CONCEPTO 365521 DE 2024
<Fuente: Archivo interno entidad emisora>
SUPERINTENDENCIA DE SALUD
RADICADO: 20241600000365521.
CONSULTA – SARLAFT
CONSULTA
“Buenos días, quisiera conocer el proceso adecuado para la aprobación de las políticas del Subsistema de Riesgos Sarlaft-padm, teniendo en cuenta que si bien la normativa indica que es el máximo órgano social, se designa a la Junta directiva como órgano de administración, si bien la circular 009-16, indica que dicha aprobación es por el máximo órgano social (asamblea), indica que la junta aprueba los procedimientos (donde están inmersas dichas políticas), luego en la circular externa 4-5 indica que la política de gestión de riesgos tanto la aprobación como las modificaciones que se efectúen a dichas políticas deben tener constancia en acta del máximo órgano de administración, de la junta directiva o quien haga sus veces y que se debe contar con las actas del máximo órgano de administración, de la JD o quien haga sus veces, donde conste la aprobación de las políticas de cada uno de los subsistemas de administración de riesgos, así como los ajustes o modificaciones a dichas políticas; por lo anterior, agradezco su apoyo con la claridad de si las políticas deben ser aprobadas solo por la asamblea de accionistas o pueden de acuerdo en lo definido en al circular 4-5 y 5-5 al ser un sistema integral de riesgos (que incluye el subsistema sarlaft-padm) ser aprobados por la junta directiva, agradezco su apoyo para dar claridad a dicha inquietud”
DESARROLLO DE LA CONSULTA Y CONCLUSIONES
La Circular Externa 009 de 2016(12) modificada por la Circular Externa 20211700000005-5 (13) de 2021 tiene como objetivo proporcionar instrucciones administrativas generales para todos los vigilados de la Superintendencia Nacional de Salud (SNS), en el diseño e implementación del Sistema de Administración del Riesgo de Lavado de Activos, Financiación del Terrorismo (SARLAFT) y Financiación de la Proliferación de Armas de Destrucción Masiva (FPADM).
Este sistema de prevención y control lo deben implementar los Agentes del Sistema General de Seguridad Social en Salud (SGSSS). Tales agentes deben adoptar procedimientos y herramientas que contemplen todas las actividades que realizan en desarrollo de su objeto social y que se ajusten a su tamaño, actividad económica, forma de comercialización y demás características particulares. Las entidades supervisadas podrán seleccionar las metodologías y técnicas que consideren más adecuadas, dentro de las que se encuentran encuestas, entrevistas estructuradas con expertos, talleres, y técnicas de escenarios, entre otras.
Los parámetros establecidos en la circular en mención son los mínimos exigidos, por lo que cada vigilado que sea sujeto de esta circular podrá adoptar reglas y prácticas por encima del mínimo exigido de acuerdo con su apetito de riesgo y a sus políticas y procedimientos internos.
Para el caso que nos ocupa, los artículos 5.2.2.1 y 5.2.2.2 de la Circular Externa 009 de 2016, modificada por la Circular Externa 20211700000005-5 de 2021, aplicable a las Entidades Promotoras de Salud de los regímenes contributivo y subsidiado, a las Empresas de Medicina Prepagada, a los Servicios de Ambulancia Prepagada, a las secretarías municipales, departamentales y distritales de salud, y a las Instituciones Prestadoras de Salud (IPS) públicas, privadas y mixtas de los grupos C1, C2 y D1, señalan respecto al diseño de los procedimientos del SARLAFT, lo siguiente:
“(…)
INSTRUCCIONES PARA TODOS LOS VIGILADOS.
5.1. Modificación Circular Externa 009 de 2016
(…)
“5.2.2.1. Diseño de procedimientos
El diseño de los procedimientos para la implementación del SARLAFT es responsabilidad del Oficial de Cumplimiento de la entidad quien deberá presentarlas para su aprobación al máximo órgano social o junta directiva.
5.2.2.2 Aprobación de procedimientos
La Junta Directiva o quien haga sus veces, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada, será el responsable de aprobar el manual de procedimientos del SARLAFT que se aplicará en las empresas obligadas al cumplimiento de esta norma.
(…)” (Subrayado fuera de texto).
Así las cosas, el diseño de los procedimientos para la implementación del SARLAFT debe ser realizado por el Oficial cumplimiento, designado por la Junta directiva quien, a su vez, es la encargada de la aprobación del manual de procedimientos del SARLAFT.
