RESOLUCIÓN 2564 DE 2016

(diciembre 6)

Diario Oficial No. 50.096 de 23 de diciembre de 2016

MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES

<NOTA DE VIGENCIA: Resolución derogada a partir del 1 de noviembre de 2022 por el artículo 10 de la Resolución 1295 de 2021>

Por la cual se establecen las reglas relativas al Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo para los Operadores Postales de Pago y se deroga la Resolución número 3677 de 2013.

EL MINISTRO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES,

en ejercicio de sus facultades legales, y en especial de las que le confieren los artículos 4o parágrafo 2o, y 18 de la Ley 1369 de 2009, 10 de la Ley 526 de 1999, y

CONSIDERANDO:

Que la Ley 1369 de 2009, actual marco general de los servicios postales, otorga a estos servicios la connotación de servicio público en los términos del artículo 365 de la Constitución Política y señala que su prestación estará sometida a la regulación, vigilancia y control del Estado, con sujeción a los principios de calidad, eficiencia;

Que el Ministerio de Tecnologías de la Información y las Comunicaciones, en virtud de las facultades legales conferidas por el parágrafo segundo del artículo 4o de la Ley 1369 de 2009, estableció la reglamentación de los sistemas de administración y mitigación de riesgos a través de las Resoluciones números 3676, 3677, 3678, 3679, 3680 de 2013, aplicables a los Operadores Postales de Pago;

Que la Resolución número 3677 de 2013 específicamente estableció el Sistema Lavado de Activos y el Financiamiento del Terrorismo, acorde con las recomendaciones GAFI y a su vez, atendiendo todos los parámetros y políticas tendientes a prevenir esta clase de riesgos;

Que el Estado colombiano tiene como política ajustar la reglamentación nacional a las actualizaciones que realiza el Grupo de Acción Financiera Internacional (GAFI), específicamente a las 40 recomendaciones expedidas en 1989 para prevenir el Lavado de Activos y el Financiamiento del Terrorismo;

Que la Ley 1121 de 2006 “por la cual se dictan normas para la prevención, detección, investigación y sanción de la financiación del terrorismo y otras disposiciones”, en su artículo 20 regula un procedimiento para la publicación y cumplimiento de las obligaciones relacionadas con listas internacionales vinculantes para Colombia de conformidad con el derecho internacional;

Que en el marco del proceso de implementación de la política de prevención del riesgo, Colombia mediante la Ley 1186 de 2009 y la Sentencia de Revisión Constitucional C-685 de 2009, aprobó el Memorando de Entendimiento firmado en Cartagena de Indias el 8 de diciembre del 2000, el cual creó y puso en funcionamiento el Grupo de Acción Financiera de Sudamérica (Gafisud), hoy Grupo de Acción Financiera de Latinoamérica (Gafilat) y determinó como objetivo reconocer y aplicar las recomendaciones del GAFI y las recomendaciones y medidas que en el futuro adopte;

Que en febrero de 2012, el GAFI revisó estas recomendaciones y emitió los “Estándares Internacionales sobre la Lucha contra el Lavado de Activos y el Financiamiento del Terrorismo y la Financiación de la Proliferación de Armas de Destrucción Masiva”, y recomendó que los países adoptarán un Enfoque Basado en Riesgos (EBR), con medidas más flexibles acordes con la naturaleza de los riesgos debidamente identificados;

Que teniendo en cuenta que el servicio Postal de Pago definido en la Ley 1369 de 2009 hace parte de un sector de la economía nacional a través del cual se manejan dineros del público, es necesario acoger la Recomendación 26 del GAFI donde se destaca que las autoridades competentes deben tomar las medidas legales o expedir las normativas necesarias para prevenir que los criminales o sus cómplices tengan o sean el beneficiario final o que tengan una participación significativa o mayoritaria en, o que ostenten una función administrativa en una institución. Como mínimo, los negocios que presten un servicio de transferencia de dinero o valores, o de cambio de dinero o moneda, deben recibir licencia o ser registrados, estar sujetos a sistemas eficaces de monitoreo y asegurar el cumplimiento con los requisitos nacionales ALA/CFT. Esta actividad debe ser ejecutada por un supervisor o por un organismo autorregulador apropiado, siempre que dicho organismo pueda asegurar que sus miembros cumplan con sus obligaciones para combatir el lavado de activos y el financiamiento del terrorismo;

Que en el marco del Comité Operativo de Prevención y Detección de la Comisión de Coordinación Interinstitucional contra el Lavado de Activos (CCICLA), se recomendó al Ministerio de Tecnologías de la Información y las Comunicaciones la armonización de la reglamentación del Sistema de Administración del Riesgo de Lavado de Activos y Financiamiento del Terrorismo (Sarlaft) y la Financiación de la Proliferación de Armas de Destrucción Masiva, de acuerdo con las recomendaciones expedidas por el Grupo de Acción Financiera Internacional GAFI, por lo que es necesario incorporar la mismas a nuestra normatividad;

Que en virtud de lo expuesto,

RESUELVE:

ARTÍCULO 1o. OBJETO. <Resolución derogada a partir del 1 de noviembre de 2022 por el artículo 10 de la Resolución 1295 de 2021> La presente resolución tiene por objeto establecer los requisitos y parámetros mínimos para la adecuada administración y mitigación del riesgo de Lavado de Activos y Financiación del Terrorismo (LA/FT) y la Financiación de la Proliferación de Armas de Destrucción Masiva que deben acreditar y mantener los Operadores de Servicios Postales de Pago como parte integral de su operación de giro postal.

ARTÍCULO 2o. SUJETOS OBLIGADOS. <Resolución derogada a partir del 1 de noviembre de 2022 por el artículo 10 de la Resolución 1295 de 2021> Los Operadores de Servicios Postales de Pago deberán implementar y desarrollar el Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo (Sarlaft) y la Financiación de la Proliferación de Armas de Destrucción Masiva, atendiendo los requisitos mínimos establecidos en la presente resolución.

Las actividades de giros nacionales e internacionales desarrolladas por el Operador Postal Oficial estarán sujetas al sistema de Administración de Riesgos previsto en el presente Acto Administrativo.

ARTÍCULO 3o. DEFINICIONES Y ACRÓNIMOS. <Resolución derogada a partir del 1 de noviembre de 2022 por el artículo 10 de la Resolución 1295 de 2021> Para efectos de la interpretación y aplicación de la presente resolución se tendrán en cuenta las siguientes definiciones:

Análisis de riesgo: Es el estudio de las causas de las posibles amenazas y probables eventos no deseados y consecuencias que estas puedan producir en el desarrollo de las actividades propias de los Operadores de Servicios Postales de Pago.

