Proceso:

Sistema de Autocontrol y Gestión de Riesgos Integral de Lavado de Activos, Financiación al Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva (SAGRILAFT/FPADM)

Documento No: M-GDR-01
Versión: 04
Fecha: 04/08/2022
Redactado por: Oficial de Cumplimiento
DOCUMENT APPROVED BY
RevisedApproved
NameVictor Hugo RiañoFelipe Villa Murra
TitleCompliance OfficerLegal Representative
Date10/06/202228/07/2022

1. ÍNDICE

2. HISTORIAL DE VERSIONES

Fecha VersiónAutorDescripción
18/03/201902Luz SilvaModificación razón social a Sophos Solutions
19/03/202003Juan ÁlvarezActualización del logo corporativo
04/08/202204Victor RiañoSe realiza la actualización del manual de manera general de acuerdo con la Superintendencia de Sociedades y adicionando todas las consideraciones para “FPADM”

3. LA/FT/FPADM DE SOPHOS SOLUTIONS S.A.S. (EN ADELANTE SOPHOS O “LA COMPAÑÍA”)

3.1 INTRODUCCIÓN
Somos una empresa multinacional colombiana creada en el año 2007 por inversionistas y visionarios de la India. Sophos Solutions es una sociedad comercial por acciones simplificada (S.A.S), que ofrece servicios de Consultoría, Implementación de Core Bancario, Fábrica de Pruebas y Fábrica de Software principalmente para compañías del sector financiero y bursátil. Actualmente somos una compañía de Advent International.

En SOPHOS somos Especialistas en productos y servicios de TI para el sector financiero, ofreciendo soluciones de Core bancario, Canales Digitales, Mercado de capitales, Riesgos, Gestión Integral de Información y Análisis de Datos.

Sophos cuenta con presencia en más de 12 países de América, cubriendo Norte América, centro América y Sur América. Actualmente, disponemos de oficinas en Colombia, México, Panamá, Estados Unidos y Chile. Contamos con más de 14 años de experiencia en soluciones TI siempre de la mano de colaboradores especializados en diferentes servicios y tecnologías. La compañía con el fin de obtener mayor acceso a los mercados nacionales e internacionales establece relaciones laborales con colaboradores especializados de toda parte del mundo, de la mano del trabajo remoto y otros modos de operación como lo son el NearShore (trabajo remoto Latam), el OffShore (trabajo remoto en otros continentes), y el Inside (trabajo en cliente).

Teniendo en cuenta el crecimiento de la compañía, la Matriz Colombia ejerce control directo sobre cada una de sus filiales (Panamá, México y Chile) e indirecto sobre su subsidiaria (Estados Unidos), la estructura administrativa se efectúa de modo centralizado. Sin embargo, para el desarrollo adecuado y oportuno de las funciones se otorgan facultades a personas naturales o jurídicas según las necesidades que presenten.
3.2 COMPROMISO
SOPHOS SOLUTIONS S.A.S implementa el Sistema de autocontrol y gestión del riesgo integral de LA/FT/FPADM (en adelante SAGRILAFT), con el objetivo de disponer de políticas, procedimientos, controles y todo tipo de mecanismos tendientes a proteger a la empresa de ser utilizada por cualquier medio para el Lavado de Activos, la financiación del terrorismo y la Financiación de la proliferación de armas de destrucción masiva, teniendo que estás actuaciones representan un riesgo a la estabilidad e integridad de la compañía
3.3 ALCANCE
El Sistema de autocontrol y gestión del riesgo integral de LA/FT/FPADM, aplica a todos los colaboradores de Sophos Solutions incluyendo a la matriz, las filiales y subsidiaria y a todas las partes relacionadas, grupos de interés, asociados y socios de negocios, entendidos estos como clientes, aliados estratégicos, aliados empresariales, contratistas, consultores, subcontratistas, proveedores nacionales e internacionales, asesores, representantes, intermediarios, inversores, licenciantes, arrendadores y su analogía ante los países que operan las filiales y la subsidiaria, en general a todos aquellos con quienes directa o indirectamente se establezca alguna relación comercial o contractual.

