Control Interno

Programa de administración en salud

Universidad de Córdoba

UNIDAD III. Gestión del riesgo

Generalidades.
¿Qué es el Riesgo?

El concepto de Administración del Riesgo se introduce en las entidades públicas, teniendo en

cuenta que todas las organizaciones independientemente de su naturaleza, tamaño y razón
de ser están permanentemente expuestas a diferentes riesgos o eventos que pueden poner
en peligro su existencia.
Desde la perspectiva del Control Interno, el modelo COSO (Committee on Sponsoring
Organisations of the Treadway Commission’s), adaptado para Colombia por el Icontec
mediante la Norma Técnica NTC5254, actualizada y reemplazada en 2011 por la Norma
Técnica NTC-ISO31000, interpreta que la eficiencia del control está en el manejo de los
riesgos, es decir: el propósito principal del control es la reducción de los mismos, propendiendo
porque el proceso y sus controles garanticen de manera razonable que los riesgos están
minimizados o se están reduciendo y, por lo tanto, que los objetivos de la entidad van a ser
alcanzados, y establece que la administración del riesgo es:

“Un proceso efectuado por la Alta Dirección de la entidad y por todo el personal para
proporcionar a la administración un aseguramiento razonable con respecto al logro de los
objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino
logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de
planeación”1

Para los efectos de este documento se aplica la siguiente definición:

Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos
institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.

Clases de Riesgos

El riesgo está vinculado con todo el quehacer; se podría afirmar que no hay actividad de la
vida, negocio o cualquier asunto que deje de incluirlos como una posibilidad.

Las entidades, durante el proceso de identificación del riesgo, pueden hacer una clasificación
de los mismos, con el fin de formular políticas de operación para darles el tratamiento indicado;
así mismo este análisis servirá de base para el impacto o consecuencias durante el proceso
de análisis del riesgo contemplado dentro de la metodología.

Se debe tener en cuenta que los riesgos no sólo son de carácter económico o están
únicamente relacionados con entidades financieras o con lo que se ha denominado riesgos
profesionales; estos hacen parte de cualquier gestión que se realice

1
INTOSAI: Guía para las normas de control interno del sector público
Entre las clases de riesgos que pueden presentarse están:

Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del
riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento
de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la
entidad por parte de la alta gerencia.

Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la

ciudadanía hacia la institución.

Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de

los sistemas de información institucional, de la definición de los procesos, de la estructura de
la entidad, de la articulación entre dependencias.

Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen:
la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes.

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los
requisitos legales, contractuales, de ética pública y en general con su compromiso ante la
comunidad.

Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para

satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

Identificación de Riesgos

La identificación del riesgo se realiza determinando las causas, con base en los factores
internos y/o externos analizados para la entidad, y que pueden afectar el logro de los objetivos.
Es importante centrarse en los riesgos más significativos para la entidad relacionados con los
objetivos de los procesos y los objetivos institucionales. Es allí donde, al igual que todos los
servidores, la gerencia pública adopta un papel proactivo en el sentido de visualizar en sus
contextos estratégicos y misionales los factores o causas que pueden afectar el curso
institucional, dada la especialidad temática que manejan en cada sector o contexto
socioeconómico.
Ejemplo

Análisis del riesgo

El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus
consecuencias, este último aspecto puede orientar la clasificación del riesgo, con el fin de
obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.
El análisis del riesgo depende de la información obtenida en la fase de identificación de riesgos.

Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados:
Probabilidad e Impacto.

Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida
con criterios de frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo
determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos
que pueden propiciar el riesgo, aunque este no se haya materializado.

Por Impacto se entienden las consecuencias que puede ocasionar a la organización la

materialización del riesgo.
Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos: Calificación
del riesgo y evaluación del riesgo.

Calificación del riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia

y el impacto que puede causar la materialización del riesgo.

Bajo el criterio de Probabilidad: el riesgo se debe medir a partir de las siguientes

especificaciones
Valoración del Riesgo
La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo
con los controles identificados, esto se hace con el objetivo de establecer prioridades para su
manejo y para la fijación de políticas. Para adelantar esta etapa se hace necesario tener
claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten
obtener información para efectos de tomar decisiones.

Acciones fundamentales para valorar el riesgo:

 Identificar controles existentes
 Verificar efectividad de los controles
 Establecer prioridades de tratamiento
Identificar Controles Existentes. Para realizar la valoración de los controles existentes es
necesario recordar que estos se clasifican en:
Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su
ocurrencia o materialización.
Correctivos: aquellos que permiten el restablecimiento de la actividad, después de ser
detectado un evento no deseable; también la modificación de las acciones que propiciaron su
ocurrencia.

Mapa de Riesgos.
El mapa de riesgos es una representación final de la probabilidad e impacto de uno o más
riesgos frente a un proceso, proyecto o programa.
Un mapa de riesgos puede adoptar la forma de un cuadro resumen que muestre cada uno de
los pasos llevados a cabo para su levantamiento.
GESTIONAR EL RIESGO

La gestión del riesgo se refiere a los principios y metodología para la gestión eficaz del riesgo,
mientras que gestionar el riesgo se refiere a la aplicación de estos principios y metodología a
riesgos particulares.

La administración del riesgo comprende el conjunto de elementos de control y sus

interrelaciones, para que la institución evalúe e intervenga aquellos eventos tanto internos
como externos que puedan afectar el logro de sus objetivos institucionales. La administración
del riesgo contribuye a que la entidad consolide su sistema de control interno y a que se genere
una cultura de autocontrol y autoevaluación al interior de la misma.

La gestión de riesgos persigue la disminución de las probabilidades de los impactos negativos

en un proyecto o en determinada actividad de la empresa y, al contrario, busca aumentar las
probabilidades de que se produzcan impactos positivos en esas actividades.

El conocimiento de los riesgos posibles, así como la probabilidad de producirse, permite una
planificación estratégica más efectiva. Esto conlleva a una mayor eficiencia y efectividad y,
consecuentemente, a unos menores costos asociados a esos imprevistos previamente
identificados y controlados. La continua revisión y comunicación de los datos propicia que
todos los miembros cuenten con una visión global del proyecto y los riesgos que conlleva.
Pasos en la Gestión de Riesgos

Apetito al Riesgo Tolerancia al Riesgo Límites

Los objetivos de las No obstante, no todas las Las organizaciones pueden
empresas han de contemplar compañías están dispuestas estar dispuestas a aceptar un
elementos como rentabilidad, a asumir el mismo nivel de nivel de riesgo determinado con
resultados, ratios riesgo para alcanzar sus sus actuaciones, pero eso no
comparativas, análisis de la objetivos. significa que sea el riesgo
máximo que puedan soportar.
competencia o situaciones Las empresas pueden
La capacidad de riesgo hace
normativas. Se trata de la gestionar una mayor o menor referencia a estos límites de las
primera base sobre la que cantidad de riesgo, según su compañías en la búsqueda de
trabaja la gestión de riesgos. naturaleza o del contexto en sus objetivos.
En este contexto, las el que se sitúan. De este
organizaciones están modo, la tolerancia al riesgo
dispuestas a aceptar riesgos de estas organizaciones
en la búsqueda de su misión varía en función del nivel de
y visión, vinculada a sus riesgo aceptado.
objetivos estratégicos.
Se trata del apetito al riesgo.

Sistemas de gestión de riesgos

Los sistemas de gestión de riesgos están diseñados para hacer más que solo identificar el
riesgo. El sistema también debe poder cuantificar el riesgo y predecir su impacto en el
proyecto. En consecuencia, el resultado es un riesgo aceptable o inaceptable. La aceptación
o no aceptación de un riesgo depende, a menudo, del nivel de tolerancia del gerente de
proyectos por el riesgo.

Si la gestión de riesgos es configurada como un proceso continuo y disciplinado de la

identificación y resolución de un problema, entonces el sistema complementará con facilidad
otros sistemas. Esto incluye la organización, la planificación y el presupuesto y el control de
costos. Las sorpresas disminuirán porque el énfasis ahora será una gestión proactiva en lugar
de una reactiva.

La gestión de riesgos: Un proceso continuo

Una vez que el equipo de la empresa identifica todos los posibles riesgos que pueden
perjudicar el éxito de esta, debe escoger los que tienen más probabilidades de suceder. Basará
su decisión en las experiencias pasadas respecto de la probabilidad de ocurrencia, su intuición,
las lecciones aprendidas, los datos históricos, entre otros.

A inicios de una empresa o proyecto hay más en riesgo que a medida que este avanza hacia
su finalización. En consecuencia, la gestión de riesgos debe hacerse a inicios del ciclo de vida
del proyecto o empresa, así como de manera continua.