Beneficiario final: Para efectos del presente acto administrativo, de conformidad con las recomendaciones del GAFI, se entenderá como beneficiario final a cualquier persona o grupo de personas que, directa o indirectamente, por sí misma o a través de interpuesta persona, por virtud de contrato, convenio o de cualquier otra manera, tenga respecto de un cliente y/o persona natural en cuyo nombre se realiza una transacción, la facultad de controlarlo o determinar su comportamiento. Esta definición incluye a las personas que ejercen control efectivo final o tienen una titularidad del 5% o más de una persona jurídica.

Cliente: Es la persona natural o jurídica con quien el Operador de Servicios Postales de Pago establece relación de origen legal o contractual, para la realización de sus servicios.

Colaborador: Personas naturales o jurídicas que disponen de puntos de atención al público con las cuales el Operador de Servicios Postales de Pago realiza un contrato para ofrecer sus servicios a través de una red o grupo de redes.

Control de riesgos: Es la parte de administración de riesgos que involucra la implementación de políticas, estándares, procedimientos y actividades implementadas o no, que proporcionan reducción de la probabilidad y el impacto de los riesgos.

Evaluación de riesgos: Consiste en medir la probabilidad de ocurrencia del riesgo de LA/FT identificado en las actividades propias como operador de Servicios Postales de Pago, así como el impacto para la empresa en caso de materializarse.

Evento: Es un incidente, situación o suceso que ocurre en un lugar particular durante un intervalo de tiempo específico y que genera incertidumbre dentro del Operador Postal de Pago.

Factores de riesgo: Son los agentes generadores del riesgo de LA/FT. Para efectos de la presente resolución las empresas deben tener en cuenta como mínimo los siguientes:

a) Clientes/usuarios/Colaboradores empresariales;

b) Productos;

c) Canales de distribución, y

d) Jurisdicciones.

Financiación del Terrorismo: Es la conducta penal descrita en el artículo 345 de la Ley 599 de 2000, modificado por el artículo 16 de la Ley 1453 de 2011.

GAFI: Grupo de Acción Financiera: Organismo intergubernamental constituido en 1989, que tiene como propósito desarrollar y promover políticas y medidas a nivel nacional e internacional para combatir el Lavado de Activos y la Financiación del Terrorismo.

Gestión del riesgo: Trazar estrategias para disminuir la vulnerabilidad y promover acciones para mitigar y prevenir el riesgo de Lavado de Activos y Financiación del Terrorismo en las actividades propias de los Operadores de Servicios Postales de Pago.

Interesados (partes interesadas): Personas u organizaciones que pueden afectar o ser afectadas por las actividades de una empresa.

LA/FT: Lavado de Activos y Financiación del Terrorismo.

Lavado de activos: Conjunto de operaciones tendientes a ocultar o disfrazar el origen ilícito de unos bienes o recursos mal habidos. En Colombia esta conducta está penalizada en el artículo 323 de Código Penal.

Listas vinculantes: Son las listas emitidas por el Consejo de Seguridad de las Naciones Unidas, dentro del Capítulo VII de la Carta de las Naciones Unidas.

Operador: Persona jurídica habilitada para operar Servicios Postales de Pago.

Operación Inusual: Es aquella cuya cuantía o características no guardan relación con la actividad económica ordinaria o normal de una persona natural o jurídica o, que por su número, cantidad o características no se ajusta a las pautas de normalidad establecidas por el operador Postal de Pago para un sector, una industria o una clase de contraparte.

Operación Sospechosa: Es aquella que por su número, cantidad o características no se enmarca dentro de los sistemas y prácticas normales de los negocios, de una industria o de un sector determinado y, además, que de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada. Cuando se detecten esta clase de operaciones, deben ser reportadas de manera inmediata a la UIAF.

Personas Expuestas Políticamente (PEP) Extranjeras: Las PEP extranjeras son individuos que cumplen o a quienes se les han confiado funciones públicas prominentes en otro país, como por ejemplo los Jefes de Estado o de Gobierno, políticos de alto nivel, funcionarios gubernamentales o judiciales de alto nivel o militares de alto rango, ejecutivos de alto nivel de corporaciones estatales, funcionarios de partidos políticos así por importantes.

Personas Expuestas Políticamente (PEP) Nacionales: Las PEP domésticas son individuos que cumplen o a quienes se les han confiado funciones públicas prominentes internamente, como por ejemplo los Jefes de Estado o de Gobierno, políticos de alto nivel, funcionarios gubernamentales o judiciales de alto nivel o militares de alto rango, ejecutivos de alto nivel de corporaciones estatales, funcionarios de partidos políticos importantes. Las personas que cumplen o a quienes se les han confiado funciones prominentes por una organización internacional se refiere a quienes son miembros de la alta gerencia, es decir, directores, subdirectores y miembros de la Junta o funciones equivalentes.

Proveedor: Persona natural o jurídica que abastece con artículos o servicios que apoyan al Operador de Servicios Postales de Pago o a la empresa.

Riesgos Asociados al LA/FT: Son los riesgos a través de los cuales se materializa el riesgo de LA/FT. Estos son: reputacional, legal, operativo y contagio.

Riesgo de Contagio: Es la posibilidad de pérdida que un operador puede sufrir, directa o indirectamente, por una acción u omisión de alguna de las partes vinculadas con este.

Riesgo Inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo de Lavado de Activos y de la Financiación del Terrorismo: Es la posibilidad de pérdida o daño que puede sufrir el Operador Postal de Pago por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades.

Riesgo legal: Es la posibilidad de pérdida en que incurre el Operador Postal de Pago al ser sancionado u obligado a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. También como consecuencia de fallas en los contratos con los Colaboradores y Proveedores que impidan las transacciones de los giros postales, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o su ejecución.

Riesgo Operativo: Es la posibilidad de que un Operador de Servicios Postales de Pago incurra en pérdidas o eventual incumplimiento de sus obligaciones por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología informática, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal.

Riesgo Reputacional: Es la posibilidad de pérdida en que incurre un operador por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo Residual o Neto: Es el nivel resultante del riesgo después de aplicar los controles.

Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).

Señales de Alerta o Alertas Tempranas: Conjunto de indicadores cualitativos y cuantitativos que permiten identificar oportuna y/o prospectivamente comportamientos Atípicos de las variables relevantes, previamente determinadas por el operador.