Es aplicable a todos los procesos internos que evidencian factores de riesgo entorno a la aplicabilidad y normatividad en cuestión de Lavado de Activos, la financiación del terrorismo y la Financiación de la proliferación de armas de destrucción masiva (LA/FT/FPADM).
3.4 OBJETIVOS
El objetivo de este sistema es prevenir, detectar y mitigar oportunamente las operaciones que puedan ser utilizadas para el Lavado de Activos, la Financiación del Terrorismo o de la Proliferación de Armas Destrucción Masiva contra Sophos Solutions, sus filiales y subsidiaria.
3.4.1 OBJETIVOS ESPECÍFICOS
  • Aplicar procedimientos conocimiento de las contrapartes actuales y potenciales.
  • Crear canales de reporte y consulta que estén disponibles para los colaboradores.
  • Desarrollar capacitaciones para dar a conocer la Política de SAGRILAFT/FPADM, así como el rol de cada colaborador frente a la prevención de delitos LAFT en la organización.
  • Construir un régimen sancionatorio para cuando se incumpla la política o procedimientos de este manual.
  • Describir las políticas, procedimientos, documentos y demás herramientas que la empresa utilizará para la gestión integral del riesgo de LA/FT/FPADM.
3.5 DEFINICIONES
Para los efectos del presente manual todas las definiciones se entienden según las establecidas en la Circular 100-000016 del 24 de diciembre de 2020 de la Superintendencia de Sociedades de Colombia. Además, de las siguientes definiciones:

Actividades ilícitas: Conductas o actividades que de conformidad con una norma vigente ostentan el carácter de ilícitas, es decir, contra derecho.

Asociado cercano: Son aquellas personas jurídicas que tengan como administradores, accionistas, controlantes o gestores a Personas Expuestas Políticamente, o que hayan constituido patrimonios autónomos o fiducias en beneficio de éstos, o con quienes se mantengan relaciones comerciales.

Operación intentada o rechazada:: Se configura cuando se tiene conocimiento de la intención de una persona natural o jurídica de realizar una operación sospechosa, pero no se perfecciona por cuanto al intentar llevarla a cabo desiste de la misma o porque los controles establecidos o definidos no permiten realizarla. Sólo se deben reportar aquellas operaciones intentadas o rechazadas que revistan las características de una operación sospechosa.

Países no Cooperantes y Jurisdicciones de Alto Riesgo: Se refiere al listado de jurisdicciones que no cumplen con los estándares internacionales para la lucha contra lavado de activos y la financiación del terrorismo, y cuál es el grado de compromiso político de sus autoridades para solventar las deficiencias detectadas, esta lista es definida por el Grupo de Acción Financiera Internacional (GAFI).

PEP (Personas expuestas políticamente): Podrán ser los servidores públicos de cualquier sistema de nomenclatura y clasificación de empleos de la administración pública nacional y territorial, cuando en los cargos que ocupen, tengan en las funciones del área a la que pertenecen o en las de la ficha del empleo que ocupan, bajo su responsabilidad directa o por delegación, la dirección general, de formulación de políticas institucionales y de adopción de planes, programas y proyectos, el manejo directo de bienes, dineros o valores del Estado. Estos pueden ser a través de ordenación de gasto, contratación pública, gerencia de proyectos de inversión, pagos, liquidaciones, administración de bienes muebles e inmuebles. Incluye también a las PEP Extranjeras y las PEP de Organizaciones Internacionales.4

PEP (Personas expuestas públicamente): Son aquellas que por sus actividades tienen reconocimiento nacional y/o internacional. Por ejemplo, abogados destacados, altos ejecutivos, arquitectos, deportistas, farándula, fuerzas militares y de policía, funcionarios públicos, jueces, políticos, registradores y religiosos destacados.

Señales de Alerta: Son todos los hechos y circunstancias particulares que rodean la realización de transacciones propias de cada tercero con el que la Compañía se relaciona, a partir de las cuales se puede identificar de manera preventiva si son objeto de un estudio cuidadoso y detallado. Podemos clasificar las operaciones en: Operaciones inusuales y sospechosas.

4. GENERALIDADES SAGRILAFT/FPADM

4.1 FASES DEL SAGRILAFT/FPADM
El SAGRILAFT se divide en dos fases:
  1. La fase de prevención, Sophos Solutions tomará las medidas que tenga a su alcance para prevenir ser utilizada en la realización de actividades que vayan en contra de sus principios y del SAGRILAFT/FPADM, dentro de estas medidas se encuentran:
    • Procesos de análisis de riesgos a las contrapartes
    • Identificación y reporte de señales de alerta
    • Identificación de riesgos

  2. La fase de control, Sophos Solutions implementará las herramientas que tenga a su alcance para identificar todas las operaciones que se hayan realizado o se quieran realizar que vayan en contra de la ley y estén asociados a actividades de LA/FT/FPADM.
4.2 ETAPAS DEL SAGRILAFT/FPADM
Son pasos sistemáticos que se interrelacionan, los cuales administran el riesgo de LA/FT/FPADM.
4.2.1 IDENTIFICACIÓN DEL RIESGO DE LA/FT/FPADM
Para la identificación de su Riesgo Inherente, Sophos considerará cualquier Factor de Riesgo, interno o externo, asociado a su actividad o incursión en nuevos mercados. La Compañía tiene y tendrá en cuenta el contexto de su actividad comercial, las jurisdicciones y regiones en las que actúa, y las contrapartes con las que interactúa.

