Manual del Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas Destrucción Masiva – SAGRILAFT

1. Definición de Términos

Los principales términos usados en el Manual de Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo (en adelante el “Manual”), se relacionan a continuación:

1. Activos Virtuales: es la representación digital de valor que se puede comercializar o transferir digitalmente y se puede utilizar para pagos o inversiones. Los activos virtuales no incluyen representaciones digitales de moneda fiat, valores y otros activos financieros que ya están cubiertos en otras partes de las Recomendaciones GAFI.
2. Administradores: Son administradores el representante legal, el liquidador, el factor, los miembros de juntas o consejos directivos y quienes de acuerdo con los estatutos o en la práctica ejerzan o detenten esas funciones ⁽¹⁾.
3. Asociado: Son los denominados socios o accionistas, es decir, aquellas personas que ostentan la titularidad de las cuotas sociales, partes de interés o acciones en una sociedad mercantil (referente a la expresión socio o accionista). Este término también incluye al empresario titular de la empresa unipersonal ^(2).
4. Asociados Cercanos: Tiene el significado establecido en el Decreto 1081 de 2015 y demás normas que lo modifiquen, complementen, sustituyan o adicionen. Se entenderá que esta definición no solo aplica a los asociados cercanos de PEP, sino también a los de las PEP Extranjeras y PEP de Organizaciones Internacionales.
5. Autocontrol: Es la voluntad de la Compañía y de sus Administradores para detectar, controlar y gestionar de manera eficiente y eficaz los riesgos a los que está expuesta su Empresa.
6. Beneficiario Final: Tiene el significado establecido en el Estatuto Tributario y demás normas que lo modifiquen, complementen, sustituyan o adicionen.
7. Clase de Control: Es la forma en la cual se realiza el control. Este puede ser: preventivo, detectivo o correctivo.
8. Clientes: Toda persona natural o jurídica con la cual la Compañía establece una relación contractual o legal para la adquisición de los productos.
9. Código de Conducta: Constituye una guía para el personal directivo, empleados y agentes de la Empresa para la aplicación de prácticas responsables, legales y éticas en todas las actividades que realizan en nombre y representación de la Compañía y del sector.
10. Comité de Compliance o Comité de Cumplimiento: Hace referencia al comité interno cuya descripción y funciones se incluyen en el Anexo 8 de este Manual.
11. Control del Riesgo de LA/FT/FPADM: Comprende la implementación de políticas, procesos, prácticas u otras acciones existentes que actúan para minimizar el riesgo LA/FT/FPADM en las operaciones, negocios o contratos que realice la Compañía.
12. Control Preventivo: Políticas, procedimientos o mecanismos de control encaminados a limitar la posibilidad de ocurrencia del riesgo.
13. Control Detectivo: Son las políticas, procedimientos o mecanismos de control encaminados a detectar la posibilidad de ocurrencia del riesgo y reducir el Impacto.
14. Control Correctivo: Políticas, procedimientos o mecanismos de control encaminados a mitigar el Impacto que genera la materialización del riesgo.
15. Sistema de Debida Diligencia a Terceras Partes: herramienta tecnológica tipo ERP que permite realizar el procedimiento de debida diligencia de cualquier tercero proveedor o cliente con MSD.
16. Debida Diligencia (due diligence en inglés): Equivale a ejecutar algo con suficiente cuidado. Existen dos interpretaciones sobre la utilización de este concepto en la actividad empresarial. La primera, se concibe como el actuar con el cuidado que sea necesario para reducir la posibilidad de llegar a ser considerado culpable por negligencia y de incurrir en las respectivas responsabilidades administrativas, civiles o penales. La segunda, de contenido más económico y más proactivo, se identifica como el conjunto de procesos necesarios para poder adoptar decisiones suficientemente informadas.³
17. Debida Diligencia Intensificada: Equivale a realizar la Debida Diligencia, pero con un nivel mayor de cuidado, diligencia e investigación de una contraparte, sus administradores registrados y no registrados ante entes de registro y/o control (i.e. Cámara de Comercio), accionistas y beneficiarios, y de su negocio, operaciones, productos y transacciones.
18. DPSS: Denied Parties Screening System por sus siglas en inglés. Sistema de Búsqueda de Partes Denegadas; es un software de búsqueda de nombres frente a las Listas de Partes Denegadas o Listas Restrictivas (definidas más adelante).
19. Empleado: Es toda persona natural que de manera personal y habitual desempeña un cargo o trabajo en la Compañía y quien a cambio recibe una remuneración o sueldo.
20. Empresa: Las sociedades comerciales y las sucursales de sociedades extranjeras según la definición del Código de Comercio, las empresas unipersonales regidas por la Ley 222 de 1995, la sociedad por acciones simplificadas según la Ley 1258 de 2008 y las demás personas jurídicas que estén bajo vigilancia de la Superintendencia de Sociedades.
21. Evento: Incidente o situación de LA/FT/FPADM que ocurre en la Empresa durante un intervalo particular de tiempo.
22. Factores de Riesgo: Son los agentes (elementos o causas) generadores de riesgo de LA/FT/FPADM en una empresa, que se deben tener en cuenta para identificar las situaciones que puedan generarlo en las operaciones, negocios o contratos que realiza el ente económico. Para efectos del presente Manual se segmentan los siguientes:
    • Contraparte: Personas naturales o jurídicas con las cuales MSD tiene vínculos de negocios, contractuales o jurídicos de cualquier orden. Es decir; Accionistas, Empleados y las Partes
    • Productos: Bienes y servicios que ofrece o compra MSD en desarrollo de su objeto social;
    • Canales de distribución: Medios que utiliza MSD para ofrecer y comercializar sus bienes y servicios, como por ejemplo establecimientos comerciales, internet o por teléfono.
    • Jurisdicción territorial: Zonas geográficas identificadas como expuestas al riesgo de LA/FT/FPADM en donde MSD ofrece sus productos.23. Frecuencia: una variable cualitativa de medición del riesgo, que representa el número de veces en que podría llegarse a presentar un determinado Evento de Riesgo en el transcurso de un año.
23. Financiación del Terrorismo: Delito que comete toda persona que incurra en alguna de las conductas descritas en el artículo 345 del Código Penal, o aquella que lo sustituya o modifique. “Ley 599 de 2000 (Código Penal). Artículo 345. Modificado por el artículo 16 de la Ley 1121 de 2006 y el artículo 16 de la Ley 1453 de 2011: Financiación del terrorismo y de grupos de delincuencia organizada y administración de recursos relacionados con actividades terroristas y de la delincuencia organizada – El que directa o indirectamente provea, recolecte, entregue, reciba, administre, aporte, custodie o guarde fondos, bienes o recursos, o realice cualquier otro acto que promueva, organice, apoye, mantenga, financie o sostenga económicamente a grupos de delincuencia organizada, grupos armados al margen de la ley o a sus integrantes, o a grupos terroristas nacionales o extranjeros, o a terroristas nacionales o extranjeros, o a actividades terroristas, incurrirá en prisión de trece (13) a veintidós (22) años y multa de mil trescientos (1.300) a quince mil (15.000) salarios mínimos legales mensuales vigentes”.
24. Financiamiento de la Proliferación de Armas de Destrucción Masiva o FPADM: es todo acto que provea fondos o utilice servicios financieros, en todo o en parte, para la fabricación, adquisición, posesión, desarrollo, exportación, trasiego de material, fraccionamiento, transporte, trasferencia, depósito de armas nucleares, químicas o biológicas, sus medios de lanzamiento y otros materiales relacionados (incluyendo tecnologías y bienes de uso dual para propósitos ilegítimos) en contravención de las leyes nacionales u obligaciones internacionales, cuando esto último sea aplicable.
25. Gráfica Térmica: Es el grafico en el cual se ubica en el eje X el Impacto y en el eje Y la Frecuencia que da como resultado la ubicación del Riesgo Inherente (que se define más adelante) para cada caso que se evalúa en MSD.
26. Grupo de Acción Financiera Internacional (GAFI): Organismo intergubernamental establecido en 1989, cuyo mandato es fijar estándares y promover la implementación efectiva de medidas legales, regulatorias y operativas para combatir el Lavado de Activos, la Financiación del Terrorismo y el financiamiento de la proliferación y otras amenazas a la integridad del sistema financiero.
27. Gestión del riesgo de LA/FT/FPADM: Consiste en la adopción de políticas que permitan prevenir y controlar el riesgo de LA/FT/FPADM.
28. Impacto: Se considera como el conjunto de posibles efectos negativos que puede ocasionar el riesgo en caso de materializarse.
29. Lavado de Activos: Delito que comete toda persona que busca dar apariencia de legalidad a bienes o dinero provenientes de alguna de las actividades descritas en el artículo 323 del Código Penal. “Ley 599 de 2000 (Código Penal). Artículo 323. Modificado por el artículo 8º de la Ley 747 de 2002, a su vez modificado por el artículo 17 de la Ley 1121 de 2006 y por artículo 42 de la Ley 1453 de 2011: Lavado de Activos – El que adquiera, resguarde, invierta, transporte, transforme, almacene, conserve, custodie o administre bienes que tengan su origen mediato o inmediato en actividades de tráfico de migrantes, trata de personas, extorsión, enriquecimiento ilícito, secuestro extorsivo, rebelión, tráfico de armas, tráfico de menores de edad, financiación del terrorismo y administración de recursos relacionados con actividades terroristas, tráfico de drogas tóxicas, estupefacientes o sustancias psicotrópicas, delitos contra el sistema financiero, delitos contra la administración pública, o vinculados con el producto de delitos ejecutados bajo concierto para delinquir, o les dé a los bienes provenientes de dichas actividades apariencia de legalidad o los legalice, oculte o encubra la verdadera naturaleza, origen, ubicación, destino, movimiento o derecho sobre tales bienes o realice cualquier otro acto para ocultar o encubrir su origen ilícito, incurrirá por esa sola conducta, en prisión de diez (10) a treinta (30) años y multa de seiscientos cincuenta (650) a cincuenta mil (50.000) salarios mínimos legales vigentes.”
30. LA/FT: Lavado de Activos y Financiación del Terrorismo.