UIAF: Unidad de Información y Análisis Financiero.

Usuario: Es la persona natural quien, sin ser cliente, utiliza los servicios de un operador de servicio postal de pago.

ARTÍCULO 4o. ALCANCE DEL SARLAFT. <Resolución derogada a partir del 1 de noviembre de 2022 por el artículo 10 de la Resolución 1295 de 2021> El Sarlaft es el sistema de administración que deben implementar los Operadores de Servicios Postales de Pago para gestionar el riesgo de LA/ FT, instrumentado a través de las etapas y elementos. Este sistema debe abarcar todas las actividades que realizan dichos Operadores dentro de la cadena de “recepción de dinero – traslado - entrega de dinero”, previendo además procedimientos y metodologías para protegerse de ser utilizadas como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas.

ARTÍCULO 5o. ETAPAS DEL SARLAFT. <Resolución derogada a partir del 1 de noviembre de 2022 por el artículo 10 de la Resolución 1295 de 2021> El Sarlaft que implementen los Operadores de Servicios Postales de Pago debe contener como mínimo las siguientes etapas: identificación, medición o evaluación, control, y monitoreo.

5.1. Identificación. En esta etapa se identifican los eventos de riesgo de LA/FT a los cuales está expuesto el operador Postal de Pago en cada uno de los factores de riesgo. La identificación de los eventos de riesgo se hará para cada uno de los factores de riesgo de LA/FT y sobre cada uno de los procesos que implementen para el desarrollo de las actividades relacionadas con la recepción de dinero, traslado y entrega del mismo. En esta etapa se debe como mínimo:

a) Establecer las metodologías para la segmentación de los factores de riesgo. La técnica principal para la identificación de eventos de riesgo de LA/FT, es la experiencia de la industria y de la empresa, apoyados de diferentes estándares y guías para la gestión del Riesgo;

b) Con base en las metodologías establecidas anteriormente, segmentar los factores de riesgo. La segmentación de los factores de riesgo debe hacerse de acuerdo con las características particulares de cada uno de los factores, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos.

5.1.1. Procedimientos para la identificación de los riesgos de LA/FT. Para la identificación de los riesgos de LA/FT, se podrán tener en cuenta los siguientes procedimientos:

a) Enumerar los eventos de riesgo: Determinar los eventos de riesgo en torno a cada criterio definido para cada factor. Listar los posibles eventos de riesgo, es decir, los incidentes o acontecimientos derivados de una fuente interna o externa, que puede ser generadora de un riesgo asociado al LA/FT;

b) La lista de eventos de riesgo se debe basar en el análisis interno (experiencia de la industria y de la empresa), utilizando el análisis de tipologías, documentos expedidos por las unidades de análisis financiero, y documentos y recomendaciones internacionales, sobre prevención de LA/FT;

c) Determinar las causas: Habiendo identificado una lista de eventos, se deben considerar las causas posibles e identificar las circunstancias que podrían materializar el riesgo.

En esta etapa se tiene como objetivo medir el riesgo inherente del operador Postal de pago frente a cada evento de riesgo. Al final de esta etapa la empresa debe contar con una matriz de riesgos, la cual será alimentada con el producto de cada una de las etapas.

5.2. Medición. Concluida la etapa de identificación, los Operadores de Servicios Postales de Pago deberán medir la posibilidad o probabilidad de ocurrencia del LA/FT frente a cada uno de los factores de riesgo, así como el impacto (consecuencias) en caso de materializarse a partir de los riesgos asociados. Las consecuencias y probabilidades se combinan para producir el nivel de riesgo.

5.2.1. Metodologías de medición. Se deben establecer las metodologías de medición con el fin de determinar la posibilidad o probabilidad de ocurrencia del riesgo de LA/FT y su impacto en caso de materializarse frente a cada uno de los factores de riesgo y los riesgos asociados. La medición del riesgo de LA/FT se podrá llevar a cabo, entre otras, mediante las siguientes actividades: análisis de tipologías, el conocimiento de expertos, la experiencia relevante, las prácticas y experiencia de la industria.

5.2.2. Procedimientos para la medición de los riesgos de LA/FT. Para la medición de los riesgos de LA/FT los Operadores Postales de Pago deben como mínimo establecer los siguientes procedimientos:

a) Se debe clasificar los riesgos e identificar el impacto y la probabilidad de ocurrencia de los eventos de riesgo;

b) Los riesgos inherentes son evaluados de acuerdo con la magnitud del impacto y la probabilidad de ocurrencia, según las medidas cualitativas de probabilidad e impacto establecidas por cada Operador;

c) Se priorizan los riesgos generando una clasificación bajo los criterios de la cualificación que permita la administración de los niveles de riesgos;

d) Cada uno de los eventos de riesgo que resulten con una calificación de alto o medio riesgo, debe ser objeto de los procedimientos y controles para la administración o mitigación del riesgo (plan de tratamiento).

5.3. Control. Los Operadores del Servicio Postal de Pago deberán tomar medidas para controlar los riesgos asociados al Lavado de Activos y la Financiación del Terrorismo a que se ven expuestos en desarrollo de su actividad, con el fin de mitigarlos. En esta etapa se debe, como mínimo, establecer las metodologías para definir las medidas de control del riesgo de LA/FT.

El operador Postal de Pago podrá determinar y adoptar los controles o medidas conducentes a controlar el riesgo inherente. Para estos efectos, se definen las metodologías para determinar los controles y su aplicación, y se definen los procedimientos para la detección de operaciones inusuales y sospechosas.

Para el control de los riesgos de LA/FT, se deberán llevar a cabo como mínimo las siguientes directrices:

a) En cada uno de los procesos en que haya factores de riesgo de LA/FT, se deben definir los procedimientos y controles para la prevención del LA/FT;

b) El tratamiento de los riesgos inherentes se lleva a cabo mediante la adopción de controles. Para estos efectos, la empresa debe diseñar y ejecutar un plan de tratamiento para los riesgos a los que continúen expuestos una vez aplicados los controles existentes.

5.4. Monitoreo. Los Operadores de Servicios Postales de Pago deberán realizar un monitoreo para velar porque las medidas que hayan establecido sean efectivas.

