RESOLUCIÓN 3 DE 2022

(enero 2)

Diario Oficial No. 51.935 de 1 de febrero de 2022

MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES

Por la cual se modifican los artículos 3o, 6o, 9o y 10 de la Resolución número 1292 del 31 de mayo de 2021.

LA MINISTRA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES,

en ejercicio de sus facultades legales y reglamentarias, en especial, las que le confieren el artículo 10 de la Ley 526 de 1999, el parágrafo 2 del artículo 4o y el artículo 18 de la Ley 1369 de 2009, y

CONSIDERANDO QUE:

La Ley 1369 de 2009, por medio de la cual se establece el régimen de los servicios postales y se dictan otras disposiciones, otorga a estos servicios la connotación de servicio público, en los términos del artículo 365 de la Constitución Política, e indica que su prestación estará sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia y universalidad.

El Ministerio de Tecnologías de la Información y las Comunicaciones, en virtud de sus competencias legales, expidió la Resolución número 1292 de 31 de mayo de 2021, la cual contempla las reglas relativas al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo y la Financiación de la Proliferación de Armas de Destrucción Masiva (LA/FT) para los Operadores Postales de Pago y deroga la Resolución número 2564 de 2016.

En el proceso para la implementación de la citada Resolución número 1292 de 2021, se realizaron mesas de trabajo con integrantes del sector postal de pago y como resultado de estas se concluyó la necesidad de realizar ajustes a la misma, con el propósito de precisar el alcance de algunas de las definiciones contenidas en el artículo tercero de la Resolución número 1292 de 2021.

Así mismo, como consecuencia de la modificación de algunas de las definiciones, se hace necesario realizar ajustes a los elementos del SARLAFT contenidos en el artículo 6o de la Resolución número 1292 de 2021, especialmente, a las políticas, procedimientos y mecanismos aplicables para la adecuada implementación y funcionamiento de este sistema y la metodología de conocimiento de cliente y usuario.

Adicionalmente, el artículo 9o de la Resolución número 1292 de 2021 establece que los montos de operación del servicio postal de pago se aplicarán a partir del primer día hábil del año; no obstante, atendiendo a la necesidad de implementación que deben realizar los operadores postales de pago, es preciso modificar la fecha a partir de la cual será aplicable el citado monto de operación.

En igual sentido, el artículo 10 de la Resolución número 1292 de 2021 establece que esta entrará en vigencia a partir del 3 de enero de 2022, en razón de las modificaciones técnicas y ajustes que deben implementar los operadores postales de pago; no obstante, teniendo en cuenta la modificación que se efectuará a través de la presente resolución, se hace necesario ampliar la fecha de su entrada en vigencia, con el objetivo de que los operadores cuenten con el tiempo necesario para desarrollar las adecuaciones pertinentes, y de este modo, puedan dar cumplimiento a las disposiciones en materia de riegos asociados al lavado de activos, financiamiento del terrorismo y la financiación de la proliferación de armas de destrucción masiva.

De conformidad con lo previsto en la Sección 3 del Capítulo 1 de la Resolución número 2112 de 2020 del Ministerio de Tecnologías de la Información y las Comunicaciones, las disposiciones de que trata la presente resolución fueron publicadas en el sitio web del Ministerio, durante el período comprendido entre el 28 de diciembre de 2021 y el 1 de enero de 2022, con el fin de recibir opiniones, sugerencias o propuestas alternativas por parte de los ciudadanos y grupos de interés.

En mérito de lo expuesto,

RESUELVE:

ARTÍCULO 1o. MODIFICACIÓN DEL ARTÍCULO 3 DE LA RESOLUCIÓN NÚMERO 1292 DE 2021. Modificar el artículo 3o de la Resolución número 1292 de 2021, el cual quedará así:

“Artículo 3o. Definiciones y acrónimos. Para efectos de la interpretación y aplicación de la presente resolución se tendrán en cuenta las siguientes definiciones:

Análisis de riesgo: Es la identificación y valoración de los eventos de riesgo que se pueden generar en el desarrollo de las actividades propias de los Operadores de Servicios Postales de Pago, y la definición de las causas que podrían dar origen o generar dichos eventos de riesgo.

Beneficiario final: Es toda persona natural que, sin ser necesariamente cliente, cumple con cualquiera de las siguientes características:

- Es propietaria, individual o conjuntamente, directa o indirectamente, de una participación superior al 5% del capital social, aporte o participación en una persona jurídica.

- Ejerce algún tipo de control en una persona jurídica, de acuerdo con las disposiciones descritas en el artículo 261 del Código de Comercio.

- Es por cuenta de quien se lleva a cabo una transacción. Se entiende que esta persona es aquella sobre quien recaen los efectos económicos de dicha transacción.

Cliente del Servicio Postal de Pago: Es el remitente del giro con el cual el Operador de Servicios Postales de Pago establece y mantiene una relación contractual para la prestación del servicio postal de pago, quien a su vez realiza una o varias operaciones durante un mismo mes, teniendo en cuenta los montos de operación fijados por el Ministerio de Tecnologías de la Información y las Comunicaciones mediante resolución.

Para todos los efectos, cuando en esta resolución se haga referencia al cliente este se entenderá como el cliente del Servicio Postal de Pago aquí definido.

Colaborador empresarial: Personas naturales o jurídicas que disponen de puntos de atención al público, con las cuales el Operador de Servicios Postales de Pago realiza un contrato, para ofrecer sus servicios a través de una red o grupo de redes.

Contrapartes: Personas naturales o jurídicas con las cuales el Operador Postal de Pago establece y mantiene una relación contractual o algún tipo de vínculo jurídico. Son contrapartes: los accionistas, proveedores, colaboradores empresariales y empleados del Operador de Servicio Postal de Pago.

Control de riesgos: Es la parte de administración de riesgos que involucra la implementación de políticas, estándares, procedimientos y actividades implementadas o no, que proporcionan reducción de la probabilidad y el impacto de los riesgos.

Evaluación de riesgos: Consiste en medir la probabilidad de ocurrencia del riesgo de LA/FT identificado en las actividades propias como Operador de Servicios Postales de Pago, así como el impacto para la empresa en caso de materializarse.

Evento de riesgo LA/FT: Es un incidente, situación o suceso, asociado a LA/FT que podría generarse dentro de la operación normal del Operador de Servicios Postales de Pago y que podría constituirse en un delito conexo al lavado de activos y financiación del terrorismo.

