Manual

Somos una multinacional colombiana creada en 2007 por inversionistas y visionarios de la India. Sophos Solutions es una sociedad por acciones simplificada (S.A.S por sus siglas en español), que ofrece servicios de Consultoría, Implementación de Core Bancario, Testing Factory y Software Factory principalmente para empresas financieras y bursátiles. Actualmente somos una empresa de Advent International.

En SOPHOS nos especializamos en productos y servicios de TI para el sector financiero, ofreciendo soluciones para Core Bancario, Canales Digitales, Mercado de Capitales, Riesgos, Gestión Integral de la Información y Análisis de Datos.

Sophos tiene presencia en más de 12 países de América, cubriendo Norteamérica, Centroamérica y Sudamérica. Actualmente contamos con oficinas en Colombia, México, Panamá, Estados Unidos y Chile. Contamos con más de 14 años de experiencia en soluciones informáticas, siempre con socios especializados en diferentes servicios y tecnologías. Con el fin de tener un mayor acceso a los mercados nacionales e internacionales, la empresa establece relaciones de trabajo con colaboradores especializados de todo el mundo, trabajando de forma remota y otros modos de operación como NearShore (trabajo remoto Latam), OffShore (trabajo remoto en otros continentes) e Inside (trabajo con clientes).

Teniendo en cuenta el crecimiento de la compañía, la matriz colombiana ejerce control directo sobre cada una de sus filiales (Panamá, México y Chile) e indirecto sobre su filial (Estados Unidos), la estructura administrativa se realiza de manera centralizada. Sin embargo, para el adecuado y oportuno desarrollo de las funciones, se otorgan facultades a personas naturales o jurídicas de acuerdo con sus necesidades.

SOPHOS SOLUTIONS S.A.S implementa el Sistema Integral de Autocontrol y Gestión del Riesgo de LA/FT/FPADM (en adelante SAGRILAFT), con el fin de contar con políticas, procedimientos, controles y todo tipo de mecanismos encaminados a proteger a la empresa de ser utilizada por cualquier medio para el lavado de activos, la financiación del terrorismo y la financiación de la proliferación de armas de destrucción masiva, considerando que estas acciones representan un riesgo para la estabilidad e integridad de la empresa.

El Sistema de Autocontrol y Gestión Integral de Riesgos LA/FT/FPADM aplica a todos los colaboradores de Sophos Solutions incluyendo la matriz, subsidiarias y todas las partes relacionadas, grupos de interés, socios y aliados de negocio, entendiéndose como tales a clientes, aliados estratégicos, aliados de negocio, contratistas, consultores, subcontratistas, proveedores nacionales e internacionales, asesores, representantes, intermediarios, inversionistas, licenciantes, arrendadores y su analogía con los países que operan las subsidiarias, en general a todos aquellos con los que se establezca directa o indirectamente cualquier relación comercial o contractual.


Es aplicable a todos los procesos internos que evidencien factores de riesgo en torno a la aplicabilidad y regulación del lavado de activos, la financiación del terrorismo y la financiación de la proliferación de armas de destrucción masiva (LA/FT/FPADM por sus siglas en español).

El objetivo de este sistema es prevenir, detectar y mitigar a tiempo operaciones que puedan ser utilizadas para el blanqueo de capitales, la financiación del terrorismo o la proliferación de armas de destrucción masiva contra Sophos Solutions y sus filiales.

3.4.1 Objetivos específicos

• Aplicar procedimientos para informar a las contrapartes actuales y potenciales.
• Aplicar procedimientos para informar a las contrapartes actuales y potenciales.
• Crear canales de información e indagación que estén a disposición de los colaboradores.
• Crear canales de información e indagación que estén a disposición de los colaboradores.
• Desarrollar capacitaciones para dar a conocer la Política SAGRILAFT/FPADM, así como el papel de cada colaborador en la prevención de los delitos de LAFT en la organización.
• Construir procedimientos de sanción para los colaboradores actuales y potenciales.
• Construir un régimen sancionatorio para cuando no se cumpla con la política o los procedimientos de este manual.
• Describa las políticas, procedimientos, documentos y demás herramientas que la empresa utilizará para la gestión integral de riesgos de LA/FT/FPADM.

Para efectos del presente manual, todas las definiciones se entienden de acuerdo con las establecidas en la Circular 100-000016 del 24 de diciembre de 2020 de la Superintendencia de Sociedades de Colombia. Adicionalmente, se establecen las siguientes definiciones:

Actividades ilícitas:Conductas o actividades que en virtud de una norma vigente son ilícitas, es decir, contrarias a la ley.

Cercanos colaboradores: Son las personas jurídicas que tengan como administradores, accionistas, controladores o gestores a Personas Políticamente Expuestas, o que hayan constituido patrimonios autónomos o fiduciarios en beneficio de éstas, o con las que se mantengan relaciones de negocios.

