RÉGIMEN LEGAL DE BOGOTÁ D.C.
© Propiedad de la Secretaría Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C.
© Propiedad de la Secretaría Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C.
 |
Cargando el Contenido del Documento |
| Por favor espere... |
|
CIRCULAR
EXTERNA 006 DE 2018 (Julio 31) Para: Administradora de
los Recursos del Sistema General de Seguridad Social en Salud (Adres) De: Superintendencia
Nacional de Salud Asunto: Por la cual se
hacen modificaciones a la Circular 047 de 2007 en lo relacionado con el sistema
integrado de gestión de riesgos y a sus subsistemas de administración de
riesgos, y reporte de información. I.
Antecedentes El
artículo 4° de la Ley Estatutaria 1751 de 2015, por medio de la cual se reguló
el derecho fundamental a la salud y se dictaron otras disposiciones, definió al
Sistema de Salud como “…el conjunto articulado y armónico de principios y
normas; políticas públicas; instituciones; competencias y procedimientos;
facultades, obligaciones, derechos y deberes; financiamiento, controles;
información y evaluación, que el Estado disponga para la garantía y
materialización del derecho fundamental de la salud”. Por
su parte, el artículo 66 de la Ley 1753 de 2015, por la cual se expidió el Plan
Nacional de Desarrollo 2014-2018 “Todos por un nuevo país”, dispuso la creación
de la Entidad Administradora de los Recursos del Sistema General de Seguridad
Social en Salud (SGSSS), - en adelante la ADRES, como una entidad de naturaleza
especial del nivel descentralizado del orden nacional asimilada a una empresa
industrial y comercial del Estado, adscrita al Ministerio de Salud y Protección
Social (MSPS), con personería jurídica, autonomía administrativa y financiera y
patrimonio independiente, con el propósito de garantizar el adecuado flujo de
los recursos del Sistema General de Seguridad Social en Salud y ejercer de
manera oportuna los controles respectivos; de manera concordante, el literal i)
del artículo 5° de la Ley 1751 de 2015 establece que el Estado debe adoptar la
regulación y las políticas indispensables para financiar de manera sostenible
los servicios de salud y garantizar el flujo de los recursos para atender de
manera oportuna y suficiente las necesidades en salud de la población. En
desarrollo de lo anterior, fue emitido el Decreto-ley 1429 de 2016 que definió
la naturaleza de la administradora como un organismo de naturaleza especial del
nivel descentralizado de la Rama Ejecutiva del orden nacional, con personería
jurídica, autonomía administrativa y financiera, patrimonio independiente,
asimilada a una empresa industrial y comercial del Estado y fueron fijadas las
restantes competencias del organismo junto a su estructura organizacional. El
artículo 2.6.4.1.3 del Decreto 2265 de 2017, por el cual se modifica el Decreto
780 de 2016, establece que la ADRES tiene como objeto administrar los recursos
a que hace referencia el artículo 67 de la Ley 1753 de 2015, los demás ingresos
que las disposiciones de rango legal le asigne; y adoptar y desarrollar los
procesos y acciones para el adecuado uso, flujo y control de los recursos en
los términos señalados en la citada ley, en desarrollo de las políticas y
regulaciones que establezca el Ministerio de Salud y Protección Social y de
acuerdo con lo previsto en el Decreto 1429 de 2016 modificado por los Decretos
546 y 1264 de 2017, o las normas que los modifiquen, o sustituyan. Las
funciones de la ADRES fueron definidas en el artículo 66 de la Ley 1753 de 2015
y en el Decreto 1429 de 2016, por el cual se modificó la estructura de la
Administradora de los Recursos del Sistema General de Seguridad Social en Salud
(ADRES), y se dictaron otras disposiciones. A
su vez, el artículo 6° del Decreto 2462 de 2013, por medio del cual se modifica
la estructura de la Superintendencia Nacional de la Salud, estipula como una de
las funciones de la Superintendencia Nacional de Salud, “adelantar funciones de
inspección, vigilancia y control al Fondo de Solidaridad y Garantía en Salud (Fosyga), o quien administre estos recursos y a los demás en
Salud (SGSSS), incluyendo las normas técnicas, científicas, administrativas y
financieras del Sector Salud”. En
cuanto agente participante en el Sistema de Salud y vigilado de esta
Superintendencia (buscando cumplir con los objetivos previstos en el artículo
39 de la Ley 1122 de 2007), la ADRES debe adoptar las normas, dirigidas al
fortalecimiento técnico, operativo, financiero y administrativo, incluidas en
el modelo de Supervisión Basada en Riesgos (SBR), de la Superintendencia
Nacional de Salud (SNS), quien encabeza el Sistema de Inspección, Vigilancia y
Control (IVC), del sector salud, de acuerdo con la Ley 1122 de 2007. A
este respecto, el artículo 12 de la Ley 1474 de 2011, o Estatuto
Anticorrupción, crea el Sistema Preventivo de Prácticas Riesgosas Financieras y
de Atención en Salud del SGSSS, y ordena a la SNS, entre otras cosas, definir
para sus sujetos vigilados, el conjunto de medidas preventivas para su control,
así como los indicadores de alerta temprana y ejercer sus funciones de IVC
sobre la materia. Asimismo,
el documento “Bases del Plan Nacional de Desarrollo 2014-2018 “Todos por un
nuevo país”, el cual hace parte integral de la Ley 1753 de 2015 de acuerdo a su
artículo 2°, expone en la estrategia transversal “Movilidad Social” (Capítulo
VI), Objetivo 2, Mejorar las condiciones de salud de la población colombiana y
propiciar el goce efectivo del derecho a la salud, en condiciones de calidad,
eficiencia, equidad y sostenibilidad; Objetivo específico, c) Recuperar la
Confianza y la legitimidad en el sistema; que una vez culminada la primera fase
del fortalecimiento de la dimensión de supervisión (funciones de IVC), a partir
de un enfoque de gestión de riesgo, la SNS deberá implementar un modelo de SBR
que establezca para las entidades vigiladas la obligatoriedad de la
identificación de los riesgos y el establecimiento de controles, para que a su
vez la SNS realice la supervisión basada en la evaluación de la gravedad del
impacto, la probabilidad de los riesgos significativos a los que están
expuestas las entidades vigiladas y la efectividad de los controles, con el fin
de anticiparse a situaciones indeseables, no solo desde el punto de vista
financiero en el sistema, sino también en la oportunidad en el flujo y control
de recursos, para iniciar las investigaciones a que haya lugar y determinar las
acciones correctivas correspondientes. A
su vez, los principios y directrices genéricos para la gestión del riesgo en
una organización sin importar su naturaleza, industria y sector se encuentran
establecidas bajo la norma técnica colombiana NTC-ISO 31000, expedida por el
Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), la cual es
una adopción idéntica por traducción de la norma internacional ISO 31000 de 2009. Para
hacer efectivo el Sistema Preventivo de Prácticas Riesgosas Financieras,
mediante el Decreto 2462 de 2013 se modificó la estructura de la SNS y se creó
la Oficina de Metodologías de Supervisión y Análisis de Riesgos y el Despacho
del Superintendente Delegado para la Supervisión de Riesgos; unidades con
funciones concretas de diseño, vigilancia, recolección y análisis de
información relevante para la aplicación de la SBR mediante la identificación y
prevención de riesgos con la incorporación de alertas tempranas. En
este contexto, y en virtud de las funciones asignadas de modo genérico a la
Superintendencia, al Despacho del Superintendente Nacional de Salud, al
Superintendente Delegado para la Supervisión de Riesgos y a la Oficina de
Metodologías de Supervisión y Análisis de Riesgos en el mencionado Decreto, se
expidió la Resolución 4559 de 2018, “por la cual se adopta el modelo de
Inspección, Vigilancia y Control para la Superintendencia Nacional de Salud
para el ejercicio de la supervisión de los riesgos inherentes al Sistema
General de Seguridad Social en Salud”, la cual en su artículo 2° insta a las
entidades vigiladas a implementar un sistema integrado de gestión de riesgos; y
en sus artículos 3° y 4°, establece el mecanismo para hacer exigible el sistema
para cada tipo de vigilado, así como las instrucciones con los lineamientos
mínimos que el mismo debe tener. En
el marco de las actividades cumplidas por ADRES, se somete a la constante
vigilancia de la Superintendencia Nacional de Salud, lo que supone,
complementariamente, la necesidad de implementar un modelo de SBR. En este
marco, se verá expuesta a diversos riesgos inherentes, que deben ser
administrados en un Sistema Integrado de Gestión de Riesgos que promueva el
autocontrol. Este
Sistema Integrado de Gestión de Riesgos debe responder a políticas claras y, a
la vez, debe reflejarse en procesos y procedimientos que materialicen las
estrategias de prevención y control de los riesgos identificados. Asimismo,
este Sistema Integrado de Gestión debe estar constituido como mínimo para los
riesgos prioritarios que seleccionó esta Superintendencia (se desarrollará cada
Subsistema de Administración de Riesgos en detalle en literales posteriores los
cuales harán parte integral del Sistema en su conjunto), además de incorporar
otros riesgos que identifiquen y que se presenten en el desarrollo ordinario de
las actividades de la ADRES. Las
políticas y procedimientos que se adopten deben permitir el eficiente, efectivo
y oportuno funcionamiento del Sistema Integrado de Gestión de Riesgos de la
ADRES, y traducirse en reglas de conducta y directrices que orienten la
actuación de la entidad y sus empleados. El
Sistema Integrado de Gestión de Riesgos deberá permitir a la ADRES la adopción
de decisiones oportunas para la adecuada gestión de los riesgos, de acuerdo con
los niveles de tolerancia al riesgo que no afecten de manera negativa el
cumplimiento de los objetivos misionales de la Entidad de acuerdo a sus
políticas y en función a su estructura, tamaño, complejidad de las actividades,
naturaleza, y demás características particulares, siempre dentro de los
parámetros que la normatividad y el adecuado desarrollo de su objeto social, lo
permita. Asimismo, debe permitir incorporar acciones correctivas a tiempo,
dirigidas a mejorar los resultados operativos y financieros de la entidad, la
satisfacción de los usuarios, la estabilidad de los agentes del sector y la
confianza de la población en el sistema. Como
se mencionó anteriormente, los elementos y procedimientos mínimos que se deben
tener en cuenta en el ciclo de gestión para cada uno de los riesgos
prioritarios estipulados por esta Superintendencia se desarrollarán en los
siguientes literales. Es
así, como este Sistema Integrado de Gestión de Riesgos debe estar alineado con
los planes estratégicos que tenga la entidad. Sin embargo, se precisa que la
SNS llevará a cabo un seguimiento más minucioso a los Subsistemas de
Administración de los riesgos que priorizó, con fines de supervisión. Estos
Subsistemas de Administración de Riesgos de forma individual deben permitirle a
la ADRES identificar, evaluar, medir, controlar y monitorear eficazmente como
mínimo los riesgos prioritarios a los que está expuesta en desarrollo de sus
operaciones, para mejorar la oportunidad en el giro de los recursos del SGSSS,
la satisfacción de los usuarios, la estabilidad financiera del sistema,
fortalecer la confianza de la población en los componentes de salud del Sistema
General de Seguridad Social (SGSSS), y prevenir posibles impactos negativos. De
acuerdo con lo anterior, por medio de la presente circular se busca establecer
los lineamientos generales (criterios, parámetros y recomendaciones mínimas),
que la ADRES debe tener en cuenta en el diseño, implementación y funcionamiento
de su Sistema Integrado de Gestión de Riesgos y de los Subsistemas de
Administración para cada uno de los riesgos priorizados por la SNS. Asimismo,
la evaluación de los riesgos de la entidad permite identificar los principales
determinantes de los eventos de riesgo, el impacto de los riesgos inherentes y
la correspondencia y efectividad de los controles implementados, y de esta
forma, cumplir con los objetivos misionales, al identificar alertas tempranas
de los eventos de riesgo y adoptar medidas correctivas y preventivas. Adicionalmente,
por medio de la implementación del Sistema Integrado de Gestión de Riesgos, se
busca: • Incrementar la probabilidad de prevenir y
detectar que los eventos de mayor impacto (operativos, administrativos,
financieros, entre otros), se materialicen. •
Fomentar una cultura de autocontrol y de gestión de riesgos por parte de los
vigilados, de manera que esta sea una política de gobierno organizacional que
se interiorice en toda la estructura de la entidad, incluyendo políticas de
control interno. •
Generar condiciones de estabilidad operativa y financiera de las instituciones
a través de la implementación de Subsistemas de Administración de Riesgos
estratégicamente diseñados e implementados, y debidamente documentados mediante
Políticas de Gestión de Riesgo y manuales de procesos y procedimientos donde se
incluyan metodologías de valoración de los riesgos. Lo anterior en concordancia
con las políticas establecidas por el Departamento Administrativo de la Función
Pública (DAFP), y las funciones de los Órganos de Control de la entidad como
evaluadores. •
Robustecer la infraestructura de supervisión dentro de la ADRES, encaminada a
fortalecer el control y gestión de riesgos al interior de la institución. •
Promover la cultura institucional hacia una supervisión y administración basada
en riesgos que desarrolle habilidades evaluativas sobre la calidad de la
gestión de los riesgos por parte de la ADRES. •
Extender el compromiso y responsabilidad de la Junta Directiva frente a la adecuada
gestión de los riesgos, además de establecer criterios de idoneidad y
reputación para la Alta Gerencia. •
Estimular la transparencia, la calidad, la preservación de la información y la
mejora continua en todos los procesos relacionados, como insumo fundamental
para la gestión de los diversos riesgos. •
Impulsar las mejores prácticas de Gobierno Organizacional e incorporar e
interiorizar el Código de Conducta y Buen Gobierno en todas las instancias de
las organizaciones que hacen parte del sector de la salud. Cabe
resaltar que los lineamientos generales contenidos en la presente circular son
los mínimos que debe incorporar el Sistema Integrado de Gestión de Riesgos y
los Subsistemas de Administración de Riesgos y son complementarios al marco
normativo vigente. Por lo tanto, estos no sustituyen ni reemplazan las
metodologías o instrumentos adoptados por la ADRES para administrar los riesgos
que a la fecha la entidad esté gestionando y la implementación de las
categorías que se definen en la presente Circular. III.