Para lo anterior, se hará conforme a la Guía de Evaluación de Riesgos en el ítem 5.1 Identificación de riesgos. Mediante el proceso de debida diligencia también es posible identificar riesgos.

El proceso de identificación de riesgos es liderado por el área de riesgos de la compañía, con participación del oficial de cumplimiento y los miembros de los procesos evaluados.
4.2.2 LA MEDICIÓN DEL RIESGO DE LA/FT/FPADM
En esta etapa se valora la probabilidad de ocurrencia y el impacto que tendría su materialización del riesgo de LA/FT/FPADM.

Para lo anterior, se hará conforme a la Guía de Evaluación de Riesgos en el ítem 5.2.1. Determinación del riesgo inherente y secciones a) probabilidad y b) impacto.

El proceso de medición de riesgos es liderado por el área de riesgos de la compañía, con participación del oficial de cumplimiento y los miembros de los procesos evaluados.
4.2.3 EL CONTROL DEL RIESGO DE LA/FT/FPADM
Los controles de Riesgo de LA/FT/FPADM se aplicarán de acuerdo con el resultado de las etapas previas, con el propósito de establecer su perfil de Riesgo Residual. El objetivo es mitigar el riesgo tomando las medidas necesarias para disminuir la probabilidad de ocurrencia y/o el impacto al que se ve expuesto Sophos. La Compañía tiene previstos la evaluación y los tipos de controles que se relacionan en la Guía de Evaluación de Riesgos en el ítem 3.2.2.