Operación intentada o rechazada:Se configura cuando se conoce la intención de una persona natural o jurídica de realizar una operación sospechosa, pero no se perfecciona porque al intentar realizarla cesa o porque los controles establecidos o definidos no permiten llevarla a cabo. Sólo deben comunicarse las operaciones intentadas o rechazadas que reúnan las características de una operación sospechosa.

Países No Cooperantes y Jurisdicciones de Alto Riesgo:Esta lista se refiere a la relación de jurisdicciones que no cumplen con los estándares internacionales de lucha contra el blanqueo de capitales y la financiación del terrorismo, y al grado de compromiso político de sus autoridades para subsanar las deficiencias identificadas, según la definición del Grupo de Acción Financiera Internacional (GAFI).

PEP (Personas Expuestas Políticamente):Pueden ser servidores públicos de cualquier sistema de nomenclatura y clasificación de empleos de la administración pública nacional y territorial, cuando en los cargos que ocupan, tengan en las funciones del área a la que pertenecen o en las del registro de empleo que ocupan, bajo su responsabilidad directa o por delegación, la dirección general, de la formulación de políticas institucionales y de la adopción de planes, programas y proyectos, el manejo directo de bienes, dineros o valores del Estado. Puede tratarse de la gestión del gasto, la contratación pública, la gestión de proyectos de inversión, los pagos, las liquidaciones, la administración de bienes muebles e inmuebles. También incluye a los PEP extranjeros y de organizaciones internacionales.4

PEP (Personas expuestas públicamente):Son aquellas que por sus actividades tienen reconocimiento nacional y/o internacional. Por ejemplo, abogados prominentes, altos ejecutivos, arquitectos, deportistas, celebridades, fuerzas militares y policiales, funcionarios, jueces, políticos, registradores y religiosos destacados.

Señales de alerta:Son todos los hechos y circunstancias particulares que rodean la realización de operaciones propias de cada tercero con el que se relaciona la Empresa, a partir de los cuales se puede identificar de forma preventiva si son objeto de un estudio cuidadoso y detallado. Podemos clasificar las operaciones en: Operaciones inusuales y sospechosas.

SAGRILAFT se divide en dos fases:

1. La fase de prevención, Sophos Solutions tomará las medidas a su alcance para evitar ser utilizadas en la realización de actividades que vayan en contra de sus principios y SAGRILAFT/FPADM, dentro de estas medidas se encuentran:
   • Procesos de análisis de riesgo de contraparte
   • Identificación y reporte de señales de alerta
   • Identificación de riesgos

2. En la fase de control, Sophos Solutions implementará las herramientas a su alcance para identificar todas las operaciones realizadas o que se pretendan realizar que sean contrarias a la ley y estén asociadas a actividades de LA/FT/FPADM.

Se trata de pasos sistemáticos e interrelacionados que gestionan el riesgo de LA/FT/FPADM.

4.2.1 Identificación del riesgo de LA/FT/FPADM

Para la identificación del Riesgo Inherente, Sophos considerará cualquier Factor de Riesgo, interno o externo, asociado a la actividad o incursión en nuevos mercados. La compañía ha considerado y considerará el contexto de su negocio, las jurisdicciones y regiones en las que opera y las contrapartes con las que interactúa.

Para ello, se hará de acuerdo con la Guía de Evaluación de Riesgos en el punto 5.1 Identificación de riesgos. El proceso de debida diligencia también puede identificar riesgos.

El proceso de identificación de riesgos es liderado por el departamento de riesgos de la empresa, con la participación del oficial de cumplimiento y los integrantes de los procesos evaluados.

4.2.2 Medición del riesgo de LA/FT/FPADM

En esta etapa se evalúa la probabilidad de ocurrencia y el impacto que tendría su materialización del riesgo LA/FT/FPADM.

Para ello, se realizará de acuerdo con lo establecido en la Guía de Evaluación de Riesgos en el punto 5.2.1. Determinación del riesgo inherente y apartados a) probabilidad y b) impacto.

El proceso de medición de riesgos es liderado por el departamento de riesgos de la empresa, con la participación del oficial de cumplimiento y los integrantes de los procesos evaluados.

4.2.3 Control de riesgos de LA/FT/FPADM

Los controles de Riesgo LA/FT/FPADM se aplicarán de acuerdo con los resultados de las etapas anteriores, con el fin de establecer su perfil de Riesgo Residual. El objetivo es mitigar el riesgo tomando las medidas necesarias para disminuir la probabilidad de ocurrencia y/o el impacto al que Sophos está expuesto. La empresa planifica la evaluación y los tipos de controles enumerados en la Guía de Evaluación de Riesgos en el punto 3.2.2.