Ámbito de aplicación La
presente Circular Externa aplica integralmente a la Administradora de los
Recursos del Sistema General de Seguridad Social en Salud (ADRES), vigilada por
la Superintendencia Nacional de Salud. Asimismo, se encuentra dirigida al
representante legal, la Alta Gerencia a través de la Junta Directiva,
administradores, directores, jefes de oficina, o quienes hagan sus veces y
demás funcionarios responsables de la administración de dicha entidad. IV.
Modificaciones a)
Modifíquese el Título VI Fondo de Solidaridad y Garantia
(Fosyga), de la Circular Única así: “Título
VI Administradora de los Recursos del Sistema General de Seguridad Social en
Salud (ADRES) A) Definiciones Para
efectos de la correcta aplicación de lo previsto aquí, se recurrirá a la
formulación de las definiciones para el entendimiento e interpretación de los
lineamientos generales del Sistema Integrado de Gestión de Riesgos y los
Subsistemas desarrollados en el presente instrumento. • Administrador: De acuerdo con el
artículo 22 de la Ley 222 de 1995, “son administradores el representante legal,
el liquidador, el factor, los miembros de juntas, o consejos directivos y
quienes de acuerdo con los estatutos ejerzan o detenten esas funciones”. El
administrador debe obrar de buena fe, con lealtad y con la diligencia de un
buen hombre de negocios. Sus actuaciones se cumplirán en interés de la
sociedad, teniendo en cuenta los intereses de sus asociados, y en el
cumplimiento de su función, deben realizar como mínimo las expresadas en el
artículo 23 de la mencionada ley. • Ciclo general de
gestión de riesgo:
Son las etapas que incorpora un Subsistema de Administración de Riesgos para
cada uno de los tipos o categorías de riesgo identificadas. • Conflicto de interés: Se considera que
existe un conflicto de interés cuando por una situación de control, influencia
directa o indirecta entre entidades, personas naturales o jurídicas; se
realicen operaciones, transacciones, decisiones, traslado de recursos,
situaciones de ventaja, mejoramiento en la posición de mercado, competencia
desleal, desviaciones de recursos de seguridad social, o cualquier situación de
hecho, o de derecho que desequilibre el buen funcionamiento financiero,
comercial, o de materialización del riesgo al interior del sector. Estos
desequilibrios tienen su fundamento en un “interés privado”, que motiva a
actuar en contravía de sus obligaciones y puede generar un beneficio personal,
comercial o económico para la parte que incurre en estas conductas. • Controles: Medidas prudenciales y
correctivas que ayudan a contrarrestar la exposición a los diferentes riesgos.
Entre estas se encuentra la implementación de políticas, procesos, prácticas u
otras estrategias de gestión. • Cultura de
autocontrol:
Concepto integral que agrupa todo lo relacionado con el ambiente de control,
gestión de riesgos, sistemas de control interno, información, comunicación y
monitoreo. Permite a la entidad contar con una estructura, unas políticas y
unos procedimientos ejercidos por toda la organización (desde la Junta
Directiva y la Alta Gerencia, hasta los propios empleados), los cuales pueden
proveer una seguridad razonable en relación con el logro de los objetivos de la
entidad. • Evento reputacional: Ocurrencia o acción que tiene el potencial de
afectar la reputación de la entidad. Estas acciones pueden ser fundadas o
infundadas. • Factores de riesgo: Fuentes generadoras de
riesgos, tanto internas como externas a la entidad y que pueden o no llegar a
materializarse en pérdidas. Cada riesgo identificado se encuentra originado por
diferentes factores de riesgo que pueden estar entrelazados unos con otros. • Financiación del
terrorismo:
Delito que comete toda persona que incurra en alguna de las conductas descritas
en el artículo 345 del Código Penal. • Gestión de Riesgo: Es un enfoque
estructurado y estratégico liderado por la Alta Gerencia, acorde con las
políticas de gobierno organizacional de la entidad, por medio del cual se busca
implementar un conjunto de acciones y actividades coordinadas para disminuir la
probabilidad de ocurrencia, o mitigar el impacto de un evento de riesgo
potencial (incertidumbre), que pueda afectar los resultados y, por ende, el
logro de los objetivos de la entidad, así como el cumplimiento de los objetivos
en el SGSSS, o sus obligaciones. Dentro de este conjunto de acciones se
incluye, entre otros, el ciclo general de gestión de riesgo. • Lavado de activos: Proceso mediante el
cual organizaciones criminales buscan dar apariencia de legalidad a los recursos
generados (bienes o dinero), provenientes de alguna de las actividades ilícitas
descritas en el artículo 323 del Código Penal. • Pruebas de desempeño
o de autocomprobación (Back Testing): Se desarrolla para
evaluar y calibrar la consistencia y confiabilidad de la medición de los
indicadores de riesgos estimados por parte del modelo que se está utilizando,
mediante la comparación de los resultados que el modelo arrojó, frente a los
resultados observados. De esta manera se pueden identificar y ajustar los
supuestos, parámetros y demás elementos que hacen parte del modelo de cálculo. • Pruebas de tensión
(Stress Testing): Herramienta de diagnóstico donde bajo
varios escenarios de estrés, se simulan diferentes choques extremos a los
factores de riesgo para evaluar su sensibilidad e impacto, además de la
capacidad de respuesta que la entidad tiene para enfrentarlos. Busca
identificar fortalezas y vulnerabilidades de los Subsistemas de Administración
de Riesgos de manera individual para cada riesgo, y así la entidad pueda
comprender mejor sus propios perfiles de riesgo y validar los límites
establecidos. • Reputación: Percepción agregada
que sobre una organización tienen los agentes relacionados con ella, sean estos
clientes, accionistas, grupos de interés, partes vinculadas, o público en
general, la cual tiene el potencial de afectar la confianza en la entidad,
influenciando su volumen de negocios, y su situación general. Esta puede variar
por factores tales como el desempeño, escándalos, menciones en prensa, entre
otros. • Riesgo: Posibilidad que ocurra
un evento que pueda afectar negativamente el cumplimiento de la operación de la
Entidad y que atenten contra los objetivos del SGSSS. Riesgo inherente: Cualquier nivel de
riesgo propio de la actividad, cuya evaluación se efectúa sin considerar el
efecto de los mecanismos de mitigación y de control. • Riesgo residual: Es el nivel de riesgo
que resulta luego de la aplicación de las medidas de control o mitigación
existentes a los riesgos inherentes. • Riesgo neto global: Resultado de la
combinación de cada uno de los riesgos residuales de la entidad, teniendo en
cuenta la importancia relativa que a cada categoría de riesgo le haya asignado
la Entidad. • Unidad de Información
y Análisis Financiero (UIAF): Es el organismo de inteligencia económica y
financiera de Colombia que centraliza, sistematiza y analiza la información
suministrada por las entidades reportantes y fuentes
abiertas, para prevenir y detectar posibles operaciones de lavado de activos,
financiación del terrorismo y sus delitos fuente. B)
Componentes y Lineamientos Generales del Sistema Integrado de Gestión de
Riesgos y sus Subsistemas La
ADRES debe tener la capacidad institucional para identificar, evaluar,
controlar y mitigar los riesgos que puedan afectar el logro de sus objetivos y,
especialmente, el cumplimiento de los objetivos del SGSSS, y sus obligaciones
contractuales. Como
se mencionó anteriormente, la ADRES debe gestionar todos los riesgos a los que
esté expuesta dentro de su operación, y dependerán de la discrecionalidad y
organización que la entidad les quiera dar para su tratamiento. Sin embargo,
deberá contemplar, al menos, los siguientes riesgos prioritarios y sus
respectivos subsistemas de administración: I.
Riesgo Operacional II.
Riesgo de Lavado de Activos, Financiación del Terrorismo y Corrupción III.
Riesgo de Crédito IV.
Riesgo de Liquidez V.
Riesgo de Mercado Si
a la fecha la ADRES ya cuenta con políticas, procedimientos y Subsistemas de
prevención y control adoptados para gestionar estos riesgos prioritarios,
deberá examinarlas a la luz de los parámetros y lineamientos mínimos dispuestos
en la presente Circular y realizar las modificaciones a que haya lugar. Tanto
el Sistema Integrado de Gestión de Riesgos como los Subsistemas que lo componen
deben contar al menos con los siguientes elementos mínimos: i) Ciclo General de
Gestión de Riesgos, ii) Políticas, iii) Procesos y Procedimientos, iv)
Documentación, v) Estructura Organizacional, vi) Infraestructura Tecnológica, y
vii) Divulgación de la Información, y viii) Capacitaciones. Es
deber de la entidad revisar periódicamente las etapas que comprenden el ciclo y
los elementos que hacen parte de cada Subsistema, con el fin de realizar los
ajustes que consideren necesarios para su efectivo, eficiente y oportuno
funcionamiento. Lo anterior con el fin de que se tenga en cuenta en todo
momento las condiciones particulares de la entidad y las del mercado en
general. Tal
como se listaron anteriormente, para efectos de la implementación del Sistema
Integrado de Gestión de Riesgos al interior de la ADRES, como mínimo se debe
tener en cuenta los elementos generales que a continuación se desarrollan para
cada uno de los Subsistemas de Administración de Riesgos: 1. CICLO GENERAL DE
GESTIÓN DE RIESGOS Para
cada una de las categorías de riesgo a supervisar por esta Superintendencia, se
incluyen las siguientes etapas en los Subsistemas de Administración de Riesgos: • Identificación de
riesgos:
Consiste en reconocer, explorar exhaustivamente y documentar todos los riesgos
internos y externos que podrían afectar tanto los objetivos de la entidad,
identificando sus causas, efectos potenciales y la posible interrelación entre
los diferentes tipos de riesgos, para lo cual se recomienda la utilización de
normas técnicas nacionales, o internacionales. Para
esta identificación, la ADRES podrá seleccionar las metodologías y técnicas que
considere más adecuadas, dentro de las que se encuentran estudios científicos,
encuestas, entrevistas estructuradas con expertos, talleres, lluvia de ideas,
técnicas de escenarios, entre otros. • Evaluación y medición
de riesgos:
Es la valoración de los efectos asociados a los riesgos que han sido
identificados, considerando la frecuencia y la severidad de su ocurrencia.
