RÉGIMEN LEGAL DE BOGOTÁ D.C.
© Propiedad de la Secretaría Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C.
© Propiedad de la Secretaría Jurídica Distrital de la Alcaldía Mayor de Bogotá D.C.
 |
Cargando el Contenido del Documento |
| Por favor espere... |
|
CIRCULAR EXTERNA 20211700000005-5 DE 2021
(Septiembre 17)
PARA: VIGILADOS DE LA SUPERINTENDENCIA NACIONAL DE SALUD
DE: SUPERINTENDENCIA NACIONAL DE SALUD
ASUNTO: INSTRUCCIONES GENERALES RELATIVAS AL SUBSISTEMA DE ADMINISTRACIÓN DEL RIESGO DE CORRUPCIÓN, OPACIDAD Y FRAUDE (SICOF), Y MODIFICACIONES A LAS CIRCULARES EXTERNAS 018 DE 2015, 009 DE 2016, 007 DE 2017 Y 003 DE 2018|
FECHA: 17-09-2021 Ver Circular Externa 2022151000000053-5 de 2022.
TABLA DE CONTENIDO
l. ANTECEDENTES
1.1. Normas y Estándares Internacionales
1.2. Normas Nacionales
2. ÁMBITO DE APLICACIÓN
3. INSTRUCCIONES ESPECÍFICAS PARA EPS EMP Y SAP
3.1. Modificación Circular Externa 007 de 2017
3.1.1. Modifíquense las medidas 108 y 109 del numeral 3.4 “MEDIDAS DE CONDUCTA” de la Circular Externa 007 de 2017, las cuales quedarán así:
4. INSTRUCCIONES ESPECÍFICAS PARA IPS
4.1. GRUPOS DE CLASIFICACIÓN DE INSTITUCIONES PRESTADORAS DE SERVICIOS DE SALUD (IPS)
4.2. Modificación y adición Circular Externa 003 de 2018
4.2.1. Modifíquese el numeral 2 “Ámbito de Aplicación”, el cual quedará así: 10
4.2.2. Adiciónense las siguientes medidas: 4.2.3. Modifíquense las medidas 105 y 106 del numeral 3.4 “MEDIDAS DE CONDUCTA”, las cuales quedarán así:
5. INSTRUCCIONES PARA TODOS LOS VIGILADOS
5.1. Modificación Circular Externa 009 de 2016
5.1.1. Modifíquese el ASUNTO, el cual quedará así:
5.1.2. Sustitúyase el numeral 3 “Ámbito de Aplicación”, el cual quedará así:
5.1.3. Modifíquese el numeral 5 y en particular el 5.1.1, los cuales quedarán así:
5.1.4. Modifíquese el párrafo único del numeral 5.2.1 “POLÍTICAS” el cual quedará así:
5.1.5. Modifíquese el numeral 5.2.2 “PROCEDIMIENTOS” hasta el numeral 5.2.2.2.2.3., el cual quedará así:
5.1.6. Adiciónese al numeral 5.2.2.2.2.6 “Establecer herramientas para identificar operaciones inusuales y/o sospechosas”, lo siguiente:
5.1.7. Adiciónese al numeral 5.2 “Elementos del SARLAFT”, lo siguiente:
5.1.8. Modifíquese el numeral 6.1 “JUNTA DIRECTIVA O QUIEN HAGA SUS VECES”, el cual quedará así:
5.1.9. Adiciónese el párrafo único al numeral 6.2.1 “OFICIAL DE CUMPLIMIENTO”, así:
5.1.10. Adiciónese el numeral 6.4 “Auditoría Interna, o quien ejecute funciones similares, o quien haga sus veces”, así:
5.1.11... Modifíquese el numeral 7 “INFRAESTRUCTURA TECNOLÓGICA”, el cual quedará así:
5.1.12. Elimínese de la Circular Externa 009 de 2016, lo siguiente:
5.2. Instrucciones Relativas al Subsistema de Administración del Riesgo de Corrupción, Opacidad y Fraude - SICOF
5.2.1. Definiciones
5.2.2. Etapas del SICOF
5.2.3. Elementos del SICOF
5.2.4. Colaboración con la Justicia y Autoridades Administrativas
6. ANEXO TÉCNICO
7. DEROGATORIAS
8. PERIODO DE TRANSICIÓN
9. VIGENCIA
10. CONTROL AL CUMPLIMIENTO DE LA CIRCULAR
1. ANTECEDENTES
El artículo 36 de la Ley 1122 de 2007 establece el Sistema de Inspección, Vigilancia y Control del Sistema General de Seguridad Social en Salud, como un conjunto de normas, agentes y procesos articulados entre sí, en cabeza de la Superintendencia Nacional de Salud. Dentro de la función de inspección, según el artículo 35 de la misma Ley, se encuentran las acciones encaminadas al seguimiento, monitoreo y evaluación del precitado sistema, que implican la solicitud, confirmación y análisis puntual de la información financiera, técnica científica, administrativa y económica que se requiera de las entidades sometidas a vigilancia de la Superintendencia Nacional de Salud, entre las que se encuentran, según el artículo 121 de la Ley 1438 de 2011, los prestadores de servicios de salud públicos, privados y mixtos.
Por su lado, el numeral 2 del artículo 7° del Decreto número 1080 de 2021, establece como función de la Superintendencia Nacional de Salud la de: “Emitir instrucciones a los sujetos vigilados sobre el cumplimiento de las disposiciones normativas que regulan su actividad, fijar los criterios técnicos y jurídicos que faciliten el cumplimiento de tales normas y señalar los procedimientos para su cabal aplicación”.
Teniendo en cuenta la importancia de evitar cualquier acto de Corrupción, Opacidad o Fraude al interior de las organizaciones vigiladas por la Superintendencia Nacional de Salud, se ha provisto un robusto marco legal y técnico tanto nacional como internacional tendiente a evitar la concreción de tales conductas, en el que se encuentran normas, estándares y lineamientos, entre los que se encuentran:
1.1. Normas y Estándares Internacionales
- Convención para Combatir el Cohecho de Servidores Públicos Extranjeros en Transacciones Comerciales Internacionales OCDE (1997).
- Lineamientos para el control del Fraude de la Commonwealth (1997). • Convención de las Naciones Unidas Contra la Corrupción UNODC (2003).
- Estándar australiano del control de Fraude y la Corrupción AS 8001- 2008.
- Estrategia Integral de lucha contra el Fraude, con el fin de mejorar la prevención y la detección del Fraude, las condiciones para la investigación del Fraude, la recuperación de activos y disuasión. Comisión Europea - 2011.
1.2. Normas Nacionales
- Ley 599 de 2000 “Por la cual se expide el Código Penal”.
- Ley 715 de 2001 “Por medio de la cual se regula el derecho fundamental a la salud y se dictan otras disposiciones”.
- Ley 906 de 2004 “Por la cual se expide el Código de Procedimiento Penal”.
- Ley 1122 de 2007 “Por la cual se hacen algunas modificaciones en el Sistema General de Seguridad Social en Salud y se dictan otras disposiciones”.
- Ley 1186 de 2008 - Por medio de la cual se aprueba el “Memorando de entendimiento entre los gobiernos de los Estados del Grupo de Acción Financiera de Sudamérica contra el lavado de activos (GAFISUD)”
- Ley 1438 de 2011 “Por medio de la cual se reforma el Sistema General de Seguridad Social en Salud y se dictan otras disposiciones”.
- Ley 1474 de 2011 “Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de Corrupción y la efectividad del control de la gestión pública”.
- Ley 1751 de 2015 “Por medio de la cual se regula el derecho fundamental a la salud y se dictan otras disposiciones”.
- Ley 1778 de 2016 “Por medio de la cual se dictan normas sobre la responsabilidad de las personas jurídicas por actos de Corrupción transnacional y se dictan otras disposiciones en materia de lucha contra la corrupción”.
- Norma Técnica Colombiana NTC-ISO 31000: 2009.
- Norma Técnica Colombiana NTC-ISO 37001: 2016.
Mediante la presente circular, se actualizan los criterios de clasificación de las Instituciones Prestadoras de Servicios de Salud (IPS), y deroga la Circular Externa 018 de 2015. Esta agrupación de las entidades se realiza con el fin de diseñar metodologías e instrumentos de supervisión acordes a las características de los grupos y permite darle aplicación a las demás Circulares. De igual forma, se hizo necesario actualizar la Circular Externa 009 de 2016 para dar instrucciones precisas a los demás vigilados que no les aplicaba, para lo cual era necesario actualizar las Circulares Externas 007 de 2017 y 003 de 2018, ya que el gobierno corporativo es la base de una buena gestión de riesgos.
2. ÁMBITO DE APLICACIÓN
La presente circular Externa está dirigida a Entidades Promotoras de Salud (EPS), de los Regímenes Contributivo, Subsidiado, Especial y de Excepción, Empresas de Medicina Prepagada (EMP), Servicios de Ambulancia Prepagada (SAP), Entidades Territoriales (ET), Servicio de Transporte Especial de Pacientes (SETP) y las Instituciones Prestadoras de Servicios de Salud (IPS), Públicas, Privadas y Mixtas; a los representantes legales, socios, accionistas, revisores fiscales, Alta Gerencia, Máximos Órganos Sociales, Oficiales de Cumplimiento, administradores, director de riesgos y/o quien haga sus veces; y personas naturales como los Representantes Legales, Socios, Accionistas, Revisores Fiscales, Oficiales de Cumplimiento, entre otros.
3. INSTRUCCIONES ESPECÍFICAS PARA EPS, EMP Y SAP
3.1. Modificación Circular Externa 007 de 2017
3.1.1. Modifíquense las medidas 108 y 109 del numeral 3.4 “MEDIDAS DE CONDUCTA” de la Circular Externa 007 de 2017, las cuales quedarán así:
“Medida 108. La entidad cuenta con lineamientos de Conducta que recogen todas las disposiciones correspondientes a la gestión ética de la organización en el día a día. Estos deben contener los principios, valores y directrices que todo empleado de una EPS, EMP o SAP, debe tener en cuenta en el ejercicio de sus funciones, en coherencia con lo dispuesto en esta circular para el tema de Buen Gobierno.
La entidad debe propender por adoptar diferentes políticas y medidas encaminadas a implementar acciones para el fortalecimiento continuo de una cultura ética, transparente, de lucha contra la corrupción, opacidad, fraude, una gestión antisoborno, y un Código de Integridad que esté acompañado de valores como: Honestidad, Respeto, Compromiso, Diligencia y Justicia, entre los demás valores que consideren relevantes las entidades.
Los objetivos de estas políticas, medidas, acciones y valores del código de integridad son prevenir, detectar, y, cuando sea del caso, denunciar la corrupción, la opacidad y el fraude que, en cualquiera de sus formas, eventualmente se pueda presentar, por parte o en contra de una entidad.
La implementación y seguimiento de estas medidas van estrechamente ligados a las políticas y principios establecidos por la entidad, y deben estar provistos en el Gobierno Organizacional (Código de Conducta y de Buen Gobierno), de ahí la importancia de su implementación y mejoramiento continuo.
Medida 109. Los lineamientos de Conducta están estructurados como mínimo, sobre los siguientes pilares temáticos:
a) Los principios éticos y valores institucionales.
b) Código de integridad que reúna valores como: Honestidad, Respeto, Compromiso, Diligencia y Justicia[1], entre otros que la entidad considere para su código.
c) Direccionamiento estratégico de la entidad.
d) Las políticas para propender una gestión ética, en la interacción con los diferentes grupos de interés; entre la empresa y los usuarios internos y externos, entre los funcionarios y el manejo de la información y uso de los bienes, el medio ambiente, entre otros.
e) Pautas que guíen las relaciones con cada uno de los grupos de interés de la Entidad.
f) Pautas de conducta frente a la corrupción, la opacidad, el fraude y la gestión antisoborno.
g) El tratamiento de las actuaciones ilegales o sospechosas.
h) Pautas de comportamiento frente a regalos e invitaciones.
i) Principios de responsabilidad social empresarial.
j) Mecanismos para la difusión y socialización permanente de los lineamientos de Conducta.
k) El establecimiento de los procesos e instancias que permitan, a través de indicadores, el control sobre el sistema de gestión ética institucional”.
4. INSTRUCCIONES ESPECÍFICAS PARA IPS
4.1. GRUPOS DE CLASIFICACIÓN DE INSTITUCIONES PRESTADORAS DE SERVICIOS DE SALUD (IPS)
A. Instrucciones para realizar la clasificación
1.1. Las Instituciones Prestadoras de Salud públicas, privadas o mixtas, se clasificarán en alguno de los grupos definidos en la Sección B de la presente circular.
1.2. Los criterios que conforman cada grupo no son excluyentes entre sí, por lo que, si la entidad cumple con al menos uno de los criterios enumerados, es condición suficiente para quedar clasificada en el grupo.
1.3. La entidad debe verificar en orden descendente los criterios de cada grupo, iniciando por el grupo B y hasta el grupo D3, y clasificarse en el grupo de mayor nivel si cumple con alguno de los criterios de ese grupo, condición que la excluye de quedar clasificada en cualquier otro grupo.
1.4. Adicional al grupo principal único, la IPS debe verificar si también cumple con alguno de los criterios necesarios para pertenecer al Subgrupo A definido en la Sección C de la presente circular. Este Subgrupo se debe entender como una clasificación complementaria y adicional a su grupo principal, y en ningún caso reemplaza al grupo principal.