31. Listas de Partes Denegadas o Listas Restrictivas nacionales e internacionales: Son aquellas listas de personas y entidades asociadas que son vinculantes para Colombia bajo la legislación colombiana que, de acuerdo con el organismo que las publica, pueden estar vinculadas con actividades de LA/FT/FPADM (artículo 20 de la Ley 1121 de 2006) y conforme al derecho internacional, incluyendo pero sin limitarse a las Resoluciones 1267 de 1999, 1373 de 2001, 1718 y 1737 de 2006, 1988 y 1989 de 2011, y 2178 de 2014 del Consejo de Seguridad de las Naciones Unidas, y todas aquellas que le sucedan, relacionen y complementen, y cualquiera otra lista vinculante para Colombia (como las listas de terroristas de los Estados Unidos de América, la lista de la Unión Europea de Organizaciones Terroristas y la lista de la Unión Europea de Personas Catalogadas como Terroristas), o listas que en la práctica son aplicables por riesgos operacionales o de diverso tipo como lo son:
    • La Lista del Departamento del Tesoro Americano de Nacionales Especialmente designados y Personas Bloqueadas “U.S. Treasury Department’s List of Specially Designated Nationals and Blocked Persons, the “SDN List”: http://www.treasury.gov/ofac/downloads/t11sdn.pdf);
    • La Lista del Departamento de Comercio de los Estados Unidos de América de Personas denegadas o inhabilitadas “!.S. Commerce Department’s Denied Persons List”: http://www.bis.doc.gov/dpl/thedeniallist.asp);
    • La Lista de entidades “Entity List” (http://www.bis.doc.gov/entities/default.htm);
    • La Lista Consolidada de Personas, Grupos y Entidades sujetas a sanciones económicas de la Unión Europea “Consolidated List of Persons, Groups and Entities Subject to EU Financial Sanctions”:http://ec.europa.eu/external_relations/cfsp/sanctions/list/version4/global/e_ctlview.html
    • Listas de personas incluidas en los Panamá Papers y de agencias de periodistas independientes que denuncian hechos que pueden o no tener un contexto ilegal.
32. Máximo órgano social: Asamblea General de Accionistas la cual está conformada por todos los Accionistas de la Compañía.
33. Matriz de Riesgo LA/FT/FPADM: es la matriz en donde se documenta la identificación, individualización, segmentación, evaluación y control de los Riesgos LA/FT/FPADM a los que se podría ver expuesta MSD.
34. Monitoreo y/o Seguimiento: Es el proceso continuo y sistemático mediante el cual se verifica la eficiencia y la eficacia de una política o de un proceso, mediante la identificación de sus logros y debilidades para recomendar medidas correctivas tendientes a optimizar los resultados esperados. Es condición para rectificar o profundizar la ejecución y para asegurar la retroalimentación entre los objetivos, los presupuestos teóricos y las lecciones aprendidas a partir de la práctica.
35. MSD o la Compañía: es Merck Sharp & Dohme Colombia S.A.S.
36. Omisión de denuncia: Tipo penal descrito en el artículo 441 del Código Penal o la norma que lo sustituya.
37. Oficial de Cumplimiento: Persona designada por el Máximo Órgano Social de acuerdo con los requerimientos y el perfil previsto en el Anexo 14 Perfil profesional del Oficial de Cumplimiento de esta Manual y que estará encargada de promover, desarrollar y velar por el cumplimiento de los procedimientos de prevención, actualización y mitigación del Riesgos LA/FT/FPADM y protegerá los intereses de la compañía y velará porque los recursos de la Compañía sean de Origen Licito y tengan la misma destinación. Dentro del Anexo 14 se incluye el régimen de incompatibilidades, inhabilidades y administración de conflictos de interés del Oficial de Cumplimiento.
38. Operación Inusual: Es aquella cuya cuantía o características no guarda relación con la actividad económica de las Partes (definido más adelante), Empleados y Accionistas, o que, por su monto, por las cantidades transadas o por sus características particulares, se salen de los parámetros de normalidad establecidos.
39. Operación Sospechosa: Es aquella Operación Inusual que, además, por su número, cantidad o características no se enmarca dentro de los sistemas y prácticas normales de los negocios, de una industria o de un sector determinado y, además, que de acuerdo con los usos y costumbres de la actividad que se trate no ha podido ser razonablemente justificada. Estas operaciones tienen que ser reportadas única, inmediata y exclusivamente a la UIAF. Este tipo de operación incluye las Operaciones Intentadas o rechazadas que contengan las mismas características.
40. Partes: Se entenderá el término “Partes” toda persona natural o jurídica con la cual la Compañía desea o ha establecido relaciones contractuales o son conocidos por realizar o participar en actividades comerciales en nombre de MSD, incluyendo sin limitar: (i) Profesionales de la Salud (ii) Speakers o conferencista; (iii) Patrocinios; (iv) Investigadores Principales, Investigadores, Consultores, asociaciones etc; (v) Donaciones, Contribuciones de Caridad y Subvenciones (Grants) (vi) Clientes y (vii) Proveedores.
41. Partes Denegadas: Los Estados Unidos y otros gobiernos mantienen listas de Partes restringidas que prohíben o limitan la capacidad para realizar transacciones comerciales con terceros. En conjunto, son todos los individuos u organizaciones que aparecen en esas listas como Partes Denegadas.
42. PEP Extranjeras: Significa personas expuestas políticamente extranjeras, según la definición contemplada en el Decreto 1081 de 2015 y demás normas que lo modifiquen, complementen, sustituyan o adicionen.
43. Personas Expuestas Políticamente o Públicamente (PEPs): Significa personas expuestas políticamente, según la definición contemplada en el Decreto 1081 de 2015 y demás normas que lo modifiquen, complementen, sustituyan o adicionen. Incluye también a las PEP Extranjeras y las PEP de Organizaciones Internacionales.
44. Políticas Internas: Son aquellas políticas locales y globales que se implementan dentro de la compañía para dar lineamientos, orientaciones o aspectos que están directamente relación con la prevención y el Control del Riesgo de LA/FT/FPADM en la Compañía.
45. Productos Financieros: para efectos del manual se entenderá Productos Financieros aquellos que son ofrecidos por instituciones financieras legalmente autorizadas con el propósito de brindar un servicio a la población para cubrir sus necesidades.
46. Proveedores: Toda persona natural o jurídica que suministre bienes y servicios necesarios para el desarrollo de las actividades de la Compañía. Particularmente se entenderá por Proveedores los relacionados con mercancía, servicios, activos fijos, contratistas, agentes, distribuidores y consultores entre otros.
47. Herramienta de Monitoreo Corporativo: herramienta tecnología o software tipo ERP que contiene información de la compañía, y que permite, para fines de este Manual, detectar operaciones inusuales o sospechosas.
48. Relacionados: cualquier otro tercero no definido que tenga relación recuente o no en relación con cualquiera de las actividades desarrolladas por la Compañía.
49. Reporte interno: Son aquellos que se manejan al interior de la Empresa y pueden ser efectuados por cualquier Empleado o miembro de la organización, que tenga conocimiento de una posible Operación inusual o sospechosa y de Monitoreo de la operación de la misma.
50. Riesgo: Es la posibilidad que ocurra un Evento con características negativas que afecten un ente económico, una comunidad o una persona.
51. Riesgo Inherente: Es el riesgo al que está expuesta la entidad. Este se mide sin tener en cuenta los controles mitigantes.
52. Riesgo Residual: Es el riesgo resultante del Riesgo Inherente menos acciones de control.
53. ROS: Reporte de Operación Sospechosa.
54. Riesgo de Lavado de Activos, de la Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva (LA/FT/FPADM): Es la posibilidad de pérdida o daño que puede la Compañía por su propensión a ser utilizada directamente o a través de sus operaciones y distintas actividades como instrumento para la comisión de los delitos de LA/FT/FPADM, para que se introduzcan recursos provenientes del lavado de activos y/o financiación y canalización de recursos para la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de LA/FT/FPADM se materializa a través de las sanciones administrativas, civiles o penales que acarrean los delitos de esta índole, así como los riesgos asociados dentro de los cuales se encuentran los riesgos (i) legal, (ii) reputacional, (iii) operacional y (iv) contagio, a los que se expone MSD con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando la Compañía es utilizada para tales actividades. En el Anexo No. 16 del presente Manual se incluye la lista de delitos relacionados con el Riesgo LA/FT/FPADM.
55. Riesgo Legal: Es la posibilidad de pérdida o daño en que incurre MSD, los accionistas, sus Administradores o cualquier otra persona vinculada al ser sancionados, multados u obligados a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales relacionadas con la prevención del Riesgo LA/FT/FPADM. Surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.
56. Riesgo Reputacional: Es la posibilidad de pérdida o daño en que incurre MSD por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de Clientes, disminución de ingresos o vinculación a proceso judiciales.
57. Riesgo Operacional: Es la posibilidad que tiene MSD de ser utilizada en actividades de LA/FT/FPADM por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el Riesgo Legal y el Riesgo Reputacional, asociados a dichos factores.
58. Riesgo de Contagio: Es la posibilidad de pérdida que puede sufrir MSD directa o indirectamente por una acción o experiencia de una Parte o Relacionados, vinculado con los delitos de LA/FT/FPADM.
59. ROS: Es el reporte de Operaciones Sospechosas.
60. Sistema de LA/FT/FPADM o SAGRILAFT: Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva. Aplicable a empresas del sector real.
61. Señales de alerta: Son circunstancias particulares que llaman la atención y justifican un mayor análisis y las cuales se listan en el Anexo 15 Señales de Alerta del presente Manual
62. Tipo de Control: Mecanismo por el cual se realiza la validación del control: Automático, semiautomático y manual.
63. Unidad de Información y Análisis Financiero (UIAF): Es una unidad administrativa especial, de carácter técnico, adscrita al Ministerio de Hacienda y Crédito Público, creada por la Ley 526 de 1999, modificada por la Ley 1121 de 2006, que tiene como objetivo la prevención y detección de operaciones que puedan ser utilizadas para el lavado de activos o la financiación del terrorismo. Así mismo, impone obligaciones de reporte de operaciones a determinados sectores económicos.