También se deberá considerar el análisis de los riesgos inherentes y
residuales, y su participación en el riesgo neto global. Se entenderá por
valoración del riesgo, la medida cualitativa o cuantitativa, de su probabilidad
de ocurrencia y su posible impacto. En
la medida en que avance el plan de implementación del modelo de Supervisión
Basada en Riesgos, la entidad deberá contar con evaluaciones cuantitativas
relacionadas con la probabilidad de ocurrencia de los riesgos identificados y
su impacto. Independientemente de contar con modelos cuantitativos o
cualitativos, estos deben estar sustentados técnicamente y documentados. Es
así como para la evaluación y medición de cada uno de los riesgos
identificados, la entidad debe contar con información suficiente, completa y de
calidad para generar los mejores pronósticos. Si la entidad no cuenta con
información suficiente, esta debe establecer mecanismos para tener estimaciones
consistentes para cada uno de los riesgos asumidos y deberá documentar las
hipótesis y supuestos de sus modelos, así como la información que se tuvo en
cuenta para su cálculo, mientras logra obtener la información requerida y
necesaria. • Selección de
estrategias para el tratamiento y control de los riesgos: Una vez identificados
y evaluados los riesgos, deben compararse con los límites (tolerancia), de
riesgos aprobados por la instancia definida en el Gobierno Organizacional de la
entidad y su política de riesgos, siempre dentro del marco normativo como
referencia. Todo riesgo que exceda los límites, o desviaciones aceptadas debe
ser objeto de actividades de mitigación y control, a fin de regresar al nivel
de riesgo tolerado, conforme la estrategia adoptada. Se
deben determinar las acciones tendientes a gestionar los riesgos a los que se
ve expuesta la entidad, de acuerdo con los niveles de riesgo determinados y las
tolerancias al riesgo definidas. Todas
las acciones de gestión del riesgo deberán identificar formalmente
responsables, plazos, formas de ejecución, y reportes de avances. Asimismo,
deberán estar aprobadas por la instancia del Gobierno Organizacional que
corresponda. • Seguimiento y
monitoreo:
Una vez establecidos los posibles mecanismos, o un conjunto de estos para la
mitigación y control de los riesgos que se han identificado como relevantes
para la entidad y después de realizar un análisis de causa y efecto para
determinar los puntos más críticos a intervenir con mayor prelación, la entidad
deberá poner en práctica tales mecanismos y reflejarlos en un plan de implementación
de las acciones planteadas en la fase anterior, guardando correspondencia con
las características particulares de cada entidad, teniendo en cuenta el grado
de complejidad, el tamaño y el volumen de sus operaciones. Con
el fin de realizar el respectivo seguimiento y monitoreo permanente y continuo
de la evolución de los perfiles de riesgo y la exposición frente a posibles
pérdidas a causa de la materialización de cada uno de los riesgos
identificados, la entidad debe desarrollar un sistema de alertas tempranas que
facilite la rápida detección, corrección y ajustes de las deficiencias en cada
uno de sus Subsistemas de Administración de Riesgo para evitar su
materialización. Esto con una periodicidad acorde con los eventos y factores de
riesgo identificados como potenciales, así como con la frecuencia y naturaleza
de los mismos. El diseño de dicho sistema de alertas debe incluir la definición
de los límites máximos de exposición, o niveles aceptables de riesgo
previamente establecidos por la entidad teniendo en cuenta los análisis
realizados, la normatividad vigente y los criterios definidos en la política de
gestión de riesgo de cada entidad. Las
mediciones de riesgos esperadas, los riesgos derivados y sus controles deben
ser contrastados regularmente con la realidad observada, de forma tal que
permita establecer si los Subsistemas de Administración de Riesgos han logrado
su mitigación y la corrección oportuna y efectiva de eventuales deficiencias.
De esta manera la entidad debe contar con indicadores de gestión para hacer
seguimiento a la administración de los riesgos residuales y netos, y que estos
a su vez se encuentran y se mantengan en los niveles de aceptación previamente
establecidos por la entidad. De
llegarse a presentar desviaciones o que se superen los límites previamente
establecidos, se deben establecer planes de contingencia para intervenir y
tratar los diferentes riesgos, teniendo en cuenta la variabilidad de los
riesgos identificados, con el propósito de ajustar las desviaciones lo más
pronto posible. Todas las acciones y actividades incluidas en estos planes
deben contener la definición de los estándares de seguimiento y monitoreo,
además de contar con un responsable, plazos, periodicidad, reportes de avance y
de evaluaciones periódicas sobre las estrategias seleccionadas que incluyan el
monitoreo de los indicadores propuestos para el seguimiento de las acciones de
gestión del riesgo planteadas, los cuales deben ser definidos mediante un
cronograma y ser objeto de un proceso de verificación y calidad de la
información. En
esta etapa cobra importancia la implementación de mecanismos de
retroalimentación donde se promueva la comunicación dinámica y continua y la
entrega de los reportes gerenciales y de monitoreo donde se evalúen los resultados
obtenidos, su evolución y la ejecución de los controles y estrategias
implementadas para mejorar el desempeño en la mitigación de los factores de
riesgo en cada uno de los Subsistemas de Administración de Riesgos, y que van
dirigidos a todos los involucrados tanto externos como internos, en especial a
los órganos de seguimiento definidos por el Gobierno Organizacional de cada
entidad. Lo anterior determina la necesidad de implementar planes de mejora en
donde se desarrollen estrategias de incorporación de cambios para mejorar los
resultados en la gestión de riesgos de la entidad. 2. POLÍTICAS DE GESTIÓN
DE RIESGOS La
ADRES debe adoptar, en relación con el marco de su Sistema Integrado de Gestión
de Riesgos, como mínimo las políticas o lineamentos generales que permitan el
desarrollo del ciclo de la gestión de los riesgos prioritarios de forma
eficiente y oportuna. Cada una de las etapas y elementos para cada uno de los
Subsistemas de Administración de Riesgos deben contar con políticas claras y aplicables.
Estas Políticas de Gestión de Riesgos deberán ser adoptadas por la Junta
Directiva, las cuales deben establecer los mecanismos y controles necesarios
para asegurar el cumplimiento de dichas políticas y de las normas que le son
aplicables al proceso de gestión de cada riesgo inherente. Las
Políticas de Gestión de Riesgos deben ser revisadas periódicamente y con una
periodicidad mínima anual, con el fin de actualizarlas a las condiciones
particulares de la entidad y a las del mercado en general. Tanto la aprobación
como las modificaciones que se efectúen a dichas políticas, deben tener
constancia en acta de la Junta Directiva, o el comité de riesgos, tal como se
menciona más en detalle en el numeral 4 del literal b) del Título VI de la
Circular Única. Asimismo,
estas políticas deben ser conocidas por todos los funcionarios de la
organización y se deben establecer mecanismos de comunicación que permitan que
los profesionales a cargo de las funciones de la gestión de los diversos
riesgos conozcan los hechos que pueden impactar sus funciones. Las
políticas que se adopten para la administración de cada uno de los Subsistemas
de Administración de Riesgos deben contemplar como mínimo, los siguientes
aspectos en su diseño y operación: a)
Establecer los elementos necesarios para garantizar la alineación de la
planeación estratégica institucional (objetivos y compromisos de la entidad),
frente al contexto normativo en materia de la gestión de los diversos riesgos. b)
Instaurar una cultura de autocontrol, autorregulación, autogestión y
mejoramiento continuo en todos los niveles de la Entidad, inspirada y liderada
por la Junta Directiva, que oriente el desarrollo de competencias en la gestión
de riesgos. c)
Comunicar a todos los niveles de la organización sobre la política de gestión
de riesgos establecida. d)
Fijar lineamientos de ética y conducta que orienten el actuar de los
funcionarios de la entidad para el oportuno y efectivo funcionamiento de cada
uno de los Subsistemas de Administración de Riesgos. Debe hacerse constancia
por escrito de estas políticas e incorporarse en el Código de Conducta y Buen
Gobierno (previsto en el artículo 8° numeral 11 del Decreto-ley 1429 de 2011),
que debe incluir disposiciones sobre la confidencialidad de la información, manejo
de información privilegiada y conflictos de interés. En todo caso, si se
hubiera adoptado este instrumento, deberá ajustarse a los lineamientos de la
presente circular. e)
Generar la documentación interna y externa necesaria para la adecuada gestión
de los riesgos. Entre ellos se encuentran los manuales, instructivos, volantes,
intranet, páginas web, entre otros. f)
Identificar los factores y actores (usuarios, clientes y/o contrapartes,
socios, trabajadores, empleados, proveedores, entre otros), tanto externos como
internos, que puedan afectar los objetivos de una adecuada implementación del
Sistema Integrado de Gestión de Riesgos en la Entidad, y de esta manera
poderlos trabajar de forma independiente. g)
Especificar de manera clara y precisa los criterios para cada una de las etapas
del ciclo de gestión de riesgo en cada riesgo identificado. h)
Determinar la directriz institucional en materia de la exposición frente a los
riesgos prioritarios, reflejando su nivel máximo de tolerancia, acorde con las
metodologías, para definir las escalas de calificación establecidas por la
entidad. i)
Disponer los criterios para la definición de límites frente a posibles pérdidas
y a niveles máximos de exposición frente a los distintos tipos de riesgos. j)
Instaurar los procedimientos a seguir en caso de que se presenten
comportamientos aislados, desviaciones, se sobrepasen los límites, o se
presente el incumplimiento a alguna de las políticas previamente establecidas
por la entidad bajo un análisis autónomo, al enfrentar cambios fuertes e
inesperados en las condiciones de la entidad. k)
Iniciar las acciones necesarias y oportunas en respuesta a los cambios en el
perfil de riesgo de la Entidad. l)
Establecer la periodicidad de revisión de la política, con la que se ajusten en
todo momento a las condiciones particulares de la entidad y a las del sector en
general. m)
Efectuar un monitoreo periódico al cumplimiento de los lineamientos de los
Subsistemas de Administración de Riesgos y el comportamiento de cada uno de los
riesgos prioritarios. n)
Fijar políticas de información y bases de datos. La entidad deberá incluir en
sus políticas, los criterios de seguridad y calidad de la información de todas
y cada una de sus operaciones, así como de la información remitida a la
Superintendencia Nacional de Salud y demás entidades públicas, en los
diferentes formatos, además de las respuestas a los requerimientos exigidos. o)
Instaurar políticas para garantizar que se cuente con información adecuada para
la cuantificación de los diferentes riesgos. En caso de no contar con la
información suficiente, se debe establecer un plan de acción, en donde se
identifiquen los plazos y las actividades que se realizarán para contar con
dicha información. p)
Garantizar que cuando se presenten cambios en las metodologías de
cuantificación de los diferentes riesgos, se evalúe el impacto y se documenten
dichos cambios de una manera adecuada. q)
Establecer los lineamientos del sistema de control interno y el monitoreo
frente a los diferentes riesgos. r)
Definir los criterios y los tipos de reportes gerenciales y de monitoreo, tanto
internos como externos, así como la forma y frecuencia de la presentación de
los resultados de la administración de los diferentes riesgos. s)
Precisar los parámetros generales de la infraestructura tecnológica y el equipo
técnico necesario para el adecuado funcionamiento de la gestión de riesgos. t)
Conformar un Comité de Gestión de Riesgos en los términos del numeral 5.3 del
presente literal. u)
Designar, de acuerdo con su estructura, un área especializada en la gestión de
riesgos de la entidad. Sin perjuicio de la conformación de esta instancia, la
ADRES debe velar por una adecuada estructura organizacional que permita una
apropiada administración del Sistema Integrado de Gestión de Riesgos y de sus
Subsistemas, de acuerdo con las funciones establecidas en el numeral 5.5 del
presente literal. 3. PROCESOS Y
PROCEDIMIENTOS PARA LA GESTIÓN DE RIESGOS La
ADRES debe establecer los procesos y procedimientos que instrumenten la
Política de Gestión de Riesgos y que sean aplicables para la adecuada
implementación y funcionamiento de cada uno de sus Subsistemas de
Administración de Riesgos. Los
procesos y procedimientos que se adopten deben cumplir, como mínimo, con los siguientes
requisitos: a)
Instrumentar las diferentes etapas del ciclo general de riesgos y los elementos
específicos de los diferentes Subsistemas de Administración de Riesgos. b)
Garantizar el efectivo, eficiente y oportuno funcionamiento de cada uno de los
Subsistemas de Administración de Riesgos, de modo que se puedan adoptar
oportunamente los correctivos necesarios. c)
Contemplar las acciones a seguir en caso de incumplimiento de los límites
fijados y los casos en los cuales se deban solicitar autorizaciones especiales. d)
Generar informes internos y externos, que permitan la toma de decisiones de
manera oportuna en todas las instancias de la organización. e)
Certificar que las actividades de control del cumplimiento de los límites de
los riesgos económicos y financieros sean llevadas a cabo por un área funcional
diferente al área de tesorería. 4. DOCUMENTACIÓN PARA
LA GESTIÓN DE RIESGOS Las
etapas del ciclo general de riesgos y los elementos específicos de los
