SARLAFT- Sector Salud
El pasado 17 de septiembre de 2021, la superintendencia Nacional de Salud (SNS) expidió la Circular Externa 20211700000005-5 de 2021; a través de la cual emite instrucciones generales relativas al subsistema de administración del riesgo de corrupción; opacidad y fraude (SICOF) y modificaciones a las circulares externas 018 de 2015, 009 de 2016, 007 de 2017 y 003 de 2018. De acuerdo a lo anterior, esta circular presenta las modificaciones realizadas a la Circular Externa 000009 de 2016; por la cual se imparten instrucciones relativas al sistema de administración de riesgos de lavado de activos y financiación del terrorismo. A continuación, se detallan los cambios.
Ámbito de Aplicación:
El ámbito de aplicación establecido en la circular modificada es completamente sustituido, en donde, por destacar; este incluye a las Empresas Promotoras de Salud Indígenas EPS-I.
Adicionalmente, establece la adopción voluntaria para las IPS de los grupos D2 y D3; el Servicio de Transporte Especial de Pacientes y los Régimen Especiales y de Excepción. Es de señalar; que la relacionada con la designación de un oficial de cumplimiento es de carácter optativo para las entidades exceptuadas.
Así mismo; para las entidades exceptuadas la designación de un oficial de cumplimiento es opcional, por tanto, no es obligatorio el cumplimiento de las disposiciones contenidas en el numeral 6.2.2 de la Circular 000009 de 2016.
Sistema de administración del riesgo de lavado de activos de la financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva –SARLAFT /FPADM
La definición del sistema incluye; ahora el riesgo de Financiación de la Proliferación de Armas de Destrucción Masiva; dando una nueva estructura al nombre del sistema SARLAFT-FPADM.
Dentro de las etapas del SARLAFT, el sistema mantiene la estructura definida:
- Identificación del riesgo.
- Evaluación y Medición.
- Controles.
- Seguimiento y monitoreo.
En este párrafo resaltamos; que para la primera etapa (Identificación del riesgo) la Superintendencia Nacional de Salud establece que; “esta etapa debe estar acompañada de un ejercicio de revisión; evaluación y análisis de contexto interno y externo del vigilado donde se evalúen aspectos como: factores de riesgo a los cuales se encuentra expuesto; los riesgos asociados que podrían materializarse, entre otros; y deben estar claramente documentados; los cuales servirán y deberán estar conectados a la matriz de riesgos y la segmentación de factores.”
5.1.4. Políticas
Las modificaciones realizadas al numeral 5.2.1 de la Circular Externa 00009 de 2016; en relación a las políticas del SARLAFT como ítem perteneciente a los elementos del sistema; son las siguientes:
Se eliminan los ítems de diseño de políticas, aprobación de políticas, constancia de la aprobación de las políticas y comunicación de políticas; resultando un único párrafo el cual recopila lineamiento de dichas temáticas. El cual se presenta a continuación:
Como mínimo, las políticas que adopten las entidades deberán:
- Establecer lineamientos para la prevención y resolución de conflictos de interés.
- Señalar los lineamientos que debe adoptar la entidad frente a los factores de riesgo y los riesgos asociados de LA/FT/FPADM.
- Garantizar la reserva de la información reportada conforme lo establece el art. 105 del Estatuto Orgánico del Sistema Financiero – EOSF.
- Establecer las consecuencias que genera el incumplimiento del SARLAFT.
- Establecer el compromiso y la exigencia de que los funcionarios antepongan el cumplimiento de las normas en materia de administración de riesgo de LA/FT/FPADM al logro de las metas comerciales.
- Consagrar el deber de los órganos de administración y de control de las entidades vigiladas, del oficial de cumplimiento, así como de todos los funcionarios, de asegurar el cumplimiento de los reglamentos internos y demás disposiciones relacionadas con el SARLAFT.
- Consagrar lineamientos más exigentes de vinculación de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que, por su perfil o por las funciones que desempeñan, pueden exponer en mayor grado a la entidad al riesgo de LA/FT/FPADM.
- Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT.
- Instrumentar las diferentes etapas y elementos del SARLAFT, que se puede realizar a través de la parametrización de las herramientas tecnológicas establecidas por la entidad para soportar el funcionamiento del mismo.
5.2.2. Procesos y Procedimientos
El presente numeral, presenta una cobertura mas amplia, debido a que incluye los procesos del SARLAFT. El numeral incluye los siguientes lineamientos:
Los procedimientos deberán como mínimo:
- Instrumentar las diferentes etapas y elementos del SARLAFT.
- Identificar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual.
- Atender los requerimientos de información por parte de autoridades competentes.
- Dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia.
- Implementar medidas efectivas para consultar de forma permanente las listas internacionales vinculantes para Colombia.