1.5. Anualmente las IPS deberán verificar el grupo en el que se encuentra de acuerdo con los criterios establecidos en la presente circular. En el caso en que se presente un cambio de grupo en forma descendente en la lista, deberá solicitar a la SNS su reclasificación manifestando de forma clara el cambio de grupo de acuerdo con los lineamientos señalados la cual será evaluada por esta entidad. En caso de que el cambio sea ascendente este se realizará de forma automática en el sistema, razón por la cual no deberá realizarse ninguna solicitud.
1.6. La IPS debe cumplir con la respectiva normatividad expedida por la Superintendencia Nacional de Salud referente al grupo y subgrupo en el que se encuentre clasificada. Esto también aplica para el cumplimiento de normatividad e instrucciones emitidas por la Superintendencia Nacional de Salud previas a la fecha de expedición de la presente circular. De ninguna manera exceptúa a las entidades del cumplimiento de la normatividad vigente.
1.7. Estos grupos se crean con fines conceptuales y funcionales para el desarrollo del modelo de Inspección, Vigilancia y Control de la Superintendencia Nacional de Salud, y en ningún caso eximen a las IPS de sus responsabilidades en otros ámbitos. Esta clasificación permite y facilita el diseño de políticas diferenciadas y acordes a cada grupo por parte de la Superintendencia Nacional de Salud.
1.8. Para fines de la clasificación, en cuanto a los criterios relacionados con los activos, ingresos o patrimonio totales, estos se deben calcular en términos de Unidad de Valor Tributario (UVT), la cual se fija anualmente por la Dirección de Impuestos y Aduanas Nacionales (DIAN), tomando el valor de UVT para el mismo periodo de corte empleado para la clasificación de acuerdo con la tabla del literal B del numeral 4.1 de la presente circular.
B. Criterios de clasificación de IPS
Para la identificación y selección del grupo en que cada IPS quedará clasificada, se establecen los siguientes criterios. Para identificar el grupo al cual pertenece la IPS debe seguir las instrucciones del literal A del numeral 4.1 de la presente circular:
Nota: Las fuentes de información para elaborar los umbrales de cada criterio corresponden a la información reportada por las IPS en el Archivo Tipo FT001 de la Circular Externa 016 de 2016, la información de los módulos de Estado de Resultados y Balance General del Sistema de Información Hospitalaria (SIHO) y la información del Registro Especial de Prestadores de Servicios de Salud (REPS).
Parágrafo. Para las IPS que no contaban con servicios habilitados en la vigencia anterior debido a que la entidad fue creada en la vigencia actual, se clasificarán de acuerdo con los servicios registrados en REPS al último día del mes de su creación.
C. Criterios de clasificación de IPS en el Subgrupo A
Adicional a la selección del grupo principal en la Sección B de esta circular, las IPS deben identificar si cumplen con alguno de los criterios para pertenecer al Subgrupo A. Entendiendo este Subgrupo como una clasificación complementaria y adicional a su clasificación principal, que en ningún caso reemplaza la clasificación principal de la sección B, lo que también aplica para el cumplimiento de normatividad e instrucciones emitidas por la Superintendencia Nacional de Salud previas a la fecha de expedición de la presente circular.
Las IPS que cuenten con la clasificación complementaria del Subgrupo A deberán cumplir con las instrucciones que se emitan para este subgrupo, y a su vez todas aquellas que correspondan al grupo en el cual quedó clasificada, siguiendo los criterios de la sección B de la presente circular.
En caso de no cumplir con alguno de los siguientes criterios únicamente contará con su clasificación principal:
Parágrafo. Las entidades que según la Circular número 018 de 2015 (antes de la presente modificación) pertenecían al grupo A deben reclasificarse según los criterios de la sección B. Las instrucciones para el subgrupo A difieren de aquellas que se habían emitido para el grupo A de la CE018 de 2015.
Parágrafo Transitorio. El presente numeral regirá a partir del 30 de abril del 2022.
4.2. Modificación y adición Circular Externa 003 de 2018
4.2.1. Modifíquese el numeral 2 “Ámbito de Aplicación”, el cual quedará así:
“2. ÁMBITO DE APLICACIÓN
La presente circular Externa está dirigida a las IPS de los grupos C1, C2 y D1, establecidos en la Circular Externa 018 de 2015 de la Superintendencia Nacional de Salud, o las normas que la modifiquen, sustituyan o eliminen”.
4.2.2. Adiciónense las siguientes medidas:
4.2.2.1. Adiciónese la medida 18.1 al numeral 3.3.2.1.1.“Responsabilidades”, así:
“Medida 18.1. Dentro de la implementación del Sistema Integrado de Gestión de Riesgos y de cada uno de los Subsistemas de Administración de Riesgos de la entidad, se deberán asignar como mínimo las siguientes funciones a la Junta Directiva u órgano de administración que haga sus veces:
a) Aprobar las políticas de la entidad en materia de administración de todos los riesgos que pueden afectar los objetivos de la entidad y que son presentadas por el Comité de Riesgos, a partir del trabajo con el área de gestión de riesgos, en caso de que existan, órgano equivalente o de las diferentes áreas de la entidad.
b) Aprobar los reglamentos, manuales de procesos, procedimientos y funciones de las áreas pertenecientes a la entidad, así como sus respectivas actualizaciones.
c) Aprobar el Código de Conducta y de Buen Gobierno, el sistema de control interno, la estructura organizacional y tecnológica del Sistema Integrado de Gestión de Riesgos.
d) Aprobar el diseño y definir la periodicidad de los informes internos para los reportes de la gestión de los riesgos, especialmente los prioritarios que se van a presentar a las diferentes áreas de la entidad.
e) Aprobar el marco general de indicadores de alerta temprana y los límites de exposición como mínimo a los riesgos prioritarios.
f) Aprobar las actuaciones en caso de sobrepasar o exceder los límites de exposición como mínimo frente a los riesgos prioritarios o cualquier excepción de las políticas, así como los planes de contingencia a adoptar en caso de presentarse escenarios extremos.
g) Conocer los resultados de las pruebas de tensión (stress test) en el caso que apliquen y el plan de acción a ejecutar con base en ellos, presentado por el Comité de Riesgos u órgano equivalente.
h) Garantizar los recursos técnicos y humanos que se requieran para implementar y mantener en funcionamiento el Sistema Integrado de Gestión de Riesgos, teniendo en cuenta las características de cada riesgo y el tamaño y complejidad de la entidad.
i) Realizar el nombramiento del Comité de Riesgos en caso de que la entidad decida establecerlo, definir sus funciones y aprobar su reglamento, de acuerdo con las normas legales que le apliquen.
j) Pronunciarse y hacer seguimiento sobre los informes periódicos que elabore el Comité de Riesgos y la Revisoría Fiscal, respecto a los niveles de riesgo asumidos por la entidad, las medidas correctivas aplicadas para que se cumplan los límites de riesgo previamente establecidos y las observaciones o recomendaciones adoptadas para el adecuado desarrollo de cada uno de los Subsistemas de Administración de Riesgo.
k) Designar la(s) instancia(s) responsable(s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de la exposición como mínimo a los riesgos prioritarios en los casos que aplique.
l) Aprobar las metodologías de segmentación, identificación, medición, control y monitoreo de los diferentes Subsistemas de Administración de Riesgos, diseñadas por la instancia responsable.
m) Monitorear el cumplimiento de los lineamientos de los diferentes Subsistemas de Administración de Riesgos promoviendo su continuo fortalecimiento y que la toma de decisiones esté en función de la selección e implementación de las estrategias para el tratamiento y control de los diversos riesgos y de su comportamiento.
4.2.2.2. Adiciónese la medida 50.1 al numeral 3.3.2.1.6.3 “Comité de Riesgos”, así:
“Medida 50.1 Dentro de la implementación del Sistema Integrado de Gestión de Riesgos y de cada uno de los Subsistemas de Administración de Riesgos de la entidad, se deberán asignar como mínimo las siguientes funciones a cargo del Comité de Riesgos:
a) Evaluar y formular a la Junta Directiva o quien haga sus veces, las metodologías de segmentación, identificación, medición, control y monitoreo de los riesgos a los que se expone la entidad, para mitigar su impacto, presentadas y diseñadas por el área de gestión de riesgos. Asimismo, las actualizaciones a las que haya lugar.
b) Velar por el efectivo, eficiente y oportuno funcionamiento del ciclo general de gestión de riesgos, incluyendo todas las etapas que se mencionaron en el punto anterior, para cada uno de los riesgos identificados.
c) Evaluar y formular a la Junta Directiva o quien haga sus veces, los ajustes o modificaciones necesarios a las políticas de los diferentes Subsistemas de Administración de Riesgos, presentadas y diseñadas por el área de gestión de riesgos.
d) Evaluar y proponer a la Junta Directiva o quien haga sus veces, el manual de procesos y procedimientos y sus actualizaciones, a través de los cuales se llevarán a la práctica las políticas aprobadas para la implementación de los diferentes Subsistemas de Administración de Riesgos.
e) Identificar las consecuencias potenciales que pueda generar la materialización de los diferentes riesgos sobre las operaciones que realiza la entidad.
f) Evaluar los límites de exposición para cada uno de los riesgos identificados, y presentar a la Junta Directiva y al Representante Legal, las observaciones o recomendaciones que considere pertinentes, presentadas y diseñadas por el área de gestión de riesgos.
g) Objetar la realización de aquellas operaciones que no cumplan con las políticas o límites de riesgo establecidas por la entidad o grupo empresarial oficialmente reconocido al cual está pertenezca. Cabe resaltar que de acuerdo con las políticas que establezca la entidad, cada instancia podrá tener diferentes atribuciones para aprobar operaciones que incumplan las políticas establecidas inicialmente por la entidad y que violen los límites de exposición para cada uno de los riesgos identificados.
h) Conocer y discutir los resultados de las pruebas de tensión (stress test) en el caso que apliquen y el plan de acción a ejecutar con base en ellos para informarlo a la Junta Directiva, Consejo de Administración u órgano que haga sus veces.
i) Informar a la Junta Directiva y al Representante Legal sobre los siguientes aspectos:
- El comportamiento y los niveles de exposición de la entidad a cada uno de los riesgos (como mínimo los riesgos prioritarios), así como las operaciones objetadas. Los informes sobre la exposición de riesgo deben incluir un análisis de sensibilidad por escenarios y pruebas bajo condiciones extremas basadas en supuestos razonables (stress testing).
- Las desviaciones con respecto a los límites de exposición de riesgo previamente establecidos, si se llegasen a presentar (posibles incumplimientos frente a los límites), operaciones poco convencionales o por fuera de las condiciones de mercado y las operaciones con vinculados.
- Validar e informar a la Junta Directiva y al Representante Legal, el avance en los planes de acción y de mejoramiento, para la adopción de las medidas que se requieran frente a las deficiencias informadas, respecto a temas relacionados con el Sistema Integrado de Gestión de Riesgos”.
4.2.3. Modifíquense las medidas 105 y 106 del numeral 3.4 “MEDIDAS DE CONDUCTA”, las cuales quedarán así:
“Medida 105. La entidad prestadora de servicios de salud cuenta con lineamientos de Conducta que recogen todas las disposiciones correspondientes a la gestión ética en el día a día de la organización. Estos deben contener los principios, valores y directrices que, en coherencia con lineamientos dispuestos en esta circular para el tema de Buen Gobierno, todo empleado de IPS debe ejercer en el ejercicio de sus funciones.
La entidad debe propender por adoptar diferentes políticas y medidas encaminadas en implementar acciones para el fortalecimiento continuo de una cultura ética, transparencia, lucha contra la corrupción, opacidad, fraude, una gestión antisoborno, y un Código de Integridad que esté acompañado de valores como la Honestidad, el Respeto, el Compromiso, la Diligencia y la Justicia, entre los demás valores que consideren relevantes las entidades. Los objetivos de estas políticas, medidas, acciones y valores del Código de Integridad son prevenir, detectar y, cuando sea del caso, denunciar la corrupción, la opacidad y el fraude que, en cualquiera de sus formas, eventualmente se pueda presentar, por parte o en contra de una entidad.
La implementación y seguimiento de las medidas anteriores van estrechamente ligados a las políticas y principios establecidos por la entidad, y deben estar provistos en el Gobierno Organizacional (Código de Conducta y de buen gobierno); de ahí la importancia de su implementación y mejoramiento continuo.
En el caso de las IPS públicas, los lineamientos a los que se refiere esta medida serán construidos teniendo en cuenta lo establecido al respecto por la Ley 1474 de 2011, Ley 190 de 1995 o las normas que la modifiquen, sustituyan o eliminen.
Medida 106. Los lineamientos de Conducta están estructurados, como mínimo, sobre los siguientes órdenes temáticos:
a) Principios éticos y valores institucionales.
b) Código de integridad que reúna valores como la Honestidad, el Respeto, el Compromiso, la Diligencia y la Justicia[2]
c) Pautas que guíen las relaciones con cada uno de los grupos de interés de la Entidad.
d) Pautas de conducta frente a la corrupción, la opacidad, el fraude y la gestión antisoborno.
e) Tratamiento a las actuaciones ilegales o sospechosas.
f) Pautas de comportamiento frente a regalos e invitaciones.
g) Principios de responsabilidad social empresarial.
h) Mecanismos para la difusión y socialización permanente de los lineamientos de Conducta.
i) Establecimiento de los procesos e instancias que permitan, a través de indicadores, el control sobre el sistema de gestión ética institucional. En el caso de las IPS públicas, los lineamientos a los que se refiere esta medida serán construidos teniendo en cuenta lo establecido al respecto por la Ley 1474 de 2011, Ley 190 de 1995 o las normas que la modifiquen, sustituyan o eliminen”.