Sobre la figura del oficial de cumplimiento se indica que ésta ha sido definida en la Circular Externa 09 de 2016, modificada por la Circular Externa 20211700000005-5 de 2021, en los siguientes términos:
“Oficial de Cumplimiento: El Oficial de Cumplimiento, o máxima persona encargada del cumplimiento del Sarlaft, es un funcionario de la entidad vigilada encargado de verificar el cumplimiento de los manuales y políticas de procedimiento de la entidad, así como de la implementación del Sarlaft.
Es un funcionario de mínimo segundo nivel jerárquico dentro de la Entidad, que depende directamente del Órgano de Administración o Dirección dentro de la estructura organizacional y funcional de la entidad, y, es nombrado por la Junta Directiva o quien haga sus veces. A su vez, es el encargado de realizar los reportes a la UIAF y a la Superintendencia Nacional de Salud. Dicho funcionario podrá ser nombrado con la entrada en vigencia de la presente Circular o su función podrá ser delegada a un funcionario ya existente en la entidad vigilada, siempre y cuando reúna las condiciones ya reseñadas y las señaladas en el numeral 6.2.1 de esta Circular, nombrándolo como cargo adjunto o de desempeño alterno a otra función que realice en la entidad.
Para el caso de los grupos empresariales oficialmente reconocidos, se puede nombrar a un mismo Oficial de Cumplimiento para todo el grupo, siempre y cuando este sea funcionario de alguna de las entidades que conforman dicho grupo y que reúna las condiciones ya reseñadas y las señaladas en el numeral 6.2.1 de esta Circular, nombrándolo como cargo adjunto o de desempeño alterno a otra función que desempeñara en la entidad”.
En el numeral 6.2.1 ibidem se establecen los requisitos del oficial de cumplimiento, así:
“6.2. OFICIAL DE CUMPLIMIENTO
6.2.1. REQUISITOS DEL OFICIAL DE CUMPLIMIENTO: El Oficial de Cumplimiento debe cumplir como mínimo con los siguientes requisitos:
a) Depender directamente del Órgano de Administración o Dirección dentro de la estructura organizacional y funcional de la entidad. Es decir, pertenecer como mínimo al segundo nivel jerárquico en el área administrativa o corporativa de la entidad;
b) Tener capacidad decisoria frente a los reportes y temas relacionados con la prevención de Lavado de Activos y/o Financiación del Terrorismo;
c) Acreditar conocimiento en materia de administración de riesgos, particularmente en el riesgo de LA/FT, mediante certificación expedida por parte de instituciones autorizadas por el Ministerio de Educación Nacional para impartir formación en dicha materia, en la que conste que la duración del diplomado no sea inferior a 90 horas y el curso e-learning de la UIAF. En caso de que sea una especialización, será válida en riesgos en general. Si no tiene ninguna de las anteriores certificaciones o acreditaciones, se pueden certificar cuatro (4) años de experiencia laboral en áreas de administración y gestión de riesgos;
d) No pertenecer a órganos de control ni a las áreas directamente relacionadas con las actividades previstas en el objeto social principal que hacen parte del Máximo Órgano Social;
e) Ser empleado directo de la entidad. Para el caso de los grupos empresariales oficialmente reconocidos, se puede nombrar a un mismo Oficial de Cumplimiento para todo el grupo, siempre y cuando este sea funcionario de alguna de las entidades que conforman dicho grupo.
En caso de que exista Oficial de Cumplimiento suplente, este debe cumplir como mínimo, los requisitos establecidos en los subnumerales b) al e) del presente numeral.
El empresario o el accionista único, que a su vez es el Representante Legal de la empresa unipersonal o de la sociedad por acciones simplificada unipersonal, podrá autonombrarse como Oficial de Cumplimiento para los anteriores efectos.
<Inciso adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:>
Para el caso del Oficial de Cumplimiento suplente, debidamente designado al interior de la organización (quien será el reemplazo en ausencia parcial o total del Oficial de Cumplimiento), debe cumplir como mínimo, los requisitos establecidos en los literales b al f del presente numeral.
<Inciso adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:>
El empresario o el accionista único, que a su vez es el Representante Legal de la empresa unipersonal o de la sociedad por acciones simplificada unipersonal, podrá autonombrarse como Oficial de Cumplimiento para los anteriores efectos.
<Inciso adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:>
Las IPS de los, D2 y D3, el Servicio de Transporte Especial de Pacientes y los Régimen Especiales y de Excepción no deben contar con un Oficial de Cumplimiento de acuerdo con las disposiciones contenidas en el presente numeral. Sin embargo, deben designar un funcionario, responsable de la administración de las medidas de control diseñadas para prevenir que en la realización de sus operaciones puedan ser utilizadas como instrumento para el ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u otros bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos vinculados con las mismas.