5.4.1. Actividades mínimas. En esta etapa el operador deberá como mínimo:

a) Hacer seguimiento general al sistema;

b) Desarrollar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias en las etapas del sistema;

c) Permitir el seguimiento de los niveles de exposición al riesgo de LA/FT establecidos por el Operador, según su estructura, características y operaciones;

d) Asegurar que los controles sean comprensivos de todos los riesgos y que estén funcionando en forma oportuna y efectiva;

e) Permitir la elaboración de reportes gerenciales y de monitoreo del riesgo de LA/FT que evalúen los resultados de las estrategias adoptadas.

5.4.2. Monitoreo de los riesgos de LA/FT. Para el monitoreo de los riesgos de LA/FT, se podrán tener en cuenta las siguientes recomendaciones:

a) La principal herramienta del monitoreo o seguimiento es la evaluación de riesgos y controles, con el fin de establecer un enfoque que examine y evalúe la efectividad del Sistema de Administración de Riesgo de LA/FT;

b) El gestor de riesgo deberá hacer el seguimiento del riesgo de cada uno de los procesos.

ARTÍCULO 6o. ELEMENTOS DEL SARLAFT. <Resolución derogada a partir del 1 de noviembre de 2022 por el artículo 10 de la Resolución 1295 de 2021> El Sarlaft para los Servicios Postales de Pago, deberá contemplar los siguientes elementos:

6.1. Políticas. Son los lineamientos generales que deben adoptar los Operadores de Servicios de Pagos Postales que permitan el eficiente, efectivo y oportuno funcionamiento del Sarlaft.

Las políticas deben desarrollar al menos los siguientes aspectos:

a) Objetivos conforme a la administración del riego de LA/FT. El cumplimiento de la ley, la cooperación con las autoridades, la responsabilidad social empresarial, el gobierno corporativo, son algunos de los objetivos de la política de prevención de LA/FT;

b) Cumplimiento del sistema de administración del riesgo de LA/FT;

c) Promoción de la cultura del sistema de administración del riesgo de LA/FT;

d) Reserva de información del SARLAFT (propia, de los clientes, usuarios, colaboradores empresariales, proveedores y reportes);

e) Prevalencia del cumplimiento del Sarlaft al logro de las metas comerciales;

f) Establecer lineamientos para la prevención y resolución de conflictos de interés;

g) Consagrar lineamientos para la aceptación y vinculación de clientes, y de monitoreo frente a las cuales por su perfil pueden exponer en mayor grado al operador Postal de Pago al riesgo de LA/FT;

h) Establecer lineamientos para el control de operaciones de clientes y usuarios y detección de operaciones inusuales;

i) Establecer lineamientos para el conocimiento y la aceptación de colaboradores en los cuales el operador se apoye para prestar el servicio postal de pago;

j) Establecer lineamientos para el control y monitoreo del cumplimiento del SARLAFT establecido por los operadores de Servicios Postales de Pago, para los colaboradores empresariales;

k) Cumplimiento de obligaciones sobre el Sarlaft, con respecto a los colaboradores empresariales;

l) Establecer métodos suficientes de divulgación y entendimiento de las políticas.

6.2. Procedimientos y mecanismos: Los operadores de Servicios Postales de Pago deben establecer los procedimientos y mecanismos aplicables para la adecuada implementación y funcionamiento del Sarlaft, para lo cual deben adoptar, por lo menos, los siguientes:

a) Procedimientos donde se instrumenten las diferentes etapas del Sarlaft;

b) Mecanismos para el conocimiento de clientes, colaboradores empresariales, proveedores y usuarios, atendiendo la naturaleza de la operación;

c) Mecanismos para el conocimiento del mercado;

d) Procedimientos y mecanismos para la detección y análisis de operaciones inusuales;

e) Procedimientos y mecanismos para la detección y análisis de operaciones sospechosas;

f) Procedimiento de atención de requerimientos de información por parte de autoridades competentes;

g) Procedimiento para dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia, de conformidad con el derecho internacional y disponer lo necesario para que se consulten dichas listas de manera previa y obligatoria a la vinculación de clientes, usuarios, colaboradores empresariales y proveedores;

h) Procedimientos más estrictos para la iniciación y seguimiento a las relaciones comerciales y operaciones con clientes y usuarios de países donde no se aplican las Recomendaciones del GAFI;

i) Procedimiento para dar cumplimiento a las obligaciones relacionadas con las listas locales entregadas por la Policía y la Fiscalía y disponer lo necesario para que se consulten dichas listas de manera previa y obligatoria a la vinculación de clientes, usuarios, colaboradores empresariales y proveedores;

j) Procedimiento para establecer al interior del grupo responsable del Sarlaft en el Operador Postal de Pago, un punto de contacto con la Policía Nacional;

k) Consagrar las sanciones por incumplimiento a las normas relacionadas con el Sarlaft, así como los procesos para su imposición.

6.2.1. Conocimiento del cliente. El conocimiento del cliente con el que realiza algunas de sus actividades, constituye una herramienta importante y efectiva para no ser utilizados para el lavado de activos y la financiación del terrorismo, es por esto que dicho mecanismo debe permitir:

a) Conocer la identidad del cliente: Supone el conocimiento y verificación de los datos solicitados que permitan individualizar plenamente la persona natural o jurídica que se pretende vincular;

b) El conocimiento de la actividad económica del cliente.

6.2.2. Metodologías para el conocimiento del cliente que deben implementar los Operadores del Servicio Postal de Pago. Las metodologías para conocer al cliente deben permitir a los operadores cuando menos:

a) Monitorear continuamente las operaciones de los clientes;

b) Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos clientes y determinar la existencia de operaciones sospechosas;

c) Para estos efectos, los Operadores deben diseñar y adoptar formularios de vinculación que contengan cuando menos la información que más adelante se indica. La firma y la huella del cliente deben quedar plasmadas en el formulario;

d) Para la vinculación de los clientes según la naturaleza de la operación, los Operadores de Servicios Postales de Pago y sus Colaboradores Empresariales exigirán los requisitos para su identificación, los cuales deben ser cuando menos los siguientes:

PN: Vinculación de persona natural PJ: Vinculación de persona jurídica

DESCRIPCIÓN	PN	PJ
Nombre y apellidos completos o Razón Social.	X	X
Número de identificación: NIT, o cédula de ciudadanía.	X	X
Personas Extranjeras: Cédula de extranjería.	X
Nombre y apellidos completos del representante, apoderado y número de identificación.	X
Dirección y teléfonos del representante	X
Dirección y teléfono residencia.	X
Ocupación, oficio o profesión.	X
Tipo de empresa (S. A., SAS, LTDA, SC, etc.).	X
Código Internacional Uniforme (CIIU) conforme al RUT	X
Nombre, identificación y porcentaje de participación de los socios con más del 5% de capital social	X
Dirección, teléfono y ciudad de la oficina principal.	X	X
Código Postal	X	X
Declaración de origen de los fondos.	X	X
Declaración juramentada por parte del interesado si es PEP	X	X
Firma y huella del solicitante.	X	X
Fecha de diligenciamiento.	X	X

El Operador podrá solicitar los documentos soportes adicionales que estime pertinente para el idóneo conocimiento del Cliente.

