15

Resumen SUGEF 12-21

Resumen ejecutivo sobre los Reglamentos SUGEF 12-21 y 35-21

Luis Araya
26/3/2021
15

 

En el Alcance 17 de La Gaceta 19 del jueves 28 de enero de 2021, se publica el “Reglamento para la prevención del riesgo de legitimación de capitales, financiamiento al terrorismo y financiamiento de la proliferación de armas de destrucción masiva, aplicable a los sujetos obligados por el artículo 14 de la Ley 7786” (Acuerdo SUGEF 12-21).

 

Este Reglamento sustituirá a la “Normativa para el cumplimiento de la Ley 8204” (Acuerdo SUGEF 12-10); la vigencia de este Reglamento rige a partir del 1 de enero de 2022, indicándose que las entidades que lo consideren conveniente pueden comenzar a aplicar las disposiciones establecidas en este reglamento previo a este plazo.

 

El principal cambio de este nuevo Reglamento es un giro del enfoque de cumplimiento a una supervisión basada en riesgo, sobre lo cual el mismo Reglamento indica: “… corresponde al sujeto obligado determinar el marco de gestión de LC/FT/FPADM [1] que se adapte a su negocio, de manera que le permita identificar y establecer las medidas de mitigación para los riesgos que surgen de LC/FT/FPADM; por ello, esta regulación es un marco de gestión con características suficientes para el supervisor, sin que necesariamente se definan, puntualmente, determinados estándares o herramientas de control.”

Sobre lo anterior, toma aún más importancia los análisis sobre los procesos para identificar, evaluar, monitorear, administrar y mitigar los riesgos de lavado de activos y financiamiento del terrorismo, documentarlos, determinar el nivel de exposición y tomar las medidas de mitigación más oportunas y adecuadas.

 

El Reglamento orienta a los sujetos a realizar sus propios análisis y establecer las medidas de control y mitigación con base en su apetito de riesgo, lo cual incluye apartarse de medidas de cumplimiento previamente establecidas por el Regulador, para definir su marco de actuación sensibilizado a la naturaleza de sus operaciones y de las características de sus clientes. Podemos indicar los siguientes ejemplos:

 

  • Se da la potestad a los sujetos de definir sus propios plazos de actualización de los clientes, basado en un marco propio de políticas y procedimientos. La orientación para los plazos se basa en que los plazos estén en función de riesgos de los clientes, pudiendo ampliar el plazo de actualización de 36 meses hasta 60 meses.
  • Anteriormente, los sujetos obligados podían prescindir de solicitar la documentación que respalde el origen de los fondos cuando los clientes realizaran transacciones mensuales por ingresos inferiores a dos salarios base; en el nuevo Reglamento se ajustó el umbral a US$5,000.
  • Agrega que las personas asalariadas y pensionadas que únicamente movilicen en sus cuentas, productos o servicios del ingreso proveniente de su salario o pensión, el sujeto obligado podrá prescindir de solicitar documentación que respalde el origen de los fondos; para ambos casos los clientes deben estar clasificados con un nivel de riesgo bajo y el sujeto obligado debe contar con políticas y procedimientos con base en riesgo correspondientes.
  • Se ajustaron los requerimientos para el Oficial de Cumplimiento Titular y Adjunto, se cambia el concepto hacia idoneidad en la formación académica, la experiencia profesional relevante y el historial laboral o profesional, todo lo anterior en función de la naturaleza de los negocios, tamaño y riesgos de la entidad. Lo mínimo de acuerdo con el Reglamento es: formación académica universitaria, experiencia profesional relevante y conocimientos técnicos demostrables al menos en auditoría, riesgos y LC/FT/FPADM.

 

sdas

Otro aspecto relevante sobre el que se ha realizado un énfasis es el gobierno corporativo y las responsabilidades de los accionistas de la asamblea general de socios o asociados, el órgano de dirección y la alta gerencia en promover la sensibilización y la atención de las directrices estratégicas en materia de LC/FT/FPADM considerando su función de liderazgo en la gestión de riesgos.