- Consagrar las sanciones por incumplimiento a las normas relacionadas con el SARLAFT, así como los procesos para su imposición.
- Prever procesos para llevar a cabo un efectivo, eficiente y oportuno conocimiento de los clientes actuales y potenciales, así como la verificación de la información suministrada y sus correspondientes soportes.
- Establecer procedimientos especiales respecto de países de mayor riesgo.
- Implementar las metodologías para la detección de operaciones inusuales y sospechosas, y el oportuno y eficiente reporte de éstas últimas a las autoridades competentes.
5.2.2.1 Diseño de procedimientos
En este numeral se delega la responsabilidad de diseñar procedimientos al Oficial de Cumplimiento; funciones que anteriormente correspondían a la Junta Directiva o a quien haga sus veces, y cuando ésta no exista, la función estaba en poder del representante legal de la entidad y/o en todo caso quien haga sus veces o sea nombrado por mandato legal.
5.2.2.1 Aprobación de procedimientos
Se mantiene como responsable de aprobar el manual de procedimientos del SARLAFT que se aplicará en las empresas obligadas al cumplimiento de esta norma, a la Junta Directiva o quien haga sus veces, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada.
5.2.2.2.1. Identificar las situaciones que le generen riesgo de LA/FT/FPADM
Para este procedimiento se mantienen los métodos para identificar situaciones que generen riesgo, adicionalmente se especifica lo siguiente:
“Una vez identificadas las situaciones que puedan generarle riesgo de LA/FT/FPADM según las fuentes de riesgo, el Oficial de Cumplimiento debe elaborar una relación y dejar documentado el análisis de cada una, con el fin de implementar los controles necesarios y facilitar su seguimiento.
Asimismo, cuando la entidad incursione en nuevos mercados u ofrezca nuevos bienes o servicios, el Oficial de Cumplimiento deberá evaluar el riesgo de LA/FT/FPADM que implica, dejando constancia de este análisis.”
5.2.2.2.2.1. Conocimiento de los clientes y usuarios
Se incluye la actualización de datos de clientes y usuarios mínimo anualmente. A su vez, las entidades vigiladas pueden realizar los procedimientos de conocimiento del cliente de manera presencial o no presencial a través del uso de canales digitales o electrónicos y pueden obtener la información necesaria para realizar los procedimientos de conocimiento del cliente utilizando datos e información de fuentes confiables e independientes, siempre y cuando exista constancia de haber leído, entendido, aceptado y autorizado lo estipulado en el documento por parte del cliente.
Por otra parte, se recalca la importancia de validar en las personas jurídicas la identificación del beneficiario final (real) y/o accionistas y/o asociados que tengan directa o indirectamente una participación igual o superior al 25% del capital social o aporte del potencial cliente. Para el caso de las EPS, se deberá tener en cuenta los dispuesto en el Artículo 75 de la Ley 1955 de 2019 o las que lo modifiquen o sustituyan.
5.2.2.2.2.2. Conocimiento de personas expuestas políticamente
La circular 000009 de 2016, consideraba a los PEP como personas expuestas públicamente, categoría que cambia a “políticamente”, es decir; los servidores públicos de cualquier sistema de nomenclatura y clasificación de empleos de la administración pública nacional y territorial, cuando tengan asignadas o delegadas funciones de: expedición de normas o regulaciones, dirección general, formulación de políticas institucionales y adopción de planes, programas y proyectos, manejo directo de bienes, dineros o valores del Estado, administración de justicia o facultades administrativo sancionatorias, y los particulares que tengan a su cargo la dirección o manejo de recursos en los movimientos o partidos políticos, lo anterior de acuerdo al Decreto 830 de 2021. Para el tratamiento de estas personas, se mantiene establecer procedimientos más estrictos y la aprobación de vinculación de una instancia superior al interior de la organización.
5.2.2.2.2.3. Conocimiento de los asociados
Se especifica el porcentaje de participación para identificar a los beneficiarios finales en la contraparte asociados. De acuerdo al siguiente lineamiento: “El SARLAFT que se adopte, debe contemplar herramientas que permitan establecer plenamente la identificación del(los) beneficiario(s) final(es) (socios y/o accionistas) de la organización que de manera directa y/o indirecta, tengan una participación dentro de la sociedad, igual o superior al 5%, así como confirmar sus datos y tenerlos actualizados permanentemente. También, debe permitirle conocer la procedencia de los aportes en dinero o en especie, para lo cual se deberán requerir los documentos pertinentes.”