Factores de riesgo: Son los agentes generadores del riesgo de LA/FT. Para efectos de la presente resolución el Operador de Servicios Postales de Pago debe tener en cuenta como mínimo los siguientes:

a) Clientes/usuarios

b) Productos,

c) Canales de distribución y

d) Jurisdicciones.

Financiación del Terrorismo: Es la conducta penal descrita en el artículo 345 de la Ley 599 de 2000, modificado por el artículo 16 de la Ley 1453 de 2011.

GAFI: Grupo de Acción Financiera: Organismo intergubernamental constituido en 1989, que tiene como propósito desarrollar y promover políticas y medidas a nivel nacional e internacional para combatir el Lavado de Activos y la Financiación del Terrorismo.

Gestión del riesgo: Conjunto de políticas, metodologías y procedimientos que define un Operador de Servicios Postales de Pago, para llevar a cabo una adecuada identificación, medición, control y monitoreo del Riesgo de LA/FT. Asimismo, incorpora el trazar estrategias para disminuir la vulnerabilidad y promover acciones para mitigar y prevenir el riesgo de lavado de activos y financiación del terrorismo en las actividades propias de los Operadores de Servicios Postales de Pago.

Interesados (partes interesadas): Personas u organizaciones que pueden afectar o ser afectadas por las actividades de una empresa.

LA/FT: Lavado de Activos y Financiación del Terrorismo.

Lavado de activos: Conjunto de operaciones tendientes a ocultar o disfrazar el origen ilícito de unos bienes o recursos mal habidos. En Colombia esta conducta está penalizada en el artículo 323 del Código Penal, modificado por el artículo 11 de la Ley 1762 de 2015.

Listas vinculantes: Son las listas emitidas por el Consejo de Seguridad de las Naciones Unidas, dentro del Capítulo VII de la Carta de las Naciones Unidas.

Oficial de Cumplimiento: Gestor del riesgo de LA/FT designado por la junta directiva del Operador de Servicios Postales de Pago y que cumple las funciones designadas en el numeral 6.5.3. del artículo 6°, de la presente norma.

Operador de servicios postales: Persona jurídica habilitada por el Ministerio de Tecnologías de la Información y las Comunicaciones que ofrece al público en general servicios postales, a través de una red postal, de acuerdo con lo dispuesto en el numeral 4 del artículo 3o de la Ley 1369 de 2009.

Operador de Servicios Postales de Pago. Persona jurídica, habilitada por el Ministerio de Tecnologías de la Información y las Comunicaciones para prestar servicios postales de pago, y que está sometida a la reglamentación que en materia de lavado de activos disponga la ley y sus decretos reglamentarios, de acuerdo con lo dispuesto en el numeral 4.2 del artículo 3o de la Ley 1369 de 2009.

Operación inusual: Es aquella cuya cuantía o características no guardan relación con la actividad económica ordinaria o normal de una persona natural o jurídica o, que por su número, cantidad o características no se ajusta a las pautas de normalidad establecidas por el Operador de Servicios Postales de Pago, para un sector, una industria o una clase de contraparte.

Operación sospechosa: Es aquella que por su número, cantidad o características no se enmarca en los sistemas y prácticas normales de los negocios, de una industria o de un sector determinado y, además, que de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada. Cuando se detecten esta clase de operaciones, deben ser reportadas de manera inmediata a la UIAF.

Personas Expuestas Políticamente (PEP) Nacionales y Extranjeras: Son las enunciadas en el Decreto número 830 de 2021 o en la norma que lo modifique, adicione o sustituya.

Proveedor: Persona natural o jurídica que abastece con artículos o servicios que apoyan al Operador de Servicios Postales de Pago o a la empresa.

Riesgos asociados al LA/FT: Son los riesgos que se generan como consecuencia de la materialización de un evento de LA/FT, estos son: reputacional, legal, operativo y contagio.

Riesgo de contagio: Es la posibilidad de pérdida que un Operador de Servicios Postales de Pago puede sufrir, directa o indirectamente, por una acción u omisión de alguna de las partes vinculadas con este.

Riesgo inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo de Lavado de Activos y de la Financiación del Terrorismo: Es la posibilidad de pérdida o daño que puede sufrir el Operador de Servicios Postales de Pago por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.

Riesgo legal: Es la posibilidad de pérdida en que incurre el Operador de Servicios Postales de Pago al ser sancionado u obligado a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. También como consecuencia de fallas en los contratos con los Colaboradores empresariales y Proveedores que impidan las transacciones de los giros postales, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o su ejecución.

Riesgo operativo: Es la posibilidad de que un Operador de Servicios Postales de Pago incurra en pérdidas o eventual incumplimiento de sus obligaciones por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología informática, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal.

Riesgo reputacional: Es la posibilidad de pérdida en que incurre un Operador de Servicios Postales de Pago por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo residual o neto: Es el nivel resultante del riesgo después de aplicar los controles.

Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).

Señales de alerta o alertas tempranas: Conjunto de indicadores cualitativos y cuantitativos que permiten identificar oportuna y/o prospectivamente comportamientos atípicos de las variables relevantes, previamente determinadas por el Operador de Servicios Postales de Pago.

UIAF: Unidad de Información y Análisis Financiero.

Usuario del Servicio Postal de Pago: Es tanto el remitente del giro que no se encuentra clasificado como cliente del servicio postal de pago, así como el destinatario del giro, que utilizan los servicios de un Operador de Servicio Postal de Pago.

Para todos los efectos, se haga referencia en la presente resolución al usuario, este se entenderá como el usuario del Servicio Postal de Pago aquí definido.

ARTÍCULO 2o. MODIFICACIÓN DEL ARTÍCULO 6 DE LA RESOLUCIÓN NÚMERO 1292 DE 2021. Modificar el artículo 6o de la Resolución número 1292 de 2021, el cual quedará así:

“Artículo 6o. Elementos del SARLAFT. El SARLAFT para el Operador de Servicios Postales de Pago deberá contemplar los siguientes elementos:

6.1 Políticas. Son los lineamientos generales que debe adoptar el Operador de Servicios Postales de Pago que permitan el efectivo y oportuno funcionamiento del SARLAFT.