 

En el Reglamento SUGEF 12-10, no se incluían aspectos relacionados con gobierno corporativo, ni siquiera un artículo específico sobre responsabilidades del máximo órgano ni de la alta gerencia sobre la mitigación del riesgo de LC/FT/FPADM. A diferencia de lo anterior, el nuevo Reglamento incluye el Capítulo II “Gobernanza y órganos de control” con la inclusión de un listado específico de responsabilidades funciones y responsabilidades.

 

Otros aspectos relevantes del nuevo Reglamento:

  • Por medio de la Ley 9449, se ordena a la SUGEF la creación de la base de datos con información de la política conozca a su cliente de los sujetos obligados, para lo cual se desarrolló la plataforma tecnológica Centro de Información Conozca a su Cliente (CICAC)[2], considerando los extremos dispuestos en la Ley de protección de la persona frente al tratamiento de sus datos personales, Ley 8968. En la segunda parte de este resumen se incluyen los aspectos más importantes del CICAC.
  • A diferencia de SUGEF 12-10, este nuevo marco normativo se refiere a los partidos políticos exigiendo a los sujetos obligados que establezcan y apliquen políticas con base en riesgo de aceptación, operación y diligencia debida reforzada con este tipo de clientes. Estas políticas y procedimientos deben permitir al menos la identificación de los contribuyentes (nombre y número de identificación), así como el origen de los fondos provenientes de las contribuciones, donaciones o aportes que reciban los partidos políticos. Para establecer relaciones comerciales con estos clientes, se requiere la aprobación expresa de la alta gerencia.
  • Refuerza la necesidad que los sujetos obligados a implementar políticas y procedimientos basados en riesgo para la aceptación o mantenimiento de la relación comercial con aquellos clientes que presenten altos flujos de efectivo, para lo cual deben analizar si la naturaleza de la actividad comercial del cliente requiere necesariamente el uso recurrente de efectivo, en particular en moneda extranjera.
  • Para los acuerdos con corresponsales no bancarios[3], al ser considerados como un canal de las entidades financieras supervisadas que ejercen esas actividades en forma complementaria a las de su actividad comercial principal; se debe exigir a los sujetos obligados establecer las responsabilidades sobre la aplicación de las políticas y procedimientos de diligencia debida del cliente.
  • Se adiciona el concepto “Persona vinculada con fondos de inversión (PVFI)”, los cuales son personas físicas o jurídicas vinculadas directa o indirectamente con fondos no financieros o fondos de capital de riesgo, que pueden mantener un contrato en calidad de inquilinos, vendedores o compradores de activos no financieros, empresas constructoras, empresas promovidas, o proveedores de servicios. Ampliando el rango de clientes y a los cuales se les deberá aplicar una debida diligencia simplificada. Importante indicar, que la determinación de los requisitos y procesos de diligencia debida serán aplicados según los lineamientos específicos establecidos por la SUGEVAL (sin que se hayan emitido a la fecha).
  • Cambios en la conformación del Comité de Cumplimiento, no indicando la cantidad de miembros, sino delegando esta responsabilidad al máximo órgano, haciendo las siguientes salvedades: el Oficial de Cumplimiento y el Gerente General son miembros permanentes, el oficial de cumplimiento solo con derecho a voz, y considerar la rotación periódica de los miembros no permanentes del comité para evitar la concentración excesiva de poder y promover nuevas perspectivas.
  • Se hacen ajustes al formato del informe de la auditoría externa, separando el informe sobre compromisos de seguridad y un informe complementario que evidencie la validación de la eficacia y efectividad del proceso de identificación de los riesgos de LC/FT/FPADM, así como la efectividad de los controles implementados para mitigar los riesgos y cumplir con la normativa relacionada con LC/FT/FPADM.

    Este informe complementario debe contener al menos: i) periodo de revisión, ii) objetivo del estudio, iii) alcance, iv) pruebas aplicadas, y sus resultados, v) seguimientos de informes de periodos anteriores, vi) planes de acción correctivos implementados por el sujeto en estudio, vii) grados de cumplimiento de cada aspecto evaluado, y viii) conclusión del auditor respecto a la eficacia y efectividad del proceso de identificación de los riesgos de LC/FT/FPADM, así como sobre la eficacia y efectividad de los controles implementados para mitigar los riesgos y cumplimiento de la Ley 7786, sus reformas y normativa conexa.