2. Objetivo.

El objetivo presente Manual es instrumentar la prevención en el LA/FT/FPADM y de otras conductas delictivas, así como la mitigación de Riesgos (Legal, Reputacional, de Contagio y Operacional) que afecten la reputación de la Compañía por el hecho de la comisión de delitos relacionados. Debida diligencia para actuar con el debido cuidado y tomar decisiones de forma informada para reducir la posibilidad de llegar a ser culpable por negligencia y resulten involucrados en cualquiera de las conductas que tipifican tales delitos, pueden verse sometidos a investigaciones y sanciones administrativas, civiles y penales.

MSD busca con este Manual involucrar la participación de todas la Partes, Relacionados, Accionistas y cualquier otro que tenga cualquier vínculo con la Compañía realizando la Debida Diligencia para lograr que no sean utilizados para el ocultamiento, manejo, inversión o aprovechamiento, en cualquier forma de dinero u otros bienes de origen ilícito o para dar apariencia de legalidad a las transacciones vinculadas al ilícito.

El Manual se ha elaborado para que abarque el diseño, aprobación, ejecución, seguimiento, verificación, comunicación y capacitación de los procedimientos o políticas mediante los cuales MSD materializa el Sistema de Autocontrol y Gestión Integral del Riesgo de LA/FT/FPADM, en concordancia de sus Políticas Internas, procedimientos y funciones de los órganos de administración, dirección y control; así como, las funciones del Oficial de Cumplimiento, su suplente y en general de todos los elementos normativos concordantes.

3. Introducción.

Para el funcionamiento óptimo de MSD y con el objeto de mantener la confianza pública en Colombia y en el resto del mundo, es determinante que cada Empleado de MSD realice sus propios deberes con honestidad e integridad.

El Manual SAGRILAFT se ha elaborado para el uso, orientación y estricta aplicación de todos los Empleados, Administradores, órganos de control y Accionistas de MSD que deben ser aplicados en todos los procesos y especialmente en donde se haya identificado un potencial Riesgo de LA/FT/FPADM.

Las Políticas Internas de la Compañía relacionadas y las reglas y procedimientos establecidas en este Manual son de obligatorio cumplimiento, en tanto que los Empleados, Administradores y Accionistas, regidos por el espíritu de honestidad, lealtad, responsabilidad, profesionalismo y legalidad, deben anteponer la observancia de principios legales y éticos al logro de metas comerciales.

El Manual SAGRILAFT, es el instrumento mediante el cual MSD da a conocer a cada uno de sus Empleados, Administradores, Accionistas y canales externos, actuales y futuros, el conjunto de políticas, reglas y procedimientos que deben seguirse para la prevención y control del Lavado de Activos, financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva al interior de MSD; en consecuencia, éste fue aprobado por la Asamblea General de Accionistas de MSD y, así mismo, se nombró al Oficial de Cumplimiento y su suplente.

El Manual será actualizado de acuerdo con las necesidades de MSD y conforme las actualizaciones y modificaciones normativas correspondientes y será de conocimiento general, ya que reposa en la intranet página interna de la Compañía y Sharepoint diseñado para este. La carpeta de revisión incluyendo el Manual en original firmado estará en poder del Oficial de Cumplimiento y en caso de ausencia de este estará en cabeza del suplente del mismo.

4. Política LA/FT/FPADM.

Salvo las excepciones previstas en este Manual:

• No se establecerá ninguna relación de negocios o de cualquier otro tipo con Clientes, Partes, Proveedores o Empleados cuando se presenten elementos que conlleven dudas fundadas sobre la legalidad de las operaciones o licitud de los recursos de estos, o que por sus particularidades pueden suscitar un riesgo para MSD, según se determine en el desarrollo de los procedimientos de Debida Diligencia previstos en este Manual.
• No se establecerá ninguna relación de negocios o de cualquier otro tipo con Clientes, Partes, Proveedores o Empleados incluidas en Listas de Partes Denegadas o Listas Restrictivas internacionales o nacionales cuando no tengan una clara explicación de tal situación y/o su vinculación con MSD representa un riesgo para MSD.
• No se establecerá ninguna relación de negocios o de cualquier otro tipo con Clientes, Partes o Proveedores cuando alguna de las siguientes personas relacionadas con estas se encuentre en la situación descrita en el punto anterior: (i) Representantes legales; (ii) Miembros de Junta Directiva o Consejo Directivo (cuando exista); (iii) Accionistas, socios o asociados que tengan el cinco por ciento (5%) o más del capital social, aporte o participación, o beneficiarios finales de éstos.
• No se establecerá ninguna relación de negocios o de cualquier otro tipo con Clientes, Partes, Proveedores o Empleados que tengan o hayan tenido en los últimos diez (10) años investigaciones o procesos penales por delitos de lavado de activos, financiación del terrorismo, financiamiento de la proliferación de armas destrucción masiva ni por delitos conexos tales como omisión de reportes sobre transacciones en efectivo; receptación; testaferrato, enriquecimiento ilícito de particulares; omisión de denuncia y favorecimiento, entre otros. De igual manera, incluye cualquier tipo de condena por estos delitos.
• No se establecerá ninguna relación de negocios o de cualquier otro tipo con Clientes, Partes o Proveedores ubicadas en países con alto riesgo en materia de FPADM o con grupos terroristas incorporados allí, tales como, Iraq y Palestina, según determine el GAFI. El Oficial de Cumplimiento de manera permanente monitoreará las actividades y actualizará de forma anual la lista de países considerados de alto riesgo FPADM.
• No se establecerá ninguna relación de negocios o de cualquier otro tipo con Clientes, Partes o Proveedores ubicados en zonas o países consideradas como de alto riesgo en materia de LAFT, tales como, Arauca, Florencia (Caquetá), Meta o Guaviare según determine el Gobierno Nacional de Colombia, salvo que supere un proceso de Debida Diligencia Intensificada. El Oficial de Cumplimiento de manera permanente monitoreará las actividades y actualizará de forma anual la lista de zonas y países considerados de alto riesgo LAFT.
• En caso tal que, durante el desarrollo de la relación con Clientes, Partes, Proveedores o Empleados se presente de forma sobreviniente cualquiera de las situaciones descritas en los numerales 4.1 a 4.6 anteriores, la Compañía dará terminación inmediata a la relación contractual con este, salvo determinación expresa en contrario por parte de la Asamblea General de Accionistas, previo concepto del Oficial de Cumplimiento.
• En MSD, se preferirá el cumplimiento de este Manual sobre los beneficios económicos, la rentabilidad y cumplimiento de metas financieras.
• En MSD, todos sus empleados y Partes actuarán con amplia y profunda transparencia, con alta diligencia, encaminando todos los esfuerzos hacia el cumplimiento de este Manual SAGRILAFT y las normas LA/FT/FPADM.
• MSD no recibirá ni realizará pagos en efectivo, sino a través del sistema bancario, y con documentos contractuales, contables y tributarios que permitan sustentar cada operación, contrato o negocio, y tener la debida trazabilidad, y con terceros conocidos por MSD a través de un proceso de Debida Diligencia.
• MSD no admitirá triangulaciones de pagos a favor de terceros, a menos que se realice con fundamento en normas que promocionan el factoring, con entidades de factoring debidamente constituidas, y se verifique la información de tercero beneficiario del pago.

5. Estructura Corporativa del SAGRILAFT.

MSD ha dispuesto una estructura organizacional que apoyará la realización de las funciones derivadas del SAGRILAFT, la cual hará parte del organigrama general de MSD y dentro del cual se listan las funciones de cada uno de dichos órganos en materia de control y prevención de LA/FT/FPADM, y la cual se describe, en lo correspondiente a LA/FT/FPADM, en el Anexo 8 de este Manual.

6. Estructura del SAGRILAFT.

6.1 Modelo de Gestión del Riesgo de LA/FT/FPADM

MSD, se guiará por los lineamientos dados por la Superintendencia de Sociedades e incorporados en el Capítulo X “AUTOCONTROL Y GESTIÓN DEL RIESGO INTEGRAL LA/FT/FPADM Y REPORTE DE OPERACIONES SOSPECHOSAS A LA UIAF” de la Circular Básica Jurídica No. 100-000005 del 22 de noviembre de 2017 y por las demás normas reglamentarias que sobre la materia emita la Superintendencia de Sociedades y las autoridades pertinentes. El SAGRILAFT contendrá las etapas:

6.1.1 Diagnóstico e identificación de los Riesgo LA/FT/FPADM

Identificar los riesgos de LA/FT/FPADM para cada uno de los procesos con el fin minimizar la materialización del riesgo y que impidan el logro de los objetivos de los mismos; así mismo, identificar las causas y las consecuencias a los cuales se ve expuesta MSD por cada uno de los riesgos identificados.

Con el fin de llevar a cabo el proceso de Identificación de Riesgos, se realizarán las siguientes actividades por parte del área correspondiente (según el procedimiento indicado en el punto 6.2.3):

1. En la etapa de diagnóstico el Oficial de Cumplimiento determinará cual es el contexto interno de la Compañía y el contexto externo para determinar el listado por área de situaciones que pueden generar situaciones de riesgo (factores de riesgo), tomando en cuenta actividad económica, área geográfica, los objetivos, documentos soporte y metodología de la misma.
2. El Oficial de Cumplimiento, acompañado (si así éste lo determina) del área correspondiente identificará, determinará, individualizará, segmentará y clasificará los factores de riesgo según los criterios de Clientes y Proveedores (actividad económica, volumen y frecuencia de operaciones, ingresos, egresos y patrimonio), Productos (naturaleza, características y destinatarios finales), Canales de Distribución (naturaleza y características de cada uno), Jurisdicción (ubicación, características y naturaleza de las operaciones) y si está catalogado como PEP o no; de igual forma, las causas, que implica identificar las circunstancias para materializar el riesgo, junto con las metodologías para identificar el riesgo específico de LA/FT/FPADM y otros posibles riesgos asociados.
3. Se entenderá por causa el origen del riesgo, los motivos por los cuales los factores de riesgos pueden materializar el riesgo.
4. El Oficial de Cumplimiento deberá establecer, una vez clasificados y segmentados los factores de riesgo LA/FT/FPADM, las condiciones de tiempo, modo y lugar, así como la relevancia y la prioridad con que se deben ejecutar las medidas de Debida Diligencia.
5. El Oficial de Cumplimiento deberá implementar los mecanismos y medidas que permitan un adecuado conocimiento, identificación e individualización de los factores de riesgo LA/FT/FPADM.
6. Así mismo, documentará los riesgos y causas solicitados según la matriz de riesgos.
7. Para que los líderes de cada área puedan llevar a cabo esta tarea deberá ser capacitado para llevar a cabo los procesos de identificación de riesgos y causas.
8. Con base en lo anterior, el Oficial de Cumplimiento deberá señalar, identificar e individualizar los riesgos y generar un acta en donde se deja constancia de las actividades, la identificación de los riesgos, causas y consecuencias.
9. La actualización de la matriz de riesgo se debe realizar al menos una vez al año y ser presentada al Comité de Compliance por el Oficial de Cumplimiento para su evaluación.