Las políticas deben desarrollar al menos los siguientes aspectos:

a) Objetivos conforme a la administración del riesgo de LA/FT. El cumplimiento de la Ley, la cooperación con las autoridades, la responsabilidad social empresarial, el gobierno corporativo, son algunos de los objetivos de la política de prevención de LA/FT.

b) Cumplimiento del sistema de administración del riesgo de LA/FT.

c) Promoción de la cultura del sistema de administración del riesgo de LA/FT.

d) Reserva de información del SARLAFT (propia, de los clientes, usuarios, colaboradores empresariales, proveedores y reportes).

e) Prevalencia del cumplimiento del SARLAFT al logro de las metas comerciales.

f) Establecer lineamientos para la prevención y resolución de conflictos de interés.

g) Consagrar lineamientos para la aceptación y vinculación de clientes, usuarios y de monitoreo frente a las cuales, por su perfil, estos pueden exponer en mayor grado al Operador de Servicios Postales de Pago al riesgo de LA/FT.

h) Consagrar lineamientos para el conocimiento y la aceptación de las contrapartes al momento de su vinculación, así como lineamientos y mecanismos de monitoreo con los cuales, de acuerdo con su perfil de riesgo, puedan exponer en mayor grado al Operador de Servicios Postales de Pago.

i) Establecer las políticas y lineamientos frente a la identificación, medición, monitoreo y control del riesgo de LA/FT.

j) Establecer lineamientos para el control de operaciones de clientes, usuarios y detección de operaciones inusuales.

k) Establecer lineamientos para el control y monitoreo del cumplimiento del SARLAFT establecido por el Operador de Servicios Postales de Pago, para los colaboradores empresariales.

l) Cumplimiento de obligaciones sobre el SARLAFT, con respecto a los colaboradores empresariales.

m) Establecer métodos suficientes de divulgación y entendimiento de las políticas.

n) Establecer las consecuencias que genera el incumplimiento de las disposiciones y procedimientos del SARLAFT, por parte de los colaboradores o empleados del Operador de Servicios Postales de Pago.

6.2. Procedimientos y mecanismos. El Operador de Servicios Postales de Pago debe establecer los procedimientos y mecanismos aplicables para la adecuada implementación y funcionamiento del SARLAFT, para lo cual debe adoptar, por lo menos, los siguientes:

a) Procedimientos donde se instrumenten las diferentes etapas del SARLAFT.

b) Procedimiento para el conocimiento de clientes, y contrapartes atendiendo la naturaleza de la operación.

c) Mecanismos para el conocimiento del mercado.

d) Mecanismos para el conocimiento de los accionistas y/o socios del Operador de Servicios Postales de Pago.

e) Procedimientos y mecanismos para la detección y análisis de operaciones inusuales.

f) Procedimientos y mecanismos para la detección y análisis de operaciones sospechosas.

g) Procedimiento para el reporte de operaciones sospechosas a la UIAF.

h) Procedimiento de atención de requerimientos de información por parte de autoridades competentes.

i) Procedimiento para dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia, de conformidad con el derecho internacional y disponer lo necesario para que puedan consultar dichas listas de manera previa y obligatoria a la vinculación de clientes, usuarios y contrapartes.

j) Procedimientos más estrictos para la iniciación y seguimiento a las relaciones comerciales y operaciones con clientes y usuarios de países donde no se aplican las Recomendaciones del GAFI.

k) Procedimiento para dar cumplimiento a las obligaciones relacionadas con las consultas en listas vinculantes para Colombia de carácter obligatorio y listas no vinculantes que designe la entidad para complementar el conocimiento del cliente y los usuarios.

l) Procedimiento para establecer al interior del grupo responsable del SARLAFT, en el Operador Postal de Pago, un punto de contacto con la Policía Nacional.

m) Consagrar las sanciones por incumplimiento a las normas relacionadas con el SARLAFT, así como los procesos para su imposición.

6.2.1 Conocimiento del cliente. El conocimiento del cliente con el que realiza algunas de sus actividades, constituye una herramienta importante y efectiva para no ser utilizados para el lavado de activos y la financiación del terrorismo, es por esto que dicho mecanismo debe permitir:

a) Conocer la identidad del cliente: Supone el conocimiento y verificación de los datos solicitados que permitan individualizar plenamente la persona natural o jurídica que se pretende vincular.

b) El conocimiento de la actividad económica del cliente.

c) Dar cumplimiento a lo contemplado en la Ley 1581 de 2012, sobre tratamiento de datos personales y demás normas que las modifiquen, complementen, o sustituyan.

6.2.2 Metodologías para el conocimiento del cliente que deben implementar los Operadores de Servicios Postales de Pago. Las metodologías para conocer al cliente deben permitir a los Operadores de Servicios Postales de Pago cuando menos:

a) Monitorear mensualmente, las operaciones de los clientes.

b) Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos clientes y determinar la existencia de operaciones sospechosas.

c) Para estos efectos, el Operador de Servicios Postales de Pago debe diseñar y adoptar formularios de vinculación que contengan cuando menos la información que más adelante se indica. Para las vinculaciones presenciales se debe capturar la firma y la huella del cliente. Para vinculaciones en mecanismos digitales los operadores deberán adoptar mecanismos efectivos de identificación de la identidad del tercero.

d) Para la vinculación de los clientes según la naturaleza de la operación, el Operador de Servicios Postales de Pago en nombre propio o a través de sus Colaboradores Empresariales exigirá los requisitos para su identificación, para el caso de la imposición del giro, los cuales deben quedar registrados en el formulario respectivo, cuando menos serán los siguientes:

PN: Vinculación de persona natural

PJ: Vinculación de persona jurídica

El Operador de Servicios Postales de Pago podrá solicitar los documentos soporte adicionales que estime pertinente para el idóneo conocimiento del Cliente.

Los formularios de admisión de giros podrán ser capturados y diligenciados de forma física y/o electrónica.

Verificación. En el desarrollo de los procedimientos de conocimiento del cliente, el Operador de Servicios Postales de Pago debe contemplar la verificación efectiva de la identidad del cliente al momento de su vinculación y la prestación del servicio, utilizando datos e información de fuentes confiables e independientes.

Cuando se realice operaciones de giro a través de canales físicos o electrónicos, se debe verificar como mínimo: el tipo de documento de identificación, el nombre, el número y la fecha de expedición del documento de identificación. El Operador de Servicios Postales de Pago deberá adoptar mecanismos efectivos de verificación de la identidad tanto del remitente como del destinatario, para lo cual podrán utilizar: (i) certificados de firma digital, de acuerdo con lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios, o en las normas que la modifiquen, deroguen o subroguen; (ii) biometría, (iii) cruce de información con la Registraduría Nacional del Estado Civil, u otro mecanismo que consideren idóneo para asegurar la adecuada verificación de la identidad del cliente.

