RESOLUCIÓN 1292 DE 2021

(mayo 31)

Diario Oficial No. 51.854 de 10 de noviembre de 2021

<Rige a partir del 1 de noviembre de 2022, salvo lo dispuesto en el artículo 9>

MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES

Por la cual se establecen las reglas relativas al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo para los Operadores Postales de Pago y se deroga la Resolución 2564 de 2016

LA MINISTRA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES

En ejercicio de sus facultades legales, y en especial de las que le confieren el artículo 10 de la Ley 526 de 1999 y los artículos 4 (parágrafo 2) y 18 de la Ley 1369 de 2009, y,

CONSIDERANDO QUE:

La Ley 1369 de 2009, actual marco general de los servicios postales otorga a estos servicios la connotación de servicio público en los términos del artículo 365 de la Constitución Política y señala que su prestación estará sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia y universalidad.

El Ministerio de Tecnologías de la Información y las Comunicaciones, en virtud de las facultades legales conferidas por el parágrafo segundo del artículo 4 de la Ley 1369 de 2009 reglamentó los sistemas de administración y mitigación de riesgos a través de las Resoluciones, 3676 de 2013 “por medio de la cual se establecen los requisitos y parámetros mínimos del Sistema de Control Interno por parte de los Operadores de Servicios Postales de Pago y se derogó la Resolución 2706 de 2010”, Resolución 3677 de 2013 “ Derogada por la Resolución 2564 de 2016 ”, Resolución 3678 de 2013 “por la cual se establecen los requisitos de tipo patrimonial y de mitigación de riesgos a acreditar para la obtención del título habilitante como Operador de Servicios Postales de Pago y se derogó la Resolución 2702 de 2010”, Resolución 3679 de 2013 “por la cual se establecen las reglas relativas al Sistema de Administración del Riesgo de Liquidez para los Operadores Postales de Pago y se derogó la Resolución 2703 de 2010” y por último la Resolución 3680 de 2013 “por medio de la cual se establecen los requisitos y parámetros mínimos del sistema de administración y mitigación del riesgo operativo y de tipo tecnológico, de información y funcionamiento por parte de los Operadores de Servicios Postales de Pago y se derogaron las Resoluciones 2704 de 2010 y 970 de 2011”, aplicables a los Operadores de Servicios Postales de Pago.

Por otra parte, se hace necesario ajustar las disposiciones relacionadas con el Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo - SARLAFT - para los Operadores de Servicios Postales de Pago contenidas en la Resolución 2564 de 2016 por la cual se establecen las reglas relativas al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo para los Operadores Postales de Pago y se deroga la Resolución 3677 de 2013, con el objeto de incluir las recomendaciones atinentes a la Financiación de la Proliferación de Armas de Destrucción Masiva, teniendo en cuenta las recomendaciones emitidas en el marco del Comité Operativo de Prevención y Detección de la Comisión de Coordinación Interinstitucional contra el Lavado de Activos (CCICLA).

En el marco del proceso de implementación de la política de prevención del riesgo, Colombia mediante la Ley 1186 de 2009, aprobó el Memorando de Entendimiento entre los Gobiernos de los Estados del Grupo de Acción Financiera de Sudamérica contra el Lavado de Activos (Gafisud)”, firmado en Cartagena de Indias el 8 de diciembre del 2000, el cual creó y puso en funcionamiento el Grupo de Acción Financiera de Sudamérica - GAFISUD, hoy Grupo de Acción Financiera de Latinoamérica - GAFILAT y determinó como objetivo reconocer y aplicar las recomendaciones del Grupo de Acción Financiera Internacional -GAFI, las recomendaciones y medidas que en el futuro adopte.

Así mismo, a través de la Sentencia de revisión constitucional C-685 de 2009, la Corte H. Constitucional declaró exequible tanto el Memorando de Entendimiento, como la citada Ley 1186 de 2009.

Atendiendo a que el servicio Postal de Pago definido en la Ley 1369 de 2009 hace parte de un sector de la economía nacional a través del cual circulan dineros del público, es necesario acoger la Recomendación 26 del GAFI, “Regulación y supervisión de las instituciones financieras”, la cual establece que, las autoridades competentes deben tomar las medidas legales o expedir las normativas necesarias para prevenir que los partícipes en la comisión de delitos y sus cómplices tengan o sean el beneficiario final o que tengan una participación significativa o mayoritaria en, o que ostenten una función administrativa en una institución financiera.

Teniendo en cuenta lo anterior, es pertinente ajustar los mecanismos de identificación del riesgo con énfasis en los lineamientos correspondientes a la segmentación de los clientes y usuarios, para dar mayor alcance a los cuatro factores de riesgo de lavado de activos y financiación del terrorismo (clientes, productos, canales y jurisdicciones) y, con base en esto establecer el perfil de riesgo de los clientes y usuarios. Estos lineamientos obedecen a las recomendaciones del GAFI en el documento: “Guía para un enfoque basado en riesgos”, publicado en octubre 2014, en este orden de ideas, con la presente resolución se deroga la Resolución 2564 de 2016, para establecer las reglas relativas al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo para los Operadores de Servicios Postales de Pago.

De igual manera, se hace necesario fortalecer las disposiciones relacionadas con la debida diligencia, para incluir dentro de las políticas de conocimiento del cliente la definición de “contraparte accionistas”, dado que esta tiene relación directa con la organización y pueden realizar operaciones y transacciones, tales como incremento de patrimonio, reparto de excedentes, reparto de beneficios a terceros, entre otros, que conlleva a incorporarlos dentro del conocimiento del cliente y contrapartes. Este lineamiento se adiciona, con el objetivo de aplicar la recomendación 10 “Debida diligencia del cliente” del GAFI, frente a la debida diligencia del conocimiento del cliente.

Así mismo, de acuerdo con la evaluación realizada por el Fondo Monetario Internacional (FMI) en el marco de la cuarta ronda de evaluaciones mutuas del GAFILAT al sistema Anti Lavado de Activos, Contra el Financiamiento del Terrorismo y la Financiación de la Proliferación de Armas de Destrucción Masiva Colombia fue incluida en el proceso de seguimiento intensificado ante el GAFILAT. En tal sentido, a través del Informe de Evaluación Mutua de la Cuarta Ronda de la República de Colombia publicado el 13 de noviembre de 2018, el GAFILAT recomendó a Colombia adelantar la implementación de las recomendaciones 15” Nuevas tecnologías” y 19 “Países de mayor riesgo” del GAFI, con la finalidad de realizar seguimiento intensificado.

Por lo anterior, es necesario que el Ministerio de Tecnologías de la Información y las Comunicaciones modifique lo relativo al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo - SARLAFT - para los Operadores de Servicios Postales de Pago, y derogue las disposiciones contenidas en la Resolución 2564 de 2016, con el objetivo de incluir ajustes a la política de segmentación y a las recomendaciones: 10, 15, 19 y 26 del Grupo de Acción Financiera Internacional -GAFI-, relacionada la primera de ellas con la debida diligencia, la segunda con la identificación y evaluación de los riesgos que deben realizar los Operadores de Servicios Postales de Pago, cuando realicen lanzamiento de nuevos productos o nuevos canales de giros, la tercera, referente a las medidas que tales operadores deben adoptar, cuando realicen transacciones en jurisdicciones o en zonas de frontera, con países listados como de mayor riesgo por el GAFI y la cuarta, relacionada con la regulación y supervisión de las instituciones financieras.

Asimismo, es pertinente indicar que, con base en las recomendaciones dadas por el GAFI, la línea de acción 5 del Plan de Modernización del Sector Postal 2020-2024 señala que el MinTIC deberá revisar y actualizar la normativa aplicable a los servicios postales de giro, por lo cual es pertinente proceder con la actualización del Sistema de Administración de Riesgo de LA/FT para los operadores de servicios postales de pago.

De conformidad con lo previsto en la sección 3 del capítulo 1 de la Resolución MinTIC 2112 de 2020, las disposiciones de que trata la presente Resolución fueron publicadas en el sitio web del Ministerio de Tecnologías de la Información y las Comunicaciones, durante el período comprendido entre el 24 de marzo de 2021 y el 8 de abril de 2021, con el fin de recibir opiniones, sugerencias o propuestas alternativas por parte de los ciudadanos y grupos de interés.

En mérito de lo expuesto,

RESUELVE:

ARTÍCULO 1. OBJETO. La presente resolución tiene por objeto establecer los requisitos y parámetros mínimos para la adecuada administración y mitigación del riesgo de Lavado de Activos y Financiación del Terrorismo (LA/FT) y la Financiación de la Proliferación de Armas de Destrucción Masiva, que deben acreditar y mantener los Operadores de Servicios Postales de Pago, como parte integral de su operación de giro postal.