El proceso de diseño de control es liderado por el área de riesgos de la compañía, con participación del oficial de cumplimiento y los miembros de los procesos evaluados. Los controles son ejecutados por cada uno de los procesos donde se identifican los riesgos y se especifica en la matriz de riesgos.
4.2.4 EL MONITOREO DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO DE LA/FT/FPADM
  • El Oficial de Cumplimiento realizará un seguimiento continuo del Sistema con el fin de evaluar la oportunidad, efectividad y eficiencia de los controles, asegurando que sean integrales y se refieran a todos los Eventos de Riesgo de LA/FT/FPADM identificados. Este seguimiento se deberá realizar anualmente. Los empleados de la Compañía deberán monitorear permanentemente sus actividades para evidenciar que no se presenten situaciones de Riesgo de LA/FT/FPADM y que los controles aplicados, operen oportuna, efectiva y eficientemente. Cualquier desviación deberá ser informada al Oficial de Cumplimiento.
  • El monitoreo debe estar a cargo del Oficial de Cumplimiento con la respectiva colaboración de los líderes de los procesos, y su finalidad es aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del Riesgo de LA/FT/FPADM.
  • El Oficial de Cumplimiento evaluará luego del monitoreo, sus resultados y, en conjunto con los líderes de los procesos, realizarán las propuestas de mejoramiento y tratamiento de las situaciones detectadas al Representante Legal y a la Junta Directiva.
  • El revisor fiscal también hace revisiones periódicas que faciliten la detección y corrección de deficiencias del SAGRILAFT/FPADM, cuyos resultados son comunicados a la Junta directiva, al Representante Legal y al Oficial de Cumplimiento. Sobre éstos, el Oficial de Cumplimiento realizará una evaluación y adoptará las medidas del caso frente a las deficiencias informadas.
  • El equipo de Riesgos realiza reuniones de seguimiento mensuales a las diferentes áreas enfocándose en las debidas diligencias que realizan las áreas donde se identifican los riesgos de LA/FT/FPDAM y de Soborno y corrupción.
  • Se deberá presentar el perfil de riesgos LA/FT/FPADM de manera trimestral al representante legal y semestral a la junta directiva para su monitoreo.
4.3 ELEMENTOS DEL SAGRILAFT
Los elementos que conforman el SAGRILAFT/FPADM son los siguientes:
  • Diseño y Aprobación
  • Cumplimiento y Auditoría
  • Divulgación y Capacitación
  • Asignación de funciones a los responsables y otras generalidades
4.3.1 LINEAMIENTOS PARA EL DISEÑO Y APROBACIÓN
  • Para el diseño del SAGRILAFT/FPADM se debe considerar las características propias de la Empresa y su actividad, así mismo tomar en cuenta la identificación de los Factores de Riesgo LA/FT/FPADM, el encargado del diseño es el oficial de cumplimiento.
  • La Empresa debe disponer matrices de riesgo, y deberá actualizar estos documentos de manera progresiva, esta actividad será liderada por el equipo de gestión de riesgos. Sin embargo, el control de los riesgos está a cargo de cada proceso.
  • La Junta Directiva debe suministrar los recursos operativos, económicos, físicos, tecnológicos sean necesarias para que el Oficial de Cumplimiento pueda desarrollar sus labores de manera adecuada.
  • El SAGRILAFT/FPADM debe ser presentado por el representante legal y el Oficial de Cumplimiento ante la Junta Directiva de SOPHOS, así mismo, esta última deberá aprobar sus actualizaciones.
  • La formalización del SAGRILAFT/FPADM debe cumplir el proceso estándar de gestión documental de la empresa, liderada por el área de calidad de tal manera que se garantice que las medidas del SAGRILAFT/FPADM sean coherentes con el sistema de gestión de la organización. El encargado de presentar este documento para tramite de gestión documental es el oficial de cumplimiento.
  • El diseño del SAGRILAFT/FPADM debe contemplar las consecuencias de la inobservancia del presenta manual, la política o las disposiciones establecidas. Dichas consecuencias deben ser establecidas por el oficial de cumplimiento previa aprobación del área de talento humano y presidencia.
4.3.2 LINEAMIENTOS DE AUDITORÍA Y CUMPLIMIENTO
  • La Junta Directiva debe designar un Oficial de Cumplimiento, responsable de garantizar la auditoría y verificación del cumplimiento del SAGRILAFT/FPADM. El oficial designado deberá cumplir con los requisitos establecidos en el capítulo X de la Circular Básica Jurídica 100-000016 de la Superintendencia de Sociedades de Colombia.
  • Auditoría interna y revisoría fiscal ejecutaran la auditoria a SAGRILAFT/FPADM garantizando las competencias necesarias de los auditores para dicha actividad.
  • Se debe realizar auditoria al SAGRILAFT/FPADM por lo menos 1 vez al año, lideradas por el equipo de auditoría interna.
  • El oficial de cumplimiento presentara de manera semestral un informe de cumplimiento a la junta directiva y trimestral al representante legal y/o presidente.
4.3.3 DIVULGACIÓN Y CAPACITACIÓN
  • SOPHOS mantendrá un programa permanente de capacitación dirigido a todos los colaboradores de la Empresa, con el fin de difundir la cultura de prevención y detección de LA/FT/FPADM y el cumplimiento de la política, así mismo, se deberá capacitar durante la inducción y/o vinculación a los nuevos empleados y a los terceros involucrados con la compañía. La responsabilidad del diseño y ejecución del plan de capacitación es el Oficial de cumplimiento.
  • Los gerentes y líderes de áreas desde las cuales se identifiquen riesgos LA/FT/FPADM deben conocer y poner en práctica la política SAGRILAFT/FPADM, garantizando la transparencia del proceso, y deberán integrar al Área de Riesgos cuando encuentre señales de alerta, en consonancia con lo anterior el plan de comunicación y capacitación deberá contener formaciones específicas a sus riesgos y señales de alerta.
  • Los colaboradores con acceso a la información suministrada por contrapartes, así como aquellos encargados de adelantar los procesos de debida diligencia harán uso responsable de las plataformas y demás recursos técnicos habilitados por la Empresa para adelantar las distintas actividades. El SAGRILAFT/FPADM será divulgado de manera interna y externa, la Empresa socializará e informará sobre la política a trabajadores, contratistas, sociedades subordinadas clientes y proveedores. La periodicidad con la que se compartirá esta información no podrá ser inferior a la exigida por la Circular Básica Jurídica que es mínimo una vez al año. Esta actividad es responsabilidad del oficial de cumplimiento.
4.3.4 ASIGNACIÓN DE FUNCIONES A LOS RESPONSABLES Y OTRAS GENERALIDADES
  • Las funciones y responsabilidades para cada una de las políticas de los elementos y etapas del SAGRILAFT/FPADM se asignan en el numeral 4.2 y 4.3 del presente manual, toda vez que cada lineamiento tiene asignado su responsable.
  • Se deberá diseñar un perfil de cargo para el oficial de cumplimiento que contemple como mínimo los requisitos legales establecidos en el capítulo X de la Circular Básica Jurídica 100-000016 de la Superintendencia de Sociedades. Los encargados del diseño del perfil es el área de Talent acquisition que podrá solicitar asesoría a las personas o áreas que considere necesario.