El proceso de diseño de controles es liderado por el departamento de riesgos de la empresa, con la participación del responsable de cumplimiento y los integrantes de los procesos evaluados. Los controles son ejecutados por cada uno de los procesos donde se identifican los riesgos especificados en la matriz de riesgos.

4.2.4 Seguimiento del sistema de gestión de riesgos de LA/FT/FPADM

• El Oficial de Cumplimiento monitoreará continuamente el Sistema para evaluar la oportunidad, efectividad y eficiencia de los controles, asegurando que sean integrales y aborden todos los Eventos de Riesgo LA/FT/FPADM identificados. Este monitoreo deberá ser realizado anualmente. Los empleados de la Empresa deben monitorear constantemente sus actividades para demostrar que no existen situaciones de riesgo de LA/FT/FPADM y que los controles aplicados operan de forma oportuna, eficaz y eficiente. Cualquier desviación deberá ser comunicada al Responsable de Cumplimiento normativo.
• Los controles deberán realizarse de forma periódica.
• El monitoreo debe ser realizado por el Oficial de Cumplimiento con la respectiva colaboración de los líderes de proceso, y tiene como finalidad aplicar y sugerir los correctivos y ajustes necesarios para garantizar una gestión eficaz del Riesgo LA/FT/FPADM.
• A continuación, el Oficial de Cumplimiento evaluará el monitoreo, sus resultados y, en conjunto con los líderes de los procesos, hará propuestas de mejora y tratamiento de las situaciones detectadas al Representante Legal y a la Junta Directiva.
• El Revisor Fiscal también realiza revisiones periódicas para facilitar la detección y corrección de deficiencias de la SAGRILAFT/FPADM, cuyos resultados son comunicados a la Junta Directiva, al Representante Legal y al Oficial de Cumplimiento. Sobre estos, el Oficial de Cumplimiento realizará una evaluación y tomará las medidas pertinentes sobre las deficiencias reportadas.
• El Oficial de Cumplimiento es el encargado de evaluar y corregir las deficiencias reportadas.
• El equipo de Riesgos realiza reuniones mensuales de seguimiento a las diferentes áreas enfocándose en la debida diligencia realizada por las áreas donde se identifican los riesgos de LA/FT/FPDAM y Soborno y corrupción.
• El perfil de riesgo de LA/FT/FPADM debe ser presentado trimestralmente al representante legal y semestralmente a la junta directiva para su seguimiento.

Los elementos que componen el SAGRILAFT/FPADM son los siguientes:

• Diseño y Aprobación
• Cumplimiento y Auditoría
• Difusión y Formación
• Asignación de responsabilidades a los gestores y otras generalidades

4.3.1 Directriz de diseño y aprobación

• Para el diseño del SAGRILAFT/FPADM se deben considerar las características de la Empresa y su actividad, así mismo se debe considerar la identificación de los factores de riesgo LA/FT/FPADM, el responsable del diseño es el oficial de cumplimiento.
• Diseño del SAGRILAFT/FPADM.
• La Empresa debe contar con matrices de riesgos, y debe actualizar estos documentos progresivamente, esta actividad será liderada por el equipo de gestión de riesgos. Sin embargo, el control de los riesgos es responsabilidad de cada proceso.
• La Junta Directiva debe proveer los recursos operativos, financieros, físicos, tecnológicos necesarios para que el Oficial de Cumplimiento pueda desarrollar sus funciones de manera adecuada.
• El SAGRILAFT/FPADM debe ser presentado por el representante legal y el Oficial de Cumplimiento a la Junta Directiva de SOPHOS, y ésta debe aprobar sus actualizaciones.
• La formalización del SAGRILAFT/FPADM debe cumplir con el proceso estándar de gestión documental de la empresa, liderado por el área de calidad de tal manera que se garantice que las medidas del SAGRILAFT/FPADM sean coherentes con el sistema de gestión de la organización. El oficial de cumplimiento es el responsable de presentar este documento para la gestión documental.
• Diseño del SAGRILAFT/FPADM.
• El diseño del SAGRILAFT/FPADM debe contemplar las consecuencias del incumplimiento de este manual, política o disposiciones establecidas. Dichas consecuencias deben ser establecidas por el oficial de cumplimiento previa aprobación del departamento de recursos humanos y la presidencia.
• El oficial de cumplimiento debe ser el encargado de establecer las consecuencias del incumplimiento.