5. INSTRUCCIONES PARA TODOS LOS VIGILADOS
5.1. Modificación Circular Externa 009 de 2016
5.1.1. Modifíquese el ASUNTO, el cual quedará así:
“Por la cual se imparten instrucciones relativas al sistema de administración del riesgo de lavado de activos, financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva y reporte de información”.
5.1.2. Sustitúyase el numeral 3 “Ámbito de Aplicación”, el cual quedará así:
“3. ÁMBITO DE APLICACIÓN
La presente circular aplica de forma obligatoria a las Entidades Promotoras de Salud de los regímenes contributivo y subsidiado, a las Empresas de Medicina Prepagada, a los Servicios de Ambulancia Prepagada, a las secretarías municipales, departamentales y distritales de salud, y a las Instituciones Prestadoras de Salud (IPS) públicas, privadas y mixtas de los grupos C1, C2 y D1 definidos en el numeral 4.1 de la presente circular, la cual deja sin efecto la Circular Externa 018 de 2015.
En razón a que la presente circular tiene como objetivo proporcionar instrucciones administrativas generales para todos los vigilados de la Superintendencia Nacional de Salud, en el diseño e implementación del Sistema de Administración del Riesgo de Lavado de Activos, Financiación del Terrorismo (SARLAFT) y Financiación de la Proliferación de Armas de Destrucción Masiva (FPADM), su ámbito de aplicación también incluye a las Empresas Promotoras de Salud Indígenas EPS-I.
Lo anterior, con fundamento en lo conceptuado por el Director de Consulta Previa del Ministerio del Interior mediante oficio con Nro. OFI15-000034420-DCP-2500 del 21 de agosto de 2015, que, con relación a la necesidad de surtir el trámite de consulta previa en las medidas administrativas adoptadas por la SNS, señaló:
(...) “... la práctica de medidas especiales ejercidas por la Superintendencia Nacional de Salud sobre las entidades sujetas a su vigilancia se constituye en una medida administrativa de carácter general, puesto que afecta de forma igualmente uniforme a la totalidad de dichas entidades, es decir, de las EPS, entre ellas las EPS de las comunidades tradicionales, por lo cual no están, prima facie, sujetas al deber de consulta previa.
Así pues, estas medidas administrativas no pueden predicarse de forma específica a los pueblos indígenas pues, de un lado, no van en desmedro de su calidad de vida ni niegan su derecho a la participación, y de otro lado, no están intrínsecamente ligadas, ni guardan vínculo necesario con su definición de identidad, conocimiento, ancestral y autonomía, en el entendido que su aplicación no hace nugatoríos sus derechos a la salud ni impide la aplicación de sus conocimientos en medicina tradicional mediante sus instituciones propias, prerrogativas estas que están ampliamente garantizadas por la Constitución Política a las comunidades étnicas desde el punto de vista del enfoque diferencial”. (Resaltado fuera del texto).
Para las IPS de los grupos D2 y D3, el Servicio de Transporte Especial de Pacientes y los Regímenes Especiales y de Excepción, las instrucciones de la presente circular son de adopción voluntaria, a excepción de las siguientes, que son de carácter obligatorio. Es de señalar que la relacionada con la designación de un oficial de cumplimiento es de carácter optativo para las entidades exceptuadas.
Así mismo, para las entidades exceptuadas la designación de un oficial de cumplimiento es opcional, por tanto, no es obligatorio el cumplimiento de las disposiciones contenidas en el numeral 6.2.2 de la Circular número 009 de 2016.
5.1.3. Modifíquese el numeral 5 y en particular el 5.1.1, los cuales quedarán así:
“5. SISTEMA DE ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS DE LA FINANCIACIÓN DEL TERRORISMO Y FINANCIACIÓN DE LA PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA -SARLAFT / PADM
El SARLAFT es el sistema de prevención y control que deben implementar los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) para la adecuada gestión del riesgo de Lavado de Activos/ Financiación del Terrorismo - LA/FT, en virtud del cual, tales agentes deben adoptar procedimientos y herramientas que contemplen todas las actividades que realizan en desarrollo de su objeto social y que se ajusten a su tamaño, actividad económica, forma de comercialización y demás características particulares.
El mencionado sistema debe comprender el diseño, aprobación e implementación de políticas y procedimientos para la prevención y control del riesgo de LA/FT. Las políticas y procedimientos que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del SARLAFT y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad, sus empleados y socios.
Los parámetros establecidos en la presente circular son los mínimos exigidos, por lo que cada vigilado que sea sujeto de esta circular podrá adoptar reglas y prácticas por encima del mínimo exigido.
Aquellas personas jurídicas que ya tienen implementadas políticas, procedimientos y/o sistemas de prevención y control del riesgo de LA/FT, deberán verificar el cumplimiento de los parámetros mínimos dispuestos en la presente circular, realizando las modificaciones a que haya lugar. Esta revisión se debe llevar a cabo, como mínimo una vez al año, sin perjuicio de que se pueda hacer en un periodo inferior por decisión de la Junta Directiva de la entidad vigilada u órgano que haga sus veces, conforme a su análisis de riesgo de LA/FT o de esta Superintendencia en desarrollo de sus actividades de supervisión. En todo caso, las entidades vigiladas deberán realizar esta revisión siempre que se presenten situaciones que requieran la adopción de medidas efectivas para fortalecer el SARLAFT. Las entidades vigiladas deben tener a disposición de esta Superintendencia los medios verificables a través de los cuales se demuestre la realización de dicha revisión.
La adopción del SARLAFT debe cumplir como mínimo con lo siguiente:
5.1. ETAPAS DEL SARLAFT
El SARLAFT que implementen los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) debe comprender como mínimo las siguientes etapas:
5.1.1 Identificación del riesgo
5.1.2 Evaluación y Medición
5.1.3 Controles
5.1.4 Seguimiento y monitoreo
5.1.1. IDENTIFICACIÓN DEL RIESGO:
El SARLAFT debe permitir a los Agentes del SGSSS reconocer, explorar exhaustivamente y documentar los riesgos inherentes de LA/FT/FPADM en el desarrollo de su actividad, teniendo en cuenta los factores de riesgo y señales de alerta identificadas en la presente circular, más las que logre identificar la entidad mediante el desarrollo normal del negocio. Asimismo, debe identificarse el riesgo derivado de un nuevo producto o por la modificación de los existentes, así como situaciones que generen algún grado de incertidumbre por su magnitud o expectativas en el mercado o que supongan la intervención de terceros inversionistas, variación de coberturas, contratos o cualquier otra operación de los Agentes.
Para identificar el riesgo de LA/FT/FPADM, los Agentes del SGSSS deben como mínimo establecer metodologías para la segmentación de los factores de riesgo. Al aplicar estas metodologías, los Agentes del SSSGS deben estar en capacidad de identificar los factores de riesgo de LA/FT/FPADM, los efectos potenciales y los riesgos asociados. Las entidades supervisadas podrán seleccionar las metodologías y técnicas que consideren más adecuadas, dentro de las que se encuentran encuestas, entrevistas estructuradas con expertos, talleres, y técnicas de escenarios, entre otras.
Así mismo, esta etapa debe estar acompañada de un ejercicio de revisión, evaluación y análisis de contexto interno y externo del vigilado donde se evalúen aspectos como: factores de riesgo a los cuales se encuentra expuesto, los riesgos asociados que podrían materializarse, entre otros, y deben estar claramente documentados, los cuales servirán y deberán estar conectados a la matriz de riesgos y la segmentación de factores”. (...)
5.1.4. Modifíquese el párrafo único del numeral 5.2.1 “POLÍTICAS” el cual quedará así:
“5.2.1. POLÍTICAS
Son los lineamientos generales que deben adoptar las entidades vigiladas por la Superintendencia Nacional de Salud en relación con el SARLAFT. Durante cada una de las etapas del SARLAFT se debe contar con políticas claras y aplicables.
Como mínimo, las políticas que adopten las entidades deberán:
- Establecer lineamientos para la prevención y resolución de conflictos de interés. - Señalar los lineamientos que debe adoptar la entidad frente a los factores de riesgo y los riesgos asociados de LA/FT/FPADM.
- Garantizar la reserva de la información reportada conforme lo establece el artículo 105 del Estatuto Orgánico del Sistema Financiero (EOSF).
- Establecer las consecuencias que genera el incumplimiento del SARLAFT.
- Establecer el compromiso y la exigencia de que los funcionarios antepongan el cumplimiento de las normas en materia de administración de riesgo de LA/FT/FPADM al logro de las metas comerciales.
- Consagrar el deber de los órganos de administración y de control de las entidades vigiladas, del oficial de cumplimiento, así como de todos los funcionarios, de asegurar el cumplimiento de los reglamentos internos y demás disposiciones relacionadas con el SARLAFT.
- Consagrar lineamientos más exigentes de vinculación de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que, por su perfil o por las funciones que desempeñan, pueden exponer en mayor grado a la entidad al riesgo de LA/FT/FPADM.
- Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT. Instrumentar las diferentes etapas y elementos del SARLAFT, que se puede realizar a través de la parametrización de las herramientas tecnológicas establecidas por la entidad para soportar el funcionamiento del mismo”. (…)
5.1.4. (sic) Modifíquese el numeral 5.2.2 “PROCEDIMIENTOS” hasta el numeral 5.2.2.2.2.3., el cual quedará así:
“5.2.2. PROCESOS Y PROCEDIMIENTOS
Las entidades a las que se dirige la presente circular deben establecer procesos y procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT, adoptando los controles que permitan reducir la posibilidad de que las operaciones, negocios y contratos que se hayan realizado o se intenten realizar, sean utilizadas para dar apariencia de legalidad a actividades de LA/FT/ FPADM.
Asimismo, el control implica la detección de las operaciones que no se ajustan a la normalidad del negocio o actividad, y el análisis correspondiente para determinar si se tratan de posibles operaciones sospechosas.
Los procedimientos deberán como mínimo:
- Instrumentarlas diferentes etapas y elementos del SARLAFT.
- Identificar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual.
- Atender los requerimientos de información por parte de autoridades competentes.
- Dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia.
- Implementar medidas efectivas para consultar de forma permanente las listas internacionales vinculantes para Colombia.
- Consagrar las sanciones por incumplimiento a las normas relacionadas con el SARLAFT, así como los procesos para su imposición.
- Prever procesos para llevar a cabo un efectivo, eficiente y oportuno conocimiento de los clientes actuales y potenciales, así como la verificación de la información suministrada y sus correspondientes soportes:
- Establecer procedimientos especiales respecto de países de mayor riesgo.
- Implementar las metodologías para la detección de operaciones inusuales y sospechosas, y el oportuno y eficiente reporte de estas últimas a las autoridades competentes.
“5.2.2.1. Diseño de procedimientos
El diseño de los procedimientos para la implementación del SARLAFT es responsabilidad del Oficial de Cumplimiento de la entidad quien deberá presentarlas para su aprobación al máximo órgano social o junta directiva.
5.2.2.2 Aprobación de procedimientos
La Junta Directiva o quien haga sus veces, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada, será el responsable de aprobar el manual de procedimientos del SARLAFT que se aplicará en las empresas obligadas al cumplimiento de esta norma.
En este sentido, el manual de procedimientos del SARLAFT debe estar conformado por medidas y procedimientos suficientes que permitan dar cumplimiento a este objetivo e incluir por lo menos lo siguiente:
5.2.2.2.1. Identificar las situaciones que le generen riesgo de LA/FT/FPADM en las operaciones, negocios o contratos que realiza la entidad: Los procedimientos para la prevención del riesgo de LA/FT/FPADM deben contemplar la revisión de todas las etapas del SARLAFT y las operaciones, negocios y contratos que realiza la entidad, con el propósito de identificar las situaciones que puedan generarle riesgo de LA/FT/ FPADM. Esta identificación implica evaluar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual, en situaciones tales como operaciones con clientes y/o contrapartes, usuarios, productos, canales de distribución y jurisdicción territorial. La identificación puede hacerse a través del examen a los procesos establecidos, o consultando la experiencia y opiniones de los asociados, administradores y empleados.
Una vez identificadas las situaciones que puedan generarle riesgo de LA/FT/FPADM según las fuentes de riesgo, el Oficial de Cumplimiento debe elaborar una relación y dejar documentado el análisis de cada una, con el fin de implementar los controles necesarios y facilitar su seguimiento.
Asimismo, cuando la entidad incursione en nuevos mercados u ofrezca nuevos bienes o servicios, el Oficial de Cumplimiento deberá evaluar el riesgo de LA/FT/FPADM que implica, dejando constancia de este análisis.
5.2.2.2.2 Verificación procesos de debida diligencia: Para verificar los procesos de debida diligencia, la Superintendencia Nacional de Salud tendrá en cuenta como mínimo los siguientes procesos:
5.2.2.2.2.1. Conocimiento de los clientes y usuarios: La debida diligencia en el conocimiento de los clientes y/o contrapartes y usuarios será implementada según las características particulares del negocio y de la comercialización de los servicios que presta.
Debido a la obligatoriedad del aseguramiento y la prestación de servicios de salud por parte de las EPS y prestadores, no se consideran como clientes y/o contrapartes los usuarios (afiliados) de las EPS, ni los pacientes de las IPS cuyos servicios sean cancelados efectivamente por algún tipo de seguro[3] (Plan Obligatorio de Salud, Sistema de Riesgos Laborales y Seguro Obligatorio de Accidentes de Tránsito (SOAT), Planes Adicionales de Salud, entre otros). Es así como, para estos casos, no será necesario la identificación del usuario.
