Manual del Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo (SAGRILAFT) y Financiamiento de la Proliferación de Armas de Destrucción Masiva

CONTENIDO

• 1. Objetivo 3
• 2. Política de gestión de Riesgos LA/FT/FPADM 3
• 3. Términos definidos y acrónimos 4
• 4. Marco Normativo 11
• 5. Roles y responsabilidades 12
• 5.1 Junta Directiva 12
• 5.2 Representante Legal 12
• 5.3 Oficial de Cumplimiento 13
• 5.4 Revisor Fiscal 14
• 5.5 Empleados 14
• 6. Lineamientos para la gestión y prevención de los Riesgos LA/FT/FPADM 14
• 6.1 Manejo de dinero en efectivo 15
• 6.2 Operaciones con Activos Virtuales 15
• 6.3 Incursión en nuevos mercados y apertura de nuevas líneas de negocio 15
• 6.4 Registros contables 16
• 6.5 Capacitaciones y divulgación del SAGRILAFT 16
• 6.6 Debida Diligencia 16
• 6.6.1 Debida Diligencia Básica 17
• 6.7 Medidas para el conocimiento razonable de Beneficiarios Finales 22
• 6.8 Debida Diligencia Intensificada 22
• 6.9 Señales de Alerta 23
• 6.10 Recepción e investigación de denuncias 24
• 6.11 Reportes a la UIAF 25
• 6.12 Sanciones, Reserva de Denuncia y Confidencialidad 26
• 6.13 Política de inclusión de
  estipulaciones de prevención LA/FT/FPADM 27
• 6.14 Archivo documental 27
• 7. Actualizaciones al SAGRILAFT 28
• Anexo I – Análisis del riesgo LA/FT/FPADM 29
• Etapas del análisis de riesgos 29
• I. Evaluar el riesgo 31
• II. Control del riesgo 33
• III. Monitorear el riesgo 34

1. Objetivo

Honor Technologies Colombia S.A.S. (en adelante, “Honor”, la “Empresa” o la “Compañía”) es una sociedad domiciliada en Colombia, debidamente registrada ante la Cámara de Comercio de Bogotá, que se dedica a la comercialización de dispositivos inteligentes, equipos, partes y piezas electrónicas y de telecomunicaciones, y se encuentra bajo la vigilancia de la Superintendencia de Sociedades (“SuperSociedades”).

La Compañía, en cumplimiento a las instrucciones dadas por la SuperSociedades en el Capítulo X de su Circular Básica Jurídica, implementó el Sistema de Autocontrol y Gestión del Riesgo Integral de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva (el “SAGRILAFT” o el “Sistema”). Este manual (en adelante, el “Manual” o el “Manual SAGRILAFT”) documenta la política y los lineamientos establecidos por Honor para prevenir que la Empresa sea utilizada como un medio para llevar a cabo actividades ilícitas, o que se materialice algún riesgo asociado a los delitos de lavado de activos, financiación del terrorismo o financiamiento de la proliferación de armas de destrucción masiva (“LA/FT/FPADM”).

2. Política de gestión de Riesgos LA/FT/FPADM

Honor cumple de manera estricta con todas las obligaciones legales a su cargo en materia de prevención de LA/FT/FPADM y prohíbe estrictamente los comportamientos que infrinjan las leyes y reglamentos en esta materia.

La Compañía reconoce que no puede prever todas y cada una de las situaciones que involucren riesgos de LA/FT/FPADM y, en ese sentido, confía en el buen juicio en la toma de decisiones de los Empleados y Tercerizados que se debe regir por los siguientes principios:

• Transparencia. Compromiso con la ejecución de negocios justos y transparentes que generen confianza y credibilidad en las actividades comerciales nacionales e internacionales. Honor mantiene y divulga información financiera veraz y precisa, en cumplimiento de las leyes y las exigencias de las autoridades. Espera que sus Empleados y Tercerizados:

a. Acaten los Estándares Contables de la Compañía y reflejen fielmente las operaciones.

b. Aseguren la autenticidad, exactitud e integridad de la información relacionada con las transacciones.

c. Cumplan puntualmente con los reportes financieros externos e internos.

d. No alteren ni destruyan indebidamente la documentación financiera y contable.

• Cumplimiento de las leyes. Honor mantiene un estricto cumplimiento de las obligaciones legales y reglamentarias contra el LA/FT/FPADM, a cargo de la Empresa.

• Cero tolerancia frente al delito. La Compañía no tolera acciones u omisiones que tengan como objetivo utilizar a la Empresa o su objeto social para algún fin ilícito, ilegal, irregular, delictivo o contrario a los valores. Mucho menos, tolera actividades asociada al LA/FT/FPADM.

• Conocimiento de las contrapartes. Honor no podrá tener relaciones contractuales y/o de negocios con ninguna persona natural o jurídica, cuya identidad no esté plenamente determinada o que aparezca reportada en una Lista Vinculante para Colombia.

• Identificar las señales de alerta. La Compañía definió un catálogo de señales de alerta que servirán de guía para que los Empleados y Tercerizados identifiquen situaciones que van más allá de los parámetros de la operación normal y que levantan algún tipo de sospecha respecto a riesgos de LA/FT/FPADM.

• Obligación de reporte. Los Empleados y Tercerizados tienen la obligación de reportar al Oficial de Cumplimiento de la Empresa cualquier situación o circunstancia que pueda ser considerada contraria a las leyes. Particularmente, aquella relacionada con la posible ocurrencia de delitos o el incumplimiento a las leyes vigentes en Colombia y/o a las políticas internas de Honor.

• Confidencialidad y prohibición de represalias. Honor mantiene estricta confidencialidad frente a la identidad de los informantes y el contenido de las denuncias. Está prohibida cualquier forma de represalia contra los informantes. Cualquier persona que tome represalias estará sujeta a medidas disciplinarias o al posible despido.

Cualquier duda, acto o práctica que no se encuentre alienada con los principios, las políticas y los procedimientos de Honor, deberán ser reportados al Oficial de Cumplimiento o por medio del canal de denuncia de la Compañía: bcgcomplain@honor.com. Todos los asuntos o consultas que se tramiten a través de los canales de denuncia serán gestionados de manera confidencial. No obstante, la Compañía se reserva el deber de poner en conocimiento de autoridades, aquellas situaciones ilegales o ilícitas.

3. Términos definidos y acrónimos

Para efectos del presente Manual, las siguientes palabras o frases tendrán el significado que se les asigna a continuación:

• Accionistas: son aquellas personas naturales o jurídicas que poseen una o varias acciones de la Empresa.

• Activos Virtuales: es la representación digital de valor que se puede comercializar o transferir digitalmente y se puede utilizar para pagos o inversiones.

• Administradores: según el artículo 22 de la Ley 222 de 1995, son los administradores, los representantes legales, el liquidador, el factor, los miembros de junta o consejos directivos, y quienes de acuerdo con los estatutos sociales de Honor ejerzan o detenten esas funciones.

• Apetito de riesgo: se refiere a la cantidad de eventos adversos o el nivel de riesgo que la Compañía está dispuesta o tiene la capacidad de aceptar para alcanzar sus objetivos. Este concepto se refleja en el Mapa de Riesgos. La administración del riesgo de LA/FT/FPADM tiene una índole diferente a la de los procesos de administración de otros riesgos, como los riesgos de procesos, financieros o tecnológicos, pues mientras que los mecanismos para la administración del primero se dirigen a prevenirlo, detectarlo y reportarlo oportuna y eficazmente, los mecanismos para la administración de los segundos se dirigen a asumirlos íntegra o parcialmente en función del perfil de riesgo de la entidad y la relación rentabilidad/riesgo. Es decir, el apetito y tolerancia al riesgo de LA/FT/FPADM debe ser nulo considerando sus implicaciones legales, operacionales y reputacionales.

• Ausencia de Reporte de Operación Sospechosa (AROS): son los reportes trimestrales que debe efectuar el Oficial de Cumplimiento a la UIAF, cuando en determinado trimestre no se hayan presentado Operaciones Sospechosas.

• Beneficiario final: la(s) persona(s) natural(es) que finalmente posee(n) o controla(n), directa o indirectamente, a una contraparte o persona natural en cuyo nombre se realiza una transacción. Incluye a la(s) persona(s) natural(es) que ejerzan control efectivo y/o final, directa o indirectamente, sobre una persona jurídica u otra estructura sin personería jurídica. De conformidad con los supuestos que establece el artículo 631-5 del Estatuto Tributario.

Son Beneficiarios Finales de la persona jurídica los siguientes: La persona natural que, actuando individual o conjuntamente, ejerza control sobre la persona jurídica, en los términos del artículo 260 y siguientes del Código de Comercio; o, la persona natural que, actuando individual o conjuntamente, sea titular, directa o indirectamente, del cinco por ciento (5%) o más del capital o los derechos de voto de la persona jurídica, y/o se beneficie en un cinco por ciento (5%) o más de los rendimientos, utilidades o Activos de la persona jurídica. En caso de que no se identifique alguna persona natural de acuerdo con los anteriores criterios, será la persona natural que ostente el cargo de representante legal, salvo que exista una persona natural que ostente una mayor autoridad en relación con las funciones de gestión o dirección de la persona jurídica.

Son Beneficiarios Finales de un contrato fiduciario, de una estructura sin personería jurídica o de una estructura jurídica similar, las siguientes personas naturales que ostenten la calidad de: Fiduciante(s), fideicomitente(s), constituyente(s) o puesto similar o equivalente; Comité fiduciario, comité financiero o puesto similar o equivalente; Fideicomisario(s), beneficiario(s) o beneficiarios condicionados; y cualquier otra persona natural que ejerza el control efectivo y/o final, o que tenga derecho a gozar y/o disponer de los Activos, beneficios, resultados o utilidades.

• Canal de Denuncias: es el medio de comunicación habilitado por Honor y a través del cual se recibirán las denuncias y reportes confidenciales de los Empleados, Tercerizados y terceros interesados, sobre posibles violaciones a lo establecido en este Manual. Así mismo, el canal de denuncias estará habilitado para recibir consultas relacionadas con lo establecido en el presente Manual.

• Contrapartes: son aquellas personas naturales o jurídicas con las que Honor tiene vínculos comerciales, de negocios, contractuales o jurídicos. Se consideran contrapartes, entre otros, los Clientes, Proveedores, Empleados, Tercerizados, Administradores, Accionistas y Filiales.

• Clientes: son aquellas personas naturales o jurídicas que distribuyen y venden los dispositivos inteligentes, equipos, partes y piezas electrónicas y de telecomunicaciones de Honor, bajo las condiciones y márgenes de ganancia convenidas.

