAR EL RIESGO MITIGAR EL RIEGO EVITAR EL RIESGO En caso de que el riesgo se encuentra en este nivel, la organización debe realizar un monitoreo periodico para asegurar el cumplimiento de los controles. Cuando el riesgo se ubique dentro de este nivel, se requieren controles especificos para tratar este tipo de riesgos. riesgos. Cuando Cuando el el riesgo riesgo se se ubique ubique dentro dentro de de este este nivel, nivel, se se requiere que la organización perfeccione sus controles y diseñe un plan de accion, adicionalmente se debe informar a la Junta Directiva quien debe indicar las acciones a seguir coordinada con el Oficial de Cumplimiento. Cuando el riesgo se encuentre en este nival, se deben tomar acciones inmediatas ya que se trata de un riesgo demasiado alto que puede tener impactos catastroficos para la empresa, por esta razon la Junta Directiva y el Representante legal deben gestionar acciones encaminadas a evitar exponer a la organizacion a este tippo de riesgos. La multiplicación de la probabilidad por la consecuencia/impacto, da como resultado el riesgo inherente de cada uno de los segmentos. El resultado de esta primera calificación, sin el efecto de los controles debe quedar reflejado en el mapa colorimétrico de riesgo, el cual se denomina mapa de riesgo, en él se determina cuáles son las zonas de crítico, alto, medio, bajo y muy bajo riesgo, así: Muy Alta Medio Alto Critico Critico Critico Alta Bajo Medio Alto Critico Critico Probabilidad Moderada Bajo Medio Medio Alto Critico Baja Bajo Bajo Medio Alto Alto Muy Baja Muy Bajo Bajo Bajo Medio Medio inferior Menor Importante Mayor Superior Impacto

16 Página 16 de 46 La criticidad (severidad) de los Riesgos se hará de conformidad con la siguiente tabla: CUOTA DEL RIESGO RANGO (IMPACTO + PROBABILIDAD) CRITICO ALTO 9-16 MEDIO 5-8 BAJO 2-4 MUY BAJO 0-1 El tratamiento de los riesgos se hará conforme a la siguiente tabla: Nivel de Riesgo Extremo Alto Moderado Bajo Tratamiento Requiere accion Inmediata Necesita atencion de la alta gerencia Debe especificarse responsabilidad gerencial Administrar mediante procedimientos de rutina Perfil de Riesgo Inherente Consolidado El perfil de riesgo inherente de Mercado y Bolsa se calculará de acuerdo con: Mediciones Agregadas del Impacto de los Riesgos en Caso de Materializarse en los Factores de Riesgo y Riesgos Asociados. Este valor se obtiene a partir de la determinación de la severidad de los riesgos (consecuencia x probabilidad) identificados en la matriz definida para los factores de riesgo y riesgos asociados. Cuando se ha establecido la severidad de todos los riesgos identificados, se calcula un promedio aritmético simple, es decir se realiza una sumatoria de la severidad de cada uno de los riesgos y Esta se divide sobre el número de riesgos considerados. Este promedio da como resultado el nivel de riesgo al que se enfrenta la sociedad en materia de Lavado de Activos y Financiación del Terrorismo. Con la información de la severidad de los riesgos identificados, se pueden igualmente identificar los riesgos que tienen un nivel mayor de riesgo en Mercado y Bolsa y que por lo tanto deben ser tratados y controlados inmediatamente. Para realizar esta priorización se debe calcular la proporción de los riesgos, es decir se divide la severidad del riesgo entre la sumatoria de todas las severidades de los riesgos identificados.

