CIRCULAR EXTERNA 9 DE 2016
(abril 21)
Diario Oficial No. 49.852 de 22 de abril de 2016
SUPERINTENDENCIA NACIONAL DE SALUD
Para: | Representantes legales, socios, accionistas, revisores fiscales, alta gerencia, máximo órgano social, oficiales de cumplimiento, administradores y personas naturales o jurídicas que hacen parte de los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) vigilados por la Superintendencia Nacional de Salud, en particular las entidades promotoras de salud régimen contributivo y subsidiado, instituciones prestadoras de salud públicas y privadas de los Grupos C1, C2 y D1 según Circular Externa 018 de 2015 y normas que la modifiquen o sustituyan, Empresas de Medicina Prepagada y Servicios de Ambulancia Prepagada. |
De: | Superintendencia Nacional de Salud |
Asunto: | <Asunto modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Por la cual se imparten instrucciones relativas al Sistema de Administración del Riesgo de Lavado de Activos, Financiación del Terrorismo y Financiación de la proliferación de armas de destrucción masiva y reporte de información |
Fecha: | 21 de abril de 2016 |
El lavado de activos y/o la canalización de recursos hacia la realización o financiación de actividades terroristas, se vincula al riesgo legal, de contagio, operativo y reputacional al que se exponen los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) vigilados por la Superintendencia Nacional de Salud (SNS), con el consecuente impacto económico negativo que ello puede representar para su estabilidad y la del sector en su conjunto, al poder ser utilizados, entre otros, para el ocultamiento, manejo, inversión o aprovechamiento, en cualquier forma, de dineros u otros bienes provenientes de actividades ilícitas o destinadas a ellas, o para dar apariencia de legalidad a los recursos generados de dichas actividades.
En este contexto, la SNS pretende que los Agentes del SGSSS, continúen la lucha contra el Lavado de Activos y la Financiación del Terrorismo (LA/FT) e implementen un Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo (Sarlaft) con el fin de prevenir que sean utilizadas para dar apariencia de legalidad a activos que provienen de actividades delictivas o que sean utilizadas para ocultar la procedencia de recursos que sean dirigidos finalmente hacia la realización de actividades terroristas.
En este sentido, la presente Circular introduce los criterios y parámetros mínimos que los Agentes del SGSSS vigilados por la SNS deben tener en cuenta en el diseño, implementación y funcionamiento de un sistema de autocontrol y gestión del riesgo de LA/FT.
Adicionalmente, la Circular contiene directrices dirigidas a los socios, accionistas, revisores fiscales, administradores y todas las personas naturales o jurídicas que hacen parte de los Agentes del SGSSS que de acuerdo con la Ley están sujetas a la Inspección, Vigilancia, y Control (IVC) de la SNS, y la determinación de los criterios técnicos y jurídicos que deben cumplir las empresas vigiladas sobre la manera como deben administrar los riesgos de LA/FT inherentes en sus actividades.
Por último, corresponde a las entidades que hacen parte del SGSSS diseñar e implementar el Sarlaft, de acuerdo con los criterios y parámetros mínimos exigidos en la presente Circular y de conformidad con los estándares internacionales que existen sobre la materia, especialmente los proferidos por el GAFI[1], el Gafilat[2] y el Gafisud[3] y adaptando las normas regulatorias que el Gobierno Nacional ha expedido sobre éste componente, en especial las Leyes 1121 de 2006 y 1621 de 2013. Asimismo, el Sarlaft debe abarcar todas las actividades que realizan los agentes vigilados del SGSSS en desarrollo de su objeto social y deberá prever procedimientos y metodologías para que las entidades eviten ser utilizadas como herramienta para lavar activos y/o financiar el terrorismo.
2.1. RECOMENDACIONES INTERNACIONALES SOBRE LA/FT
La Convención de las Naciones Unidas contra el Tráfico Ilícito de Estupefacientes del año 1988 y el Convenio Internacional de las Naciones Unidas para la Represión de la Financiación del Terrorismo del año 2000, determinaron la importancia y necesidad de adoptar medidas y utilizar herramientas efectivas que permitan minimizar y eliminar las prácticas relacionadas con el Lavado de Activos y la Financiación del Terrorismo. Por otra parte, la Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional del año 2000 y la Convención de las Naciones Unidas contra la Corrupción del año 2003, establecieron medidas preventivas, y la eficaz penalización de dichos actos.
A su vez, en el año de 1990 el Grupo de Acción Financiera (GAFI), diseñó cuarenta (40) recomendaciones para prevenir el Lavado de Activos y posteriormente estableció nueve (9) recomendaciones especiales contra el Financiamiento del Terrorismo, las cuales fueron actualizadas y unificadas en febrero de 2012, modificación que incluyó la prevención y la lucha contra la Financiación de la Proliferación de Armas de Destrucción masiva.