4.3.2 Directrices de auditoría y cumplimiento

• La Junta Directiva debe designar un Oficial de Cumplimiento, responsable de asegurar la auditoría y verificación del cumplimiento del SAGRILAFT/FPADM. El funcionario designado debe cumplir con los requisitos establecidos en el capítulo X de la Circular Básica Jurídica 100-000016 de la Superintendencia de Sociedades de Colombia.
• Auditoría interna y revisoría fiscal ejecutarán la auditoría a la SAGRILAFT/FPADM garantizando las competencias necesarias de los auditores para esta actividad.
• El SAGRILAFT/FPADM deberá ser auditado por lo menos una vez al año, liderado por el equipo de auditoría interna.
• El responsable de cumplimiento deberá presentar un informe de cumplimiento a la junta directiva semestralmente y al representante legal y/o presidente trimestralmente.
• El responsable de cumplimiento deberá presentar un informe de cumplimiento a la junta directiva semestralmente y al representante legal y/o presidente trimestralmente.

4.3.3 Divulgación y formación

• SOPHOS mantendrá un programa de capacitación permanente dirigido a todos los colaboradores de la Empresa, con el fin de difundir la cultura de prevención y detección del LA/FT/FPADM y el cumplimiento de la política, así como la capacitación durante el onboarding y/o vinculaciones a nuevos colaboradores y terceros involucrados con la empresa. La responsabilidad del diseño y puesta en marcha del plan de formación es del Compliance Officer.
• Los responsables de la formación de los empleados son los responsables de la formación de los empleados.
• Los gerentes y líderes de las áreas a partir de las cuales se identifiquen riesgos de LA/FT/FPADM deben conocer e implementar la política de SAGRILAFT/FPADM, garantizando la transparencia del proceso, y deben integrar al departamento de Riesgos cuando encuentre señales de alerta, en línea con lo anterior el plan de comunicación y capacitación debe contener capacitación específica para sus riesgos y señales de alerta.
• Los socios con acceso a la información suministrada por las contrapartes, así como los responsables de adelantar los procesos de debida diligencia, harán uso responsable de las plataformas y demás recursos técnicos habilitados por la Sociedad para adelantar las diferentes actividades. La SAGRILAFT/FPADM será divulgada interna y externamente, la Empresa socializará e informará sobre la política a trabajadores, contratistas, empresas subordinadas, clientes y proveedores. La frecuencia con que se socializará esta información no podrá ser inferior a la exigida por la Circular Básica Jurídica que es de por lo menos una vez al año. Esta actividad es responsabilidad del oficial de cumplimiento normativo.

4.3.4 Asignación de responsabilidades a los directivos y otras generalidades

• Las funciones y responsabilidades para cada una de las políticas de los elementos y etapas de la SAGRILAFT/FPADM están asignadas en los numerales 4.2 y 4.3 de este manual, ya que cada línea tiene su responsable.
• Se creará un perfil de cargo para el oficial de cumplimiento que cubra como mínimo los requisitos legales establecidos en el Capítulo X de la Circular Básica Jurídica 100-000016 de la Superintendencia de Sociedades. Los responsables de la creación del perfil son el departamento de Adquisición de Talento, el cual podrá solicitar asesoría a las personas o departamentos que considere necesarios.
• Las funciones y responsabilidades del oficial de cumplimiento son las siguientes
• Las funciones y responsabilidades para cada una de las políticas de los elementos y etapas de la SAGRILAFT/FPADM están asignadas en los numerales 4.2 y 4.3 de este manual, ya que cada línea tiene su responsable.
• Se creará un perfil de cargo para el oficial de cumplimiento que cubra como mínimo los requisitos legales establecidos en el Capítulo X de la Circular Básica Jurídica 100-000016 de la Superintendencia de Sociedades. Los responsables de la creación del perfil son el departamento de Adquisición de Talento, el cual podrá solicitar asesoría a las personas o departamentos que considere necesario.
• Perfil de cargo del oficial de cumplimiento.

4.3.4.1 Consejo de administración

1. Establecer y aprobar para la Sociedad una Política de LA/FT/FPADM.
2. Aprobar la Política de LA/FT/FPADM.
3. Aprobar el SAGRILAFT y sus actualizaciones, presentado por el representante legal y el ComplianceOfficer.
4. Aprobar el manual de procedimientos del SAGRILAFT y sus actualizaciones.
5. Seleccionar y designar al Oficial de Cumplimiento y a su respectivo suplente, según corresponda.
6. Analizar oportunamente los informes sobre el funcionamiento del SAGRILAFT, sobre las propuestas de acciones correctivas y actualizaciones que presente el Oficial de Cumplimiento, y tomar decisiones sobre todos los asuntos allí tratados. De ello se dejará constancia en las actas del órgano correspondiente.
7. Analizar en tiempo y forma los informes y solicitudes presentados por el representante legal
8. Decidir sobre los informes presentados por el revisor fiscal o las auditorías internas y externas, que se relacionen con la implementación y funcionamiento de la SAGRILAFT, y hacer seguimiento a las observaciones o recomendaciones incluidas. Dicho seguimiento y su evolución periódica deberá constar en los registros correspondientes.
9. Ordenar y garantizar el cumplimiento de las obligaciones de la SAGRILAFT.
10. Ordene y garantice los recursos técnicos, logísticos y humanos necesarios para la implementación y mantenimiento del SAGRILAFT, de acuerdo con los requerimientos que para el efecto realice el Oficial de Cumplimiento.
11. Establecer los criterios para aprobar la vinculación de la Contraparte cuando se trate de un PEP.
12. Establecer los criterios para aprobar la vinculación de la Contraparte cuando se trate de un PEP.
13. Establecer los lineamientos y determinar los responsables de realizar las auditorías sobre el cumplimiento y efectividad del SAGRILAFT/FPADM, si así se determina.
14. Verificar que el Oficial de Cumplimiento esté disponible y capacitado para desempeñar sus funciones.
15. Establecer que la Sociedad Obligada, el Oficial de Cumplimiento y la pata