6.1.2. Medición de los Riesgo LA/FT/FPADM

Concluida la etapa de identificación, se continúa con la etapa de Medición la cual es una valoración cualitativa de los riesgos identificados sin tomar en cuenta las Acciones de Tratamiento o Controles Mitigantes diseñados para el proceso. Estas mediciones establecen criterios de medición de Probabilidad e Impacto, conforme lo siguiente: (i) Probabilidad: Se refiere a la probabilidad o posibilidad de ocurrencia del Riesgo Inherente de cada uno de los factores de riesgo; y (ii) Impacto: Se refiere a los efectos o daños sobre los eventos previamente identificados. Los criterios de esta valoración se encuentran en el Anexo 12 Criterios de Medición del Riesgo del presente Manual.

Dentro de la Matriz de Riesgos presente en el Anexo 1 del presente Manual se incluyen mediciones del Riesgo LA/FT/FPADM de manera individual y consolidadas frente a cada uno de los Factores de Riesgo LA/FT/FPADM y los riesgos específicos identificados. Con lo anterior, cada riesgo se incluye en la medición que se presenta a continuación a fin de identificar el nivel de exposición a cada riesgo, de la siguiente manera:

La actualización de la matriz de riesgo se debe realizar al menos una vez al año y ser presentada al Comité de Compliance y por el Oficial de Cumplimiento para su evaluación.

6.1.3. Control del Riesgo de LA/FT/FPADM.

En esta etapa, MSD podrá determinar y adoptar los controles o medidas conducentes a controlar el Riesgo Inherente y llevarlo a niveles de exposición aceptados (Bajo y Moderado). El control se debe traducir en una disminución de la posibilidad de ocurrencia o del impacto del riesgo LA/FT/FPADM.

Estos controles se califican con el fin de establecer el nivel de mitigación o diminución del riesgo y su posibilidad de ocurrencia o impacto. Estos podrán ser preventivos, defectivos o correctivos. Los criterios de esta valoración se encuentran en el Anexo 13 Criterios de Control del Riesgo del presente Manual.

Para el control del riesgo, MSD: i) Establece metodologías para definir las medidas razonables de control del Riesgo LA/FT/FPADM; ii) Aplica dichas metodologías a cada uno de los factores de riesgo LA/FT/FPADM; y iii) Establece controles y herramientas para la detección de Operaciones Inusuales y Operaciones

Sospechosas, con base en los Riesgos LA/FT/FPADM identificados y de acuerdo con la Matriz de Riesgo, bajo el entendido de a mayor riesgo mayor control.

6.1.4. Documentación

Para el debido desarrollo de las etapas del SAGRILAFT se deberá proveer un adecuado archivo de los documentos relacionados con las etapas y procedimientos establecidos en este Manual con el fin de garantizar la integridad, oportunidad, confiabilidad y disponibilidad de la información requerida. Algunos de los documentos que se conservarán estando en cabeza del Oficial de Cumplimiento conforme las normas contables, son los siguientes:

1. Manual SAGRILAFT y sus Anexos.
2. Los documentos y registros que se efectuó cada una de las etapas descritas previamente
3. Los documentos que soportan el diseño, desarrollo e implementación de las metodologías del SAGRILAFT.
4. Los documentos que soportan la evolución de los controles que se van implementando en el SAGRILAFT.
5. Los informes de la Asamblea de Accionistas, los Administradores correspondiente, el Oficial de Cumplimiento o su suplente y los órganos de control.
6. Los documentos mediante los cuales las autoridades requieren información y sus respuestas.
7. Los soportes de los análisis de operaciones inusuales y sospechosas.
8. Los procesos disciplinarios adelantados por eventuales incumplimientos de lo establecido en el SAGRILAFT.
9. Formatos.

6.1.5. Monitoreo Riesgos LA/FT/FPADM.

El Monitoreo se realizará por parte del Oficial de Cumplimiento, el Comité de Compliance en colaboración de las áreas de Finanzas, Recursos Humanos, Compras, Legal & Compliance y las unidades de negocio. Esta etapa permite hacer seguimiento del perfil de riesgo y, en general, del SAGRILAFT, así como llevar a cabo la detección de Operaciones Inusuales y/o Sospechosas.

Algunas de las actividades de Monitoreo serán las siguientes:

• Realizar el seguimiento periódico y comparativo del Riesgo Inherente y Riesgo Residual de cada factor de riesgo LA/FT/FPADM y de los riesgos asociados.
• Asegurar que los controles sean integrales y se refieran a todos los riesgos y que funcionen en forma oportuna, efectiva y eficiente.
• Asegurar que los Riesgos Residuales se encuentren en los niveles de aceptación previstos en este Manual.
• En caso de requerirse reuniones entre las áreas encargadas, el Comité de Compliance y el Oficial de Cumplimiento para revisar los informes generados con fundamento en el de del DPSS.
• Adoptar los planes de acción y/o recomendaciones propuestas por los Órganos de Control.
• Por lo menos una vez al año se deberá hacer seguimiento y verificar que los procedimientos establecidos de identificación, medición, control de los riesgos LA/FT/FPADM se han venido implementado a fin de detectar sus deficiencias y proceder a la actualización de las calificaciones en la Matriz de Riesgos.
• Divulgar los cambios efectuados en la matriz de riesgos y/o procedimientos.

6.2. Medidas o procedimientos para el Control del Riesgo de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva. Desarrollo del modelo de gestión para la prevención de Riesgo de LA/FT/FPADM.

La descripción de los procedimientos que a continuación se relacionan propenden impulsar a nivel institucional la cultura en materia de Autocontrol y Gestión del Riesgo de LA/FT/FPADM. Por ello, es deber de todos los Empleados, Accionistas, incluido los órganos de Administración y el Oficial de Cumplimento y su suplente, asegurar el cumplimiento de los reglamentos internos y demás disposiciones relacionadas con la presente Manual. En ese orden de ideas, la Administración incluyendo los representantes legales, todos los Empleados de MSD y Accionistas, observarán y antepondrán los principios éticos, morales y el cumplimiento de las normas consagradas en está Manual, al logro de la ejecución de cada una de sus actividades, de rentabilidades y metas comerciales.

6.2.1. Generalidades en un proceso de Debida Diligencia con las Partes, Proveedores, los Empleados y Accionistas.

El conocimiento de las Partes, Empleados y Accionistas le permite a MSD obtener información sobre las características básicas de: identificación, ubicación, nivel de ingresos y activos junto con el detalle de la

actividad económica que desarrolla el Cliente (persona Natural o Jurídica) antes de ser vinculada. Por ninguna razón se puede aceptar ninguno de los terceros mencionados únicamente con votos de confianza o con vinculaciones verbales y omitir los controles establecidos, antes de entablar una relación comercial o jurídica con las Partes o Empleados, debe efectuarse una revisión de Listas de Partes Denegadas o Listas Restrictivas respecto de las contrapartes correspondientes, independientemente que estas sean personas naturales o jurídicas. Esta revisión le corresponde a cada área dueña del proceso de vinculación y en cumplimiento de lo establecido en el presente Manual y como las Políticas Internas, y Estará compuesta de los siguientes elementos mínimos:

1. Identificar a la contraparte y verificar su identidad utilizando documentos, datos o información confiable, de fuentes independientes.
2. Identificar al Beneficiario Final de la contraparte y tomar medidas razonables para verificar su identidad.
3. Entender, y cuando corresponda, obtener información sobre el propósito y el carácter que se pretende dar a la relación comercial.
4. Realizar una Debida Diligencia continua de la relación comercial y examinar las transacciones llevadas a cabo a lo largo de esa relación para asegurar que las transacciones que se realicen sean consistentes con el conocimiento que tiene MSD sobre dicha contraparte, su actividad comercial y el perfil de riesgo, incluyendo, cuando sea necesario, la fuente de los fondos.
5. El control de Listas de Partes Denegadas o Listas Restrictivas en el caso de personas jurídicas siempre incluye:
   • A la persona jurídica.
   • Representantes legales (Principales, Suplentes, apoderados inscritos)
   • Accionistas o socios que tengan el 5% o más del capital social, aporte o participación. En caso de que estos sean personas jurídicas, se realizará sobre los Beneficios Finales de estas.
   • Revisores fiscales (personas naturales)
6. Así mismo, MSD no establecerá relación ni comercial o laboral con las Partes, Empleados, Asociado, Relacionados y Accionistas que se encuentren en las siguientes condiciones:
   • Personas incluidas en las Listas de Partes Denegadas o Listas Restrictivas nacionales o internacionales, salvo que se obtenga la autorización previa y escrita por parte de Global Human Health International de Merck & Co. (GHH-I)
   • Personas de las que se puede deducir por información pública, suficiente y fiable (prensa, medios, etc.) el hecho de estar relacionadas con actividades delictivas, especialmente aquellas que se encuentren vinculadas considerablemente al narcotráfico, terrorismo, armas de destrucción masiva o al crimen organizado.
   • Personas que tengan negocios cuya naturaleza haga imposible la verificación de la legitimidad de las actividades que desarrollan, o la procedencia de los fondos.
   • Personas que tengan negocios cuya naturaleza haga imposible la verificación de la procedencia de sus recursos.
   • Personas que se rehúsen a entregar la documentación que permita realizar una plena identificación del titular y/o beneficiario final.
   • Personas que habiendo presentado la documentación que permita realizar una plena identificación del titular y/o el beneficiario final, se nieguen a que MSD obtenga una copia del documento que acredite la identidad, o de cualquier otro documento que resulte necesario para su vinculación.
   • Personas que presenten documentos manifiestamente falsos o cuyas características externas, permitan albergar serias dudas sobre su legalidad, legitimidad, manipulación, etc., así como también, acerca del propósito y naturaleza de la relación comercial.
   • Cualquier otra categoría no contemplada en las anteriores que sea conveniente y que haya sido aprobada por la Administración de MSD, con fines ilegítimos por parte de personas, u organizaciones, con propósitos criminales que conlleven a una exposición de MSD a Riesgos legales y/o Reputacionales.
7. Por otro lado, las siguientes categorías de candidatos podrán ser aceptados, previa decisión expresa y formal del Gerente General, previo cumplimiento a los procedimientos de vinculación y de control establecidos por MSD para Debida Diligencia Intensificada:
   • Personas jurídicas cuya actividad comercial sea la comercialización de vehículos de importación.
   • Personas jurídicas cuya actividad comercial sea la explotación de negocios de cambio de moneda o divisas y/o gestión de transferencias siempre que dispongan de la oportuna autorización administrativa.
   • Personas jurídicas cuya actividad comercial sea la producción o distribución de armas u otros productos militares.
   • Personas jurídicas cuya actividad comercial sea la producción o distribución de precursores químicos que puedan ser utilizados en la producción de drogas ilícitas.
   • Personas naturales o jurídicas cuya actividad comercial sea la realización de actividades transaccionales por cuenta de terceros.
   • Las Personas Políticamente o Públicamente Expuestas (PEP´s), de acuerdo con los criterios dados para ello por parte de la Asamblea General de Accionistas.
   • Contratos o acuerdos comerciales establecidos con terceros ubicados en zonas rojas, entendiendo por estas “las Partes del territorio nacional donde se desarrolla la conducción de las hostilidades por parte de grupos armados al margen de la ley (Zonas de conflicto armado)”
   • Contratos o acuerdos comerciales establecidos con terceros ubicadas en países con alto riesgo en materia de FPADM o con grupos terroristas incorporados allí, tales como, Iraq y Palestina.
   • Personas con antecedentes judiciales por delitos económicos, en las listas de la Contraloría, Procuraduría y Policía Nacional con relación a temas de riesgo LA/FT/FPADM.
8. Solo se entablarán relaciones comerciales o de negocios con entidades financieras de Colombia o del exterior que se encuentren debidamente supervisadas por el órgano de control correspondiente o en su defecto cumplan con el total de requisitos de ley, que sean de reconocida trayectoria y que tengan implementados mecanismos de prevención y control LA/FT/FPADM siempre y cuando las mismas ofrezcan Productos Financieros confiables.
9. Para los casos en que la vinculación de terceros indique para MSD una mayor implicación de riesgo, La unidad de negocio o área correspondiente deberá tomar medidas coordinadas con el Oficial de Cumplimiento, el Comité de Compliance y Gerente General las cuales conduzcan a conocer e identificar a las Partes, Empleados y Accionistas.
10. MSD tiene una base de datos para consolidar e identificar alertas presentes o futuras y la cual contiene el nombre de la contraparte, ya sea persona natural o jurídica, la identificación, el domicilio, el Beneficiario Final, el nombre del representante legal, el nombre de la persona de contacto, el cargo que desempeña, fecha del proceso de conocimiento o monitoreo de la contraparte. Esta estará a disposición de la Superintendencia de Sociedades en caso de cualquier requerimiento.
11. Una actualización obligatoria (nueva realización) del proceso de Debida Diligencia sobre cada una de las contrapartes una vez al año o cada vez que aparezca necesario conforme a los cambios de las condiciones jurídicas y reputacionales de dicha contraparte.
12. Cuando se identifique o verifique cualquier bien, activo, producto, recurso, fondo o derecho de titularidad a nombre o bajo la administración o control de cualquier país, persona o entidad incluida en las Listas de Partes Denegadas o Listas Restrictivas nacionales o internacionales, el Oficial de Cumplimiento deberá reportarlo de forma inmediata a la UIAF y evaluará junto con Global Security si es susceptible de denunciarse o ponerlo en conocimiento de la Fiscalía General de la Nación.

Si no se puede llevar a cabo la Debida Diligencia en los términos descritos anteriormente de forma satisfactoria, no podrá darse inicio a la relación.

6.2.2. Debida Diligencia Intensificada.

Este procedimiento implica un conocimiento avanzado de la Contraparte y su Beneficiario Final, así como del origen de los Activos que se reciben, que incluye actividades adicionales a las llevadas a cabo en la Debida Diligencia.

La Debida Diligencia Intensificada debe:

1. Aplicarse a aquellas Contrapartes y sus Beneficiarios Finales que (i) MSD considere que representan un mayor riesgo; (ii) sean identificadas como PEP, y (iii) se encuentren ubicadas en países no cooperantes y jurisdicciones de alto riesgo.
2. En caso de ocurrir operaciones con Activos Virtuales, se realizará Debida Diligencia Intensificada sobre las Contrapartes de estas operaciones, los Activos Virtuales per se, y sus intermediarios. Esta Debida Diligencia Intensificada debe realizarse conforme a las señales de alerta establecidas por GAFI en el documento denominado “Indicadores de Riesgo LA/FT sobre Activos Virtuales”.
3. Para estos efectos, el Oficial de Cumplimiento deberá actualizar y comunicar a los empleados encargados de la vinculación de terceros, la lista de los países de mayor riesgo contenidos en los listados de GAFI de países no cooperantes y jurisdicciones de alto riesgo⁴. En caso de que se identifique que se realizan negocios con Contrapartes ubicadas en estos lugares, se deben aplicar las medidas de Debida Diligencia Intensificada, así como otras Medidas Razonables.

Además de las medidas comunes de procedimiento de Debida Diligencia para conocimiento de la Contraparte, en los procesos de Debida Diligencia Intensificada se deberá:

1. Obtener la aprobación de la instancia o empleado de jerarquía superior para la vinculación o para continuar con la relación contractual.
2. Adoptar las Medidas Razonables para establecer el origen de los recursos.
3. Realizar un monitoreo continúo e intensificado de la relación contractual.

Además de estas medidas y las descritas en el numeral 6.2.1 anterior, las contrapartes o Beneficiarios Finales considerados dentro del proceso de Debida Diligencia Intensificada, podrán consentir en las siguientes actuaciones, a criterio del Oficial de Cumplimiento, sin perjuicio de todas aquellas adicionales que el Oficial de Cumplimiento y/o la Asamblea General de Accionistas determinen:

1. La información de este y de sus beneficiarios finales debe ser actualizada como mínimo cada seis (6) meses requiriéndose la presencia física de las partes o sus representantes.
2. Verificación de domicilio e instalaciones mediante visita in situ.
3. Obtención de información adicional, tales como, revisión de declaración de renta en comparación con los Estados Financieros presentados, lista de cargos gerencias no incluidos en registros públicos (no cuentan con calidad de Representantes Legales, tales como, Gerente de Recursos Humanos, Gerente Financiero, etc.), hoja de vida de los Gerentes y/o Representantes Legales, volumen de activos, información disponible a través de bases de datos públicas, internet, etc. La obtención de esta información se obtendrá vía aplicación de un formato especial previsto para ello.
4. Obtener la aprobación del Oficial de Cumplimiento para la vinculación o para continuar con la relación contractual.
5. Adoptar otras medidas razonables adicionales para establecer el origen de los recursos.
6. Solicitud de la Certificación de Cumplimiento SAGRILAFT cada tres (3) meses.
7. Solicitud de información adicional relacionada con el hecho que da sustento a la Debida Diligencia Intensificada según la especificidad de esta o necesidades que se determinen en cada caso.

6.2.3. Procedimiento general para vinculación de terceros.

Los procedimientos previstos en los Numerales 6.2.4., 6.2.5, 6.2.6, 6.2.7., 6.2.8 y, en general, para la vinculación de cualquier Tercero, Proveedor, Cliente y Asociado se regirá por el siguiente procedimiento general coordinado por el Oficial de Cumplimiento, sumado a las especificidades que para cada uno de ellos se definan en dichos Numerales:

Etapa 1:

• El área interesada (generalmente el área comercial cuando se trate de un Cliente o el área de compras – Procurement- si es un proveedor) inician el proceso usando la herramienta Sistema de Debida Diligencia a Terceras Partes mediante la cual se solicita al tercero la información y documentación previstos en este Manual:
  • El posible vinculado debe entregar todo lo solicitado, incluyendo formatos totalmente diligenciados y firmados por el representante legal, las preguntas relativas a PEPs y/o sus familiares (ver Numeral 6.2.5 siguiente).
  • Cada área que adelante la vinculación velará porque se cumplan todos los requisitos y no aceptará ninguno sin pleno cumplimiento o con documentación incompleta, no vigente o de expedición mayor a 3 meses (sin perjuicio de documentos de expedición menor, como por ejemplo certificados de existencia y representación legal que deben ser de menos de 1 mes).

Etapa 2:

• Dentro del procedimiento se carga, revisa y analiza la información y documentación en un proceso integral en todos los aspectos relacionados con SAGRILAFT descritos en el presente Manual. Dentro del flujo adelantado con el software Sistema de Debida Diligencia a Terceras Partes se solicita el Reporte de Riesgos generado por el Sistema de Debida Diligencia.

Etapa 3:

• Si dentro del análisis y revisión salen señales de alerta o “red flags”, la misma área que adelanta el proceso podrá solicitar información y documentación adicional y/o la recopilará por su cuenta, y preparará un análisis preliminar (riesgo inherente, controles y riesgo residual), con sugerencias y recomendaciones, para análisis con el área Legal & Compliance y de Business Practices.
• Una vez se obtengan los datos y reportes definitivos de los procedimientos previsto en los literales b) y c) del presente numeral, se procederá así:
  • Si hay Señales de Alerta o “red flags” en SAGRILAFT, el usuario interno que ha iniciado el flujo en Sistema de Debida Diligencia a Terceras Partes, junto con el Business Practices, el Oficial de Cumplimiento y Legal & Compliance, se encargarán de identificar los posibles factores de riesgo y de definir planes de mitigación del riesgo.
  • Dentro de lo anterior, estos podrán tomar la determinación de solicitar información adicional, aclaraciones, o establecer medidas de seguimiento continuo y periódico del posible vinculado o del hallazgo.
  • Una vez completado lo anterior, el usuario interno que ha iniciado el flujo en Sistema de Debida Diligencia a Terceras Partes generará el plan de mitigación correspondiente que será objeto de aprobación a través de la herramienta.
  • Si se determina la no vinculación del tercero, el proceso terminará aquí; lo anterior, sin perjuicio de los posibles reportes que se deban hacer a la UIAF o entes de control en caso de un hallazgo que así lo amerite.

Etapa 4:

• Durante esta etapa y todas las anteriores, el Oficial de Cumplimiento tendrá el derecho de veto sobre la vinculación de cualquier tercero, esto es, que, en cualquier tiempo, podrá tomar la decisión de no vincular un tercero, para lo cual elaborará un informe con los sustentos correspondientes.