El 8 de diciembre de 2000 se creó en Cartagena de Indias, Colombia, el Gafilat como una organización intergubernamental de base regional que agrupa a 16 países de América del Sur y Centroamérica para combatir el lavado de dinero y la financiación del terrorismo, a través del compromiso de mejora continua de las políticas nacionales contra ambos temas y la profundización en los distintos mecanismos de cooperación entre los países miembros. Su creación se formalizó mediante la firma del Memorando de Entendimiento constitutivo del grupo por los representantes de los gobiernos de nueve países: Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, Paraguay, Perú y Uruguay.
Posteriormente se incorporaron como miembros plenos México (2006), Costa Rica y Panamá (2010).
Cuba (2012), Guatemala, Honduras y Nicaragua (2013).
Colombia, mediante la Ley 1186 de 2008 adoptó las recomendaciones de este organismo. Este grupo adquirió el compromiso de adoptar las recomendaciones del GAFI.
De igual manera, es necesario tener en cuenta las Resoluciones 1267 de 1999, la 1373 de 2001, la 1718 y 1737 de 2006, la 1989 de 2011, la 2178 de 2014, la 2253 de 2015 y la Resolución 2270 de 2016 del Consejo de Seguridad de las Naciones Unidas, siendo el marco general en la política de lucha y prevención del Lavado de Activos, la Financiación del Terrorismo y la financiación de la Proliferación de armas de destrucción masiva.
En este escenario y debido a la importancia que ostentan los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) resulta necesario emitir instrucciones con el fin de que adopten las previsiones que sean necesarias para analizar adecuadamente la información de sus usuarios y aquella que reportan, y si fuere el caso, realizar reportes de Operaciones Sospechosas (ROS) a la Unidad de Información y Análisis Financiero (UIAF).
2.2. NORMATIVIDAD VIGENTE
El Artículo 113 de la Constitución Política en su último inciso señala que los diferentes órganos del Estado tienen funciones separadas, pero deben colaborar armónicamente para la realización de sus fines, dado que el Lavado de Activos y la Financiación del Terrorismo se han constituido como un riesgo y una amenaza en múltiples actividades de origen lícito, afectando la seguridad económica de todos los colombianos. Lo anterior motiva a que todos los organismos del Estado competentes, impulsen políticas públicas y procedimientos de prevención y detección de este fenómeno en el que confluyen grandes flujos de dinero.
De acuerdo con los artículos 48 y 49 de la Constitución de 1991, la Seguridad Social es un derecho irrenunciable que debe ser garantizado por el Estado. La atención de la salud es un servicio público de carácter obligatorio que se prestará bajo la dirección, coordinación y control del Estado, en sujeción a los principios de eficiencia, universalidad y solidaridad, garantizando a todas las personas el acceso a los servicios de promoción, protección y recuperación de la salud.
El artículo 1o de la Ley 526 de 1999, señala que las autoridades que ejerzan funciones de Inspección, Vigilancia y Control (IVC), deben instruir a sus vigilados sobre las características, periodicidad y controles en relación con la información que deben reportar a la Unidad de Información y Análisis Financiero (UIAF), de acuerdo con los criterios e indicaciones que de esta reciban, relacionados con la prevención del Lavado de Activos y la Financiación del Terrorismo.
Por su parte, el Decreto 1497 de 2002 que reglamentó la Ley 526 de 1999, hoy Decreto Único 1068 de 2015, en su artículo 2.14.2 dispone que las entidades públicas y privadas pertenecientes a sectores diferentes al financiero, asegurador y bursátil, deben reportar Operaciones Sospechosas (ROS) a la UIAF, de acuerdo con el literal d) del numeral 2 del artículo 102 y en los términos de los artículos 103 y 104 del Estatuto Orgánico del Sistema Financiero, cuando dicha Unidad lo solicite, en la forma y oportunidad que les señale.
Asimismo, el artículo 68 de la Ley 715 de 2001 determinó que la SNS realiza la Inspección, Vigilancia y Control del cumplimiento de la Constitución y disposiciones normativas del SGSSS, así como sus recursos: “La Superintendencia Nacional de Salud tendrá como competencia realizar la Inspección, Vigilancia y Control del cumplimiento de las normas constitucionales y legales del sector salud y de los recursos del mismo”.
A su vez, la Ley 1122 de 2007 determinó las funciones de IVC asignadas a la SNS[4], estableciendo que el sistema de la IVC es un conjunto de normas que buscan el cumplimiento de los principios constitucionales a través de procesos y procedimientos establecidos.