La importancia es que la oportunidad y el riesgo por lo general permanecen relativamente altos

durante la planificación del proyecto (al inicio del ciclo de vida), por el contrario, durante la
ejecución, el riesgo cae de forma progresiva a niveles inferiores a medida que lo desconocido
se convierte en conocido. Al mismo tiempo, lo que está en juego aumenta de manera constante
a medida que los recursos necesarios se invierten de manera progresiva para completar el
proyecto.

El punto crítico es que la gestión de riesgos sea un proceso continuo y como tal se realice no
solo al inicio del proyecto, sino de manera continua a lo largo de la vida de la empresa
(proyecto).

Respuesta a los riesgos

La respuesta a los riesgos por lo general incluye:

 Prevención: Eliminación de una amenaza específica, a menudo al eliminar la causa.

 Mitigación: Reducción del valor monetario estimado de un riesgo al reducir la probabilidad
de ocurrencia.
 Aceptación: Aceptar las consecuencias del riesgo. Con frecuencia, esto se cumple al
desarrollar un plan de contingencia para ejecutar si el riesgo llega a ocurrir.

Al desarrollar un plan de contingencia, el equipo de proyectos participa en el proceso de

solución de un problema. El resultado final será un plan que se pueda aplicar al momento.

Lo que el equipo requiere es la habilidad de lidiar con los obstáculos para completar de forma
exitosa el proyecto, a tiempo y dentro del presupuesto. Los planes de contingencia ayudarán
a garantizar que el equipo pueda atender con rapidez la mayoría de problemas que surjan.

¿Por qué emplear la gestión de riesgos?

El propósito de la gestión de riesgos es la siguiente:

 Identificar posibles riesgos

 Reducir o dividir los riesgos
 Proporcionar una base racional para la toma de decisiones en relación con todos los
riesgos
 Planificar
Evaluar y gestionar riesgos es la mejor herramienta frente a las catástrofes en los proyectos.
Al evaluar el plan para potenciales problemas y al desarrollar estrategias para abordarlos,
mejorarán las probabilidades de éxito en la empresa o del proyecto.

Asimismo, la gestión de riesgos continua logrará lo siguiente:

 Garantizar que los riesgos de mayor prioridad sean gestionados de forma agresiva y que
todos los riesgos sean gestionados, cuidando los costos, a lo largo de la vida de la empresa
o proyecto.
 Proporcionar gestión en todos los niveles con la información necesaria para tomar
decisiones informadas en problemas críticos para el éxito de la empresa o del proyecto.

Si no se atacan de forma activa los riesgos, estos atacarán activamente.

¿Cómo emplear la gestión de riesgos?

Primero, se necesita considerar las diversas fuentes de riesgo. Esta lista no pretende ser
exhaustiva sino servir de guía para la lluvia de ideas inicial de todos los riesgos.

Varias fuentes de riesgo incluyen:

Gestión de proyectos
 Demasiados proyectos que se realizan al mismo tiempo
 Cronogramas imposibles de cumplir
 No hay una persona responsable de los proyectos
 Pobre control de los cambios realizados
 Problemas con los miembros del equipo
 Pobre control de los cambios de clientes
 Pobre comprensión del trabajo de responsable de los proyectos
 Persona equivocada asignada como responsable de los proyectos
 Prioridades del proyecto en conflicto
 Planeamiento y control no integrados
 Oficina de proyectos mal organizada

Externos
 Impredecibles
 Requisitos regulatorios inesperados
 Desastres naturales
 Vandalismo, sabotaje o efectos secundarios impredecibles
 Predecibles
 Riesgos del mercado u operacionales
 Riesgo social
 Riesgo ambiental
 Medios de comunicación
 Inflación
 Fluctuaciones en la divisa

 Técnicos
 Cambios tecnológicos
 Riesgos derivados de los procesos de diseño
 Legal
 Uso no autorizado de marcas y licencias
 Demandas por ruptura de contrato
 Problemas con la fuerza laboral o el lugar de trabajo
 Legislación

El proceso de análisis de riesgos

El proceso de análisis de riesgo es esencialmente un proceso de solución de problemas de
calidad. Las herramientas de calidad y de evaluación se utilizan para determinar y priorizar
riesgos de evaluación y resolución.
El proceso de análisis de riesgos es el siguiente:

Identificar del riesgo

 Este paso es la lluvia de ideas. Al revisar la lista de posibles fuentes de riesgo, así como la
experiencia y el conocimiento del equipo, se identifican todos los potenciales riesgos.
 Al utilizar un instrumento de evaluación, los riesgos son categorizados y priorizados. El
número de riesgos identificados a menudo excede la capacidad de tiempo del equipo para
analizar y desarrollar contingencias. El proceso de priorización ayuda a gestionar aquellos
riesgos que tienen un alto impacto y una alta probabilidad de ocurrencia.
Evaluar los riesgos
 Con frecuencia, la solución de problemas tradicional transita de la identificación de
problemas a la solución de problemas. Sin embargo, antes de intentar determinar
cómo gestionar mejor los riesgos, el equipo debe identificar los orígenes de tales riesgos.
Desarrollo de respuestas frente al riesgo
 Ahora el equipo está listo para el proceso de evaluación de posibles remedios para
gestionar el riesgo o tal vez evitar que el riesgo ocurra.

Desarrollo de un plan de contingencia o medidas preventivas para el riesgo

 El equipo convertirá en tareas las ideas que fueron identificadas para reducir o eliminar las
probabilidades de riesgo.
 Aquellas tareas identificadas para gestionar el riesgo, si ocurren, se desarrollan en
pequeños planes de contingencia que pueden dejarse de lado. Si el riesgo ocurriese, se
aplican las tareas identificadas, reduciéndose así la probabilidad de tener que gestionar
una crisis.
La Administración del Riesgo es:

“Un proceso efectuado por la Alta Dirección de la entidad y por todo el personal para
proporcionar a la administración un aseguramiento razonable con respecto al logro de los
objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino
logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de
planeación”

La administración del Riesgo comprende el conjunto de Elementos de Control y sus

interrelaciones, para que la institución evalúe e intervenga aquellos eventos, tanto internos
como externos, que puedan afectar de manera positiva o negativa el logro de sus objetivos
institucionales. La administración del riesgo contribuye a que la entidad consolide su Sistema
de Control Interno y a que se genere una cultura de Autocontrol y autoevaluación al interior de
la misma.

El concepto de Administración del Riesgo se introduce en las entidades públicas, teniendo en

cuenta que todas las organizaciones independientemente de su naturaleza, tamaño y razón
de ser están permanentemente expuestas a diferentes riesgos o eventos que pueden poner
en peligro su existencia.

Políticas de Administración del Riesgo

Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración
de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos, que van a
transmitir la posición de la dirección y establecen las guías de acción necesarias a todos los
servidores de la entidad.

Objetivos de la Administración del Riesgo.

Cuando la administración del riesgo se implementa y se mantiene, le permite a la entidad:

 Aumentar la probabilidad de alcanzar los objetivos y proporcionar a la administración un
aseguramiento razonable con respecto al logro de los mismos.
 Ser consciente de la necesidad de identificar y tratar los riesgos en todos los niveles de la
entidad.
 Involucrar y comprometer a todos los servidores de las entidades de la Administración
Pública en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos.
 Cumplir con los requisitos legales y reglamentarios pertinentes.
 Mejorar el Gobierno.
 Proteger los recursos del Estado.
 Establecer una base confiable para la toma de decisiones y la planificación.
 Asignar y usar eficazmente los recursos para el tratamiento del riesgo.
 Mejorar la eficacia y eficiencia operativa.
 Mejorar el aprendizaje y la flexibilidad organizacional.
Las etapas sugeridas para una adecuada administración del Riesgo son las siguientes:

Compromiso de la alta y media dirección, como encargadas de estimular la cultura de la

identificación y prevención del riesgo y de definir las políticas para la gestión de los riesgos
identificados y valorados entre las que se encuentran la definición de canales directos de
comunicación y el apoyo a todas las acciones emprendidas en este sentido, propiciando los
espacios y asignando los recursos necesarios. Así mismo, debe designar a un directivo de
primer nivel (debe ser el mismo que tiene a cargo el desarrollo o sostenimiento del MECI y el
Sistema de Gestión de la Calidad) que asesore y apoye todo el proceso de diseño e
implementación del Componente.

Conformación de un Equipo MECI o de un grupo interdisciplinario: Es importante conformar un

equipo que se encargue de liderar el proceso dentro de la entidad y cuente con un canal directo
de comunicación con los designados de la dirección y de las diferentes dependencias. Dicho
equipo lo deben integrar personas de diferentes dependencias que conozcan muy bien la
entidad y el funcionamiento de los diferentes procesos para que se facilite la aplicación de la
metodología y la construcción de los mapas de riesgos por proceso e institucionales.