6.2.4. Procedimiento de conocimiento de Partes-Cliente.

El conocimiento de las Partes-Clientes le permite a MSD obtener información sobre las características básicas de los potenciales Clientes antes de ser vinculados, por lo que las personas encargadas de las vinculaciones están obligadas a seguir todos los procedimientos previstos y necesarios para lograr el adecuado conocimiento del mismo, aun cuando se trate de personas referenciadas o recomendadas. Por ninguna razón se podrán omitir los procedimientos y controles establecidos.

Con el fin de llevar a los procesos de vinculación de Clientes en la implementación y desarrollo de dichos procesos, los encargados del procedimiento, además de los procedimientos indicados anteriormente y las Políticas Internas que tiene la Compañía, deberán tener en cuenta específicamente lo siguiente:

1. Previo a cualquier transacción económica con el Cliente se deberá consultar en las Listas de Partes Denegadas o Listas Restrictivas nacionales e internacionales vinculantes, dejando constancia física y/o electrónica de la consulta realizada en el DPSS. Estas serán verificadas y actualizadas por lo menos una vez al año. No se tendrá relación comercial con ninguno que aparezca en dichas listas, salvo las excepciones previstas en este Manual.
2. Todos los Clientes (incluyendo prospectos) serán consultados ante la Contraloría, la Procuraduría, Policía Nacional (sobre sus antecedentes judiciales). Estas serán verificadas y actualizadas por lo menos una vez al año.
3. Para la vinculación de todos los Clientes se deberá diligenciar completamente el documento Formato de Vinculación de Clientes, y según lo requieran del área financiera de la Compañía presente en el Anexo 4 de este documento, junto con los documentos soporte de este. No se exime ninguna Parte de suministrar la información contemplada en los formatos y procedimientos establecidos. Además, deberán informar si cuentan con un sistema SAGRILAFT, Régimen de Medidas Mínimas, SIPLA, SIPLAT o equivalente.
4. Para la vinculación de todos los Clientes deberán confirmar mediante comunicación escrita si desarrollan actividades relacionadas con Activos Virtuales o metales preciosos. En caso de que estos realicen este tipo de actividades, se deberá aplicar el procedimiento de Debida Diligencia Intensificada o no se tendrá relación con tal Cliente.
5. Se deberá verificar la siguiente información de todos los clientes: (i) la identificación, (ii) nombre del Cliente (iii) contacto del Cliente (iii) contacto secundario (iv) direcciones, ciudad, país y código postal, además de la información requerida por la Compañía, de acuerdo con lo previsto en el Numeral 6.2.3 anterior.
6. Los soportes físicos de la información y documentos que sean recibidos del Cliente deberán conservarse, dejando constancia de la verificación y aprobación de la información. Esto para efectos probatorios de Debida Diligencia.
7. Es deber del área encargada actualizar la información y documentos por lo menos de forma anual por parte del líder del área encargada y los documentos deberán conservarse por un periodo de 5 años y en el archivo histórico por 5 años adicionales conforme las normas vigentes sobre el particular.
8. La vinculación final de nuevos Clientes requiere aprobación en su orden (y según la perspectiva de cada uno) de: (1) el área comercial; (2) el área financiera. El Oficial de Cumplimiento deberá recoger, analizar y procesar si existiere alguna circunstancia de interés desde la perspectiva LA/FT/FPADM.
9. En caso de identificar alguna Señal de Alerta en las verificaciones que el procedimiento exige, se deberá adelantar una Debida Diligencia Intensificada, lo cual lo realizará el área de Finanzas o área designada por la misma, lo que será supervisado por el Oficial de Cumplimiento.
10. De existir Señales de Alerta respecto de los Clientes, dicha información deberá darse el proceso de reporte de Operaciones Inusuales (ROI) y Reporte de Operaciones Sospechosas y remitirlo al Oficial de Cumplimiento y este procederá a realizar las investigaciones correspondientes y a reportarse la Operación Sospechosa a la IUAF en caso de requerirse.
11. El área de finanzas por intermedio del DPSS realizará un Monitoreo continuo a los Clientes a efectos de verificar que no representen un Riesgo LA/FT/FPADM para la Compañía.
12. Así mismo, deberá presentar informe conforme lo establecido por la Política Interna de la Compañía del DPSS sobre las modificaciones y el estatus en el cual se encuentra los nuevos Clientes en la herramienta.
13. En caso de requerir el Oficial de Cumplimiento generar informes adicionales, cada área generará informe tomado del DPSS con el visto bueno de área encargada y se presentará al Comité de Compliance de la Compañía para revisión y soporte para los informes que deberá presentar el Oficial de Cumplimiento a la IUAF.
14. Los Clientes o prospectos de Clientes que cumplan con cualquiera de las siguientes características requerirán, además de lo anterior, el proceso de Debida Diligencia Intensificada: i) se encuentren ubicados en zonas consideradas materia de LAFT, tales como, Arauca, Florencia (Caquetá), Meta o Guaviare; o ii) se encuentren ubicados en países con alto riesgo en materia de FPADM o con grupos terroristas incorporados allí, tales como, Iraq y Palestina; o iii) sean clínicas u hospitales públicos o privados o distribuidores o proveedores de clínicas u hospitales públicos o privados; iv) Los incluidos en listas nacionales, cuando el Oficial de Cumplimiento decida pedir explicaciones y estas sean satisfactorias; v) los que a criterio del Oficial de Cumplimiento deba realizarse, como por ejemplo, en razón de una solicitud para triangular pagos en razón de la libre circulación de las facturas en virtud de las normas de factoring; vi) las demás incluidos en este Manual (PEP’s, etc).

6.2.5. Procedimiento de Admisión de Personas Políticamente o Públicamente Expuestas – PEP´s.

En esta categoría siempre se deberá realizar procedimientos de Debida Diligencia Intensificada, y su vinculación está sometida a la decisión expresa y formal previa del director de la unidad de negocio, así como del Oficial de Cumplimiento.

Al momento de decidir sobre la vinculación de PEPs deberá prestarse atención a los siguientes aspectos:

1. Aplicación de medidas razonables para confirmar que la contraparte o Beneficiario Final tiene la calidad de PEP.
2. Origen de los fondos y su país de origen.
3. Verificar su reputación en fuentes públicas, en especial que no se encuentren asociadas con temas de corrupción o LA/FT/FPADM y, en caso de que resulte pertinente, solicitar a las PEPs la actualización de su información.
4. El área de Finanzas deberá realizar Monitoreo y seguimiento a las Partes clasificados como PEPs.
5. Así mismo, al momento de generarse una señal de alerta deberá el área de finanzas dar cumplimiento al proceso de reporte de Operaciones Inusuales (ROI) y Reporte de Operaciones Sospechosas y dicha información deberá transmitirse al Oficial de Cumplimiento para que proceda a realizar las investigaciones correspondientes y a reportarse la Operación Sospechosa a la IUAF en caso de requerirse.
6. La Debida Diligencia Intensificada a los PEP se extenderá a (i) sus cónyuges o compañeros permanentes; (ii) sus familiares hasta el segundo grado de consanguinidad, segundo de afinidad y primero civil; (iii) sus Asociados Cercanos.

Teniendo en cuenta toda la información anterior, el usuario interno que inicia el flujo en Sistema de Debida Diligencia a Terceras Partes presentará un informe al Oficial de Cumplimiento y a Legal & Compliance, el cual, una vez efectuado el proceso de Debida Diligencia Intensificado, determinará si este ofrece o no riesgos para la Compañía y autorizará o no su vinculación con base en esto. El Oficial de Cumplimiento y Legal & Compliance podrán solicitar información y/o documentación adicional, y/o consultar con la Gerencia General en aquellos casos en que a su criterio la vinculación sea de especial atención para la Compañía o cuando no haya claridad en los riesgos o de sus efectos en contra de la Compañía. Lo anterior sin perjuicio de cualquier informe a la Asamblea de Accionistas cuando sea conducente hacerlo.

6.2.6 Procedimiento de conocimiento de las Partes y Proveedores (Todas las Partes diferentes a Clientes)

El conocimiento de las Partes le permite a MSD obtener información, sobre las características básicas de los potenciales Partes antes de ser vinculados, por esto, el área de Compras y los Empleados encargados de la selección y vinculación de estos están obligadas a seguir todos los procedimientos previstos y necesarios para lograr el adecuado conocimiento de las Partes aun cuando se trate de empresas o personas referenciadas o recomendadas. Por ninguna razón se podrá omitir los procedimientos y controles establecidos en el presente Manual y Políticas Internas de la Compañía.

Con el fin de llevar a cabo los procesos de creación, actualización y mantenimiento de la base de datos de las Partes de la Compañía se deberá seguir el procedimiento específico que se indica a continuación:

1. Previo a cualquier contacto con las Partes se deberá realizar consultas a Listas de Partes Denegadas o Listas Restrictivas nacionales e internacionales vinculantes y no, dejando constancia física y/o electrónica de la consulta realizada en el DPSS. Estas serán verificadas y actualizadas por lo menos una vez al año. No se tendrá relación comercial con ningún que aparezca en dichas listas, salvo las excepciones previstas en este Manual.
2. Todas las Partes y Proveedores (incluyendo prospectos) serán consultados ante la Contraloría, la Procuraduría, Policía Nacional y sobre sus antecedentes judiciales. Estas serán verificadas y actualizadas por lo menos una vez al año.
3. Para la vinculación de todos los Proveedores se deberá diligenciar completamente el documento de Declaración de Empleados del Anexo 5 de este documento, junto con los documentos soporte de este. No se exime ninguna Parte de suministrar la información contemplada en los formatos y procedimientos establecidos.
4. Para la vinculación de todos las Partes y Proveedores deberán confirmar mediante comunicación escrita si desarrollan actividades relacionadas con Activos Virtuales o metales preciosos. En caso de que estos realicen este tipo de actividades, se deberá aplicar el procedimiento de Debida Diligencia Intensificada.
5. Solicitar a la potencial Parte el suministro de todos los documentos de identificación y cualquier documento que lo modifique, complemente o sustituya conforme lo establecido en el presente Manual y las Políticas Internas Compañía.
6. Los soportes físicos de la información y documentos que sean recibidos de la Parte deberán conservarse, dejando constancia de la verificación y aprobación de dicha información por parte del líder del área encargada y los documentos deberán conservarse por un periodo de 5 años y en el archivo histórico por 5 años adicionales conforme las normas vigentes sobre el particular. Esto para efectos probatorios de Debida Diligencia.
7. Es deber del área encargada del manejo de las Partes actualizar la información y documentos por lo menos de forma anual.
8. En el caso de tener dudas sobre el origen de los recursos utilizados por parte de la Parte-Proveedor, los encargados del procedimiento deberán realizar una Debida Diligencia Intensificada y entre otros exigir una declaración del representante legal sobre el origen de sus recursos financieros y dinerarios.
9. Evaluar los motivos por los cuales resulte un bien o servicio ofrecido por la Partes es notoriamente inferior al del mercado, una vez realizada esta Debida Diligencia Intensificada, informar al Oficial de Cumplimiento para su correspondiente proceso.
10. En caso de identificar alguna Señal de Alerta en las verificaciones que el procedimiento exige, se deberá adelantar una Debida Diligencia Intensificada, lo cual lo realizará el área correspondiente.
11. De existir Señales de Alerta respecto de las Partes dicha información deberá darse el proceso de reporte de Operaciones Inusuales (ROI) y Reporte de Operaciones Sospechosas y remitirlo al Oficial de Cumplimiento y este procederá a realizar las investigaciones correspondientes y a reportarse la Operación Sospechosa a la IUAF en caso de requerirse.
12. Adicionalmente se deberá dar cumplimiento a todos los procesos y Debida Diligencia en las Políticas Internas correspondientes a cada una de las Partes.
13. Cada área por intermedio del DPSS realizará un Monitoreo continuo a las Partes (Proveedores, Speakers, Patrocinio, Donaciones, contribuciones de caridad y subvenciones (Grants) e Investigadores (contrato de investigación de estudio clínico) a efectos de verificar que no representen un Riesgo LA/FT/FPADM para la Compañía.
14. Así mismo, deberá presentar informe conforme lo establecido por la Política Interna de la Compañía del DPSS sobre las modificaciones y el estatus en el cual se encuentra los nuevos Empleados en la herramienta.
15. En caso de requerir el Oficial de Cumplimiento generar informes adicionales, cada área generará informe tomado del DPSS con el visto bueno de área encargada y se presentará al Comité de Compliance de la Compañía para revisión y soporte para los informes que deberá presentar el Oficial de Cumplimiento a la IUAF.
16. Cuando las Partes o Proveedores realicen o efectúen la totalidad de su actividad de forma remota o sin presencia física, el área encargada, en conjunto con el Oficial de Cumplimiento determinarán mecanismos de seguimiento para verificar la identidad de estos, dentro de los cuales se incluirán videollamadas decontrol con las Partes o Proveedores (o sus funcionarios designados). Los mecanismos determinados deberán implementarse por lo menos cada tres (3) meses o cuando por cualquier tipo de situación se determine su aplicación.
17. Cuando se reciban ofertas de servicios o propuestas por parte de las Partes o Proveedores, el área de Compras estará obligada a verificar que las tarifas allí ofrecidas coincidan con tarifas de mercado, para lo cual, solicitarán por lo menos tres (3) ofertas o cotizaciones de Partes o Proveedores distintos, siguiendo las políticas y procedimientos corporativos para contratación de proveedores GSM Procedure 4.2: Sourcing. El área de Compras y el Oficial de Cumplimiento podrán implementar controles y procedimientos adicionales para realizar esta verificación.
18. Cuando se vayan a vincular a Clientes y/o Proveedores que tengan menos de tres años de existencia y que no sean fruto de un proceso de escisión o de fusión, deberá realizarse el proceso de Debida Diligencia Intensificada.

6.2.7. Procedimiento de conocimiento de los Asociados.

Previo a la vinculación de cualquier Accionista y/o Administrador, se realizará consultas a las Listas de Partes Denegadas o Listas Restrictivas vinculantes nacionales e internacionales de estos y de sus Beneficiarios Finales cuando aplica. No se aceptará ninguno de estos si aparece en dichas listas.

6.2.8. Procedimiento de conocimiento de las Partes- Empleados.

El conocimiento de las Partes-Empleados le permite a MSD obtener información sobre las características básicas de los potenciales Empleados antes de ser vinculados, por lo que las personas encargadas de las vinculaciones están obligadas a seguir todos los procedimientos previstos y necesarios para lograr el adecuado conocimiento del candidato al cargo, aun cuando se trate de personas referenciadas o recomendadas. Por ninguna razón se podrá omitir los procedimientos y controles establecidos y designados en el presente Manual, así como, las Políticas Internas de la compañía:

1. Previo a la vinculación del Empleado se deberá realizar consultas a Listas de Partes Denegadas o Listas Restrictivas nacionales e internacionales vinculantes y no, dejando constancia física y/o electrónica de la consulta realizada en el DPSS. No se tendrá relación laboral con ningún candidato si el mismo aparece en dichas listas.
2. Todos los Empleados (incluyendo prospectos) serán consultados ante la Contraloría, la Procuraduría y Policía Nacional (sobre sus antecedentes judiciales). Estas serán verificadas y actualizadas por lo menos una vez al año.
3. Para la vinculación de todos los Empleados se deberá diligenciar completamente el documento Partes- Empleados: Formatos presente en el Anexo 5 de este documento, junto con los documentos soporte de este. No se exime a ningún candidato a Empleado de suministrar la información contemplada en los formatos y procedimientos establecidos.
4. Deberá verificarse la identificación, nombre, direcciones, ciudad, país y código postal, el perfil del cargo, área, dependencia y el contacto directo. Para lo anterior, se deberán realizar visitas domiciliarias y estudios de seguridad de los prospectos de Empleados antes de su vinculación; de igual manera, de forma periódica y según el resultado de actualización de la debida diligencia con empleados, podrá optarse por realizar visitas domiciliarias aleatorias a Empleados de MSD después de su vinculación, dentro de los cuales tendrán prelación aquellas personas encargadas del área de compras, contratación de Proveedores, presentación de informes a entes de control, manejo de cuentas de Clientes importantes, y las demás que el Oficial de Cumplimiento determine. Esto implica que si de la actualización de la debida diligencia no se ve conveniente hacerla, podrá prescindirse de la citada visita domiciliaria.
5. Los Empleados deberán informar si son PEPs. Lo anterior se extenderá a (i) sus cónyuges o compañeros permanentes; o (ii) sus familiares hasta el segundo grado de consanguinidad, segundo de afinidad y primero civil. En caso de que cualquiera de estos sea un PEP, se seguirá el procedimiento descrito para la vinculación de PEPs en este Manual. Cada empleado deberá actualizar cualquier cambio en la información de los familiares, es decir, si alguno llegare a convertirse en PEPs de relevancia para la Compañía.
6. Los soportes físicos de la información y documentos que sean recibidos del Empleado deberán conservarse, dejando constancia de la verificación y aprobación de dicha información, por el líder del área. Esto para efectos probatorios de Debida Diligencia.
7. Es deber del área actualizar la información y documentos de cada uno de los Empleados y la información conservarla conforme las normas correspondientes de archivo.
8. En caso de identificar alguna Señal de Alerta en las verificaciones que el procedimiento exige, se deberá adelantar una Debida Diligencia Intensificada, lo cual lo realizará el área de Recursos Humanos.
9. De existir Señales de Alerta respecto de algunos de los Empleados deberá darse cumplimiento al proceso de reporte de Operaciones Inusuales (ROI) y Reporte de Operaciones Sospechosas y dicha información deberá transmitirse al Oficial de Cumplimiento y este procederá a realizar las investigaciones correspondientes y a reportarse la Operación Sospechosa a la IUAF en caso de requerirse.
10. El área de Recursos Humanos a través del DPSS realizará un Monitoreo continuo a los Empleados a efectos de verificar que no representen un Riesgo LA/FT/FPADM para la Compañía.
11. Así mismo, deberá presentar informe conforme lo establecido por la Política Interna de la Compañía del DPSS sobre las modificaciones y el estatus en el cual se encuentra los nuevos Empleados en la herramienta.
12. En caso de requerir el Oficial de Cumplimiento generar informes adicionales, cada área generará informe tomado del DPSS con el visto bueno de área encargada y se presentará al Comité de Compliance de la Compañía para revisión y soporte para los informes que deberá presentar el Oficial de Cumplimiento a la IUAF.

6.2.9. Procedimiento en los controles para la prevención del LA/FT/FPADM en el proceso de pagos.

Los siguientes son los principales controles que se establecen en el proceso de pagos, para dar cubrimiento a los riesgos inherentes de LA/FT/FPADM:

1. Por Políticas Internas de la Compañía ninguna operación financiera realizada a favor de la Compañía o por parte de esta se realizan en efectivo. De igual forma, en la medida de lo posible los Empleados tampoco utilizarán efectivo en operaciones o actividades que realicen en ejercicio de sus labores.
2. Por Políticas Internas de la Compañía ningún pago será realizado a un tercero distinto al vinculado comercial o contractual, sin darse triangulación o tercerización de pagos de ninguna manera. En todo caso, cuando el pago a un tercero sea obligatorio, en los casos en que se realice una venta de factura en virtud de operación de factoring y normas que protegen la circulación de facturas, la Compañía deberá dar cumplimiento a la misma, previa la realización de una Debida Diligencia Intensificada sobre el beneficiario del pago y la transacción que le dio origen y demás aspectos que razonablemente sean aplicables a criterio del Oficial de Cumplimiento y/o del area de Legal & Compliance.
3. Los cheques deberán tener sello restrictivo para pagarse únicamente al primer beneficiario.
4. Dejar evidencia completa y suficiente de todas las transacciones de los Productos Financieros.
5. No prestar el nombre o productos financieros de MSD para realizar negocios o movimientos de dinero de terceros.
6. Todos los pagos a las Partes se realizarán por medio de consignaciones bancarias y/o transferencias, restringiéndose el manejo de dinero en este tipo de operaciones.
7. En lo posible establecer con los Clientes que los pagos realizados a la Compañía lo hagan a través de los medios de pago que ofrecen las instituciones financieras.
8. Los Empleados deberán dar cumplimiento a lo establecido en las Políticas Internas atinentes al tema de manejo de dinero en efectivo.

6.2.10. Documentación de las actividades del SAGRILAFT.

Todas las actividades de SAGRILAFT están documentadas y en registros que garantizan la integridad, oportunidad, confiabilidad, reserva y disponibilidad de la información. La información suministrada por terceros, dentro de la cual se incluye (i) el nombre de la contraparte o el tercero sobre el cual se lleva a cabo la Debida Diligencia y Debida Diligencia Intensificada; (i) el nombre y cargo de la persona que la verificó; y (iii) fecha y hora de la verificación.