6.2.2.1 Pruebas de admisión. Adicional a la información solicitada en el numeral 6.2.2., se debe registrar la información que sea requerida por las demás normas aplicables para los operadores postales de pago.

Los formularios de admisión de giros podrán ser capturados y diligenciados de forma física y/o electrónica, siempre y cuando se garantice como mínimo la custodia y disponibilidad de estos ante la solicitud de una autoridad competente, como mínimo por un término de tres (3) años, contados a partir de la imposición o pago del giro. Vencido el plazo anterior los formularios físicos de admisión de giros podrán ser destruidos, siempre que por cualquier medio digital adecuado se garantice su reproducción exacta.

6.2.2.2 Identificación de los niveles de riesgo. Una vez llevada a cabo la segmentación de los factores de riesgo, el Operador de Servicios Postales de Pago estará en la facultad de establecer el nivel de riesgo, el cual permitirá:

a) Conocer el potencial cliente y poder definir su nivel de riesgo de LA/FT.

b) Detectar las apariencias engañosas de un cliente.

c) Recolectar la información suficiente para elaborar un perfil del cliente y de sus transacciones, de tal forma que el funcionario responsable designado por el Operador de Servicios Postales de Pago pueda identificar su comportamiento transaccional habitual.

6.2.3 Medidas intensificadas para las personas expuestas políticamente (PEP). El Operador de Servicios Postales de Pago deberá incluir procedimientos especiales frente a los clientes de alto riesgo, los cuales deben contemplar estándares de control más exigente:

a) Incluir procedimientos más exigentes de vinculación de clientes y usuarios de alto riesgo que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado al Operador de Servicios Postales de Pago al riesgo de LA/FT, tales como personas que por razón de su cargo manejan recursos públicos, detentan algún grado de poder público.

b) En el caso de PEP, por ser considerado como un elemento de alto riesgo, el Operador de Servicios Postales de Pago debe incluir un procedimiento, en el cual deberá contar con la aprobación de una instancia o empleado de jerarquía superior, encargado de tales vinculaciones antes de establecer (o continuar, en el caso de los clientes existentes) esas relaciones comerciales y realizar permanentes monitoreos intensificados sobre esa relación.

c) Igualmente, el operador de giros postales deberá identificar si el beneficiario final de una transacción es un PEP.

Lo anterior, sin perjuicio de la reglamentación que expida el Gobierno nacional sobre la materia.

6.2.4 Conocimiento del usuario. El conocimiento del Usuario es un mecanismo de identificación de la persona que hace uso de los servicios del Operador de Servicios Postales de Pago, lo cual constituye una herramienta importante y efectiva para no ser utilizado para el Lavado de Activos y la Financiación del Terrorismo. Es por esto que dicho mecanismo debe permitir conocer la identidad del usuario, lo cual supone el conocimiento de los datos solicitados que permitan individualizar plenamente la persona natural que pretende hacer uso de los servicios.

6.2.4.1 Metodología para conocimiento de los usuarios. Las metodologías para conocer al usuario deben permitir al Operador de Servicios Postales de Pago como mínimo:

a) Monitorear continuamente las operaciones de los usuarios.

b) Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos usuarios y determinar la existencia de operaciones sospechosas.

c) Para operaciones internacionales, la información requerida debe ser completamente rastreable en el país del beneficiario.

6.2.4.2 Formulario de conocimiento del usuario. El Operador de Servicios Postales de Pago y sus Colaboradores Empresariales deben diseñar y adoptar formularios de conocimiento, que contengan como mínimo la siguiente información:

a) Nombre y número del documento de identificación del usuario.

b) Nombre, número y fecha de expedición del documento de identificación del usuario.

c) Dirección y Código Postal.

d) Monto del giro postal.

e) Ciudad de origen y ciudad de destino

f) Teléfono fijo y/o Móvil.

g) Actividad económica del usuario

h) Mecanismo físico o digital de verificación de identidad (firma, huella, autenticación digital, biometría del usuario, entre otros)

i) Fecha de la operación.

Verificación. En el desarrollo de los procedimientos de conocimiento del usuario, el Operador de Servicios Postales de Pago debe contemplar la verificación efectiva de la identidad del usuario al momento de su vinculación y la prestación del servicio, utilizando datos e información de fuentes confiables e independientes.

Cuando se realice operaciones de giro a través de canales físicos o electrónicos, se debe verificar como mínimo: el tipo de documento de identificación, el nombre, el número y la fecha de expedición del documento de identificación. El Operador de Servicios Postales de Pago deberá adoptar mecanismos efectivos de verificación de la identidad del usuario, para lo cual podrán utilizar: (i) certificados de firma digital, de acuerdo con lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios, o en las normas que la modifiquen, deroguen o subroguen; (ii) biometría, (iii) cruce de información con la Registraduría Nacional del Estado Civil, u otro mecanismo que consideren idóneo para asegurar la adecuada verificación de la identidad del usuario.

Los formularios de entrega de giros postales podrán ser capturados y diligenciados de forma física y/o electrónica, siempre y cuando se garantice como mínimo la custodia y disponibilidad de estos, ante la solicitud de una autoridad competente, por un término mínimo de tres (3) años. Vencido el plazo anterior, estos documentos podrán ser destruidos, siempre que por cualquier medio digital adecuado se garantice su reproducción exacta.

Si producto del monitoreo de operaciones de los usuarios, el Operador de Servicios Postales de Pago identifica un patrón de inhabitualidad en alguno de ellos, estará en la facultad de solicitar la información adicional que estime pertinente, para el análisis de vulnerabilidad frente al riesgo de LA/FT.

6.2.5 Conocimiento del Colaborador Empresarial. El conocimiento del Colaborador Empresarial constituye una herramienta importante y efectiva para que el Operador de Servicios Postales de Pago no sea utilizado para el lavado de activos y la financiación del terrorismo. Es por esto que dicho mecanismo debe permitir:

a) Conocer al Colaborador Empresarial en el que se apoye el Operador de Servicios Postales de Pago, para llevar a cabo la operación de giros postales.

b) Garantizar el cumplimiento de las responsabilidades asignadas por el Operador de Servicios Postales de Pago en materia de SARLAFT.

c) Se deberán aplicar los mismos mecanismos de conocimiento de clientes.