De otra parte, la Ley 1438 de 2011 determina el alcance de la IVC sobre los sujetos vigilados y la forma en que se fortalece dicho mecanismo por parte de la Superintendencia[5].
También, la Ley 1474 de 2011 -Estatuto Anticorrupción- dispuso en su artículo 12 lo siguiente:
“Sistema preventivo de prácticas riesgosas financieras y de atención en salud del Sistema General de Seguridad Social en Salud. Créase el Sistema Preventivo de Prácticas Riesgosas Financieras y de Atención en Salud del Sistema General de Seguridad Social en Salud que permita la identificación oportuna, el registro y seguimiento de estas conductas. La Superintendencia Nacional de Salud definirá para sus sujetos vigilados, el conjunto de medidas preventivas para su control, así como los indicadores de alerta temprana y ejercerá sus funciones de inspección, vigilancia y control sobre la materia. Dicho sistema deberá incluir indicadores que permitan la identificación, prevención y reporte de eventos sospechosos de corrupción y fraude en el Sistema General de Seguridad Social en Salud. El no reporte de información a dicho sistema, será sancionado conforme al artículo 131 de la Ley 1438 de 2011” (Subrayado ajeno al texto).
Por otra parte, el artículo 27 de la Ley 1121 de 2006, determina que “El Estado colombiano y las Entidades Territoriales en cualquier proceso de contratación deberán identificar plenamente a las personas naturales y a las personas jurídicas que suscriban el contrato, así como el origen de sus recursos; lo anterior con el fin de prevenir actividades delictivas”.
Asimismo, en el artículo 20 ibídem se menciona el PROCEDIMIENTO PARA LA PUBLICACIÓN Y CUMPLIMIENTO DE LAS OBLIGACIONES RELACIONADAS CON LISTAS INTERNACIONALES VINCULANTES PARA COLOMBIA DE CONFORMIDAD CON EL DERECHO INTERNACIONAL, donde “el ministerio de relaciones exteriores transmitirá las listas de personas y entidades asociadas con organizaciones terroristas, vinculantes para colombia conforme al derecho internacional y solicitará a las autoridades competentes que realicen una verificación en las bases de datos con el fin de determinar la posible presencia o tránsito de personas incluidas en las listas y bienes o fondos relacionados con estas.
Las autoridades consultadas deberán realizar las verificaciones pertinentes e informar a la Fiscalía General de la Nación, quien evaluará la pertinencia de la información y comunicará los resultados obtenidos al Consejo de Seguridad de las Naciones Unidas, a través del Ministerio de Relaciones Exteriores.
Los particulares que conozcan de la presencia o tránsito de una persona incluida en una de las listas mencionadas o de bienes o fondos relacionados con estas deberán informar oportunamente al Departamento Administrativo de Seguridad (DAS) y a la Unidad de Información y Análisis Financiero (UIAF), para lo de su competencia. Al suministro de esta información se le aplicará el régimen de responsabilidad previsto en el artículo 42 de la ley 190 de 1995”.
Finalmente, la Ley Estatutaria de Salud Ley 1751 de 2015 determina que “El derecho fundamental a la salud es autónomo e irrenunciable en lo individual y en lo colectivo. Comprende el acceso a los servicios de salud de manera oportuna, eficaz y con calidad para la preservación, el mejoramiento y la promoción de la salud. El Estado adoptará políticas para asegurar la igualdad de trato y oportunidades en el acceso a las actividades de promoción, prevención, diagnóstico, tratamiento, rehabilitación y paliación para todas las personas. De conformidad con el artículo 49 de la Constitución Política, su prestación como servicio público esencial obligatorio, se ejecuta bajo la indelegable dirección, supervisión, organización, regulación, coordinación y control del Estado” (Resaltado ajeno al texto).
De esta manera, le corresponde a la Superintendencia Nacional de Salud generar las directrices propias del Sarlaft en el sector de la salud, dado que, en virtud de las disposiciones constitucionales y legales vigentes, la vigilancia del cumplimiento de las políticas públicas sobre LA/FT del SGSSS, le corresponde a esta Entidad.
El cumplimiento de la presente Circular no supone, en aquellas entidades del Estado o con participación de recursos del Estado, la modificación de la planta de personal. Los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) en cumplimiento de la presente Circular podrán realizar la contratación de personas idóneas para la implementación del Sarlaft bajo la figura jurídica que consideren más adecuada en atención a las funciones de IVC a las que están sometidas y al principio de autonomía administrativa que rige a cada entidad.