4.3.4.1 FUNCIONES JUNTA DIRECTIVA
  1. Establecer y aprobar para la Empresa una Política LA/FT/FPADM.
  2. Aprobar el SAGRILAFT y sus actualizaciones, presentadas por el representante legal y el Oficial de Cumplimiento.
  3. Aprobar el manual de procedimientos SAGRILAFT y sus actualizaciones.
  4. Seleccionar y designar al Oficial de Cumplimiento y su respectivo suplente, cuando sea procedente.
  5. Analizar oportunamente los informes sobre el funcionamiento del SAGRILAFT, sobre las propuestas de correctivos y actualizaciones que presente el Oficial de Cumplimiento, y tomar decisiones respecto de la totalidad de los temas allí tratados. Esto deberá constar en las actas del órgano correspondiente.
  6. Analizar oportunamente los reportes y solicitudes presentados por el representante legal.
  7. Pronunciarse sobre los informes presentados por la revisoría fiscal o las auditorías interna y externa, que tengan relación con la implementación y el funcionamiento del SAGRILAFT, y hacer el seguimiento a las observaciones o recomendaciones incluidas. Ese seguimiento y sus avances periódicos deberán estar señalados en las actas correspondientes.
  8. Ordenar y garantizar los recursos técnicos, logísticos y humanos necesarios para implementar y mantener en funcionamiento el SAGRILAFT, según los requerimientos que para el efecto realice el Oficial de Cumplimiento.
  9. Establecer los criterios para aprobar la vinculación de Contraparte cuando sea una PEP.
  10. Establecer pautas y determinar los responsables de realizar auditorías sobre el cumplimiento y efectividad del SAGRILAFT/FPADM en caso de que así lo determine.
  11. Verificar que el Oficial de Cumplimiento cuente con la disponibilidad y capacidad necesaria para desarrollar sus funciones.
  12. Constatar que la Empresa Obligada, el Oficial de Cumplimiento y el representante legal desarrollan las actividades designadas en este Capítulo X y en el SAGRILAFT/FPADM.

4.3.4.2 FUNCIONES DEL REPRESENTANTE LEGAL
  1. Presentar con el Oficial de Cumplimiento, para aprobación de la junta directiva o el máximo órgano social, la propuesta del SAGRILAFT/FPADM y sus actualizaciones, así como su respectivo manual de procedimientos.
  2. Estudiar los resultados de la evaluación del Riesgo LA/FT/FPADM efectuada por el Oficial de Cumplimiento y establecer los planes de acción que correspondan.
  3. Asignar de manera eficiente los recursos técnicos y humanos, determinados por la junta directiva o el máximo órgano social, necesarios para implementar el SAGRILAFT.
  4. Verificar que el Oficial de Cumplimiento cuente con la disponibilidad y capacidad necesaria para desarrollar sus funciones.
  5. Prestar efectivo, eficiente y oportuno apoyo al Oficial de Cumplimiento en el diseño, dirección, supervisión y monitoreo del SAGRILAFT.
  6. Presentar a la junta directiva o al máximo órgano social, los reportes, solicitudes y alertas que considere que deban ser tratados por dichos órganos y que estén relacionados con el SAGRILAFT.
  7. Asegurarse de que las actividades que resulten del desarrollo del SAGRILAFT se encuentran debidamente documentadas, de modo que se permita que la información responda a unos criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad.
  8. Certificar ante la Superintendencia de Sociedades el cumplimiento de lo previsto en el presente Capítulo X, cuando lo requiera esta Superintendencia.