diferentes Subsistemas de Administración de Riesgos deben quedar plasmados en
documentos y registros, garantizando la integridad, oportunidad, trazabilidad,
confiabilidad y disponibilidad de la información allí contenida. Los
procesos y procedimientos, mencionados en el anterior numeral, se deben adoptar
y plasmar mediante manuales, en los cuales deben quedar claramente definidas
las funciones, responsabilidades y atribuciones específicas para cada uno de
los funcionarios de los diferentes órganos de dirección, administración y
control involucrados en la administración de los diversos riesgos. Estos
manuales deben contener como mínimo lo siguiente: a)
Las políticas para la administración de cada uno de los riesgos. b)
Las metodologías y procedimientos para la identificación, medición, control y
monitoreo de los riesgos identificados. A su vez, el establecimiento de los
niveles de aceptación y límites de exposición. c)
La descripción de cómo la estructura organizacional, de acuerdo con lo definido
legalmente, garantiza el desarrollo de cada uno de los Subsistemas de
Administración de Riesgos y fortalece el Sistema Integrado de Gestión de
Riesgos de la entidad. d)
Los roles y responsabilidades de quienes participan en la gestión de los
diversos riesgos identificados. e)
Las medidas necesarias para asegurar el cumplimiento de las políticas y
objetivos de cada uno de los Subsistemas de Administración de Riesgos. f)
Los procesos y procedimientos que deben implementar los órganos de control
interno frente a cada uno de los Subsistemas de Administración de Riesgos. g)
Las estrategias de capacitación y divulgación de cada uno de los Subsistemas de
Administración de Riesgos. Asimismo,
la entidad debe mantener, en todo momento y a disposición de la
Superintendencia Nacional de Salud, la documentación de que trata la presente
Circular y debe tener en cuenta como mínimo lo siguiente: a)
Las actas de Junta Directiva o del Comité de Riesgos, donde conste la
aprobación de las políticas de cada uno de los Subsistemas de Administración de
Riesgos, así como las actas correspondientes a la aprobación de los ajustes, o
modificaciones que se efectúen a dichas políticas. b)
Los instructivos o manuales que contengan los procesos y procedimientos a
través de los cuales se llevan a la práctica las políticas aprobadas para cada
uno de los Subsistemas de Administración de Riesgos. Estos documentos deberán
ser firmados por el Representante Legal y ser de fácil consulta y aplicación al
interior de la organización. c)
El Código de Conducta y Buen Gobierno de la entidad. d)
Los informes presentados por la Junta Directiva, o quien haga sus veces, el
Representante Legal y el Comité de Riesgos. Entre estos debe encontrarse un
reporte sobre el cumplimiento de los límites y del nivel de exposición de los
diferentes riesgos. e)
Los informes presentados por los órganos de control de la entidad, sobre el
funcionamiento y resultados de la implementación de cada uno de los Subsistemas
de Administración de Riesgos. f)
Las actas de Junta Directiva en donde conste la presentación del informe del
Comité de Riesgos. g)
Las actas del Comité de Riesgos, y los reportes a la Junta Directiva y al
Representante Legal. h)
Las constancias de las capacitaciones impartidas a todos los empleados, socios,
directivos, administradores y cualquier otra persona que tenga vinculación con
la entidad sobre el Sistema Integrado de Gestión de Riesgos, con el fin de
asegurar que sean entendidas e implementadas en todos los niveles de la
organización. i)
Los documentos y registros que evidencien el funcionamiento oportuno, efectivo
y eficiente de cada uno de los Subsistemas de Administración de Riesgos. j)
Las metodologías, parámetros, fuentes de información y demás elementos
utilizados para la medición de cada uno de los riesgos. k)
El procedimiento a seguir en caso de incumplimiento a los límites
preestablecidos en cada uno de los Subsistemas de Administración de Riesgos. l)
Disponer de un respaldo físico, o en medio magnético de la documentación
mencionada en este numeral. m)
Establecer requisitos de seguridad, de forma tal, que se permita la consulta a
información sensible, únicamente por parte de funcionarios autorizados. n)
Determinar criterios y procesos de manejo, guarda y conservación de la
información. Tanto
las políticas, como el manual de procesos y procedimientos de la entidad, las
actas donde se apruebe el diseño, implementación o modificación de las
políticas, las bases de datos utilizados para la modelación de los diversos
riesgos, y demás información, documentación y lineamientos que estén
referenciados en esta Circular, deben estar a disposición de la
Superintendencia Nacional de Salud para ser revisados y validar que cumplen con
lo establecido en la presente Circular. Asimismo, la SNS en virtud de sus
funciones de IVC, podrá requerir dicha información en cualquier momento. 5. ESTRUCTURA
ORGANIZACIONAL La
ADRES debe desarrollar y mantener, siguiendo el régimen previsto en sus normas
de creación (Ley 1753 de 2016 y Decreto-ley 1429 de 2011), y régimen (Ley 489
de 1998), una estructura organizacional apropiada para la administración del
Sistema Integrado de Gestión de Riesgos de acuerdo con su tamaño, estructura,
actividad económica y demás características particulares. De igual forma, deben
quedar claramente asignadas las responsabilidades de las diferentes personas y
áreas involucradas en los respectivos procesos y procedimientos, y establecer
reglas internas dirigidas a prevenir y sancionar conflictos de interés, a
controlar el uso y a asegurar la reserva de la información. Sin
perjuicio de las responsabilidades y obligaciones que se encuentren
establecidas en otras disposiciones legales, estatutarias, o en reglamentos,
para el diseño y adopción de cada uno de los Subsistemas de Administración de
Riesgos, se deben establecer como mínimo las siguientes actividades a cargo de
los órganos de dirección y administración de la entidad: 5.1. Junta Directiva De
la implementación de cada uno de los Subsistemas de Administración de Riesgos
de la entidad, y en desarrollo de las funciones asignadas a la Junta Directiva
de la ADRES, por el artículo 8° del Decreto 1429 de 2016, o normas que lo
modifiquen o sustituyan, se derivan las siguientes actividades: a)
Aprobar las políticas de la entidad en materia de administración de todos los
riesgos que pueden afectar los objetivos de la entidad. b)
Aprobar el Código de Conducta y Buen Gobierno, el sistema de control interno,
la estructura organizacional y tecnológica del Sistema Integrado de Gestión de
Riesgos. c)
Aprobar el manual de procedimientos y sus actualizaciones. d)
Aprobar el diseño y definir la periodicidad de los informes internos para los
reportes de la gestión de riesgos que se van a presentar a las diferentes áreas
de la entidad. e)
Garantizar los recursos técnicos y humanos que se requieran para implementar y
mantener en funcionamiento el Sistema Integrado de Gestión de Riesgos, teniendo
en cuenta las características de cada riesgo, el tamaño y la complejidad de la
entidad. f)
Realizar el nombramiento del Comité de Riesgos, definir sus funciones y aprobar
su reglamento, de acuerdo con las normas legales que le apliquen. g)
Pronunciarse y hacer seguimiento sobre la información presentada por el Comité
de Riesgos y los órganos de control de la entidad, respecto a los niveles de
riesgo asumidos por la entidad, las medidas correctivas aplicadas para que se
cumplan los límites de riesgo previamente establecidos y las observaciones o
recomendaciones adoptadas para el adecuado desarrollo de cada uno de los
Subsistemas de Administración de Riesgo. h)
Designar la(s) instancia(s) responsable(s) del diseño de las metodologías,
modelos e indicadores cualitativos y/o cuantitativos de reconocido valor
técnico para la oportuna detección de la exposición a los riesgos de los
subsistemas incluidos en el presente capítulo, como mínimo. i)
Aprobar las metodologías, modelos e indicadores cualitativos y/o cuantitativos
de reconocido valor técnico para la oportuna detección de operaciones inusuales
y de exposición a los riesgos prioritarios, como mínimo. j)
Monitorear el cumplimiento de los lineamientos de los diferentes Subsistemas de
Administración de Riesgos promoviendo su continuo fortalecimiento y que la toma
de decisiones esté en función de la selección e implementación de las
estrategias para el tratamiento y control de los diversos riesgos y de su
comportamiento. 5.2. Representante
Legal De
la implementación de cada uno de los Subsistemas de Administración de Riesgos,
y en desarrollo de las funciones asignadas al Director General de la ADRES, por
el artículo 9° del Decreto 1429 de 2016, o normas que lo modifiquen, o
sustituyan, se derivan las siguientes actividades: a)
Apoyar y garantizar el efectivo cumplimiento de las políticas definidas por la
Junta Directiva. b)
Adelantar un seguimiento permanente del cumplimiento de las funciones del
Comité de Riesgos y mantener informada a la Junta Directiva. c)
Conocer y discutir los procedimientos a seguir en caso de sobrepasar, o exceder
los límites de exposición frente a los riesgos, así como los planes de
contingencia a adoptar respecto de cada escenario extremo. d)
Velar por que se dé cumplimiento a los lineamientos establecidos en el Código
de Conducta y Buen Gobierno de la entidad en materia de conflictos de interés y
uso de información privilegiada que tengan relación con el Sistema Integrado de
Gestión de Riesgos. e)
Informar de manera oportuna mediante Oficio a la Superintendencia Nacional de
Salud, acerca de cualquier situación excepcional que se presente, o prevea que
pueda presentarse en el ámbito de la administración de los riesgos
prioritarios, de las causas que la originan y de las medidas que se propone
poner en marcha por parte de la entidad para corregir o enfrentar dicha
situación, si procede. 5.3 Comité de Riesgos De
manera obligatoria y sin perjuicio del cumplimiento de otras disposiciones, la
ADRES debe contar con un Comité de Riesgos, cuyos miembros deben ser nombrados
por la Junta Directiva, los cuales deben contar con capacidades idóneas y
conocimientos en gestión de riesgos. El
Comité de Riesgos desarrollará como mínimo las siguientes actividades: a)
Coordinar la administración directa, o a través de fiducia, o cualquier otro
mecanismo financiero de administración de recursos, el portafolio de
inversiones con criterios de seguridad, liquidez y rentabilidad, de acuerdo con
las políticas definidas para la Administradora de los Recursos del Sistema
General de Seguridad Social en Salud. b)
Aprobar o modificar las políticas relacionadas al manejo del portafolio de
inversiones de los recursos del SGSSS, entre estas: Lineamientos de
Inversiones, límites de inversión del portafolio, metodología de cupos y
asignación de contrapartes, límites de cupos, o los que el comité requiera para
el buen manejo de dichos recursos. c)
Analizar las oportunidades de inversión orientado a la identificación de los
activos más adecuados para poder realizar operaciones, renovación de
vencimientos de operaciones y sustitución de activos, identificando las mejores
alternativas desde una perspectiva de rentabilidad y riesgo, que engranen con
los objetivos estratégicos de la entidad. d)
Aprobar operaciones financieras que a juicio del Comité requieran, por su
especialidad, o nivel de riesgo, de dicha aprobación. e)
Propender por la creación y actualización del manual de funciones y
procedimientos en lo referente a los aspectos relacionados con el proceso de
inversiones, el seguimiento del riesgo de las mismas y el proceso operativo,
cuando se requiera. f)
Apoyar en la expedición del Código de Ética para operaciones realizadas en el
proceso de inversiones. g)
Dar seguimiento a los lineamientos de inversión y sobrepasos en los cupos de
contraparte asignados, con el fin de hacer las recomendaciones a que haya
lugar. Así mismo, hacer seguimiento a los informes de gestión del administrador
del portafolio de inversiones de la ADRES, con el fin de dar medidas
correctivas de ser necesario. h)
Aprobar o modificar las metodologías referentes a los Subsistemas de
Administración de Riesgos. i)
Proponer y evaluar los límites de exposición para cada uno de los riesgos
identificados. j)
Propender por la creación y actualización del manual de funciones y
procedimientos en lo referente a los aspectos relacionados con el proceso de
identificación, mitigación y control de los riesgos de la operación de la
ADRES. k)
Dar seguimiento a los informes sobre el incumplimiento de los límites y el
reporte de eventos de riesgo operativo conforme a las metodologías de
administración del riesgo, con el fin de realizar las respectivas recomendaciones
para la mitigación efectiva de estos. l)
Formular las iniciativas de mejora que considere necesarias sobre la
infraestructura y los sistemas internos de control y gestión de los riesgos. m)
Dar seguimiento a las capacitaciones de los funcionarios del área, en la
mitigación y control de riesgos. n)
Analizar los informes presentados por la Oficina de Control Interno para que
sirvan como insumo para la formulación de planes de acción y de mejoramiento y
la adopción de las medidas que se requieran frente a las deficiencias
informadas, respecto a temas relacionados con el Sistema de Administración de
Riesgos. o)
Las demás que señalen la normatividad vigente de la Superintendencia Nacional
de Salud y la Junta Directiva. p)
Identificar, medir, caracterizar, supervisar y anticipar, mediante metodologías
adecuadas, los diversos riesgos (económicos -incluyendo coberturas o reaseguros
-, operativos, lavado de activos, reputacionales,
entre otros), asumidos por la entidad, propios de su gestión en el SGSSS. q)
Establecer medidas prudenciales que considere pertinentes para el tratamiento y
control de riesgos, de acuerdo con la identificación, evaluación y medición de
los riesgos identificados y las políticas que establezca la entidad al
respecto. 5.4.