6.2.3. Identificación de los niveles de riesgo. Una vez llevada a cabo la segmentación de los factores de riesgo, el Operador estará en la facultad de establecer el nivel de riesgo el cual permitirá:

a) Conocer el potencial cliente y poder definir su nivel de riesgo de LA/FT;

b) Detectar las apariencias engañosas de un cliente;

c) Recolectar la información suficiente para elaborar un perfil del cliente y de sus transacciones, de tal forma que el funcionario responsable pueda identificar su comportamiento transaccional habitual.

6.2.4. Medidas intensificadas para las personas expuestas políticamente (PEP). Los operadores deberán incluir procedimientos especiales frente a los clientes de alto riesgo, los cuales deben contemplar estándares de control más exigente:

a) Se consideraran Personas Expuestas Políticamente (PEP), las personas que tengan un cargo en las ramas legislativa, ejecutiva o judicial, o en los órganos de control de un Estado, sus subdivisiones políticas o autoridades locales, o una jurisdicción extranjera, sin importar si hubieren sido nombradas o elegidas, así como los directivos y los administradores de una empresa estatal extranjera;

b) Incluir procedimientos más exigentes de vinculación de clientes y usuarios de alto riesgo que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado al operador postal de pago al riesgo de LA/FT, tales como personas que por razón de su cargo manejan recursos públicos, detentan algún grado de poder público o gozan de reconocimiento público;

c) En el caso de PEP, por considerarse como un elemento de alto riesgo, se debe obtener la aprobación de una instancia o empleado de jerarquía superior encargado de tales vinculaciones antes de establecer (o continuar, en el caso de los clientes existentes) esas relaciones comerciales y realizar permanentes monitoreos intensificados sobre esa relación;

d) Lo anterior sin perjuicio de la reglamentación que expida el Gobierno Nacional sobre la materia.

6.2.5. Conocimiento del usuario. El conocimiento del Usuario es un mecanismo de identificación de la persona que hace uso de los servicios del Operador de Servicios Postales de Pago, lo cual constituye una herramienta importante y efectiva para no ser utilizado para el Lavado de Activos y la Financiación del Terrorismo. Es por esto que dicho mecanismo debe permitir:

a) Conocer la identidad del usuario: Supone el conocimiento de los datos solicitados que permitan individualizar plenamente la persona natural que pretende hacer uso de los servicios.

6.2.6. Metodología para conocimiento de los usuarios. Las metodologías para conocer al usuario deben permitir a los operadores cuando menos:

a) Monitorear continuamente las operaciones de los usuarios;

b) Contar con elementos de juicio que permitan analizar las transacciones inusuales de esos usuarios y determinar la existencia de operaciones sospechosas;

c) Para operaciones internacionales, la información requerida debe ser completamente rastreable en el país del beneficiario.

6.2.7. Formularios de envío y reclamo del giro. Los Operadores de Servicios Postales de Pago y sus Colaboradores Empresariales deben diseñar y adoptar formularios de envío y reclamo de giro que contengan cuando menos la siguiente información:

1. Nombre y apellidos completos.

2. Número de identificación: cédula de ciudadanía, tarjeta de identidad, cédula de extranjería o aquel documento que se considere idóneo para identificación de acuerdo con las normas legales vigentes, etc.

3. Fecha expedición del documento de identificación.

4. Dirección.

5. Ciudad de origen y ciudad de destino.

6. Código postal.

7. Teléfono fijo y/o Móvil.

8. Firma (opcional)

9. Huella dactilar del solicitante y del beneficiario

10. Fecha de la operación.

PARÁGRAFO. Si producto del monitoreo de operaciones de los usuarios, el Operador de Servicios Postales identifica un patrón de habitualidad en alguno de ellos, estará en la facultad de solicitar la información adicional que estime pertinente para el análisis de vulnerabilidad frente al riesgo de Lavado de Activos y Financiación del Terrorismo.

6.2.8. Conocimiento del Colaborador. El conocimiento del Colaborador Empresarial constituye una herramienta importante y efectiva para que el Operador de Servicios Postales de Pago habilitado no sea utilizado para el lavado de activos y la financiación del terrorismo. Es por esto que dicho mecanismo debe permitir:

a) Conocer al Colaborador Empresarial en el que se apoye el Operador de Servicios Postales de Pago para llevar a cabo la operación de giros postales;

b) Garantizar el cumplimiento de las responsabilidades asignadas por el Operador de Servicios Postales de Pago en materia de Sarlaft.

6.2.9. Metodologías para el conocimiento de los colaboradores. Las metodologías para conocer a los colaboradores empresariales deben permitir a los Operadores cuando menos:

a) Monitorear continuamente el cumplimiento de las obligaciones de los colaboradores empresariales, como responsabilidad propia del Operador de Servicios Postales de Pago;

b) Para estos efectos, los Operadores deben diseñar y adoptar formularios de vinculación de Colaboradores Empresariales, con al menos la información que más adelante se indica.

La firma y la huella dactilar del representante del Colaborador Empresarial deben quedar plasmadas en el formulario;

c) Para la vinculación de los colaboradores empresariales según la naturaleza de la operación, los Operadores de Servicios Postales de Pago exigirán los requisitos para su identificación, los cuales deben ser cuando menos los siguientes:

PN: Vinculación de persona natural PJ: Vinculación de persona jurídica

DESCRIPCIÓN	PN	PJ
Nombre y apellidos completos o Razón Social.	X	X
Número de identificación: NIT, cédula de ciudadanía o cédula de extranjería.	X	X
Nombre y apellidos completos del representante legal, apoderado y número de identificación.	X	X
Tipo y número de identificación del Represente Legal.	X
Dirección, teléfono y Móvil del representante	X
Dirección y teléfono residencia.	X
Ocupación, oficio o profesión.	X
Tipo de empresa (S. A., SAS, LTDA, SC, etc.).	X
Código Internacional Uniforme (CIIU) conforme al RUT	X	X
Actividad Económica.	X	X
Código Postal	X	X
Dirección, teléfono y ciudad de la oficina principal.	X	X
Declaración de origen de los fondos.	X	X
Declaración juramentada por parte del interesado si es PEP	X	X
Nombre, identificación y porcentaje de participación de los socios con más del 5% de capital social.	X
Firma y huella del solicitante.	X	X
Fecha de diligenciamiento.	X	X

El operador podrá solicitar el adjunto de los documentos que estime pertinente para un idóneo conocimiento del Colaborador empresarial, entre ellos el Registro Único Tributario y el Certificado de Cámara y Comercio.