<Inciso adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:>
Las entidades deben designar al funcionario responsable mediante la Junta Directiva u órgano que haga sus veces, y dará a conocer al responsable a la SNS indicando nombre, profesión, cargo adjunto o de desempeño alterno (si procede), teléfonos de contacto y correo electrónico. Esta información y su respectiva actualización o modificación, deberá realizarse a través de la plataforma NRVCC módulo de datos generales o el sistema o herramienta que la SNS disponga para ello. Además, se deberá verificar que el funcionario responsable no se encuentre en una lista internacional vinculante para Colombia”.
De acuerdo con lo anterior, para nombrar un oficial de cumplimiento se deben cumplir los requisitos mínimos establecidos en las circulares citadas, tales como pertenecer como mínimo al segundo nivel jerárquico en el área administrativa o corporativa de la entidad, es decir, depender directamente del órgano de Administración o Dirección, acreditar conocimiento en materia de administración de riesgos y en concreto de SARLAFT y no pertenecer a órganos de control, ni a las áreas directamente relacionadas con las actividades previstas en el objeto social principal que hacen parte del Máximo Órgano Social, así como ser empleado directo de la entidad, pues de lo contrario deberá optarse por otro candidato que si acredite el cumplimiento de estos.
Ahora bien, respecto a la implementación y aprobación de las políticas del Subsistema de Riesgos Sarlaft el artículo 5.1.7., ibidem establece:
“5.1.7. Modifíquese el numeral 6.1 “JUNTA DIRECTIVA O QUIEN HAGA SUS VECES”, el cual quedará así:
Para la implementación del SARLAFT se deberán asignar como mínimo las siguientes funciones a la Junta Directiva u órgano de administración que haga sus veces. En caso de que por su naturaleza jurídica no exista dicho órgano, estas funciones corresponderán al representante legal:
a) Diseñar y actualizar las políticas para la prevención y control del riesgo de LA/ FT/FPADM que harán parte del SARLAFT, para una posterior aprobación por la Asamblea o el máximo órgano social o quien haga sus veces.
b) Aprobar el manual de procedimientos y sus actualizaciones.
c) Garantizar los recursos técnicos y humanos que se requieran para implementar y mantener en funcionamiento el SARLAFT, teniendo en cuenta las características del riesgo de LA/FT/FPADM y el tamaño de la entidad. Este equipo de trabajo humano y técnico debe ser de permanente apoyo para que el Oficial de Cumplimiento lleve a cabalidad sus funciones.
d) Asignar un presupuesto anual para contratación de herramientas tecnológicas, contratación de personal, capacitación, asesorías, consultorías, y lo necesario para mantener la operación del SARLAFT en la compañía y la actualización normativa del Oficial de Cumplimiento y su equipo.
e) Designar al Oficial de Cumplimiento y su respectivo suplente. Para efectos de dar cumplimiento a esta circular, la Junta Directiva o quien haga sus veces dará a conocer el nombramiento del Oficial de Cumplimiento a la Superintendencia Nacional de Salud, indicando nombre, profesión, cargo adjunto o de desempeño alterno (si procede), teléfonos de contacto y correo electrónico. Esta información y su respectiva actualización o modificación, deberá realizarse a través del módulo de datos generales o aplicativos de reporte de información que la Superintendencia Nacional de Salud disponga para ellos. En el caso de las entidades públicas la designación se realizará de acuerdo a los términos de ley que les aplique.
f) Incluir en el orden del día de sus reuniones, la presentación del informe del Oficial de Cumplimiento, por lo menos una vez al año o cuando este lo determine necesario.
g) Pronunciarse sobre los informes presentados por el Oficial de Cumplimiento y la Revisoría Fiscal y realizar el seguimiento a las observaciones o recomendaciones adoptadas, dejando constancia en las actas.
h) Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y Reporte de las Operaciones Sospechosas (ROS).
i) Aprobar las metodologías de segmentación, identificación, medición, control y monitoreo del SARLAFT.
j) Designar la(s) instancia(s) responsable(s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.”
En similar sentido, la Circular Externa 20211700000004-5 de 2021(14), por la cual se imparten instrucciones generales relativas al código de conducta y de buen gobierno organizacional, el sistema integrado de gestión de riesgos y a sus subsistemas de administración de riesgos a las IPS de los grupos b, c1, c2 y d1 públicos, privados y mixtos, precisa en su numeral segundo “POLÍTICAS DE GESTIÓN DE RIESGOS” que en el marco del Sistema Integrado de Gestión de Riesgos, las políticas o lineamentos generales que permitan el desarrollo del ciclo de la gestión de los riesgos prioritarios de forma eficiente y oportuna deberán ser adoptadas por la Junta Directiva, el Consejo de Administración o quien haga las veces como máximo órgano de administración (cualquiera de estos de acuerdo con la forma social o asociativa de cada entidad).