5.2.2.2.2.6 Establecer herramientas para identificar operaciones inusuales y/o sospechosas
Se agrega lo relacionado con las señales de alerta, segmentación de los factores de riesgo y el seguimiento de operaciones como herramientas para identificar operaciones inusuales y/o sospechosas en el SARLAFT. A continuación, se detallan cada una de ellas:
5.2.2.2.2.6.1 Señales de alerta:
Son los hechos, situaciones, eventos, cuantías, indicadores cuantitativos y cualitativos, razones financieras y demás información que la entidad determine como relevante, a partir de los cuales se puede inferir oportuna y/o prospectivamente la posible existencia de un hecho o situación que escapa a lo que la entidad, en el desarrollo del SARLAFT, ha determinado como normal.
Estas señales deben considerar cada uno de los factores de riesgo y las características de sus operaciones, así como cualquier otro criterio que a juicio de la entidad resulte adecuado.
5.2.2.2.2.6.2 Segmentación de los factores de riesgo:
Las entidades deben segmentar, como mínimo, cada uno de los factores de riesgo de acuerdo con las características particulares de cada uno de ellos, asegurando que las variables de análisis definidas garanticen la consecución de las características de homogeneidad al interior de los segmentos y heterogeneidad entre ellos, según la metodología que previamente haya establecido la entidad. Para realizar la segmentación de los factores de riesgo, las entidades deben contemplar como variables, entre otras, la
información recolectada durante la aplicación de los procedimientos de conocimiento del cliente y, en general, los procedimientos que hacen parte del SARLAFT.
A través de la segmentación las entidades deben determinar las características usuales de las transacciones que se desarrollan y compararlas con aquellas que realicen los clientes, a efectos de detectar las operaciones inusuales.
5.2.2.2.2.6.3 Seguimiento de operaciones:
Las entidades deben estar en capacidad de hacer seguimiento a las operaciones que realicen sus clientes y usuarios con una frecuencia acorde a la evaluación de riesgo de los factores de riesgo involucrados en las operaciones y monitorear las operaciones realizadas en cada uno de los segmentos de los factores de riesgo.
Las entidades vigiladas deben dar pleno cumplimiento a las normas relacionadas con protección de datos personales y habeas data previstas para la aplicación de medidas intensificadas de conocimiento al cliente mencionadas en los numerales anteriores.”
5.2.3 Instrumentos
La actualización de la Circular Externa 000009 de 2016, trajo consigo, la inclusión de instrumentos del SARLAFT. Indicando que para que los mecanismos adoptados por las entidades operen de manera efectiva, eficiente y oportuna, el SARLAFT debe contar como mínimo con los siguientes instrumentos:
5.2.3.1. Consolidación electrónica de operaciones en efectivo:
Las entidades deben estar en capacidad de consolidar electrónicamente por lo menos de manera mensual, las operaciones que realicen sus clientes y usuarios a través de los productos, canales y jurisdicciones.
5.2.3.2. Matriz de riesgo:
Las entidades vigiladas deben contar con una matriz de riesgos para la aplicación e implementación de las etapas del SARLAFT. La matriz de riesgos que diseñen e implementen las entidades vigiladas debe contemplar como mínimo las siguientes características, sin perjuicio de cualquier otra que consideren necesario incorporar:
- Los riesgos identificados, junto con sus respectivas causas y el impacto de su materialización.
- La relación existente entre los riesgos identificados y cada uno de los segmentos de los factores de riesgo en los que se podrían materializar los mismos.
- La relación existente entre los riesgos identificados y cada uno de los riesgos asociados.
- Las mediciones de probabilidad e impacto, tanto inherentes como residuales, para cada uno de los riesgos identificados y a nivel consolidado.
- Los controles que mitigan cada uno de los riesgos identificados, junto con las variables consideradas para la medición de su efectividad.
- Indicadores que permitan efectuar permanente seguimiento al perfil de riesgo de LA/FT/FPADM de la entidad.
Los criterios metodológicos contemplados en el diseño/construcción de la matriz de riesgos, así como la información que sirve de fuente de análisis para esta herramienta, deben ser revisados con una periodicidad mínima anual.
5.2.4 Documentación
Dentro de la documentación requerida en el SARLAFT, se adicionan los siguientes:
- Las políticas para la administración del riesgo de LA/FT/FPADM.
- Las metodologías para la segmentación, identificación, medición y control del riesgo de LA/FT/FPADM.
- La estructura organizacional que garantice el desarrollo del SARLAFT.
- Los roles y responsabilidades de quienes participan en la administración del riesgo de LA/FT/FPADM.
- Las medidas necesarias para asegurar el cumplimiento de las políticas del SARLAFT.
- Los procedimientos para identificar, medir, controlar y monitorear el riesgo de LA/FT/FPADM.
- Los procedimientos de control interno y revisión del SARLAFT.
- Las estrategias de capacitación y divulgación del SARLAFT.
- Los procesos y procedimientos establecidos en el numeral 5.2.2 de la Circular Externa 20211700000005-5 de 2021.