• Deber de denuncia: en Colombia, toda persona tiene el deber de denunciar a la autoridad los delitos de cuya comisión tenga conocimiento y que deban investigarse de oficio. Este deber es obligatorio para los servidores públicos frente a todos los delitos y para los particulares frente a los delitos de genocidio, desplazamiento forzado, tortura, desaparición forzada, homicidio, secuestro, secuestro extorsivo o extorsión, narcotráfico, tráfico de drogas tóxicas, estupefacientes o sustancias sicotrópicas, terrorismo, financiación del terrorismo y administración de recursos relacionados con actividades terroristas, enriquecimiento ilícito, testaferrato, lavado de activos y los delitos contra la libertad, formación e integridad sexual de los menores de 14 años. La omisión de un particular de denunciar estos delitos constituye el delito previsto en el artículo 441 del Código Penal – Ley 599 de 2000 (“CP”).

• Debida Diligencia: es el conjunto de actividades necesarias para tomar una decisión informada respecto de una situación en particular. Específicamente para este Manual, se entiende por debida diligencia aquellas actividades que se llevan a cabo para conocer en detalle a las Contrapartes e identificar los potenciales Riesgos LA/FT/FPADM a los que se encuentren expuestas.

• Debida Diligencia Intensificada: es el conjunto de actividades necesarias para tomar una decisión informada cuando una Contraparte reviste una señal de alerta o se concluye que su perfil presenta un alto riesgo para Honor. Será necesario llevar a cabo una Debida Diligencia Intensificada cuando: (i) existan posibles relaciones comerciales con Personas Expuestas Públicamente – PEP; (ii) la consulta en listas restrictivas haya arrojado algún resultado positivo; (iii) la Contraparte realice operaciones o se dedique comercialmente a la prestación de servicios de activos virtuales; (iv) la contraparte esté ubicada en países no cooperantes y jurisdicciones de alto riesgo; o (v) la Contraparte presente una señal de alerta en el marco de alguna transacción y/o relación comercial.

• Delitos Subyacentes del Lavado de Activos: hace referencia a las actividades de tráfico de migrantes, trata de personas, extorsión, enriquecimiento ilícito, secuestro extorsivo, rebelión, tráfico de armas, tráfico de menores de edad, financiación del terrorismo y administración de recursos relacionados con actividades terroristas, tráfico de drogas tóxicas, estupefacientes o sustancias sicotrópicas, delitos contra el sistema financiero, delitos contra la administración pública, contrabando, contrabando de hidrocarburos o sus derivados, fraude aduanero o favorecimiento y facilitación del contrabando, favorecimiento de contrabando de hidrocarburos o sus derivados, en cualquiera de sus formas, o vinculados con el producto de delitos ejecutados bajo concierto para delinquir, en los términos del CP.

• Empleado: toda persona vinculada mediante una relación laboral a Honor, su matriz, filiales o subordinadas que participe dentro de los procesos descritos en este Manual.

• Factores de Riesgo de LA/FT/FPADM: son los posibles elementos que pueden representar un Riesgo LA/FT/FPADM en una empresa obligada. En el presente Manual se tendrán en cuenta los siguientes: (i) Contraparte; (ii) Jurisdicción; (iii) Productos y servicios; y (iv) Pagos.

• Filiales: son las sociedades extranjeras que hacen parte del mismo grupo y cuyo beneficiario final y controlante es el mismo.

• Financiación del Terrorismo: según el artículo 345 del CP, incurre en este delito la persona que directa o indirectamente provea, recolecte, entregue, reciba, administre, aporte, custodie o guarde fondos, bienes o recursos, o realice cualquier otro acto que promueva, organice, apoye, mantenga, financie o sostenga económicamente a grupos de delincuencia organizada, grupos armados al margen de la ley o a sus integrantes, o a grupos terroristas nacionales o extranjeros, o a terroristas nacionales o extranjeros, o a actividades terroristas.

• Financiación de la Proliferación de Armas de Destrucción Masiva: es la recolección y/o suministro de fondos o cualquier tipo de bien con el objetivo de que sean usados total o parcialmente para financiar la fabricación, adquisición, posesión, desarrollo, exportación, trasiego de material, fraccionamiento, transporte, trasferencia, deposito o uso dual de armas de destrucción masiva.

• Grupo de Acción Financiera (GAFI): organismo intergubernamental constituido en 1989, cuyo propósito busca desarrollar y promover políticas y medidas para combatir el LAFT. GAFI emitió las 40+9 recomendaciones para el control de lavados de activos y la financiación de la actividad terrorista.

• LA/FT/FPADM: sigla utilizada para señalar el lavado de activos, la financiación del terrorismo y la financiación de la proliferación de armas de destrucción masiva.

• Lavado de Activos: es el proceso en virtud del cual los fondos o bienes de origen ilícito son incorporados en el sistema económico para darles apariencia de legalidad. Según el artículo 323 del CP, incurre en este delito la persona que adquiera, resguarde, invierta, transporte, transforme, almacene, conserve, custodie o administre bienes que tengan su origen mediato o inmediato en actividades de tráfico de migrantes, trata de personas, extorsión, enriquecimiento ilícito, secues­tro extorsivo, rebelión, tráfico de armas, tráfico de menores de edad, financiación del terrorismo y administración de recursos relacionados con actividades terroristas, tráfico de drogas tóxicas, estupefacientes o sustancias sicotrópicas, delitos contra el sistema financiero, delitos contra la administración pública, contrabando, contrabando de hidrocarburos o sus derivados, fraude aduanero o favorecimiento y facilitación del contrabando, favorecimiento de contrabando de hidrocarburos o sus derivados, en cualquiera de sus formas, o vinculados con el producto de delitos ejecutados bajo concierto para delinquir, o les dé a los bienes provenientes de dichas actividades apariencia de legalidad o los legalice, oculte o encubra la verdadera naturaleza, origen, ubicación, destino, movimiento o derecho sobre tales bienes o realice cualquier otro acto para ocultar o encubrir su origen ilícito. A su vez, si las conductas recaen sobre bienes cuya extinción de dominio haya sido declarada, o cuando las actividades o bienes provienen total o parcialmente del extranjero.

• Listas Vinculantes: son las listas restrictivas de obligatorio cumplimiento para Colombia, según lo establece el artículo 20 de la Ley 1121 de 2006. Honor no podrá entablar ningún tipo de relación con ninguna persona o entidad que se encuentre reportada en dichas listas. La identificación de cualquier potencial Contraparte como reportada en alguna de las listas vinculantes deberá ser informada de inmediato a la Fiscalía General de la Nación y a la UIAF. Dichas listas incluyen:

a) Las listas del Consejo de Seguridad de las Naciones Unidas

b) Las listas de terroristas de los Estados Unidos de América

c) La lista de la Unión Europea de Organizaciones Terroristas

d) La lista de Unión Europea de Personas Catalogadas como Terroristas

• Matriz de Riesgo LA/FT/FPADM: es uno de los instrumentos que le permite a Honor identificar, individualizar, segmentar, evaluar y controlar los Riesgos LA/FT/FPADM a los que se podría ver expuesta, conforme a los Factores de Riesgo LA/FT/FPADM identificados.

• Oficial de Cumplimiento: la persona natural designada por la Junta Directiva de la Empresa que está encargada de promover, desarrollar y velar por el cumplimiento de los procedimientos específicos de prevención, actualización y mitigación del Riesgo LA/FT/FPADM. En este sentido, el Oficial de Cumplimiento deberá cumplir como mínimo con los siguientes requisitos:

a) Acreditar conocimiento en materia de administración del Riesgo LA/FT/FPADM, mediante cursos, diplomados o posgrados.

b) Tener experiencia de mínimo seis (6) meses asociada a la prevención y gestión del Riesgo LA/FT/FPDAM.

c) Estar domiciliado en Colombia.

d) Contar con la capacidad de tomar decisiones para gestionar el Riesgo LA/FT/FPDAM y tener comunicación directa y depender directamente de la Junta Directiva.

e) Entender el giro ordinario de las actividades de Honor.

f) Contar con el apoyo del equipo de trabajo y técnico de la Empresa.

No podrá ser Oficial de Cumplimiento el individuo que:

a) Tenga antecedentes en materia LA/FT/FPADM.

b) Pertenezca a la administración, a los órganos sociales o al órgano de revisoría fiscal.

c) Ejecute funciones como auditor interno de calidad o control dentro de la Empresa.

d) En caso de ser tercerizado, funja como oficial de cumplimiento principal o suplente en más de diez (10) empresas o que desempeñe este rol en una sociedad que sea competencia o Contraparte de Honor en negocios comerciales o contractuales.

• Operación Intentada o Rechazada: se configura cuando se tiene conocimiento de la intención de una Contraparte de realizar una operación sospechosa de LA/FT/FPADM, pero la cual no se perfecciona por cuanto quien intenta llevarla a cabo desiste de la misma o porque los controles establecidos o definidos por Honor no permitieron realizarla. Estas operaciones tienen que ser reportadas única y exclusivamente a la UIAF de manera inmediata al momento en el cual se tenga conocimiento de su ocurrencia. Se entenderá que las operaciones intentadas forman parte de las operaciones sospechosas y que, por lo tanto, también son objeto de reporte a la UIAF.

• Operación Inusual: son las operaciones que realizan las contrapartes, que, por su número, cantidad o características, no se enmarcan en los sistemas y prácticas normales de los negocios de una industria o sector determinado.

• Operaciones Sospechosas: hace referencia a aquella operación inusual que no ha podido ser razonablemente justificada por quien solicita su ejecución. Estas operaciones deberán ser reportadas por el Oficial de Cumplimiento única y exclusivamente a la UIAF de manera inmediata al momento en el cual se tenga conocimiento de su ocurrencia.

• Persona Expuesta Políticamente (“PEP”): son aquellas personas que desempeñan un cargo público de alta exposición o cuyas funciones delegadas correspondan a expedición de normas o regulaciones, dirección general, formulación de políticas institucionales y adopción de planes, programas y proyectos, manejo directo de bienes, dineros o valores del Estado, administración de justicia o facultades administrativo sancionatorias, y los particulares que tengan a su cargo la dirección o manejo de recursos en los movimientos o partidos políticos. Incluye también a las PEP extranjeras. Para los efectos del presente Manual, se entenderán como Personas Expuestas Políticamente a aquellas listadas en el Artículo 2.1.4.2.3 del Decreto 1674 de 2016, modificado por el Decreto 830 de 2021. La calidad de PEP se mantendrá durante el período de ocupación del cargo, así como durante los dos (2) años siguientes a su dejación. Toda PEP, familiar o asociado de PEP deberá ser objeto de un proceso de Debida Diligencia Intensificada.

• Proveedores: se refiere, en el contexto de un negocio o transacción, a cualquier tercero que presta servicios a Honor o que tiene con ésta una relación jurídica contractual de cualquier naturaleza. Los Proveedores de Honor pueden incluir, entre otros, a contratistas, intermediarios, empresas de tercerización de personal, agentes de aduanas, operadores logísticos, arrendadores, asesores, consultores y a personas que sean parte en contratos de colaboración, uniones temporales o consorcios, o de riesgo compartido con la Empresa.