4.3.4.2 Deberes del representante legal

1. Presentar ante el Oficial de Cumplimiento, para aprobación de la junta directiva o del máximo órgano social, la propuesta de SAGRILAFT/FPADM y sus actualizaciones, así como su respectivo manual de procedimientos.
2. Revisar los resultados de la Evaluación de Riesgos de LA/FT/FPADM realizada por el Oficial de Cumplimiento y establecer los planes de acción correspondientes.
3. Asignar eficientemente los recursos técnicos y humanos, que determine la junta directiva o el máximo órgano social, necesarios para la implementación del SAGRILAFT.
4. Verificar que el Responsable de Cumplimiento esté disponible y capacitado para el desempeño de sus funciones.
5. Proporcionar apoyo eficaz, eficiente y oportuno al Oficial de Cumplimiento en el diseño, dirección, supervisión y seguimiento del SAGRILAFT.
6. Someter a consideración de la junta directiva o del máximo órgano social, los informes, solicitudes y alertas que considere deban ser atendidos por dichos órganos y que se relacionen con el SAGRILAFT.
7. Garantizar que las actividades derivadas del desarrollo del SAGRILAFT se encuentren debidamente documentadas, de tal forma que se permita que la información cumpla con criterios de integridad, confiabilidad, disponibilidad, cumplimiento, eficacia, eficiencia y confidencialidad.
8. Certificar a la Superintendencia de Sociedades el cumplimiento de lo dispuesto en el presente Capítulo X, cuando así lo requiera esta Superintendencia.

4.3.4.3 Funciones del oficial de cumplimiento

1. Garantizar el cumplimiento efectivo, eficiente y oportuno del SAGRILAFT.
2. Garantizar el cumplimiento efectivo, eficiente y oportuno del SAGRILAFT.
3. Presentar informes por lo menos una vez al año a la junta directiva o, en su defecto, al máximo órgano social. Como mínimo, los informes deberán contener una evaluación y análisis de la eficiencia y eficacia del SAGRILAFT y, en su caso, proponer las mejoras respectivas. Así mismo, evidenciar los resultados de la gestión del Oficial de Cumplimiento, y de la administración de la Empresa, en general, en el cumplimiento del SAGRILAFT.
4. Promover la adopción de las medidas necesarias para el cumplimiento del SAGRILAFT.
5. Promover la adopción de medidas correctivas y actualizaciones al SAGRILAFT, cuando las circunstancias lo requieran y por lo menos una vez cada dos (2) años. Para tal efecto, deberá presentar a la junta directiva o al máximo órgano social, según el caso, las propuestas y justificaciones de las correcciones y actualizaciones sugeridas al SAGRILAFT.
6. Promover la adopción de medidas correctivas y actualizaciones al SAGRILAFT cuando las circunstancias lo requieran y por lo menos una vez cada dos (2) años.
7. Coordinar el desarrollo de los programas de formación interna.
8. Evaluar los informes presentados por la auditoría interna o por quien cumpla funciones similares o haga sus veces, y los informes presentados por el revisor fiscal o la auditoría externa, si los hubiere, y adoptar las medidas razonables para corregir las deficiencias reportadas. En caso de que las medidas a adoptar requieran la autorización de otros órganos, promoverá que tales asuntos se pongan en conocimiento de los órganos competentes.
9. Informar a la Comisión de Auditoría y Cumplimiento de la Normativa de Auditoría y Cumplimiento de la Normativa.
10. Certificar a la Superintendencia de Sociedades el cumplimiento de lo dispuesto en el Capítulo X de la Circular Básica de la Ley de SuperSociedades.
11. Verificar el cumplimiento de lo dispuesto en el Capítulo X de la Circular Básica de la Ley de SuperSociedades.
12. Verificar el cumplimiento de los procedimientos de Debida Diligencia y Debida Diligencia Intensificada aplicables a la Sociedad.
13. Velar por el adecuado archivo de los soportes documentales y demás información relacionada con la gestión y prevención del riesgo LA/FT/FPADM. Diseñar las metodologías de clasificación, identificación, medición y control del Riesgo LA/FT/FPADM que harán parte del SAGRILAFT.
14. Diseñar las metodologías de clasificación, identificación, medición y control del Riesgo LA/FT/FPADM que harán parte del SAGRILAFT.
15. Realizar el reporte de operaciones sospechosas a la UIAF y cualquier otro reporte o informe exigido por la normatividad vigente, de acuerdo con lo establecido en dicha normatividad.