Capacitación en la metodología: Definido el Equipo MECI o el grupo interdisciplinario, debe

capacitarse a sus integrantes en la metodología sobre administración del Riesgo y su relación
con los demás Subsistemas y Elementos del Modelo Estándar de Control Interno- MECI, de
modo que se conviertan en multiplicadores de esta información al interior de cada uno los
procesos donde sea que participen. Ellos se convertirán en capacitadores de otros servidores
o bien podrán acompañar el levantamiento de los mapas al interior de sus procesos.
Proceso para la Administración del Riesgo

Las entidades de la administración pública deben darle cumplimiento a su misión constitucional

y legal, a través de sus objetivos institucionales, los cuales se desarrollan a partir del diseño y
ejecución de los diferentes planes, programas y proyectos.
El cumplimiento de dichos objetivos puede verse afectado por factores tanto internos como
externos que crean riesgos frente a todas sus actividades, razón por la cual se hace necesario
contar con acciones tendientes a administrarlos.
El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el
fin de asegurar dicho manejo es importante que se establezca el entorno y ambiente
organizacional de la entidad, la identificación, análisis, valoración y definición de las
alternativas de acciones de mitigación de los riesgos, esto en desarrollo de los siguientes
elementos:
• Contexto estratégico
• Identificación de riesgos
• Análisis de riesgos
• Valoración de riesgos
• Políticas de administración de riesgos

Contexto estratégico.
Son las condiciones internas y del entorno, que pueden generar eventos que originan
oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una
institución.
Las situaciones del entorno o externas pueden ser de carácter social, cultural, económico,
tecnológico, político y legal, bien sean internacional, nacional o regional según sea el caso de
análisis.
Las situaciones internas están relacionadas con la estructura, cultura organizacional, el modelo
de operación, el cumplimiento de los planes y programas, los sistemas de información, los
procesos y procedimientos y los recursos humanos y económicos con los que cuenta una
entidad.
Ejemplo Aplicado a la metodología
Plan anticorrupción y de atención al ciudadano.2

El Plan Anticorrupción y de Atención al Ciudadano hace parte del Modelo Integrado de

Planeación y Gestión, que se aplica a las entidades y organismos de la Rama Ejecutiva del
Poder Público del Orden Nacional. Está contemplado dentro de la política de desarrollo
administrativo de transparencia, participación y servicio al ciudadano.

Marco Normativo

2
Departamento administrativo de la función pública. Estrategias para la construcción del plan anticorrupción y de
atención al ciudadano. 2015
Presupuesto del Plan Anticorrupción: Supone la creación de una estrategia por parte de la
entidad orientada a combatir la corrupción en cumplimiento del artículo 73 de la Ley 1474 de
2011.
Entidades encargadas de elaborarlo: El Plan Anticorrupción y de Atención al Ciudadano lo
deben realizar las entidades del orden nacional, departamental y municipal.
Componentes: El Plan Anticorrupción y de Atención al Ciudadano está integrado por políticas
autónomas e independientes, que gozan de metodologías para su implementación con
parámetros y soportes normativos
propios. No implica para las entidades realizar actividades diferentes a las que ya vienen
ejecutando en desarrollo de dichas políticas.

El Plan Anticorrupción y de Atención al Ciudadano lo integran las siguientes políticas públicas:

a) Gestión del Riesgo de Corrupción - Mapa de Riesgos de Corrupción y medidas para mitigar
los riesgos.
b) Racionalización de Trámites.
c) Mecanismos para mejorar la Atención al Ciudadano.
d) Rendición de Cuentas.
e) Mecanismos para la Transparencia y Acceso a la Información.

Es necesaria la:
✓✓ Apropiación del Plan Anticorrupción y de Atención al Ciudadano por parte de la Alta
Dirección de la entidad.
✓✓ Socialización del Plan Anticorrupción y de Atención al Ciudadano, antes de su publicación,
para que actores internos y externos formulen sus observaciones y propuestas.
✓✓ Promoción y divulgación del Plan Anticorrupción y de Atención al Ciudadano. Las
entidades deberán promocionarlo y divulgarlo dentro de su estrategia de rendición de cuentas.
✓✓ El Plan Anticorrupción y de Atención al Ciudadano debe elaborarse anualmente.
✓✓ Debe publicarse a más tardar el 31 de enero de cada año.
✓✓ A la Oficina de Planeación o quien haga sus veces le corresponde liderar su elaboración y
su consolidación.
✓✓ Cada responsable del componente junto con su equipo propondrá las acciones del Plan
Anticorrupción y de Atención al Ciudadano.
✓✓ El plan debe contener una acción integral y articulada con los otros instrumentos de la
gestión o planes institucionales. No actividades y supuestos de acción separados.
✓✓ Ser una apuesta institucional para combatir la corrupción.

Adicionales. Las iniciativas que la entidad considere necesarias para combatir la corrupción.
Se sugiere: Código de Ética con una política de conflicto de interés, canales de denuncia de
hechos de corrupción, mecanismos para la protección al denunciante, unidades de reacción
inmediata a la corrupción entre otras.
Elaboración y consolidación: Se elabora anualmente. A la Oficina de Planeación o quien
haga sus veces le corresponde:
- Liderar todo el proceso de construcción del Plan Anticorrupción y de Atención al Ciudadano,
quien coordinará con los responsables de los componentes su elaboración.
- Consolidar el Plan Anticorrupción y de Atención al Ciudadano.

Objetivos: Cada entidad en su Plan Anticorrupción y de Atención al Ciudadano debe formular

los objetivos generales y específicos que establezcan la apuesta institucional en la lucha contra
la corrupción. De tal manera que las actividades plasmadas en el Plan deben orientarse al
cumplimiento de dichos objetivos.
Acción Integral y articulada: El Plan Anticorrupción y de Atención al Ciudadano debe
contener una acción integrar y articulada con los instrumentos o planes institucionales, toda
vez que no se trata de una unidad propia de gestión, sino un compilado de políticas.
Socialización: Es necesario dar a conocer los lineamientos establecidos en el Plan
Anticorrupción y de Atención al Ciudadano, durante su elaboración, antes de su publicación y
después de publicado. Para el efecto, la entidad debe involucrar a los servidores públicos,
contratistas, a la ciudadanía y a los
Interesados externos.
Para lograr este propósito la Oficina de Planeación deberá diseñar y poner en marcha las
actividades o mecanismos necesarios para que al interior de la entidad conozcan, debatan y
formulen apreciaciones y propuestas sobre el proyecto del Plan Anticorrupción y de Atención
al Ciudadano.
Así mismo, dicha Oficina adelantará las acciones para que la ciudadanía y los interesados
externos conozcan y manifiesten sus consideraciones y sugerencias sobre el proyecto del Plan
Anticorrupción y de Atención al Ciudadano. Las observaciones formuladas deberán ser
estudiadas y respondidas por la entidad y de considerarlas pertinentes se incorporará en el
documento del Plan Anticorrupción y de Atención al Ciudadano.
Publicación y monitoreo: Una vez elaborado el Plan Anticorrupción y de Atención al
Ciudadano debe publicarse a más tardar el 31 de enero de cada año en la página web1 de la
Entidad (en un sitio de fácil ubicación y según los lineamientos de Gobierno en Línea). A partir
de esta fecha cada responsable dará inicio a la ejecución de las acciones contempladas en
cada uno de sus componentes.
Cada responsable del componente con su equipo y el Jefe de Planeación deben monitorear y
evaluar permanentemente las actividades establecidas en el Plan Anticorrupción y de Atención
al Ciudadano. Las acciones contempladas en cada uno de sus componentes.
Alta Dirección: Es importante la responsabilidad que debe asumir la Alta Dirección de la
entidad frente al Plan Anticorrupción y de Atención al Ciudadano. En este sentido es la
responsable de que sea un instrumento de gestión, le corresponde darle contenido estratégico
y articularlo con la gestión y los objetivos de la entidad; ejecutarlo y generar los lineamientos
para su promoción y divulgación al interior y al exterior de la entidad, así como el seguimiento
a las acciones planteadas.
Ajustes y modificaciones: Después de la publicación del Plan Anticorrupción y de Atención
al Ciudadano, durante el respectivo año de vigencia, se podrán realizar los ajustes y las
modificaciones necesarias orientadas a mejorarlo. Los cambios introducidos deberán ser
motivados, justificados e informados a la oficina de control interno, los servidores públicos y
los ciudadanos; se dejarán por escrito y se publicarán en la página web de
la entidad.
Promoción y divulgación: Una vez publicado, la entidad debe adelantar las actuaciones
necesarias para dar a conocer interna y externamente el Plan Anticorrupción y de Atención al
Ciudadano y su seguimiento y monitoreo. Así mismo, las entidades deberán promocionarlo y
divulgarlo dentro de su estrategia de rendición de cuentas.
Sanción por incumplimiento: Constituye falta disciplinaria grave el incumplimiento de la
implementación del Plan Anticorrupción y de Atención al Ciudadano.

Seguimiento al Plan Anticorrupción y de Atención al Ciudadano.

