RESUMEN: ¿Cómo realizar la debida diligencia de proveedores en empresas del mismo grupo? El oficio de la Superintendencia de Sociedades aborda la consulta sobre la debida diligencia de proveedores o clientes que operan en varias empresas del mismo grupo. Se destaca la importancia de considerar los riesgos propios de cada empresa y la necesidad de implementar el Sistema de Autocontrol y Gestión del Riesgo LA/FT/FPADM (SAGRILAFT).

Algunas preguntas que se pueden responder a través de este oficio son:

¿Cómo deben las empresas evaluar los riesgos específicos y realizar la debida diligencia de proveedores que operan en múltiples entidades del grupo?

¿Es posible utilizar un solo formato de conocimiento para varias empresas del grupo, asegurando la identidad de riesgos y procedimientos?

¿La realización de la debida diligencia por cualquier empresa del grupo satisface los requisitos, o es necesario unificar los formularios de conocimiento?

Ver a continuación oficio Superintendencia de Sociedades sobre: ¿Cómo realizar la debida diligencia de proveedores en empresas del mismo grupo?:

SUPERINTENDENCIA DE SOCIEDADES

OFICIO: 220-271768 03 DE NOVIEMBRE DE 2023

ASUNTO: SAGRILAFT- DEBIDA DILIGENCIA

Me refiero a su comunicación radicada con el número de la referencia mediante la cual, previas las consideraciones expuestas, formula una consulta en los siguientes términos:

1. “Para el proceso de debida diligencia de proveedores o clientes que se manejan en más de 1 empresa del grupo, ¿es válido realizar un solo proceso de conocimiento desde una sola compañía del grupo, aclarando que cada compañía cuenta con su propio formulario de conocimiento, bajo el entendido que dicha contraparte se maneja paralelamente en varias de las otras compañías del grupo?

2. De acuerdo con la anterior pregunta y precisando la situación en cuestión cada empresa tiene un formulario de conocimiento independiente para cada contraparte ¿se puede utilizar un mismo formato de conocimiento para las tres empresas de este grupo?

3. ¿Se entendería por ejecutada la debida diligencia de las contrapartes siempre y cuando cualquier empresa del grupo la realice y transmita la información a las demás?, ¿en caso de ser afirmativa la respuesta, es necesario que se unifique los formularios de conocimiento por el grupo o empresarial(SIC) o se puede manejar de manera individual para cada una?”

Previamente a responder sus inquietudes, debe señalarse que, en atención al derecho de petición en la modalidad de consulta, la Superintendencia de Sociedades con fundamento en los artículos 14 y 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, emite conceptos de carácter general y abstracto sobre las materias a su cargo, que no se dirigen a resolver situaciones de orden particular, ni constituyen asesoría encaminada a solucionar controversias, o determinar consecuencias jurídicas derivadas de actos o decisiones de los órganos de una sociedad determinada. A su vez, sus respuestas a las consultas no son vinculantes ni comprometen la responsabilidad de la entidad.

Con el alcance indicado, este Despacho procede a efectuar las siguientes consideraciones de índole general:

En primer lugar, se debe tener claro que el Sistema de Autocontrol y Gestión del Riesgo LA/FT/FPADM – SAGRILAFT, deberá tener en cuenta los riesgos propios de la Empresa Obligada. De ahí que los riesgos de cada empresa incluyan, entre otros, el análisis del tamaño y la composición del sector en el cual se desarrolla su actividad, con un enfoque basado en riesgo (Recomendación GAFI No.1) y su materialidad, para lo cual también se debe analizar el tipo de negocio, la operación, el tamaño, el área geográfica donde opera y demás características particulares.

Para los fines anteriores, las Empresas Obligadas deberán contar con una Matriz de Riesgo LA/FT/FPADM que les permita medir y auditar su evolución. Es por ello que el SAGRILAFT debe identificar y manejar los Riesgos LA/FT/FPADM de cada Empresa Obligada, con la premisa que a mayor riesgo se debe tener mayor control.