ARTÍCULO 2. SUJETOS OBLIGADOS. Para efectos de la aplicación de la presente resolución serán sujetos obligados los Operadores de Servicios Postales de Pago, quienes deberán implementar y desarrollar el Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT) y la Financiación de la Proliferación de Armas de Destrucción Masiva, atendiendo los requisitos mínimos establecidos en esta.

Las actividades de giros internacionales desarrolladas por el Operador Postal Oficial estarán sujetas al sistema de Administración de Riesgos previsto en el presente Acto Administrativo.

ARTÍCULO 3. DEFINICIONES Y ACRÓNIMOS. <Artículo modificado por el artículo 1  de la Resolución 2296 de 2022. El nuevo texto es el siguiente:> Para efectos de la interpretación y aplicación de la presente resolución se tendrán en cuenta las siguientes definiciones:

Alta gerencia: Personas responsables de dirigir, ejecutar, tomar decisiones, y supervisar las operaciones del Operador Postal, bajo la dirección de la Junta Directiva u órgano equivalente.

Análisis de riesgo: Es la identificación y valoración de los eventos de riesgo que se pueden generar en el desarrollo de las actividades propias de los Operadores de Servicios Postales de Pago, y la definición de las causas que podrían dar origen o generar dichos eventos de riesgo.

Beneficiario final: Es toda persona natural que, sin ser necesariamente cliente, cumple con cualquiera de las siguientes características:

- Es propietaria, individual o conjuntamente, directa o indirectamente, de una participación superior al 5% del capital social, aporte o participación en una persona jurídica.

- Ejerce algún tipo de control en una persona jurídica, de acuerdo con las disposiciones descritas en el artículo 261 del Código de Comercio.

- Es por cuenta de quien se lleva a cabo una transacción. Se entiende que esta persona es aquella sobre quien recaen los efectos económicos de dicha transacción.

Cliente del Servicio Postal de Pago: Es el remitente del giro con el cual el Operador de Servicios Postales de Pago establece y mantiene una relación contractual para la prestación del servicio postal de pago, quien a su vez realiza una o varias operaciones durante un mismo mes, teniendo en cuenta los montos de operación fijados por el Ministerio de Tecnologías de la Información y las Comunicaciones mediante resolución.

Para todos los efectos, cuando en esta resolución se haga referencia al cliente este se entenderá como el cliente del Servicio Postal de Pago aquí definido.

Colaborador empresarial: Personas naturales o jurídicas que disponen de puntos de atención al público, con las cuales el Operador de Servicios Postales de Pago realiza un contrato, para ofrecer sus servicios a través de una red o grupo de redes.

Contrapartes: Personas naturales o jurídicas con las cuales el Operador Postal de Pago establece y mantiene una relación contractual o algún tipo de vínculo jurídico. Son contrapartes: los accionistas, proveedores, colaboradores empresariales y empleados del Operador de Servicio Postal de Pago.

Control de riesgos: Es la parte de administración de riesgos que involucra la implementación de políticas, estándares, procedimientos y actividades implementadas, que proporcionan reducción de la probabilidad y el impacto de los riesgos.

Evaluación de riesgos: Consiste en medir la probabilidad de ocurrencia del riesgo de LA/FT identificado en las actividades propias como Operador de Servicios Postales de Pago, así como el impacto para la empresa en caso de materializarse.

Evento de riesgo LA/FT: Es un incidente, situación o suceso, asociado a LA/FT que podría generarse dentro de la operación normal del Operador de Servicios Postales de Pago y que podría constituirse en un delito conexo al lavado de activos y financiación del terrorismo.

Factores de riesgo: Son los agentes generadores del riesgo de LA/FT. Para efectos de la presente resolución el Operador de Servicios Postales de Pago debe tener en cuenta como mínimo los siguientes:

a) Clientes/usuarios.

b) Productos.

c) Canales de distribución, y

d) Jurisdicciones.

Financiación del Terrorismo: Es la conducta penal descrita en el artículo 345 de la Ley 599 de 2000, modificado por el artículo 16 de la Ley 1453 de 2011.

GAFI: Grupo de Acción Financiera: Organismo intergubernamental constituido en 1989, que tiene como propósito desarrollar y promover políticas y medidas a nivel nacional e internacional para combatir el Lavado de Activos y la Financiación del Terrorismo.

Gestión del riesgo: Conjunto de políticas, metodologías y procedimientos que define un Operador de Servicios Postales de Pago, para llevar a cabo una adecuada identificación, medición, control y monitoreo del Riesgo de LA/FT. Asimismo, incorpora el trazar estrategias para disminuir la vulnerabilidad y promover acciones para mitigar y prevenir el riesgo de lavado de activos y financiación del terrorismo en las actividades propias de los Operadores de Servicios Postales de Pago.

Interesados (partes interesadas): Personas u organizaciones que pueden afectar o ser afectadas por las actividades de una empresa.

LA/FT: Lavado de Activos y Financiación del Terrorismo.

Lavado de activos: Conjunto de operaciones tendientes a ocultar o disfrazar el origen ilícito de unos bienes o recursos mal habidos. En Colombia esta conducta está penalizada en el artículo 323 del Código Penal, modificado por el artículo 11 de la Ley 1762 de 2015.

Listas vinculantes: Son las listas emitidas por el Consejo de Seguridad de las Naciones Unidas, dentro del Capítulo VII de la Carta de las Naciones Unidas.

Oficial de Cumplimiento: Gestor del riesgo de LA/FT designado por la junta directiva del Operador de Servicios Postales de Pago y que cumple las funciones designadas en el numeral 6.5.3. del artículo 6o, de la presente norma.

Operador de servicios postales: Persona jurídica habilitada por el Ministerio de Tecnologías de la Información y las Comunicaciones que ofrece al público en general servicios postales, a través de una red postal, de acuerdo con lo dispuesto en el numeral 4 del artículo 3o de la Ley 1369 de 2009.

Operador de Servicios Postales de Pago. Persona jurídica, habilitada por el Ministerio de Tecnologías de la Información y las Comunicaciones para prestar servicios postales de pago, y que está sometida a la reglamentación que en materia de lavado de activos disponga la ley y sus decretos reglamentarios, de acuerdo con lo dispuesto en el numeral 4.2 del artículo 3o de la Ley 1369 de 2009.

Operación inusual: Es aquella cuya cuantía o características no guarda relación con la actividad económica ordinaria o normal de una persona natural o jurídica o, que por su número, cantidad o características no se ajusta a las pautas de normalidad establecidas por el Operador de Servicios Postales de Pago, para un sector, una industria o una clase de contraparte.

Operación sospechosa: Es aquella que por su número, cantidad o características no se enmarca en los sistemas y prácticas normales de los negocios, de una industria o de un sector determinado y, además, que de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada. Cuando se detecten esta clase de operaciones, deben ser reportadas de manera inmediata a la UIAF.

Personas Expuestas Políticamente (PEP) Nacionales y Extranjeras: Son las enunciadas en el Decreto 830 de 2021 o en la norma que lo modifique, adicione o sustituya.

Proveedor: Persona natural o jurídica que abastece con artículos o servicios que apoyan al Operador de Servicios Postales de Pago o a la empresa.

Riesgos asociados al LA/FT: Son los riesgos que se generan como consecuencia de la materialización de un evento de LA/FT, estos son: reputacional, legal, operativo y contagio.

Riesgo de contagio: Es la posibilidad de pérdida que un Operador de Servicios Postales de Pago puede sufrir, directa o indirectamente, por una acción u omisión de alguna de las partes vinculadas con este.

Riesgo inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo de Lavado de Activos y de la Financiación del Terrorismo: Es la posibilidad de pérdida o daño que puede sufrir el Operador de Servicios Postales de Pago por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.

Riesgo legal: Es la posibilidad de pérdida en que incurre el Operador de Servicios Postales de Pago al ser sancionado u obligado a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. También como consecuencia de fallas en los contratos con los Colaboradores empresariales y Proveedores que impidan las transacciones de los giros postales, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o su ejecución.

Riesgo operativo: Es la posibilidad de que un Operador de Servicios Postales de Pago incurra en pérdidas o eventual incumplimiento de sus obligaciones por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología informática, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal.

Riesgo reputacional: Es la posibilidad de pérdida en que incurre un Operador de Servicios Postales de Pago por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo residual o neto: Es el nivel resultante del riesgo después de aplicar los controles.

Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).

Señales de alerta o alertas tempranas: Conjunto de indicadores cualitativos y cuantitativos que permiten identificar oportuna y/o prospectivamente comportamientos atípicos de las variables relevantes, previamente determinadas por el Operador de Servicios Postales de Pago.