6.3. Procedimiento de ROI y ROS.

El reporte de ROI y ROS será realizado de acuerdo con lo previsto en el Anexo 11 Reporte Operaciones Inusuales y reporte Operaciones Sospechosas: formato de este documento y tendrá en cuenta los siguientes criterios:

Criterios para determinar una Operación Inusual y Sospechosa

Tipo	Definición	Recursos	¿Se hace el negocio?	¿Se reporta al a IUAF?
Operación Sospechosa	Es aquella que por su número, cantidad       o características no se enmarca dentro de los sistemas y prácticas normales de los negocios, de una industria o de un sector    determinado y, además, de acuerdo con los usos y costumbres de la actividad que se trate no ha podido ser razonablemente justificada. Estas operaciones tienen que ser reportadas única, inmediata y exclusivamente a la UIAF.	Conocimiento de Clientes, Proveedores, contratistas, consultores          y empleados	No	Si
Intento de Operación Sospechosa	Se configura cuando se tiene conocimiento de la intención de una persona natural o jurídica de realizar una Operación Sospechosa, pero no se perfecciona por cuanto quien intenta llevarla a cabo desiste de la misma o porque       los controles establecidos o definidos por MSD no permitieron realizarla. Estas operaciones tienen que ser reportadas        única y exclusivamente a la UIAF (ROIN).	Listas Restrictivas	No	Si

El procedimiento y responsabilidad en el Reporte de Operaciones Inusuales (ROI) y de las de Reporte de Operaciones Sospechosas (ROS) serán las siguientes:

1. Por parte de los Empleados de MSD:
   • Detectar un Evento inusual que podría ser un Registro de Operación inusual – ROI basado en las actividades diarias realizadas en el puesto de trabajo, o que observe de su entorno al interior de la Compañía.
   • Realizar el reporte a través del formato de Reporte de ROI y ROS.
   • Suministrar la información adicional requerida por el Oficial de Cumplimiento para un análisis de la información.
2. Por parte del Oficial de cumplimiento y áreas de apoyo:
   • Recibir el reporte y evaluar si el Evento es un ROI (actividad de control) basado en la información suministrada por el funcionario respectivo, identificando algo fuera de la normalidad del proceso realizado.
   • Solicitar al empleado información adicional del caso o inusualidad para el análisis.
   • Realizar el análisis de la información suministrada por el empleado sobre la inusualidad.
   • Documentar de forma confidencial y adecuadamente la investigación que dio como resultado que la operación se considera o no como Sospechosa.
   • Conservar los documentos remitidos por los Empleados y los documentos que soportan la decisión de determinar una operación como sospechosa, con el propósito de hacerlos llegar en forma completa y oportuna a las autoridades, cuando éstas los soliciten.
   • En el caso en que resulte de la investigación que la operación es sospechosa el Oficial de Cumplimiento deberá reportarlo de forma inmediata a la IUAF.
   • El Oficial de Cumplimiento informará a los Administradores (gerente general) de MSD las operaciones que tengan la calificación de sospechosas y que por tanto deben ser informadas a la UIAF.
   • El Reporte de operaciones sospechosas a la UIAF será realizado por el Oficial de Cumplimiento, de forma inmediata, mediante ingreso del reporte al aplicativo “ROS Stand Alone” diseñado por la UIAF (ver Instructivo del aplicativo – www.uiaf.gov.co), generando el archivo y enviando el mismo vía e – mail.
   • Una vez reciba el número consecutivo de recibido de la UIAF, deberá guardarlo y conservarlo en el archivo junto con los documentos soporte del ROS.
   • El informe que se le presenta tanto a la Asamblea General de Accionistas como al órgano de administración debe contener también el reporte de ROI y ROS.
   • En caso de que transcurra un trimestre sin que MSD realice un ROS, el Oficial de Cumplimiento, dentro de los diez (10) días calendario siguientes al vencimiento del respectivo trimestre, deberá presentar un informe de “ausencia de ROS” o “Aros” a través del SIREL.

6.3.1. Privacidad y Reserva en la ocurrencia de operaciones ROI y ROS.

En caso de que MSD determine que las actuaciones y/o actividades llevadas a cabo en el marco de la aplicación del presente Manual deriven en un ROS por parte de MSD a la UIAF, las mismas no podrán darse a conocer a las Partes, Empleados y serán catalogados como información sensible las operaciones inusuales que hayan sido identificadas o las personas que hayan efectuado o intentado efectuar operaciones catalogadas como operaciones sospechosas, máxime si fueron sujetas de Reporte Interno o a la autoridad competente. En razón de lo anterior, es deber de los Empleados de MSD guardar absoluta reserva sobre dicha información.

7. Política de Archivo.

MSD mantendrá el archivo y documentación soporte de los siguientes documentos, los cuales estarán a disposición de las autoridades de control cuando corresponda:

1. Los informes presentados por el Oficial de Cumplimiento.
2. Las constancias de las capacitaciones impartidas a los Empleados sobre este Manual, dentro de las cuales se deben incluir los soportes del sistema de aprendizaje corporativo que incluye además la evaluación.
3. Las Debidas Diligencias adelantadas para la contratación de Partes, Proveedores, Asociados, Clientes y Empleados.
4. Los comprobantes de pagos a terceros por conceptos de regalos, patrocinios, donaciones o similares.
5. Los documentos soporte de los reportes internos sobre la posible ocurrencia de ROS y ROI.
6. Los documentos soporte de los ROS y ROI.

La realización de cualquier negocio debe adelantarse de acuerdo con el procedimiento establecido para tales efectos, con el fin de garantizar que siempre exista el respectivo soporte. Todo documento que acredite transacciones, negocios o contratos constituye el soporte de la negociación, del registro contable y el respaldo para cualquier investigación que pudieran llegar a adelantar las autoridades competentes.

MSD mantendrá estos documentos por un término no menor a cinco (5) años en el archivo especial, con el fin de que estén a disposición de la autoridad competente, en cualquier momento; luego de lo cual se enviarán a archivo general donde permanecerán durante cinco (5) años adicionales (para un total de 10 años de custodia), posteriormente serán destruidos dejando constancia en un acta.

Estos registros deberán llevarse según los parámetros establecidos por la auditoría interna.

8. Faltas por Incumplimiento del Manual SAGRILAFT.

1. MSD tiene la obligación de tomar medidas contra los infractores, ya sean terceros o Empleados. Se tomarán medidas para proteger a otros miembros de MSD y a MSD mismo de las consecuencias de una acción indebida. El rango de un Empleado dentro de MSD será irrelevante en estos casos.
2. Las disposiciones contenidas en el presente Manual son de estricto cumplimiento por parte de todos los Empleados de MSD y la violación o incumplimiento del mismo se considera una Falta Grave y genera terminación unilateral del contrato con justa causa por parte de MSD.
3. La imposición de la sanción se realizará de lo establecido por parte del Oficial de Cumplimiento, el Comité de Compliance y Gerente General para los Clientes y Partes; así como, establecido en el reglamento interno de trabajo de MSD, y se regirá de acuerdo reglamento interno y sus procedimientos disciplinarios.
4. Presentación de informes a autoridades gubernamentales: Puede haber ocasiones en las que surjan situaciones en que MSD esté obligada o pueda considerar que lo mejor sea reportar irregularidades a las autoridades gubernamentales. Las sanciones por violaciones de las leyes contra el SAGRILAFT se pueden aplicar a los Empleados individuales de MSD, no solo a MSD como compañía.

9. Comunicación del Manual.

MSD, cuenta con una intranet la cual promueve la adecuada oficialización, publicación, implementación y funcionamiento de sus políticas, procedimientos y demás documentación relacionada.

El presente Manual deberá ser comunicado a los empleados, que, según el análisis del riesgo efectuado, la empresa determine que deben recibir información y deban ser capacitados con el fin de dar cumplimiento a la política de autocontrol y gestión del riesgo.

Para la transmisión de las comunicaciones, formatos y demás documentos relacionados del SAGRILAFT, MSD ha diseñado un Sharepoint (de Business Practices) para que los empleados de las áreas correspondientes puedan consultarlos y sus correspondientes actualizaciones.

10. Capacitación en el Manual

MSD brindará capacitación, de forma anual, a aquellos empleados que estén en las áreas relacionadas con el cumplimiento del presente Manual. Como resultado de esta capacitación el empleado estará en la capacidad de identificar cuando una operación es inusual o es sospechosa, cuándo debe reportarse, el medio para hacerlo y a quién reportar.

Esta será realizada de acuerdo con lo previsto en el Anexo 10 Capacitación en el Manual.

11. Anexos.

A continuación, se relacionan los diferentes Anexos que hacen parte integral del presente manual; de estos anexos, algunos hacen parte a Políticas Internas de MSD y podrán ser consultados en ellas. El Oficial de Cumplimiento al momento de realizar cambios a los formatos lo publicará en el Sharepoint oficial denominado “LEGAL- SAGRILAFT”:

Anexo	Tema o Título del Documento Soporte
Anexo 1	Matriz de Riesgos LAFT_MSD
Anexo 2	Procedimiento de reportes a la UIAF
Anexo 3	Marco Legal Aplicable
Anexo 4	Formato de Vinculación de Clientes.
Anexo 5	Declaración Empleados
Anexo 5a	Cláusula para contratos de trabajo
Anexo 6	Formato certificación de terceros (proveedores, clientes, grants, patrocinios, speakers)
Anexo 7	Cláusula para contratos con terceros (proveedores, clientes, speakers)
Anexo 8	Estructura Organizacional y Órganos de Control
Anexo 9	Formato reporte ROS y ROI
Anexo 10	Presentación de capacitación en el Manual
Anexo 11	Presentación de capacitación en ROS y ROI
Anexo 12	Criterios de Medición del Riesgo
Anexo 13	Criterios de Control del Riesgo
Anexo 14	Perfil profesional del Oficial de Cumplimiento
Anexo 15	Señales de Alerta
Anexo 16	Delitos relacionados con el Riesgo LA/FT/FPADM

---

[1] Ley 222 de 1995, artículo 22

[2] Concepto Superintendencia de Sociedades, Uso de la Expresión socio o accionista – Oficio número 220-044975 del 12 de junio de 2012.

[3] Definición tomada de la Circular Básica Jurídica expedida por la Superintendencia de Sociedades del 22 de julio de 2015.