Área de Gestión de Riesgos El
área de Gestión de Riesgos de la ADRES es un área de apoyo, orientadora y de
evaluación, que estará a cargo de la administración y gestión de los diferentes
riesgos a los cuales la entidad se encuentra expuesta, a través de la identificación,
medición, control y monitoreo de cada uno de ellos de tal manera que se realice
la evaluación continua del ciclo para detectar las desviaciones y generar
insumos para la formulación de los planes de mejoramiento y demás información
que requiera el Comité de Riesgos, mediante el trabajo conjunto con todas las
áreas. Cabe resaltar que esta área debe ser designada de acuerdo con la
estructura legalmente definida para la entidad. El
área de Gestión de Riesgos debe ser independiente y funcional de las áreas
misionales de la entidad relacionadas, por ejemplo, con el recaudo, la
compensación, la liquidación mensual de afiliados, las áreas encargadas de las
negociaciones como son compras, tesorería, entre otros, y desarrollará como
mínimo las siguientes actividades: a)
Apoyar el diseño de las metodologías de segmentación, identificación, medición,
control y monitoreo de los riesgos a los que se expone la entidad, para mitigar
su impacto. b)
Sugerir al Comité de Riesgos los ajustes, o modificaciones necesarios
a las políticas de los diferentes Subsistemas de Administración de Riesgos. c)
Velar por el adecuado diseño e implementación de los controles a los diferentes
riesgos para mitigar su impacto, en todos los niveles de la organización y su
operatividad. d)
Realizar seguimiento, o monitoreo a la eficiencia y la eficacia de las
políticas, procedimientos y controles establecidos. e)
Ayudar a las áreas en la identificación y evaluación de los límites de
exposición para cada uno de los riesgos identificados, y presentar al Comité de
Riesgos las observaciones o recomendaciones que considere pertinentes. f)
Velar por el adecuado archivo de los soportes documentales y demás información
relativa al Sistema Integrado de Gestión de Riesgos de la entidad. g)
Participar en el diseño y desarrollo de los programas de capacitación sobre los
riesgos identificados y velar por su cumplimiento. Incluir por lo menos los
riesgos de los Subsistemas de Administración de Riesgos. h)
Analizar los informes presentados por la Oficina de Control Interno que sirvan
como insumo para la formulación de planes de acción y de mejoramiento, para la
adopción de las medidas que se requieran frente a las deficiencias informadas,
respecto a temas relacionados con el Sistema Integrado de Gestión de Riesgos. i)
Informar al Comité de Riesgos el avance en los planes de acción y de
mejoramiento, para la adopción de las medidas que se requieran frente a las
deficiencias informadas, respecto a temas relacionados con el Sistema Integrado
de Gestión de Riesgos. 5.5. Órganos de Control El
diseño, desarrollo y ejecución de políticas para la gestión de riesgos deben
contemplar procesos de auditoría y control, tanto internos como externos,
mediante los cuales se audite el cumplimiento de las políticas y procedimientos
establecidos. La
entidad debe establecer instancias responsables de efectuar una revisión y
evaluación del Sistema Integrado de Gestión de Riesgos, compuesto por cada uno
de los Subsistemas de Administración de Riesgos, así como por otros riesgos
identificados por la entidad, las cuales deben informar oportunamente los
resultados a los órganos competentes. El
órgano de control será, por lo menos, la Oficina de Control Interno. Este
deberá identificar las operaciones realizadas con entidades o personas
vinculadas a la entidad, y promover revisiones independientes para validar la
efectividad del Sistema Integrado de Gestión de Riesgos de la entidad y de los
Subsistemas por los cuales está conformado, además de las responsabilidades y
obligaciones que se encuentren establecidas en otras disposiciones legales,
estatutarias, o en reglamentos. 6. INFRAESTRUCTURA
TECNOLÓGICA La
ADRES debe disponer y utilizar la infraestructura tecnológica y los sistemas
necesarios para garantizar el funcionamiento efectivo, eficiente y oportuno del
Sistema Integrado de Gestión de Riesgos, los cuales deben generar informes
confiables sobre dicha labor y contar con un soporte tecnológico acorde con sus
actividades, operaciones, riesgos asociados y tamaño. Cuando no se cuente con
dicha infraestructura, debe establecer un plan de acción para cubrir esta
falencia en el menor tiempo posible. Además,
deben contar con procesos que permitan realizar un control adecuado del
cumplimiento de las políticas y límites establecidos, además de contar con un
plan de conservación, custodia y seguridad de la información tanto documental
como electrónica. Los
parámetros utilizados en las aplicaciones informáticas para cada uno de los
Subsistemas de Administración de Riesgos, que componen el Sistema Integrado de
Gestión de Riesgos, deben estar dentro de supuestos fundamentados y ser
revisados periódicamente. Asimismo,
la ADRES debe centralizar la información relacionada con la gestión de riesgos,
para lo cual debe contar con un sistema adecuado de consolidación eficaz de los
distintos riesgos para la toma de decisiones efectivas, el cual deberá ser
validado por lo menos una vez al año. 7. DIVULGACIÓN DE LA
INFORMACIÓN Y CAPACITACIONES La
entidad debe garantizar que el personal vinculado tenga conocimiento de los
objetivos misionales que tenga la Entidad, además de los procedimientos
administrativos y operativos asociados a cada uno de los Subsistemas de
Administración de Riesgos. Para ello la entidad debe diseñar, programar y coordinar
planes de divulgación y capacitación como mínimo una vez al año a todas las
dependencias y funcionarios de la entidad y con mayor énfasis a las áreas
involucradas en la gestión de estos riesgos, sobre las políticas,
procedimientos, herramientas y controles adoptados por parte de la entidad para
dar cumplimiento al Sistema Integrado de Gestión de Riesgos. La
divulgación y capacitación sobre cada uno de los Subsistemas de Administración
de Riesgos deben hacer parte de los procesos de inducción de los nuevos
empleados. Se debe dejar constancia de las capacitaciones realizadas por medio
de la presentación de una evaluación de los temas expuestos para incentivar la
adherencia y el entendimiento y en donde se indique como mínimo la fecha, los
temas tratados y el nombre de los asistentes. La
entidad debe diseñar un sistema efectivo, veraz, eficiente y oportuno de manejo
de la información capaz de generar reportes, tanto internos como externos, que
garantice el funcionamiento de cada uno de los Subsistemas de Administración de
Riesgos, teniendo en cuenta los procesos y procedimientos establecidos para
cada uno. Este
sistema de información debe ser funcional y permitir la dirección y control de
la operación en forma adecuada. Además, estos sistemas deben garantizar que la
información cumpla con los criterios de seguridad (confidencialidad, integridad
y disponibilidad), calidad (completitud, validez y confiabilidad), y
cumplimiento, para lo cual se deben establecer controles generales y
específicos para la entrada, el procesamiento y la salida de la información,
atendiendo su importancia relativa y nivel de riesgo. 7.1. Divulgación de la
Información Interna Como
resultado del monitoreo y control de cada uno de los riesgos de los Subsistemas
de Administración de Riesgos, la entidad debe elaborar reportes semestrales
como mínimo, que permitan establecer el perfil de riesgo de la misma. Asimismo,
debe elaborar informes de gestión al cierre de cada año sobre el cumplimiento
de las políticas, límites y nivel de exposición a los diferentes riesgos
dirigidos al Representante Legal y a la Junta como mínimo. Estos informes deben
ser presentados de manera comprensible y deben mostrar las exposiciones por
tipo de riesgo y de la manera más desagregada, detallada y clara posible.
Adicionalmente, deben presentar los límites establecidos, su grado de
cumplimiento y la cuantificación de los efectos de la posible materialización
de estos sobre las utilidades, el patrimonio y el perfil de riesgo de la
entidad. Los reportes internos son de uso exclusivo de la entidad. 7.2. Divulgación de la
Información Externa Los
administradores de la entidad, al cierre de cada ejercicio, deberán realizar un
informe sobre la gestión adelantada en materia de administración de riesgos, en
el cual como mínimo se deben incluir los subsistemas de gestión de riesgos
descritos en esta circular. En este sentido, deberá contener un resumen de su
situación en materia de la administración de dichos riesgos con información
tanto cualitativa como cuantitativa. Por
un lado, la información cualitativa es indispensable para elaborar y proveer
una mejor comprensión de los estados financieros de la entidad y, por tanto, es
necesario que la ADRES informe sobre sus objetivos de negocio, estrategias y
filosofía en la gestión de riesgos y los controles implementados en cada uno
para mitigarlos. Además, la información revelada debe considerar los cambios
potenciales en los niveles de riesgo, cambios materiales en las estrategias y
límites de exposición para cada uno de los Subsistemas de Administración de
Riesgos. Por
otro lado, la ADRES debe revelar al público en general, la información
cuantitativa sobre la gestión integral de los riesgos (como mínimo de los
subsistemas de riesgos definidos en esta circular), como resultado de sus
políticas y metodologías internas aplicadas para su control, de acuerdo con lo
que los administradores de la entidad consideren pertinente revelar, sin
perjuicio de aquella que sea de carácter privilegiado, confidencial o
reservado, respecto de la cual se deben adoptar todas las medidas que
consideren necesarias para su protección, incluyendo lo relacionado con su
almacenamiento, acceso, conservación, custodia y divulgación. Las
características de la información divulgada estarán relacionadas con el
volumen, la complejidad y el perfil de riesgo de las operaciones que maneje la
entidad. Asimismo, la ADRES deberá mantener a disposición del público en
general, a través de medios que garanticen su acceso, la información general
que resulte necesaria para que haya un adecuado y cabal entendimiento respecto
de la estructura que la entidad tenga diseñada e implementada, para la
identificación, medición y control integral de cada uno de los subsistemas
definidos en esta circular, de acuerdo con los mecanismos de rendición de
cuentas que la entidad haya establecido en sus políticas. Lo
anterior sin perjuicio del carácter de destinatario de las normas de
transparencia para el sector público, que corresponden a la ADRES en virtud del
artículo 5° de la Ley Estatutaria 1712 de 2014, y sus distintos reglamentos de
desarrollo. 7.3. Acreditar con
soportes todas las operaciones, negocios y contratos La
ADRES debe establecer reglas específicas que prohíban la realización de
actividades, negocios y contratos sin que exista el respectivo soporte interno
o externo, debidamente fechado y autorizado por quienes intervengan en ellos o
los elaboren. Todo documento que acredite transacciones, negocios o contratos
de la entidad, además de constituir el soporte de la negociación y del registro
contable, constituye el respaldo probatorio para cualquier investigación que
puedan adelantar las autoridades competentes. C) Lineamientos
específicos de los subsistemas de administración de riesgos A
continuación, se presentan los lineamientos específicos, adicionales a lo
establecido en el apartado de lineamientos generales, que deben tener como
mínimo los Subsistemas de Administración de Riesgos para cada uno de los
siguientes riesgos, sin perjuicio de los demás riesgos identificados por la
entidad: operacional, lavado de activos, financiación del terrorismo y
corrupción, crédito, liquidez, mercado de capitales. 1. GESTIÓN DEL RIESGO
OPERACIONAL El
Riesgo Operacional corresponde a la posibilidad que una entidad presente
desviaciones en los objetivos misionales como consecuencia de deficiencias,
inadecuaciones o fallas en los procesos, en el recurso humano, en los sistemas
tecnológicos, en la infraestructura, ya sea por causa interna o por la
ocurrencia de acontecimientos externos, entre otros. Es
importante resaltar que, la anterior definición incluye una amplia variedad de
factores de riesgo que pueden afectar los objetivos de la entidad, y que pueden
materializarse como resultado de una deficiencia o ruptura en los controles
internos o procesos de control, fallas tecnológicas, errores humanos,
deshonestidad, prácticas inseguras y catástrofes naturales, entre otras causas,
que afectan diferentes procesos, según las características propias de la
entidad. Es
así como los riesgos operacionales en la entidad pueden generar pérdidas de dos
tipos: i)
Pérdidas en los resultados operativos esperados, incluyendo la satisfacción de
sus usuarios. ii)
Pérdidas financieras en la entidad. La
adopción del Subsistema de Administración de Riesgo Operacional debe cumplir
como mínimo con lo siguiente: 1.1.
Ciclo general de gestión del Riesgo Operacional Para
la gestión de este riesgo inherente aplican todos los lineamientos generales
presentados en esta Circular. Sin embargo, en atención a la anterior definición
y para plantear las políticas específicas de gestión de este riesgo, el
Subsistema de Administración de Riesgo Operacional que implemente la entidad,
debe contener los siguientes lineamientos específicos como mínimo: 1.1.1.
