Tips para implementar el conocimiento del cliente en el SARLAFT 4.0

La Circular Externa 027 de 2020 expedida por la Superintendencia Financiera de Colombia incorpora una nueva obligación para sus vigilados en materia de los Mecanismos que se deben adoptar como parte del Conocimiento del Cliente en el SARLAFT 4.0 en donde verbos como: efectivo, eficiente y oportuno, entran a tener un rol aún más preponderante dentro del Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo (SARLAFT). El numeral 4.2.2.2.1. relativo al proceso de Conocimiento del cliente en el SARLAFT 4.0 subraya los siguientes elementos a tener en consideración:

“…En aquellos eventos en que hayan identificado que el perfil de riesgo de un potencial cliente esté calificado como de alto riesgo, las entidades vigiladas deben aplicar medidas intensificadas en los procedimientos de conocimiento de cliente. Dicha calificación debe tener en cuenta la valoración integral de los factores de riesgo. Las entidades vigiladas deben tener a disposición de esta Superintendencia los medios verificables a través de los cuales se demuestre la realización del análisis del riesgo de LA/FT, y que la metodología mediante la cual se realizó dicho análisis fue aprobado por la junta directiva o el órgano que haga sus veces.” “En el evento en que utilicen bases de datos externos, las entidades vigiladas deben realizar un análisis de riesgo asociado a dicha fuente, en el cual se evalúe la calidad de los datos, su confiabilidad y la pertinencia de la misma en la gestión del riesgo de LA/FT.” “En aquellos casos en que el perfil de riesgo del potencial cliente esté calificado por las entidades como de alto riesgo, las entidades deben emplear medidas intensificadas para obtener la información necesaria del potencial cliente para adelantar una adecuada y efectiva gestión del riesgo LA/FT.” “… En este sentido, a partir del perfil del riesgo de LA/FT que se haya estimado para cada cliente como resultado de la aplicación de los procedimientos del SARLAFT, las entidades vigiladas pueden definir la periodicidad con la cual se debe realizar la actualización de estos datos que, en todo caso, no puede ser superior a tres años.”

  Teniendo en cuenta los anterior apartados de la Circular, las entidades vigiladas se ven en la tarea de definir e implementar procesos que les permita determinar de manera objetiva el perfil de riesgo del cliente potencial o del cliente actual, en aras a poder determinar no sólo en qué proceso de Conocimiento del Cliente  en el SARLAFT 4.0 se debe realizar, sino también cada cuánto debe activarse el proceso de actualización de la información de dicho cliente.

Proceso para determinar el perfil de riesgo de los clientes

Para abordar el proceso que permita determinar el perfil de riesgo de los clientes, es recomendable que las entidades desarrollen lo siguiente:

1. Definición de las posibles fuentes de información a utilizar.
2. Definición de las variables a utilizar en el proceso.
3. Definición de la Metodología a utilizar.
4. Definición del tipo de algoritmo o modelo matemático a utilizar.
5. Definición de diferenciación en los perfiles teniendo en cuenta el momento en el que va a ser utilizado (vinculación de clientes, actualización de clientes, etc.).

Como toda metodología utilizada en el SARLAFT 4.0, es recomendable que desde el proceso documental, se deje trazabilidad del sustento metodológico desarrollado en la definición tanto de variables, como de pesos ponderados definidos para la asignación del Perfil de riesgo o del algoritmo que se vaya a utilizar. Adicionalmente, como sustento de la metodología a utilizar por parte de la entidad, es importante dejar trazabilidad de los criterios que se utilizan para  asignar los riesgos correspondientes a las variables categóricas que se van a  integrar en el cálculo o asignación del perfil de riesgo.  En materia de definición de las posibles variables a utilizar, es recomendable hacer uso de las recomendaciones impartidas en esta materia por organismos internacionales, tales como: GAFI, Basilea y BSA/AML. En donde se detallan conceptos y recomendaciones relacionadas con criterios objetivos para determinar en nivel de exposición al riesgo LAFT que puede llegar a tener una contraparte en función por ejemplo de su Actividad Económica u Ocupación, Origen de los recursos, Jurisdicción, entre otras. Es importante considerar el uso de variables externas que no necesariamente sean proporcionadas por el cliente en su proceso de vinculación o actualización de información, con el objetivo de poder robustecer el modelo con variables adicionales, las cuales pueden ser obtenidas a través de terceros. Se hace necesario, que en este punto, las entidades puedan llevar a cabo, de manera adicional, el análisis de riesgo de las fuentes externas a utilizar, no sólo como parte del proceso de calificación de riesgo de las contrapartes, sino en general en todo el proceso de conocimiento de los clientes. Teniendo en cuenta que se hace necesario definir un Perfil de Riesgo no solo para los clientes sino también para los clientes potenciales de la entidad, es importante definir el proceso que se debe llevar a cabo para identificar el Perfil del riesgo de los potenciales clientes, para los cuales algunas de las variables ya definidas no aplicarían dada su naturaleza (por ejemplo aquellas relacionadas con el Perfil Transaccional).  Es importante dejar documentado y definir la periodicidad con la cual se va a ejecutar el proceso que permite recalificar los clientes actuales y, de esta manera, poder cumplir con las obligaciones derivadas al identificar que un cliente pasa a ser catalogado como de alto riesgo.  Adicional al proceso de asignación o calificación de riesgo para clientes y potenciales clientes, la entidad debería definir un proceso equivalente tanto para proveedores como para empleados y administradores. En el cual se tengan en cuenta las características, variables y demás condiciones que puedan servir en dicho proceso. Si bien normativamente no se hace mención a contar con procesos de calificación de riesgos diferenciales de acuerdo a la naturaleza de la contraparte con la cual se desea entablar una relación contractual, en aras a robustecer el proceso de conocimiento del cliente, sería interesante realizar una separación del proceso que se lleva a cabo para asignar el riesgo tanto de las personas naturales como de las personas jurídicas, teniendo en cuenta que la naturaleza y rango de las variables pueden llegar a tener diferencias significativas. Adicionalmente, es importante que en el proceso definido para las personas jurídicas se pueda tener en cuenta los beneficiarios finales de las estructuras societarias para que dichas personas sean incluidas como para integral del proceso.

Uso de herramientas tecnológicas para el conocimiento del cliente en el SARLAFT 4.0

En consonancia con la norma, es necesario que el proceso de calificación, tanto de potenciales clientes como de los clientes actuales, esté soportado por herramientas tecnológicas que permitan:

1.  Dejar trazabilidad de todo el proceso definido por la entidad. 
2. Estructurarse como medio verificable ante cualquier proceso de inspección o auditoría.
3. Servir como insumo de análisis para las áreas de cumplimiento dentro de su proceso de gestión de riesgo.
4. Automatizar el proceso de asignación de riesgo para los clientes potenciales o clientes actuales.
5. Automatizar el proceso de identificación de alertas tempranas basadas en los cambios de riesgo que pueden presentar las contraparte.

Por último, una vez definidos los diferentes modelos de calificación de cada una de las contrapartes, tanto potenciales como actuales, es recomendable verificar, con la base de datos completa, cual es la distribución resultante a nivel de registros por cada categoría de riesgo. De esta manera, es posible evidenciar si el modelo definido refleja de manera adecuada el perfil y apetito de riesgo de la entidad. ¡Conozca nuestras soluciones! Autor: J. Sierra