UIAF: Unidad de Información y Análisis Financiero.

Usuario del Servicio Postal de Pago: Es tanto el remitente del giro que no se encuentra clasificado como cliente del servicio postal de pago, así como el destinatario del giro, que utilizan los servicios de un Operador de Servicio Postal de Pago.

Para todos los efectos, se haga referencia en la presente resolución al usuario, este se entenderá como el usuario del Servicio Postal de Pago aquí definido.

ARTÍCULO 4. ALCANCE DEL SARLAFT. El SARLAFT es el sistema de administración que debe implementar el Operador de Servicios Postales de Pago para gestionar el riesgo de LA/FT, instrumentado a través de las etapas y elementos. Este sistema debe abarcar todas las actividades que realiza el Operador de Servicios Postales de Pago dentro de la cadena de “recepción de dinero - traslado - entrega de dinero”, previendo además procedimientos y metodologías para protegerse de ser utilizadas como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas.

ARTÍCULO 5. ETAPAS DEL SARLAFT. El SARLAFT que implemente el Operador de Servicios Postales de Pago debe contener como mínimo las siguientes etapas: identificación, medición o evaluación, control, y monitoreo.

5.1 Identificación. La identificación del riesgo contempla dos componentes: Identificación y registro de los eventos de riesgo de LA/FT en la matriz de riesgos correspondiente, la definición y aplicación de las metodologías de segmentación.

5.1.1 Definición de los eventos de riesgo y sus respectivas causas. Consiste en el levantamiento de todos los posibles eventos de riesgo de LA/FT inherentes al desarrollo de las actividades asociadas a la prestación de los servicios postales de pago a que está expuesto el Operador de Servicios Postales de Pago, así como identificación de las posibles causas que podrían generar los eventos de riesgo y los factores asociados.

La identificación de los eventos de riesgo de LA/FT se realizará teniendo en cuenta los factores de riesgo y los procesos que se implementen para el desarrollo de las actividades relacionadas con la recepción del dinero, traslado y entrega del mismo.

Igualmente, en esta etapa se debe realizar la identificación y evaluación de los riesgos de lavado de activos o financiación del terrorismo previamente al lanzamiento, uso o modificación de cualquier producto, o nuevas prácticas comerciales, incluyendo nuevos mecanismos de envío, la incursión en un nuevo mercado, la apertura de operaciones en nuevas jurisdicciones, la utilización de nuevas tecnologías y el lanzamiento o modificación de los canales de distribución. El Operador de Servicios Postales de Pago debe tomar medidas apropiadas para manejar y mitigar los riesgos.

5.1.1.1 Procedimientos para la identificación de los riesgos de LA/FT. Para la identificación de los riesgos de LA/FT, se podrán tener en cuenta los siguientes procedimientos:

a) Enumerar los eventos de riesgo: Determinar los eventos de riesgo en torno a cada criterio definido para cada factor. Listar los posibles eventos de riesgo, es decir, los incidentes o acontecimientos derivados de una fuente interna o externa, que puede ser generadora de un riesgo asociado al LA/FT.

b) La lista de eventos de riesgo se debe basar en el análisis interno (experiencia de la industria y de la empresa), utilizando el análisis de tipologías, documentos expedidos por las unidades de análisis financiero, documentos y recomendaciones internacionales, sobre prevención de LA/FT.

c) Determinar las causas: Habiendo identificado una lista de eventos, se deben considerar las causas posibles e identificar las circunstancias que podrían materializar el riesgo.

En esta etapa se tiene como objetivo medir el riesgo inherente del Operador de Servicios Postales de Pago frente a cada evento de riesgo. Al final de esta etapa el Operador de Servicios Postales de Pago debe contar con una matriz de riesgos, la cual será alimentada con el producto de cada una de las etapas.

El Operador de Servicios Postales de Pago debe actualizar la matriz de riesgos LAFT mínimo semestralmente, y dará a conocer el resultado a la Junta Directiva Consejo de Administración o quien haga sus veces. La Junta Directiva deberá aprobar el perfil de riesgos frente a la exposición de Lavado de Activos y financiación del terrorismo.

5.1.2 Segmentación. El Operador de Servicios Postales de Pago deberá establecer metodologías de segmentación que le permita agrupar a los clientes en segmentos, donde los individuos al interior de cada grupo tengan particularidades similares en términos de sus características y operaciones entre ellos y a la vez diferenciadas o heterogéneas en los segmentos. Frente a cada segmento se deben establecer señales de alerta que permitan detectar desviaciones e identificar operaciones inusuales.

5.1.2.1 Procedimientos para la identificación de los riesgos de LA/FT bajo la aplicación de metodologías de segmentación

Por tanto, para identificar y evaluar el riesgo de LA/FT el Operador de Servicios Postales de Pago debe, como mínimo:

a) Establecer metodologías para la segmentación teniendo en cuenta los factores de riesgo de LA/FT.

b) Aplicar la metodología de segmentación y con base en ello, identificar las formas a través de las cuales se puede presentar el riesgo de LA/FT.

c) Definir el perfil de riesgo de cada segmento frente a su nivel de sensibilidad o exposición al riesgo de LA/FT.

d) Establecer las señales de alerta por segmento que permitirán identificar las operaciones inusuales.

5.2 Medición. Concluida la etapa de identificación de los eventos de riesgos y sus respectivas causas, el Operador de Servicios Postales de Pago deberá medir la posibilidad o probabilidad de ocurrencia del LA/FT frente a cada uno de los factores de riesgo, así como el impacto (consecuencias) en caso de materializarse a partir de los riesgos asociados. Las consecuencias y probabilidades se combinan para producir el nivel de riesgo.

5.2.1 Metodologías de medición. Los sujetos obligados deben establecer la metodología y escalas de medición del impacto y de la frecuencia o probabilidad de ocurrencia del riesgo LA/FT. Para ello deberán tener en cuenta que los riesgos de LA/FT pueden generar impactos económicos, reputacionales, legales y de contagio.

5.2.2 Procedimientos para la medición de los riesgos de LA/FT. Para la medición de los riesgos LA/FT el Operador de Servicios Postales de Pago debe como mínimo establecer los siguientes procedimientos:

a) Debe clasificar los riesgos e identificar el impacto y la probabilidad de ocurrencia de los eventos de riesgo.

b) Evaluar los riesgos inherentes de acuerdo con la magnitud del impacto y la probabilidad de ocurrencia según las medidas cualitativas, semi-cualitativas o cuantitativas, de probabilidad e impacto establecidas por cada Operador de Servicios Postales de Pago.

c) Priorizar los riesgos generando una clasificación bajo los criterios de la cualificación o medición del riesgo que permita la administración de los niveles de riesgo.

d) Deberá establecer planes de tratamiento frente a los riesgos que no se tengan controles o que los controles sean insuficientes para mitigar el nivel de exposición al riesgo de LA/FT, de forma que se logre tener una seguridad razonable frente a la gestión de este riesgo.

5.3 Control. El Operador de Servicios Postales de Pago deberá tomar medidas para controlar los riesgos asociados al Lavado de Activos y Financiación del Terrorismo a que se vea expuestos como desarrollo de su actividad, con el fin de mitigarlos.

El Operador de Servicios Postales de Pago deberá contar con actividades de control que le permita prevenir, detectar o mitigar las causas que generan los eventos de riesgo de LA/FT.

Para la definición y aplicación de controles se deberá tener en cuenta que las actividades de control que adopte el Operador de Servicios Postales de Pago, deben cumplir con las siguientes características:

- Son actividades inmersas al proceso, es decir, son actividades que hacen parte de los procesos.

- Son actividades que tienen definido un responsable y periodicidad.

- Implican actividades que representan acciones, tales como: verificar, aprobar, consultar, conciliar, entre otros.

Dichas actividades de control deberán quedar claramente especificadas y evidenciadas en la caracterización de los procesos y en la matriz de riesgos del Operador de Servicios Postales de Pago.

Para la definición de los controles de riesgos de LA/FT, el Operador de Servicios Postales de Pago deberá tener en cuenta los procesos en que haya factores de riesgo de LA/FT.

Parte del control implica contar con señales de alerta que permitan identificar y analizar operaciones inusuales, determinar cuáles corresponden a operaciones sospechosas y su reporte a la UIAF - Unidad Administrativa Especial de Información y Análisis Financiero.

Igualmente, de forma semestral, el Oficial de Cumplimiento con apoyo de los líderes del negocio y/o de los procesos, según corresponda, deberá evaluar la aplicación y efectividad de los controles, y deberá generar un informe de los resultados obtenidos. Dicho informe deberá darse a conocer a la Junta Directiva o Consejo de Administración u órgano equivalente según corresponda, para su respectiva revisión y pronunciamiento; y será puesto a disposición del Ministerio de Tecnologías de la Información y Telecomunicaciones, cuando este lo solicite.