A la Oficina de Control Interno o quien haga sus veces le corresponde adelantar la verificación
de la elaboración y de la publicación del Plan.
Le concierne así mismo a la Oficina de Control Interno efectuar el seguimiento y el control a la
implementación y a los avances de las actividades consignadas en el Plan Anticorrupción y de
Atención al Ciudadano.
La Oficina de Control Interno realizará seguimiento (tres) 3 veces al año, así:
Primer seguimiento: Con corte al 30 de abril. En esa medida, la publicación deberá surtirse
dentro de los diez (10) primeros días hábiles del mes de mayo.
Segundo seguimiento: Con corte al 31 de agosto. La publicación deberá surtirse dentro de
los diez (10) primeros días hábiles del mes de septiembre.
Tercer seguimiento: Con corte al 31 de diciembre. La publicación deberá surtirse dentro de
los diez (10) primeros días hábiles del mes de enero.
En caso de que la Oficina de Control Interno o quien haga sus veces, detecte retrasos o
demoras o algún tipo de incumplimiento de las fechas establecidas en el cronograma del Plan
Anticorrupción y de Atención al Ciudadano, deberá informarle al responsable para que se
realicen las acciones orientadas a cumplir la actividad de que se trate.
Gestión del riesgo de corrupción.3

Aspectos generales para la gestión del riesgo de corrupción

 Causa: Medios, circunstancias, situaciones o agentes generadores del riesgo.

 Consecuencia: Efectos generados por la ocurrencia de un riesgo que afecta los objetivos o
un proceso de la entidad. Pueden ser entre otros, una pérdida, un daño, un perjuicio, un
detrimento.
 Corrupción: “Uso del poder para desviar la gestión de lo público hacia el beneficio privado.”
 Gestión del Riesgo de Corrupción: Es el conjunto de “Actividades coordinadas para dirigir
y controlar una organización con respecto al riesgo” de corrupción.
 Impacto. Son las consecuencias o efectos que puede generar la materialización del riesgo
de corrupción en la entidad.
 Mapa de Riesgos de Corrupción: Documento con la información resultante de la gestión
del riesgo de corrupción.
 Modelo Integrado de Planeación y de Gestión: Instrumento de articulación y reporte de la
planeación de cinco políticas de desarrollo administrativo.

Gestión del riesgo de corrupción.

El modelo para gestionar este riesgo, toma como punto de partida los parámetros impartidos
por el Modelo Estándar de Control Interno (MECI) contenidos en la Metodología de
Administración de Riesgos de Función Pública.

Política de Administración del Riesgo de Corrupción

La Política de Administración de Riesgos hace referencia al propósito de la Alta Dirección de
gestionar el riesgo. Esta política debe estar alineada con la planificación estratégica de la
entidad, con el fin de garantizar la eficacia de las acciones planteadas frente a los riesgos de
corrupción identificados. Dentro del mapa institucional y de política de administración del riesgo
de la entidad
deberán contemplarse los riesgos de corrupción, para que a partir de ahí se realice un
monitoreo a los controles establecidos para los mismos.

Construcción del mapa de riesgos de corrupción

3
Departamento administrativo de la función pública. Guía para la gestión del riesgo de corrupción.
Identificación de riesgos de corrupción.
Tiene como principal objetivo conocer las fuentes de los riesgos de corrupción, sus causas y
sus consecuencias.

Los pasos que comprende esta etapa son los siguientes:

a) Contexto: Es necesario determinar los factores externos e internos que afectan positiva o
negativamente el cumplimiento de la misión y los objetivos de una entidad. Las condiciones
externas pueden ser económicas, sociales, culturales, políticas, legales, ambientales o
tecnológicas.
Por su parte, las internas se relacionan con la estructura, cultura organizacional, el
cumplimiento de planes, programas y proyectos, procesos y procedimientos, sistemas de
información, modelo de operación, recursos humanos y económicos con que cuenta la entidad.
b) Construcción del Riesgo de Corrupción: Su objetivo es identificar los riesgos de corrupción
inherentes al desarrollo de la actividad de la entidad pública.
Pasos:
 Procesos: El Mapa de Riesgos de Corrupción se elabora sobre procesos. En este sentido
se deben tener en cuenta los procesos señalados en la Norma Técnica de Calidad en la
Gestión Pública. Es decir, procesos estratégicos, procesos misionales, de apoyo y de
evaluación.
 Objetivos: Señalar el objetivo del proceso al que se le identificarán los riesgos de
corrupción.
 Causas: Se busca de manera general determinar una serie de situaciones que, por sus
particularidades, pueden originar prácticas corruptas. Para el efecto, pueden utilizarse
diferentes fuentes de información, como los registros históricos o informes de años
anteriores y en general toda la memoria institucional. Se recomienda el análisis de hechos
de corrupción -si los hay- presentados en los últimos años en la entidad, las quejas,
denuncias e investigaciones adelantadas; así como los actos de corrupción presentados
en entidades similares.
 Riesgos de corrupción: Identificar los riesgos de corrupción, en el entendido que
representan la posibilidad de que por acción u omisión se use el poder para desviar la
gestión de lo público hacia un beneficio privado.
 Consecuencias: Determinar efectos ocasionados por la ocurrencia de un riesgo que afecta
los objetivos o procesos de la entidad. Pueden ser una pérdida, un daño, un perjuicio, un
detrimento.

Valoración del Riesgo de Corrupción

a) Análisis del Riesgo de Corrupción: Se orienta a determinar la probabilidad de materialización

del riesgo y sus consecuencias o su impacto.

• Probabilidad. Es la oportunidad de ocurrencia de un evento de riesgo. Se mide según la

frecuencia (número de veces en que se ha presentado el riesgo en un período determinado) o
por la factibilidad (factores internos o externos que pueden determinar que el riesgo se
presente).

• Impacto. Son las consecuencias o efectos que puede generar la materialización del riesgo
de corrupción en la entidad.
b) Evaluación del Riesgo de Corrupción: Su objetivo es comparar los resultados del análisis de
riesgos con los controles establecidos, para determinar la zona de riesgo final.

Pasos:
Determinar la naturaleza de los controles.
• Preventivos, se orientan a eliminar las causas del riesgo para prevenir su ocurrencia o
materialización.
• Detectivos, aquellos que registran un evento después presentado; sirven para descubrir
resultados no previstos y alertar sobre la presencia de un riesgo.
• Correctivos, aquellos que permiten restablecer la actividad, después de detectado el evento
no deseado. Permiten modificar las acciones que determinaron su ocurrencia.
• Determinar si los controles están documentados: Con el fin de establecer la manera como se
realiza el control, el responsable y periodicidad de su ejecución.

Determinar las clases de controles

• Manuales: políticas de operación aplicables, autorizaciones a través de firmas o

confirmaciones vía correo electrónico, archivos físicos, consecutivos, listas de chequeos,
controles de seguridad con personal especializado entre otros.
• Automáticos: utilizan herramientas tecnológicas como sistemas de información o software,
diseñados para prevenir, detectar o corregir errores o deficiencias, sin que tenga que intervenir
una persona en el proceso.

Matriz de Riesgos de Corrupción

Una vez desarrollado el proceso de construcción del Mapa de Riesgos de Corrupción, se
elabora la matriz de Riesgos de Corrupción de la entidad. Este documento se debe publicar en
su página web.

Consulta y Divulgación
Deberá surtirse en todas las etapas de construcción del Mapa de Riesgos de Corrupción en el
marco de un proceso participativo que involucre actores internos y externos de la entidad.
Concluido este proceso de participación deberá procederse a su divulgación (V.gr. a través de
la página web).

Monitoreo y Revisión
Los líderes de los procesos en conjunto con sus equipos deben monitorear y revisar
periódicamente el documento del Mapa de Riesgos de Corrupción y si es del caso ajustarlo
haciendo públicos los cambios.
Su importancia radica en la necesidad de monitorear permanentemente la gestión del riesgo y
la efectividad de los controles establecidos. Teniendo en cuenta que la corrupción es —por sus
propias características— una actividad
difícil de detectar.
En esta fase se debe:
• Garantizar que los controles son eficaces y eficientes.
• Obtener información adicional que permita mejorar la valoración del riesgo.
• Analizar y aprender lecciones a partir de los eventos, los cambios, las tendencias, los éxitos
y los fracasos.
• Detectar cambios en el contexto interno y externo.
• Identificar riesgos emergentes.
Seguimiento
La Oficina de Control Interno o quien haga sus veces, debe adelantar seguimiento al Mapa de
Riesgos de Corrupción. En este sentido es necesario que en sus procesos de auditoría interna
analice las causas, los riesgos de
corrupción y la efectividad de los controles incorporados en el Mapa de Riesgos de Corrupción.
SARLAFT. Sistema de administración de riesgos para el lavado de activos y financiación
del terrorismo.