• Reporte de Operaciones Sospechosas (“ROS”): es aquella operación que por su número, cantidad o características no se enmarca en el sistema y prácticas normales del negocio, de una industria o de un sector determinado y que, de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada por Honor.

• Reporte de Transacciones de Compraventa de Vehículos Automotores: es el reporte sobre todas las transacciones efectivamente realizadas durante el mes anterior de compraventa y/o compraventa mediante consignación de vehículos automotores, sin perjuicio de la cuantía de la transacción o la forma de pago.

• Reporte de ausencia de transacciones de compraventa de vehículos automotores: es el reporte que debe presentarse de manera mensual cuando en determinado mes no se hayan presentado transacciones de compraventa y/o compraventa mediante consignación de vehículos automotores.

• Riesgos LA/FT/FPADM: es la posibilidad de pérdida o daño que puede sufrir la Empresa por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para LA/FT/FPADM.

• Riesgo Asociados al LA/FT/FPADM: hace referencia a la posibilidad de pérdida o daño que puede sufrir Honor al ser utilizada para la comisión de delitos de LA/FT/FPADM. Los riesgos mediante los cuales se materializa el riesgo de LA/FT/FPADM son:

a) Riesgo Reputacional: Es la posibilidad de pérdida en que incurre una empresa por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

b) Riesgo Legal: Es la posibilidad de pérdida en que incurre una empresa al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

c) Riesgo Operativo: Es la posibilidad de ser utilizada en actividades de LA/FT/FPADM por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el Riesgo Legal y el Riesgo Reputacional, asociados a tales factores.

d) Riesgo de Contagio: Es la posibilidad de pérdida que una empresa puede sufrir, directa o indirectamente, por una acción o experiencia de una Contraparte.

• Riesgo inherente: Se refiere al riesgo intrínseco o propio de la actividad que desarrolla la compañía, sin tener en cuenta el efecto de los controles.

• Riesgo residual: Es el nivel de riesgo al que está expuesta la compañía después de ejecutados los controles.

• Señales de Alerta: Son aquellas situaciones, que, al ser analizadas, se salen de los comportamientos particulares de las Contrapartes o del mercado, considerándose atípicas y que, por tanto, requieren mayor análisis para determinar si existe una posible operación de LA/FT/FPDAM.

• Sociedad Matriz: hace referencia a la sociedad extranjera Honor Technologies B.V., que ejerce control directo sobre Honor, debidamente inscrita en el registro mercantil conforme lo establece el artículo 30 de la Ley 222 de 1995.

• Tercerizados: se refiere a todas las personas que han sido contratadas para la producción de bienes o prestación de servicios a Honor.

• Tolerancia al Riesgo: se refiere a la variación en el nivel de Riesgo Residual frente al Apetito de Riesgo, que es aceptable y que la Compañía asume para el logro de un objetivo específico.

• Unidad de Información y Análisis Financiero (UIAF): es la Unidad Administrativa Especial adscrita al Ministerio de Hacienda y Crédito Público que tiene como objetivo prevenir y detectar posibles operaciones LA/FT en diferentes sectores de la economía.

4. Marco Normativo

Además de la normativa referenciada en el Capítulo X de la Circular Básica Jurídica de la SuperSociedades, el presente Manual se fundamenta en la siguiente normativa relacionada con la prevención del LA/FT/FPADM:

• Convención de Viena de 1988: “Convención de las Naciones Unidas contra el tráfico ilícito de estupefacientes y sustancias psicotrópicas”. Fue aprobada en Colombia mediante la Ley 67 de 1993.

• Convenio de las Naciones Unidas para la Represión de la Financiación del Terrorismo de 1999: aprobado en Colombia mediante la Ley 808 de 2003.

• Convención de Palermo de 2000: “Convención de las Naciones Unidas contra la delincuencia organizada”. Fue aprobada en Colombia mediante la Ley 800 de 2003.

• Convención de Mérida de 2003: “Convención de las Naciones Unidas contra la corrupción”. Fue aprobada en Colombia mediante la Ley 970 de 2005.

• Las 40 + 9 recomendaciones del Grupo de Acción Financiera Internacional (GAFI): estándares internacionales sobre la lucha contra el lavado de activos y el financiamiento del terrorismo y la proliferación.

• Ley 599 de 2000 – Código Penal colombiano: contiene la tipificación de los delitos de Lavado de Activos, Financiación del Terrorismo, así como los delitos subyacentes del Lavado de Activos y las correspondientes sanciones para quienes incurran en estas conductas.

• Ley 1121 de 2006: mediante la cual se adoptaron disposiciones adicionales para prevenir, detectar y sancionar la financiación del terrorismo.

• Ley 2195 de 2022: mediante la cual se estableció la debida diligencia en como un principio y establece el régimen para sancionar empresas beneficiados por actos de corrupción, incluyendo los delitos contra el orden económico y social, contra el medio ambiente, entre otros.

• Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades: establece los umbrales para las personas jurídicas en Colombia obligadas a implementar un SAGRILAFT e imparte los lineamientos para la gestión del Riesgo LAFTFPADM. Se entenderá por Capítulo X las Circulares Externas 100-000016 de 2020, 100-000004 de 2021 y 100-000015 de 2021, y demás Circulares Externas que modifiquen, sustituyan o adicionen responsabilidades a las empresas obligadas a SAGRILAFT.

• Resolución 101 de 2013 de la UIAF: por medio de la cual se establece la obligación de presentar reportes a la UIAF, de todas las personas naturales y sociedades comerciales dedicadas de manera profesional, en el territorio nacional, a la compraventa o compraventa mediante consignación de vehículos automotores nuevos o usados.

5. Roles y responsabilidades

El presente Manual aplica a todos los Administradores, Empleados y Tercerizados de Honor. Estos tendrán la obligación de conocer el presente Manual y aplicarlo en todo momento; identificar las tareas relacionadas con el SAGRILAFT a su cargo que deben ejecutar de manera oportuna y efectiva; reportar todo comportamiento o situación que contraríe lo descrito en el presente Manual, la ley y la ética, y asistir a todas las capacitaciones sobre el SAGRILAFT. Aunado a lo anterior, ciertos roles, cargos y órganos tendrán las responsabilidades específicas que se describen a continuación:

5.1 Junta Directiva

La Junta Directiva de Honor tiene las siguientes obligaciones:

• Establecer y aprobar la política de gestión LA/FT/FPADM.

• Aprobar el SAGRILAFT y sus actualizaciones, presentadas por el Representante Legal y el Oficial de Cumplimiento.

• Seleccionar y designar al Oficial de Cumplimiento y verificar que tiene la disponibilidad y capacidad para desarrollar sus funciones.

• Analizar oportunamente los informes que presente el Oficial de Cumplimiento sobre el funcionamiento del SAGRILAFT y las propuestas de correctivos y actualizaciones. Igualmente, tomar decisiones sobre los temas presentados y documentar las mismas en las actas de Junta Directiva.

• Analizar oportunamente los reportes y solicitudes presentados por el Representante Legal.

• Pronunciarse sobre los informes presentados por la Revisoría Fiscal o las auditorías interna y externa, que tengan relación con la implementación y el funcionamiento del SAGRILAFT, y hacer el seguimiento a las observaciones o recomendaciones incluidas. Ese seguimiento y sus avances periódicos deberán estar señalados en las actas correspondientes.

• Ordenar y garantizar los recursos técnicos, logísticos y humanos necesarios para implementar y mantener en funcionamiento el SAGRILAFT, según los requerimientos del Oficial de Cumplimiento.

• Establecer los criterios para aprobar la vinculación de una Contraparte cuando sea PEP.

• Establecer pautas y determinar los responsables de realizar auditorías sobre el cumplimiento y efectividad del SAGRILAFT, en caso de que así lo determine.

• Constatar que Honor, el Oficial de Cumplimiento y el Representante Legal desarrollan las actividades previstas por la SuperSociedades y el SAGRILAFT.

5.2 Representante Legal

El Representante Legal debe:

• Presentar con el Oficial de Cumplimiento, para aprobación de la Junta Directiva, la propuesta del SAGRILAFT y sus actualizaciones, así como este Manual.

• Estudiar los resultados de la evaluación del Riesgo LA/FT/FPADM efectuada por el Oficial de Cumplimiento y establecer los planes de acción que correspondan.

• Asignar de manera eficiente los recursos técnicos y humanos, aprobados por la Junta Directiva, que sean necesarios para implementar el SAGRILAFT y para que el Oficial de Cumplimiento tenga disponibilidad y capacidad para desarrollar sus funciones.

• Prestar efectivo, eficiente y oportuno apoyo al Oficial de Cumplimiento en el diseño, dirección, supervisión y monitoreo del SAGRILAFT.

• Presentar a la Junta Directiva los reportes, solicitudes y alertas que considere que deban ser tratados por dicho órgano y que estén relacionados con el SAGRILAFT.

• Asegurarse de que las actividades que resulten del desarrollo del SAGRILAFT se encuentran debidamente documentadas, de modo que se permita que la información responda a unos criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad.

• Cuando sea requerido, certificar ante la SuperSociedades el cumplimiento de lo previsto por esta entidad en materia de prevención de LA/FT/FPADM.

• Verificar que los procedimientos del SAGRILAFT desarrollen la Política de gestión LA/FT/FPADM, adoptada por la Junta Directiva.

5.3 Oficial de Cumplimiento

El Oficial de Cumplimiento es la persona encargada de velar por el cumplimiento del presente Manual, así como de la implementación del SAGRILAFT, su monitoreo y constante mejoría. Específicamente, el Oficial de Cumplimiento debe:

• Velar por el cumplimiento efectivo, eficiente y oportuno del SAGRILAFT.

• Presentar, por lo menos, una vez al año, informes a la Junta Directiva de evaluación y análisis de la eficiencia y efectividad del SAGRILAFT. De ser el caso, proponer las mejoras respectivas. Así mismo, demostrar los resultados de la gestión del Oficial de Cumplimiento y de la administración de la Compañía, en general, en torno al cumplimiento del SAGRILAFT.

• Promover la adopción de correctivos y actualizaciones al SAGRILAFT, cuando las circunstancias lo requieran y por lo menos una vez cada dos años. Para ello deberá presentar a la Junta Directiva las propuestas y justificaciones de los correctivos y actualizaciones sugeridas al SAGRILAFT.

• Coordinar el desarrollo de programas internos de capacitación.

• Evaluar los informes presentados por la auditoría interna y los informes que presente el Revisor Fiscal, y adoptar medidas frente a las deficiencias informadas.

• Certificar ante la SuperSociedades el cumplimiento de lo previsto en el Capítulo X de la Circular Básica Jurídica, según lo requiera esta entidad.

• Verificar el cumplimiento de los procedimientos de Debida Diligencia y Debida Diligencia Intensificada definidos por la Compañía.

• Velar por el adecuado archivo de los soportes documentales y demás información relativa a la gestión y prevención del riesgo LA/FT/FPADM.