6.1 Junta Directiva o quien haga sus veces
Al máximo órgano social, se le adiciona la siguiente responsabilidad:
- Asignar un presupuesto anual para contratación de herramientas tecnológicas, contratación de personal, capacitación, asesorías, consultorías, y lo necesario para mantener la operación del SARLAFT en la compañía y la actualización normativa del Oficial de Cumplimiento y su equipo.
En cuanto a lo concerniente con informar a la SNS la designación del oficial de Cumplimiento, se elimina el plazo, el cual era no mayor a 120 días calendario.
Se indica el medio para realizar el informe ante la SNS, resultando a través del módulo de datos generales o aplicativos de reporte de información que la Superintendencia Nacional de Salud disponga para ellos. En el caso de las entidades públicas la designación se realizará de acuerdo a los términos de Ley que les aplique.
6.2.1 Oficial de Cumplimiento
En materia de Oficial de Cumplimiento, se establecen los siguientes términos:
- “Para el caso del Oficial de Cumplimiento suplente, debidamente designado al interior de la organización (quien será el reemplazo en ausencia parcial o total del Oficial de Cumplimiento), debe cumplir como mínimo, los requisitos establecidos en los literales b al f del presente numeral. El empresario o el accionista único, que a su vez es el Representante Legal de la empresa unipersonal o de la sociedad por acciones simplificada unipersonal, podrá autonombrarse como Oficial de Cumplimiento para los anteriores efectos.
- Las IPS de los, D2 y D3, el Servicio de Transporte Especial de Pacientes y los Régimen Especiales y de Excepción no deben contar con un Oficial de Cumplimiento de acuerdo con las disposiciones contenidas en el presente numeral. Sin embargo, deben designar un funcionario, responsable de la administración de las medidas de control diseñadas para prevenir que en la realización de sus operaciones puedan ser utilizadas como instrumento para el ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u otros bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos vinculados con las mismas.
6.4 Auditoría Interna, o quien ejecute funciones similares, o quien haga sus veces
Se incluye el rol y las responsabilidades de la Auditoría Interna.
Sin perjuicio de las funciones asignadas en otras disposiciones a la Auditoría Interna, o quien ejecute funciones similares o haga sus veces, ésta debe evaluar semestralmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT, con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, debe informar los resultados de la evaluación al Oficial de Cumplimiento y a la Junta Directiva.
La Auditoría Interna, o quien ejecute funciones similares o haga sus veces, debe realizar una revisión periódica de los procesos relacionados con las parametrizaciones de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico.”
7. Infraestructura tecnológica
En comparación con la Circular Externa 000009 de 2016, se amplia lo referente a la infraestructura tecnológica para el adecuado funcionamiento del SARLAFT. Siendo lo siguiente:
Las entidades deben disponer y utilizar la infraestructura tecnológica y los sistemas necesarios para garantizar el funcionamiento efectivo, eficiente y oportuno del SARLAFT, los cuales deben generar informes confiables inmodificables y que garanticen la consulta permanente sobre dicha labor y contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgos asociados y tamaño. Cuando no se cuente con dicha infraestructura, debe establecer un plan de acción para cubrir esta falencia en el menor tiempo posible. Las entidades deben propender porque sus sistemas cuenten con las siguientes características:
- Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo, garantizando que la estructura de datos definida para la captura de la información de los mismos contemple la totalidad de los campos necesarios para la adecuada administración del riesgo LA/FT.
- Consolidar las operaciones de los distintos factores de riesgo, de acuerdo con los criterios establecidos por la entidad.
- Generar en forma automática los reportes internos y externos, distintos de los relativos a operaciones sospechosas, sin perjuicio de que todos los reportes a la UIAF sean enviados en forma electrónica.
Adicionalmente, deben contar con procesos que permitan realizar un control adecuado del cumplimiento de las políticas y límites establecidos, además de contar con un plan de conservación, custodia y seguridad de la información tanto documental como electrónica.
De igual manera, los parámetros utilizados en las aplicaciones informáticas para el SARLAFT deben ser revisados periódicamente, como mínimo una vez al año.”
De la circular externa 000009 de 2016, son eliminados los siguientes numerales:
- Numeral 8.4 “Monitoreo y Seguimiento”
- N. 10 “Documentación”
- Numeral 11 “Anexos Técnicos”
- N. 12.2 “Periodo de Transición”
Finalmente, la actualización del SARLAFT; demuestra el compromiso de la Superintendencia Nacional de Salud de “Emitir instrucciones a los sujetos vigilados sobre el cumplimiento de las disposiciones normativas que regulan su actividad; fijar los criterios técnicos y jurídicos que faciliten el cumplimiento de tales normas y señalar los procedimientos para su cabal aplicación.”
Leave a reply