4.3.4.3 FUNCIONES DEL OFICIAL DE CUMPLIMIENTO
  1. Velar por el cumplimiento efectivo, eficiente y oportuno del SAGRILAFT.
  2. Presentar, por lo menos una vez al año, informes a la junta directiva o, en su defecto, al máximo órgano social. Como mínimo, los reportes deberán contener una evaluación y análisis sobre la eficiencia y efectividad del SAGRILAFT y, de ser el caso, proponer las mejoras respectivas. Así mismo, demostrar los resultados de la gestión del Oficial de Cumplimiento, y de la administración de la Empresa, en general, en el cumplimiento del SAGRILAFT.
  3. Promover la adopción de correctivos y actualizaciones al SAGRILAFT, cuando las circunstancias lo requieran y por lo menos una vez cada dos (2) años. Para ello deberá presentar a la junta directiva o al máximo órgano social, según el caso, las propuestas y justificaciones de los correctivos y actualizaciones sugeridas al SAGRILAFT.
  4. Coordinar el desarrollo de programas internos de capacitación.
  5. Evaluar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, y los informes que presente el revisor fiscal o la auditoría externa, si es el caso, y adoptar las medidas razonables frente a las deficiencias informadas. Si las medidas que deben ser adoptadas requieren de una autorización de otros órganos, deberá promover que estos asuntos sean puestos en conocimiento de los órganos competentes.
  6. Certificar ante la Superintendencia de Sociedades el cumplimiento de lo previsto en el Capítulo X de la circular básica Jurica de la SuperSociedades.
  7. Verificar el cumplimiento de los procedimientos de Debida Diligencia y Debida Diligencia Intensificada, aplicables a la Empresa.
  8. Velar por el adecuado archivo de los soportes documentales y demás información relativa a la gestión y prevención del Riesgo LA/FT/FPADM. i. Diseñar las metodologías de clasificación, identificación, medición y control del Riesgo LA/FT/FPADM que formarán parte del SAGRILAFT.
  9. Realizar la evaluación del Riesgo LA/FT/FPADM a los que se encuentra expuesta la Empresa.
  10. Realizar el Reporte de las Operaciones Sospechosas a la UIAF y cualquier otro reporte o informe exigido por las disposiciones vigentes, conforme lo establezca dichas normas

4.3.4.4 COLABORADORES
  1. Cumplir con el manual, la política y demás instructivos correspondientes al autocontrol y gestión del riesgo integral del Lavado de Activos, Financiación del Terrorismo, Financiación de la Proliferación de Armas de Destrucción Masiva (LA/FT/FPADM) – SAGRILAFT.
  2. Participar en los procesos de capacitación, sensibilización, pruebas y demás actividades a las cuales sean convocados.
  3. Abstenerse de autorizar, motivar, aprobar, participar o tolerar los incumplimientos de la presente política.
  4. Reportar a través de los canales establecidos por la compañía cualquier incumplimiento a la presente política.
  5. Abstenerse de tomar represalias, directa o indirectamente, o alentar a otros a hacerlo, en contra de cualquier otro empleado por denunciar una sospecha de incumplimiento de la presente política.

4.3.4.5 REVISORÍA FISCAL
  1. Reportar a la UIAF de las Operaciones Sospechosas, cuando las adviertan dentro del giro ordinario de sus labores.
  2. Solicitar usuario y contraseña en el SIREL administrado por la UIAF, para el envío de los ROS.
  3. Tienen el deber de denunciar ante las autoridades penales, disciplinarias y administrativas, la presunta realización de un delito contra el orden económico y social, como el de Lavado de Activos, que detecte en el ejercicio de su cargo. También deberán poner estos hechos en conocimiento de los órganos sociales y de la administración de la sociedad.

4.3.4.6 COMITÉ DE COMPLIANCE
  1. Recomendar planes de acción en casos relacionados con los hallazgos que se le haga por parte de los entes de control al SAGRILAFT/FPADM.
  2. Guardar confidencialidad de la información que conozca con ocasión de sus funciones en materia del SAGRILAFT/FPADM.
  3. Revisión previa de políticas, manuales y/o instructivos y sus actualizaciones, correspondientes a la prevención del Lavado de Activos, Financiación del Terrorismo, Financiación de la Proliferación de Armas de Destrucción Masiva (LA/FT/FPADM) – SAGRILAFT/FPADM, para la respectiva aprobación del máximo órgano social.
  4. Realizar seguimiento a las diferentes prácticas tendientes a prevenir el Lavado de Activos, Financiación del Terrorismo, Financiación de la Proliferación de Armas de Destrucción Masiva (LA/FT/FPADM) SAGRILAFT/FPADM.

4.3.4.7 AUDITORÍA INTERNA
  1. Incluir dentro de sus planes anuales de auditoría la revisión de la efectividad y cumplimiento del SAGRILAFT, con el fin de servir de fundamento para que, tanto el Oficial de Cumplimiento y la administración de la Empresa Obligada, puedan determinar la existencia de deficiencias del SAGRILAFT y sus posibles soluciones.
  2. El resultado de las auditorías internas debe ser comunicado al representante legal, al Oficial de Cumplimiento y a la junta directiva.