17 Página 17 de Procedimiento para la Medición y Evaluación de los Riesgos LA/FT Para realizar la medición de los riesgos a través del método de expertos Mercado y Bolsa lleva a cabo las siguientes actividades: Selección de los expertos que harán parte de la sesión Realización de la sesión a los expertos Análisis de los resultados Realización de la segunda sesión de expertos (dependiendo de los resultados, existe la posibilidad de realizar esta sesión) Ajustes a los resultados de la medición Elaboración de la representación gráfica de los resultados. (Matriz de riesgo de impacto y probabilidad) Para establecer confiables métodos de medición y evaluación de los riesgos a los que se puede ver expuesta la entidad, en desarrollo de su actividad bursátil, se debe construir, la Matriz General Consolidada de Riesgo, que contiene toda la información cualitativa y cuantitativa de los riesgos y de las operaciones comerciales con los Clientes, que permitirá: a) Utilizar la medición de probabilidad e impacto, teniendo en cuenta los factores de Riesgo y Riesgos Asociados, con el fin de establecer cuál es el riesgo inherente y después el Riesgo Residual de la Firma. b) Agregación o desagregación de los riesgos, por segmento, factor de Riesgo o Riesgo Asociado, teniendo en cuenta, en cada caso, el volumen o frecuencia de las transacciones. c) Análisis de los resultados de estas mediciones, de manera conjunta por los funcionarios que en ellas intervinieron. d) Elaboración de la Matriz de Riesgo de Probabilidad e Impacto, con base en los resultados de las mediciones obtenidas. En el Anexo 2 del presente manual se aplican los criterios de probabilidad e impacto y riesgo total (Criticidad- severidad) a cada uno de los riesgos identificados, con el fin de establecer el riesgo inherente de cada uno de los riesgos y el riesgo consolidado de la sociedad CONTROL En esta etapa se definen los controles del riesgo de LA/FT, los cuales deben ser congruentes con el plan de acción para mitigación del riesgo, que resulte del análisis de cada uno de los factores. Como resultado de esta etapa, el control debe traducirse en la disminución de la posibilidad de ocurrencia y del impacto en caso de presentarse. Una vez se identifican los factores de riesgo y se realiza la medición de la probabilidad, el impacto y el nivel de riesgo, se deben establecer los controles del riesgo de LA/FT.

18 Página 18 de 46 Los tipos de controles a establecer serán: Control preventivo: Tendiente a disminuir la probabilidad de ocurrencia del riesgo. Control Correctivo: Tendiente a disminuir el impacto en caso de presentarse el riesgo. Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para aumentar la probabilidad de que la entidad logre sus metas y objetivos. Son todas las medidas conducentes a controlar el riesgo inherente al que se ve expuesta la entidad, en razón de los factores de riesgo y de los riesgos asociados. De acuerdo a los riesgos evaluados en la etapa de medición, y para cada uno de ellos, se identifican los controles actuales con los cuales cuenta la entidad a través de las siguientes fuentes de información: manuales de procedimientos, manuales de usuario, circulares, etc., o del conocimiento de los expertos participantes del taller, los cuales podrán mencionar controles que sean utilizados a pesar de que estos no se encuentren documentados. En la etapa de control, se determinó una lista de controles que fue asignada mediante las mismas metodologías utilizadas en los numerales anteriores. La lista de controles consiste en los procedimientos o mecanismos utilizados para evitar la materialización de alguno de los riesgos (preventivos), o en su defecto para corregirlos (correctivos). Estos son: 1. Conocer al cliente (Información demográfica, socioeconómica y referencias) 2. Verificar datos (entrevistas, llamadas, centrales de riesgo). 3. Solicitar soporte de los datos suministrados en el formulario de vinculación. 4. Tener el procedimiento claro y apropiado a seguir con los documentos de los clientes. 5. Verificar listas y cruzar bases de datos. 6. Cruzar el perfil inicial con las operaciones realizadas mensualmente. 7. Comparar las operaciones de un cliente con las que realizan sus similares 8. Contar con un sistema de información que permita generar alertas con base en los cupos asignados a los clientes. 9. Reportar operaciones a la UIAF. 10. Limitar montos y operaciones, de acuerdo a comportamiento del cliente. 11. Terminar una relación contractual y reportar a las autoridades. En la matriz de riesgos, se ha establecido un control para cada uno de los factores, que permite atenuar el impacto causado por la materialización de un riesgo, determinando de esta manera el riesgo residual el cual está dado por: Diseño del Control: Se establece si el control aplicado es muy alto o muy bajo de acuerdo al riesgo que se trata de mitigar