4.3.4.4 Colaboradores

1. Cumplir con el manual, la política y demás instrucciones correspondientes al autocontrol y gestión integral de riesgos de lavado de activos, financiación del terrorismo, financiación de la proliferación de armas de destrucción masiva (LA/FT/FPADM) – SAGRILAFT.
2. Participar en las actividades de la SAGRILAFT.
3. Participar en las actividades de formación, sensibilización, pruebas y otras a las que sean convocados.
4. Participar en las actividades de formación, sensibilización, pruebas y otras a las que sean convocados.
5. Abstenerse de autorizar, motivar, aprobar, participar o tolerar incumplimientos de esta política.
6. Informar a través de los canales establecidos por la empresa de cualquier incumplimiento de esta política.
7. Abstenerse de tomar represalias, directa o indirectamente, o animar a otros a hacerlo, contra cualquier otro colaborador por denunciar un presunto incumplimiento de esta política.

4.3.4.5 Auditor de cuentas

1. Solicitar usuario y contraseña en el SIREL gestionado por la UIAF, para el envío de los ROS.
2. Tienen el deber de denunciar ante las autoridades penales, disciplinarias y administrativas la presunta comisión de un delito contra el orden económico y social, como el lavado de activos, que detecten en el ejercicio de sus funciones. Asimismo, deben comunicar estos hechos a los órganos sociales y a la administración de la sociedad.
3. Los profesionales de la seguridad social tienen la obligación de poner en conocimiento de la administración de la sociedad los hechos que detecten.

4.3.4.6 Comité de cumplimiento

1. Recomendar a la SAGRILAFT/FPADM los planes de acción en los casos relacionados con los hallazgos realizados por los organismos de control.
2. Revisar el cumplimiento de la normatividad vigente.
3. Conservar la confidencialidad de la información que conozca en desarrollo de sus funciones en el ámbito de la SAGRILAFT/FPADM.
4. Revisar previamente las políticas, manuales y/o instructivos y sus actualizaciones, correspondientes a la prevención del lavado de activos, financiación del terrorismo, financiación de la proliferación de armas de destrucción masiva (LA/FT/FPADM) – SAGRILAFT/FPADM, para la respectiva aprobación del máximo órgano social.
5. Realizar seguimiento a las diferentes prácticas tendientes a prevenir el lavado de activos, financiación del terrorismo, financiación de la proliferación de armas de destrucción masiva (LA/FT/FPADM) SAGRILAFT/FPADM.

4.3.4.7 Auditoría interna

1. Incluir dentro de sus planes anuales de auditoría la revisión de la eficacia y el cumplimiento de SAGRILAFT’con el fin de proporcionar una base para que tanto el Oficial de Cumplimiento como la dirección de la Sociedad Obligada puedan determinar la existencia de deficiencias de SAGRILAFT’y sus posibles soluciones.
2. Auditoría interna.
3. el resultado de las auditorías internas debe ser comunicado al representante legal, al Responsable de Cumplimiento y al consejo de administración.

4.3.4.8 Incompatibilidad de los órganos de gobierno

En el establecimiento de los órganos y organismos encargados de realizar la evaluación del cumplimiento y efectividad de la SAGRILAFT’la Sociedad tendrá en cuenta los conflictos de interés, incompatibilidades e inhabilidades de los responsables en el ejercicio de sus funciones. El revisor fiscal o representante legal no podrá ser designado como Responsable de Cumplimiento.

Para los procedimientos de debida diligencia y debida diligencia extendida se debe acudir a los instructores que se encuentran en el sistema de gestión documental denominados “debida diligencia” con código I-CMP-01 y “debida diligencia extendida” con códigoI-SGC-0202, donde se indican los pasos a seguir para realizar el proceso, los responsables, la documentación a validar, la segmentación de los PEPS, las evidencias que la empresa debe almacenar al realizar este procedimiento, entre otros.