4.3.4.8 INCOMPATIBILIDAD DE LOS ÓRGANOS DE GOBIERNO

En el establecimiento de los órganos e instancias encargadas de efectuar una evaluación del cumplimiento y efectividad del SAGRILAFT, la Empresa deberá tener en cuenta los conflictos de interés, las incompatibilidades y las inhabilidades de los responsables en el desempeño de sus funciones. no se deberá designar al revisor fiscal o al representante legal como Oficial de Cumplimiento.
4.4 DEBIDA DILIGENCIA Y DEBIDA DILIGENCIA INTENSIFICADA
Para los procedimientos de debida diligencia y debida diligencia ampliada se debe acudir a los instructivos que están en el sistema de gestión documental denominados “debida diligencia” con código I-CMP-01 y “debida diligencia ampliada” con código I-SGC-02, en donde se establecen los pasos a seguir para hacer el proceso, responsables, la documentación a validar, la segmentación de los PEPS, la evidencia que la compañía debe almacenar al hacer este procedimiento, entre otros.
4.5 SEÑALES DE ALERTA, OPERACIONES INUSUALES, SOSPECHOSAS Y INTENTADAS
  • Se deberán diseñar señales de alerta para aquellos riesgos identificados. Responsable: Oficial de cumplimiento
  • Estas señales de alerta deben ser parte integral de cada proceso con riesgos LA/FT/FPADM. Responsable: Proceso de gestión de calidad y procesos.
  • Cuando cualquier colaborador identifique una señal de alerta está dentro de sus responsabilidades hacer el debido reporte por los medios establecidos. Correo: funcioncumplimietoAA@sophossolutions.com, por el canal ético disponible en la página web o por el forms del anexo.
  • El oficial de cumplimiento deberá analizar la señal de alerta y determinar si es una operación sospechosa.
  • El oficial de cumplimiento podrá solicitar información adicional a las áreas o las contrapartes para determinar la condición de inusual de una operación.
  • En caso de determinar que es una operación sospechosa el oficial de cumplimiento deberá realizar el reporte a la UIAF.
  • El criterio aplicable para determinar si una operación es sospechosa es:
    • Falta de una explicación razonable a cualquiera de las señales de alerta mencionadas en la Política de SAGRILAFT/FPADM o a cualquier operación o actividad inusual.
    • Una operación intentada que contenga operaciones sospechosas se considera un ROS y debe ser reportado a la UIAF.
4.6 DOCUMENTOS DE LAS ACTIVIDADES DE SAGRILAFT/FPADM
Los documentos generados por el SAGRILAFT deberán cumplir con todas las normas y políticas establecidas por el sistema de gestión documental de la compañía, así como normas y políticas de seguridad de la información.
4.6.1 SARGILAFT/FPADM DOCUMENTS
  • El acta de la junta directiva donde consta la aprobación y/o actualización del Manual.
  • El acta de la junta directiva donde consta la aprobación y/o actualización de la Política.
  • El acta por medio del cual se designa al Oficial de Cumplimiento.
  • El Manual de SAGRILAFT/FPADM.
  • La política de SAGRILAFT/FPADM.
  • Los documentos que soportan el diseño, desarrollo e implementación de las metodologías del sistema.
  • Los documentos y registros que evidencian la operación efectiva y eficiente del sistema, los cuales incluyen entre otros, la documentación e información de las Contrapartes, la documentación relacionada con operaciones inusuales, el reporte de operaciones sospechosas (ROS) y el reporte de ausencia de operaciones sospechosas (AROS).
  • Los informes del Oficial de Cumplimiento a los diferentes órganos y personas involucradas en el SAGRILAFT.
  • Los documentos mediante los cuales las autoridades requieren información junto con sus respuestas.
  • Los procesos disciplinarios adelantados por eventuales incumplimientos al sistema.
  • Los planes y programas de capacitación y de divulgación del sistema.
  • Los reportes internos de operaciones inusuales o externos del sistema a la UIAF y otras autoridades.
  • Toda la documentación adicional que soporte de alguna forma el sistema. Esta documentación estará a cargo del Oficial de Cumplimiento, quien velará por su integridad, disponibilidad, cumplimiento, efectividad, eficiencia, reserva, confiabilidad y actualización. La conservará en forma centralizada y cronológica con las debidas seguridades, ya sea en medio escrito o en medio magnético.
4.7 REPORTES
4.7.1 REPORTES INTERNOS
  • Sobre operaciones inusuales e intentadas: Cuando quiera que alguno de los empleados o cualquier contraparte, evidencie operaciones inusuales o intentadas deberá reportarlo al Oficial de Cumplimiento, indicando las razones que determinan la operación como inusual o intentada. Este reporte lo pueden hacer al correo funcioncumplimientoAA@sophossolutions.com, al forms del anexo o al canal ético de la compañía.