6.2.10. Conocimiento del mercado. Los operadores deberán conocer el rango de mercado dentro el cual se vincula, inscribe y se registra cada cliente de acuerdo con la naturaleza, características, volumen o frecuencia de sus operaciones, nivel de riesgo, clase de servicio, origen o destino de las operaciones de giro, o cualquier otro criterio similar, conforme las políticas comerciales de clasificación adoptadas por la empresa.

6.2.11. Detección y análisis de operaciones inusuales. El Sarlaft debe permitir a los operadores establecer cuándo una operación se considera como inusual.

Para ello debe contar con metodologías para la oportuna detección de las operaciones inusuales, entendidas estas como aquellas transacciones que cumplen, cuando menos con las siguientes características:

a) Operaciones cuya cuantía y/o característica no guarden relación con la actividad económica y que se sale de los parámetros de normalidad establecidos y amerita ser analizada con mayor profundidad;

b) Presencia de señales de alerta adoptadas por el operador;

c) Presencia de posibles tipologías de operaciones de LA/FT, definidas por documentos nacionales o internacionales;

d) Que el cliente figure en alguna lista de control adoptada por el operador;

e) Operaciones realizadas con jurisdicciones listadas por el GAFI como no cooperantes;

f) Operaciones realizadas con monedas virtuales;

g) Dejar constancia de la operación detectada y del responsable o responsables de su análisis y resultados del mismo;

h) A través de la segmentación y del conocimiento del mercado, se podrán determinar características usuales de las operaciones y compararlas con aquellas que realicen los clientes y/o usuarios, a efectos de detectar operaciones inusuales;

i) Si se detecta una operación inusual, el funcionario que la detectó deberá generar el respectivo reporte al gestor del riesgo, con la documentación soporte para llevar a cabo el análisis tendiente a establecer si se trata de una operación sospechosa susceptible de reporte a la autoridad competente.

6.2.12. Detección y análisis de operaciones sospechosas. Corresponde al Gestor del Riesgo la determinación de las operaciones y su respectivo reporte (ROS) a la UIAF según los siguientes criterios:

a) La confrontación de las operaciones detectadas como inusuales con la información acerca de los clientes y la segmentación del mercado, debe permitir, conforme a los análisis y verificaciones efectuadas por el gestor del riesgo del operador, identificar si una operación es o no sospechosa y reportarla de forma oportuna y eficiente a la autoridad competente;

b) El gestor del riesgo procede a establecer si la operación objeto de análisis debe ser o no reportada como sospechosa;

c) Para efectos del reporte (ROS), no se requiere que los operadores tengan certeza de que se trata de una actividad ilícita;

d) En caso que el operador considere que no se trata de una operación sospechosa, sino de la comisión de un delito, deberá ponerlo en conocimiento de las autoridades competentes.

6.3. Instrumentos. Para que los procedimientos y mecanismos adoptados por las empresas operen de manera efectiva, eficiente y oportuna, los Operadores deben implementar al menos los siguientes instrumentos:

a) Señales de Alerta: Son aquellas situaciones que muestran los comportamientos atípicos de los clientes y usuarios, ayudan a identificar o detectar conductas, actividades, métodos o situaciones que pueden encubrir operaciones de LA/FT. Estas señales no serán un motivo para calificar a una persona como ejecutora de una acción ilícita, sino que serán una alerta para proceder a verificar, con mayores elementos e indagaciones, las explicaciones acerca de las operaciones;

b) Segmentación de los factores de riesgo: La segmentación de factores de riesgo es un proceso permanente que permite definir grupos de acuerdo con las características particulares de cada uno de ellos, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos.

6.3.1. Definición de los perfiles de riesgo a partir de la segmentación de los factores. A partir de la segmentación de los factores se definen perfiles de riesgo que permiten establecer las características que la empresa reconoce como normales dentro de cada segmento, con el fin de identificar aquellas variables que se salen de la normalidad y detectar de esta manera las operaciones y comportamientos inusuales.

Sin perjuicio de cualquier otro criterio que establezca la empresa, se debe segmentar atendiendo los siguientes criterios:

1. Clientes y Usuarios: Tipo (PN o PJ), actividad económica, volumen o frecuencia de sus operaciones.

2. Productos o Servicios: naturaleza, características.

3. Canales de distribución: naturaleza, características.

4. Jurisdicciones: ubicación, características, naturaleza de las transacciones.

6.3.2. Seguimiento y Consolidación de Operaciones. Los Operadores del Servicio Postal de Pago deberán llevar a cabo actividades que le permitan monitorear permanentemente las operaciones realizadas por los clientes y usuarios. Así mismo, y con el fin de mantener un conocimiento sobre todas las operaciones transadas por un mismo cliente durante un periodo de tiempo establecido, de modo que puedan observarse patrones de comportamiento inusual, la empresa deberá consolidar por lo menos en forma mensual las operaciones por cada uno de los factores de riesgo.

6.4. Documentación. El Gestor de Riesgo es el responsable de la documentación del Sarlaft, para lo cual debe dar cumplimiento a los principios de integridad, oportunidad, confiabilidad y disponibilidad de la información.

La documentación relacionada con el Sarlaft deberá cumplir con los siguientes requisitos:

a) Contar con un respaldo físico y/o magnético;

b) Contar con requisitos de seguridad, de forma tal que se permita su consulta, solo por funcionarios autorizados;

c) Manual de procedimientos del Sarlaft;

d) Los documentos y registros que evidencien la operación efectiva del Sarlaft;

e) Los informes que la Junta Directiva, Consejo de Administración u Órgano equivalente, el Representante Legal, el Gestor de Riesgos y los Órganos de Control, deben elaborar en los términos de la presente resolución;

f) Los soportes de la operación se deben organizar y conservar como mínimo por cinco (5) años. Vencido este lapso, podrán ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta.

