Los sistemas de administración de riesgos en Colombia, que nacieron con el fin de evitar amenazas y combatir acciones como el lavado de activos, nacieron hace más de diez años. Aunque es un tiempo relativamente corto, teniendo en cuenta la implementación progresiva, estos sistemas ya hacen parte del día a día de las empresas obligadas. Así mismo, las entidades reguladoras se encargan de reiterar la importancia de este sistema y de las multas que acarrea su incumplimiento. A continuación, estudiamos tres casos puntuales en los que se han hecho efectivas multas por no cumplir de manera adecuada con lo dispuesto por SuperSociedades. 

Multa de $707.955.944 para Rappi 

En 2023, la Superintendencia de Sociedades que se encarga de regular el cumplimiento de los sistemas de gestión de riesgos, impuso dos multas conjuntas a la empresa Rappi por vulnerar el régimen de gestión del riesgo integral y el reporte de operaciones sospechosas, establecidas en el Capítulo X y el Capítulo XIII de la Circular Básica Jurídica.

Según la investigación que adelantó la entidad, se pudo determinar que la compañía vulneró las disposiciones establecidas relativas al Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM y Reporte de Operaciones Sospechosas (SAGRILAFT) y la obligación de la cabal implementación de un Programa de Transparencia y Ética Empresarial (PTEE), respectivamente.

Además, encontraron que la sociedad operó un tiempo sin oficial de cumplimiento principal ni suplente para el SAGRILAFT conforme lo dispuesto en la Circular Básica Jurídica. Igualmente, no contaba con una matriz de riesgos, u otro mecanismo que identificara, midiera o evaluara los riesgos de LA/FT/FPADM ni estableciera las condiciones para su control y monitoreo en cabal forma y no adoptó medidas que le permitieran identificar y controlar riesgos asociados al Soborno Transnacional en los términos establecidos en el Capítulo XIII de la Circular Básica Jurídica.

Finalmente, el superintendente recordó la importancia de contar con un Oficial de Cumplimiento líder de la implementación y seguimiento de los sistemas de gestión de riesgos ya que su ausencia impide una adecuada administración de los sistemas de gestión de riesgos. 

Empresa operó más de un año sin Oficial de Cumplimiento 

En 2020, SuperSociedades adelantó una investigación que se remontaba a 2017 con el fin de determinar si la empresa colombiana había cumplido a cabalidad lo dispuesto en el Capítulo X de la Circular Básica Jurídica de 2017. Según la investigación de la entidad, los hechos se desarrollaron de la siguiente forma:

• La empresa cumplía con la disposición de la entidad de contar con un Sistema de Autocontrol y Gestión del Riesgo LA/FT – SAGRLAFT por haber obtenido ingresos totales o superiores de 160.000 SMMLV a cierre de 2017. 
• Por lo tanto, debía identificar, medir, controlar y monitorear el riesgo LA/FT, de acuerdo con el análisis que se hiciera sobre la exposición al riesgo de lavado de activos y financiación del terrorismo al que se enfrentaba, con el fin de evaluar toda una serie de riesgos y adoptar las medidas mínimas en su correcta administración, conforme a las órdenes e instrucciones dispuestas en el Capítulo X de la Circular Básica Jurídica de 2017.
• La empresa tenía hasta el 31 de diciembre de 2018 para implementar en su totalidad lo dispuesto en el Capítulo X de la Circular Básica Jurídica de 2017.
• Sin embargo, la Junta Directiva designó un Oficial de Cumplimiento el 7 de septiembre de 2020 y aprobó el SAGRILAFT el 8 de octubre de 2020. Es decir que estuvo más de un año sin hacer la implementación adecuada del sistema de gestión de riesgo. 
• Es así que, la empresa para 2020 incumplió las órdenes impartidas por esta Superintendencia a través del Capítulo X de 2017, ante la ausencia de un SAGRILAFT, de una matriz de riesgos que le permitiera a la Sociedad identificar los riesgos inherentes a su operación de conformidad con la metodología, etapas, medidas de prevención, gestión y ante la falta de un Oficial de Cumplimiento encargado de la verificación del cumplimiento del sistema.
• Es así que la entidad impuso una multa de $22.728.808 COP, pero atendiendo a criterios de graduación de la sanción, se determinó finalmente en $9.113.308 COP.

Primer Oficial de Cumplimiento sancionado en Colombia 

El 11 de junio, SuperSociedades hizo una visita a una empresa textil colombiana para verificar el cumplimiento de Sistema de Autocontrol y Gestión del Riesgo Integral de LA/FT/FPADM y Reporte de Operaciones Sospechosas (SAGRILAFT) y de un Programa de Transparencia y Ética Empresarial (PTEE).

Sin embargo, durante la visita, el Oficial de Cumplimiento no pudo proporcionar las matrices de riesgo necesarias y se justificó con que la empresa de consultoría, para la que trabajaba, las tenía en su poder. Ante esta falta de información del Oficial de Cumplimiento tercerizado, la entidad determinó que esta persona incumplía con aspectos como: 

• Falta de control sobre la coordinación de las capacitaciones internas. El Oficial de Cumplimineto solo proporcionó un formulario de una pregunta y algunos correos electrónicos. 
• Omisión en la verificación del cumplimiento de los procedimientos de debida diligencia y debida diligencia intensificada. 
• Deficiencias en el diseño de metodologías para la identificación, clasificación, medición y control de riesgos de LA/FT y C/ST.
• Ausencia de una evaluación adecuada del riesgo.

Además, se identificó que la matriz de riesgo había sido diseñada bajo la metodología de la consultora y no bajo la de la empresa supervisada lo que dejaba por fuera riesgos significativos como la comercialización a través de ventas masivas. 

Es así que, frente a esta falta de acceso inmediato a información importante, la entidad optó por poner dos multas al Oficial de Cumplimiento designado por la empresa. Las sanciones de primera instancia fueron contenidas en la resolución 240-01830925 del 12 de septiembre de 2024 (SAGRILAFT) y en la Resolución 240-018310 de la misma fecha (PTEE), estas sanciones sumaron un total de $ 12.000.000 COP.

Asesoría y tercerización del Oficial de Cumplimiento con Tusdatos 

Estos tres casos analizados dejan en evidencia que no basta con tener un sistema de gestión de riesgo si no se cuenta con un Oficial de Cumplimiento que esté frente al proceso y que supervise, capacite y reporte a la junta directiva desde el primer momento de la creación de la matriz de riesgos. Tanto la empresa como el Oficial de Cumplimiento son responsables del cumplimiento efectivo y los dos, como se evidenció en los casos presentados, pueden enfrentar multas millonarias y correctivos que manchan su reputación. 

Por eso Tusdatos aparece como un aliado para llevar a cabo estos procesos y evitar sanciones. Con el equipo de profesionales de Tusdatos, las empresas pueden cumplir con SARLAFT, SAGRILAFT y el PTEE de manera eficaz, evitando riesgos financieros y reputacionales. Además, acompañamos el proceso de las empresas para encontrar su Oficial de Cumplimiento tercerizado que cumpla con todos los parámetros exigidos por la ley y entienda las necesidades de la empresa. Si quieres empezar a proteger tu compañía y evitar sanciones como las mencionadas, no dudes en contactarnos y empezar a blindar y simplificar tus procesos.