    Estos informes se consideran confidenciales y deben ser presentados, por parte del sujeto obligado a la superintendencia respectiva, a más tardar el último día hábil de abril de cada año con corte a diciembre del año anterior. Esto significa un cambio, ya que será un envío automático cambiando marzo por abril.
  • Se amplía el alcance de la revisión del riesgo institucional, agregando a los factores del Reglamento SUGEF 12-10 (clientes, canales, ubicación geográfica y productos y servicios) nuevos factores como: unidades de negocio, los procesos y proyectos, y considerar como insumo fundamental la Evaluación Nacional de Riesgo más reciente comunicada por la Unidad de Inteligencia Financiera (UIF).
  • Se mantiene la identificación de los clientes PEP’s físicos y para el caso de personas jurídicas, se debe identificar si cuenta con miembros catalogados como una PEP’s en el órgano de dirección, socios o beneficiarios finales. En todos los casos, se requiere la aprobación expresa de la alta gerencia para establecer y/o mantener relaciones comerciales.
  • Amplía las especificaciones del sistema de monitoreo, incluyendo disposiciones sobre i) transacciones de alta cuantía (por ejemplo, que con una única transacción o con varias durante un día se supere el perfil transaccional mensual declarado), ii) uso de productos y servicios (por ejemplo, transferencias internacionales), iii) tipo de transacciones (por ejemplo, alto volumen de efectivo), localizaciones geográficas, actividades económicas, entre otras, basadas en su nivel de riesgo.
  • Se indica: “El o los sistemas de monitoreo deben estar en capacidad de identificar el vínculo entre clientes que mantengan relación de tipo patrimonial o de representación legal, con el fin de fortalecer el monitoreo sobre grupos económicos, así como otro tipo de vínculos, tales como direcciones o teléfonos comunes”.
  •  No se hacía referencia en el Reglamento SUGEF 12-10 a lo siguiente sobre el congelamiento o inmovilización:

“El sujeto obligado debe establecer políticas y procedimientos para cumplir con lo dispuesto en el artículo 33 bis de la Ley 7786.”

  •  Como novedad, se requiere mantener registros de operaciones únicas y múltiples en efectivo y mediante transferencias electrónicas desde y hacia el exterior; anteriormente solo se pedía mantener registros de transferencias superiores a US$1,000, pero ahora se amplió a un tratamiento como las operaciones únicas o múltiples en efectivo (ROU y ROM). Adicionalmente se enviaran los respectivos reportes a la Superintendencia respectiva.

El acuerdo SUGEF 12-21 incluye además Lineamientos[4]; los principales temas se resumen a continuación:

  • En los expedientes de los clientes clasificados con un nivel de riesgo medio o alto, debe constar una ficha documental en la que se incluya una síntesis del análisis de la situación actual, antecedentes del cliente, de la información suministrada, el conocimiento del cliente, y el origen de sus fondos, en la que se razone la calificación de riesgo otorgada.
  • Contar con políticas y procedimientos en el análisis de otorgamiento de créditos, específicamente sobre: 1) fuente del origen de los fondos que sustenta el pago de las obligaciones crediticias por contraer, 2) origen de los fondos que el cliente aporta y que no cubre la operación crediticia, 3) riesgo de LC/FT/FPADM que podría implicar la actividad a la que se dedica el solicitante, codeudores y fiadores entre otros, la ubicación geográfica de los sujetos y dónde se realiza la actividad y 4) prestar más atención a los casos en que la garantía es un bien mueble, inmueble o títulos valores, que no es el objeto de compra o plan de inversión del crédito.
  • Para el caso de clientes que de forma ocasional o excepcional presenten flujos de efectivo iguales o superiores a los US$25,000.00, previa aceptación de la operación se debe contar con un análisis por parte del área comercial correspondiente, sobre la actividad económica y el origen de los fondos, este análisis debe ser avalado por la oficialía de cumplimiento y quedar documentado en el expediente del cliente.

A continuación resumimos los aspectos más importantes del Reglamento SUGEF 35-21 “Reglamento del centro de información conozca a su cliente”.

