Política de Cumplimiento — SARLAFT · SAGRILAFT · PTEE

1. Objeto y alcance

La presente política establece los lineamientos que sigue SH C4RGO SAS y las herramientas que provee el software Carga Segura para que sus clientes puedan cumplir con los regímenes colombianos de prevención del lavado de activos y la financiación del terrorismo (LA/FT/FPADM), así como con las obligaciones de transparencia y ética empresarial introducidas por la Ley 2195 de 2022.

2. Marco normativo aplicable

• SARLAFT — Sistema de Administración del Riesgo de LA/FT: exigido por la Superintendencia de Transporte a empresas de transporte terrestre de carga (Circular Externa Conjunta 100-000005 de 2017 y normas concordantes). También aplica a entidades vigiladas por la Superintendencia Financiera de Colombia (Circular Básica Jurídica).
• SAGRILAFT — Sistema de Autocontrol y Gestión Integral del Riesgo de LA/FT/FPADM: exigido por la Superintendencia de Sociedades mediante la Circular Externa 100-000016 de 2020 (modificada por la Circular 100-000004 de 2021), aplicable a sociedades comerciales que superen los umbrales de ingresos o activos definidos.
• PTEE — Programa de Transparencia y Ética Empresarial: exigido por la Ley 2195 de 2022 y reglamentado por la Resolución 100-006261 de 2022 de la SuperSociedades, aplicable a empresas que celebran contratos con el Estado o tienen exposición a riesgos de soborno transnacional.
• Ley 1581 de 2012 (Habeas Data — ver política de Habeas Data).
• Ley 1121 de 2006 y Decreto 1497 de 2002 (reporte a UIAF).
• Resoluciones del Consejo de Seguridad de la ONU (Listas 1267, 1373, 1718, 2231) y normativa OFAC del Tesoro de EE. UU.

3. Régimen aplicable según el actor

* Si el propietario actúa como persona jurídica con ingresos por encima de los umbrales de SuperSociedades, también puede quedar obligado a SAGRILAFT de forma independiente; en ese caso opera como empresa del régimen correspondiente.

4. KYC: identificación y conocimiento de contraparte

El módulo de KYC del Software permite a los oficiales de cumplimiento recolectar y validar:

• Identificación de la persona natural o jurídica.
• Actividad económica principal (CIIU).
• Origen de los recursos y nivel de ingresos.
• Condición de Persona Expuesta Políticamente (PEP).
• Declaración de inexistencia en listas restrictivas.
• Beneficiarios finales en el caso de personas jurídicas.

Cada KYC se firma electrónicamente y se versiona de forma inmutable: una modificación posterior crea una nueva versión sin borrar la anterior, y ambas mantienen su firma hash original.

5. Consulta a listas restrictivas

La Plataforma cruza los datos del KYC contra las siguientes listas, al aprobar y de forma periódica:

• Lista OFAC (Office of Foreign Assets Control, EE. UU.).
• Listas ONU 1267, 1373, 1718, 2231 y siguientes.
• Clinton List (Especially Designated Nationals).
• Listas internas que el cliente desee cargar (por ejemplo, listas sectoriales gremiales).

Una coincidencia confirmada genera un evento que requiere intervención del oficial de cumplimiento de la empresa.

6. Monitoreo y operaciones inusuales

La Plataforma marca automáticamente como inusuales las operaciones que se aparten del perfil del cliente, por ejemplo:

• Variaciones sustanciales en frecuencia, montos o rutas habituales.
• Cargas con valor declarado fuera del rango histórico de la empresa.
• Operaciones con contrapartes recién creadas.
• Discrepancias en la conciliación banco ↔ RNDC (módulo Profesional+ para propietarios).

7. Reporte de Operaciones Sospechosas (ROS) a la UIAF

Cuando una operación inusual no encuentra justificación razonable, el oficial de cumplimiento puede generar el ROS desde la Plataforma con los campos del formato UIAF prediligenciados a partir de los datos del KYC y de la operación. El ROS final lo firma, presenta y archiva el oficial; la Plataforma deja la huella criptográfica del envío.

8. Programa de Transparencia y Ética Empresarial (PTEE)

Para las empresas obligadas a PTEE, el Software soporta:

• Identificación de contrapartes con exposición pública.
• Registro de regalos, atenciones y gastos de representación.
• Canal interno de reportes éticos (whistleblowing) con confidencialidad.
• Trazabilidad de pagos a intermediarios.
• Plantillas de matriz de riesgo, código de ética y procedimientos requeridos por la Resolución 100-006261/22.

9. Bitácora encadenada e inalterabilidad

Toda acción regulatoria (aprobación de KYC, presentación de ROS, cierre de manifiesto, configuración de PTEE, etc.) genera un evento en la bitácora de auditoría. Cada evento incluye:

• Identidad del usuario actor.
• Marca temporal y dirección IP.
• Hash criptográfico del evento.
• Hash del evento inmediatamente anterior (encadenamiento).

Esta cadena hace imposible alterar registros pasados sin romper la cadena entera, lo que satisface las exigencias de Circular Externa 007 SFC y las buenas prácticas SuperTransporte / SuperSociedades.

10. Responsabilidades de los usuarios

La Plataforma es una herramienta de soporte; la responsabilidad legal de cumplir SARLAFT, SAGRILAFT o PTEE recae sobre cada empresa suscriptora (transportadora, generador, etc.) y su oficial de cumplimiento. SH C4RGO SAS no actúa como sujeto obligado por cuenta de sus clientes ni sustituye los deberes del oficial.

Es deber del oficial de cumplimiento de la empresa:

• Aprobar KYCs con conocimiento del expediente.
• Revisar las alertas de listas restrictivas y operaciones inusuales.
• Decidir cuándo presentar ROS a la UIAF.
• Conservar la documentación física o digital adicional por los plazos de ley.
• Mantener actualizado el SARLAFT, SAGRILAFT o PTEE de la empresa según sus instrucciones internas y los plazos regulatorios.

11. Actualización de la política

SH C4RGO SAS mantendrá esta política alineada con los cambios normativos que emitan la SuperTransporte, la SuperSociedades, la UIAF y la SIC. Las versiones anteriores se conservan internamente y pueden consultarse escribiendo a legal@cargaseg.com.