5.4 Monitoreo. El Operador de Servicios Postales de Pago deberá realizar un monitoreo para velar porque las medidas que hayan establecido para mitigar los riesgos de LA/FT sean efectivos.

El monitoreo tiene como objetivo supervisar de forma periódica la exposición al riesgo de LA/FT del Operador de Servicios Postales de Pago, así como el adecuado funcionamiento del SARLAFT frente al cumplimiento de las disposiciones contenidas en la presente resolución y lineamientos internos aprobados por Junta Directiva o su equivalente.

5.4.1 Actividades mínimas. En esta etapa el Operador de Servicios Postales de Pago deberá como mínimo:

a) Hacer seguimiento general al sistema.

b) Desarrollar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias en las etapas del sistema.

c) Permitir el seguimiento de los niveles de exposición al riesgo de LA/FT establecidos por el Operador de Servicios Postales de Pago, según su estructura, características y operaciones.

d) Asegurar que los controles sean comprensivos de todos los riesgos y que estén funcionando en forma oportuna y efectiva.

e) Permitir la elaboración de reportes gerenciales y de monitoreo del riesgo de LA/FT que evalúen los resultados de las estrategias adoptadas.

5.4.2 Monitoreo de los riesgos de LA/FT. Para el monitoreo de los riesgos de LA/FT, se podrán tener en cuenta las siguientes recomendaciones:

a) La principal herramienta del monitoreo o seguimiento es la evaluación de riesgos y controles, con el fin de establecer un enfoque que examine y evalúe la efectividad del Sistema de Administración de Riesgo de LA/FT.

b) El Oficial de Cumplimiento deberá hacer el seguimiento del nivel de exposición al riesgo de LA/FT del Operador de Servicios Postales de Pago y deberá darlo a conocer en sus informes al Consejo de Administración o Junta Directiva según corresponda.

ARTÍCULO 6. ELEMENTOS DEL SARLAFT. <Artículo modificado por el artículo 2 de la Resolución 3 de 2022. El nuevo texto es el siguiente:> El SARLAFT para el Operador de Servicios Postales de Pago deberá contemplar los siguientes elementos:

6.1 Políticas. Son los lineamientos generales que debe adoptar el Operador de Servicios Postales de Pago que permitan el efectivo y oportuno funcionamiento del SARLAFT.

Las políticas deben desarrollar al menos los siguientes aspectos:

a) Objetivos conforme a la administración del riesgo de LA/FT. El cumplimiento de la Ley, la cooperación con las autoridades, la responsabilidad social empresarial, el gobierno corporativo, son algunos de los objetivos de la política de prevención de LA/FT.

b) Cumplimiento del sistema de administración del riesgo de LA/FT.

c) Promoción de la cultura del sistema de administración del riesgo de LA/FT.

d) Reserva de información del SARLAFT (propia, de los clientes, usuarios, colaboradores empresariales, proveedores y reportes).

e) Prevalencia del cumplimiento del SARLAFT al logro de las metas comerciales.

f) Establecer lineamientos para la prevención y resolución de conflictos de interés.

g) Consagrar lineamientos para la aceptación y vinculación de clientes, usuarios y de monitoreo frente a las cuales, por su perfil, estos pueden exponer en mayor grado al Operador de Servicios Postales de Pago al riesgo de LA/FT.

h) Consagrar lineamientos para el conocimiento y la aceptación de las contrapartes al momento de su vinculación, así como lineamientos y mecanismos de monitoreo con los cuales, de acuerdo con su perfil de riesgo, puedan exponer en mayor grado al Operador de Servicios Postales de Pago.

i) Establecer las políticas y lineamientos frente a la identificación, medición, monitoreo y control del riesgo de LA/FT.

j) Establecer lineamientos para el control de operaciones de clientes, usuarios y detección de operaciones inusuales.

k) Establecer lineamientos para el control y monitoreo del cumplimiento del SARLAFT establecido por el Operador de Servicios Postales de Pago, para los colaboradores empresariales.

l) Cumplimiento de obligaciones sobre el SARLAFT, con respecto a los colaboradores empresariales.

m) Establecer métodos suficientes de divulgación y entendimiento de las políticas.

n) Establecer las consecuencias que genera el incumplimiento de las disposiciones y procedimientos del SARLAFT, por parte de los colaboradores o empleados del Operador de Servicios Postales de Pago.

6.2. Procedimientos y mecanismos. El Operador de Servicios Postales de Pago debe establecer los procedimientos y mecanismos aplicables para la adecuada implementación y funcionamiento del SARLAFT, para lo cual debe adoptar, por lo menos, los siguientes:

a) Procedimientos donde se instrumenten las diferentes etapas del SARLAFT.

b) Procedimiento para el conocimiento de clientes, y contrapartes atendiendo la naturaleza de la operación.

c) Mecanismos para el conocimiento del mercado.

d) Mecanismos para el conocimiento de los accionistas y/o socios del Operador de Servicios Postales de Pago.

e) Procedimientos y mecanismos para la detección y análisis de operaciones inusuales.

f) Procedimientos y mecanismos para la detección y análisis de operaciones sospechosas.

g) Procedimiento para el reporte de operaciones sospechosas a la UIAF.

h) Procedimiento de atención de requerimientos de información por parte de autoridades competentes.

i) Procedimiento para dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia, de conformidad con el derecho internacional y disponer lo necesario para que puedan consultar dichas listas de manera previa y obligatoria a la vinculación de clientes, usuarios y contrapartes.

j) Procedimientos más estrictos para la iniciación y seguimiento a las relaciones comerciales y operaciones con clientes y usuarios de países donde no se aplican las Recomendaciones del GAFI.

k) Procedimiento para dar cumplimiento a las obligaciones relacionadas con las consultas en listas vinculantes para Colombia de carácter obligatorio y listas no vinculantes que designe la entidad para complementar el conocimiento del cliente y los usuarios.

l) Procedimiento para establecer al interior del grupo responsable del SARLAFT, en el Operador Postal de Pago, un punto de contacto con la Policía Nacional.

m) Consagrar las sanciones por incumplimiento a las normas relacionadas con el SARLAFT, así como los procesos para su imposición.

6.2.1 Conocimiento del cliente. El conocimiento del cliente con el que realiza algunas de sus actividades, constituye una herramienta importante y efectiva para no ser utilizados para el lavado de activos y la financiación del terrorismo, es por esto que dicho mecanismo debe permitir:

a) Conocer la identidad del cliente: Supone el conocimiento y verificación de los datos solicitados que permitan individualizar plenamente la persona natural o jurídica que se pretende vincular.

b) El conocimiento de la actividad económica del cliente.

c) Dar cumplimiento a lo contemplado en la Ley 1581 de 2012, sobre tratamiento de datos personales y demás normas que las modifiquen, complementen, o sustituyan.

6.2.2 Metodologías para el conocimiento del cliente que deben implementar los Operadores de Servicios Postales de Pago. Las metodologías para conocer al cliente deben permitir a los Operadores de Servicios Postales de Pago cuando menos:

a) Monitorear mensualmente, las operaciones de los clientes.

b) Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos clientes y determinar la existencia de operaciones sospechosas.

c) Para estos efectos, el Operador de Servicios Postales de Pago debe diseñar y adoptar formularios de vinculación que contengan cuando menos la información que más adelante se indica. Para las vinculaciones presenciales se debe capturar la firma y la huella del cliente. Para vinculaciones en mecanismos digitales los operadores deberán adoptar mecanismos efectivos de identificación de la identidad del tercero.

d) Para la vinculación de los clientes según la naturaleza de la operación, el Operador de Servicios Postales de Pago en nombre propio o a través de sus Colaboradores Empresariales exigirá los requisitos para su identificación, para el caso de la imposición del giro, los cuales deben quedar registrados en el formulario respectivo, cuando menos serán los siguientes:

PN: Vinculación de persona natural

PJ: Vinculación de persona jurídica

El Operador de Servicios Postales de Pago podrá solicitar los documentos soporte adicionales que estime pertinente para el idóneo conocimiento del Cliente.

Los formularios de admisión de giros podrán ser capturados y diligenciados de forma física y/o electrónica.

Verificación. En el desarrollo de los procedimientos de conocimiento del cliente, el Operador de Servicios Postales de Pago debe contemplar la verificación efectiva de la identidad del cliente al momento de su vinculación y la prestación del servicio, utilizando datos e información de fuentes confiables e independientes.