19 Página 19 de 46 CALIFICACION DEL CONTROL LIMITE SUPERIOR LIMITE INFERIOR PUNTO MEDIO MUY ALTO 100% 81% 90,50% ALTO 80% 61% 70,50% MEDIO 60% 41% 50,50% BAJO 40% 21% 30,50% MUY BAJO 20% 10% 10,50% Eficiencia del control: Determina la capacidad de controlar el riesgo EFECTIVIDAD LIMITE SUPERIOR LIMITE INFERIOR PUNTO MEDIO MUY ALTO 100% 81% 90,50% ALTO 80% 61% 70,50% MEDIO 60% 41% 50,50% BAJO 40% 21% 30,50% MUY BAJO 20% 10% 10,50% De esta manera se establece una zona de solidez, la cual está dada por la multiplicación del diseño del control por la eficiencia del mismo. Este se ubica en el mapa de solidez de controles el cual permite determinar la zona en la que se encuentra el control. El riesgo residual, será el resultado de restar: Riesgo inherente * % de Efectividad de los controles = Riesgo residual. Una vez, se ha determinado el riesgo residual, se procederá nuevamente a ubicarlo en la matriz de riesgos del presente manual y se podrá determinar la zona de riesgo final en la que se encuentra la Firma Procedimiento para definir el Control de Riesgos LA/FT a) Establecimiento del inventario de los actuales controles. b) Determinación de los controles actuales que requieren algún tipo de modificación. c) Definición de los nuevos controles teniendo en cuenta los requerimientos normativos. d) Estructuración de nuevos controles a partir de la revisión de los ya existentes y de los nuevos eventos de riesgo identificados. En el Anexo 2 del presente manual se identifican los controles aplicables a cada uno de los riesgos identificados, y hago la calificación de cada uno de los controles MONITOREO El monitoreo de riesgo busca evaluar la evolución del perfil de riesgo de Mercado y Bolsa tanto inherente como residual y su variación, de modo consolidado como discriminado por factor de riesgo y riesgo asociado. Para esto ha determinado una periodicidad semestral en la cual se hará un seguimiento

20 Página 20 de 46 de las calificaciones. De acuerdo a los resultados obtenidos, se determinarán los planes de acción o mejora para mantener y estabilizar el riesgo residual como aceptable. El monitoreo del SARLAFT estará dado por los siguientes elementos entre otros: Seguimiento y actualización periódica de la matriz de riesgo y controles establecidos: Se establece el deber por parte del Oficial y su equipo de revisar y actualizar con base en el comportamiento de sus clientes, la segmentación realizada así como los factores de riesgo asociados. Implementación de una herramienta tecnológica denominada SIMMONA, la cual permitirá alimentar la información acerca de la segmentación realizada por Mercado y Bolsa S. A.. Con esta información se analizará el nivel de riesgo en el que se expone Mercado y Bolsa S.A. y se podrá determinar si los controles implementados han sido suficientes o no. Mediante la determinación de operaciones inusuales y/o sospechosas y la implementación de reportes internos de las mismas. Seguimiento especial a aquellos clientes que se encuentren en zonas de riesgo de acuerdo a las matrices establecidas por Progresión, esto puede ser dado, por estudios financieros especiales, visitas periódicas establecidas al cliente, control de vencimiento de operaciones y cumplimiento de las mismas, entre otros. Se fundamentará en: Comparar el riesgo inherente y residual de cada factor de riesgo y de los riesgos asociados. Asegurar que los controles de todos los riesgos sean comprensivos y que los mismos estén funcionando en forma oportuna, efectiva y eficiente. Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por Mercado y Bolsa. Comparar la evolución del perfil de riesgo inherente con el perfil de riesgo residual de LA/FT de la Sociedad. Determinar las operaciones inusuales y sospechosas, y sobre estas últimas, proceder con su reporte a la Unidad Administrativa Especial de Información y Análisis Financiero UIAF Actividades: En función de las responsabilidades asignadas a los diferentes órganos de control encargados de adelantar el Monitoreo al sistema SARLAFT, corresponde a éstos: Indicadores descriptivos y/o Prospectivos: Se han estructurado los siguientes indicadores con el fin de poder evidenciar posibles eventualidades de riesgo LAF/T:

21 Página 21 de 46 a) Respecto del Conocimiento del cliente: Número de solicitudes de vinculación rechazadas por período: Indicador: Solicitudes rechazadas/ total de solicitudes en el período* 100 (Se multiplica por 100 para que el resultado se exprese en porcentaje) Periodicidad: Trimestral. Número de solicitudes de vinculación que tienen la información (anexos) incompleta. Indicador: Solicitudes con información incompleta (anexos)/ el total de solicitudes * 100 Periodicidad: Trimestral. b) Detección de Operaciones Inusuales: Porcentaje entre operaciones inusuales y ROS por periodo: Indicador: Número de operaciones inusuales / Número de ROS * 100 Periodicidad: Trimestral. Porcentaje de señales de alerta atendidas Indicador: Número de señales de alerta atendidas / Número total de señales de alerta generadas durante el período*100 Periodicidad: Trimestral. c) Capacitación: Número de empleados capacitados. Indicador: Empleados capacitados / número de empleados *100. Periodicidad: Anual Evaluación de controles: a) El Representante Legal, conjuntamente con el Oficial de Cumplimiento, de conformidad con el nivel de importancia de cada uno de ellos, determina la calificación respectiva. b) La calificación dada a cada uno de los controles establecidos, se realiza teniendo en cuenta las recomendaciones presentadas por el Comité de Auditoría y la Revisoría Fiscal Periodicidad: El monitoreo realizado por parte de Oficial de Cumplimiento y los responsables de cada proceso, debe adelantarse con una periodicidad mínima de seis meses, y quedar registrado en un informe detallado sobre hallazgos y situaciones evidenciadas durante el desarrollo de esta actividad.

22 Página 22 de Reportes: Los soportes sobre desarrollo de cada actividad para el monitoreo del riesgo, se establecen de conformidad con el Numeral de la parte l Título IV, Capítulo IV de la Circular Externa 029 de 2014 (Circular Básica Jurídica) de la Superintendencia Financiera. Para dar cumplimiento a la obligación de elaborar los reportes que permitan establecer las evoluciones del riesgo, así como la eficiencia de los controles implementados, es necesario desarrollar los siguientes reportes: Un reporte al Oficial de Cumplimiento, generado por el responsable del proceso, sobre hallazgos o inconsistencias en los factores de riesgo relacionados con el cliente, con su respectivo soporte o detalle. Un reporte interno del Oficial de Cumplimiento, que contenga el registro de las evaluaciones realizadas entre el riesgo inherente y residual, de evidenciarse esta eventualidad, con el establecimiento de los correctivos a los que haya lugar. Un reporte del Oficial de Cumplimiento donde se deje constancia de las evaluaciones que haya realizado al cumplimiento y funcionamiento de los controles, demostrando la eficacia y eficiencia de los controles implementados. Las áreas de control (Revisoría fiscal y Auditoria) de adelantar seguimiento con el ánimo de detectar fallas y emitir los informes correspondientes según las funciones establecidas en en Capitulo IV, Titulo IV, Parte I de la Circular Externa 029 de Procedimiento para el Monitoreo de Riesgos LA/FT a) Revisión mínima semestral, por parte del Oficial de Cumplimiento, a los controles vigentes, para verificar su aplicabilidad, con el fin de establecer si han sido eficaces o en su defecto, ameritan alguna modificación. b) Selección aleatoria, de información de clientes, contenida en la Matriz General Consolidada de Riesgos, confrontando dicha información con la que aparece en los formatos de Vinculación, con el fin de verificar su autenticidad. c) Revisión y adopción de las recomendaciones formuladas por el Revisor Fiscal en los informes periódicos presentados a la Junta Directiva, en relación con el cumplimiento de las normas vigentes de SARLAFT. d) Revisión y adopción de las recomendaciones formuladas a la Junta Directiva, por parte del Comité de Auditoría, relacionadas con el SARLAFT. Constancia escrita de cada actividad de Monitoreo al sistema, realizado por el Oficial de Cumplimiento y los funcionarios responsables de esta actividad, en que consten los hallazgos evidenciados.