Qué es Sarlaft
El Sarlaft está compuesto por cuatro etapas y ocho elementos para prevenir el lavado de
activos. Infolaft presenta un artículo introductorio que ilustrará a sus lectores sobre todos los
aspectos de este modelo.

Definición del Sarlaft

Si queremos desarrollar la definición de Sarlaft un poco más, podríamos decir que es un
sistema compuesto de etapas y elementos para que las entidades vigiladas por la
Superintendencia Financiera de Colombia gestionen el riesgo de ser utilizadas como
instrumento para dar apariencia de legalidad a activos provenientes de actividades delictivas,
o para la canalización de recursos hacia la realización de actividades terroristas.
Las etapas consisten en identificar, medir, controlar y hacer monitoreo de los riesgos de lavado
de activos y financiación del terrorismo. Los elementos que soportan este propósito son ocho:
políticas, procedimientos, documentación, estructura organizacional, órganos de control,
infraestructura tecnológica, divulgación de la información y capacitación.
En 2008 la Superintendencia Financiera decidió actualizar y mejorar el sistema anterior,
conocido como Sistema Integral para la Prevención del Lavado de Activos (Sipla) y crear uno
nuevo que se denomina Sarlaft. Este nuevo sistema se creó mediante la expedición de la
circular 22 de 2007, la cual modificó la Circular Básica Jurídica de la antigua Superintendencia
Bancaria –hoy Superintendencia Financiera– que establecía los controles relativos al lavado
de activos.
Para la Superintendencia Financiera, según un comunicado publicado en julio de 2008, el
Sarlaft es el mecanismo que les permite a las entidades financieras “prevenir la pérdida o daño
que pueden sufrir por su propensión a ser utilizadas directamente por sus accionistas,
administradores o funcionarios, o a través de sus operaciones como instrumento para el lavado
de activos y/o canalización de recursos hacia la realización de actividades terroristas, por sus
clientes o usuarios”.
Es importante aclarar que no existe un Sarlaft tipo o modelo. Cada entidad tiene que crear,
desarrollar y perfeccionar su propio Sarlaft o sistema de gestión del riesgo de lavado de activos
y financiación del terrorismo. Por tal motivo habrá tantos Sarlaft como entidades que apliquen
esta norma de la Superintendencia Financiera.
El Sarlaft debe entenderse desde el punto de vista legal como una norma de la autoridad
reguladora, un estándar mínimo que debe ser desarrollado y una recopilación de guías y
mejores prácticas que se elevan a una norma de naturaleza obligatoria.
Pero, desde el punto de vista interno, el Sarlaft se desarrolla y se personaliza para volverse el
Sarlaft de la entidad. En este punto comienza a ser un sistema vivo y dinámico con recursos,
presupuesto y responsables.
El Sarlaft para los funcionarios de la entidad se da a conocer mediante políticas y
procedimientos que se convierten en el Manual Sarlaft. También se le asignan funciones a un
área que se denomina de diferentes formas, pero a la cual algunas veces se le da el mismo
nombre: área Sarlaft. Se puede llegar a crear el comité Sarlaft, la cartilla Sarlaft, el aplicativo
Sarlaft, el curso Sarlaft, el examen Sarlaft y de esta manera pasamos de lo abstracto a lo
concreto.
Marco legal del Sarlaft
En la actualidad la norma Sarlaft está contenida dentro del Capítulo IV del Título IV en la Parte
I de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia.
Esta norma da pautas acerca de la forma como se debe cumplir el Estatuto Orgánico del
Sistema Financiero en lo relativo a su Artículo 102 y siguientes, los cuales desarrollan el tema
de la prevención de actividades delictivas. Este estatuto ha tenido modificaciones expresas en
materia de LA/FT mediante el Estatuto Anticorrupción y la Ley Contra la Financiación del
Terrorismo.

Etapas del Sarlaft

La Superintendencia Financiera establece que la gestión del riesgo se debe desarrollar
mediante las siguientes etapas:
1. Identificación del riesgo de LA/FT
2. Medición de la probabilidad y el impacto del riesgo de LA/FT
3. Control del riesgo de LA/FT
4. Monitoreo del riesgo de LA/FT

Elementos del Sarlaft

Las etapas por sí solas no constituyen el Sarlaft, estas deben ser implementadas mediante
una serie de acciones y recursos que la norma ha denominado elementos. Este artículo no
pretende abarcar todos los elementos del Sarlaft y algunos se tratan en forma tangencial
cuando se relacionan con las etapas.

Elementos y su alcance
Políticas:
Son los lineamientos generales que deben adoptar las entidades vigiladas en relación con el
Sarlaft. Cada una de las etapas y elementos del sistema debe contar con unas políticas claras
y efectivamente aplicables.
Procedimientos:
Las entidades deben establecer los procedimientos aplicables para la adecuada
implementación y funcionamiento de los elementos y las etapas del Sarlaft
Documentación:
Las etapas y los elementos del Sarlaft implementados por la entidad deben constar en
documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad
de la información allí contenida.
Estructura organizacional:
Las entidades deben establecer y asignar las facultades y funciones en relación con las
distintas etapas y elementos del Sarlaft.
Órganos de control:
Las entidades deben establecer órganos e instancias responsables de efectuar una evaluación
del Sarlaft, a fin de que se puedan determinar sus fallas o debilidades e informarlas a las
instancias pertinentes.
Infraestructura tecnológica:
Las entidades deben contar con la tecnología y los sistemas necesarios para garantizar la
adecuada administración del riesgo de LA/FT. Para ello deben contar con un soporte
tecnológico acorde con sus actividades, operaciones, riesgo y tamaño.
Divulgación de información:
Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto
internos como externos que garantice el funcionamiento de sus procedimientos y los
requerimientos de las autoridades competentes.
Capacitación:
Las entidades deben diseñar, programar y coordinar planes de capacitación sobre el Sarlaft
dirigidos a todas las áreas y funcionarios de la entidad.
Tal vez el elemento más complejo por su alcance y por la diversidad de temas que lo conforman
es el que hace referencia a los procedimientos. Por esta razón decidimos mostrar los dos
componentes principales de los procedimientos: los mecanismos y los instrumentos.
Componente de
Alcance según la Superintendencia Financiera
los procedimientos
Esto incluye:
1. Conocer al cliente actual y potencial
Mecanismos 2. Conocer el mercado
3. Identificar y analizar las operaciones inusuales
4. Determinar y reportar las operaciones sospechosas
Esto incluye:
1. Señales de alerta
Instrumentos 2. Segmentación de los factores de riesgo en relación con el mercado
3. Seguimiento de operaciones
4. Consolidación periódica de operaciones
En su momento, el Sarlaft fue un invento nuevo, un esfuerzo por mejorar lo que se venía
haciendo para transformarlo en algo más efectivo. No existe una sola forma de desarrollar el
Sarlaft, pues la norma permite que cada entidad seleccione sus propias metodologías.
Como el Sarlaft desarrolla los Artículos 102 al 107 del Estatuto Orgánico del Sistema
Financiero, es necesario tener presente esa norma, de mayor jerarquía, al momento de
interpretar los alcances de este sistema.

De la teoría a la práctica
Aparte del aprendizaje adquirido en el trabajo de diseño de los Sarlaft de muchas entidades
de los sectores financiero y real en Colombia, la actividad de consultoría y de docencia nos ha
dado la posibilidad de comparar nuestra visión del Sarlaft con nuestros clientes –en su mayoría
oficiales de cumplimiento y directivos de entidades financieras– y los demás profesores de los
programas.
También hemos sido invitados por la Superintendencia Financiera de Colombia a exponer
nuestros puntos de vista junto con otros consultores y mediante un diálogo constructivo, hemos
enriquecido mutuamente nuestras posiciones. Pero tal vez el ejercicio más retador, y por lo
tanto el más fructífero, es el que se ha dado al interior de las entidades vigiladas.
Las diferentes áreas de las entidades, cada una con intereses, enfoques y necesidades
propias, nos retaron intelectualmente, permitiéndonos probar y perfeccionar en la práctica las
bases teóricas que habíamos construido.