6.2.5.1 Metodologías para el conocimiento de los colaboradores empresariales. Las metodologías para conocer a los colaboradores empresariales deben permitir al Operador de Servicios Postales de Pago como mínimo:

a) Monitorear continuamente el cumplimiento de las obligaciones de los colaboradores empresariales, como responsabilidad propia del Operador de Servicios Postales de Pago.

b) Para estos efectos, el Operador de Servicios Postales de Pago debe diseñar y adoptar formularios de vinculación de Colaboradores Empresariales, con al menos la información que más adelante se indica. La firma y la huella dactilar del representante del Colaborador Empresarial deben quedar plasmadas en el formulario.

c) Para la vinculación de los colaboradores empresariales, según la naturaleza de la operación, el Operador de Servicios Postales de Pago exigirá los requisitos para su identificación, los cuales deben ser cuando menos los siguientes:

PN: Vinculación de persona natural

PJ: Vinculación de persona jurídica

El Operador de Servicios Postales de Pago podrá solicitar el adjunto de los documentos que estime pertinente para un idóneo conocimiento del Colaborador empresarial, entre ellos, el Registro Único Tributario y el Certificado de Existencia y Representación Legal expedido por la Cámara de Comercio.

6.2.6 Conocimiento del mercado. El Operador de Servicios Postales de Pago deberá conocer el rango de mercado dentro el cual se vincula, inscribe y se registra cada cliente de acuerdo con la naturaleza, características, volumen o frecuencia de sus operaciones, nivel de riesgo, clase de servicio, origen o destino de las operaciones de giro, o cualquier otro criterio similar, conforme las políticas comerciales de clasificación adoptadas por la empresa.

6.2.7 Jurisdicciones - Países de mayor riesgo. El Operador de Servicios Postales de Pago deberá aplicar medidas de mayor debida diligencia a los clientes y usuarios, que realizan transacciones o posean bienes en los países y/o jurisdicciones de mayor riesgo.

Entre otras medidas intensificadas que el Operador de Servicios Postales de Pago debe adoptar con el fin de mitigar los riesgos asociados a países y/o jurisdicciones de mayor riesgo, como mínimo, debe estar en capacidad de aplicar las siguientes:

a) Aplicar políticas, lineamientos, mecanismos definidos y aprobados por Junta Directiva frente a la debida diligencia del análisis de los clientes y usuarios.

b) Realizar una debida diligencia ampliada.

c) No delegar en terceros ubicados en los países listados como de mayor riesgo por GAFI, para llevar a cabo elementos del proceso de “Debida Diligencia del Cliente”. Aunado al deber del Operador de Servicios Postales de Pago de monitorear permanentemente los listados de los países y/o jurisdicciones de mayor riesgo del GAFI, publicados en su página de internet.

6.2.8 Detección y análisis de operaciones inusuales. El SARLAFT debe permitir al Operador de Servicios Postales de Pago establecer cuándo una operación se considera como inusual.

Para ello, debe contar con metodologías para la oportuna detección de las operaciones inusuales, entendidas estas como aquellas transacciones que cumplen, como mínimo, con las siguientes características:

a) Operaciones cuya cuantía y/o característica no guarden relación con la actividad económica y que se sale de los parámetros de normalidad establecidos y amerita ser analizada con mayor profundidad.

b) Presencia de señales de alerta adoptadas por el Operador de Servicios Postales de Pago.

c) Presencia de posibles tipologías de operaciones de LA/FT, definidas por documentos nacionales o internacionales.

d) Que el cliente figure en alguna lista de control adoptada por el Operador de Servicios Postales de Pago.

e) Operaciones realizadas con jurisdicciones listadas por el GAFI como no cooperantes.

f) Dejar constancia de la operación detectada y del responsable o responsables de su análisis y resultados.

g) A través de la segmentación y del conocimiento del mercado, se podrán determinar características usuales de las operaciones y compararlas con aquellas que realicen los clientes y/o usuarios, a efectos de detectar operaciones inusuales.

h) Si se detecta una operación inusual, el funcionario que la detectó deberá generar el respectivo reporte al Oficial de Cumplimiento, con la documentación soporte para llevar a cabo el análisis tendiente a establecer si se trata de una operación sospechosa susceptible de reporte a la autoridad competente.

6.2.9 Detección y análisis de operaciones sospechosas. Corresponde al Oficial de Cumplimiento la determinación de las operaciones y su respectivo Reporte de Operación Sospechosa (ROS) a la UIAF según los siguientes criterios:

a) La confrontación de las operaciones detectadas como inusuales con la información acerca de los clientes y la segmentación del mercado, debe permitir, conforme a los análisis y verificaciones efectuadas por el Oficial de Cumplimiento, identificar si una operación es o no sospechosa y reportarla de forma oportuna y efectiva a la autoridad competente.

b) El Oficial de Cumplimiento procede a establecer si la operación objeto de análisis debe ser o no reportada como sospechosa.

c) Para efectos del Reporte de Operación Sospechosa (ROS), no se requiere que el Operador de Servicios Postales de Pago tenga certeza de que se trata de una actividad ilícita.

6.3 Instrumentos. Para que los procedimientos y mecanismos adoptados por las empresas operen de manera efectiva y oportuna, el Operador de Servicios Postales de Pago debe implementar al menos los siguientes instrumentos:

a) Señales de Alerta. Son aquellas situaciones que muestran los comportamientos atípicos de los clientes y usuarios, ayudan a identificar o detectar conductas, actividades, métodos o situaciones que pueden encubrir operaciones de LA/FT. Estas señales no serán un motivo para calificar a una persona como ejecutora de una acción ilícita, sino que serán una alerta para proceder a verificar, con mayores elementos e indagaciones, las explicaciones acerca de las operaciones.

b) Segmentación por factores de riesgo y perfilamiento del riesgo. El Operador de Servicios Postales de Pago deberá aplicar las metodologías de segmentación que incorporen los factores de riesgo de LA/FT (clientes, productos, canales y jurisdicciones), con el objetivo de contar con un modelo que permita segmentar a los clientes y usuarios y calificarlos de acuerdo con su perfil de riesgo.

Para los perfiles de riesgos considerados con de alta exposición al riesgo, se deberán establecer políticas y procedimientos de mayor debida diligencia, tanto en la vinculación como en el monitoreo.

El Operador de Servicios Postales de Pago para aplicar la segmentación deberá adoptar modelos estadísticos o criterios expertos con supuestos robustos que le permita llevar a cabo de forma adecuada este proceso.

Para realizar la segmentación por factores de riesgo, se deberán tener en cuenta las siguientes variables por factor de riesgo:

- Clientes. Corresponderán, como mínimo, a la actividad económica, volumen o frecuencia de sus operaciones y nacionalidad.