• Diseñar las metodologías de identificación, medición y control del riesgo LA/FT/FPADM que formarán parte del SAGRILAFT.

• Realizar la evaluación del Riesgo LA/FT/FPADM a los que se encuentra expuesta la Compañía.

• Realizar el reporte de las operaciones sospechosas a la UIAF y cualquier otro reporte o informe exigido por las disposiciones vigentes.

5.4 Revisor Fiscal

Las funciones propias del Revisor Fiscal se encuentran expresamente señaladas en el artículo 207 del Código de Comercio - Decreto 410 de 1971. En el análisis de información contable y financiera, el Revisor Fiscal debe prestar atención a los indicadores que pueden dar lugar a sospecha de un acto relacionado con un posible Riesgo LA/FT/FPADM y, sin perjuicio de la obligación de guardar la reserva profesional en todo aquello que conozca en razón del ejercicio de su profesión, en virtud de la responsabilidad inherente a sus funciones y conforme a los casos en que dicha reserva pueda ser levantada, tiene el deber de revelar información a las autoridades penales, disciplinarias y administrativas competentes, cuando así lo exija la ley. Las denuncias correspondientes deberán presentarse dentro de los seis (6) meses siguientes al momento en que el revisor fiscal hubiere tenido conocimiento de los hechos.

El Revisor Fiscal debe solicitar usuario y contraseña en el SIREL administrado por la UIAF, para el envío de los ROS.

5.5 Empleados

Además de las funciones a su cargo establecidas en los contratos laborales y de prestación de servicios, en las políticas y procedimientos de Honor, los Empleados y Tercerizados deben:

• Conocer el presente Manual y aplicarlo en todo momento.

• Orientar la toma de decisiones por lo establecido en este Manual y los principios establecidos en la Política de gestión LA/FT/FPADM.

• Identificar las tareas a su cargo relacionadas con el SAGRILAFT para poder efectuarlas de manera oportuna y efectiva.

• Reportar todo comportamiento o situación que contraríe lo descrito en el presente Manual, la ley y la ética.

• Asistir a las capacitaciones sobre el SAGRILAFT.

6. Lineamientos para la gestión y prevención de los Riesgos LA/FT/FPADM

La Compañía imparte los siguientes lineamientos dirigidos a la prevención, detección y reporte de LA/FT/FPADM que son de obligatorio cumplimiento para las Contrapartes. Este Manual atiende a los requerimientos de la normativa colombiana y se rige por las políticas y procedimiento establecidos por la Compañía para Colombia.

6.1 Manejo de dinero en efectivo

Por regla general, Honor no realiza operaciones con dinero en efectivo. Todos los Clientes deben realizar los pagos por medio de instituciones financieras debidamente constituidas en Colombia y/o en el extranjero. La insistencia por parte de un Cliente o potencial cliente de realizar pagos en efectivo será considerada una señal de alerta, y por lo tanto, deberán seguir el procedimiento descrito en la Sección 6.9 de este Manual.

Por regla general, para efectuar pagos a Proveedores, la Compañía utiliza los canales habilitados por instituciones financieras debidamente constituidas en Colombia y/o en el extranjero. De manera excepcional y previa autorización del Supervisor del área y de las áreas Financiera y Gerencia, se permite realizar pagos con dinero en efectivo hasta un monto de USD 5.000 (incluido el IVA) a Proveedores, por medio del Self Purchase Request (SPR).

6.2 Operaciones con Activos Virtuales

Honor no realiza transacciones u operaciones con Activos Virtuales. Sin perjuicio de lo anterior, cuando la Empresa decida iniciar operaciones con activos virtuales o vincular Contrapartes Proveedores de Servicios de Activos Virtuales (PSAV) o que reciban aportes en activos virtuales, el Oficial de Cumplimiento deberá analizar el Riesgo LA/FT/FPADM de la Contraparte o negocio y aplicar los controles que considere pertinentes de la evaluación de riesgo realizada.

6.3 Incursión en nuevos mercados y apertura de nuevas líneas de negocio

Previo al lanzamiento de cualquier producto de nueva línea de negocio, a la modificación de sus características, a la incursión en un nuevo mercado, a la apertura de operaciones en nuevas jurisdicciones o al lanzamiento o modificación de los canales de distribución, los departamentos de negocio involucrados deberán comunicar al Oficial de Cumplimiento a fin de que este realice un análisis, identificación, evaluación de Riesgos LA/FT/FPADM que el lanzamiento pueda generar a la Empresa y Tercerizados. De igual forma, y de ser necesario, propondrá nuevos controles para mitigar los riesgos LA/FT/FPADM. El análisis deberá ser incluido en la Matriz de Riesgos (Anexo III) y en este Manual.

6.4 Registros contables

Con el propósito de determinar cuándo una operación por su monto o cantidad es sospechosa, el área de Finanzas de Honor mantiene libros y registros contables y financieros detallados que reflejan con exactitud los pagos que la Compañía realiza y que recibe.

Cuando una operación o transacción se salga de los parámetros y del comportamiento usual de un Cliente o Proveedor, las áreas de Legal, Finanzas, Compras, Ventas y Recursos Humanos, según corresponda, deberán reportarlo de inmediato como Operación Inusual al Oficial de Cumplimiento, conforme lo establece la sección de Reportes a la UIAF contenido en este Manual.

6.5 Capacitaciones y divulgación del SAGRILAFT

La divulgación del SAGRILAFT se realiza mediante la entrega del Manual y políticas de la Compañía en dos momentos: (i) al momento de ingresar a la Empresa; y (ii) cuando exista una actualización. Igualmente, los documentos asociados al Manual permanecerán en la intranet de la Compañía, garantizando de esta manera, su acceso y conocimiento a todos los Empleados y Tercerizados.

El Oficial de Cumplimiento realizará capacitaciones anuales (virtuales o presenciales) sobre las políticas y el SAGRILAFT a todos los Empleados y Tercerizados. En estas incluirá los distintos aspectos del Sistema, así como las actualizaciones, modificaciones o mejoras que se han llevado a cabo y sus impactos.

La asistencia a estas capacitaciones es obligatoria para todos los Empleados y Tercerizados de Honor. El Oficial de Cumplimiento guardará relación de la fecha y hora de la capacitación, temas tratados y lista de asistentes.

6.6 Debida Diligencia

Honor reconoce que el principal instrumento para prevenir y controlar el riesgo LA/FT/FPADM es la debida diligencia. Con el objeto de conocer a las distintas Contrapartes con las que la Compañía potencialmente desea desarrollar negocios y relaciones contractuales, Honor ha diseñado procedimientos para determinar los responsables, los documentos y pasos a desarrollar en la debida diligencia.

Las Contrapartes son monitoreadas de manera permanente en las Listas Vinculantes. En el evento en que se identifique cualquier bien, activo, producto, fondo o derecho de titularidad a nombre o bajo la administración o control de cualquier país, persona o entidad incluida en las Listas Vinculantes para Colombia, el Oficial de Cumplimiento, de manera inmediata, debe reportarlo a la UIAF y ponerlo en conocimiento de la Fiscalía General de la Nación, a través de los correos electrónicos cumplimientogafi67@fiscalia.gov.co y cumplimientogafi67@uiaf.gov.co.

El Oficial de Cumplimiento, con ayuda de los equipos responsables, consolidará la información necesaria para construir, mantener y custodiar una base de datos con la información de cada Contraparte. Esta base de datos debe contener como mínimo: el nombre de la Contraparte, su número de identificación, domicilio, Beneficiario Final (no aplica a Empleados), nombre de representante legal (no aplica a Empleados) y la fecha del proceso de Debida Diligencia de la Contraparte. Esta información debe estar disponible en caso de que la SuperSociedades la requiera. Toda la información recolectada en el proceso de Debida Diligencia de Contrapartes y las actividades de Debida Diligencia serán actualizadas por Honor, como mínimo, cada dos (2) años.

6.6.1 Debida Diligencia Básica

Los lineamientos que se describen a continuación serán aplicados a todas las Contrapartes, previo a iniciar la relación comercial o contractual. En caso de advertir una señal de alerta o que la Contraparte pueda representar un mayor Riesgo LA/FT/FPADM, el Oficial de Cumplimiento realizará una Debida Diligencia Intensificada, como se describe en el acápite 6.8 del Manual.

Los Empleados y Tercerizados de Honor, según corresponda, deben:

• Solicitar a la Contraparte (por ejemplo, candidato a Empleado, Cliente o Proveedor) el diligenciamiento del formato de conocimiento de contrapartes y la entrega de documentos adicionales, según sea el caso.

• Verificar que todos los campos obligatorios del formato de conocimiento de contrapartes estén diligenciados y que la información solicitada sea remitida de manera completa.

• Solicitar que se surta el proceso de revisión en Listas Vinculantes y listas restrictivas, para seguir con la segmentación de Factores de Riesgos y determinar el perfil de riesgo de la Contraparte.

• Identificar si la Contraparte, su representante legal o Beneficiario Final ostentan la calidad de PEP.

• Suspender el proceso de Debida Diligencia y rechazar la vinculación de la Contraparte cuando esta, su representante legal o Beneficiario Final se encuentren en una Lista Vinculante para Colombia. Además, deberán informarlo de inmediato al Oficial de Cumplimiento para que este realice el reporte a la Fiscalía General de la Nación y a la UIAF.

• Garantizar que, una vez efectuado el proceso de Debida Diligencia de manera favorable, la Empresa suscriba contrato u orden de compra.

• Actualizar la información de la Debida Diligencia de las Contrapartes activas, por lo menos, cada dos (02) años o cuando se presente alguna situación o cambio que requiera análisis inmediato, de acuerdo con las consideraciones del Oficial de Cumplimiento.

El Oficial de Cumplimiento consolida la información necesaria para construir, mantener y custodiar una base de datos con la información de cada Contraparte. Esta información debe estar disponible en caso de que la SuperSociedades u otras autoridades competentes, así la requieran.

6.6.2 Empleados

Para la selección y vinculación de nuevos Empleados, el líder del área que tenga la necesidad de personal deberá radicar la solicitud al área de Recursos Humanos. Esta se encarga de realizar el proceso de selección, que incluye la solicitud de autorización para el tratamiento de datos personales, entrevistas, verificación de la identidad, formación académica y experiencia incluida en la hoja de vida.

El área de Recursos Humanos solicita la hoja de vida, la fotocopia del documento de identidad, certificado de cuenta bancaria. Con base en esta información, se realiza la consulta en Listas Vinculantes y otras listas restrictivas relacionadas a LA/FT/FPADM, si es un PEP y/o si su cuenta bancaria se encuentra en un país no cooperante o jurisdicción de alto riesgo por GAFI.

El área de Recursos Humanos deberá solicitar la actualización de información a los Empleados, como mínimo, cada 2 años, y deberá realizar una verificación en Listas Vinculantes. En caso de que el área de Recursos Humanos encuentre un hallazgo en esta verificación, deberá ponerlo en conocimiento del Oficial de Cumplimiento a fin de que analicen el caso y tomen las medidas respectivas.