• Se deben diseñar señales de advertencia para aquellos riesgos identificados. Responsable: Compliance Officer
• Estas señales de advertencia deben ser parte integrante de cada proceso de riesgo de LA/FT/FPADM. Responsable:
  Proceso y proceso de gestión de la calidad.
• Proceso de gestión de la calidad.
• Cuando algún colaborador identifique una señal de alerta, está dentro de sus responsabilidades hacer el debido reporte por los medios establecidos. Email: funcioncumplimietoAA@sophossolutions.com, por el canal ético disponible en la página web o por el formulario del anexo.
• El responsable de cumplimiento analizará la señal de alerta y determinará si se trata de una operación sospechosa.
• El responsable de cumplimiento analizará la señal de alerta y determinará si se trata de una operación sospechosa.
• El responsable de cumplimiento podrá solicitar información adicional a los departamentos o contrapartes para determinar la situación inusual de una operación.
• El responsable de cumplimiento podrá solicitar información adicional a los departamentos o contrapartes para determinar la situación inusual de una operación.
• En el caso de que se determine que se trata de una operación sospechosa, el responsable de cumplimiento deberá comunicarlo a la UIAF.
• El criterio aplicable para determinar si una operación es sospechosa es:
  • La falta de una explicación razonable a cualquiera de las señales de alerta mencionadas en la Política SAGRILAFT/FPADM o a cualquier operación o actividad inusual.
  • La falta de una explicación razonable a cualquiera de las señales de alerta mencionadas en la Política SAGRILAFT/FPADM o a cualquier operación o actividad inusual.
  • Un intento de operación que contenga operaciones sospechosas se considera un ROS y debe ser reportado a la UIAF.

Los documentos generados por SAGRILAFT deben cumplir todas las normas y políticas establecidas por el sistema de gestión documental de la empresa, así como las normas y políticas de seguridad de la información.

4.6.1 Documentos SARGILAFT/FPADM

• Las actas de Junta Directiva donde conste la aprobación y/o actualización del Manual.
• Las actas de Junta Directiva donde conste la aprobación y/o actualización del Manual.
• Las actas de la Junta Directiva donde conste la aprobación y/o actualización de la Política.
• Las actas de la Junta Directiva donde conste la aprobación y/o actualización de la Política.
• El acta mediante la cual se designa al Oficial de Cumplimiento.
• El Manual de la SAGRILAFT/FPADM.
• La política del SAGRILAFT/FPADM.
• Los documentos que soportan el diseño, desarrollo e implementación de las metodologías del sistema.
• Los documentos y registros que demuestren el funcionamiento eficaz y eficiente del sistema, incluyendo, entre otros, la documentación e información de las Contrapartes, la documentación relacionada con operaciones inusuales, el reporte de operaciones sospechosas (ROS) y el AROS.
• Los documentos y registros que demuestren el funcionamiento eficaz y eficiente del sistema.
• Los informes del Oficial de Cumplimiento a los distintos órganos y personas que intervienen en el SAGRILAFT.
• Los informes del Oficial de Cumplimiento a los distintos órganos y personas que intervienen en el SAGRILAFT.
• Los documentos por los que las autoridades requieren información junto con sus respuestas.
• Los expedientes disciplinarios incoados por posibles incumplimientos del sistema.
• Los planes y programas de formación y divulgación del sistema.
• Los reportes internos de operaciones inusuales o externas del sistema a la UIAF y otras autoridades.
• Toda la documentación adicional que de alguna manera soporte el sistema. Esta documentación será proporcionada por el Responsable de Cumplimiento, quien velará por su integridad, disponibilidad, cumplimiento, eficacia, eficiencia, reserva, fiabilidad y actualización. Se archivará de forma centralizada y cronológica con las debidas garantías, ya sea en soporte escrito o magnético.

4.7.1 Informes internos

• Sobre transacciones inusuales e intentadas: Cuando cualquiera de los colaboradores o cualquier contraparte, evidencien transacciones inusuales o intentadas, deberán reportarlo al Oficial de Cumplimiento, indicando las razones que determinan la transacción como inusual o intentada. Este reporte se puede realizar a funcioncumplimientoAA@sophossolutions.com, al formulario del anexo o al canal ético de la empresa.
• Sobre señales de alerta.
• Sobre señales de alerta: Cuando cualquiera de los colaboradores o cualquier contraparte, evidencie alguna señal de alerta deberá reportarlo al Oficial de Cumplimiento, indicando las razones que determinan que se dé la señal de alerta. Este reporte puede realizarse a funciondecumplimientoAA@sophossolutions.com, al formulario del anexo o al canal ético de la empresa.
• Sobre el seguimiento de la LA/FT/FPADM: El Responsable de Cumplimiento informará semestralmente tanto al consejo de administración como al Representante Legal sobre la evaluación y análisis de la eficiencia y eficacia del sistema, y en su caso, propondrá las mejoras respectivas. El informe también mostrará los resultados del cumplimiento general del sistema por parte del Responsable de Cumplimiento.