Dicho esto, vale la pena traer a colación lo dispuesto en el numeral 5.2.1. de la Circular Externa 100-000016:

“5.2.1. Identificación del Riesgo LA/FT/FPADM:

El SAGRILAFT debe permitirle a las Empresas Obligadas identificar los Factores de Riesgo LA/FT/FPADM, así como los riesgos asociados con éste.

Para identificar el Riesgo LA/FT/FPADM, las Empresas Obligadas deben, como mínimo:

a. Clasificar los Factores de Riesgo LA/FT/FPADM de conformidad con la actividad económica de la Empresa Obligada y su materialidad.

b. Establecer, una vez sean identificados, individualizados, segmentados y clasificados los Factores de Riesgo LA/FT/FPADM, las metodologías para identificar el riesgo específico de LA/FT/FPADM que puede llegar a enfrentar la Empresa Obligada, así como otros posibles riesgos asociados. Con base en esa clasificación y segmentación, se deben señalar, identificar e individualizar los riesgos.

c. Establecer, una vez clasificados y segmentados los Factores de Riesgo LA/FT/FPADM, las condiciones de tiempo, modo y lugar, así como la relevancia y la prioridad con que se deben ejecutar las medidas de Debida Diligencia.

d. Disponer e implementar los mecanismos y medidas que le permitan un adecuado conocimiento, identificación e individualización de los Factores de Riesgo LA/FT/FPADM que le resultan aplicables.”

Con base en las anteriores consideraciones, se procede a responder sus interrogantes en el mismo orden en que fueron planteados:

En cuanto a la primera pregunta, se pone de presente que cada empresa considerada deberá evaluar la forma adecuada de realizar su proceso de debida diligencia, atendiendo las características propias de su negocio, sus riesgos específicos y los requisitos mínimos establecidos en el Capítulo X de la Circular Básica Jurídica Superintendencia de Sociedades, de lo cual deberá quedar la evidencia correspondiente. Por lo tanto, si la empresa obligada considera viable la utilización de procesos compartidos, estos deberán garantizar que los mismos atiendan todas y cada una de la particularidades y necesidades de cada sujeto independientemente considerado en materia de SAGRILAFT, y que a su vez sea posible la conservación de la evidencia pertinente en cada sujeto obligado.

En relación con la segunda pregunta, y en concordancia con lo expuesto en la respuesta anterior, cada empresa considerada deberá evaluar la forma adecuada de realizar su proceso de debida diligencia, atendiendo las características propias de su negocio, sus riesgos específicos y los requisitos mínimos establecidos en el Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, de lo cual deberá quedar la evidencia correspondiente. La utilización de un solo formato deberá traer implícita una plena identidad de riesgos y procedimientos entre los distintos sujetos, lo cual, si bien en principio no parece de fácil coincidencia, deberá ser analizado por los sujetos involucrados en cada caso y deberá siempre garantizar el cumplimiento de las obligaciones que impone el SAGRILAFT.

Para finalizar, se señala que la respuesta a la tercera pregunta se encuentra subsumida en las respuestas dadas a las anteriores preguntas.

En los anteriores términos se ha atendido su inquietud. Se pone de presente que el presente oficio tiene los alcances del artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, y que en la Página WEB de ésta entidad puede consultar directamente la normatividad, los conceptos que la misma emite sobre las materias de su competencia los cuales también podrá ubicar en la herramienta tecnológica Tesauro.

Puedes encontrar más información sobre: ¿Cómo realizar la debida diligencia de proveedores en empresas del mismo grupo?, en supersociedades.gov.co  

 Además del tema relacionado con: ¿Cómo realizar la debida diligencia de proveedores en empresas del mismo grupo?, quizás te interese leer: Cajas de Compensación Familiar, Registro Único de Beneficiarios Finales – RUB y debida diligencia de identificación. Oficio DIAN 64