6.6.3 Tercerizados

En el caso de los Tercerizados, Honor los contrata a través de un proveedor, el que se encarga de seleccionar a la persona que cumpla con los requisitos y exigencias para la función o servicio.

Una vez el proveedor recibe la solicitud y selecciona al postulante, solicita la autorización del tratamiento de datos personales y realiza un estudio de seguridad que comprende la verificación de la identidad, formación académica, experiencia incluida en la hoja de vida y existencia de sanciones disciplinarias, fiscales o judiciales. Efectuado el estudio, el proveedor confirma el nombre de la persona y entrega a Honor la evidencia del estudio de seguridad.

La actualización de información de Tercerizados está a cargo del tercero y Recursos Humanos solicitará constancia de su actualización, por lo menos, cada 2 años. Los comportamientos inusuales por parte de Tercerizados que puedan levantar una sospecha de que un Riesgo LA/FT/FPADM pueda estar ocurriendo deberán ser reportados de inmediato al Oficial de Cumplimiento con el propósito de que este emita un concepto de recomendaciones.

En caso de que identifique que el potencial Tercerizado arroja un perfil de riesgo alto, es PEP o su cuenta bancaria se encuentra en un país no cooperante o jurisdicción de alto riesgo por GAFI, de ser el caso, realizará una Debida Diligencia Intensificada y presentará una recomendación al área Legal, la que decidirá si es pertinente iniciar la relación contractual.

6.6.4 Clientes

Previo a la vinculación de potenciales Clientes y previa autorización para el tratamiento de datos personales, el área de Sales y Legal solicita a la contraparte la siguiente documentación del potencial cliente:

• Formato de conocimiento de contrapartes debidamente diligenciado y firmado por la persona natural o su representante legal, en caso de ser una persona jurídica.

• Registro Único Tributario – RUT del año vigente.

• Certificado de Existencia y Representación Legal, en caso de ser una persona jurídica.

• Copia de la cédula del representante legal, en caso de ser una persona jurídica.

• Certificación bancaria, no mayor a 60 días.

• Estados Financieros firmados del año inmediatamente anterior.

• Autorización para el tratamiento de datos.

Con base en la información y documentación proporcionada, Sales y Legal revisa la información y verifica si el potencial Clientes, su Beneficiario Final o su representante legal tienen antecedentes LA/FT/FPADM, es un PEP, si se encuentra en alguna Lista Vinculante para Colombia y/ o si su cuenta bancaria se encuentra en un país cooperante o jurisdicción de alto riesgo por GAFI. De ser aprobado en comité, Collection da alta al Cliente en el sistema de la Compañía y suscribe el respectivo acuerdo comercial que es revisado por el área Legal.

En todos los casos, Collection deberá solicitar al Cliente activo la actualización de su información para remitirla al área de finanzas. La actualización de información se realiza, por lo menos, una vez cada 2 años.

6.6.5 Proveedores

Previo a la vinculación de Proveedores y previa autorización para el tratamiento de datos personales, el área de Compras tiene implementado un proceso de creación de proveedores. Dentro de este proceso, el área de Compras solicita al potencial proveedor la siguiente información, a través de un request for information RFI y verifica si existen conflictos de interés a través del RFI2:

· Formato de creación de terceras partes diligenciado y firmado por la persona natural o su representante legal, en caso de que sea una persona jurídica.

· Registro Único Tributario – RUT.

· Certificado de Existencia y Representación Legal, en el caso de ser una persona jurídica.

· Copia de cedula de ciudadanía del Representante Legal, en caso de ser una persona jurídica.

· Certificación bancaria.

· Autorización de tratamiento de datos.

Teniendo en cuenta la información y documentación diligenciada, para poder hacer la vinculación del Proveedor, Honor ha establecido el criterio para prohibir hacer negocios con terceras partes ubicadas en países sancionados (Anexo I – Black Listed Companies). Es decir, Compras verifica si el potencial Proveedor, su Beneficiario Final o su representante legal tienen antecedentes LA/FT/FPADM, es un PEP.

De manera excepcional y previa la verificación en listas y de información del potencial Proveedor, la Compañía podrá seleccionar a un solo proveedor por medio del Self Purchase Request (SPR) el cual está limitado a un valor de USD 5.000 (incluido el IVA) y a una (1) prestación del servicio o bien por año, siempre que el área con la necesidad tenga la disponibilidad presupuestal y las áreas Financiera y Gerencia hayan aprobado la compra.

Siguiente a este proceso, Compras revisa todos los documentos y las normas internas de calidad y solicita una revisión financiera al equipo de Finanzas, en donde se realiza visitas en sitio en donde participa Compras, área que requiere el servicio y Finanzas, dependiendo del valor lo escalan a regional o corporativo (casa matriz). Una vez es aprobada la vinculación del Proveedor, Finanzas da de alta al Proveedor y remite al área Legal la solicitud para la revisión del respectivo contrato.

El área de Compras deberá solicitar al Proveedor activo la actualización de su información para remitirla al área de finanzas. La actualización de información se realiza, por lo menos, una vez cada 2 años.

6.6.6 Accionistas y Filiales

En caso de que Honor realice operaciones de fusión, compra de activos, acciones, cuotas o partes de interés o cualquier otro procedimiento de reorganización empresarial, estas estarían sujetas a medidas de Debida Diligencia para asegurar que las compañías o personas con las que se realicen estos negocios no representen un riesgo e identificar pasivos y contingencias relacionadas con LA/FT/FPADM.

La Debida Diligencia podrá ser adelantada por funcionarios de Honor o mediante la contratación de asesores externos. En este tipo de operaciones, la Compañía procurará que el Oficial de Cumplimiento participe activamente a fin de verificar que ninguno de los potenciales Accionistas o Beneficiarios Finales se encuentren en Listas Vinculantes o representen un Riesgo LA/FT/FPADM para la Compañía.

Según el Oficial de Cumplimiento lo requiera, podrá verificar en las Listas Vinculantes a las Filiales y sus representantes legales con los que realicen negocios o de las cuales reciban transacciones. En el evento que se consolide una negociación intragrupo, Honor deberá respaldar la transacción a través de un contrato y facturas, garantizando que estos cumplan con los mínimos legales, cambiarios y tributarios.

6.7 Medidas para el conocimiento razonable de Beneficiarios Finales

Cuando un potencial Cliente o Proveedor sea una persona jurídica, las áreas de Finanzas, Compras y Ventas, con el apoyo del Oficial de Cumplimiento, deberán implementar todas las medidas razonables para identificar y verificar la identidad de los Beneficiarios Finales de las Contrapartes. A continuación, se describen las medidas implementadas por la Compañía para el conocimiento de los Beneficiarios Finales de sus Contrapartes:

- Declaración de Beneficiarios Finales en los formatos de vinculación de contrapartes.

- Solicitud directa enviada por el Oficial de Cumplimiento a la Contraparte.

- Consulta en registros públicos.

En el evento en que esta información no pueda ser verificada, se asumirá que el Beneficiario Final de la Contraparte es su representante legal.

6.8 Debida Diligencia Intensificada

La Debida Diligencia Intensificada es el conjunto de actividades necesarias para tomar una decisión informada cuando una Contraparte arroja una Señal de Alerta o se concluye que su perfil presenta un alto riesgo para la Compañía en el desarrollo de la Debida Diligencia o por la criticidad del servicio que ofrece a la Compañía.

La Debida Diligencia Intensificada se realizará en los siguientes casos:

1. Cuando se trate de Contrapartes cuya Debida Diligencia arroje una alerta de antecedentes penales o disciplinarios por delitos relacionados a LA/FT/FPADM.

2. Cuando la Contraparte represente una mayor exposición a Riesgos LA/FT/FPADM.

3. Cuando en un proceso de vinculación se identifique que puede existir participación o involucramiento de un PEP.

4. Cuando la Contraparte realice operaciones o se dedique comercial y habitualmente a la compra, venta, custodia, administración o cualquier servicio relacionado con Activos Virtuales.

5. Cuando la Contraparte este ubicada o su cuenta bancaria esté un país clasificado como no cooperante o jurisdicción de alto riesgo por GAFI.

6. Cuando la consulta en Listas Restrictivas haya arrojado algún resultado positivo. Esto incluye que se encuentre en listados o bases de datos de sanciones, embargos, monitoreo por parte del gobierno, antecedentes penales y/o se encuentren menciones negativas en medios de comunicación.

7. Cuando se presente una Señal de Alerta en el marco de alguna transacción y/o desarrollo de la relación comercial.

8. Cuando al momento del ingreso se presenten diferencias entre el inventario indicado en la orden al Proveedor.

9. Cuando al requerirle información a la Contraparte, esta se rehúse a entregar información solicitada. Esto aplica en el marco de una vinculación o actualización de información.

De manera proporcional al evento de riesgo o hallazgo, el Oficial de Cumplimiento determinará las medidas intensificadas que procederán al caso. Sin perjuicio de lo anterior, la Compañía, por medio de las áreas responsables de cada Contraparte, deberá solicitar información adicional que permita esclarecer la situación, determinar el origen y destino de los fondos y realizar una indagación más profunda sobre la contraparte y/o transacción. La Compañía podrá contratar la asesoría de expertos para la realización de una Debida Diligencia Intensificada.

Honor por ningún motivo podrá entablar o mantener relaciones comerciales o de negocios con personas naturales o jurídicas que:

- Aparezcan reportadas en una Lista Vinculante para Colombia.

- Se rehúsen a suministrar información sobre su identidad, el origen de sus ingresos y/o naturaleza de su negocio, cuando su identidad y naturaleza de sus ingresos no haya podido establecerse o validarse luego de haber realizado el procedimiento de Debida Diligencia.

Los resultados de la Debida Diligencia Intensificada y las recomendaciones del Oficial de Cumplimiento sobre la vinculación o continuación de la relación contractual o comercial con la Contraparte son presentadas y analizadas por parte del área Leal a fin de que se tenga la aprobación para vincular o mantener la relación comercial o contractual con la Contraparte.

Para las Contrapartes de alto riesgo, la Compañía, a través de las áreas responsables, les solicitará de manera anual la actualización de la información y realizará nuevamente una Debida Diligencia Intensificada.

6.9 Señales de Alerta

Los Empleados y Tercerizados, particularmente de las áreas de Compras, Ventas, Finanzas y Recursos Humanos, deberán identificar como Señales de Alerta, todas aquellas situaciones que se salen de los parámetros de lo normal y que levantan algún tipo de sospecha de que una situación de LA/FT/FPADM pueda estar ocurriendo.