Del KYC al KYR

La forma como la humanidad enfrenta la plaga del lavado de activos y la financiación del
terrorismo ha cambiado y, consecuentemente, ha cambiado el rol que nosotros tenemos en
este campo.
Desde hace más de treinta años la lucha contra el lavado de activos se ha centrado en una
idea que es a la vez simple y ambiciosa: conozca a su cliente.
Este concepto se ha vuelto un mandato imperioso para todos los profesionales que, en razón
del negocio que realizan, deben ejercer una debida diligencia en materia de lavado de activos
y financiación del terrorismo.
Recientemente el concepto de conocer al cliente le ha dado paso a otro más complejo y
exigente: conozca su riesgo. Ya no basta con identificar los clientes, solicitarles documentos
de soporte y monitorear sus operaciones para detectar todo movimiento que pueda salirse de
su perfil de comportamiento.
Adicionalmente, las entidades vigiladas deben emplear métodos técnicos de gestión de riesgo
que permitan descomponer los factores que generan algún tipo de amenaza para la entidad.
Esto es lógico, pues el riesgo no proviene simplemente del cliente, puede provenir de un
usuario, un canal, un producto o una jurisdicción.
Este avance, propuesto por el regulador, fue acogido de una forma crítica pero constructiva
por las entidades vigiladas. Muy pronto, estas dispusieron de enormes presupuestos para
poner a tono sus sistemas de control y avanzar en la dirección de la gestión integral del riesgo
de lavado de activos y financiación del terrorismo.
Una nueva dinámica muy interesante que se denotó en el sector financiero con la
implementación del Sarlaft fue que los oficiales de cumplimento se profesionalizaron mediante
la capacitación en gestión del riesgo en reconocidas universidades; las juntas directivas de las
entidades aprobaron metodologías, manuales y mediciones que les han permitido intervenir
de manera directa en la estrategia que emplean sus entidades para minimizar la probabilidad
y/o las consecuencias de estar relacionadas con activos de origen ilícito, o de servir para la
canalización de activos para actividades terroristas.
Ya no basta con conocer los clientes, en inglés KYC (Know Your Client), debido a que esta
forma de enfrentar el problema se volvió obsoleta pues los delincuentes aprendieron a
suplantar clientes, comprar compañías que gozaban de buena reputación, infiltrar negocios
lícitos, abusar de la confianza de las personas de bien, entre otras, vulnerando así los controles
basados en los clientes.
Debido a lo anterior hay que entender a la entidad como un sistema que ofrece ‘oportunidades’
a los delincuentes desde una perspectiva más amplia que no se limita únicamente a la
condición de cliente.
Hay que estar vigilantes de todos los aspectos de la operación, la cual incluye los clientes,
pero también sus usuarios, los canales transaccionales y de ventas, los productos y las
jurisdicciones en las cuales tiene presencia o intereses.
Con lo anterior en mente es claro que debemos pasar del KYC a lo que podríamos denominar
el KYR (Know Your Risk) o en español: conozca su riesgo.

Antecedentes del Sarlaft

La gestión profesional del riesgo en las entidades financieras y en las empresas no es un tema
nuevo, tampoco lo es la prevención del lavado de activos y la financiación del terrorismo.
Lo novedoso del Sarlaft radicó en que varias organizaciones y autoridades a nivel mundial en
este campo coincidieron en recomendar el enfoque de gestión de riesgo para el tema de LA/FT.
Como lo veremos en este punto, ya existía en Colombia una norma encaminada en este
sentido.
También las nuevas 40 Recomendaciones del Gafi contemplan esta filosofía, y varios países
tienen sistemas que involucran este enfoque. El Sarlaft colombiano ha sido entendido por
varios observadores como una propuesta ambiciosa y muy completa dentro de esta tendencia.
Para el caso colombiano, el principal antecedente del enfoque de gestión de riesgo fue incluido
en 1993 en el Estatuto Orgánico del Sistema Financiero colombiano, norma que en su Artículo
102 Numeral 4 establece:
“Alcance y cobertura del control. Los mecanismos y auditoría de que trata este artículo podrán
versar exclusivamente sobre las transacciones, operaciones o saldos cuyas cuantías sean
superiores a las que se fijen como razonables y suficientes. Tales cuantías se establecerán en
el mecanismo que adopte cada entidad atendiendo al tipo de negocios que realiza, amplitud
de su red, los procedimientos de selección de clientes, el mercadeo de sus productos,
capacidad operativa y nivel de desarrollo tecnológico”.
Esta norma, actualmente vigente, sirvió para establecer el marco general del antiguo Sipla, y
hoy se desarrolla ampliamente en el Sarlaft. En el fragmento anterior se observa que las
entidades le podrán dar un tratamiento diferente a los controles, según “las transacciones,
operaciones o saldos cuyas cuantías sean superiores a las que se fijen como razonables y
suficientes”.
En el año 2006, la Reserva Federal de los Estados Unidos, por intermedio del Consejo de
Supervisión de Instituciones Financieras (Federal Financial Institution Examination Council)
publicó el Manual de Supervisión de los Sistemas Anti lavado. Este documento contiene el
concepto de gestión del riesgo de acuerdo con la exposición de la entidad. Además, incluye
una matriz de riesgo y un esquema del sistema de cumplimiento basado en riesgo, similar al
que mostramos a continuación:
Por otro lado, Australia, uno de los países líderes en la lucha contra el lavado de activos y la
financiación del terrorismo en el mundo, expidió en 2006 una nueva ley sobre control de LA/FT
–Anti-Money Laundering and Counter Terrorism Financing Act 2006–.
Esta norma también desarrolla el enfoque de gestión de riesgo. Posteriormente, en 2007
Austrac, la Unidad de Inteligencia Financiera de dicho país, publicó una Guía de Gestión de
Riesgo para LA/FT –Austrac Guidance Note Risk Management and AML/CTF Programs–.
En dicha guía se recomienda por obvias razones que las entidades apliquen el estándar
australiano de gestión de riesgo conocido como AS/NZS 4360:2004 (hoy AS/NZS ISO
31000:2009).
Igualmente, el Grupo de Acción Financiera Internacional (Gafi) publicó en el año 2007 una guía
con un enfoque basado en la gestión del riesgo de lavado de activos y financiación del
terrorismo, que tiene como propósito servir de soporte en el desarrollo de lo que implica una
gestión del riesgo de este tipo.
Los términos en que están escritas las Recomendaciones del Gafi contienen unos principios
que permiten que los países –hasta cierto grado– adopten un enfoque basado en riesgo para
combatir el lavado de activos y la financiación del terrorismo.
Estos términos autorizan a los países a permitir que las entidades financieras usen un sistema
de gestión de riesgo para que flexibilicen algunas de sus obligaciones de prevención del LA/FT,
todo dentro del principio de que los riesgos deben ser identificados para poder hacer un mejor
uso de los recursos. Si se tienen claras las prioridades se pueden invertir los recursos en una
forma más efectiva y así lograr más éxito en la lucha contra el LA/FT.

Limitaciones y diferencias del Sarlaft

El Sarlaft se fundamenta en las técnicas de gestión de riesgo comúnmente empleadas en la
industria financiera y en otras industrias, tales como Coso, ERM y el AS/NZS ISO 31000.
También se nutre y se complementa desde el punto de vista técnico de los demás sistemas de
administración de riesgo obligatorios para las entidades vigiladas como lo son los Sistemas de
Administración de Riesgo Operativo (Saro), los Sistemas de Administración de Riesgo
Crediticio (Sarc), los Sistemas de Administración del Riesgo de mercado (Sarm) y los Sistemas
de Administración de Riesgo de Liquidez (Sarl).
Como similitudes entre los sistemas de gestión de riesgo del sector financiero se pueden
nombrar:
1. Todos definen y delimitan el riesgo al cual hacen referencia.
2. Establecen una metodología de gestión de riesgo que se compone de cuatro etapas:
identificación, medición, control y monitoreo –a excepción de Sarc que solo tiene dos
etapas: otorgamiento y control–.
3. Involucran ciertos elementos, para los cuales hacen requerimientos precisos. Estos son, en
general: políticas, procedimientos, documentación, estructura organizacional, órganos de
control, infraestructura tecnológica y divulgación de información.
Entre las diferencias con los sistemas hermanos se encuentran las siguientes:
1. Sarlaft otorga libertad metodológica
Dentro del Sarlaft se pueden emplear mediciones de carácter cuantitativo o cualitativo. Debido
a que la norma no desarrolla el tema a profundidad, las entidades tienen libertad para
seleccionar la metodología más apropiada.
Hay que entender que no existen desarrollos técnicos ni información histórica suficiente para
construir bases conceptuales sólidas para el Sarlaft, por lo tanto no se le puede exigir a este
sistema el mismo rigor que a los demás sistemas de gestión de riesgo como el Sarm, el cual
es más riguroso en sus estándares cuantitativos.
2. El Sarlaft no tiene equivalencia económica
En el Sarlaft no se pide el cálculo de la pérdida esperada, ni de provisiones, y tampoco se hace
referencia a la revelación contable del riesgo.
3. La estrategia para gestionar el riesgo es más limitada
En principio el Sarlaft no permite aceptar ni trasladar el riesgo. Desde el punto de vista práctico,
hay que mencionar que el impacto de ciertos riesgos se puede aceptar o trasladar, como es el
caso de los impactos operativos o los impactos legales –principalmente de naturaleza
contractual–.