Cuando se realice operaciones de giro a través de canales físicos o electrónicos, se debe verificar como mínimo: el tipo de documento de identificación, el nombre, el número y la fecha de expedición del documento de identificación. El Operador de Servicios Postales de Pago deberá adoptar mecanismos efectivos de verificación de la identidad tanto del remitente como del destinatario, para lo cual podrán utilizar: (i) certificados de firma digital, de acuerdo con lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios, o en las normas que la modifiquen, deroguen o subroguen; (ii) biometría, (iii) cruce de información con la Registraduría Nacional del Estado Civil, u otro mecanismo que consideren idóneo para asegurar la adecuada verificación de la identidad del cliente.

6.2.2.1 Pruebas de admisión. Adicional a la información solicitada en el numeral 6.2.2., se debe registrar la información que sea requerida por las demás normas aplicables para los operadores postales de pago.

Los formularios de admisión de giros podrán ser capturados y diligenciados de forma física y/o electrónica, siempre y cuando se garantice como mínimo la custodia y disponibilidad de estos ante la solicitud de una autoridad competente, como mínimo por un término de tres (3) años, contados a partir de la imposición o pago del giro. Vencido el plazo anterior los formularios físicos de admisión de giros podrán ser destruidos, siempre que por cualquier medio digital adecuado se garantice su reproducción exacta.

6.2.2.2 Identificación de los niveles de riesgo. Una vez llevada a cabo la segmentación de los factores de riesgo, el Operador de Servicios Postales de Pago estará en la facultad de establecer el nivel de riesgo, el cual permitirá:

a) Conocer el potencial cliente y poder definir su nivel de riesgo de LA/FT.

b) Detectar las apariencias engañosas de un cliente.

c) Recolectar la información suficiente para elaborar un perfil del cliente y de sus transacciones, de tal forma que el funcionario responsable designado por el Operador de Servicios Postales de Pago pueda identificar su comportamiento transaccional habitual.

6.2.3 Medidas intensificadas para las personas expuestas políticamente (PEP). <Numeral modificado por el artículo 2  de la Resolución 2296 de 2022. El nuevo texto es el siguiente:> El Operador de Servicios Postales de Pago deberá incluir procedimientos especiales frente al conocimiento de los clientes, usuarios, y beneficiarios finales declarados como Persona Expuesta Políticamente (PEP), para lo cual deberá tener en cuenta los siguientes lineamientos:

a) Contar con sistemas de información apropiados de gestión de riesgo para determinar si el cliente, usuario o beneficiario final es una Persona Expuesta Políticamente (PEP).

b) Incluir procedimientos de debida diligencia intensificada en el proceso de vinculación y monitoreo de una PEP que permitan conocer mejor el perfil de esta y el origen de los fondos.

c) Incluir un procedimiento, donde la Persona Expuesta Políticamente (PEP) debe contar con la aprobación de la alta gerencia para su respectiva vinculación.

Lo anterior, sin perjuicio de la reglamentación que expida el Gobierno nacional sobre la materia.

6.2.4 Conocimiento del usuario. El conocimiento del Usuario es un mecanismo de identificación de la persona que hace uso de los servicios del Operador de Servicios Postales de Pago, lo cual constituye una herramienta importante y efectiva para no ser utilizado para el Lavado de Activos y la Financiación del Terrorismo. Es por esto que dicho mecanismo debe permitir conocer la identidad del usuario, lo cual supone el conocimiento de los datos solicitados que permitan individualizar plenamente la persona natural que pretende hacer uso de los servicios.

6.2.4.1 Metodología para conocimiento de los usuarios. Las metodologías para conocer al usuario deben permitir al Operador de Servicios Postales de Pago como mínimo:

a) Monitorear continuamente las operaciones de los usuarios.

b) Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos usuarios y determinar la existencia de operaciones sospechosas.

c) Para operaciones internacionales, la información requerida debe ser completamente rastreable en el país del beneficiario.

6.2.4.2 Formulario de conocimiento del usuario. El Operador de Servicios Postales de Pago y sus Colaboradores Empresariales deben diseñar y adoptar formularios de conocimiento, que contengan como mínimo la siguiente información:

a) Nombre y número del documento de identificación del usuario.

b) Nombre, número y fecha de expedición del documento de identificación del usuario.

c) Dirección y Código Postal.

d) Monto del giro postal.

e) Ciudad de origen y ciudad de destino

f) Teléfono fijo y/o Móvil.

g) Actividad económica del usuario

h) Mecanismo físico o digital de verificación de identidad (firma, huella, autenticación digital, biometría del usuario, entre otros)

i) Fecha de la operación.

Verificación. En el desarrollo de los procedimientos de conocimiento del usuario, el Operador de Servicios Postales de Pago debe contemplar la verificación efectiva de la identidad del usuario al momento de su vinculación y la prestación del servicio, utilizando datos e información de fuentes confiables e independientes.

Cuando se realice operaciones de giro a través de canales físicos o electrónicos, se debe verificar como mínimo: el tipo de documento de identificación, el nombre, el número y la fecha de expedición del documento de identificación. El Operador de Servicios Postales de Pago deberá adoptar mecanismos efectivos de verificación de la identidad del usuario, para lo cual podrán utilizar: (i) certificados de firma digital, de acuerdo con lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios, o en las normas que la modifiquen, deroguen o subroguen; (ii) biometría, (iii) cruce de información con la Registraduría Nacional del Estado Civil, u otro mecanismo que consideren idóneo para asegurar la adecuada verificación de la identidad del usuario.

Los formularios de entrega de giros postales podrán ser capturados y diligenciados de forma física y/o electrónica, siempre y cuando se garantice como mínimo la custodia y disponibilidad de estos, ante la solicitud de una autoridad competente, por un término mínimo de tres (3) años. Vencido el plazo anterior, estos documentos podrán ser destruidos, siempre que por cualquier medio digital adecuado se garantice su reproducción exacta.

Si producto del monitoreo de operaciones de los usuarios, el Operador de Servicios Postales de Pago identifica un patrón de inhabitualidad en alguno de ellos, estará en la facultad de solicitar la información adicional que estime pertinente, para el análisis de vulnerabilidad frente al riesgo de LA/FT.

6.2.5 Conocimiento del Colaborador Empresarial. El conocimiento del Colaborador Empresarial constituye una herramienta importante y efectiva para que el Operador de Servicios Postales de Pago no sea utilizado para el lavado de activos y la financiación del terrorismo. Es por esto que dicho mecanismo debe permitir:

a) Conocer al Colaborador Empresarial en el que se apoye el Operador de Servicios Postales de Pago, para llevar a cabo la operación de giros postales.

b) Garantizar el cumplimiento de las responsabilidades asignadas por el Operador de Servicios Postales de Pago en materia de SARLAFT.

c) Se deberán aplicar los mismos mecanismos de conocimiento de clientes.

6.2.5.1 Metodologías para el conocimiento de los colaboradores empresariales. Las metodologías para conocer a los colaboradores empresariales deben permitir al Operador de Servicios Postales de Pago como mínimo:

a) Monitorear continuamente el cumplimiento de las obligaciones de los colaboradores empresariales, como responsabilidad propia del Operador de Servicios Postales de Pago.

b) Para estos efectos, el Operador de Servicios Postales de Pago debe diseñar y adoptar formularios de vinculación de Colaboradores Empresariales, con al menos la información que más adelante se indica. La firma y la huella dactilar del representante del Colaborador Empresarial deben quedar plasmadas en el formulario.

c) Para la vinculación de los colaboradores empresariales, según la naturaleza de la operación, el Operador de Servicios Postales de Pago exigirá los requisitos para su identificación, los cuales deben ser cuando menos los siguientes:

PN: Vinculación de persona natural

PJ: Vinculación de persona jurídica

El Operador de Servicios Postales de Pago podrá solicitar el adjunto de los documentos que estime pertinente para un idóneo conocimiento del Colaborador empresarial, entre ellos, el Registro Único Tributario y el Certificado de Existencia y Representación Legal expedido por la Cámara de Comercio.

6.2.6 Conocimiento del mercado. El Operador de Servicios Postales de Pago deberá conocer el rango de mercado dentro el cual se vincula, inscribe y se registra cada cliente de acuerdo con la naturaleza, características, volumen o frecuencia de sus operaciones, nivel de riesgo, clase de servicio, origen o destino de las operaciones de giro, o cualquier otro criterio similar, conforme las políticas comerciales de clasificación adoptadas por la empresa.

6.2.7 Jurisdicciones - Países de mayor riesgo. El Operador de Servicios Postales de Pago deberá aplicar medidas de mayor debida diligencia a los clientes y usuarios, que realizan transacciones o posean bienes en los países y/o jurisdicciones de mayor riesgo.