Con base en el análisis de Riesgos de LA/FT/FPADM efectuado por la Compañía, Honor presenta algunas situaciones que son consideradas Señales de Alerta y que servirán como guía para su identificación temprana:

- Cuando encuentren que el potencial Concesionario no tiene la capacidad de pago o su situación económica no guarda relación con el volumen de la relación comercial que se desea iniciar con la Compañía, y a pesar de esto la Contraparte insiste en ser vinculado como Concesionario y ofrece otros métodos de pago.

- Pagos a PEP o personas cercanas a los PEP cuya justificación no sea clara.

- La renuencia o resistencia de un Concesionario o Proveedor a entregar información cuando se le solicite. Lo anterior aplica a información necesaria para el desarrollo de la Debida Diligencia.

- La solicitud de un Proveedor de efectuar pagos por conceptos que no son claros y que no guarden relación con el servicio o bien contratado.

- El ingreso de recursos a las cuentas de Honor, cuyo remitente no haya sido claramente identificado, así como la solicitud de devolución de giros por errores bancarios.

- El que varios Proveedores compartan los mismos datos de contacto, domicilio, teléfono o dirección.

- Cuando las direcciones físicas, de correo electrónico o teléfonos suministrados por un potencial Empleado, Proveedor o Concesionario no parecen existir, los correos rebotan o los teléfonos aparecen desconectados.

- Proveedores o Empleados que solicitan realizar pagos en cuentas bancarias en el extranjero, especialmente si dichas cuentas se encuentran en países clasificados como no cooperantes o de alto riesgo por el GAFI.

- Cuando la Contraparte tenga domicilio o realice negocios o frecuentes transacciones con Contrapartes ubicadas en jurisdicciones conocidas como paraísos fiscales.

- Respuesta del Concesionario no consistente con lo reportado en la DIAN.

- Triangulación de los recursos usando varios países y empresas.

- El único soporte de la transacción es un pagaré suscrito entre las partes.

- Negociación con personas o de productos provenientes de zonas no viables o inconsistentes.

- Pagos a través de bancos clandestinos, bolsas de casinos, empresas ficticias, entre otros.

- Los Clientes o Proveedores realicen o reciban pagos a través de terceros sin motivos razonables o materiales justificativos.

- Los Clientes o Proveedores realicen o reciban pagos en efectivo por un importe igual o superior a 10.000 dólares estadounidenses.

Ante la existencia de una Señal de Alerta, el Empleado que la identifique deberá seguir las instrucciones dadas en la Sección 6.8 de este Manual.

6.10 Recepción e investigación de denuncias

En caso de presentar dudas frente a situaciones particulares que no se encuentren dispuestas en el presente Manual, el Empleado o Tercerizado deberá solicitar orientación al superior jerárquico o al área Legal, al Oficial de Cumplimiento y/o por el correo electrónico bcgcomplain@honor.com.

Si el Empleado o Tercerizado evidencia conductas que, a su juicio, vayan en contravía de los lineamientos y/o principios descritos en el presente Manual o alguna de las políticas mencionadas, es su obligación reportarlo inmediatamente a través del correo electrónico: bcgcomplain@honor.com.

Las denuncias o consultas realizadas serán gestionadas por el área Legal y/o el Oficial de Cumplimiento de manera confidencial.

La Compañía garantiza que todas las investigaciones e información relacionada con el canal de denuncias estarán sujetas a la más estricta reserva. Además, la Compañía garantiza a sus Empleados y/o Tercerizados, o terceros, que no existirá ningún tipo de represalia frente a aquellos denunciantes de buena fe.

Con base en los resultados de la investigación de la denuncia, el Oficial de Cumplimiento, en consulta con el área Legal, determinará si debe ponerse en conocimiento de la Fiscalía General de la Nación, de acuerdo con el deber de denuncia, y/o reportarlo a la UIAF.

6.11 Reportes a la UIAF

Cuando se presenta una Señal de Alerta, es posible que se esté en el marco de una Operación Inusual, Intentada o Sospechosa. Las alertas tempranas son aquellas que permiten identificar cuando es necesario evaluar una situación en detalle o realizar una Debida Diligencia Intensificada y determinar a que se está enfrentando Honor.

Por lo anterior, cuando se identifique una Señal de Alerta, los Empleados y Tercerizados deberán realizar un reporte interno sobre la Señal de Alerta o sobre una Operación Inusual o Intentada, a fin de que el Oficial de Cumplimiento verifique la información disponible y la clasifique como una operación usual conforme el perfil de la Contraparte con la cual se puede seguir adelante, o una Operación Inusual.

La clasificación como Operación Inusual requerirá solicitar a la Contraparte más información sobre las razones por las cuales la operación se sale de los parámetros normales y/o indagar a mayor profundidad sobre la operación. Mediando justificación suficiente podrá procederse con la operación.

6.11.1 ROS

Cuando la Contraparte no puede justificar o soportar la operación será necesario clasificarla como una Operación Sospechosa y realizar de manera inmediata el reporte correspondiente a la UIAF. Honor, no está obligado a comunicar a la contraparte sobre la señal de alerta o el reporte a la UIAF.

Si al solicitarse más información sobre la operación bajo investigación, el ordenante desiste de la misma, esta deberá clasificarse como una Operación Intentada la cual también requerirá de un reporte inmediato a la UIAF.

6.11.2 AROS

Cuando en determinado trimestre no se hayan presentado operaciones sospechosas, el Oficial de Cumplimiento debe realizar un reporte negativo o de ausencia de operaciones sospechosa (AROS) ante la UIAF.

6.12 Sanciones, Reserva de Denuncia y Confidencialidad

Honor rechaza cualquier hecho de ignorar o desviar intencionadamente la atención de hechos que, de otro modo, darían lugar a un problema ético o a una violación de este Manual. No informar circunstancias de manera intencional que puedan indicar una infracción, no detectar una infracción de este Sistema, abstenerse de participar en una investigación interna o proporcionar información errónea puede constituir una falta grave disciplinaria.

Teniendo en cuenta la política de cero tolerancia frente a aquellos hechos o situaciones en las que se pretenda utilizar a la Compañía como un medio para la realización de actividades ilícitas, el incumplimiento de este Manual, de los procedimientos y políticas corporativas relacionadas al Sistema o de la normatividad en materia LA/FT/FPADM, generará las siguientes sanciones:

- Dependiendo de la gravedad de los hechos y del nivel de incumplimiento, podrá generar a los Empleados, una sanción disciplinaria o, inclusive, una causa justa para la terminación del contrato de trabajo.

- Para Tercerizados, Clientes y/o Proveedores, Honor podrá dar por terminada la relación comercial o contractual cuando la Contraparte contrarie o intente utilizar a la Compañía como canal para efectuar actos asociados al LA/FT/FPADM.

Todas las sanciones descritas anteriormente podrán ser aplicadas sin perjuicio de las otras sanciones legales a las que haya lugar. Honor se reserva el derecho de poner en conocimiento de las autoridades aquellas situaciones que permitan concluir que ha ocurrido un ilícito, en cumplimiento de su Deber de Denuncia.

En todos los casos, la Compañía, los Administradores, el Oficial de Cumplimiento y los Empleados o Tercerizados que tengan acceso a esta información guardarán estricta reserva y confidencialidad. En ese sentido, la Compañía prohíbe cualquier tipo de divulgación o comunicación, directa o indirecta, de aquellos casos relacionados a faltas, investigaciones o sanciones producto del incumplimiento a la ley o al SAGRILAFT.

6.13 Política de inclusión de estipulaciones de prevención LA/FT/FPADM

Honor promueve la inclusión de cláusulas o manifestaciones que protejan y que recojan las disposiciones legales aplicables y las disposiciones del presente Manual, para efectos de la prevención del Riesgo de LA/FT/FPDAM, en los contratos y/u órdenes de compra que celebre con sus Contrapartes. Las cláusulas y disposiciones que Honor promoverá estarán encaminadas a:

- Establecer compromisos para prevenir el LA/FT/FPADM;

- Sujeción y cumplimiento de las normas relacionadas con la prevención de Riesgos LA/FT/FPADM aplicables;

- Sanciones y planes remediales cuando una Contraparte incurra en una conducta relacionada a LA/FT/FPADM.

- Deber de reporte ante cualquier hecho o circunstancia que sea considerada una Operación Inusual o Señal de Alerta en materia LA/FT/FPADM.

6.14 Archivo documental

De acuerdo con lo dispuesto en el artículo 28 de la Ley 962 de 2005, Honor conserva todos los documentos asociados al SAGRILAFT por un período mínimo de 10 años, contados a partir de la fecha de generación del documento. La conservación de los documentos está a cargo de cada área responsable y podrá ser almacenada por medios físicos o digitales que garanticen su reproducción e integridad.

Igualmente, Honor cuenta con una base de datos de fácil consulta en relación con los Proveedores, Empleados, Clientes y Distribuidores en la cual se evidencie la realización del proceso de Debida Diligencia. Adicionalmente, la Compañía lleva un registro de las operaciones identificadas como inusuales en el que se indica si el análisis de esta resultó en Operación Sospechosa, intentada o por el contrario se consideró que esta no era inusual.

7. Actualizaciones al SAGRILAFT

Conforme los criterios de monitoreo de la eficiencia y efectivad que disponga el Oficial de Cumplimiento, Honor analizará anualmente si el SAGRILAFT debe ser actualizado.

Sin perjuicio de lo anterior, y en cualquier momento, el Oficial de Cumplimiento deberá actualizar el Manual SAGRILAFT y la Matriz de Riesgos en los siguientes casos:

- Cuando exista un cambio en las políticas y procedimientos de la Compañía;

- Cuando Honor incorpore nuevas líneas de negocio o ingrese a mercados;

- En general, cuando el mercado, la Compañía o sus Contrapartes incidan en el análisis y gestión de los Riesgos LA/FT/FPADM.

El Oficial de Cumplimiento deberá analizar los riesgos LA/FT/FPADM, aplicar las medidas y controles que estime pertinentes y, de ser necesario, ajustar y actualizar el Manual SAGRILAFT.

Anexo I – Black Listed Companies

En el marco de la selección y contratación de Proveedores, el área de Compras deberá verificar que el potencial proveedor no se encuentre relacionado en alguna de las listas que a continuación se describen. De encontrarse en una de estas o ubicado en un país sancionado, Honor no podrá iniciar la relación comercial y deberá iniciar la relación con otro Proveedor que pasará por el mismo proceso de evaluación, selección, debida diligencia y contratación establecido por la Compañía.