6.5. Estructura administrativa. Los Operadores de Servicios Postales de Pago deberán definir claramente en su estructura organizacional los niveles de responsabilidad de las personas o funcionarios encargados de las funciones relacionadas con la administración del riesgo LA/FT, precisando su alcance y límites.

En todo caso, deberán dar cumplimiento a las disposiciones que a continuación se establecen:

6.5.1. Junta Directiva, Consejo de Administración u órgano equivalente.

a) Establecer las políticas en materia de LA/FT;

b) Aprobar el Sarlaft que implementará el Operador, lo cual debe constar en la respectiva acta de Junta Directiva, Consejo de Administración u Órgano equivalente;

c) Aprobar los lineamientos que en materia de ética deben observarse en relación con el Sarlaft;

d) Pronunciarse respecto de cada uno de los aspectos que contengan los informes que elabore el Representante Legal o el Gestor de Riesgos, respecto de la administración del riesgo de Lavado de Activos y la Financiación del Terrorismo, así como sobre los informes que elaboren los Órganos de Control;

e) Proveer los recursos necesarios para la adecuada administración del riesgo;

f) Designar al Gestor de Riesgos;

g) Aprobar el procedimiento para la vinculación de los canales (Colaboradores empresariales) en los que se apoye el operador para la prestación del servicio postal de pago;

h) Realizar el seguimiento a los informes presentados por el Representante Legal sobre el cumplimiento de las obligaciones respecto del Sarlaft por parte de los Colaboradores Empresariales;

i) Verificar el correcto funcionamiento de los Colaboradores Empresariales en términos de riesgo de lavado de activos y financiación del terrorismo, de acuerdo con el informe mensual que presente el representante legal a su consideración.

6.5.2. Representante Legal. Sin perjuicio de las funciones asignadas en otras disposiciones, el Representante Legal del Operador de Servicios Postales de Pago tendrá, como mínimo las siguientes funciones:

a) Diseñar y someter a aprobación de la Junta Directiva, Consejo de Administración u Órgano equivalente, los procedimientos para la administración del riesgo de LA/FT;

b) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva, el Consejo de Administración u Órgano equivalente para la administración del riesgo de LA/FT y presentar los informes periódicos sobre el mismo;

c) Velar porque las etapas y elementos del Sarlaft cumplan, como mínimo, con las disposiciones señaladas en la presente resolución;

d) Velar porque se dé cumplimiento a los lineamientos establecidos en el código de ética del operador en materia de conflictos de interés que tengan relación con el riesgo de LA/FT;

e) Velar por que las bases de datos y la plataforma tecnológica cumplan con los estándares mínimos establecidos en la presente resolución;

f) Efectuar las gestiones necesarias para proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el Sarlaft;

g) Presentar a la Junta Directiva los informes relacionados con el cumplimiento de las obligaciones respecto del Sarlaft por parte de los Colaboradores Empresariales.

6.5.3. Gestor del Riesgo. Los Operadores de Servicios Postales de Pago deberán asignar dentro de su estructura organizacional la función de gestión de riesgos a una persona (gestor del riesgo) que tenga y acredite conocimiento en administración de riesgos, y que no dependa de los Órganos de Control Internos. Esta persona podrá tener a su cargo la gestión de otros riesgos igualmente, pero para efectos del Sarlaft deberá demostrar que ha tenido capacitación específica en prevención y control al lavado de activos y financiamiento del terrorismo.

Sin perjuicio de las funciones y responsabilidades adicionales que cada operador asigne al Gestor del Riesgo, dicho funcionario tendrá, al menos, las siguientes funciones y responsabilidades con respecto al Sarlaft:

a) Definir los instrumentos, metodologías y procedimientos tendientes a que el Operador administre efectivamente el riesgo de LA/FT, en concordancia con los lineamientos, etapas y elementos mínimos previstos en esta resolución;

b) Desarrollar e implementar el sistema de reportes del riesgo de LA/FT;

c) Realizar el seguimiento permanente de los instrumentos, metodologías y procedimientos relacionados con el Sarlaft y proponer sus correspondientes actualizaciones y modificaciones;

d) Desarrollar los programas de capacitación relacionados con el Sarlaft;

e) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad;

f) Reportar periódicamente al Representante Legal y a la Junta Directiva, Consejo de Administración u Órgano equivalente, la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos de la presente resolución;

g) El Operador y el Gestor del Riesgo o quien haga sus veces, le corresponderá garantizar la reserva del reporte de una operación sospechosa remitido a la UIAF, según lo previsto en la Ley 526 de 1999.

PARÁGRAFO. El Operador Postal de Pago podrá contratar con terceros expertos en administración de riesgos todas las funciones operativas descritas en este numeral con el fin de apoyar la gestión del gestor de riesgos, sin que lo anterior implique una delegación de responsabilidad en la gestión del riesgo de LA/FT de parte del Operador Postal de Pago y el funcionario responsable de la misma.

6.5.4. Órganos de Control Interno. Los Operadores de Servicios Postales de Pago deben establecer instancias responsables de efectuar una evaluación de la forma como se está administrando el riesgo de LA/FT. Dichas instancias informarán, de forma oportuna, los resultados a los órganos de control.

En ejercicio de sus funciones, la Revisoría Fiscal, la Auditoría Interna o quien ejerza las funciones de control interno, serán responsables de evaluar periódicamente el cumplimiento de todas y cada una de las etapas de la administración del riesgo de LA/FT con el fin de determinar las deficiencias y el origen de las mismas.

Así mismo, los órganos de control deberán elaborar un informe con una periodicidad no superior a seis meses dirigido a la Junta Directiva, Consejo de Administración u órgano equivalente, en el que se reporten las conclusiones obtenidas acerca del proceso de evaluación del cumplimiento de las disposiciones establecidas para la administración de este riesgo.

6.6. Requerimientos de plataforma tecnológica de información: Sin perjuicio de los requisitos mínimos de tipo operativo que defina el Ministerio de Tecnologías de la Información y las Comunicaciones en ejercicio de sus funciones reglamentarias, los Operadores de Servicios Postales de Pago deberán contar con aplicaciones y desarrollos tecnológicos que permitan, al menos, las siguientes funciones mínimas:

a) Consulta de listas, según los requerimientos de cada Operador y la legislación que le sea aplicable;

b) Consolidación electrónica de operaciones;

c) Reporte de operaciones inusuales y sospechosas;

d) Señales de alerta automáticas;

e) Seguimiento automático sobre las operaciones de servicio postal de pago mediante el reporte de informes producto de consultas efectuadas con base en criterios definidos. Ejemplo: Acumulaciones por canal, operaciones por monto, operaciones por zona geográfica o región, etc.;

f) El desarrollo tecnológico debe facilitar la debida identificación de los clientes y usuarios y la actualización de sus datos;

g) Adicionalmente, los Operadores, para soportar el proceso de administración del riesgo de LA/FT, deben contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño;

h) Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo;

i) Consolidar las operaciones de los distintos factores de riesgo de acuerdo con los criterios establecidos por la empresa.