El tipo de actividad económica que desarrolla el cliente es un factor de suma importancia en la evaluación de su perfil de riesgo, dado que determinadas actividades están más expuestas a LA/FT que otras. Por tanto, frente a los clientes que ejercen actividades de alto riesgo de LA/FT, el Operador de Servicios Postales de Pago deberá realizar una mayor debida diligencia en el conocimiento del remitente y del destinatario.

El Operador de Servicios Postales de Pago, basándose en los resultados obtenidos de la segmentación por actividad económica y demás variables que haya adoptado, deberá definir escalas de nivel de riesgo y deberá asignar a cada segmento el nivel de riesgo que le corresponde.

- Producto. Corresponderá a los servicios que presta el Operador de Servicios Postales de Pago, clasificando este en variables tales como: naturaleza, características y nicho de mercado o destinatarios.

Para cada segmento de productos que se defina, se deberá precisar el nivel de riesgo que le corresponde según la exposición al riesgo de este a eventos de LA/FT.

- Canales de distribución. Naturaleza y características.

Para cada segmento que se defina de canales de distribución, se deberá precisar el nivel de riesgo que le corresponde según la exposición al riesgo de este a eventos de LA/FT.

- Jurisdicciones. Ubicación, características y naturaleza de las transacciones.

Para el caso específico de jurisdicciones es claro que hay zonas geográficas en Colombia y a nivel internacional que están más expuestas a actividades de LA/FT que otras, por eso es necesario realizar la segmentación de las jurisdicciones y hacer una mayor debida diligencia del conocimiento de los clientes, en las zonas que se identifiquen como de mayor riesgo.

Para realizar la segmentación por jurisdicciones, podrá tener en cuenta estudios realizados por la UIAF, publicaciones de la Policía Nacional, entre otros.

Finalmente, se debe asignar a cada cliente un nivel de riesgo o perfilamiento, para lo cual, es necesario tener en cuenta la agregación de los factores de riesgo, dado que se conocen las características de cada cliente, frente a su actividad económica y algunas variables sociodemográficas, jurisdicción donde se encuentra ubicado, productos y canales que utiliza, conociendo previamente la segmentación por factores y nivel de riesgo, se asigna un perfil de riesgo al cliente. De acuerdo con el perfil de riesgo se define la debida diligencia a realizar para el conocimiento y monitoreo del cliente.

Se entenderá que la segmentación y perfilamiento de riesgo aplica para el cliente que corresponde al remitente y aplica también para el beneficiario final que se entiende es el destinatario del giro.

- Para cada segmento de clientes se deberá definir el perfil transaccional, es decir, los montos, frecuencia de uso del servicio, volumen transado, entre otros, bajo un patrón normal de comportamiento del segmento, de forma que si un individuo se sale de su patrón normal de comportamiento transaccional frente al segmento que pertenece se genere una alerta transaccional, que implique la detección de una operación inusual.

- La segmentación de factores de riesgo es un proceso permanente que permite definir grupos de acuerdo con las características particulares de cada uno de ellos, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos.

- La segmentación debe dar como resultado el perfilamiento de los clientes. Para los perfiles de mayor riesgo, debe haber mayor debida diligencia, tanto en la vinculación como en el monitoreo.

6.3.1 Seguimiento y Consolidación de Operaciones. El Operador de Servicios Postales de Pago deberá llevar a cabo actividades que le permita monitorear permanentemente las operaciones realizadas por los clientes y usuarios. Así mismo, y con el fin de mantener un conocimiento sobre todas las operaciones transadas por un mismo cliente durante un periodo de tiempo establecido, de modo que puedan observarse patrones de comportamiento inusual, la empresa deberá consolidar por lo menos en forma mensual las operaciones por cada uno de los factores de riesgo.

6.3.2 Matriz de riesgos. El Operador de Servicios Postales de Pago debe contar con una matriz de riesgos para la aplicación e implementación de las etapas del SARLAFT. La matriz de riesgos que diseñe e implemente debe contemplar las siguientes características, como mínimo, sin perjuicio de cualquier otra que considere necesario incorporar:

a) Los riesgos inherentes identificados, junto con sus respectivas causas

b) Valoración del riesgo inherente en términos de impacto y frecuencia o probabilidad de ocurrencia.

c) La relación existente entre los riesgos identificados y cada uno de los factores de riesgo en los que se podrían materializar los mismos.

d) La relación existente entre los riesgos identificados y cada uno de los riesgos asociados.

e) Los controles que mitigan cada uno de los riesgos identificados, junto con las variables consideradas para la medición de su efectividad.

f) Estimación del riesgo residual.

g) Indicadores que permiten monitoreo del perfil de riesgo de LA/FT.

6.4 Documentación. La documentación relacionada con el SARLAFT deberá cumplir con los siguientes requisitos:

a) Contar con un respaldo físico y/o magnético.

b) Contar con requisitos de seguridad, de forma tal que se permita su consulta, solo por funcionarios autorizados.

c) Manual de procedimientos del SARLAFT.

d) Los documentos y registros que evidencien la operación efectiva del SARLAFT.

e) Los informes que la Junta Directiva, Consejo de Administración u Órgano equivalente, el Representante Legal, el Oficial de Cumplimiento y los Órganos de Control, deben elaborar en los términos de la presente resolución.

f) Los soportes de la operación se deben organizar y conservar como mínimo por cinco (5) años, vencido este lapso, podrán ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.

6.5 Estructura administrativa. El Operador de Servicios Postales de Pago deberá definir claramente en su estructura organizacional los niveles de responsabilidad de las personas o funcionarios encargados de las funciones relacionadas con la administración del riesgo LA/FT, precisando su alcance y límites.

En todo caso, deberá dar cumplimiento a las disposiciones que a continuación se establecen:

6.5.1 Junta Directiva, Consejo de Administración u órgano equivalente.

a) Establecer las políticas en materia de LA/FT.

b) Aprobar el SARLAFT que implementará el Operador de Servicios Postales de Pago, lo cual debe constar en la respectiva acta de Junta Directiva, Consejo de Administración u Órgano equivalente.

c) Aprobar los lineamientos que en materia de ética deben observarse en relación con el SARLAFT.

d) Pronunciarse respecto de cada uno de los aspectos que contengan los informes que elabore el Representante Legal o el Oficial de Cumplimiento, respecto de la administración del riesgo de Lavado de Activos y la Financiación del Terrorismo, así como sobre los informes que elaboren los Órganos de Control.

e) Proveer los recursos necesarios para la adecuada administración del riesgo.

f) Designar al Oficial de Cumplimiento.

g) Aprobar el procedimiento para la vinculación de los canales (Colaboradores empresariales) en los que se apoye el Operador de Servicios Postales de Pago para la prestación del servicio.

h) Realizar el seguimiento a los informes presentados por el oficial del cumplimiento del operador postal de pago respecto del SARLAFT y del cumplimiento al mismo, de las obligaciones por parte de los Colaboradores Empresariales.

i) Verificar el correcto funcionamiento de los Colaboradores Empresariales en términos de riesgo de lavado de activos y financiación del terrorismo, de acuerdo con el informe mensual que presente el representante legal a su consideración.

