Los cambios en el SARLAFT Sector Salud se dieron cuando, el pasado 17 de septiembre de 2021, Supersalud publicó la Circular Externa 20211700000005-5 con las Instrucciones generales relativas al Subsistema de Administración del Riesgo de Corrupción, Opacidad y Fraude (SICOF) y modificaciones a las circulares externas 018 de 2015, 009 de 2016, 007 de 2017 y 003 de 2018 para todos los vigilados por la Superintendencia Nacional de Salud.
Esta circular está dirigida a Entidades Promotoras de Salud (EPS) de los Regímenes Contributivo, Subsidiado, Especial y de Excepción, Empresas de Medicina Prepagada (EMP), Servicios de Ambulancia Prepagada (SAP), Entidades Territoriales (ET), Servicio de Transporte Especial de Pacientes (SETP) y las Instituciones Prestadoras de Servicios de Salud (IPS) Públicas, Privadas y Mixtas; a los representantes legales, socios, accionistas, revisores fiscales, Alta Gerencia, Máximos Órganos Sociales, Oficiales de Cumplimiento, administradores, director de riesgos y/o quien haga sus veces; y personas naturales como los Representantes Legales, Socios, Accionistas, Revisores Fiscales, Oficiales de Cumplimiento, entre otros.
Aquí te contamos los principales cambios
1. Ámbito de aplicación de la circular externa Sector Salud
La nueva Cirlular del Sector Salud, está dirigida a Entidades Promotoras de Salud (EPS) de los Regímenes Contributivo, Subsidiado, Especial y de Excepción, Empresas de Medicina Prepagada (EMP), Servicios de Ambulancia Prepagada (SAP), Entidades Territoriales (ET), Servicio de Transporte Especial de Pacientes (SETP) y las Instituciones Prestadoras de Servicios de Salud (IPS) Públicas, Privadas y Mixtas; a los representantes legales, socios, accionistas, revisores fiscales, Alta Gerencia, Máximos Órganos Sociales, Oficiales de Cumplimiento, administradores, director de riesgos y/o quien haga sus veces; y personas naturales como los Representantes Legales, Socios, Accionistas, Revisores Fiscales, Oficiales de Cumplimiento, entre otros.
2. Instrucciones Específicas para EPS EMP y SAP
Código de Integridad y Lineamientos de Conducta
Las entidades deberán adoptar diferentes políticas y medidas encaminadas a implementar acciones para el fortalecimiento continuo de una cultura ética, transparente, de lucha contra la corrupción, opacidad, fraude, una gestión antisoborno, y un Código de Integridad que esté acompañado de valores como: Honestidad, Respeto, Compromiso, Diligencia y Justicia.
3. Instrucciones Específicas para IPS
Nueva clasificación de Instituciones Prestadoras de Servicios de Salud – IPS Grupo Principal
Las Instituciones Prestadoras de Salud públicas, privadas o mixtas, se clasificarán en alguno de los grupos definidos como: B, C1, C2, D1, D2 o D3. De acuerdo con Activos totales, Ingresos totales, Patrimonio total, Nivel de complejidad de sus servicios (servicios de alta complejidad, servicios de complejidad media o servicios intramurales hospitalarios)
Criterios de clasificación de IPS en el Subgrupo A
Adicional a la selección del grupo principal, las IPS deben identificar si cumplen con alguno de los criterios para pertenecer al Subgrupo A. Entendiendo este Subgrupo como una clasificación complementaria y adicional a su clasificación principal.
Modificación de funciones de la Junta Directiva u órgano de administración que haga sus veces
Se especifican 13 funciones que como mínimo debe cumplir la Junta Directiva de las entidades para la implementación de las mejores prácticas organizacionales – Código de Conducta y Buen Gobierno.
Modificación de funciones a cargo del Comité de Riesgos
Se especifican 9 funciones que como mínimo debe cumplir el comité de riesgos de las entidades dentro de la implementación de las mejores prácticas organizacionales – Código de Conducta y Buen Gobierno.
4. Instrucciones para todos los vigilados
Cambios en el SARLAFT Sector Salud
El SARLAFT es el sistema de prevención y control que deben implementar los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) para la adecuada gestión del riesgo de Lavado de Activos / Financiación del Terrorismo – LA/FT, en virtud del cual, tales agentes deben adoptar procedimientos y herramientas que contemplen todas las actividades que realizan en desarrollo de su objeto social y que se ajusten a su tamaño, actividad económica, forma de comercialización y demás características particulares.
El mencionado sistema debe comprender el diseño, aprobación e implementación de políticas y procedimientos para la prevención y control del riesgo de LA/FT. Las políticas y procedimientos que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del SARLAFT y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad, sus empleados y socios.
