Me refiero a su escrito radicado como se anuncia en la referencia mediante el cual, eleva una consulta relacionada con la Circular Externa 100-000016 del 24 de diciembre de 20201 , que modificó el Capítulo X de la Circular Externa 100-000005 de 2017 de la Superintendencia de Sociedades.
La consulta fue planteada en los siguientes términos:
“Buen día, agradezco su gentil colaboración informándome cual es el tiempo establecidos para que una empresa obligada a tener implementado el sagrilaft realice actualización de datos de las contrapartes', ¿cuál es el tiempo máximo que debe pasar para realizar la actualización de datos de las contrapartes? ¿existe una diferencia de tiempo de actualización entre contrapartes?” Previamente a responder sus inquietudes, debe señalarse que, en atención al derecho de petición en la modalidad de consulta, la Superintendencia de Sociedades con fundamento en los artículos 14 y 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, emite conceptos de carácter general sobre las materias a su cargo, y sus respuestas a las consultas no son vinculantes, ni comprometen la responsabilidad de la Entidad.”
También es procedente informarle, para efecto del conteo de términos en la atención de su consulta, que mediante el artículo 5º de la parte resolutiva del Decreto Legislativo 491 del 28 de marzo de 2020, expedido con ocasión de la emergencia sanitaria derivada del Coronavirus COVID-19 y mientras ésta se mantiene, el Gobierno Nacional amplió los términos para que entidades como ésta Superintendencia atiendan peticiones de consulta en treinta y cinco (35) días.
Con el alcance indicado, procede éste Despacho a resolver su consulta en los siguientes términos:
La Superintendencia de Sociedades expidió la Circular Externa No. 100-000016 de 20202 , por medio de la cual modificó el Capítulo X de su Circular Básica Jurídica (Circular Externa No. 100- 00005 del 22 de noviembre de 2017). De esta manera, el objetivo principal de la modificación del Capítulo X de la Circular Básica Jurídica es profundizar el enfoque basado en riesgos tanto en la supervisión de ésta Entidad como en la creación de políticas y matrices por parte de las sociedades comerciales, sucursales de sociedades extranjeras y empresas unipersonales, obligadas al cumplimiento del régimen de AUTOCONTROL Y GESTIÓN DEL RIESGO INTEGRAL LA/FT/FPADM Y REPORTE DE OPERACIONES SOSPECHOSAS A LA UIAF, y en la identificación, segmentación, calificación, individualización, control y actualización de los factores de riesgos y los riesgos asociados a la probabilidad de que éstas puedan ser usadas o puedan prestarse como medio en actividades relacionadas con el lavado de activos, el financiamiento del terrorismo y el financiamiento de la proliferación de armas destrucción masiva.
Ahora bien, la Circular en mención define a la contraparte en los siguientes términos:
“Contraparte: es cualquier persona natural o jurídica con la que la Empresa tenga vínculos comerciales, de negocios, contractuales o jurídicos de cualquier orden.
Entre otros, son contrapartes los asociados, empleados, clientes, contratistas y proveedores de Productos de la Empresa.”
Del mismo modo, la Circular objeto de análisis acota lo siguiente sobre la Debida Diligencia:
“5.3.1. Debida Diligencia En todo caso, las Empresas Obligadas siempre deben adoptar Medidas Razonables de Debida Diligencia de la Contraparte, con un enfoque basado en riesgo y la materialidad del mismo.
Para tal efecto, deben adoptar las siguientes medidas mínimas conforme a la materialidad, entre otras:
a. Identificar a la Contraparte y verificar su identidad utilizando documentos, datos o información confiable, de fuentes independientes.
b. Identificar al Beneficiario Final de la Contraparte y tomar Medidas Razonables para verificar su identidad.
c. Tratándose de Personas Jurídicas, se deben tomar Medidas Razonables para conocer la estructura de su propiedad con el fin de obtener el nombre y el número de identificación de los Beneficiarios Finales, haciendo uso de las herramientas de que disponga. Las medidas tomadas deben ser proporcionales al nivel del riesgo y su materialidad o complejidad inducida por la estructura de titularidad de la sociedad mercantil o la naturaleza de los asociados mayoritarios.
d. Entender, y cuando corresponda, obtener información sobre el propósito y el carácter que se pretende dar a la relación comercial.
e. Realizar una Debida Diligencia continua de la relación comercial y examinar las transacciones llevadas a cabo a lo largo de esa relación para asegurar que las transacciones que se realicen sean consistentes con el conocimiento que tiene la Empresa Obligada sobre la Contraparte, su actividad comercial y el perfil de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos.