Identificación del Riesgo Operacional El
Subsistema debe permitir a la entidad definir e identificar la exposición al
riesgo operacional, por lo cual, en esta etapa se elabora un perfil de los
procesos de las actividades de la entidad con las siguientes acciones: •
Levantamiento y documentación de la totalidad de procesos de la entidad. Como
mínimo, entre otros definidos por la entidad, se deben tener en cuenta como
mínimo los siguientes procesos relevantes para el cumplimiento de las funciones
de la Entidad, así estos sean tercerizados: •
Recaudo, compensación, liquidación mensual de afiliados y giro. •
Auditorías en temas misionales (ej. Recobros, reclamaciones, entre otros). •
Gestión financiera. •
Atención al usuario. •
Gestión del Talento Humano. •
Sistemas de información. •
Identificación de los eventos de riesgo operacional, potenciales y ocurridos,
en cada uno de los procesos. La etapa de identificación debe realizarse
previamente a la implementación o modificación de cualquier proceso. •
Determinar potenciales pérdidas financieras en la entidad causadas por los
eventos de riesgo operacional identificados. Para
la identificación, la entidad debe tener su propio y único registro de eventos
de riesgo operacional. A continuación, se presenta la información relevante
mínima que debe tener un registro de eventos de riesgo operativo: a)
Referencia: Código interno que relacione el evento en forma secuencial. b)
Proceso: Identificación del proceso donde se produjo el evento de riesgo, o se
vio afectado. c)
Fecha de descubrimiento: Fecha en que se detecta el evento (día, mes, año,
hora). d)
Fecha de inicio: Fecha en la que el evento tiene su inicio (día, mes, año,
hora). e)
Fecha de finalización: Fecha en que finaliza el evento (día, mes, año, hora). f)
Descripción del evento: Descripción detallada del evento. g)
Producto-Servicio afectado: Identificación del producto, o servicio al que el
evento afecta h)
Clase de evento: Especifique la clase de evento, según la clasificación
adoptada (Fraude interno, fraude externo, relaciones laborales, clientes, daños
a activos físicos, fallas tecnológicas, ejecución y administración de procesos,
entre otros). i)
Tipo de pérdida: Identificación de la pérdida que origina el evento: •
Genera pérdida y afecta el estado de resultados de la entidad. •
Genera pérdida y no afecta el estado de resultados de la entidad. •
No genera pérdidas. j)
Divisa: Moneda en la que se materializa el evento (COP, USD, entre otras). k)
Cuantía: Monto de dinero a la que asciende la pérdida. Este valor debe ser
presentado en moneda legal, es decir, en pesos colombianos (COP). Si el evento
se presenta en otra moneda diferente a la legal, se utiliza para el cambio la
TRM del día en que se contabilizó la pérdida por el evento. l)
Cuantía total recuperada: Monto de dinero recuperado por acción directa de la
entidad. Incluye cuantías recuperadas por seguros. m)
Cuantía recuperada por seguros: Corresponde al monto de dinero recuperado por
el cubrimiento a través de un seguro. m)
Cuantía recuperada por seguros: Corresponde al monto de dinero recuperado por
el cubrimiento a través de un seguro. o)
Fecha de contabilización: Fecha en que se registra contablemente la pérdida por
el evento (día, mes, año, hora). p)
Datos del registro: Aquí se detalla quién diligenció el formato, la dependencia
y fecha del mismo, así como nombre, firma y cargo de quien lo reporte. Además
de los campos descritos en este numeral, se pueden incorporar dentro del
registro de eventos de riesgo operacional otros adicionales que la Entidad
considere relevantes para su gestión del riesgo operacional. 1.1.2 Evaluación y
Medición del Riesgo Operacional En
esta etapa, el Subsistema de Administración de Riesgo Operacional debe medir la
probabilidad de ocurrencia de un evento de riesgo operacional y su impacto en
caso de materializarse. En caso de no contar con datos históricos se deberá
realizar una aproximación cualitativa, y elaborar un plan de ajuste que
posibilite la medición cuantitativa del riesgo posteriormente. Para esta etapa
del ciclo, la entidad debe tener como mínimo lo siguiente: a)
Diseñar y aplicar la metodología de medición acorde con los eventos de riesgo
operacional identificados, procurando una medición del riesgo inherente
individual y consolidada de la probabilidad de ocurrencia y del impacto, para
así determinar el perfil de riesgo de la entidad. b)
Tener en cuenta dentro de la evaluación, los planes de contingencia y el Plan
de Continuidad del Negocio, todos los recursos (físicos, humanos, técnicos y
financieros), necesarios para que la entidad enfrente la exposición al riesgo
operacional bajo cualquier eventualidad, de acuerdo con su tamaño y nivel de
operaciones. 1.1.3. Tratamiento y
Control del Riesgo Operacional El
Subsistema de Administración del Riesgo Operacional debe permitir a la entidad
tomar medidas adecuadas para controlar los riesgos operacionales inherentes a
los que se ve expuesta en el desarrollo de sus operaciones, con el fin de
disminuir la probabilidad de ocurrencia o impacto en caso de que se
materialicen. Esta
etapa debe cumplir con los siguientes requisitos mínimos: a)
Diseñar e implementar controles para cada riesgo de manera que se pueda mitigar
el riesgo inherente, ya sea a través de medidas que disminuyan su probabilidad,
su impacto o ambos. b)
Incluir los controles diseñados dentro de las políticas y procedimientos de la
entidad. c)
En cuanto a los riesgos que afecten la operación en condiciones normales de la
entidad, esta debe implementar un Plan de Continuidad del Negocio aprobado por
la Junta Directiva. 1.1.3.1. Plan de
Continuidad del Negocio La
ADRES debe definir, implementar, probar y mantener un proceso para administrar
y asegurar la continuidad del negocio en situaciones de emergencia o desastre,
incluyendo elementos como la prevención y la atención de emergencias,
administración de la crisis, planes de contingencia y capacidad de retorno a la
operación normal. Estas medidas deben contar con los siguientes elementos: a)
Identificación de eventos que pueden afectar la operación. b)
Actividades a realizar cuando se presentan las fallas. c)
Alternativas de operación. d)
Proceso de retorno a la actividad normal. 2. GESTIÓN DEL RIESGO
DE LAVADO DE ACTIVOS, FINANCIACIÓN DEL TERRORISMO Y CORRUPCIÓN El
Riesgo de Lavado de Activos y Financiación del Terrorismo corresponde a la
posibilidad que, en la realización de las operaciones de la entidad, esta pueda
ser utilizada por organizaciones criminales como instrumento para ocultar,
manejar, invertir o aprovechar dineros, recursos y cualquier otro tipo de
bienes provenientes de actividades delictivas o destinados a su financiación, o
para dar apariencia de legalidad a las actividades delictivas o a las
transacciones y fondos de recursos vinculados con las mismas. Dentro
de los principales delitos fuente del Lavado de Activos y la Financiación del
Terrorismo (LA/FT), se encuentra el riesgo de corrupción y opacidad, el cual es
un riesgo latente que ataca a la sociedad, porque impide el funcionamiento
efectivo de las instituciones, afectando directamente la misión y la visión de
las entidades y el flujo normal y efectivo de los recursos, a través de
acciones y actitudes contrarias a los valores y principios éticos que deben
caracterizar a las personas en su conjunto, sean naturales o jurídicas y de
carácter público o privado. De esta manera, al generar políticas de antilavado y contra la financiación del terrorismo,
necesariamente se deben tener en cuenta medidas para prevenir y evitar la
corrupción y la opacidad. Es
por esto por lo que las diferentes políticas y medidas adoptadas por la entidad
deben ir encaminadas en implementar acciones para el fortalecimiento continuo
de una cultura ética de integridad, transparencia y la lucha contra la
corrupción. Los objetivos de estas políticas, medidas y acciones son prevenir,
detectar, y cuando sea el caso, informar a las autoridades competentes o
denunciar posibles casos de corrupción que, en cualquiera de sus formas,
eventualmente se pueda presentar, por parte, o en contra de una entidad. La
implementación y seguimiento a estos riesgos van estrechamente ligados a las
políticas, principios y valores institucionales establecidos en el Gobierno
Organizacional (Código de Conducta y de buen gobierno), de ahí la importancia
de su implementación y mejoramiento continuo. El
sistema de prevención y control que deben implementar los agentes que componen
el SGSSS para la adecuada gestión del riesgo de LA/FT, para lo cual la ADRES
deberá adoptar procedimientos y herramientas que contemplen todas las actividades
que realizan en desarrollo de su naturaleza y objeto social, y que se ajusten a
su tamaño, actividad económica, formas transaccionales y demás características
particulares. La
gestión de este riesgo debe comprender el diseño, aprobación e implementación
de políticas y procedimientos para la prevención y control del riesgo de LA/FT.
Las políticas y procedimientos que se adopten deben permitir el eficiente,
efectivo y oportuno funcionamiento y traducirse en reglas de conducta y
procedimientos que orienten la actuación de la entidad, sus empleados y socios. 3. GESTIÓN DEL RIESGO
DE CRÉDITO El
Riesgo de Crédito corresponde a la posibilidad que una entidad incurra en
pérdidas como consecuencia del incumplimiento de las obligaciones por parte de
sus deudores en los términos acordados. Teniendo
en cuenta la anterior definición, la entidad debe evaluar permanentemente el
riesgo inherente que sus activos pierdan valor, como consecuencia que un deudor
o contraparte incumpla sus obligaciones. Es así como dentro de esta evaluación
debe incorporar oportunamente los cambios significativos de las condiciones de
cumplimiento de sus deudores. Para esto, la entidad deberá desarrollar
políticas, procedimientos y mecanismos idóneos que le permiten llevar a cabo en
forma oportuna el ciclo general de gestión de este riesgo particular. 3.1. Ciclo de gestión
de Riesgo de Crédito Para
la gestión de este riesgo inherente aplican todos los lineamientos generales
presentados en esta Circular. Sin embargo, en atención a la anterior definición
y para plantear las políticas específicas de gestión de este riesgo, el
Subsistema de Administración de Riesgo de Crédito que implemente la entidad,
debe contener los siguientes lineamientos específicos como mínimo: La
entidad deberá incorporar dentro de sus procesos y procedimientos internos para
la gestión del riesgo de crédito, los siguientes aspectos específicos: a)
Una evaluación de riesgo por contraparte (incluyendo los instrumentos
financieros, tratándose de inversiones), y límites de exposición por
contraparte asociadas a la evaluación de riesgos realizada. La entidad podrá
realizar una evaluación agrupando activos sobre la base de características y
perfiles de riesgo similares, pero deberá realizar esta evaluación en forma
individual si el activo es significativo. b)
La definición de procedimientos específicos de seguimiento y cobranza de las
deudas y/o restituciones y el establecimiento de mecanismos apropiados de
negociación y recuperación de deudas que se encuentran en incumplimiento. c)
La verificación se debe realizar al menos trimestralmente, para que el modelo
de cálculo de exposición por riesgo de crédito sea adecuado para reflejar las
potenciales pérdidas a las que está expuesta la entidad por el incumplimiento
de las contrapartes y que se ajusta a la normatividad vigente. d)
Las bases de datos que sean utilizadas en el proceso de diseño de los modelos
que utiliza la ADRES, para la administración del riesgo crediticio se sugiere
que tengan una historia mínima de cinco (5) años, una vez la entidad cumpla con
esa antigüedad. En el periodo intermedio al cumplimiento de la antigüedad, la
entidad deberá preparar un plan de ajuste en el cual se expongan los
procedimientos y fechas en las cuales se logrará cumplir con esta recomendación.
A partir de la infraestructura tecnológica y de los sistemas necesarios para
garantizar la adecuada administración del Riesgo de Crédito se deben generar
informes confiables sobre dicha labor. 3.1.1. Identificación
del Riesgo de Crédito Para
la identificación de este riesgo, los aspectos mínimos a considerar por parte
de la entidad surgen de definir los tipos de activos expuestos a este riesgo,
como mínimo las cuentas por cobrar y los instrumentos financieros. Estos
últimos incluyen: a)
Cuentas de bancos y Fondos de Inversión Colectivas (FIC, antes Carteras
Colectivas), tales como: cuentas corrientes; cuentas de ahorros; cuentas
maestras de recaudo; FIC abiertos, del mercado monetario; carteras colectivas
cerradas; y otros tipos de encargos fiduciarios o fondos de inversión,
fideicomisos, fondos de inversión colectiva inmobiliarios y/o fondos de capital
privado, entre otros, siendo locales o extranjeros. b)
Instrumentos inscritos en el Mercado de Valores de Colombia, tales como títulos
de deuda pública emitidos o garantizados por la Nación o por el Banco de la
República; títulos de renta fija emitidos, aceptados, garantizados o avalados
por entidades vigiladas por la Superintendencia Financiera de Colombia, Fogafín y Fogacoop. c)
Todas las inversiones en títulos, o valores sean de renta fija o renta variable
emitidos por entidades nacionales o extranjeras. 3.1.2.
Evaluación y Medición del Riesgo de Crédito El
Subsistema de Administración de Riesgo de Crédito debe evaluar las pérdidas
estimadas como resultado del incumplimiento de sus contrapartes. Dentro del
Subsistema, la entidad puede diseñar modelos para diferentes tipos de activos
expuestos a este riesgo, dentro de los cuales deberá contemplar la estimación
de los siguientes elementos: a)
La probabilidad de incumplimiento de los deudores dentro de un periodo de
tiempo de 12 meses, una vez la entidad cumpla con esa antigüedad. b)
La estimación de la pérdida esperada en que incurriría la entidad dado el
incumplimiento. En este elemento se debe considerar tanto el valor expuesto del
activo (saldo de la obligación o valor neto del activo), en el momento del
incumplimiento, como la tasa de recuperación del valor del activo una vez se ha
materializado el incumplimiento, la cual debe contemplar las recuperaciones
efectivas que se han realizado sobre estos incumplimientos en los últimos 3
años (una vez la entidad cumpla con esa antigüedad) y la existencia e idoneidad
de las garantías, si las hubiese. Para
estimar la probabilidad de que el deudor/contraparte no cumpla con sus
obligaciones en los términos acordados, se recomienda que la entidad tenga en
cuenta como mínimo los siguientes aspectos: i)
En el caso de los deudores/cuentas por cobrar y sujeto a la disponibilidad de
la información necesaria para su construcción: •
Análisis históricos de las cuentas por cobrar de cada deudor, según plazos y
cumplimiento de pago. •
La calidad del deudor y el plazo de la cartera (a mayor concentración de las
deudas de mayor plazo, mayor el riesgo asociado al deudor). •
Estimar las posibles pérdidas que resulten de incumplimientos de pago frente a
prestaciones realizadas u obligaciones generadas, las cuales involucran entre
otros elementos, la evaluación de deterioros o posteriores valoraciones de
acuerdo con las políticas contables que sobre los instrumentos financieros haya
escogido la entidad, específicamente en las cuentas por cobrar. ii.