Entre otras medidas intensificadas que el Operador de Servicios Postales de Pago debe adoptar con el fin de mitigar los riesgos asociados a países y/o jurisdicciones de mayor riesgo, como mínimo, debe estar en capacidad de aplicar las siguientes:

a) Aplicar políticas, lineamientos, mecanismos definidos y aprobados por Junta Directiva frente a la debida diligencia del análisis de los clientes y usuarios.

b) Realizar una debida diligencia ampliada.

c) No delegar en terceros ubicados en los países listados como de mayor riesgo por GAFI, para llevar a cabo elementos del proceso de “Debida Diligencia del Cliente”. Aunado al deber del Operador de Servicios Postales de Pago de monitorear permanentemente los listados de los países y/o jurisdicciones de mayor riesgo del GAFI, publicados en su página de internet.

6.2.8 Detección y análisis de operaciones inusuales. El SARLAFT debe permitir al Operador de Servicios Postales de Pago establecer cuándo una operación se considera como inusual.

Para ello, debe contar con metodologías para la oportuna detección de las operaciones inusuales, entendidas estas como aquellas transacciones que cumplen, como mínimo, con las siguientes características:

a) Operaciones cuya cuantía y/o característica no guarden relación con la actividad económica y que se sale de los parámetros de normalidad establecidos y amerita ser analizada con mayor profundidad.

b) Presencia de señales de alerta adoptadas por el Operador de Servicios Postales de Pago.

c) Presencia de posibles tipologías de operaciones de LA/FT, definidas por documentos nacionales o internacionales.

d) Que el cliente figure en alguna lista de control adoptada por el Operador de Servicios Postales de Pago.

e) Operaciones realizadas con jurisdicciones listadas por el GAFI como no cooperantes.

f) Dejar constancia de la operación detectada y del responsable o responsables de su análisis y resultados.

g) A través de la segmentación y del conocimiento del mercado, se podrán determinar características usuales de las operaciones y compararlas con aquellas que realicen los clientes y/o usuarios, a efectos de detectar operaciones inusuales.

h) Si se detecta una operación inusual, el funcionario que la detectó deberá generar el respectivo reporte al Oficial de Cumplimiento, con la documentación soporte para llevar a cabo el análisis tendiente a establecer si se trata de una operación sospechosa susceptible de reporte a la autoridad competente.

6.2.9 Detección y análisis de operaciones sospechosas. Corresponde al Oficial de Cumplimiento la determinación de las operaciones y su respectivo Reporte de Operación Sospechosa (ROS) a la UIAF según los siguientes criterios:

a) La confrontación de las operaciones detectadas como inusuales con la información acerca de los clientes y la segmentación del mercado, debe permitir, conforme a los análisis y verificaciones efectuadas por el Oficial de Cumplimiento, identificar si una operación es o no sospechosa y reportarla de forma oportuna y efectiva a la autoridad competente.

b) El Oficial de Cumplimiento procede a establecer si la operación objeto de análisis debe ser o no reportada como sospechosa.

c) Para efectos del Reporte de Operación Sospechosa (ROS), no se requiere que el Operador de Servicios Postales de Pago tenga certeza de que se trata de una actividad ilícita.

6.3 Instrumentos. Para que los procedimientos y mecanismos adoptados por las empresas operen de manera efectiva y oportuna, el Operador de Servicios Postales de Pago debe implementar al menos los siguientes instrumentos:

a) Señales de Alerta. Son aquellas situaciones que muestran los comportamientos atípicos de los clientes y usuarios, ayudan a identificar o detectar conductas, actividades, métodos o situaciones que pueden encubrir operaciones de LA/FT. Estas señales no serán un motivo para calificar a una persona como ejecutora de una acción ilícita, sino que serán una alerta para proceder a verificar, con mayores elementos e indagaciones, las explicaciones acerca de las operaciones.

b) Segmentación por factores de riesgo y perfilamiento del riesgo. El Operador de Servicios Postales de Pago deberá aplicar las metodologías de segmentación que incorporen los factores de riesgo de LA/FT (clientes, productos, canales y jurisdicciones), con el objetivo de contar con un modelo que permita segmentar a los clientes y usuarios y calificarlos de acuerdo con su perfil de riesgo.

Para los perfiles de riesgos considerados con de alta exposición al riesgo, se deberán establecer políticas y procedimientos de mayor debida diligencia, tanto en la vinculación como en el monitoreo.

El Operador de Servicios Postales de Pago para aplicar la segmentación deberá adoptar modelos estadísticos o criterios expertos con supuestos robustos que le permita llevar a cabo de forma adecuada este proceso.

Para realizar la segmentación por factores de riesgo, se deberán tener en cuenta las siguientes variables por factor de riesgo:

- Clientes. Corresponderán, como mínimo, a la actividad económica, volumen o frecuencia de sus operaciones y nacionalidad.

El tipo de actividad económica que desarrolla el cliente es un factor de suma importancia en la evaluación de su perfil de riesgo, dado que determinadas actividades están más expuestas a LA/FT que otras. Por tanto, frente a los clientes que ejercen actividades de alto riesgo de LA/FT, el Operador de Servicios Postales de Pago deberá realizar una mayor debida diligencia en el conocimiento del remitente y del destinatario.

El Operador de Servicios Postales de Pago, basándose en los resultados obtenidos de la segmentación por actividad económica y demás variables que haya adoptado, deberá definir escalas de nivel de riesgo y deberá asignar a cada segmento el nivel de riesgo que le corresponde.

- Producto. Corresponderá a los servicios que presta el Operador de Servicios Postales de Pago, clasificando este en variables tales como: naturaleza, características y nicho de mercado o destinatarios.

Para cada segmento de productos que se defina, se deberá precisar el nivel de riesgo que le corresponde según la exposición al riesgo de este a eventos de LA/FT.

- Canales de distribución. Naturaleza y características.

Para cada segmento que se defina de canales de distribución, se deberá precisar el nivel de riesgo que le corresponde según la exposición al riesgo de este a eventos de LA/FT.

- Jurisdicciones. Ubicación, características y naturaleza de las transacciones.

Para el caso específico de jurisdicciones es claro que hay zonas geográficas en Colombia y a nivel internacional que están más expuestas a actividades de LA/FT que otras, por eso es necesario realizar la segmentación de las jurisdicciones y hacer una mayor debida diligencia del conocimiento de los clientes, en las zonas que se identifiquen como de mayor riesgo.

Para realizar la segmentación por jurisdicciones, podrá tener en cuenta estudios realizados por la UIAF, publicaciones de la Policía Nacional, entre otros.

Finalmente, se debe asignar a cada cliente un nivel de riesgo o perfilamiento, para lo cual, es necesario tener en cuenta la agregación de los factores de riesgo, dado que se conocen las características de cada cliente, frente a su actividad económica y algunas variables sociodemográficas, jurisdicción donde se encuentra ubicado, productos y canales que utiliza, conociendo previamente la segmentación por factores y nivel de riesgo, se asigna un perfil de riesgo al cliente. De acuerdo con el perfil de riesgo se define la debida diligencia a realizar para el conocimiento y monitoreo del cliente.

Se entenderá que la segmentación y perfilamiento de riesgo aplica para el cliente que corresponde al remitente y aplica también para el beneficiario final que se entiende es el destinatario del giro.

- Para cada segmento de clientes se deberá definir el perfil transaccional, es decir, los montos, frecuencia de uso del servicio, volumen transado, entre otros, bajo un patrón normal de comportamiento del segmento, de forma que si un individuo se sale de su patrón normal de comportamiento transaccional frente al segmento que pertenece se genere una alerta transaccional, que implique la detección de una operación inusual.

- La segmentación de factores de riesgo es un proceso permanente que permite definir grupos de acuerdo con las características particulares de cada uno de ellos, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos.

- La segmentación debe dar como resultado el perfilamiento de los clientes. Para los perfiles de mayor riesgo, debe haber mayor debida diligencia, tanto en la vinculación como en el monitoreo.

6.3.1 Seguimiento y Consolidación de Operaciones. El Operador de Servicios Postales de Pago deberá llevar a cabo actividades que le permita monitorear permanentemente las operaciones realizadas por los clientes y usuarios. Así mismo, y con el fin de mantener un conocimiento sobre todas las operaciones transadas por un mismo cliente durante un periodo de tiempo establecido, de modo que puedan observarse patrones de comportamiento inusual, la empresa deberá consolidar por lo menos en forma mensual las operaciones por cada uno de los factores de riesgo.