Referencia	Descripción
Países restringidos	Países y zonas como Irán, Siria, Corea del Sur, Cuba Crimea, Donetsk, Luhansk, que puedan causar que Honor, su Matriz, Accionista o Filiales violen la ley y regulaciones de sanciones financieras aplicables a la Compañía, su Matriz, Accionista o Filiales.
Sanciones Financieras	• Entidades relacionadas con países y zonas de Sanciones Integrales de América, incluyendo Irán, Siria, Cuba, Crimea, Donetsk, Luhansk. • Entidades en transacción que puedan causar que HONOR viole la ley y regulaciones de sanciones financieras aplicables, las actividades de transacción incluyen, pero no se limitan a: a) Durante las transacciones con entidades e individuos sancionados por los EE. UU., contratar a entidades/individuos de los EE. UU. y/o realizar transacciones de fondos, negociar recibir/pagar a través de instituciones o sistema financieros de los EE.UU. b) Durante las transacciones con entidades y personas sancionadas por la UE, contratar a entidades/personas de la UE y/o realizar transacciones de fondos, negociando la recepción/pago a través de instituciones financieras o del sistema financiero de la UE. c) Durante las transacciones con entidades y personas sancionadas del Reino Unido, contratar a entidades o personas del Reino Unido y/o realizar transacciones de fondos, operaciones de recepción/pago a través de instituciones financieras o del sistema financiero del Reino Unido.
Lista negra de entidades para la lucha contra el blanqueo de capitales o la lucha contra el terrorismo financiero, incluyendo, pero no limitado a:	a) Lista de organizaciones e individuos terroristas identificados en virtud de la resolución 1373 (2001) del Consejo de Seguridad de las Naciones Unidas b) Lista de organizaciones e individuos terroristas identificados por la Posición Común 2001/931/PESC del Consejo, de 27 de diciembre de 2001, y la Decisión (PESC) 2016/1693 del Consejo, de 20 de septiembre de 2016, relativa a la adopción de medidas restrictivas contra ISIL (Da'esh) y Al-Qaeda y personas, grupos. c) Lista de organizaciones e individuos terroristas publicada por la Organización Nacional Líder de la Lucha contra el Terrorismo de conformidad con la Ley antiterrorista de la República Popular China. d) Lista de organizaciones e individuos terroristas designados por el Departamento del Tesoro de Estados Unidos en virtud de la Orden Ejecutiva (E.O.) 13224.

Anexo II – Análisis del riesgo LA/FT/FPADM

El objeto de este anexo es documentar el ejercicio de identificación, medición, control y monitoreo del Riesgo LA/FT/FPADM a los que Honor puede estar expuesto en atención a la naturaleza de su objeto social.

La metodología de análisis de riesgos implementada por Honor está alineada con los elementos definidos en el Capítulo X. Las palabras o frases definidas en el Manual del SAGRILAFT implementado por Honor serán las mismas, salvo que se indique expresamente lo contrario en este Anexo. El ejercicio de identificación, medición, control y monitoreo del Riesgo LA/FT/FPADM se detalla a continuación y se desarrolla en la Matriz de Riesgos.

Etapas del análisis de riesgos

El análisis de Riesgos LA/FT/FPADM se realiza en tres fases, a saber:

(i) Identificar el Riesgo Inherente considerando los Factores de Riesgo LA/FT/FPADM.

(ii) Evaluar el Riesgo Inherente en términos de probabilidad e impacto; y

(iii) Determinar el Riesgo Residual al considerar la calificación global del Riesgo Inherente y la calificación de la efectividad de los controles.

El ejercicio y resultados de identificación, medición y control del Riesgo LA/FT/FPADM que se detalla a continuación, se desarrolla y registra en la Matriz de Riesgos (Anexo III), donde se pueden observar los Factores de Riesgo LA/FT/FPADM identificados, la medición de la probabilidad de ocurrencia e impacto de cada evento de riesgo (Riesgo Inherente), y los Controles establecidos por Honor para mitigar el Riesgo LA/FT/FPADM y la evaluación de estos (Riesgo Residual). Esta metodología está sujeta a revisión y mejora periódica.

i. Identificación del Riesgo LA/FT/FPADM

La identificación del riesgo inherente LA/FT/FPADM se realiza considerando varios factores de riesgo establecidos por la normativa colombiana y mejores prácticas. Los factores de riesgo son los elementos del modelo y del entorno de negocio (amenazas), que por sí solo o en combinación con otros, tiene el potencial de generar riesgo. Estos pueden ser agentes internos como el producto, recurso humano o los procesos, o agentes externos como las clientes, proveedores o las jurisdicciones donde se opera.

Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades indica que las compañías obligadas a diseñar e implementar el SAGRILAFT deben tener en cuenta los siguientes factores de riesgo LA/FT/FPADM:

Factor de Riesgo LA/FT/FPADM	Análisis
Contrapartes	Se refiere a la exposición al riesgo LA/FT/FPADM asociado a la vinculación y relacionamiento con las Contrapartes. En este sentido, el análisis de este factor se enfoca en las características de las Contrapartes que podrían exponer a la Compañía al Riesgo LA/FT/FPADM; ya sea por contagio o por la participación directa o indirecta en actividades ilícitas en el marco de la relación comercial o contractual. Algunas de las características que se consideran en este factor son, por ejemplo, tener antecedentes legales o reputacionales en LA/FT/FPADM, ostentar la calidad de PEP, realizar operaciones en Activos Virtuales o ser Proveedores de Servicios de Activos Virtuales (“PSAV”), operar en países no cooperantes o de alto riesgo según la GAFI, baja reputación en el mercado, registros financieros no acordes a la actividad o tamaño u operar en países sancionados o ser individuos sancionados. La Compañía ha identificado sus Riesgos LA/FT/FPADM partiendo del análisis de los terceros con los que Honor tiene relaciones comerciales o contractuales, y por medio de los cuales, la Compañía podría verse expuesta a estos riesgos. Es decir, este análisis parte de la Contraparte y responde al esquema de negocio al esquema de negocio de importación y comercialización de dispositivos inteligentes, equipos, partes y piezas electrónicas y de telecomunicaciones. Por lo anterior, las Contrapartes de Honor han sigo segmentadas por grupos homogéneos, así: · Clientes: son las personas jurídicas que se encargan de distribuir y vender a clientes finales los dispositivos inteligentes, equipos, partes y piezas electrónicas y de telecomunicaciones de Honor, bajo las condiciones y márgenes de ganancia convenidas. Según el esquema de negocio, los Clientes se dividen de la siguiente manera: (i) operadores de comunicación; (ii) open market (grandes superficies); y (iii) distribuidores. · Proveedores: son aquellas personas naturales o jurídicas que prestan un servicio o proporcionan un bien a la compañía, a cambio de una remuneración económica. Algunos de estos son servicios de tercerización de personal, servicios de nómina, servicios de factura electrónica, asesores contables y jurídicos, contratistas, operadores logísticos y agentes de aduanas. Honor, dependiendo del volumen de compra anual a Proveedores, segmenta a sus proveedores de la siguientes manera: (i) self-purchase – SPR (hasta USD5.000/año); (ii) por prueba o proyecto de baja denominación (hasta USD100.000/año); (iii) simples que tienen límite (hasta USD300.000/año); y (iv) oficiales (no tienen límite de compra). · Empleados y Tercerizados: son las personas naturales son responsables de ejecutar actividades en el marco de la operación de Honor en Colombia y que participan dentro de los procesos descritos en el Manual PTEE. Según el organigrama de la Compañía, este grupo comprende: (i) las personas naturales vinculadas a Honor o alguna de las Filiales mediante contrato laboral; y (ii) las personas naturales que han sido contratadas bajo intermediación laboral para la producción de bienes o prestación de servicios a Honor. · Filiales: corresponde a las empresas en el exterior de Grupo Honor con la cuales la Compañía realiza actividades de importación de los productos que comercializa en Colombia. · Accionistas: actualmente, el accionista único es Honor Technologies, B.V., y la matriz y controlante es Honor Device Co., Ltd. Estas Contrapartes son objeto de una debida diligencia y seguimiento de la transaccionalidad. En el evento de advertir que la Contraparte, su representante legal o Beneficiario Final es PEP, cuya actividad económica es riesgosa o que ha presentado señales de alerta o actividades o transacciones inusuales que puedan implicar operaciones para lavar activos, financiar el terrorismo o la proliferación de armas de destrucción masiva, Honor aplicará medidas intensificadas para analizar y gestionar el Riesgo LA/FT/FPADM asociado.
Jurisdicción	Se refiere al riesgo asociado a las jurisdicciones donde se ubican las Contrapartes y la operación de Honor. La identificación de jurisdicciones con mayor Riesgo LA/FT/FPADM se basa en aquellos países clasificados como no cooperantes o de alto riesgo según la GAFI. Basado en este análisis, la Compañía identificó que su operación y algunas de sus Contrapartes se encuentran ubicadas en otras jurisdicciones, como se detalla a continuación: · Clientes: según el esquema de negocio mencionado, todos los Clientes de grande superficie y distribuidores se encuentran domiciliados en Colombia y la negociación la realiza directamente el equipo de Ventas de la Compañía. Por otro lado, los operadores de comunicación son seleccionados a nivel regional o global y pasan por una debida diligencia regional o global. En estos casos, Honor suscribe un otrosí con el Cliente domiciliado en Colombia y es con este con el que realiza negocios. Como resultado, los Clientes se encuentran en Colombia. Sobre este particular, la evaluación nacional de riesgo (“ENR”) otorgó a Colombia una calificación de amenazas de riesgo de lavado de activos medio y de financiación del terrorismo medio. Si bien el riesgo asociado a la jurisdicción es medio, este factor se incorpora en el análisis del riesgo LA/FT/FPADM de Contrapartes y no se analiza de manera individual. · Proveedores: se encuentran ubicados en China y Colombia. Para el caso de contrapartes extranjeras, la Compañía tiene en cuenta la calificación que otorga GAFI a cada país y dado que sus Proveedores se encuentran en China, se tiene en cuenta la recalificación de GAFI (2022) donde indica que el grado de las medidas adoptadas son efectivas y ha mejorado algunas deficiencias incluidas en el Informe de Evaluación Mutua de 2019 de las siguientes. Para el caso de Colombia, se tiene en cuenta la calificación de la ENR que otorgó una calificación de riesgo medio para lavado de activos y financiación del terrorismo. · Filiales: actualmente, la única operación inter compañía es con Honor Dubái (Emiratos Árabes Unidos), que a partir del 23 de febrero de 2024 dejó de estar como jurisdicción con mayor seguimiento por GAFI ya que tuvo un importante progreso en la mejora de su régimen LA/FT/FPADM. · Accionistas: el único accionista se encuentra ubicado en Holanda que es un país que cuya calificación es sólida. Por otro lado, la matriz y controlante se encuentra en China jurisdicción que en 2022 fue recalificada por GAFI y en cuyo informe fue indicado que el grado de las medidas adoptadas son efectivas y ha mejorado algunas deficiencias incluidas en el Informe de Evaluación Mutua de 2019 de las siguientes. La Compañía, en el marco de la debida diligencia, tiene en cuenta las jurisdicciones no cooperantes o de alto riesgo según GAFI, siendo estos criterios para aplicar medidas intensificadas de monitoreo y debida diligencia. Para el caso de Proveedores, encontrarse en un país sancionado económicamente genera la prohibición de su contratación por parte de todas las empresas de Grupo Honor. Adicionalmente, Honor monitorea las transacciones y comportamiento de sus Contrapartes, en caso de advertir una señal de alerta o característica de Riesgo LA/FT/FPADM, implementará las acciones y medidas necesarias para analizar y gestionar el evento.
Canal de distribución	Está relacionado con el proceso de comercialización de ciertos productos y servicios más vulnerables al Riesgo LA/FT/FPADM y que podrían, por ejemplo, facilitar el ocultamiento del origen de los recursos y el movimiento de estos en transacciones internacionales. Por lo anterior, Honor considera como vulnerables al Riesgo LA/FT/FPADM los siguientes sectores: (i) comercio exterior considerando que su operación parte de la materia prima que es importada; y (ii) PSAV, atendiendo las instrucciones del Capítulo X. En cualquiera de estos casos, la Compañía establece medidas ampliadas para conocer a la Contraparte, según un enfoque basado en riesgo.
Pagos	Se refiere al Riesgo LA/FT/FPADM por contratar o realizar pagos a Proveedores sancionados, con vínculos a actividades de LA/FT/FPADM o que no han sido identificados y evaluados. Por lo anterior, este riesgo se analiza partiendo de la Contraparte y teniendo en cuenta las siguientes variables: · Pagos en efectivo: recibir o realizar operaciones en efectivo implica un riesgo LA/FT/FPADM. Por ello, la Compañía ha limitado su uso y de manera excepcional realiza pagos a Proveedores creados bajo el procedimiento de Self Purchase Request (SPR). · Pagos u operaciones con Activos Virtuales: a la fecha la Compañía no realiza operaciones con Activos Virtuales. Por otro lado, cuando Honor identifique que una Contraparte realiza operaciones con Activos Virtuales, se le aplicará una debida diligencia intensificada a la Contraparte que utilice Activos Virtuales en otras operaciones. Así mismo, puede representar un Riesgo LA/FT/FPADM para la Compañía recibir pagos por parte de Clientes, Filiales o recibir capitalización por parte del Accionista que puedan haber recibido dinero cuyo origen esté asociado a un Delitos Subyacente del Lavado de Activos.