6.5.2. Representante Legal. Sin perjuicio de las funciones asignadas en otras disposiciones, el Representante Legal del Operador de Servicios Postales de Pago tendrá, como mínimo las siguientes funciones:

a) Diseñar y someter a aprobación de la Junta Directiva, Consejo de Administración u Órgano equivalente, los procedimientos para la administración del riesgo de LA/FT.

b) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva, el Consejo de Administración u Órgano equivalente para la administración del riesgo de LA/FT y presentar los informes periódicos sobre el mismo.

c) Velar porque las etapas y elementos del SARLAFT cumplan, como mínimo, con las disposiciones señaladas en la presente resolución.

d) Velar porque se dé cumplimiento a los lineamientos establecidos en el código de ética del Operador de Servicios Postales de Pago, en materia de conflictos de interés que tengan relación con el riesgo de LA/FT.

e) Velar por que las bases de datos y la plataforma tecnológica cumplan con los estándares mínimos establecidos en la presente resolución.

f) Efectuar las gestiones necesarias para proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT.

6.5.3. Oficial de Cumplimiento. El Operador de Servicios Postales de Pago deberá designar el Oficial de Cumplimiento, esta persona podrá tener a su cargo la gestión de otros riesgos igualmente, pero para efectos del SARLAFT deberá demostrar que ha tenido capacitación específica en prevención y control al lavado de activos y financiamiento del terrorismo o en gestión de riesgos integrales que contemplen esta materia de como mínimo noventa (90) horas certificables en una Institución de Educación Superior debidamente registrada en el Ministerio de Educación Nacional.

El Oficial de Cumplimiento deberá ser un empleado interno contratado directamente por el Operador de Servicios Postales de Pago. Designado por la Junta Directiva, Consejo de Administración u órgano que haga sus veces, según corresponda. El cargo de Oficial de Cumplimiento al igual que el cumplimiento de sus funciones no se podrá tercerizar.

El Oficial de Cumplimiento reportará directamente a la Junta Directiva, Consejo Administración u órgano que haga sus veces según corresponda, asumiendo independencia frente a las demás áreas de la organización. Dentro de la estructura organizacional deberá ser un cargo de primer nivel (Director, Gerente o su equivalente).

Sin perjuicio de las funciones y responsabilidades adicionales que el Operador de Servicios Postales de Pago asigne al Oficial de Cumplimiento, dicho funcionario tendrá al menos las siguientes funciones y responsabilidades con respecto al SARLAFT:

a) Definir los instrumentos, metodologías y procedimientos tendientes a que el Operador de Servicios Postales de Pago administre efectivamente el riesgo de LA/FT, en concordancia con los lineamientos, etapas y elementos mínimos previstos en esta Resolución y someterlo a aprobación de junta Directiva.

b) Desarrollar e implementar el sistema de reportes del riesgo de LA/FT.

c) Realizar el seguimiento permanente de los instrumentos, metodologías y procedimientos relacionados con el SARLAFT y proponer sus correspondientes actualizaciones y modificaciones.

d) Desarrollar los programas de capacitación relacionados con el SARLAFT.

e) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad.

f) Reportar periódicamente al Representante Legal y a la Junta Directiva, Consejo de Administración u Órgano equivalente, la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos de la presente resolución.

g) Evaluar los informes de auditoría interna y revisoría fiscal y diseñar las medidas para afrontar las deficiencias identificadas en los mismos, respecto a las medidas de control de los riesgos de LA/FT.

h) Reportar operación sospechosa a la UIAF, según lo previsto en la Ley 526 de 1999.

i) Presentar a la Junta Directiva los informes relacionados con el cumplimiento de las obligaciones respecto del SARLAFT por parte de los Colaboradores Empresariales.

6.5.4. Órganos de Control Interno. El Operador de Servicios Postales de Pago debe establecer instancias responsables de efectuar una evaluación de la forma como se está administrando el riesgo de LA/FT. Dichas instancias informarán, de forma oportuna, los resultados a los órganos de control.

En ejercicio de sus funciones, la Revisoría Fiscal, deberá evaluar, como mínimo de forma semestral, el cumplimiento de todas y cada una de las etapas y elementos del Sistema de Administración del Riesgo de LA/FT descritas en las disposiciones normativas aplicables, con el fin de determinar las deficiencias y el origen de estas.

Dicho informe deberá remitirse a la Junta Directiva, Consejo de Administración u órgano equivalente, en el que se reporten las conclusiones obtenidas acerca del proceso de evaluación del cumplimiento de las disposiciones establecidas para la administración de este riesgo.

6.6 Requerimientos de plataforma tecnológica de información. Sin perjuicio de los requisitos mínimos de tipo operativo que defina el Ministerio de Tecnologías de la Información y las Comunicaciones en ejercicio de sus funciones reglamentarias, el Operador de Servicios Postales de Pago deberá contar con aplicaciones y desarrollos tecnológicos que permita, al menos, las siguientes funciones mínimas:

a) Consulta de listas, según los requerimientos del Operador de Servicios Postales de Pago y la legislación que le sea aplicable.

b) Consolidación electrónica de operaciones.

c) Reporte de operaciones inusuales y sospechosas.

d) Señales de alerta automáticas

e) Seguimiento automático sobre las operaciones de servicio postal de pago mediante el reporte de informes producto de consultas efectuadas con base en criterios definidos como acumulaciones por canal, operaciones por monto, operaciones por zona geográfica o región, entre otros.

f) El desarrollo tecnológico debe facilitar la debida identificación de los clientes y usuarios y la actualización de sus datos.

g) Adicionalmente, el Operador de Servicios Postales de Pago para soportar el proceso de administración del riesgo de LA/FT, debe contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño.

h) Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo.

i) Consolidar las operaciones de los distintos factores de riesgo de acuerdo con los criterios establecidos por la empresa.