Frente a la prestación de los servicios de salud, no podrá restringirse la atención en salud por parte del prestador o para el aseguramiento obligatorio, movilidad o autorización de atención en salud por la ausencia del conocimiento de los clientes y usuarios.
Los soportes y la verificación del conocimiento de clientes y usuarios implican recaudar y conservar como mínimo información que permita identificar a la persona natural o jurídica por un término no menor a cinco (5) años y deberá actualizarse como mínimo anualmente. A su vez, las entidades vigiladas pueden realizar los procedimientos de conocimiento del cliente de manera presencial o no presencial a través del uso de canales digitales o electrónicos y pueden obtener la información necesaria para realizar los procedimientos de conocimiento del cliente utilizando datos e información de fuentes confiables e independientes[4], siempre y cuando exista constancia de haber leído, entendido, aceptado y autorizado lo estipulado en el documento por parte del cliente.
Por otra parte, se recalca la importancia de validar en las personas jurídicas la identificación del beneficiario final (real) y/o accionistas y/o asociados que tengan directa o indirectamente una participación igual o superior al 25% del capital social o aporte del potencial cliente. Para el caso de las EPS, se deberá tener en cuenta lo dispuesto en el artículo 75 de la Ley 1955 de 2019 o las que lo modifiquen o sustituyan.
Adicionalmente, las políticas y procedimientos de conocimiento del cliente deben prever la verificación efectiva de la identidad de los potenciales clientes al momento de su vinculación utilizando datos e información de fuentes confiables e independientes. Para el efecto, las entidades vigiladas pueden utilizar: certificados de firma digital[5]; biometría, información disponible en los bancos de datos administrados por operadores de información en los términos previstos en la Ley, y/o cualquier otro mecanismo tecnológico que garantice la realización de una verificación efectiva de la identidad del potencial cliente conforme a las leyes colombianas.
De esta manera, será obligatorio el conocimiento de los clientes y usuarios y en general, las personas naturales y jurídicas que tienen relaciones y operaciones económicas con los Agentes del SGSSS.
Dicho conocimiento de los clientes y usuarios deberá contener como mínimo la siguiente información:
Igualmente, para el análisis de las operaciones con clientes y usuarios, la entidad debe construir una base de datos que le permita consolidar e identificar alertas presentes o futuras. Para los casos de proveedores, grupos de factor y clientes, la identificación del cliente/usuario será obligatoria dentro del diseño de políticas que la Junta Directiva o quien haga sus veces determine.
5.2.2.2.2.2. Conocimiento de personas expuestas políticamente: Si la entidad celebra operaciones con personas expuestas políticamente, como aquellas que por razón de su cargo manejan recursos públicos, se debe indagar sobre la autorización para contratar o negociar otorgada por el órgano competente para el caso en que los servicios adquiridos no sean para su beneficio personal, así como establecer el origen de los recursos. Sin embargo, aplican las mismas excepciones del numeral anterior.
En todo caso, los procesos para el conocimiento de esta clase de clientes/usuarios deben ser más estrictos, y en lo posible, la negociación debe ser aprobada por una instancia superior al interior de la organización. En este tema, lo importante es que la entidad tome las medidas necesarias, para no ser utilizada en la canalización de recursos provenientes de actos de corrupción, lavado de activos y/o financiación del terrorismo.
5.2.2.2.2.3. Conocimiento de los asociados: El SARLAFT que se adopte debe contemplar herramientas que permitan establecer plenamente la identificación del (los) beneficiario(s) final(es) (socios y/o accionistas) de la organización que de manera directa y/o indirecta, tengan una participación dentro de la sociedad, igual o superior al 5%, así como confirmar sus datos y tenerlos actualizados permanentemente. También debe permitirle conocer la procedencia de los aportes en dinero o en especie, para lo cual se deberán requerir los documentos pertinentes”. (…).
5.1.5. (sic) Adiciónese al numeral 5.2.2.2.2.6 “Establecer herramientas para identificar operaciones inusuales y/o sospechosas”, lo siguiente:
“5.2.2.2.2.6.1 Señales de alerta: Son los hechos, situaciones, eventos, cuantías, indicadores cuantitativos y cualitativos, razones financieras y demás información que la entidad determine como relevante, a partir de los cuales se puede inferir oportuna y/o prospectivamente la posible existencia de un hecho o situación que escapa a lo que la entidad, en el desarrollo del SARLAFT, ha determinado como normal.
Estas señales deben considerar cada uno de los factores de riesgo y las características de sus operaciones, así como cualquier otro criterio que a juicio de la entidad resulte adecuado.
5.2.2.2.2.6.2 Segmentación de los factores de riesgo: Las entidades deben segmentar, como mínimo, cada uno de los factores de riesgo de acuerdo con las características particulares de cada uno de ellos, asegurando que las variables de análisis definidas garanticen la consecución de las características de homogeneidad al interior de los segmentos y heterogeneidad entre ellos, según la metodología que previamente haya establecido la entidad. Para realizar la segmentación de los factores de riesgo, las entidades deben contemplar como variables, entre otras, la información recolectada durante la aplicación de los procedimientos de conocimiento del cliente y, en general, los procedimientos que hacen parte del presente Capítulo.
A través de la segmentación las entidades deben determinar las características usuales de las transacciones que se desarrollan y compararlas con aquellas que realicen los clientes, a efectos de detectar las operaciones inusuales.
5.2.2.2.2.6.3 Seguimiento de operaciones: Las entidades deben estar en capacidad de hacer seguimiento a las operaciones que realicen sus clientes y usuarios con una frecuencia acorde a la evaluación de riesgo de los factores de riesgo involucrados en las operaciones y monitorear las operaciones realizadas en cada uno de los segmentos de los factores de riesgo.
Las entidades vigiladas deben dar pleno cumplimiento a las normas relacionadas con protección de datos personales y hábeas data previstas para la aplicación de medidas intensificadas de conocimiento al cliente mencionadas en los numerales anteriores”.
5.1.6. (sic) Adiciónese al numeral 5.2 “Elementos del SARLAFT”, lo siguiente:
“5.2.3 INSTRUMENTOS
Para que los mecanismos adoptados por las entidades operen de manera efectiva, eficiente y oportuna, el SARLAFT debe contar como mínimo con los siguientes instrumentos:
5.2.3.1. Consolidación electrónica de operaciones en efectivo: Las entidades deben estar en capacidad de consolidar electrónicamente por lo menos de manera mensual, las operaciones que realicen sus clientes y usuarios a través de los productos, canales y jurisdicciones.
5.2.3.2. Matriz de riesgo: Las entidades vigiladas deben contar con una matriz de riesgos para la aplicación e implementación de las etapas del SARLAFT. La matriz de riesgos que diseñen e implementen las entidades vigiladas debe contemplar como mínimo las siguientes características, sin perjuicio de cualquier otra que consideren necesario incorporar:
- Los riesgos identificados, junto con sus respectivas causas y el impacto de su materialización.
- La relación existente entre los riesgos identificados y cada uno de los segmentos de los factores de riesgo en los que se podrían materializar los mismos.
- La relación existente entre los riesgos identificados y cada uno de los riesgos asociados.
- Las mediciones de probabilidad e impacto, tanto inherentes como residuales, para cada uno de los riesgos identificados y a nivel consolidado.
- Los controles que mitigan cada uno de los riesgos identificados, junto con las variables consideradas para la medición de su efectividad.
- Indicadores que permitan efectuar permanente seguimiento al perfil de riesgo de LA/FT/FPADM de la entidad.
Los criterios metodológicos contemplados en el diseño/construcción de la matriz de riesgos, así como la información que sirve de fuente de análisis para esta herramienta, deben ser revisados con una periodicidad mínima anual.
5.2.4 DOCUMENTACIÓN
Las etapas del ciclo general de riesgos y los elementos del SARLAFT implementados por la entidad deben quedar plasmados en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida.
Los procesos y procedimientos mencionados en el numeral 5.2.2, se deben adoptar y plasmar mediante documentos controlados, en los cuales deben quedar claramente definidas las funciones, responsabilidades y atribuciones específicas para cada uno de los funcionarios de los diferentes órganos involucrados en el SARLAFT.
5.2.4.1 Esta documentación debe contener lo siguiente:
a) Manual de procedimientos del SARLAFT, el cual debe contemplar como mínimo:
I. Las políticas para la administración del riesgo de LA/FT/FPADM.
II. Las metodologías para la segmentación, identificación, medición y control del riesgo de LA/FT/FPADM.
III. La estructura organizacional que garantice el desarrollo del SARLAFT.
IV. Los roles y responsabilidades de quienes participan en la administración del riesgo de LA/FT/FPADM.
V. Las medidas necesarias para asegurar el cumplimiento de las políticas del SARLAFT.
VI. Los procedimientos para identificar, medir, controlar y monitorear el riesgo de LA/FT/FPADM.
VII. Los procedimientos de control interno y revisión del SARLAFT.
VIII. Las estrategias de capacitación y divulgación del SARLAFT.
IX. Los procesos y procedimientos establecidos en el numeral 5.2.2 de esta circular.
b) Los documentos y registros que evidencien la operación efectiva del SARLAFT.
c) Los informes de la junta directiva, el representante legal, el oficial de cumplimiento y los órganos de control.
5.2.4.2 La entidad debe mantener en todo momento y a disposición de la Superintendencia Nacional de Salud, la documentación e información mencionadas en la presente circular y previendo como mínimo lo siguiente:
a) Las actas del máximo órgano social, o del empresario en el caso de las empresas unipersonales, o del accionista único en la sociedad por acciones simplificada unipersonal, donde conste la aprobación de las políticas del SARLAFT, así como las actas correspondientes a la aprobación de los ajustes o modificaciones que se efectúen a dichas políticas.
b) Actas de nombramiento del Oficial de Cumplimiento y documentación necesaria para verificar requisitos establecidos para ejercer dicho rol.
c) Las políticas para la administración del SARLAFT.
d) Los instructivos o manuales que contengan los procesos a través de los cuales se llevan a la práctica las políticas y procedimientos aprobados del SARLAFT. Estos documentos deberán ser firmados por el representante legal principal y ser de fácil consulta y aplicación al interior de la organización.
e) Las metodologías y procedimientos para la identificación, medición, control y el monitoreo de los riesgos identificados. A su vez, el establecimiento de los niveles de aceptación y tolerancia al riesgo.
f) Los informes presentados por el Oficial de Cumplimiento.
g) Los informes presentados por la Auditoría Interna y el Revisor Fiscal sobre el funcionamiento del SARLAFT.
h) Las constancias de envío de los Reportes de Operaciones Sospechosas - ROS remitidos a la UIAF, y demás reportes solicitados por esta Unidad.
i) Las constancias de las capacitaciones impartidas a todo el personal de la empresa y estrategias de divulgación sobre el SARLAFT.
j) Las actas de Junta Directiva en donde conste la presentación del informe del Oficial de Cumplimiento y del Revisor Fiscal y Auditoría Interna. k) Matriz de riesgos del Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo, que contenga como mínimo: identificación de factores internos y externos, riesgos identificados, análisis de probabilidad de ocurrencia de los riesgos y su impacto, identificación de los controles existentes para prevenir la ocurrencia o mitigar el impacto de los riesgos identificados, evaluación de la efectividad de los controles y definición de las acciones de mejoramiento necesarias.
l) Plan de acción de ejecución del SARLAFT.
Las políticas, el manual de procedimientos de la entidad, las bases de datos de clientes o usuarios, los requisitos del Oficial de Cumplimiento y demás información, documentación y lineamientos que estén referenciados en esta circular deben estar a disposición de la Superintendencia Nacional de Salud para ser revisados y validar que cumplen con lo establecido en las instrucciones emitidas. La SNS en virtud de sus funciones de IVC, podrá requerir dicha información en cualquier momento”.
5.1.7. (sic) Modifíquese el numeral 6.1 “JUNTA DIRECTIVA O QUIEN HAGA SUS VECES”, el cual quedará así:
Para la implementación del SARLAFT se deberán asignar como mínimo las siguientes funciones a la Junta Directiva u órgano de administración que haga sus veces. En caso de que por su naturaleza jurídica no exista dicho órgano, estas funciones corresponderán al representante legal:
a) Diseñar y actualizar las políticas para la prevención y control del riesgo de LA/ FT/FPADM que harán parte del SARLAFT, para una posterior aprobación por la Asamblea o el máximo órgano social o quien haga sus veces.
b) Aprobar el manual de procedimientos y sus actualizaciones.
c) Garantizar los recursos técnicos y humanos que se requieran para implementar y mantener en funcionamiento el SARLAFT, teniendo en cuenta las características del riesgo de LA/FT/FPADM y el tamaño de la entidad. Este equipo de trabajo humano y técnico debe ser de permanente apoyo para que el Oficial de Cumplimiento lleve a cabalidad sus funciones.
d) Asignar un presupuesto anual para contratación de herramientas tecnológicas, contratación de personal, capacitación, asesorías, consultorías, y lo necesario para mantener la operación del SARLAFT en la compañía y la actualización normativa del Oficial de Cumplimiento y su equipo.
e) Designar al Oficial de Cumplimiento y su respectivo suplente. Para efectos de dar cumplimiento a esta circular, la Junta Directiva o quien haga sus veces dará a conocer el nombramiento del Oficial de Cumplimiento a la Superintendencia Nacional de Salud, indicando nombre, profesión, cargo adjunto o de desempeño alterno (si procede), teléfonos de contacto y correo electrónico. Esta información y su respectiva actualización o modificación, deberá realizarse a través del módulo de datos generales o aplicativos de reporte de información que la Superintendencia Nacional de Salud disponga para ellos. En el caso de las entidades públicas la designación se realizará de acuerdo a los términos de ley que les aplique.
f) Incluir en el orden del día de sus reuniones, la presentación del informe del Oficial de Cumplimiento, por lo menos una vez al año o cuando este lo determine necesario.
g) Pronunciarse sobre los informes presentados por el Oficial de Cumplimiento y la Revisoría Fiscal y realizar el seguimiento a las observaciones o recomendaciones adoptadas, dejando constancia en las actas.
h) Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y Reporte de las Operaciones Sospechosas (ROS).
i) Aprobar las metodologías de segmentación, identificación, medición, control y monitoreo del SARLAFT.
j) Designar la(s) instancia(s) responsable(s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.