Hay que tener en cuenta que, en la gestión del riesgo de lavado de activos y financiación del
terrorismo, el gestor del riesgo muchas veces debe conciliar aspectos contradictorios, lo que
conlleva enfrentar el dilema que popularmente se entiende como “escoger entre dos males el
menos malo”.
Es el caso de la entidad que para evitar un riesgo reputacional decide incumplir un contrato
con un cliente o, por el contrario, para evitar un riesgo legal derivado de una sanción acepta
una medida impopular que la lleva a una pérdida de imagen. Para muchos, este concepto
resulta difícil de entender, pero la realidad nos enseña que el administrador de riesgos muchas
veces debe escoger el menor entre dos males
4. No es obligación registrar eventos materializados
En Saro se establece la obligación de registrar los eventos de riesgo que se materialicen,
mientras que en Sarlaft no existe tal obligación, pero sí una obligación particular de reportar
operaciones sospechosas.
5. Características especiales del Sarlaft
No obstante, las similitudes y características comunes, debemos entender la naturaleza única
y especial del Sarlaft. En su aplicación práctica, hemos encontrado las siguientes
características que marcan la diferencia con los otros sistemas de administración de riesgo:
Imperceptibilidad del riesgo
Los riesgos financieros son fácilmente detectables, basta con consultar el saldo de la
obligación para determinar si el cliente está en mora o no. Los conceptos de siniestro, pérdida
y default como tales no se aplican en el Sarlaft.
Los riesgos operativos son perceptibles por los sentidos y dejan consecuencias económicas
que normalmente son fáciles de cuantificar y contabilizar.
En cambio, los riesgos relacionados con lavado de activos y financiación del terrorismo
requieren de grandes esfuerzos de detección, esfuerzos que nunca serán definitivos ni
determinantes, pues quien define en última instancia si una operación fue ilícita o no, es un
juez, algunos años después de ocurrida la transacción financiera.
6. Confidencialidad y sensibilidad de la información
En los demás riesgos, la información y la transparencia son sanas y recomendables. En esta
materia, no es conveniente que los delincuentes conozcan las vulnerabilidades de las
entidades ni las estrategias empleadas para evitar el lavado de activos y la financiación del
terrorismo.
La información de identificación y medición del riesgo es muy útil para los funcionarios de la
entidad que la van a utilizar en forma constructiva y proactiva, pero la misma información fuera
de contexto y utilizada por alguien que no entienda la naturaleza de la misma podría conllevar
graves consecuencias.
Por ejemplo, una entidad que logra reducir su riesgo de suplantación en el producto de cuentas
corrientes de cien a diez casos al año. Alguien con poco tino podría decir que la entidad está
admitiendo de antemano que sufrirá de lavado de activos diez veces al año y por lo tanto está
aceptando y tolerando está conducta.
7. Imposibilidad de eliminar el riesgo.
El delincuente muta, se transforma y espera el mejor momento para penetrar las entidades
vigiladas. Los controles, por muy efectivos que sean no pueden ser infalibles, pues se topan
con barreras naturales que deben ser respetadas como las libertades civiles, los derechos de
los consumidores, el derecho al buen nombre y la presunción de buena fe.
A su vez, los controles deben ser operativos, prácticos y costo eficientes para que las
entidades puedan cumplir con su objeto social y su fin esencial de captación y colocación de
los recursos del público.
Hay que tener en cuenta que no se ha podido eliminar el riesgo por completo en otras
disciplinas que ponen en peligro un bien jurídico más valioso como es la vida humana, y sería
por lo tanto utópico pensar que en este campo se pueda lograr por simple decisión.
Aunque lo anterior no riñe con la obligación de ejercer la debida vigilancia y gestionar
adecuadamente todos los riesgos.
8. Esfuerzo constante
La imposibilidad de eliminar el riesgo implica que la gestión del riesgo de lavado de activos y
financiación del terrorismo nunca llega a su fin. Nunca cesa la labor de disminuir la probabilidad
o el impacto del riesgo mediante la implementación y el perfeccionamiento de controles.
Vale la pena recalcar que esta obligación es de medios y no de resultados, por lo tanto nunca
cesa. Como en cualquier sistema, siempre que se fortalezca un elemento, los demás quedan
relativamente más vulnerables y si se quiere fortalecer el sistema como un todo deben
fortalecerse sus partes más débiles.
En síntesis, hay mucho que aprender de los demás sistemas de riesgo. Pero ante todo hay
que entender la naturaleza especial del Sarlaft y crear una serie de principios y técnicas
especiales para las características antes descritas.
Aporte para la toma de decisiones
Ante el esfuerzo significativo que implicó convertir el antiguo Sipla en un Sarlaft, las entidades
tendieron a perder el rumbo y creer que la finalidad única del Sarlaft era el Sarlaft mismo.
Esto, afortunadamente, no es así. El Sarlaft tiene muchas ventajas; hemos visto en los
diferentes proyectos en los cuales participamos que un buen Sarlaft implica, entre otros, los
siguientes beneficios:
 Profesionalización de las labores relacionadas con la prevención del lavado de activos y la
financiación del terrorismo.
 Pautas más objetivas para la determinación de operaciones sospechosas.
 Uniformidad de criterios en torno a los riesgos aceptables.
 Distribución de las funciones de prevención entre las diferentes áreas de la entidad,
alejándose de la falsa concepción de que el único responsable es el oficial de cumplimiento.
 Análisis sistemático de las vulnerabilidades de la entidad.
 Análisis costo-beneficio de los controles existentes.
 Generación de indicadores de gestión relacionados con la prevención de lavado de activos
y financiación del terrorismo.

Pero tal vez el mayor beneficio que hemos visto en los proyectos Sarlaft en los que hemos
participado es que las entidades obtuvieron una herramienta valiosa para la toma de
decisiones. El Sarlaft, permite unificar criterios y contar con elementos de juicio para tomar
decisiones propias del negocio, tales como:
 Selección del mercado objetivo.
 Determinación de los productos o canales que deben ser lanzados.
 Áreas u oficinas que deben ser auditadas.
 Funcionarios que deben tener refuerzos en capacitación.
 Inversión más eficiente en software y hardware de control.
 Segmentos de clientes que pueden tener un trámite de vinculación simplificado.
 Segmentos de clientes que deben tener un trámite de vinculación más estricto.
 Operaciones que requieren monitoreo especial.
 Clientes con los cuales se debe terminar la relación comercial.
 Áreas para aplicar la debida diligencia y la debida diligencia mejorada.
9. Sarlaft y sus pasos básicos
Para promover la eficacia de un buen gobierno corporativo (Francisco Cintura, 2014), las
empresas deben actuar con transparencia. Para implementar paulatinamente el sistema de
administración del riesgo de lavado de activos y de la financiación del terrorismo, aunque no
exista la obligación legal de hacerlo, en algunos sectores y con la finalidad de instrumentalizar
mecanismos de autorregulación que eviten desequilibrios entre los deberes y
responsabilidades de los órganos de administración con efectos reputacionales, legales,
operativos y de contagio, sugerimos tener en cuenta los siguientes ítems:
1. Mecanismos que permitan al empresario conocer al cliente y su mercado. Por ejemplo,
constancias o certificaciones de las personas con las que tiene relaciones comerciales.
2. Criterios para identificar actividades anormales de un cliente. Existen algunos negocios de
“alto riesgo” como entidades financieras no tradicionales: casas de cambio, casinos,
cambiadoras de cheque. Asimismo, comerciantes de automóviles o aeronaves, agencias de
viajes, corredores de valores etcétera.
3. Medidas para actuar frente a una actividad sospechosa de un cliente. Concretamente,
reportar a la Uiaf.
4. Pactar cláusulas contractuales que eximan al empresario de cualquier responsabilidad frente
a dineros ilícitos que se utilicen para pagar el precio del contrato. Específicamente,
estipulaciones donde bajo la gravedad de juramento el cliente asegure que su dinero no tiene
procedencia ilícita.
5. Mecanismos que eviten a toda causa la relación con clientes que estén vinculados con
investigaciones penales sujetas a las modalidades de crímenes organizados, es decir,
narcotráfico, extorsión, secuestro, concierto para delinquir, trata de personas o cualquier otro
delito relacionado.
6. Crear un manual Sipla donde se establezcan políticas y mecanismos para la prevención de
lavado de activos y financiación de terrorismo con base en las políticas internas de cada
empresa.
7. Promover la participación de un funcionario encargado de verificar que se cumplan las
disposiciones de Sipla.
8. Implementación de cláusulas contractuales en las que se obligue a la persona con la que se
tiene un vínculo comercial a adoptar medidas de prevención. Lo anterior, para evitar que la
operación de compra o venta de servicios o productos se financie con recursos de origen ilícito.
9. Implementar programas de capacitaciones dentro de la empresa para evitar el lavado de
activos y financiación del terrorismo.
10. Modificar el proceso de contratación de personal para crear parámetros que aseguren la
transparencia de los empleados en el momento de ser contratados.
11. Emitir circulares ilustrativas que permitan a los empleados identificar las nuevas
modalidades de lavado de activos y financiaciones del terrorismo.
12. Incorporar dentro de los contratos celebrados con los clientes una cláusula que permita
terminar la relación contractual unilateralmente en caso de dudas sobre la licitud del dinero.
13. No recibir pagos en efectivo. Únicamente a través de cheques o transferencias bancarias.
14. Asignar responsabilidades a los directivos, administradores y empleados de la sociedad
con relación a los mecanismos implementados por la compañía para la prevención de
actividades que transgredan normas penales desde la empresa.
El Sistema de Administración del Riesgo para el Lavado de Activos y Financiación del
Terrorismo –SARLAFT- es el procedimiento adoptado para promover la cultura de
administración del riesgo y prevenir la realización de delitos asociados al lavado de activos y
financiación del terrorismo, mediante el reporte de operaciones sospechosas e inusuales
enviadas a la Unidad de Información y Análisis financiero -UIAF-. El SARLAFT se compone de
dos fases: la primera corresponde a la prevención del riesgo y se concentra en impedir que se
introduzcan al sistema financiero recursos provenientes de actividades relacionadas con el
lavado de activos y/o de la financiación del terrorismo. La segunda corresponde al control de
detección y reporte de las operaciones que se pretendan realizar o se hayan realizado con el
fin de dar apariencia legal a actividades vinculadas al lavado de activos y financiación del
terrorismo -LA/FT-.