6.3.2 Matriz de riesgos. El Operador de Servicios Postales de Pago debe contar con una matriz de riesgos para la aplicación e implementación de las etapas del SARLAFT. La matriz de riesgos que diseñe e implemente debe contemplar las siguientes características, como mínimo, sin perjuicio de cualquier otra que considere necesario incorporar:

a) Los riesgos inherentes identificados, junto con sus respectivas causas

b) Valoración del riesgo inherente en términos de impacto y frecuencia o probabilidad de ocurrencia.

c) La relación existente entre los riesgos identificados y cada uno de los factores de riesgo en los que se podrían materializar los mismos.

d) La relación existente entre los riesgos identificados y cada uno de los riesgos asociados.

e) Los controles que mitigan cada uno de los riesgos identificados, junto con las variables consideradas para la medición de su efectividad.

f) Estimación del riesgo residual.

g) Indicadores que permiten monitoreo del perfil de riesgo de LA/FT.

6.4 Documentación. La documentación relacionada con el SARLAFT deberá cumplir con los siguientes requisitos:

a) Contar con un respaldo físico y/o magnético.

b) Contar con requisitos de seguridad, de forma tal que se permita su consulta, solo por funcionarios autorizados.

c) Manual de procedimientos del SARLAFT.

d) Los documentos y registros que evidencien la operación efectiva del SARLAFT.

e) Los informes que la Junta Directiva, Consejo de Administración u Órgano equivalente, el Representante Legal, el Oficial de Cumplimiento y los Órganos de Control, deben elaborar en los términos de la presente resolución.

f) Los soportes de la operación se deben organizar y conservar como mínimo por cinco (5) años, vencido este lapso, podrán ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.

6.5 Estructura administrativa. El Operador de Servicios Postales de Pago deberá definir claramente en su estructura organizacional los niveles de responsabilidad de las personas o funcionarios encargados de las funciones relacionadas con la administración del riesgo LA/FT, precisando su alcance y límites.

En todo caso, deberá dar cumplimiento a las disposiciones que a continuación se establecen:

6.5.1 Junta Directiva, Consejo de Administración u órgano equivalente.

a) Establecer las políticas en materia de LA/FT.

b) Aprobar el SARLAFT que implementará el Operador de Servicios Postales de Pago, lo cual debe constar en la respectiva acta de Junta Directiva, Consejo de Administración u Órgano equivalente.

c) Aprobar los lineamientos que en materia de ética deben observarse en relación con el SARLAFT.

d) Pronunciarse respecto de cada uno de los aspectos que contengan los informes que elabore el Representante Legal o el Oficial de Cumplimiento, respecto de la administración del riesgo de Lavado de Activos y la Financiación del Terrorismo, así como sobre los informes que elaboren los Órganos de Control.

e) Proveer los recursos necesarios para la adecuada administración del riesgo.

f) Designar al Oficial de Cumplimiento.

g) Aprobar el procedimiento para la vinculación de los canales (Colaboradores empresariales) en los que se apoye el Operador de Servicios Postales de Pago para la prestación del servicio.

h) Realizar el seguimiento a los informes presentados por el oficial del cumplimiento del operador postal de pago respecto del SARLAFT y del cumplimiento al mismo, de las obligaciones por parte de los Colaboradores Empresariales.

i) Verificar el correcto funcionamiento de los Colaboradores Empresariales en términos de riesgo de lavado de activos y financiación del terrorismo, de acuerdo con el informe mensual que presente el representante legal a su consideración.

6.5.2. Representante Legal. Sin perjuicio de las funciones asignadas en otras disposiciones, el Representante Legal del Operador de Servicios Postales de Pago tendrá, como mínimo las siguientes funciones:

a) Diseñar y someter a aprobación de la Junta Directiva, Consejo de Administración u Órgano equivalente, los procedimientos para la administración del riesgo de LA/FT.

b) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva, el Consejo de Administración u Órgano equivalente para la administración del riesgo de LA/FT y presentar los informes periódicos sobre el mismo.

c) Velar porque las etapas y elementos del SARLAFT cumplan, como mínimo, con las disposiciones señaladas en la presente resolución.

d) Velar porque se dé cumplimiento a los lineamientos establecidos en el código de ética del Operador de Servicios Postales de Pago, en materia de conflictos de interés que tengan relación con el riesgo de LA/FT.

e) Velar por que las bases de datos y la plataforma tecnológica cumplan con los estándares mínimos establecidos en la presente resolución.

f) Efectuar las gestiones necesarias para proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el SARLAFT.

6.5.3. Oficial de Cumplimiento. El Operador de Servicios Postales de Pago deberá designar el Oficial de Cumplimiento, esta persona podrá tener a su cargo la gestión de otros riesgos igualmente, pero para efectos del SARLAFT deberá demostrar que ha tenido capacitación específica en prevención y control al lavado de activos y financiamiento del terrorismo o en gestión de riesgos integrales que contemplen esta materia de como mínimo noventa (90) horas certificables en una Institución de Educación Superior debidamente registrada en el Ministerio de Educación Nacional.

El Oficial de Cumplimiento deberá ser un empleado interno contratado directamente por el Operador de Servicios Postales de Pago. Designado por la Junta Directiva, Consejo de Administración u órgano que haga sus veces, según corresponda. El cargo de Oficial de Cumplimiento al igual que el cumplimiento de sus funciones no se podrá tercerizar.

El Oficial de Cumplimiento reportará directamente a la Junta Directiva, Consejo Administración u órgano que haga sus veces según corresponda, asumiendo independencia frente a las demás áreas de la organización. Dentro de la estructura organizacional deberá ser un cargo de primer nivel (Director, Gerente o su equivalente).

Sin perjuicio de las funciones y responsabilidades adicionales que el Operador de Servicios Postales de Pago asigne al Oficial de Cumplimiento, dicho funcionario tendrá al menos las siguientes funciones y responsabilidades con respecto al SARLAFT:

a) Definir los instrumentos, metodologías y procedimientos tendientes a que el Operador de Servicios Postales de Pago administre efectivamente el riesgo de LA/FT, en concordancia con los lineamientos, etapas y elementos mínimos previstos en esta Resolución y someterlo a aprobación de junta Directiva.

b) Desarrollar e implementar el sistema de reportes del riesgo de LA/FT.

c) Realizar el seguimiento permanente de los instrumentos, metodologías y procedimientos relacionados con el SARLAFT y proponer sus correspondientes actualizaciones y modificaciones.

d) Desarrollar los programas de capacitación relacionados con el SARLAFT.

e) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad.

f) Reportar periódicamente al Representante Legal y a la Junta Directiva, Consejo de Administración u Órgano equivalente, la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos de la presente resolución.

g) Evaluar los informes de auditoría interna y revisoría fiscal y diseñar las medidas para afrontar las deficiencias identificadas en los mismos, respecto a las medidas de control de los riesgos de LA/FT.

h) Reportar operación sospechosa a la UIAF, según lo previsto en la Ley 526 de 1999.

i) Presentar a la Junta Directiva los informes relacionados con el cumplimiento de las obligaciones respecto del SARLAFT por parte de los Colaboradores Empresariales.

6.5.4. Órganos de Control Interno. El Operador de Servicios Postales de Pago debe establecer instancias responsables de efectuar una evaluación de la forma como se está administrando el riesgo de LA/FT. Dichas instancias informarán, de forma oportuna, los resultados a los órganos de control.

En ejercicio de sus funciones, la Revisoría Fiscal, deberá evaluar, como mínimo de forma semestral, el cumplimiento de todas y cada una de las etapas y elementos del Sistema de Administración del Riesgo de LA/FT descritas en las disposiciones normativas aplicables, con el fin de determinar las deficiencias y el origen de estas.

Dicho informe deberá remitirse a la Junta Directiva, Consejo de Administración u órgano equivalente, en el que se reporten las conclusiones obtenidas acerca del proceso de evaluación del cumplimiento de las disposiciones establecidas para la administración de este riesgo.

6.6 Requerimientos de plataforma tecnológica de información. Sin perjuicio de los requisitos mínimos de tipo operativo que defina el Ministerio de Tecnologías de la Información y las Comunicaciones en ejercicio de sus funciones reglamentarias, el Operador de Servicios Postales de Pago deberá contar con aplicaciones y desarrollos tecnológicos que permita, al menos, las siguientes funciones mínimas:

a) Consulta de listas, según los requerimientos del Operador de Servicios Postales de Pago y la legislación que le sea aplicable.

b) Consolidación electrónica de operaciones.

c) Reporte de operaciones inusuales y sospechosas.

d) Señales de alerta automáticas

e) Seguimiento automático sobre las operaciones de servicio postal de pago mediante el reporte de informes producto de consultas efectuadas con base en criterios definidos como acumulaciones por canal, operaciones por monto, operaciones por zona geográfica o región, entre otros.

f) El desarrollo tecnológico debe facilitar la debida identificación de los clientes y usuarios y la actualización de sus datos.

g) Adicionalmente, el Operador de Servicios Postales de Pago para soportar el proceso de administración del riesgo de LA/FT, debe contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño.

h) Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo.

i) Consolidar las operaciones de los distintos factores de riesgo de acuerdo con los criterios establecidos por la empresa.