ii. Evaluar el riesgo

Una vez identificados los eventos potenciales de riesgo, se evalúa cada riesgo en función de su probabilidad de ocurrencia y el impacto que tendría en la empresa su eventual materialización. La combinación de impacto y probabilidad se denomina nivel de riesgo que se explica a continuación.

La combinación de los criterios de probabilidad e impacto buscan representar los riesgos en una escala de priorización, que se expresa gráficamente en un mapa de calor. Este mapa de calor también refleja la actitud de la compañía frente al riesgo y su apetito al riesgo. En el caso de riesgos LA/FT/FPADM, el nivel de riesgo aceptable para Honor es Bajo.

Honor adoptó una metodología que establece una escala de cinco (5) niveles de severidad que considera las diferentes combinaciones de probabilidad e impacto. A continuación, se presenta el mapa de calor definido y los criterios de probabilidad e impacto definidos:

• Riesgo remoto. 1 a 4 puntos

• Riesgo bajo. 5 puntos

• Riesgo medio. 6 puntos

• Riesgo alto. 7 puntos

• Riesgo crítico. 8 a 10 puntos

La valoración de la probabilidad de ocurrencia del riesgo parte del análisis de evaluar la posibilidad de que ocurra o se materialice un evento de riesgo. Es decir, este análisis se determina a partir del histórico de eventos ocurridos o de propensión que tiene la Asociación a que se presenten los eventos de riesgo derivado de su operación y relacionamiento intrínseco. A continuación, se presenta la guía para evaluar la probabilidad:

Guía para analizar la probabilidad
Muy probable	· Ha sucedido y/o podría suceder de manera regular; · Ocurrencia mayor del 75%; o · 1 vez en el semestre.
Probable	· Podría suceder de manera regular pero su naturaleza es esporádica; · Ocurrencia entre el 50-75%; o · 1 vez al año.
Muy Posible	· Se anticipa que suceda; · Ocurrencia entre el 25-50%; o · 1 vez en un periodo de 1 a 2 años.
Posible	· Podría suceder de manera no frecuente; · Ocurrencia entre el 1-25%; o · 1 vez en un periodo de 2 a 5 años.
Remoto	· Nunca ha sucedido y/o no se anticipa que suceda; · Ocurrencia menores al 1%; o · 1 vez en un periodo mayor a 5 años.

La evaluación del impacto del riesgo es el proceso de evaluar las consecuencias de los eventos de riesgo si se materializan. Si las consecuencias fueran múltiples, entonces se debe seleccionar el impacto más crítico como la calificación general para asegurar una gestión adecuada del riesgo. A continuación, se presenta la guía para evaluar el impacto:

Guía para evaluar el impacto
Descripción	Catastrófico	Mayor	Moderado	Menor	Insignificante
Legal	Sanciones a la Compañía, directivos, administradores, empleados y revisores. Intervención de los órganos de control, FGN u otro ente.	Sanciones a la Compañía, directivos, administradores, empleados y revisores. Apertura de investigación por LA/FT/FPADM.	Incumplimiento regulatorio moderado y/o penalidad contractual.	Incumplimiento regulatorio menor y/o penalidad contractual.	Sin incumplimiento regulatorio.
Reputacional	Impacto reputacional a nivel internacional - menciones negativas en medios de comunicación internacionales que afectan la imagen del grupo y la confianza de Contrapartes a nivel internacional.	Impacto reputacional alto a nivel nacional - menciones negativas en medios de comunicación nacional de alta rotación que afectan la imagen y la confianza de los Contrapartes en Colombia.	Impacto reputacional medio a nivel nacional - menciones negativas en medios de comunicación nacional de alta rotación que afectan la imagen y la confianza de Contrapartes en Colombia (<30%).	Impacto reputacional bajo a nivel nacional - menciones negativas en medios de comunicación nacional de baja rotación que afectan la imagen y la confianza de algunos (<10%) Contrapartes en Colombia.	Impacto reputacional muy bajo a nivel nacional - menciones negativas en medios de comunicación nacional de baja rotación que no afectan la imagen ni la confianza de Contrapartes.
Operativo	Cierre de la operación, suspensión total de actividades o la disolución de la persona jurídica, como resultado de una sanción legal o como consecuencia de cualquier irregularidad al interior de la compañía.	Suspensión temporal (mayor a 3 meses) de actividades comerciales, como resultado de una sanción legal o como consecuencia de cualquier irregularidad al interior de la compañía.	Suspensión temporal (entre 15 días y 3 meses) de actividades comerciales, como resultado de una sanción legal o como consecuencia de cualquier irregularidad al interior de la compañía.	Suspensión temporal (menor a 15 días) o impacto en procesos críticos de la compañía.	Suspensión temporal (menor a 15 días) o impacto en procesos no críticos de la compañía.

En este punto del proceso, se evalúa el riesgo inherente es decir el riesgo intrínseco o propio de la actividad que desarrolla la empresa, sin tener en cuenta el efecto de los controles o tratamientos que ha implementado Honor.

De acuerdo con el nivel de riesgo se diseñan estrategias de mitigación que disminuyan el nivel de riesgo al deseado o tolerable por la Compañía. En este sentido, y considerando que el enfoque de la gestión del riesgo de LA/FT/FPADM es la prevención, detección y reporte, Honor implementa acciones que disminuyan la probabilidad de ocurrencia, y permitan la detección y reporte oportuno.

Nivel de riesgo	Acción
Menor	Continuar monitoreando el riesgo y el desempeño del control para detectar cambios en el nivel de riesgo.
Bajo	Continuar monitoreando el riesgo y el desempeño del control para detectar cambios en el nivel de riesgo, y decidir la acción de mejora, si la hubiera.
Medio	Definir acciones de mejora a controles considerando la evolución del riesgo y recursos disponibles.
Alto	Se requiere una acción o escalamiento para tomar una decisión. Definir las posibles acciones mitigadoras a implementar en un período de tiempo definido.
Crítico	Se requiere acción inmediata y escalamiento para tomar decisiones. Puede que sea necesario asignar recursos considerables para reducir el riesgo.

iii. Control del riesgo

En esta etapa se identifican y evalúan las estrategias de mitigación que Honor ha implementado en cuanto a su diseño y ejecución. La evaluación del diseño de los controles se enfoca en que:

· La actividad efectivamente mitigue la causa o fuente del riesgo.

· La frecuencia de ejecución del control está alineada con la frecuencia de ejecución de la actividad asociada al riesgo.

· La evidencia del control es suficiente para comprobar su ejecución y resultado.

Igualmente se evalúa la ejecución y el nivel de implementación de los controles. En primera instancia, esta evaluación se realizó con los líderes de los procesos que están al frente del día a día y conocen la efectividad de los controles implementados. A futuro, los resultados de auditoría y/o actividades de monitoreo podrán considerarse en la evaluación de los controles.

La calificación inicial otorgada al riesgo inherente (realizada en la etapa Evaluar el riesgo) es afectada considerando la disminución de la probabilidad de ocurrencia o del impacto según la calificación de los controles, para así obtener el riesgo residual.

En caso de que el riesgo residual se encuentre en un nivel medio, alto o crítico se deberán adoptar medidas adicionales o planes de acción que permitan mejorar los controles y disminuir el nivel de riesgo residual al nivel aceptable para la Compañía. Dichos planes de acción deben ejecutarse conforme el nivel de riesgo residual, así:

• Riesgo medio. 6 – 12 meses

• Riesgo alto. 3 - 6 meses

• Riesgo crítico. 1- 3 meses

iv. Monitorear el riesgo

Anualmente, Honor deberá evaluar el diseño y la ejecución de los controles para validar que estos son efectivos y eficientes en la mitigación del Riesgo LA/FT/FPADM. Igualmente, el análisis de riesgo se revisará y actualizará como mínimo anualmente o según los cambios que sufra el negocio y el mercado.

Si en el desarrollo de la operación se presenta un evento, se materializa un riesgo o se presenta una señal de alerta, este deberá ser reportado a través del canal de denuncias de Honor Group bcgcomplain@honor.com y/o directamente al Oficial de Cumplimiento.

Así mismo, el Oficial de Cumplimiento consolidará los eventos que se presenten durante el año, y los analizará frente a los riesgos que se han identificado a la fecha y su valoración. Esto con el objeto de determinar si la calificación de probabilidad e impacto debe revalorarse o si están frente a un nuevo riesgo, y determinará si se requieren nuevos controles o realizar modificaciones a los existentes.

El monitoreo sobre riesgos y controles retroalimenta el análisis de riesgos y es insumo para la actualización y mejora de los procedimientos que comprenden el SAGRILAFT. Igualmente, la actualización de la metodología contenida en este documento es responsabilidad del Oficial de Cumplimiento, quien debe evaluar si los cambios que se presenten en el entorno de negocio cambian los criterios definidos y el apetito al riesgo de la compañía (mapa de calor). Como mínimo la revisión y actualización de la metodología debe realizarse anualmente.