De acuerdo con lo anterior se concluye respecto del interrogante planteado, lo siguiente:
- Las atribuciones de la Junta Directiva están definidas en los estatutos de cada organización. Igualmente, se reitera que el diligenciamiento del formato de conocimiento del cliente SARLAFT y demás políticas y procedimientos enmarcados en las mencionadas circulares son los mínimos que deben tener en cuenta las entidades vigiladas por la Superintendencia Nacional de Salud, y por tanto, la entidad vigilada se encuentra en la libertad de definir requisitos adicionales para el conocimiento de los miembros de su Junta Directiva en el marco de las normas antes referidas.
- Le corresponde a la Junta directiva u órgano de administración que haga sus veces o, en ausencia de estas al representante legal, diseñar, y actualizar las políticas para la prevención y control del riesgo de LA/FT/FPADM del SARLAFT, mientras que la aprobación de estas compete efectuarla a la respectiva Asamblea General de accionistas o a quien haga sus veces en cada entidad.
Finalmente, respecto a las actas a que hace referencia en el escrito, se precisa que estas corresponden a los documentos que la entidad vigilada debe mantener a disposición de la Superintendencia Nacional de Salud y que no son otra cosa que las constancias de las acciones adelantadas en cumplimiento a la implementación de las circulares mencionadas al inicio del presente escrito, así:
5.2.4.2 La entidad debe mantener en todo momento y a disposición de la Superintendencia Nacional de Salud, la documentación e información mencionadas en la presente circular y previendo como mínimo lo siguiente:
a) Las actas del máximo órgano social, o del empresario en el caso de las empresas unipersonales, o del accionista único en la sociedad por acciones simplificada unipersonal, donde conste la aprobación de las políticas del SARLAFT, así como las actas correspondientes a la aprobación de los ajustes o modificaciones que se efectúen a dichas políticas.
b) Actas de nombramiento del Oficial de Cumplimiento y documentación necesaria para verificar requisitos establecidos para ejercer dicho rol.
c) Las políticas para la administración del SARLAFT.
d) Los instructivos o manuales que contengan los procesos a través de los cuales se llevan a la práctica las políticas y procedimientos aprobados del SARLAFT. Estos documentos deberán ser firmados por el representante legal principal y ser de fácil consulta y aplicación al interior de la organización.
e) Las metodologías y procedimientos para la identificación, medición, control y el monitoreo de los riesgos identificados. A su vez, el establecimiento de los niveles de aceptación y tolerancia al riesgo.
f) Los informes presentados por el Oficial de Cumplimiento.
g) Los informes presentados por la Auditoría Interna y el Revisor Fiscal sobre el funcionamiento del SARLAFT.
h) Las constancias de envío de los Reportes de Operaciones Sospechosas - ROS remitidos a la UIAF, y demás reportes solicitados por esta Unidad.
i) Las constancias de las capacitaciones impartidas a todo el personal de la empresa y estrategias de divulgación sobre el SARLAFT.
j) Las actas de Junta Directiva en donde conste la presentación del informe del Oficial de Cumplimiento y del Revisor Fiscal y Auditoría Interna.
k) Matriz de riesgos del Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo, que contenga como mínimo: identificación de factores internos y externos, riesgos identificados, análisis de probabilidad de ocurrencia de los riesgos y su impacto, identificación de los controles existentes para prevenir la ocurrencia o mitigar el impacto de los riesgos identificados, evaluación de la efectividad de los controles y definición de las acciones de mejoramiento necesarias.
l) Plan de acción de ejecución del SARLAFT.
Las políticas, el manual de procedimientos de la entidad, las bases de datos de clientes o usuarios, los requisitos del Oficial de Cumplimiento y demás información, documentación y lineamientos que estén referenciados en esta circular deben estar a disposición de la Superintendencia Nacional de Salud para ser revisados y validar que cumplen con lo establecido en las instrucciones emitidas. La SNS en virtud de sus funciones de IVC, podrá requerir dicha información en cualquier momento”.
12. Por la cual se imparten instrucciones relativas al sistema de administración del riesgo de lavado de activos y la financiación del terrorismo (SARLAFT)
13. Instrucciones generales relativas al subsistema de administración del riesgo de corrupción, opacidad y fraude (SICOF) y modificaciones a las circulares externas 018 de 2015, 009 de 2016, 007 de 2017 y 003 de 2018
14. Aplicable a las instituciones prestadoras de servicios de salud (ips) de los grupos b, c1, c2 y d1 públicos, privados y mixtos vigilados por la superintendencia nacional de salud de manera obligatoria, y para los demás grupos de forma voluntaria como buenas practicas