5.1.8. (sic) Adiciónese el párrafo único al numeral 6.2.1 “OFICIAL DE CUMPLIMIENTO”, así:
“(...) Para el caso del Oficial de Cumplimiento suplente, debidamente designado al interior de la organización (quien será el reemplazo en ausencia parcial o total del Oficial de Cumplimiento), debe cumplir como mínimo, los requisitos establecidos en los literales b al f del presente numeral.
El empresario o el accionista único, que a su vez es el Representante Legal de la empresa unipersonal o de la sociedad por acciones simplificada unipersonal, podrá autonombrarse como Oficial de Cumplimiento para los anteriores efectos.
Las IPS de los, D2 y D3, el Servicio de Transporte Especial de Pacientes y los Régimen Especiales y de Excepción no deben contar con un Oficial de Cumplimiento de acuerdo con las disposiciones contenidas en el presente numeral. Sin embargo, deben designar un funcionario, responsable de la administración de las medidas de control diseñadas para prevenir que en la realización de sus operaciones puedan ser utilizadas como instrumento para el ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u otros bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos vinculados con las mismas.
Las entidades deben designar al funcionario responsable mediante la Junta Directiva u órgano que haga sus veces, y dará a conocer al responsable a la SNS indicando nombre, profesión, cargo adjunto o de desempeño alterno (si procede), teléfonos de contacto y correo electrónico. Esta información y su respectiva actualización o modificación, deberá realizarse a través de la plataforma NRVCC módulo de datos generales o el sistema o herramienta que la SNS disponga para ello. Además, se deberá verificar que el funcionario responsable no se encuentre en una lista internacional vinculante para Colombia. (...)”.
5.1.9. (sic) Adiciónese el numeral 6.4 “Auditoría Interna, o quien ejecute funciones similares, o quien haga sus veces”, así:
Sin perjuicio de las funciones asignadas en otras disposiciones a la Auditoría Interna, o quien ejecute funciones similares o haga sus veces, esta debe evaluar semestralmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT, con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, debe informar los resultados de la evaluación al Oficial de Cumplimiento y a la Junta Directiva.
La Auditoría Interna, o quien ejecute funciones similares o haga sus veces, debe realizar una revisión periódica de los procesos relacionados con las parametrizaciones de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico”.
5.1.10. (sic) Modifíquese el numeral 7 “INFRAESTRUCTURA TECNOLÓGICA”, el cual quedará así:
“7 INFRAESTRUCTURA TECNOLÓGICA
Las entidades deben disponer y utilizar la infraestructura tecnológica y los sistemas necesarios para garantizar el funcionamiento efectivo, eficiente y oportuno del SARLAFT, los cuales deben generar informes confiables inmodificables y que garanticen la consulta permanente sobre dicha labor y contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgos asociados y tamaño. Cuando no se cuente con dicha infraestructura, debe establecer un plan de acción para cubrir esta falencia en el menor tiempo posible. Las entidades deben propender porque sus sistemas cuenten con las siguientes características:
a) Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo, garantizando que la estructura de datos definida para la captura de la información de los mismos contemple la totalidad de los campos necesarios para la adecuada administración del riesgo LAFT.
b) Consolidar las operaciones de los distintos factores de riesgo, de acuerdo con los criterios establecidos por la entidad.
c) Generar en forma automática los reportes internos y externos, distintos de los relativos a operaciones sospechosas, sin perjuicio de que todos los reportes a la UIAF sean enviados en forma electrónica.
Adicionalmente, deben contar con procesos que permitan realizar un control adecuado del cumplimiento de las políticas y límites establecidos, además de contar con un plan de conservación, custodia y seguridad de la información tanto documental como electrónica.
De igual manera, los parámetros utilizados en las aplicaciones informáticas para el SARLAFT deben ser revisados periódicamente, como mínimo una vez al año”.
5.1.11. (sic) Elimínese de la Circular Externa 009 de 2016, lo siguiente:
- Numeral 8.4 “MONITOREO Y SEGUIMIENTO”
- Numeral 10 “DOCUMENTACIÓN”
- Numeral 11 “ANEXOS TÉCNICOS”
- Numeral 12.2 “PERIODO DE TRANSICIÓN”
5.2. Instrucciones Relativas al Subsistema de Administración del Riesgo de Corrupción, Opacidad y Fraude - SICOF
Las entidades deben implementar o ajustar sus Sistemas Integrados de Gestión de Riesgos a los requisitos mínimos establecidos en esta circular, en forma tal que el mismo resulte acorde con el tamaño de su organización (en términos de número de empleados, cantidad de usuarios, número de sucursales o agencias, entre otros) y la naturaleza de las actividades propias de su objeto social, así como de las desarrolladas por cuenta de terceros, teniendo en cuenta la relación costo beneficio.
Así mismo, deberán procurar que sus subordinadas (sean filiales o subsidiarias) tengan un adecuado Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), para lo cual deben emitir los lineamientos generales mínimos que en su concepto deben aplicar, atendiendo la naturaleza, magnitud y demás características de las mismas.
En la medida en que se logren los objetivos antes mencionados, el Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), brindará mayor seguridad a los diferentes grupos de interés que interactúan con la entidad y al Sistema de salud en Colombia. A su vez, el Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF) dará prioridad a las actividades de prevención, sin disminuir los esfuerzos en las actividades de detección y respuesta.
Así mismo, los principios del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), constituyen los fundamentos y condiciones imprescindibles y básicas que garantizan su efectividad de acuerdo con la naturaleza de las operaciones autorizadas, funciones y características propias, y se aplican para cada uno de los aspectos que se tratan en la presente circular. En consecuencia, las entidades, en el diseño e implementación o revisión o ajustes del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), deben documentarlos con los soportes pertinentes y tenerlos a disposición de la Superintendencia Nacional de Salud.
Es importante reiterar que los Subsistemas de Administración de Riesgos específicos, no son independientes del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), sino que forman parte del Sistema Integrado de Gestión de Riesgos. El Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), y los Subsistemas de Administración de Riesgos son transversales en todas y cada una de las actividades, procesos y áreas de la entidad, por ello su importancia en el logro de los objetivos estratégicos y de calidad de la información que genera la organización.
5.2.1. Definiciones
Para efectos de la presente circular, los siguientes términos deben entenderse de acuerdo con las definiciones que a continuación se mencionan[6]:
ADMINISTRACIÓN DE RIESGOS: Cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos.
ANÁLISIS DEL RIESGO: Proceso para comprender la naturaleza del riesgo y determinar su nivel. Proporciona las bases para decidir sobre el tratamiento del riesgo.
CANAL ANTICORRUPCIÓN: Herramienta diseñada para prevenir y detectar eventos de fraude, opacidad o corrupción, además de monitorear oportunamente las irregularidades que involucren a colaboradores, proveedores, clientes y terceros.
CIBERCRIMEN: Actividades ilícitas que se llevan a cabo para robar, alterar, manipular, enajenar o destruir información o activos (como dinero, valores o bienes desmaterializados) de compañías, valiéndose de herramientas informáticas y tecnológicas[7].
COHECHO: Delito que comete un particular, que ofrece a un funcionario público o persona que participa en el ejercicio de la función pública dádiva, retribución o beneficio de cualquier clase para sí o para un tercero, para que ejecute una acción contraria a sus obligaciones, o que omita o dilate el ejercicio de sus funciones[8].
COLUSIÓN: Pacto o acuerdo ilícito, es decir, acuerdo anticompetitivo para dañar a un tercero en procesos de contratación pública.
CONCUSIÓN: Acción realizada por un funcionario público en abuso de su cargo, para inducir a otra persona a dar o prometer a él mismo o a una tercera persona, el pago de dinero u otra utilidad indebida[9].
CONDUCTA IRREGULAR: Hace referencia a incumplimientos de leyes, regulaciones, políticas internas, reglamentos o expectativas de las organizaciones respecto a la conducta, ética empresarial y comportamientos no habituales.
CONFLICTO DE INTERÉS: Situación en virtud de la cual una persona (funcionario, contratista o tercero vinculado al sector salud), debido a su actividad se enfrenta a distintas situaciones frente a las cuales podría tener intereses incompatibles, ninguno de los cuales puede ser privilegiado en atención a sus obligaciones legales o contractuales[10].
CONSECUENCIA: Efectos generados por la ocurrencia de un riesgo que afecta los objetivos o un proceso de la entidad. Pueden ser entre otros, una pérdida, un daño, un perjuicio, un detrimento[11].
CONTRAPARTE(S): Son aquellas personas naturales o jurídicas con las cuales la organización y sus filiales y subordinadas tiene vínculos comerciales, de negocios, contractuales o jurídicos de cualquier orden. Es decir, accionistas, socios, colaboradores o empleados de la empresa, clientes y proveedores de bienes y servicios.
CONTROL DE RIESGOS: Parte de la administración de riesgos que involucra la implementación de políticas, estándares, procedimientos para minimizar los riesgos adversos[12].
CORRUPCIÓN: Obtención de un beneficio particular por acción u omisión, uso indebido de una posición o poder, o de los recursos o de la información[13].
CORRUPCIÓN PRIVADA: El que directamente o por interpuesta persona prometa, ofrezca o conceda a directivos, administradores, empleados o asesores de una sociedad, asociación o fundación una dádiva o cualquier beneficio no justificado para que le favorezca a él o a un tercero, en perjuicio de aquella. En este tipo el beneficio es para una persona natural o empresa privada.
CORRUPCIÓN PÚBLICA: Cuando en el acto de Corrupción intervienen funcionarios públicos y/o la acción reprochable recaiga sobre recursos públicos[14].
DENUNCIA: Es la puesta en conocimiento ante la entidad de una conducta posiblemente irregular, indicando las circunstancias de tiempo, modo y lugar[15]
ESTAFA: Es un delito contra el patrimonio económico, donde una persona denominada estafador, genera una puesta en escena y se aprovecha de la buena voluntad para presentar negocios inexistentes y obtener algún beneficio como sumas de dinero.
EVENTO: Incidente o situación que ocurre en la empresa durante un intervalo particular de tiempo. Presencia o cambio de un conjunto particular de circunstancias.
EVALUACIÓN DEL RIESGO: Proceso de comparación de resultados del análisis del riesgo con los criterios técnicos para determinar si el riesgo, su magnitud (nivel) o ambos son aceptables o tolerables.
FACTORES DE RIESGO: Fuentes generadoras de eventos tanto internas como externas a la entidad y que pueden o no llegar a materializarse en pérdidas. Cada riesgo identificado puede ser originado por diferentes factores que pueden estar entrelazados unos con otros. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura, los acontecimientos externos, entre otros.
FAVORITISMO: Preferencia dada al “favor” sobre el mérito o la equidad, especialmente cuando aquella es habitual o predominante[16].
FRAUDE: Cualquier acto ilegal caracterizado por ser un engaño, ocultación o violación de confianza, que no requiere la aplicación de amenaza, violencia o de fuerza física, perpetrado por individuos y/u organizaciones internos o ajenos a la entidad, con el fin de apropiarse de dinero, bienes o servicios[17].
A continuación, se enuncian algunas actividades constitutivas de Fraude, sin que se constituya en una lista taxativa cerrada:
- Cualquier acto encaminado a defraudar o que se ejecute con intención deshonesta;
- Apropiación indebida de fondos, títulos valores, suministros de oficina o cualquier otro activo de la entidad y/o sus clientes;
- Manejo inapropiado de dinero o transacciones financieras, incluyendo los respectivos reportes;
- Generación de ganancias personales a partir del conocimiento de información de las actividades internas de la Entidad;
- Revelar información confidencial y propietaria a terceros con el fin de obtener una ganancia, y
- Cualquier irregularidad similar o relacionada con las aquí mencionadas.
FRAUDE EXTERNO: Se define como los actos realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes.
FRAUDE INTERNO: Se define como todos aquellos actos que de forma intencional buscan la apropiación indebida de activos o busca causar las pérdidas que se ocasionan por actos cometidos con la intención de defraudar, malversar los activos o la propiedad de la entidad. Estos actos son realizados por al menos un empleado o administrador de la Entidad.
HURTO: Delito consistente en tomar con ánimo de lucro cosas muebles ajenas contra la voluntad de su dueño, con el propósito de obtener provecho para sí o para otro[18].
IDENTIFICACIÓN DEL RIESGO: Proceso para encontrar, reconocer y describir el riesgo. Implica la identificación de las fuentes de riesgo, los eventos, sus causas y consecuencias potenciales.