4.7.2 Informes externos

• Reporte Obligatorio de Operación Sospechosa (“ROS”) a la UIAF: Una vez determinada la Operación como sospechosa, el Oficial de Cumplimiento realiza el reporte inmediato y directo a la UIAF. También se reportarán las operaciones intentadas o rechazadas con características que les den el carácter de sospechosas, así como los intentos de establecer vínculos comerciales. Como el Reporte de Operaciones Sospechosas (ROS) no constituye una denuncia penal, no requiere la firma de ningún funcionario, sino que se realiza a nivel institucional. El ROS no genera responsabilidad alguna para SOPHOS SOLUTIONS SAS, ni para los administradores o empleados que hayan participado en su determinación y comunicación, en particular al Responsable de Cumplimiento. El ROS no exime del deber de denuncia, si éste fuera el caso. A efectos de control y de apoyo a la gestión de riesgos de LA/FT/FPADM, el Responsable de Cumplimiento llevará un registro de las denuncias que hayan sido remitidas a la UIAF.
• Informe de ausencia de denuncia.
• Reporte de ausencia de intento de operación u operación sospechosa (“AROS”) a la UIAF: En el evento en que durante un período de tres (3) meses no se haya catalogado ninguna operación como sospechosa, el Oficial de Cumplimiento deberá reportar este hecho a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente al período cortado por el Sistema de Reporte en Línea de la UIAF (SIREL).

El incumplimiento o vulneración de las directrices contenidas en el Código Ético, en las Políticas de Prevención LA/FT/FPADM, y en las medidas de control interno, constituirá una falta GRAVE de las establecidas en el Reglamento Interno de Trabajo de SOPHOS, sin perjuicio de las sanciones legales aplicables.

El procedimiento sancionador a seguir es el establecido en el apartado “ESCALA DE FALTAS Y SANCIONES DISCIPLINARIAS” del Reglamento Interno de Trabajo de Sophos para empleados, artículos 46 a 51.

4.8.1 Sanciones en general

Las sanciones legales contra el lavado de activos, la financiación del terrorismo, la financiación para la proliferación de armas de destrucción (LA/FT/FPADM) son graves y pueden implicar multas, sanciones administrativas o penales, tales como lavado de activos, prisión de diez (10) a treinta (30) años y multa de mil (1.000) a cincuenta mil (50.000) salarios mínimos legales mensuales vigentes contenidos en el Código Penal Colombiano.

Adicionalmente, Sophos Solutions podría enfrentar severas multas u otras sanciones penales por lavado de activos, financiación del terrorismo, financiación para la proliferación de armas de destrucción (LA/FT/FPADM) por parte de terceros vinculados a la compañía. No obstante, Sophos investigará cualquier actividad que infrinja la Política SAGRILAFT/FPADM y, en su caso, informará a las autoridades competentes de cualquier hecho relacionado con (LA/FT/FPADM) e iniciará y acompañará las acciones legales oportunas, además de tomar las medidas disciplinarias y sanciones pertinentes que pueden implicar la rescisión de la relación laboral, contractual, comercial o de cualquier otro tipo

• Toda persona vinculada a la empresa está obligada a informar al oficial de cumplimiento cualquier comportamiento, propio o de otras personas, que viole las normas establecidas en la política de SAGRILAFT/FPADM.
• Una vez el oficial de cumplimiento de Sophos sea informado de un hecho, es necesario iniciar la investigación objetiva de los mismos para tomar las sanciones y medidas disciplinarias pertinentes de manera oportuna.
• Sin excepción y cuando la naturaleza de los hechos indique la posibilidad de que la conducta involucrada se encuentre tipificada y sancionada como delito por las normas penales, el Oficial de Cumplimiento, previas consultas legales, deberá instaurar u ordenar la instauración de la denuncia penal correspondiente ante las autoridades competentes y, de ser necesario, designar los apoderados necesarios para obtener el resarcimiento de los daños y perjuicios que el hecho ocasionó a la Empresa.
• Las contrapartes deberán informar al Oficial de Cumplimiento sobre las operaciones que detecten, y reportar al correo electrónico: funcioncumplimientoAA@sophossolutions.com, a través del canal de ética habilitado en la página web. La empresa cuenta con un formato en formularios denominado formato de reporte de operaciones inusuales/intentos de operaciones y/o señales de alerta el cual sirve como canal de reporte y se encuentra en el anexo de este manual.

Este Manual debe estar siempre actualizado y a disposición de los empleados de SOPHOS, y cualquier cambio será aprobado por el Consejo de Administración de la Empresa’.
Otros manuales, procedimientos u otros documentos de instrucciones de proceso deberán estar de acuerdo con este Manual, cuando sea relevante.

“Sophos Solutions S.A.S. se reserva el derecho de modificar este documento en función de los cambios que se produzcan en la empresa.
 

ANEXO 1

formato para reportar operaciones inusuales/intentos de operaciones y/o señales de alerta
Formularios de Microsoft