  • Sobre señales de alerta: Cuando quiera que alguno de los empleados o cualquier contraparte, evidencie alguna señal de alerta deberá reportarse al Oficial de Cumplimiento, indicando las razones que determinan que se concrete la señal de alerta. Este reporte lo pueden hacer al correo funcioncumplimientoAA@sophossolutions.com, al forms del anexo o al canal ético de la compañía.

  • Sobre el monitoreo al LA/FT/FPADM: El Oficial de Cumplimiento, rendirá semestralmente informe tanto a la junta directiva como al Representante Legal sobre la evaluación y análisis de la eficiencia y efectividad del sistema, y en caso de proceder, propondrá las mejoras respectivas. El informe igualmente mostrará los resultados de la gestión del Oficial de Cumplimiento, en general, del cumplimiento del sistema.
4.7.2 REPORTES EXTERNOS
  • Reporte obligatorio de Operación Sospechosa (“ROS”) a la UIAF: Una vez determinada la Operación como sospechosa, el Oficial de Cumplimiento, realiza el reporte inmediato y directo a la UIAF. Las Operaciones intentadas o rechazadas que tengan características que les otorguen el carácter de sospechosas, también serán reportadas, al igual que las tentativas de vinculación comercial. Como el Reporte de Operaciones Sospechosas (ROS) no constituye denuncia penal, no requiere estar suscrito por funcionario alguno, sino que se realiza a nivel institucional. El ROS no dará lugar a ningún tipo de responsabilidad para SOPHOS SOLUTIONS SAS, ni para los directivos o empleados que hayan participado en su determinación y reporte, particularmente frente al Oficial de Cumplimiento. El ROS no exime del deber de denunciar, si a ello hubiere lugar. Para efectos de control y como apoyo en la gestión del riesgo de LA/FT/FPADM, el Oficial de Cumplimiento llevará un registro de los reportes que han sido enviados a la UIAF.

  • Reporte de ausencia de Operación intentada o Sospechosa (“AROS”) a la UIAF: En el evento que durante un periodo de tres (3) meses no se haya catalogado ninguna operación como sospechosa, el Oficial de Cumplimiento deberá reportar este hecho a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente al corte del período por el sistema de Reporte en Línea (SIREL) de la UIAF.
4.8 SANCIONES
La inobservancia o incumplimiento de las directrices contenidas en el Código de Ética, las políticas de Prevención de LA/FT/FPADM, y las medidas de control interno, se constituirá como falta GRAVE conforme lo establecido en el Reglamento Interno de Trabajo de SOPHOS, sin perjuicio de las sanciones legales aplicables.

El procedimiento sancionatorio para seguir es el determinado en la sección “ESCALA DE FALTAS Y SANCIONES DISCIPLINARIAS” del Reglamento Interno de Trabajo para los empleados de Sophos, artículos 46 a 51.
4.8.1 SANCIONES EN GENERAL
Las sanciones legales contra el lavado de activos, la financiación de terrorismo, la financiación para la proliferación de armas de destrucción (LA/FT/FPADM) son graves y puede implicar multas, sanciones administrativas o penales, como, por ejemplo, en lavado de activos, la pena de prisión entre diez (10) a treinta (30) años y multa de mil (1.000) a cincuenta mil (50.000) salarios mínimos legales mensuales vigentes contenida en el Código Penal Colombiano.

Además, Sophos Solutions podría enfrentar multas graves u otras sanciones penales por el lavado de activos, la financiación de terrorismo, la financiación para la proliferación de armas de destrucción (LA/FT/FPADM) por parte de los terceros vinculados a la compañía. Sin embargo, Sophos investigará a cualquier actividad que trasgreda la Política de SAGRILAFT/FPADM y, cuando sea procedente, pondrán en conocimiento de las autoridades competentes cualquier evento relacionado con (LA/FT/FPADM) y emprenderá y acompañará las acciones judiciales que sean pertinentes, además de tomar las medidas disciplinarias y sanciones pertinentes que pueden implicar incluso la terminación de la relación laboral, contractual, comercial o de cualquier otra índole.
4.9 CANALES DE DENUNCIA