IMPACTO: Consecuencias o efectos que puede generar la materialización del Riesgo de Corrupción en la entidad[19].
INFORMACIÓN PRIVILEGIADA: Aquella que está sujeta a reserva, así como la que no ha sido dada a conocer al público existiendo deber para ello[20].
MONITOREO: Es el proceso continuo y sistemático mediante el cual se verifica la eficiencia y eficacia de una política o de un proceso, mediante la identificación de sus logros y debilidades para recomendar medidas correctivas tendientes a optimizar los resultados esperados.
NIVEL DE RIESGO: Magnitud de un riesgo o de una combinación de riesgos expresada en probabilidad e impacto o consecuencias.
OPACIDAD: Falta de claridad o transparencia, especialmente en la gestión pública.
PECULADO: Conducta en la que incurren los servidores públicos cuando se apropian o usan indebidamente de los bienes del Estado en provecho suyo o de un tercero y cuando dan o permiten una aplicación diferente a la prevista en la Constitución o en las leyes a tales bienes, a las empresas o instituciones en que se tenga parte, a los fondos parafiscales y a los bienes de particulares cuya administración, tenencia o custodia se le haya confiado por razón o con ocasión de sus funciones[21]
PIRATERÍA: Obtención o modificación de información de otros, sin la debida autorización, ya sea una página web, una línea telefónica, computador o cualquier Sistema informático de una entidad[22].
POLÍTICA PARA LA GESTIÓN DEL RIESGO: Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo.
PREVARICATO POR ACCIÓN: Actuación voluntaria de un funcionario público para proferir resolución, dictamen y/o conceptos contrarios a la ley.
PREVARICATO POR OMISIÓN: Actuación voluntaria de un funcionario público para dejar de ejecutar o cumplir con un acto propio de sus funciones[23].
PROBABILIDAD/ POSIBILIDAD: Oportunidad que algo suceda[24].
RIESGO: Cualquier evento, amenaza, acto u omisión que en algún momento pueda comprometer el logro de los objetivos de la entidad[25].
SEGMENTACIÓN: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).
SOBORNO: Ofrecimiento de dinero u objeto de valor a una persona para conseguir un favor o un beneficio personal, o para que no cumpla con una determinada obligación o control[26].
SOBORNO TRANSNACIONAL: El que dé u ofrezca a un servidor público extranjero, en provecho de este o de un tercero, directa o indirectamente, cualquier dinero, objeto de valor pecuniario u otra utilidad a cambio de que este realice, omita o retarde cualquier acto relacionado con el ejercicio de sus funciones y en relación con un negocio o transacción internacional[27].
SUBSISTEMA DE ADMINISTRACIÓN DEL RIESGO DE CORRUPCIÓN, LA OPACIDAD Y EL FRAUDE - SICOF: Conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por el máximo órgano social u órgano equivalente, la alta dirección y demás funcionarios de una organización para proporcionar un grado de seguridad razonable en cuanto a la consecución de los siguientes objetivos:
- Mejorar la eficiencia y eficacia en las operaciones de las entidades sometidas a inspección y vigilancia evitando situaciones de Corrupción, Opacidad y Fraude. Para el efecto, se entiende por eficacia la capacidad de alcanzar las metas y/o resultados propuestos; y por eficiencia la capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo.
- Prevenir y mitigar la ocurrencia de actos de Corrupción, Opacidad y Fraudes, originados tanto al interior como al exterior de las organizaciones.
- Realizar una gestión adecuada de los Riesgos.
TRÁFICO DE INFLUENCIAS: Utilización indebida, en provecho propio o de un tercero, de influencias derivadas del ejercicio del cargo público o de la función pública, con el fin de obtener cualquier beneficio de parte de servidor público en asunto que este se encuentre conociendo o haya de conocer. Incluye el ejercicio indebido de influencias por parte de un particular sobre un servidor público en asunto que este se encuentre conociendo o haya de conocer, con el fin de obtener cualquier beneficio económico.[28]
VANDALISMO: Acciones físicas que atenten contra la integridad de los elementos informáticos, la infraestructura, entre otros, cuya finalidad es causar un perjuicio, por ejemplo, la paralización de las actividades, como medio de extorsión o cualquier otro.
La adopción del SICOF debe como mínimo cumplir con lo siguiente:
5.2.2. Etapas del SICOF
El SICOF que implementen los vigilados mencionados en el ámbito de aplicación, deben comprender como mínimo las siguientes etapas:
3.3.3.1 Identificación
3.3.3.2 Medición
3.3.3.3 Control
3.3.3.4 Monitoreo
5.2.2.1. Identificación
En desarrollo del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), las entidades deberán identificar los riesgos a los que se ven expuestos, teniendo en cuenta los factores de riesgo definidos en esta Circular.
Para identificar este riesgo, las entidades deberán como mínimo:
a) Identificar, inventariar, relacionar y documentar la totalidad de los procesos.
b) Revisar, evaluar y analizar el contexto interno y externo que permita identificar a los stakeholders, factores de riesgo, riesgos asociados, entre otros.
c) Establecer metodologías de identificación, que sean aplicables a los procesos, con el fin de determinar los Riesgos de Corrupción, Opacidad y Fraude.
d) Identificar los Riesgos de Corrupción, Opacidad y Fraude, potenciales y ocurridos, en cada uno de los procesos, con base en las metodologías establecidas en desarrollo del literal anterior.
e) La etapa de identificación deberá realizarse previamente a la implementación o modificación de cualquier proceso.
5.2.2.2. Medición
A partir de esta etapa, se gestionará la detección para trabajar en el refuerzo de reporte de estos actos cuando se consolide la presunción, tentativa o materialización. Se deberá trabajar por una cultura organizacional en donde los reportes de eventos de Corrupción, Opacidad o Fraude se realicen de manera eficaz, eficiente y ágil. Esta etapa se encuentra orientada a descubrir las posibles conductas irregulares, los fraudes o los actos de corrupción; enfocándose en aquellas áreas especiales o sensibles a los riesgos previamente identificados, de acuerdo con la información obtenida de los establecidos mecanismos de detección tales como denuncias sobre conductas irregulares o auditorías internas y externas, así como canales y protocolos de comunicación adecuados que garanticen la seguridad y confidencialidad de la información reportada a través de los mismos, los cuales también hacen parte de la etapa de monitoreo y seguimiento.
Una vez concluida la etapa de identificación, las entidades deberán medir la probabilidad de ocurrencia (frecuencia) de los Riesgos de Corrupción, Opacidad y Fraude y su impacto (severidad) en caso de materializarse. Esta medición podrá ser cualitativa y, cuando se cuente con datos históricos, cuantitativa. Para la determinación de la probabilidad se debe considerar un horizonte de tiempo de un año.
En el proceso de medición de los Riesgos de Corrupción, Opacidad y Fraude, las entidades deberán desarrollar, como mínimo, los siguientes pasos:
a) Establecer la metodología de medición individual y consolidada susceptible de aplicarse a los Riesgos de Corrupción, Opacidad y Fraude identificados. La metodología deberá ser aplicable tanto a la probabilidad de ocurrencia como al impacto.
b) Aplicar la metodología establecida en desarrollo del literal anterior de la presente circular para lograr una medición de la probabilidad de ocurrencia y del impacto de los Riesgos de Corrupción, Opacidad y Fraude en la totalidad de los procesos de la entidad, conforme la clasificación de internos y externos de los mismos.
c) Determinar el perfil de riesgo inherente de la entidad.
5.2.2.3. Control
Las entidades deben tomar medidas para controlar los riesgos inherentes a que se ven expuestas con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que se materialicen. Durante esta etapa las entidades deberán como mínimo:
a) Establecer la metodología con base en la cual definan las medidas de control de los Riesgos de Corrupción, Opacidad y Fraude.
i) Establecer de manera clara los responsables de llevar a cabo la actividad de control.
ii) Definir una periodicidad mínima para su ejecución.
iii) Indicar cuál es el propósito del control.
iv. Establecer el cómo se realiza la actividad de control.
v. indicar qué pasa con las observaciones o desviaciones resultantes de ejecutar el control.
vi) Dejar evidencia de la ejecución del control.
b) De acuerdo con la metodología establecida en desarrollo del literal anterior de la presente circular, implementar las medidas de control sobre cada uno de los Riesgos de Corrupción, Opacidad y Fraude.
c) Estar en capacidad de determinar el perfil de riesgo residual de la entidad.
Esta etapa corresponde a la gestión de los eventos de Corrupción, Opacidad y Fraude, principalmente se busca tomar las medidas conducentes a reducir la probabilidad y el impacto causado por los eventos, la entidad podrá determinar y adoptar los controles o medidas conducentes a controlar el riesgo inherente. Para lo cual deberá determinar la naturaleza de los controles, preventivos, detectivos y los correctivos que buscan reducir o recuperar las pérdidas o corregir los daños ocasionados por la ocurrencia de dichos eventos, para lo cual la entidad deberá contar con actuaciones a conducir las revisiones, validaciones, indagaciones, investigaciones y/o sanciones a que haya lugar de conformidad con las disposiciones contenidas en el Reglamento Interno de Trabajo y/o las demás normas internas o externas.
Sin perjuicio de lo anterior, las entidades podrán decidir si transfieren, aceptan o evitan el riesgo, en los casos en que esto sea posible.
5.2.2.4. Monitoreo
Las entidades deben hacer un monitoreo periódico del perfil de riesgo. Para el efecto, estas deben cumplir, como mínimo, con los siguientes requisitos:
a) Desarrollar un proceso de seguimiento efectivo, que facilite la rápida detección y corrección de las deficiencias en el Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF). Dicho seguimiento debe tener una periodicidad acorde con los Riesgos de Corrupción, Opacidad y Fraude potenciales y ocurridos tanto en la entidad como en el sector salud. En cualquier caso, el seguimiento debe realizarse con una periodicidad mínima de un año.
b) Establecer indicadores descriptivos y/o prospectivos que evidencien los potenciales Riesgos de Corrupción, Opacidad y Fraude.
c) Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente.
d) Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.
e) Generar un reporte interno de manera periódica (mínimo semestralmente) con la gestión de los riesgos de Corrupción, la Opacidad y el Fraude que contenga el perfil de riesgo inherente y residual de la entidad de acuerdo a las políticas establecidas y aprobadas, el cual debe estar a disposición de las autoridades competentes.
5.2.3. Elementos del SICOF
Para el cumplimiento de los principios y objetivos indicados con anterioridad, las entidades vigiladas deben consolidar una estructura para implementar el Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), que considere por lo menos los elementos que se señalan a continuación:
3.3.4.1 Políticas 3.3.4.2 Procedimientos
3.3.4.3 Manual de prevención de la Corrupción, la Opacidad y el Fraude 3.3.4.3 Mecanismos
3.3.4.4 Instrumentos
3.3.4.5 Estructura organizacional
3.3.4.6 Documentación
3.3.4.7 Plataforma tecnológica
3.3.4.8 Divulgación de información y capacitaciones
5.2.3.1. Políticas
Son los lineamientos generales que las entidades deberán adoptar en relación con el Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF).
Cada una de las etapas y elementos del Subsistema deberán contar con unas políticas claras y efectivamente aplicables y las que se adopten deben permitir un adecuado funcionamiento del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad.
Las políticas que adopten las entidades deberán cumplir con los siguientes requisitos mínimos, los cuales deben estar alineados con lo establecido en el código de conducta y buen gobierno adoptado por la entidad:
a) Impulsar a nivel institucional la cultura en materia de prevención de la Corrupción, Opacidad y Fraude.
b) Establecer el deber de los órganos de Administración, de control y de sus demás funcionarios, de asegurar el cumplimiento de las normas internas y externas relacionadas con la Administración del Riesgo de Corrupción, Opacidad y Fraude.
c) Permitir la prevención y resolución de conflictos de interés en la recolección de información en las diferentes etapas del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), especialmente para el registro de eventos de Corrupción, Opacidad y Fraude.
d) Permitir la identificación de los cambios en los controles y en el perfil de Riesgo.
5.2.3.1.1. Diseño de políticas
El diseño de las políticas para la implementación del SICOF es responsabilidad de la Junta Directiva o de quien haga sus veces y cuando esta no exista, del representante legal principal de la entidad y/o en todo caso quien haga sus veces o sea nombrado por mandato legal.
5.2.3.1.2. Aprobación de las políticas
El máximo órgano social, o por mandato legal quien haga sus veces, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada unipersonal, será el responsable de aprobar las políticas del SICOF que se aplicarán en las entidades vigiladas.
5.2.3.1.3. Constancia de la aprobación de las políticas
La aprobación de las políticas del SICOF debe quedar debidamente documentada mediante acta y esta debe quedar a disposición de la SNS y, asimismo, deberá quedar incluida en las actividades que desarrollará la entidad, de acuerdo con las disposiciones que se mencionan en el numeral 3.3.4.6 Documentación, que hace parte integral de este mismo documento.
5.2.3.1.4. Comunicación de políticas
Las políticas y procedimientos adoptados para la implementación del SICOF deberán ser comunicadas a la totalidad de empleados, socios, directivos, administradores y cualquier otra persona que tenga vinculación con la entidad, con el fin de asegurar que sean entendidas e implementadas en todos los niveles de la organización. De igual manera, las políticas del SICOF deben hacer parte integral del Código de Ética de cada entidad para que oriente la actuación de los funcionarios y establezca procedimientos sancionatorios y consecuencias frente a su incumplimiento.