¿Qué es el lavado de activos?

El lavado de activos, según el artículo 323 del Código Penal Colombiano, es una conducta que
implica adquirir, resguardar, invertir, transportar, transformar, almacenar, conservar, custodiar
y almacenar bienes que tengan un origen indirecto o directo de actividades de tráfico de
migrantes, trata de personas, extorsión, enriquecimiento ilícito, secuestro extorsivo, rebelión,
tráfico de armas, tráfico de menores, delitos contra el sector financiero, financiación del
terrorismo y administración de recursos relacionados con actividades terroristas, etc.

¿Qué es financiación del terrorismo?

De acuerdo con el artículo 16 de la Ley 1121 del 2006, es la conducta que busca destinar
bienes o recursos de origen ilícito o lícito para financiar actividades terroristas. Dicha ley
modifica el artículo 345 de la Ley 599 del 2000:
“(…) El que directa o indirectamente provea, recolecte, entregue, reciba, administre, aporte,
custodie o guarde fondos, bienes o recursos, o realice cualquier otro acto que promueva,
organice, apoye, mantenga, financie o sostenga económicamente a grupos de delincuencia
organizada, grupos armados al margen de la ley o a sus integrantes, o a grupos terroristas
nacionales o extranjeros, o a terroristas nacionales o extranjeros, o a actividades terroristas,
(…)”.
En el SARLAFT se reportan las operaciones detectadas como inusuales y/o sospechosas;
dicha información debe ser informada de forma oportuna y eficiente a la Unidad de Información
y Análisis Financiero -UIAF- dentro del término establecido por la ley, según sea el caso. La
UIAF es la entidad del Estado encargada de reglamentar, examinar y concentrar datos
relacionados con el lavado de activos, regulada por la Ley 526 de 1999, Ley 1121 de 2006,
Ley 1445 de 2011, Ley 1474 de 2011, y otras disposiciones.
La UIAF, como órgano administrativo del Ministerio de Hacienda y Crédito Público, también se
encargará de la recepción y análisis de reportes de operaciones sospechosas de los sectores
financiero, bursátil, loterías y juegos de azar conforme al Decreto 1964 de 1998.

¿Quiénes están obligados a reportar información?

Tenga en cuenta que, según la Resolución 101 del 2013 de la UIAF, todas las personas
naturales, sociedades comerciales y empresas unipersonales dedicadas de manera
profesional en el territorio nacional a la compraventa y/o compraventa mediante consignación,
de vehículos automotores nuevos y/o usados, están obligadas a enviar información a la
entidad.
Conforme a la Resolución 363 del 2008 de la UIAF, están obligadas las empresas
exportadoras e importadoras de oro, casas fundidoras y sociedades de comercialización
internacional que practiquen, como parte de su actividad económica, la comercialización,
importación y/o exportación de oro.
En el mismo sentido, y acorde con el Decreto 2669 del 2012, deben reportar información
quienes realicen actividades de factoring en concordancia con el artículo 8 de la Ley 1231 de
2008; de igual forma, las sociedades del sector real de la economía(sector primario o
agropecuario, sector secundario o industrial y sector terciario o de servicios), según la circular
externa 100-004 de la Supersociedades.
“La implementación del SARLAFT por parte de los obligados les permite prevenir los riegos
derivados del lavado de activos y financiación del terrorismo que podrían afectar de forma
negativa a las compañías”
La implementación del SARLAFT por parte de los obligados les permite prevenir los riegos
derivados del lavado de activos y financiación del terrorismo que podrían afectar de forma
negativa a las compañías. Los riesgos derivados, según la Superintendencia Financiera, en
su Circular Básica Jurídica parte 1 titulo 4 capítulo 4 son:
“(…) 1.6. Riesgos asociados al LA/FT: Son los riesgos a través de los cuales se materializa el
riesgo de LA/FT. Estos son: reputacional, legal, operativo y de contagio.
1.6.1. Riesgo reputacional: Es la posibilidad de pérdida en que incurre una entidad por
desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus
prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos
judiciales.
1.6.2. Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada
u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones
y obligaciones contractuales. Surge también como consecuencia de fallas en los contratos y
transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios
que afectan la formalización o ejecución de contratos o transacciones.
1.6.3. Riesgo operativo: Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o
inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la
ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional,
asociados a tales factores.
1.6.4. Riesgo de contagio: Es la posibilidad de pérdida que una entidad puede sufrir, directa o
indirectamente, por una acción o experiencia de un vinculado. El vinculado es el relacionado o
asociado e incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia
sobre la entidad.
1.7. Riesgo inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto
de los controles.
1.8. Riesgo residual o neto: Es el nivel resultante del riesgo después de aplicar los controles
(…)”.
 Bibliografía
 Constitución Política De 1991.
 Ley 87 De Noviembre 29 De 1993. “Por la cual se establecen normas para el
ejercicio del control interno en las entidades y organismos del Estado y se dictan
otras disposiciones”.
 Ley 489 De Diciembre 29 De 1998. “Por la cual se dictan normas sobre la
organización y funcionamiento de las entidades del orden nacional, se expiden las
disposiciones, principios y reglas generales para el ejercicio de las atribuciones
previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se
dictan otras disposiciones”.
 Decreto 1537 De Julio 26 De 2001. “Por el cual se reglamenta parcialmente la Ley
87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el
sistema de control interno de las entidades y organismos del Estado”.
 Ley 734 De Febrero 5 De 2002. “Por la cual se expide el Código Disciplinario Único”.
 Contaduría General De La Nación. Resolución No. 048 De Febrero De 2004. “Por la
cual se dictan disposiciones relacionadas con el Control Interno Contable”
 Departamento administrativo de la función pública, Guía para la administración del
riesgo, Bogotá, D.C., septiembre de 2015.
 Departamento administrativo de la presidencia. Estrategias para la construcción del
Plan Anticorrupción y de Atención al Ciudadano. Bogotá 2012
 LEY 1474 DE 2011. Estatuto Anticorrupción.
 Departamento administrativo de la función pública. Decreto 648 de 2017. Por el cual
se modifica y adiciona el Decreto 1083 de 2015, Reglamentario Único del Sector de
la Función Pública.
 Departamento administrativo de la función pública. Decreto 943 de 2014. Por el cual
se actualiza el Modelo estándar de control Interno MECI.
 Departamento administrativo de la función pública. Manual Técnico del Modelo
Estándar de Control Interno para el Estado Colombiano – MECI 2014.
¿QUÉ ES CORRUPCIÓN?

CORRUPCIÓN
La corrupción consiste en el […] abuso de posiciones de poder o de confianza, para el beneficio
particular en detrimento del interés colectivo, realizado a través de ofrecer o solicitar, entregar
o recibir bienes o dinero en especie, en servicios o beneficios, a cambio de acciones,
decisiones u omisiones […] (Transparencia por Colombia). El Banco Mundial define la
corrupción como el “uso indebido de servicios públicos para beneficio personal”.[1]
Bajo el esquema utilizado tradicionalmente por Transparencia por Colombia, la corrupción
también puede ser tipificada como pequeña y gran corrupción.

PEQUEÑA CORRUPCIÓN

La “pequeña corrupción” puede ser entendida “como el conjunto de actos en que se

conceden gabelas, ventajas o tratamientos preferenciales en contratos de bajo monto o en
trámites ante el Estado”.

GRAN CORRUPCIÓN

La gran corrupción o “corrupción a gran escala”, consiste en actos cometidos en los niveles
más altos del gobierno que involucran la distorsión de políticas o de funciones centrales del
Estado, y que permiten a los líderes beneficiarse a expensas del bien común