Aquellas personas jurídicas que ya tienen implementadas políticas, procedimientos y/o sistemas de prevención y control del riesgo de LA/FT, deberán verificar el cumplimiento de los parámetros mínimos dispuestos en la presente Circular, realizando las modificaciones a que haya lugar. Esta revisión se debe llevar a cabo, como mínimo una vez al año
Estos cambios en el SARLAFT Sector Salud implican que la adopción debe cumplir como mínimo con las siguientes etapas:
- Identificación del riesgo
- Evaluación y Medición
- Controles
- Seguimiento y monitoreo
Políticas SARLAFT
Se establecen como mínimo 8 los lineamientos generales que deben adoptar las entidades vigiladas por la Superintendencia Nacional de Salud en relación con el SARLAFT. Durante cada una de las etapas del SARLAFT se debe contar con políticas claras y aplicables.
Procedimientos SARLAFT
El manual de procedimientos del SARLAFT debe estar conformado por medidas y procedimientos suficientes que permitan dar cumplimiento a este objetivo e incluir por lo menos lo siguiente:
- Identificar las situaciones que le generen riesgo de LA/FT/FPADM en las operaciones, negocios o contratos que realiza la entidad:
- Verificación procesos de debida diligencia:
- Conocimiento de los clientes y usuarios:
- Conocimiento de personas expuestas políticamente
- Conocimiento de los asociados
Herramientas para identificar operaciones inusuales y/o sospechosas
Otro cambio en el SARLAFT Sector Salud, menciona que se adicionan las siguientes 3 herramientas para la identificación de Operaciones inusuales:
- Identificación de señales de alerta
- Segmentación de los factores de riesgo
- Seguimiento de operaciones
Instrumentos SARLAFT
Para que los mecanismos adoptados por las entidades operen de manera efectiva, eficiente y oportuna, el SARLAFT debe contar como mínimo con los siguientes instrumentos:
- Consolidación electrónica de operaciones en efectivo
- Matriz de riesgo
Documentación SARLAFT
Las etapas del ciclo general de riesgos y los elementos del SARLAFT implementados por la entidad deben quedar plasmados en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida. Los procesos y procedimientos se deben adoptar y plasmar mediante documentos controlados.
Requisitos establecidos para el Oficial de Cumplimiento suplente
Se establecen al menos 5 requisitos de cumplimiento mínimo para el Oficial de Cumplimiento suplente.
Infraestructura tecnológica para el SARLAFT
Las entidades deben disponer y utilizar la infraestructura tecnológica y los sistemas necesarios para garantizar el funcionamiento efectivo, eficiente y oportuno del SARLAFT, los cuales deben generar informes confiables inmodificables y que garanticen la consulta permanente sobre dicha labor y contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgos asociados y tamaño. Cuando no se cuente con dicha infraestructura, debe establecer un plan de acción para cubrir esta falencia en el menor tiempo posible.
Las entidades deben propender porque sus sistemas cuenten con las siguientes características:
- Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo, garantizando que la estructura de datos definida para la captura de la información de los mismos contemple la totalidad de los campos necesarios para la adecuada administración del riesgo LAFT.
- Consolidar las operaciones de los distintos factores de riesgo, de acuerdo con los criterios establecidos por la entidad.
- Generar en forma automática los reportes internos y externos, distintos de los relativos a operaciones sospechosas, sin perjuicio de que todos los reportes a la UIAF sean enviados en forma electrónica.
Adicionalmente, deben contar con procesos que permitan realizar un control adecuado del cumplimiento de las políticas y límites establecidos, además de contar con un plan de conservación, custodia y seguridad de la información tanto documental como electrónica. De igual manera, los parámetros utilizados en las aplicaciones informáticas para el SARLAFT deben ser revisados periódicamente, como mínimo una vez al año.
Instrucciones Relativas al Subsistema de Administración del Riesgo de Corrupción, Opacidad y Fraude – SICOF
Las Entidades deben implementar o ajustar el SICOF a su Sistema Integrado de Gestión de Riesgos de acuerdo con el tamaño de la organización y su objeto social; además deben emitir los lineamientos generales mínimos para sus filiales y/o subsidiarias.
La estructura para implementar el SICOF debe contar con: políticas, procedimientos, manual de prevención, etapas, mecanismos, instrumentos, estructura organizacional, documentación, plataforma tecnológica, divulgación de información y capacitaciones.
Las Políticas del SICOF deben estar alineadas con el Código de Conducta y Buen Gobierno de la entidad, y hacer uso de Herramientas Tecnológicas.
El plazo de implementación es hasta el 17 de septiembre de 2022.