5.2.3.2. Procedimientos
Las entidades deberán establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de las etapas y elementos del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF).
Los procedimientos que en esta materia adopten las entidades deben contemplar, como mínimo, los siguientes requisitos:
a) Instrumentar las diferentes etapas y elementos del SICOF.
b) Identificar los cambios y la evolución de los controles, así como del perfil de Riesgo.
c) Adoptar las medidas por el incumplimiento del SICOF.
5.2.3.3. Mecanismos
El Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF) deberá permitir a las entidades establecer cuándo existe una posible actividad de Corrupción, Opacidad o Fraude. Para ello debe contar con metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de estas posibles actividades. Como prueba de esto, las entidades deben dejar constancia de cada una de las posibles actividades de Corrupción, Opacidad o Fraude detectadas, así como del responsable o responsables de su análisis y los resultados del mismo.
Si se llegase a detectar alguna posible actividad de Corrupción, Opacidad o Fraude, es deber del oficial de cumplimiento o de quien delegue la entidad para tal fin, de reportar ante la autoridad competente; dejando evidencia de esto y guardando la debida reserva ante tal reporte, dejando la salvedad de que la entidad está en obligación de reportar el evento a las autoridades competentes de manera inmediata y eficiente. En caso de que la Superintendencia solicite un informe sobre los reportes realizados, es de aclarar que dicho informe debe ser estadístico por clasificación de actividades, más no el detalle de cada caso.
5.2.3.4. Instrumentos
Los instrumentos mínimos con los que deben contar los sujetos obligados para la adecuada, efectiva y eficiente gestión del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF) son los siguientes:
a) Señales de alerta: Son hechos, situaciones, eventos, cuantías, indicadores cuantitativos y cualitativos, que la entidad determine como relevante, a partir de los cuales se puede inferir oportuna y/o prospectivamente la posible existencia de un hecho o situación que escapa a lo que la entidad, ha determinado como normal. Estas señales deben considerar cada uno de los factores de riesgo y las características de sus operaciones, así como cualquier otro criterio que a juicio de la entidad resulte adecuado.
b) Segmentación de los factores de riesgo: Los vigilados deben segmentar cada uno de los factores de riesgo de acuerdo con las características particulares de cada uno de ellos, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos, según la metodología que previamente haya establecido la entidad.
5.2.3.5. Estructura organizacional y responsabilidades dentro del SICOF
Las entidades deben establecer y asignar funciones en relación con las distintas etapas y elementos del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF). Así mismo, se deben establecer como mínimo las siguientes funciones a cargo de los órganos de dirección, administración y demás áreas de la entidad.
5.2.3.5.1. Junta Directiva u órgano que haga sus veces
Sin perjuicio de las funciones asignadas en otras disposiciones, el Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), debe contemplar como mínimo las siguientes funciones a cargo de la Junta Directiva u órgano que haga sus veces:
a) Definir y aprobar las estrategias y políticas generales relacionadas con el SICOF, con fundamento en las recomendaciones del Oficial de Cumplimiento o persona encargada por la entidad para la ejecución del SICOF.
b) Adoptar las medidas necesarias para garantizar la independencia del Oficial de cumplimiento o persona encargada por la entidad para la ejecución del SICOF y hacer seguimiento a su cumplimiento.
c) Aprobar el Manual de prevención de la Corrupción, la Opacidad y el Fraude y sus actualizaciones.
d) Hacer seguimiento y pronunciarse sobre el perfil de Corrupción, Opacidad y Fraude de la entidad.
e) Pronunciarse sobre la evaluación periódica del SICOF, que realicen los órganos de control.
f) Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente, el SICOF.
g) Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que presente el Oficial de Cumplimiento o persona encargada por la entidad para la ejecución del SICOF.
h) Conocer los informes relevantes respecto del SICOF, e impartir las órdenes necesarias para que se adopten las recomendaciones y correctivos a que haya lugar.
i) Efectuar seguimiento en sus reuniones ordinarias a través de informes periódicos que presente el oficial de cumplimiento o persona encargada por la entidad para la ejecución del SICOF, sobre la gestión del mismo en la entidad y las medidas adoptadas para el control o mitigación de los riesgos más relevantes, por lo menos cada 6 meses.
j) Evaluar las recomendaciones relevantes sobre el SICOF, que formulen el oficial de cumplimiento o persona encargada por la entidad para la ejecución del mismo y los órganos de control interno, adoptar las medidas pertinentes, y hacer seguimiento a su cumplimiento.
k) Analizar los informes que presente el oficial de cumplimiento o persona encargada por la entidad para la ejecución del SICOF respecto de las labores realizadas para evitar que la entidad sea utilizada como instrumento para la realización de actividades delictivas, actos de Corrupción, Opacidad o Fraude y evaluar la efectividad de los controles implementados y de las recomendaciones formuladas para su mejoramiento. Todas las decisiones y actuaciones que se produzcan en desarrollo de las atribuciones antes mencionadas deben constar por escrito en el acta de la reunión respectiva y estar debidamente motivadas.
5.2.3.5.2. Representante Legal
Sin perjuicio de las funciones asignadas en otras disposiciones, son funciones mínimas del Representante Legal:
a) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.
b) Adelantar un seguimiento permanente de las etapas y elementos constitutivos del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF).
c) Designar el área o cargo que actuará como responsable de la implementación y seguimiento del SICOF.
d) Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la Administración de este Riesgo implica para la entidad.
e) Velar por la correcta aplicación de los controles del Riesgo inherente, identificado y medido.
f) Recibir y evaluar los informes presentados por el oficial de cumplimiento o persona encargada por la entidad para la ejecución del SICOF, de acuerdo con los términos establecidos en la presente circular.
g) Velar porque las etapas y elementos del SICOF, cumplan, como mínimo, con las disposiciones señaladas en la presente circular.
h) Velar porque se implementen los procedimientos para la adecuada Administración del Corrupción, Opacidad y Fraude a que se vea expuesta la entidad en desarrollo de su actividad.
5.2.3.5.3. Oficial de cumplimiento o persona encargada por la entidad para la ejecución del SICOF
Para el adecuado cumplimiento de la labor que corresponde al Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), así como a su mejoramiento continuo será delegado el oficial de cumplimiento o persona encargada por la entidad, sin que ello implique una sustitución a la responsabilidad que de manera colegiada le corresponde al máximo órgano social u órgano equivalente en la materia, desarrollando funciones de carácter eminentemente de asesoría y apoyo.
El oficial de cumplimiento o persona encargada por la entidad para la ejecución del SICOF, debe cumplir como mínimo con las siguientes condiciones:
a) Diseñar y someter a aprobación de la Junta Directiva u órgano que haga sus veces, el manual de prevención de la Corrupción, la Opacidad y el Fraude y sus actualizaciones.
b) Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al riesgo, fijado por la Junta Directiva.
c) Diseñar y proponer para aprobación de la Junta Directiva o quien haga sus veces, la estructura, instrumentos, metodologías y procedimientos tendientes a que la entidad administre efectivamente sus Riesgos de prevención y detección de la Corrupción, la Opacidad y el Fraude, en concordancia con los lineamientos, etapas y elementos mínimos previstos en esta circular.
d) Desarrollar e implementar el sistema de reportes, internos y externos, de prevención y detección de la Corrupción, la Opacidad y el Fraude de la entidad.
e) Evaluar la efectividad de las medidas de control potenciales y ejecutadas para los Riesgos de Corrupción, Opacidad y Fraude medidos.
f) Establecer y monitorear el perfil de riesgo de la entidad e informarlo al órgano correspondiente, en los términos de la presente circular.
g) Desarrollar los modelos de medición del riesgo de Corrupción, Opacidad y Fraude.
h) Desarrollar los programas de capacitación de la entidad relacionados con el SICOF.
i) Presentar un informe periódico, como mínimo semestral, a la Junta Directiva y al representante legal, sobre la evolución y aspectos relevantes del SICOF, incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por implementar y el área responsable.
j) Establecer mecanismos para la recepción de denuncias (líneas telefónicas, buzones especiales en el sitio web, entre otros) que faciliten, a quienes detecten eventuales irregularidades, ponerlas en conocimiento de los órganos competentes de la entidad.
k) Informar al máximo órgano social u órgano equivalente sobre el no cumplimiento de la obligación de los administradores de suministrar la información requerida para la realización de sus funciones.
l) Estudiar los posibles casos de Corrupción, Opacidad y Fraude, dentro del ámbito de su competencia, para lo cual debe contar con la colaboración de expertos en aquellos temas en que se requiera y elaborar el informe correspondiente para someterlo a consideración del máximo órgano social.
m) Informar a la Superintendencia Nacional de Salud los posibles casos de Corrupción, Opacidad y Fraude que se lleguen a presentar a través de los canales dispuestos para tal fin.
n) Proponer al máximo órgano social programas y controles para prevenir, detectar y responder adecuadamente a los Riesgos de Corrupción, Opacidad y Fraude, y evaluar la efectividad de dichos programas y controles.
o) Poner en funcionamiento la estructura, procedimientos y metodologías inherentes al SICOF, en desarrollo de las directrices impartidas por el máximo órgano social, garantizando una adecuada segregación de funciones y asignación de responsabilidades.
p) Elaborar el plan anual de acción del SICOF y darle estricto cumplimiento.
q) Recomendar a la Junta directiva medidas preventivas y/o acciones ante organismos competentes (Judiciales y/o disciplinarlos) para fortalecer el SICOF.
En general, el Oficial de Cumplimiento o persona encargada por la entidad para la ejecución del SICOF, es el responsable de dirigir la implementación de los procedimientos de prevención y control, y verificar al interior de la entidad su operatividad y su adecuado funcionamiento, para lo cual debe demostrar la ejecución de los controles que le corresponden.
El Oficial de cumplimiento o persona encargada por la entidad para la ejecución del SICOF, debe dejar constancia documental de sus actuaciones en esta materia, mediante memorandos, cartas, actas de reuniones o los documentos que resulten pertinentes para el efecto.
Adicionalmente, debe mantener a disposición del auditor interno, el revisor fiscal y demás órganos de supervisión o control los soportes necesarios para acreditar la correcta implementación del SICOF, en sus diferentes elementos, procesos y procedimientos.
5.2.3.5.4. Órganos de control
Las entidades deben establecer instancias responsables de efectuar una evaluación del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF). Dichas instancias informarán, de forma oportuna, los resultados a los órganos competentes.
Los órganos de control serán por lo menos los siguientes: Revisoría Fiscal y Auditoría Interna o quien ejerza el control interno.
5.2.3.5.4.1. Revisoría Fiscal
Sin perjuicio de las funciones asignadas en otras disposiciones al Revisor Fiscal, este debe elaborar un reporte al cierre de cada ejercicio contable, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF).
A su vez, debe poner en conocimiento del Representante Legal los incumplimientos del SICOF, sin perjuicio de la obligación de informar sobre ellos a la Junta Directiva u órgano que haga sus veces.
5.2.3.5.4.2. Auditoría Interna o quien ejerza el control interno
Sin perjuicio de las funciones asignadas en otras disposiciones a la Auditoría Interna, o quien ejerza el control interno, esta debe evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SICOF, con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, deberán informar los resultados de la evaluación al representante legal o junta directiva.
5.2.3.6. Documentación
Respecto a la implementación del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), la Superintendencia Nacional de Salud puede exigir, a través de la supervisión in situ o extra situ, los manuales, formatos, procedimientos y demás documentos específicamente requeridos en el cuerpo de la presente circular, algunos de los cuales se relacionan a continuación, sin perjuicio de cualquier otra información que estime pertinente en ejercicio de sus atribuciones legales:
Así mismo, las etapas y los elementos del SICOF, implementados por las entidades deben constar en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida. La documentación debe incluir como mínimo:
a) Manual de prevención de la Corrupción, la Opacidad y el Fraude.
b) Los documentos y registros que evidencien la operación efectiva del SICOF.
c) Los informes de la Junta Directiva, el Representante Legal y los órganos de control en los términos de la presente circular.
d) Mapa de Riesgos del SICOF, que contenga como mínimo: identificación de factores internos y externos, Riesgos identificados, análisis de probabilidad de ocurrencia de los Riesgos y su impacto, identificación de los controles existentes para prevenir la ocurrencia o mitigar el impacto de los Riesgos identificados, evaluación de la efectividad de los controles y definición de las acciones de mejoramiento necesarias.
e) Metodología e instrumentos para la gestión de Riesgos de Corrupción, la Opacidad y el Fraude en la entidad, incluyendo la definición y funciones de los comités u órganos responsables.
f) Políticas establecidas en materia de manejo de información y comunicación, que incluyan mecanismos específicos para garantizar la conservación y custodia de información reservada o confidencial y evitar su filtración.
g) Documento que soporte la comunicación a todos los funcionarios de la entidad del mapa de Riesgos y de las políticas y metodologías a que se refieren los numerales anteriores.
h) Los análisis del registro de eventos de Corrupción, Fraude y Opacidad deben permitir establecer procesos de prevención y anticipación logrando:
- Entender los Riesgos para las entidades, sus trabajadores y sus usuarios con las posibles consecuencias que conllevan.
- Determinar si los controles y actividades ejecutadas son realmente efectivos a la hora de reducir los casos de Corrupción, Fraude y Opacidad.
- Investigar sobre nuevos métodos de Corrupción, Fraude y Opacidad a fin de diseñar y evaluar controles para prevenirlos, detectarlos y responder de forma apropiada.