6.7. Divulgación de la información y reportes externos e internos. Los Operadores de Servicios Postales de Pago deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes.

Los Operadores deben incluir, al menos, los siguientes reportes en implementación del Sarlaft:

6.7.1. Reportes Internos. Los reportes internos son de uso exclusivo de la empresa y corresponden a los reportes de las operaciones inusuales y/o sospechosas, los cuales deben cumplir las características establecidas por cada empresa.

6.7.2. Reportes Externos. Los reportes externos deben ser enviados a la UIAF y/o a las demás autoridades competentes.

a) Reporte de Operaciones Sospechosas (ROS): Corresponde a los operadores reportar a la UIAF en forma inmediata las operaciones que se determinen como sospechosas, de acuerdo con los parámetros establecidos por la Unidad de Información y Análisis Financiero (UIAF);

b) Reporte de transacciones en efectivo: Corresponde a los Operadores reportar a la UIAF todas las transacciones que en desarrollo del giro ordinario de sus negocios realice y que involucren pagos mediante entrega o recibo de dinero en efectivo de billetes y monedas de denominación nacional, según los parámetros establecidos por la Unidad de Información y Análisis Financiero (UIAF);

c) Reporte de Operaciones Intentadas: Los sujetos obligados deberán reportar las operaciones intentadas o rechazadas que contengan características que les otorguen el carácter de sospechosas. Los reportes sobre operaciones sospechosas deben ajustarse a los criterios objetivos establecidos por el operador.

6.8. Capacitación. Los Operadores de Servicios Postales de Pago deben diseñar, programar y coordinar planes de capacitación sobre el SARLAFT dirigidos a todas las áreas y funcionarios de la empresa. Los objetivos son:

a) Establecer un programa de capacitación sobre el Sistema de Administración del Riesgo de LA/FT, el cual cree conciencia e informe sobre las obligaciones y responsabilidades que se derivan del Sistema para los empleados del operador y de sus colaboradores empresariales, y dar herramientas eficaces para su cumplimiento, con una periodicidad anual;

b) La comunicación interna y externa eficaz es importante para asegurar que los responsables de implementar la gestión de riesgo de LA/FT comprenden su responsabilidad;

c) La información se necesita en todos los niveles de la organización para identificar, evaluar y responder a los riesgos de LA/FT;

d) El principal instrumento de comunicación del Sistema de Administración del Riesgo de LA/FT al interior de la empresa es el plan de capacitación, por lo cual, éste es un elemento fundamental dentro del Sarlaft.

PARÁGRAFO 1o. Como parte de los programas de capacitación a que hace referencia el presente artículo, el Gestor de Riesgo deberá determinar los funcionarios del Operador de Servicios Postales de Pago que deberán tomar obligatoriamente el curso de capacitación específico de Giros Postales de Pago ofrecido a través de la página de internet de la Unidad de Información y Análisis Financiero (UIAF), en la medida en que este servicio se encuentre disponible al público.

PARÁGRAFO 2o. El supervisor de las habilitaciones del Servicio Postal de Pago, debe establecer que elaborará guías y realizará capacitaciones y efectuará retroalimentaciones respecto a los alcances y cumplimiento de la disposición sobre el Sistema de Administración de Riesgos LA/FT.

ARTÍCULO 7o. PROCEDIMIENTOS PARA LAS SANCIONES DE EVENTUALES INCUMPLIMIENTOS DEL SARLAFT. <Resolución derogada a partir del 1 de noviembre de 2022 por el artículo 10 de la Resolución 1295 de 2021> Los operadores del Servicio Postal de Pago deben exigir a sus empleados y a los de los terceros en los cuales se apoyen, llevar a cabo los controles, mecanismos, instrumentos y procedimientos contenidos en el Sarlaft para evitar ser utilizados directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos para ser utilizados por organizaciones al margen de la ley.

Los operadores deberán contemplar las sanciones que se derivan para sus empleados del incumplimiento del Sarlaft. Así mismo, deberán exigirle a los canales en los cuales se apoyen para la prestación del servicio postal de pago, que contemplen en sus propios reglamentos internos, sanciones a sus empleados por el incumplimiento de los controles, mecanismos, instrumentos y procedimientos establecidos para mitigar el riesgo de LA/FT.

PARÁGRAFO. Cuando se trate de sanciones financieras dirigidas (Terrorismo, financiamiento del terrorismo y proliferación de armas de destrucción masiva), para garantizar el cumplimiento de las obligaciones internacionales de Colombia relativas a la aplicación de disposiciones sobre congelamiento y prohibición de manejo de fondos u otros activos de personas y entidades designadas por el Consejo de Seguridad de las Naciones Unidas, asociadas a Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva, en consonancia con el artículo 20 de la Ley 1121 de 2006 y las Recomendaciones 6 y 7 del Grupo de Acción Financiera Internacional (GAFI), los sujetos obligados a la aplicación del sistema de administración de riesgos LA/CFT deberán hacer seguimiento y monitoreo permanentemente a las Resoluciones números 1267 de 1999, 1988 de 2011, 1373 de 2001, 1718 y 1737 de 2006 y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas y a todas aquellas que le sucedan, relacionen y complementen.

En el evento de encontrar cualquier bien, activo, producto, fondo o derecho de titularidad a nombre, administración o control de cualquier país, persona y/o entidad designada por estas Resoluciones, el Oficial de Cumplimiento o funcionario responsable, de manera inmediata, deberá reportarlo a la UIAF y ponerlo en conocimiento del Vicefiscal General de la Nación a través de los canales electrónicos seguros que determinen estas entidades, guardando la respectiva reserva legal.

ARTÍCULO 9o. VIGENCIA Y DEROGATORIAS. La presente resolución rige a partir de la fecha de su publicación y deroga la Resolución número 3677 de 2013.

Publíquese y cúmplase.

Dada en Bogotá, D. C., a 6 de diciembre de 2016.

El Ministro de Tecnologías de la Información y las Comunicaciones,

DAVID LUNA SÁNCHEZ.