En el caso de los instrumentos financieros, se recomienda que la entidad: •
Clasifique la seguridad del activo con fundamento en la calificación de crédito
emitida por agencias calificadoras de riesgo, tanto para el activo de renta
fija como para el emisor, ya que estas calificaciones reflejan las
probabilidades de incumplimiento de los activos en cada categoría de calificación. •
Asigne factores de riesgo en función de las probabilidades de incumplimiento
para cada categoría de seguridad del activo. De no disponer de estudios propios
que evalúen estas probabilidades de incumplimiento para los diferentes emisores
y tipos de instrumentos financieros, se puede tomar como referencia los
ponderadores que se mencionan en el Decreto 2954 de 2010 del Ministerio de
Hacienda y Crédito Público, o sus modificatorias, por el cual se modificó el
Decreto 2555 de 2010, y establece el régimen de patrimonio adecuado para las
entidades aseguradoras. 3.1.3. Tratamiento y
Control del Riesgo de Crédito La
ADRES deberá contemplar, dentro de este Subsistema de Administración y Gestión
de Riesgos, mecanismos de tratamiento y control del riesgo de crédito, los
cuales deben ser aplicados de forma continua. Su frecuencia y criterios de
calificación deberán definirse de acuerdo con las políticas de gestión del
riesgo que esté dispuesto a asumir la Entidad. Se
consideran buenas prácticas de gestión para el tratamiento y control del riesgo
de crédito las siguientes acciones, las cuales por su naturaleza deberán ser
refrendadas en los aspectos específicos de la política de gestión del riesgo de
crédito de la entidad. 3.1.3.1. Límites de
exposición crediticia y de pérdida tolerada Las
políticas de gestión del riesgo deben establecer lineamientos para la fijación
de niveles y límites de exposición (iniciales y potenciales), de los créditos
totales, individuales y por portafolios de inversión, así como de los límites
de concentración por deudor, sector o grupo económico. Asimismo, para
establecer porcentajes máximos de tenencia de activos de la categoría más
riesgosa y mínimos de los activos de máxima seguridad. 3.1.3.2. Posibles
Pérdidas Contingentes Las
posibles pérdidas contingentes derivadas del riesgo de crédito corresponden a
la estimación del nivel de incumplimientos de las obligaciones por parte de sus
deudores. En este sentido, se recomienda como medida prudencial que la entidad
realice un proceso de estimación de estas posibles pérdidas mediante
metodologías internas y acorde con las políticas de gestión del riesgo de
crédito aprobadas. Se hace énfasis en que las posibles pérdidas contingentes
son una forma de medir los riesgos asumidos para poder gestionarlas y buscar
las acciones necesarias para mitigarlo, mas no implica constitución de
reservas, o requerimientos de capital adicional. 3.1.3.3. Recuperación
de cartera La
ADRES debe establecer políticas y procedimientos que les permitan tomar medidas
oportunamente para enfrentar incumplimientos con el objeto de minimizar las
pérdidas. El diseño debe partir como mínimo de la base histórica de
recuperaciones y las variables críticas que determinen la minimización de las
pérdidas, o castigos a la cartera. La información sobre los resultados de estas
políticas debe ser almacenada como insumo para el afinamiento de los modelos
desarrollados para el seguimiento y estimación de pérdidas, así como para
alimentar las proyecciones de flujos de caja que permiten gestionar a su vez,
el riesgo de liquidez. 3.2. Sistemas de
Deterioro Como
resguardo ante la eventual materialización del riesgo de crédito, la entidad
deberá contar con un sistema de deterioro como política contable calculado en
función de la pérdida esperada. 4. GESTIÓN DEL RIESGO
DE LIQUIDEZ El
Riesgo de Liquidez corresponde a la posibilidad de que una entidad no cuente
con recursos líquidos para cumplir con sus obligaciones de pago tanto en el
corto (riesgo inminente), como en el mediano y largo plazo (riesgo latente). Como
consecuencia de las actividades y operaciones diarias, ADRES se ve expuesta a
este riesgo. En particular, la mitigación de riesgo de liquidez está
correlacionada con las siguientes prácticas: a)
Una adecuada recuperación de cartera (gestión de riesgo de crédito). b)
Una adecuada modelación y monitoreo a las volatilidades del mercado financiero
(gestión de riesgo de mercado). c)
Una adecuada modelación y gestión de los flujos por parte de la ADRES de los
recursos destinados a salud provenientes del Presupuesto General de la Nación. La
materialización del riesgo de liquidez genera la dilatación o incumplimiento de
los pagos a los prestadores de servicios de salud, proveedores y demás
acreedores. Con
el objetivo de evitar que las situaciones antes descritas se materialicen, la
ADRES debe desarrollar e implementar un Subsistema de Administración de Riesgo
de Liquidez, que le permita identificar, medir, controlar y monitorear
eficazmente este riesgo. Este Subsistema de Administración le debe permitir
tomar decisiones oportunas para mitigar este riesgo. 4.1. Ciclo de gestión
de Riesgo de Liquidez Para
la gestión de este riesgo inherente aplican todos los lineamientos generales
presentados en esta Circular. Sin embargo, en atención a la anterior definición
y para plantear las políticas específicas de gestión de este riesgo, el
Subsistema de Administración de Riesgo de Liquidez que implemente la entidad,
debe contener los siguientes lineamientos específicos como mínimo: 4.1.1. Identificación
del Riesgo de Liquidez El
Subsistema de Administración de Riesgo de Liquidez debe permitir a la entidad
definir e identificar el riesgo de liquidez al que está expuesta la ADRES en
función de los flujos de ingresos y egresos de efectivo y equivalentes de
efectivo, de acuerdo con las operaciones autorizadas. Para
realizar la identificación y cuantificación del riesgo de liquidez la entidad
debe disponer de la mejor información para efectos de realizar las proyecciones
de todos los flujos netos de activos y pasivos, o de ingresos y egresos, y debe
contar como mínimo con lo siguiente para poder analizar los posibles descalces: i.
Activos a)
Identificar los activos considerados como líquidos (aquellos que proveen a la
Entidad de liquidez inmediata). Se recomienda incluir dentro de estos como
mínimo, el disponible que esté consignado en bancos y/o inversiones en Fondos
de Inversión Colectiva (FIC), en las siguientes modalidades: cuenta corriente,
cuenta de ahorros (cuenta maestra de recaudo), FIC abiertos, del mercado
monetario y cualquier otro tipo de encargo fiduciario, o fondo de inversión,
fideicomiso, fondos de inversión colectiva de inmobiliarios y fondos de capital
privado que no tengan restricciones para el retiro inmediato de recursos (sin
pacto de permanencia). Asimismo, se deben identificar todas las inversiones en
títulos o valores sean de renta fija, o renta variable emitidos por entidades
nacionales o extranjeras, públicas o privadas, que considere de fácil
realización (activos que forman parte del portafolio de inversiones de la
entidad y que no tengan ninguna restricción de movilidad ni que estén sujetos a
algún tipo de gravamen, medida preventiva o de cualquier naturaleza, que impida
su libre cesión o transferencia). b)
Identificar los recursos y plazos de recuperación de cartera (cuentas por
cobrar). Tener en cuenta el comportamiento histórico de cartera vencida para
aplicar factores de descuento o de castigo, en los casos que considere
necesario para obtener una aproximación mucho más cercana a la realidad. c)
Proyectar cualquier movimiento de entradas futuras de efectivo por cualquier
concepto, entre los cuales puede estar el portafolio de inversiones:
vencimiento de títulos de renta fija, o de operaciones, cobro de cupones,
rendimientos de un CDT, dividendos en efectivo, entre otros flujos que se
esperan recibir ii.
Pasivos a)
Identificar las cuentas por pagar bajo cualquier concepto. b)
Proyectar cualquier movimiento de salidas futuras de efectivo bajo cualquier
concepto, entre los cuales pueden presentarse por la emisión de instrumentos
financieros. 4.1.2. Evaluación y
Medición del Riesgo de Liquidez El
Subsistema de Administración de Riesgo de Liquidez debe permitir a la ADRES
cuantificar el nivel mínimo diario de efectivo, o equivalentes de efectivo
requerido, en moneda nacional o extranjera, de acuerdo con la normatividad
vigente, que le permita cumplir de manera oportuna con sus obligaciones de
pago. Es
decir, que la entidad debe estar en capacidad de medir y proyectar los flujos
de caja de sus activos y pasivos, en diferentes horizontes de tiempo, tanto en
un escenario en condiciones normales como en un escenario de crisis bajo
hipótesis razonables (stress testing), en el que los
flujos de caja se alejan significativamente de lo esperado, por efecto de
cambios imprevistos en el entorno de los mercados, de la entidad, o de ambos, y
de esta manera, poder calcular sus necesidades de liquidez. Para
la medición del riesgo de liquidez se requiere que la entidad aplique un “test
de liquidez”, periódicamente con el fin de identificar potenciales necesidades
de liquidez o recursos líquidos para cubrir sus flujos de pago y las causas de
potenciales situaciones de iliquidez. Uno de los principales objetivos de este
test es que la entidad mejore sus estimaciones conforme lo aplique
frecuentemente y pueda prevenir potenciales situaciones adversas. Si bien
algunos ingresos y/o egresos son más predecibles que otros, se busca que las
estimaciones vayan mejorando a medida que estas se realizan y que con
fundamento en las proyecciones de egresos se identifiquen los activos
necesarios, o recursos adicionales para poder cubrir estas estimaciones, de
acuerdo con unos niveles de tolerancia de riesgo definidos. Para
estructurar el test de liquidez se usa la información de los flujos de efectivo
tanto de ingresos como de egresos, de acuerdo con los diferentes tipos de
obligaciones y acreencias proyectándolos en un horizonte de tiempo de por lo
menos tres (3) meses. Los periodos de proyección se pueden construir de forma
diaria, semanal, mensual e incluso trimestral. La
proyección de ingresos y egresos estará basada en la mejor información
disponible con la que cuente la entidad, y de acuerdo con supuestos y
estimaciones propias, los cuales en todo caso deben ser explicitados y
justificados técnicamente por la entidad. Para efectos de la determinación del
riesgo inherente de liquidez, la entidad deberá establecer el superávit o
déficit de liquidez, que corresponderá a la diferencia entre el monto total de
ingresos y egresos de efectivo proyectados. Este monto se utilizará para el
cálculo del indicador de liquidez. Las
técnicas de modelación deben abordar como mínimo los siguientes elementos
críticos: a)
Identificación y caracterización de los conceptos de ingresos y egresos más
volátiles. b)
Identificación y caracterización de los recursos líquidos para cubrir las
necesidades de liquidez, teniendo en cuenta factores de descuento cuando se
considere necesario. La
entidad deberá, por último, identificar descalces en distintos horizontes de
tiempo y realizar un análisis de la liquidez, que le permitan crear señales de
alerta temprana y establecer límites encaminados a evitar la materialización de
riesgos asociados como el Riesgo de Crédito y Mercado. 4.1.3. Tratamiento y
Control del Riesgo de Liquidez El
Subsistema de Administración de Riesgo de Liquidez debe permitir a la entidad
tomar medidas adecuadas para controlar el riesgo de liquidez al que se ve
expuesta en las actividades propias de la entidad. Estos
controles, deberán guardar relación de acuerdo con el volumen y a la
complejidad de la operación desarrollada y deberán estar aprobados y ser de
conocimiento verificable por la Junta Directiva de la entidad. Adicionalmente,
debe permitir a la entidad realizar seguimiento continuo de su exposición al
riesgo de liquidez mediante las alertas tempranas, los límites de exposición y
los indicadores de liquidez que la entidad haya elaborado, con el fin de
monitorear y realizar los controles adecuadamente y a tiempo para evitar que el
riesgo de liquidez pueda llegar a materializarse e impactar negativamente en
los objetivos de la entidad. Dicho
seguimiento debe permitir la elaboración de reportes gerenciales y de monitoreo
del riesgo de liquidez que evalúe los resultados de las estrategias de la
entidad e incluyan el resumen de las posiciones que contribuyen
significativamente a dicho riesgo. A
su vez, se deben establecer límites para mantener un nivel mínimo de activos
líquidos, que estén acordes con el volumen de operaciones y tamaño de la
entidad y sus necesidades de liquidez bajo condiciones normales del negocio y
márgenes adicionales de liquidez para enfrentar situaciones de estrés. Asimismo,
la entidad deberá incluir mediciones de escenarios extremos (stress testing y de back testing), como
medios para verificar la precisión de las proyecciones obtenidas a través de
los test y hacerlos parte del mismo para hacer ajustes posteriores. Para
mejorar la capacidad técnico-administrativa, el flujo de recursos y la calidad
y disponibilidad de información necesaria para diseñar el flujo de efectivo se
requiere como mínimo: a)
Sistema de información que permita la identificación del recaudo de los
ingresos de la ADRES acorde con los diferentes rubros. b)
Sistema de información que permita la identificación y programación de los
egresos de la ADRES. c)
Implementación de procesos orientados a garantizar el pago oportuno de las
obligaciones de la ADRES. 5. GESTIÓN DEL RIESGO
DE MERCADO DE CAPITALES El
Riesgo de Mercado de Capitales corresponde a la posibilidad de incurrir en
pérdidas derivadas de un incremento no esperado, de sus obligaciones con
acreedores tanto internos como externos, o la pérdida en el valor de sus
activos, por causa de las variaciones en las tasas de interés, en la tasa de
cambio o cualquier otro parámetro de referencia que afecte cualquier elemento
de los estados financieros de la Entidad. La
adopción del Subsistema de Administración de Riesgo de Mercado de Capitales
debe cumplir como mínimo con lo siguiente: 5.1. Ciclo general de
gestión de Riesgos de Mercado de Capitales Para
la gestión de este riesgo inherente aplican todos los lineamientos generales
presentados en esta Circular. Sin embargo, en atención a la anterior definición
y para plantear las políticas específicas de gestión de este riesgo, el
Subsistema de Administración de Riesgo de Mercado de Capitales que implemente
la entidad, debe contener los siguientes lineamientos específicos como mínimo: 5.1.1. Identificación
del Riesgo de Mercado de Capitales El
Subsistema debe permitir a la entidad definir e identificar la exposición al
riesgo de mercado de acuerdo con las siguientes acciones como mínimo: i.