- Colaborar con la Superintendencia Nacional de Salud y autoridades y organismos judiciales para emprender acciones conjuntas contra la Corrupción Fraude y Opacidad en el SGSSS.
Por último, cabe anotar que los criterios y procesos de manejo, guarda y conservación de los documentos aquí mencionados, de acuerdo con el artículo 28 de la Ley 962 de 2005, deben conservarse por un período de diez (10) años. Vencidos dichos periodos, pueden ser destruidos siempre que, por cualquier medio técnico adecuado, se garantice su reproducción exacta, sin perjuicio de los términos establecidos en normas especiales.
5.2.3.6.1. Manual de prevención de la Corrupción, la Opacidad y el Fraude
El Manual para la prevención de la Corrupción, Opacidad y Fraude debe contener, como mínimo, lo siguiente:
a) Las políticas para la Administración del Corrupción, Opacidad y Fraude.
b) La estructura organizacional del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF).
c) Los roles y responsabilidades de quienes participan en la Administración del Corrupción, Opacidad y Fraude.
d) Las medidas necesarias para asegurar el cumplimiento de las políticas y objetivos del SICOF.
e) Los procedimientos y metodologías para identificar, medir, controlar y monitorear los Riesgos de Corrupción, Opacidad y Fraude y su nivel de aceptación.
f) Los procedimientos y metodologías para implementar y mantener el registro de eventos.
g) Los procedimientos que deben implementar los órganos de control frente al SICOF.
h) Parámetros concretos determinados para el manejo de conflictos de interés, incluyendo expresamente, entre otros, los que regulen las operaciones con vinculados económicos, en adición a los que apliquen por disposición legal.
i) Políticas sobre protección a las personas que informen sobre posibles casos de corrupción, opacidad o fraude bajo el principio de buena fe frente a represalias.
j) Políticas sobre confidencialidad de las personas que informen sobre posibles casos de corrupción, opacidad o fraude y de la identidad de los denunciantes.
k) Procedimientos sobre el conocimiento de la información sobre posibles casos de corrupción, opacidad o fraude, incluyendo las reglas y principios que rijan su investigación, análisis, tratamiento, escalamiento, e información a las autoridades competentes.
l) Mecanismos para evitar el uso de información privilegiada o reservada.
m) Consecuencias de la inobservancia del manual de la prevención del SICOF.
n) Las estrategias de capacitación y de divulgación del SICOF.
El manual deberá orientar la actuación de todos los funcionarios, quienes deben comprometerse explícitamente con su cumplimiento, para lo cual deberán certificar su conocimiento y se vinculará y armonizará con el Reglamento de Trabajo y el Código de Buen Gobierno Corporativo y las obligación contractuales o reglamentarias que apliquen para este fin y deberá ser aprobado por la junta directiva o el máximo órgano social de la entidad.
5.2.3.7. Plataforma tecnológica
Las entidades, de acuerdo con sus actividades y tamaño, deben contar con la tecnología y los Sistemas necesarios para garantizar el adecuado funcionamiento del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF).
5.2.3.8. Divulgación de información
Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes.
La divulgación de la información debe hacerse en forma periódica y estar disponible, cuando así se requiera. Así mismo, las entidades deben diseñar un Sistema adecuado de reportes tanto internos como externos, que garantice el funcionamiento de sus propios procedimientos y el cumplimiento de los requerimientos normativos.
En el caso del Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), el reporte externo que debe efectuar es en relación con las posibles actividades de Corrupción, Opacidad o Fraude, es deber del oficial de cumplimiento reportar a las entidades competentes según la actividad.
Así mismo, la entidad debe mantener una comunicación eficaz, que fluya en todas las direcciones a través de todas las áreas de la organización. Adicionalmente, cada empleado debe conocer el papel que desempeña dentro de la organización y dentro del SICOF, y la forma en la cual las actividades a su cargo están relacionadas con el trabajo de los demás. Para el efecto, la entidad debe disponer de medios para comunicar la información significativa y de forma asertiva y clara, tanto al interior de la organización como hacia su exterior.
Ahora bien, en relación con los canales de comunicación, la entidad debe contar con canales de comunicación particulares para la recepción de denuncias (tales como líneas telefónicas, correos electrónicos, buzones especiales en el sitio Web y otros mecanismos digitales) con el fin de que las personas sean internas o externas a la entidad y que detecten eventuales irregularidades, incumplimientos normativos, violaciones al manual de prevención del Riesgo de Corrupción, la Opacidad y el Fraude, u otros hechos o circunstancias que afecten o puedan afectar el adecuado funcionamiento del SICOF, puedan ponerlos en conocimiento del oficial de cumplimiento o la persona encargada del SICOF. Estos canales de comunicación particulares para la recepción deben contar con salvaguardias que garanticen la confidencialidad de la información y de la identidad de la persona que está entregando la información. Las entidades deben diferenciar claramente estos canales de recepción de este tipo de información, de los canales de formulación de quejas derivadas en las fallas en la prestación de servicios.
5.2.3.9. Capacitación
Las entidades deben diseñar, programar y coordinar planes de capacitación sobre el Subsistema de Administración del Riesgo de Corrupción, la Opacidad y el Fraude (SICOF), dirigidos a todas las áreas y funcionarios.
Tales programas deben, cuando menos cumplir con las siguientes condiciones:
a) Periodicidad anual.
b) Ser impartidos durante el proceso de inducción de los nuevos funcionarios.
c) Ser impartidos a los terceros siempre que exista una relación contractual con estos y desempeñen funciones de la entidad.
d) Ser constantemente revisados y actualizados.
e) Contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos.
5.2.4. Colaboración con la Justicia y Autoridades Administrativas
De conformidad con la Constitución Política de Colombia, tanto los particulares como las autoridades deben ceñir sus actuaciones a la buena fe, respetar a las autoridades y colaborar con la justicia. En tal sentido, debe entenderse que la información requerida por las autoridades judiciales y administrativas de parte de las entidades vigiladas por esta Superintendencia, son de carácter confidencial y privada, y está subordinada a los fines de la Administración de justicia y de las investigaciones que realizan dichas autoridades.
Lo anterior, en tanto sea ejercida por funcionarios competentes y tenga por objeto garantizar el derecho de todos los ciudadanos. Esta situación, considerada de orden público, permite levantar y ceder las prerrogativas de la reserva sobre los papeles privados. En los eventos en los cuales esta Superintendencia, en ejercicio de sus facultades legales, o alguna otra autoridad competente, investigue sobre los mismos, las entidades vigiladas deben guardar absoluta reserva sobre el contenido de tales investigaciones.
Así mismo, las instituciones vigiladas deben adoptar las medidas a que haya lugar, tendientes a procurar el inmediato y correcto cumplimiento de las órdenes emitidas por las autoridades judiciales y administrativas, y corregir el incumplimiento o las demoras en la atención de las órdenes impartidas. Ello en el entendido de que la colaboración con la justicia no solo es un deber, sino que su incumplimiento, acarrea la imposición de sanciones, incluso de índole penal.
6. ANEXO TÉCNICO
Modifíquese el Anexo Técnico GT001 del numeral 4.4 Anexos Técnicos de la Circular Externa 007 de 2017 de la Superintendencia Nacional de Salud.
ARCHIVO TIPO GT001
Reporte de Implementación del Código de Conducta y de Buen Gobierno
TIPO DE ENTIDAD A LA QUE APLICA: Empresas Promotoras de Salud, Empresas de Medicina Prepagada y Servicios de Ambulancia Prepagada.
PERIODICIDAD: Anual.
FECHA DE CORTE: 30 de septiembre
FECHA DEL REPORTE: 20 días calendario después de la fecha de corte.
TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud - Grupos C1, C2 y 01 de la presente circular y normas que la modifiquen o sustituyan).
PERIODICIDAD: Anual.
FECHA DE CORTE: 30 de septiembre
FECHA DEL REPORTE: 20 días calendario después de la fecha de corte.
7. DEROGATORIAS
La Circular Externa 018 de 2015 queda derogada a partir del 30 de abril de 2022, fecha a partir de la cual empieza a regir el numeral 4.1 de la presente circular.
8. PERIODO DE TRANSICIÓN La implementación de los elementos descritos en el numeral 5.2 cuenta con un plazo máximo para su implementación de 12 meses a partir de la expedición de la presente circular.
9. VIGENCIA
La presente circular rige a partir de su publicación y promulgación en el Diario Oficial. Las entidades obligadas al cumplimiento de lo dispuesto en esta circular deben adaptar sus procesos a las condiciones aquí establecidas, sin perjuicio del cumplimiento de la normatividad vigente.
10. CONTROL AL CUMPLIMIENTO DE LA CIRCULAR
De conformidad con lo establecido en los numerales 11 y 12 del artículo 130 y de acuerdo con el artículo 131 de la Ley 1438 de 2011 y la Ley 1949 de 2019, la inobservancia e incumplimiento de las instrucciones impartidas en esta circular dará lugar a la imposición de multas hasta de 8.000 Salarios Mínimo Legales Mensuales Vigentes (smlmv) a entidades que se encuentren dentro del ámbito de la vigilancia de esta Superintendencia, así como a título personal hasta 2.000 smlmv a los Representantes Legales de estas ya sean de carácter público o privado, directores o secretarios de salud o quienes hagan sus veces, jefes de presupuesto, los revisores fiscales, tesoreros y demás funcionarios responsables de la administración y manejo de los recursos del sector salud, o a la revocatoria del certificado de habilitación de las entidades vigiladas, si a ello hubiere lugar, sin perjuicio de las acciones que le correspondan a otras autoridades competentes y demás facultades sancionatorias que esta Superintendencia tiene bajo el ámbito normativo.
PUBLÍQUESE Y CÚMPLASE.
Dada en Bogotá, D. C., a los 17 días del mes de septiembre de 2021.
PAOLA ANDREA CASTELLANOS GUERRA
La Asesora Encargada de las Funciones del Superintendente Nacional de Salud NOTAS
DE PIE DE PÁGINA: [1] Las entidades públicas seguirán los lineamientos que estipule el Departamento Administrativo de la Función Pública. [2] Las entidades públicas seguirán los lineamientos que estipule el Departamento Administrativo de la Función Pública. [3] Se incluyen en estos pagos, los efectuados por concepto de copagos, cuotas moderadoras, deducibles o cualquier pago adicional contemplado en el Sistema General de Seguridad Social en Salud, en los Planes Voluntarios de Salud o seguros en general que cubran eventos de salud. [4] En este sentido, las entidades vigiladas pueden utilizar bases de datos públicos, de prestadores de servicios ciudadanos digitales, de bases de datos propias y/o de bases de datos externas, siempre que: (i) individualicen al potencial cliente a través de la verificación de sus datos de identificación; y (ii) den cumplimiento a las reglas establecidas en la Ley 1581 de 2012 sobre tratamiento de datos personales y demás normas que las modifiquen, complementen, sustituyan o adicionen. Adicionalmente, en el evento en que utilicen bases de datos externos, las entidades vigiladas deben realizar un análisis de riesgo asociado a dicha fuente, en el cual se evalúe la calidad de los datos, su confiabilidad y la pertinencia de la misma en la gestión del riesgo de LA/FT. Las entidades vigiladas deben tener a disposición de esta Superintendencia los medios verificables a través de los cuales se demuestre la realización de dicho análisis de riesgo [5] De acuerdo con lo establecido en la Ley 527 de 1999 y sus decretos reglamentarios, o las normas que la modifiquen, deroguen o subroguen. [6] Debe tenerse en cuenta que algunos términos no están contenidos en la circular, pero hacen parte de delitos conexos a la corrupción, la opacidad y el fraude. [7] KPMG Advisor Services Ltda., Encuesta de Fraude en Colombia 2013 [8] Artículos 405-407 del Código Penal [9] Artículo 404 del Código Penal [10] Tomado de la real academia española https://dej.rae.es/lema/conflicto-de-intereses [11] DAFP. Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano -MECI- 2014. Página 64. Ver DAFP. Guía para la Administración del Riesgo. Bogotá, 2009. Página 25. [12] AS 8001- 2008 [13] Esta definición, promovido por el movimiento internacional de lucha contra la corrupción, Transparencia Internacional, ha sido acogida por la Corporación Transparencia por Colombia. Tomada del documento Guía práctica para la gestión de Conflictos de Interés en la Gestión Administrativa, página 12. Consultar en el sitio http://issuu.com/transparenciaporcolombia/docs/4_conflictodeintereses [14] Tomado de la real academia española https://dej.rae.es/lema/corrupci%C3%B3n-p%C3%BAblica [15] Presidencia de la República de Colombia, Secretaría de Transparencia, “Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano – Versión 2”, 2015, página 37 [16] Real Academia Española [17] AS 8001- 2008 [18] Artículo 239 del Código Penal Colombiano [19] DAFP. Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014. Pág. 68. [20] Artículo 6, literal c, de la Ley 1712 de 2014 [21] 1 Art. 397, 398 y 399 del Código Penal [22] Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura –UNESCO. http://portal.unesco.org/culture/es/ev.php-URL_ID=39397&URL_DO=DO_TOPIC&URL_SECTION=201.html [23] Art. 413 y 414 del Código Penal [24] Ver ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.19. Bogotá, 2011. Página 22. Ver Función Pública. Guía para la Administración del Riesgo. 2011. Página 24. Ver Función Pública. Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano -MECI- 2014. Página. 68. [25] DAFP. Guía para la Administración del Riesgo. Bogotá, 2011. Página. 13. [26] Art 433 del Código Penal [27] Ley 1474 de 2011, artículo 411 |