6.7 Divulgación de la información y reportes externos e internos. El Operador de Servicios Postales de Pago debe diseñar un sistema efectivo y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y sea soporte para atender los requerimientos de las autoridades competentes.

El Operador de Servicios Postales de Pago debe incluir al menos los siguientes reportes en implementación del SARLAFT:

6.7.1 Reportes Internos. Los reportes internos son de uso exclusivo de la empresa y corresponden a los reportes de operaciones inusuales al igual que los reportes que el Oficial de Cumplimiento presenta a la Junta Directiva donde da a conocer el nivel de exposición al riesgo, evaluación de efectividad de controles, y gestión del Operador para fortalecer y mantener una adecuada implementación del SARLAFT, entre otros.

6.7.2 Reportes Externos. Los reportes externos deben ser enviados a la UIAF y/o a las demás autoridades competentes.

a) Reporte de operaciones sospechosas (ROS). Corresponde al Operador de Servicios Postales de Pago reportar a la UIAF en forma inmediata las operaciones que se determinen como sospechosas, de acuerdo con los parámetros establecidos por la Unidad de Información y Análisis Financiero (UIAF).

b) Reporte de transacciones en efectivo. Corresponde al Operador de Servicios Postales de Pago reportar a la UIAF todas las transacciones que en desarrollo del giro ordinario de sus negocios realice y que involucren pagos mediante entrega o recibo de dinero en efectivo de billetes y monedas de denominación nacional, según los parámetros establecidos por la Unidad de Información y Análisis Financiero (UIAF).

c) Reporte de Operaciones Intentadas. Los sujetos obligados deberán reportar las operaciones intentadas o rechazadas que contengan características que les otorguen el carácter de sospechosas. Los reportes sobre operaciones sospechosas deben ajustarse a los criterios objetivos establecidos por el Operador de Servicios Postales de Pago.

6.7.3 Reporte externo al Ministerio. El reporte semestral de evaluación del SARLAFT realizado por el revisor fiscal, deberá ser remitido al Ministerio de Tecnologías de la Información y Comunicaciones en el formato y mecanismo de transmisión definido por esta entidad. Dicho informe deberá estar firmado por el Revisor fiscal o por el equivalente.

6.8 Capacitación. El Operador de Servicios Postales de Pago debe diseñar, programar y coordinar planes de capacitación sobre el SARLAFT dirigidos a todas las áreas y funcionarios del Operador de Servicios Postales de Pago. Los objetivos son:

a) Establecer un programa anual de capacitación sobre el Sistema de Administración del Riesgo de LA/FT, el cual genere conciencia e informe sobre las obligaciones y responsabilidades que se derivan del Sistema para los empleados del Operador de Servicios Postales de Pago y de sus colaboradores empresariales, y dar herramientas eficaces para su cumplimiento, con una periodicidad anual.

b) La comunicación interna y externa eficaz es importante para asegurar que los responsables de implementar la gestión de riesgo de LA/FT comprendan su responsabilidad.

c) La información se necesita en todos los niveles de la organización para identificar, evaluar y responder a los riesgos de LA/FT.

d) El principal instrumento de comunicación del Sistema de Administración del Riesgo de LA/FT al interior de la empresa es el plan de capacitación, por lo cual, este es un elemento fundamental dentro del SARLAFT.

Como parte de los programas de capacitación a que hace referencia el presente numeral, el Oficial de Cumplimiento deberá determinar los funcionarios del Operador de Servicios Postales de Pago que deberán tomar obligatoriamente el curso de capacitación correspondiente al módulo general ofrecido a través de la página de internet de la Unidad de Información y Análisis Financiero (UIAF), en la medida en que este servicio se encuentre disponible al público.

El Ministerio de Tecnologías de la Información y las Comunicaciones, con fundamento en tratados internacionales ratificados, resoluciones del Consejo de Seguridad de las Naciones Unidas vinculantes, estándares del GAFI, leyes, decretos y actos administrativos en materia de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva, en desarrollo de los procesos de supervisión basado en riesgo, ofrecerá orientación de manera periódica, física y/o virtual al Operador de Servicios Postales de Pago, con el fin de apoyarlo en la aplicación del marco normativo y la implementación del SARLAFT, para lo cual el Operador de Servicios Postales de Pago podrá dirigir sus inquietudes a la Subdirección de Asuntos Postales del Ministerio de Tecnologías de la Información y las Comunicaciones.

Adicionalmente, el Operador de Servicios Postales de Pago podrá apoyarse en guías y/o manuales de gestión del riesgo de Lavado de Activos y Financiación del Terrorismo, guías de buenas prácticas y tipologías del GAFI y GAFILAT, cursos virtuales y cualquier otra directiva o fuente de información emitida por autoridad competente en la materia

ARTÍCULO 7. PROCEDIMIENTOS PARA LAS SANCIONES DE EVENTUALES INCUMPLIMIENTOS DEL SARLAFT. El Operador de Servicios Postales de Pago debe exigir a sus empleados y a los de los terceros en los cuales se apoye, llevar a cabo los controles, mecanismos, instrumentos y procedimientos contenidos en el SARLAFT, para evitar ser utilizado directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos para ser utilizados por organizaciones al margen de la Ley.

El Operador de Servicios Postales de Pago deberá contemplar las sanciones que se derivan para sus empleados del incumplimiento del SARLAFT. Así mismo, deberá exigirles a los canales en los cuales se apoyen para la prestación del servicio postal de pago, que contemplen en sus propios reglamentos internos, sanciones a sus empleados por el incumplimiento de los controles, mecanismos, instrumentos y procedimientos establecidos para mitigar el riesgo de LA/FT.

ARTÍCULO 8. SANCIONES DIRIGIDAS (TERRORISMO, FINANCIAMIENTO DEL TERRORISMO Y PROLIFERACIÓN). Para garantizar el cumplimiento de las obligaciones internacionales de Colombia relativas a la aplicación de disposiciones sobre congelamiento y prohibición de manejo de fondos u otros activos de personas y entidades designadas por el Consejo de Seguridad de las Naciones Unidas, asociadas a Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva, en consonancia con el Artículo 20 de la Ley 1121 de 2006 y las recomendaciones 6 y 7 del Grupo de Acción Financiera Internacional (GAFI), los sujetos obligados a la aplicación del sistema de administración de riesgos LA/CFT deberán hacer seguimiento y monitoreo permanentemente a las Resoluciones 1267 de 1999, 1988 de 2011, 1373 de 2001, 1718 y 1737 de 2006 y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas y a todas aquellas que les sucedan, relacionen y complementen.

En el evento de encontrar cualquier bien, activo, producto, fondo o derecho de titularidad a nombre, administración o control de cualquier país, persona y/o entidad designada por estas Resoluciones, el Oficial de Cumplimiento o funcionario responsable, de manera inmediata, deberá reportarlo a la UIAF y ponerlo en conocimiento del Vicefiscal General de la Nación, a través de los canales electrónicos seguros que determinen estas entidades, guardando la respectiva reserva legal.

ARTÍCULO 9. FIJACIÓN DE MONTOS DE OPERACIÓN. <Artículo modificado por el artículo 3 de la Resolución 3 de 2022. El nuevo texto es el siguiente:> La Subdirección de Asuntos Postales del Ministerio de Tecnologías de la Información y las Comunicaciones, mediante resolución que publicará a más tardar el último día hábil del tercer trimestre del año, establecerá el monto de operación del servicio postal de pago que se aplicará a partir del primer día hábil del año siguiente. Lo anterior, sin perjuicio de que el Ministerio en dicha resolución pueda establecer otra fecha para la aplicación del monto de operación del servicio postal de pago, atendiendo al tiempo que se requiera para la implementación por parte de los operadores, de lo definido en la presente resolución.

ARTÍCULO 10. VIGENCIA Y DEROGATORIAS. <Artículo modificado por el artículo 3  de la Resolución 2296 de 2022. El nuevo texto es el siguiente:> La presente resolución rige a partir del 1 de noviembre de 2022, salvo lo dispuesto en el artículo 9o que rige a partir de su publicación en el Diario Oficial, y deroga la Resolución 2564 de 2016 a partir de la misma fecha.

PUBLÍQUESE Y CÚMPLASE

Dada en Bogotá a los, treinta y un (31) días del mes de mayo del 2021

KAREN ABUDINEN ABUCHAIBE

Ministra de Tecnologías de la Información y las Comunicaciones