6.7 Divulgación de la información y reportes externos e internos. El Operador de Servicios Postales de Pago debe diseñar un sistema efectivo y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y sea soporte para atender los requerimientos de las autoridades competentes.

El Operador de Servicios Postales de Pago debe incluir al menos los siguientes reportes en implementación del SARLAFT:

6.7.1 Reportes Internos. Los reportes internos son de uso exclusivo de la empresa y corresponden a los reportes de operaciones inusuales al igual que los reportes que el Oficial de Cumplimiento presenta a la Junta Directiva donde da a conocer el nivel de exposición al riesgo, evaluación de efectividad de controles, y gestión del Operador para fortalecer y mantener una adecuada implementación del SARLAFT, entre otros.

6.7.2 Reportes Externos. Los reportes externos deben ser enviados a la UIAF y/o a las demás autoridades competentes.

a) Reporte de operaciones sospechosas (ROS). Corresponde al Operador de Servicios Postales de Pago reportar a la UIAF en forma inmediata las operaciones que se determinen como sospechosas, de acuerdo con los parámetros establecidos por la Unidad de Información y Análisis Financiero (UIAF).

b) Reporte de transacciones en efectivo. Corresponde al Operador de Servicios Postales de Pago reportar a la UIAF todas las transacciones que en desarrollo del giro ordinario de sus negocios realice y que involucren pagos mediante entrega o recibo de dinero en efectivo de billetes y monedas de denominación nacional, según los parámetros establecidos por la Unidad de Información y Análisis Financiero (UIAF).

c) Reporte de Operaciones Intentadas. Los sujetos obligados deberán reportar las operaciones intentadas o rechazadas que contengan características que les otorguen el carácter de sospechosas. Los reportes sobre operaciones sospechosas deben ajustarse a los criterios objetivos establecidos por el Operador de Servicios Postales de Pago.

6.7.3 Reporte externo al Ministerio. El reporte semestral de evaluación del SARLAFT realizado por el revisor fiscal, deberá ser remitido al Ministerio de Tecnologías de la Información y Comunicaciones en el formato y mecanismo de transmisión definido por esta entidad. Dicho informe deberá estar firmado por el Revisor fiscal o por el equivalente.

6.8 Capacitación. El Operador de Servicios Postales de Pago debe diseñar, programar y coordinar planes de capacitación sobre el SARLAFT dirigidos a todas las áreas y funcionarios del Operador de Servicios Postales de Pago. Los objetivos son:

a) Establecer un programa anual de capacitación sobre el Sistema de Administración del Riesgo de LA/FT, el cual genere conciencia e informe sobre las obligaciones y responsabilidades que se derivan del Sistema para los empleados del Operador de Servicios Postales de Pago y de sus colaboradores empresariales, y dar herramientas eficaces para su cumplimiento, con una periodicidad anual.

b) La comunicación interna y externa eficaz es importante para asegurar que los responsables de implementar la gestión de riesgo de LA/FT comprendan su responsabilidad.

c) La información se necesita en todos los niveles de la organización para identificar, evaluar y responder a los riesgos de LA/FT.

d) El principal instrumento de comunicación del Sistema de Administración del Riesgo de LA/FT al interior de la empresa es el plan de capacitación, por lo cual, este es un elemento fundamental dentro del SARLAFT.

Como parte de los programas de capacitación a que hace referencia el presente numeral, el Oficial de Cumplimiento deberá determinar los funcionarios del Operador de Servicios Postales de Pago que deberán tomar obligatoriamente el curso de capacitación correspondiente al módulo general ofrecido a través de la página de internet de la Unidad de Información y Análisis Financiero (UIAF), en la medida en que este servicio se encuentre disponible al público.

El Ministerio de Tecnologías de la Información y las Comunicaciones, con fundamento en tratados internacionales ratificados, resoluciones del Consejo de Seguridad de las Naciones Unidas vinculantes, estándares del GAFI, leyes, decretos y actos administrativos en materia de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva, en desarrollo de los procesos de supervisión basado en riesgo, ofrecerá orientación de manera periódica, física y/o virtual al Operador de Servicios Postales de Pago, con el fin de apoyarlo en la aplicación del marco normativo y la implementación del SARLAFT, para lo cual el Operador de Servicios Postales de Pago podrá dirigir sus inquietudes a la Subdirección de Asuntos Postales del Ministerio de Tecnologías de la Información y las Comunicaciones.

Adicionalmente, el Operador de Servicios Postales de Pago podrá apoyarse en guías y/o manuales de gestión del riesgo de Lavado de Activos y Financiación del Terrorismo, guías de buenas prácticas y tipologías del GAFI y GAFILAT, cursos virtuales y cualquier otra directiva o fuente de información emitida por autoridad competente en la materia”.

ARTÍCULO 3o. MODIFICACIÓN DEL ARTÍCULO 9 DE LA RESOLUCIÓN NÚMERO 1292 DE 2021. Modificar el artículo 9o de la Resolución número 1292 de 2021, el cual quedará así:

“Artículo 9o. Fijación de montos de operación. La Subdirección de Asuntos Postales del Ministerio de Tecnologías de la Información y las Comunicaciones, mediante resolución que publicará a más tardar el último día hábil del tercer trimestre del año, establecerá el monto de operación del servicio postal de pago que se aplicará a partir del primer día hábil del año siguiente. Lo anterior, sin perjuicio de que el Ministerio en dicha resolución pueda establecer otra fecha para la aplicación del monto de operación del servicio postal de pago, atendiendo al tiempo que se requiera para la implementación por parte de los operadores, de lo definido en la presente resolución.

ARTÍCULO 4o. MODIFICACIÓN DEL ARTÍCULO 10 DE LA RESOLUCIÓN NÚMERO 1292 DE 2021. Modificar el artículo 10 de la Resolución número 1292 de 2021, el cual quedará así:

“Artículo 10. Vigencia y derogatorias. La presente resolución rige a partir del 1 de julio de 2022, salvo lo dispuesto en el artículo 9 que rige a partir de su publicación en el Diario Oficial, y deroga la Resolución número 2564 de 2016 a partir de la misma fecha.

ARTÍCULO 5o. VIGENCIA Y MODIFICACIONES. La presente resolución rige a partir de la fecha de su publicación en el Diario Oficial y modifica los artículos 3o, 6o, 9o y 10 de la Resolución número 1292 de 2021.

Publíquese y cúmplase.

Dada en Bogotá, D. C., a 2 de enero de 2022.

La Ministra de Tecnologías de la Información y las Comunicaciones,

Carmen Ligia Valderrama Rojas.