Las Empresas Obligadas podrán diseñar y definir formatos para el adecuado conocimiento de las Contrapartes. Estos formatos podrán ajustarse de acuerdo con las características de cada industria o sector económico al que pertenezcan, y conforme a los Factores de Riesgo LA/FT/FPADM identificados, a la Matriz de Riesgo LA/FT/FPADM y la materialidad del Riesgo LA/FT/FPADM.
Para el análisis de las operaciones con las Contrapartes, la Empresa Obligada debe construir una base de datos u otro mecanismo que le permita consolidar e identificar alertas presentes o futuras.
Esta base de datos debe contener, como mínimo, el nombre de la Contraparte, ya sea persona natural o jurídica, la identificación, el domicilio, el Beneficiario Final, el nombre del representante legal, el nombre de la persona de contacto, el cargo que desempeña, fecha del proceso de conocimiento o monitoreo de la Contraparte.
Las Empresas Obligadas podrán ser requeridas a reportar esta información a la Superintendencia de Sociedades, en la oportunidad y condiciones que la entidad lo establezca.
El monitoreo y actualización del proceso de Debida Diligencia deberá hacerse con la periodicidad y regularidad establecidas por la Empresa Obligada, mínimo una vez cada dos (2) años o cada vez que aparezca necesario conforme a los cambios de las condiciones jurídicas y reputacionales de la Contraparte, y no sólo en el momento de su vinculación.
(…)
Las Empresas Obligadas previo al inicio de la relación contractual o legal, deberán haber cumplido con los procedimientos de Debida Diligencia que forman parte del SAGRILAFT, adjuntando para tal efecto los soportes exigidos o requeridos. De igual manera, la vinculación de la Contraparte debe haber sido aprobada por el funcionario o persona encargada, de acuerdo con la Política LA/FT/FPADM de la Empresa Obligada. Si la Empresa Obligada no puede llevar a cabo la Debida Diligencia satisfactoriamente, deberá evaluar la pertinencia de iniciar o terminar la relación legal o contractual, así como también la procedencia de reportar la operación como sospechosa.
Excepcionalmente, las Empresas Obligadas pueden completar la verificación después de establecida la relación comercial, si así ha sido establecido en la Política LA/FT/FPADM, siempre y cuando esto ocurra lo antes y razonablemente posible. La Política LA/FT/FPADM debe señalar específicamente los eventos en los que procede, que deben obedecer a aquellos esenciales para no interrumpir la conducción normal de la operación. En todo caso, los Riesgos LA/FT/FPADM deben estar efectivamente bajo control y deben existir procedimientos documentados sobre el manejo del riesgo que establezca las condiciones bajo las cuales la Contraparte puede utilizar la relación antes de la verificación. Si no puede llevar a cabo la Debida Diligencia satisfactoriamente una vez establecida la relación comercial, la Empresa Obligada deberá evaluar de acuerdo con su Política LA/FT si debe continuar con la relación contractual y si es procedente hacer un ROS en relación con la Contraparte.” (Negrilla fuera del texto original) Conforme a lo anterior, la Circular en mención no determina límites sobre la forma específica en la cual, la Empresa Obligada, debe establecer el conocimiento de sus contrapartes, ni la forma exacta en la que se deben actualizar las bases de datos. Lo anterior, en la medida que la Circular brinda unos parámetros mínimos con los que debe cumplir la Empresa Obligada, a la hora de establecer una debida diligencia, pero es deber de ésta definir cuáles serán los mecanismos adicionales e idóneos para cumplir con la obligación de conocimiento de las contrapartes y los beneficiarios finales.
Lo anterior, significa que la Empresa Obligada deberá tomar en cuenta su actividad propia, los riesgos a los que su negocio puede verse expuesto, la materialidad del riesgo y la zona geográfica, entre otros, con el fin de desplegar todas las medidas razonables y necesarias para llevar a cabo ya sea una debida diligencia o una debida diligencia intensificada, que permita el conocimiento de las contrapartes y beneficiarios finales, conforme a su Sistema de Prevención y Riesgo, y dejando a su vez evidencia de los esfuerzos realizados para lograrlo.
En los anteriores términos su solicitud ha sido atendida en el plazo y con los efectos descritos en el artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, no sin antes señalar que puede consultarse en la Página WEB de la Entidad, la normatividad, los conceptos jurídicos alusivos con el tema u otro de su interés.