Definir los factores de riesgo que generan exposición a este riesgo. Como mínimo
la entidad debe considerar las tasas de interés, el precio de las acciones, el
precio de bienes inmuebles y la tasa de cambio. ii.
Identificar los activos expuestos a la volatilidad de estas variables, como
mínimo: a)
Respecto a los activos expuestos a la tasa de interés (instrumentos de renta
fija principalmente), considerar al menos los siguientes: bonos ordinarios,
bonos subordinados, bonos opcionalmente convertibles en acciones, bonos
obligatoriamente convertibles en acciones, Certificados de Depósito a Término
(CDT), Títulos de Deuda Pública (TES), bonos de capitalización, y demás
inversiones que estén expuestos a este factor de riesgo, ya sea que estén
inscritos o no en la Bolsa de Valores de Colombia (BVC). b)
Al considerar los activos expuestos al precio de las acciones (instrumentos de
renta variable), por lo menos tener en cuenta acciones ordinarias, acciones
preferenciales y demás inversiones que estén expuestos a este factor de riesgo,
ya sea que estén inscritos o no en la BVC. c)
Entre los activos no monetarios que estarían expuestos a la variabilidad en el
precio de los bienes inmuebles, contemplar los terrenos, así como las
construcciones y edificaciones de la entidad. d)
Por último, considerar los activos y pasivos denominados en moneda extranjera a
afectos de abordar la volatilidad de la tasa de cambio. 5.1.2. Evaluación y
Medición del Riesgo de Mercado de Capitales El
Subsistema de Administración del Riesgo de Mercado de Capitales debe permitir a
la ADRES medir y cuantificar las posibles pérdidas esperadas derivadas de la
exposición a este riesgo en particular. Para esta etapa del ciclo, la entidad
debe tener como mínimo: a)
Detallar la correspondiente valoración de los activos y pasivos (el precio o
valor de mercado), expuestos a los factores de riesgos identificados por la
entidad y mencionados en el numeral anterior como mínimo, aplicando de manera
adecuada las mediciones, reconocimiento, presentación y revelación en
aplicación del respectivo marco técnico normativo de información financiera y
contable. b)
Escoger y aplicar una metodología para valorar la exposición de cada factor de
riesgo ante el riesgo de mercado, analizando de manera independiente las
variaciones en la tasa de interés, tasa de cambio, precio de las acciones y precio
de bienes inmuebles, como mínimo; c)
La entidad debe escoger la metodología que considere más apropiada para la
medición, en función de la información disponible, el personal encargado de la
estimación y las políticas establecidas por la entidad en la gestión de este
riesgo. Para ello, se recomienda analizar la información histórica de las
variables que generan exposición al riesgo de mercado para un periodo de
observación efectivo de por lo menos un (1) año; d)
Entre los posibles métodos de cálculo se encuentran: métodos paramétricos o no
paramétricos tales como el Valor en Riesgo (VaR),
simulaciones de Montecarlo, simulaciones históricas, entre otros; e)
Calcular las posibles pérdidas contingentes, determinando su grado de
correspondencia con los niveles de riesgo asumidos por la ADRES para cada uno
de los factores de riesgo del mercado de capitales (tasa de interés, tasa de
cambio, precio de las acciones y precio de bienes inmuebles, como mínimo). Se
hace énfasis en que las perdidas contingentes son una forma de medir los
riesgos asumidos para poder gestionarlas y buscar las acciones necesarias para
mitigarlo, más no implica constitución de reservas o requerimientos de capital
adicional; f)
Consolidar las posibles pérdidas contingentes por los diferentes factores de
riesgo del mercado de capitales aplicando la correlación entre los mismos. De
no disponer de información propia que le permita cuantificar esta correlación,
podrá utilizar los coeficientes de correlación propuestos por la literatura internacional,
las disposiciones de Basilea, lo normado por la Superintendencia Financiera de
Colombia, entre otras. 5.1.3. Tratamiento y
Control del Riesgo de Mercado de Capitales El
Subsistema de Administración del Riesgo de Mercado de Capitales debe permitir a
la entidad tomar medidas adecuadas para controlar el riesgo de mercado de
capitales al que se ve expuesta en el desarrollo de sus operaciones. Esta etapa
debe cumplir con los siguientes requisitos mínimos: a)
Contar con un modelo de seguimiento de riesgo de mercado de capitales donde se
identifiquen los criterios utilizados para calcular los niveles de exposición
al riesgo, los factores de riesgo, la periodicidad de evaluación y las fuentes
de información. Debe haber correspondencia entre el modelo y las
características particulares de cada entidad, teniendo en cuenta el grado de
complejidad y el volumen de las operaciones expuestas a este riesgo; b)
El modelo debe estar en la capacidad de realizar mediciones que incorporen
escenarios extremos (stress testing) en los
diferentes factores de riesgo. Asimismo, cuando se presenten cambios
estructurales en las variables que generan exposición a este riesgo, el modelo
debe considerar estos movimientos en los factores de riesgo. Un ejemplo que se
puede usar como referencia es el que se contempla en el Sistema de
Administración de Riesgo de Mercado (SARM) de la Superintendencia Financiera de
Colombia; c)
Permitir el control de los niveles de exposición a los diferentes factores de
riesgo de mercado de capitales y especificar los límites máximos de exposición
permitidos por la Entidad y los planes de contingencia para los casos en los
que se superen dichos límites. d)
Realizar pruebas de desempeño (back testing) del
modelo interno para determinar la consistencia, precisión y confiabilidad del
cálculo de las pérdidas inesperadas. Estos
controles, deben corresponder a la complejidad de la operación y las
características particulares de cada Entidad y deben estar aprobados por la
Junta Directiva o quien haga sus veces. D. SUPERVISIÓN SNS La
Superintendencia Nacional de Salud (SNS) podrá solicitar información con el fin
de evaluar la idoneidad de las políticas de gestión de los riesgos; en este
sentido, la entidad deberá tener a disposición toda la información relacionada,
incluyendo los documentos de políticas, procedimientos, manuales, instrumentos
e indicadores de seguimiento, entre otros, que plasmen el diseño y ejecución
para cada uno los Subsistemas de Administración de Riesgos, como mínimo. Asimismo,
la SNS podrá evaluar integralmente la aplicación del Sistema Integrado de
Gestión de Riesgos y, en particular, en lo relacionado con los Subsistemas de
Administración de los Riesgos y los diferentes cálculos de las pérdidas
probables o esperadas para cada uno de los riesgos”. b)
Modifíquese el CAPÍTULO FONDO DE SOLIDARIDAD Y GARANTÍA (FOSYGA) del Título XI
Anexos Técnicos de la Circular Única, así: “CAPÍTULO ADMINISTRADORA DE LOS
RECURSOS DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD – ADRES. Sección
1. La
ADRES debe disponer la información detallada en la presente sección por medio
de acceso directo a su base de datos, garantizando la disponibilidad de la
información histórica hasta el último periodo disponible. Adicionalmente,
la ADRES debe remitir un manual de uso con el diccionario del contenido de las
bases de datos de la información detallada en la presente circular, en el cual
sea clara la descripción de las variables y las tablas de referencia de los
códigos incluidos en la misma. En
caso de que la ADRES realice modificaciones a las estructuras y contenido en
las bases de datos, deberá informar a esta Superintendencia sobre dichos
cambios y actualizar los manuales de uso y el diccionario del contenido de las
mismas, garantizando que la información solicitada en el presente artículo se
encuentre disponible para la Superintendencia. A
través de acceso a su base de datos, la ADRES deberá disponer como mínimo de la
siguiente información. 1.
Presupuesto y ejecución presupuestal.
Durante
el plazo previsto, la entidad deberá, para cada categoría de riesgo, realizar
el primer ciclo de la gestión de riesgos: identificación, evaluación y
medición, tratamiento y control, seguimiento y monitoreo y dar cumplimiento a
los términos definidos en la presente Circular respecto a los lineamientos
generales y específicos. Cabe
resaltar que los plazos máximos descritos para que la entidad complete cada una
de las etapas empezará a regir a partir de la fecha de expedición de la
presente circular. Una
vez culminados los plazos máximos estipulados, la Superintendencia Nacional de
Salud realizará los requerimientos respectivos para verificar el cumplimiento
de las etapas descritas anteriormente. Los soportes y evidencias de cada una de
las etapas y su plan de trabajo deberán mantenerse en todo momento y quedar a
disposición de la SNS, para ser revisados y validar que cumplen con lo
establecido en la presente Circular, para fines de supervisión. Asimismo,
es importante resaltar que, durante el periodo de transición, la
Superintendencia Nacional de Salud podrá en cualquier momento realizar visitas
o hacer los requerimientos que considere necesarios para validar el plan de
implementación que haya diseñado la entidad, el cronograma y sus avances
(objetivos, estrategias, actividades, responsables y plazos), las políticas
propuestas y los elementos de cada Subsistema de Administración de Riesgo
priorizado. Adicionalmente, es importante mencionar que el desarrollo e
implementación de cada Subsistema de Riesgo no es excluyente, por lo que se
recomienda avanzar en el desarrollo de todos los Subsistemas priorizados de
forma paralela, con el fin de ir articulando todo el Sistema Integral de
Gestión de Riesgos, y no trabajarlos de forma separada. Si
la ADRES, a la fecha de expedición y posterior publicación de la presente
circular, ya cuenta con los Subsistemas de Administración de Riesgos
prioritarios, los plazos mencionados anteriormente regirán para la respectiva
actualización y homologación a que haya lugar para dar total cumplimiento con
lo acá dispuesto, según los lineamientos mínimos mencionados en esta Circular. b) Reporte de
información Con
respecto a la información que debe disponer la ADRES a esta Superintendencia a
través de acceso a la base de datos, se debe garantizar su acceso en un plazo
máximo de 40 días hábiles a la fecha de expedición de la presente Circular. Por
otra parte, la información que deberá ser reportada por medio del nuevo Sistema
de Recepción y Validación de Archivos (nRVCC) deberá
reportarse por primera vez el 20 de enero de 2019 para las vigencias 2017 y
2018. Se exceptúa de esta transición el anexo técnico ST007, el cual debe ser
reportado en las mismas condiciones que trata la Circular Externa 010 de 2017
de la Superintendencia Nacional de Salud. VI.
VIGENCIA Los
plazos y obligaciones previstos en la presente circular se comenzarán a contar
a partir de su publicación en el Diario Oficial. La ADRES, deberá adaptar sus procesos
a las condiciones aquí establecidas, sin perjuicio del cumplimiento de la
normatividad general que le es aplicable en virtud de su naturaleza jurídica. VI.
CONTROL AL CUMPLIMIENTO DE LA CIRCULAR De
conformidad con lo establecido en los numerales 7, 12 y 13 del artículo 130 y
de acuerdo con el artículo 131 de la Ley 1438 de 2011, la inobservancia e
incumplimiento de las instrucciones impartidas en esta Circular, dará lugar a
la imposición de multas hasta de 2500 SMLMV a entidades que se encuentren
dentro del ámbito de la vigilancia de esta Superintendencia, así como a título
personal hasta 200 SMLMV. PUBLÍQUESE
Y CÚMPLASE. Dada en
Bogotá, D.C., a los 31 días del mes de julio del año 2018. El
Superintendente Nacional de Salud LUIS
FERNANDO CRUZ ARAÚJO. (C. F.). |