  • Este Reglamentó entra en vigencia a partir del 1 de enero de 2022.
  • La SUGEF, con el apoyo técnico del BCCR, desarrolló la plataforma tecnológica llamada Centro de información conozca a su cliente (CICAC), la cual será accedida por medio de un enlace que estará disponible en cada uno de los portales de las Superintendencias.
  • Las disposiciones establecidas en este reglamento son aplicables a los sujetos obligados establecidos en el artículo 14 de la Ley 7786 y a la SUGEF. Se exceptúa, entre otros, a las operadoras de pensiones en lo relacionado al Régimen obligatorio de pensiones (ROP) y al Fondo de capitalización laboral (FCL), salvo para aquellos afiliados al ROP que realicen algún aporte extraordinario.
  • Es un expediente electrónico que recopila y almacena la información como insumo básico para la atención de la política conozca a su cliente. La información debe ser proporcionada por los sujetos obligados, supervisados por las superintendencias adscritas en el CONASSIF, además, podrá recabarse información de fuentes oficiales y del mismo titular de la información. El expediente conozca a su cliente muestra la información contenida en el CICAC y debe incluir al menos información de identidad del cliente, información personal, la actividad económica, el origen de los fondos, el monto del ingreso mensual, la capacidad de inversión del cliente, información de puestos principales, la información de los accionistas y de los beneficiarios finales y la condición de personas expuestas políticamente.
  • Los sujetos obligados deben, en un plazo máximo de 10 días hábiles a partir del momento en que inicia la relación comercial, incluir en el CICAC la información recopilada de los clientes. Los sujetos obligados deben gestionar la actualización del expediente conozca a su cliente, de acuerdo con la periodicidad de actualización definida en sus políticas y procedimientos aprobadas por el órgano de dirección, según se dispone en el Reglamento de prevención del riesgo de LC/FT/FPADM.
  • Los sujetos obligados pueden tener acceso al CICAC, siempre y cuando exista una autorización previa por parte del titular de la información. Esta autorización es exclusiva y debe ser otorgada por el titular de la información a cada sujeto obligado cuando inicie o mantenga la relación comercial, ya sea de manera física, la cual registra la firma manuscrita del cliente o bien de manera electrónica. Los tipos de autorización son de consulta y de actualización.
  • Cuando haya finalizado la relación comercial, el sujeto obligado debe revocar en un plazo de 10 días hábiles la autorización de consulta otorgada en su momento por el Cliente. El cliente puede revocar la autorización únicamente ante el sujeto obligado en que otorgó la autorización de consulta.

Considerando que estos aspectos requieren estar listos al 1 de enero de 2022, es importante que las entidades realicen ejercicios de determinación de brechas entre la nueva normativa y las políticas y procedimiento actuales, con el fin de elaborar planes de acción que permitan el cumplimiento efectivo y eficaz de las nuevas disposiciones.



 

[1] Se refiere en adelante a legitimación de capitales, el financiamiento al terrorismo y el financiamiento de la proliferación de armas de destrucción masiva

[2] Se emitió un Reglamento separado para el CICAC. Acuerdo SUGEF 35-21, “Reglamento del centro de información conozca a su cliente.” Entra en vigencia a partir del 1 de enero de 2022.

[3] Se define como: persona física o jurídica que ejerce actos de comercio en Costa Rica, funcionan en establecimiento propio o de terceros y atienden público, con las cuales las entidades financieras supervisadas suscriben un contrato sin relación de dependencia, para que por cuenta y bajo responsabilidad de las entidades financieras, puedan realizar las operaciones y prestar los servicios a que se refiere el Reglamento sobre las operaciones y prestación de servicios realizados por medio de corresponsales no bancarios.

[4] lineamientos específicos a los sujetos obligados supervisados por la Superintendencia General de Entidades Financieras (SUGEF) al Reglamento para la prevención del riesgo de legitimación de capitales, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva, aplicable a los sujetos obligados por el artículo 14 de la Ley 7786, Acuerdo SUGEF 12-21.

LA
LA
Luis Miguel Araya
Gerente de Auditoría de Riesgos  y AML
Crowe Horwath C,R S.A.