3. ÁMBITO DE APLICACIÓN. <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> La presente Circular aplica de forma obligatoria a las Entidades Promotoras de Salud de los regímenes contributivo y subsidiado, a las Empresas de Medicina Prepagada, a los Servicios de Ambulancia Prepagada, a las secretarías municipales, departamentales y distritales de salud, y a las Instituciones Prestadoras de Salud (IPS) públicas, privadas y mixtas de los grupos C1, C2 y D1 definidos en el numeral 4.1 de la presente Circular, la cual deja sin efecto la Circular Externa 018 de 2015.
En razón a que la presente circular tiene como objetivo proporcionar instrucciones administrativas generales para todos los vigilados de la Superintendencia Nacional de Salud, en el diseño e implementación del Sistema de Administración del Riesgo de Lavado de Activos, Financiación del Terrorismo (SARLAFT) y Financiación de la Proliferación de Armas de Destrucción Masiva (FPADM), su ámbito de aplicación también incluye a las Empresas Promotoras de Salud Indígenas EPS-I.
Lo anterior, con fundamento en lo conceptuado por el Director de Consulta Previa del Ministerio del Interior mediante oficio con Nro. OFI15-000034420-DCP-2500 del 21 de agosto de 2015, que, con relación a la necesidad de surtir el trámite de consulta previa en las medidas administrativas adoptadas por la SNS, señaló:
(…) “…la práctica de medidas especiales ejercidas por la Superintendencia Nacional de Salud sobre las entidades sujetas a su vigilancia se constituye en una medida administrativa de carácter general, puesto que afecta de forma igualmente uniforme a la totalidad de dichas entidades, es decir, de las EPS, entre ellas las EPS de las comunidades tradicionales, por lo cual no están, prima facie, sujetas al deber de consulta previa.
Así pues, estas medidas administrativas no pueden predicarse de forma específica a los pueblos indígenas pues, de un lado, no van en desmedro de su calidad de vida ni niegan su derecho a la participación, y de otro lado, no están intrínsecamente ligadas, ni guardan vínculo necesario con su definición de identidad, conocimiento, ancestral y autonomía, en el entendido que su aplicación no hace nugatorios sus derechos a la salud ni impide la aplicación de sus conocimientos en medicina tradicional mediante sus instituciones propias, prerrogativas estas que están ampliamente garantizadas por la Constitución política a las comunidades étnicas desde el punto de vista del enfoque diferencial”. (resaltado fuera del texto).
Para las IPS de los grupos D2 y D3, el Servicio de Transporte Especial de Pacientes y los Régimen Especiales y de Excepción, las instrucciones de la presente Circular son de adopción voluntaria, a excepción de las siguientes, que son de carácter obligatorio. Es de señalar que la relacionada con la designación de un oficial de cumplimiento es de carácter optativo para las entidades exceptuadas:
Así mismo, para las entidades exceptuadas la designación de un oficial de cumplimiento es opcional, por tanto, no es obligatorio el cumplimiento de las disposiciones contenidas en el numeral 6.2.2 de la Circular 009 de 2016.
Para la aplicación de la presente Circular se tendrán en cuenta las siguientes definiciones:
Alta Gerencia: Personas del más alto nivel jerárquico en el área administrativa o corporativa de la entidad. Son responsables del giro ordinario del negocio de la entidad y encargadas de idear, ejecutar y controlar los objetivos y estrategias de la misma. Se incluyen también el Director General o Presidente Ejecutivo y el Contralor Interno.
Beneficiario Final*: Se refiere a la(s) persona(s) natural(es) que finalmente posee(n) o controla(n) a un cliente y/o la persona natural en cuyo nombre se realiza una transacción, incluye también a las personas que ejercen el control efectivo final sobre una persona jurídica u otra estructura jurídica[6].
Cliente y/o contraparte: Es toda persona natural o jurídica con quien la Entidad formaliza una relación contractual o legal, sea contratista, proveedor, suministro de medicamentos e insumos, contratos de red de prestadores, compradores y/o cualquier figura contractual que suponga inyección efectiva de recursos, como lo son los afiliados a los planes voluntarios de salud.
Debido a la obligatoriedad del aseguramiento y la prestación de servicios de salud por parte de las EPS y prestadores, no se consideran como clientes y/o contrapartes los usuarios (afiliados) de las EPS, ni los pacientes de las IPS cuyos servicios sean cancelados efectivamente por algún tipo de seguro [7] (Plan Obligatorio de Salud, Sistema de Riesgos Laborales y Seguro Obligatorio de Accidentes de Tránsito (SOAT), Planes Adicionales de Salud, entre otros). Es así que, para estos casos, no será necesario la identificación del usuario.
Control del riesgo de LA/FT*: Comprende la implementación de políticas, procesos, prácticas u otras acciones existentes que actúan para minimizar el riesgo de LA/FT en las operaciones, negocios o contratos que realice la entidad.
Debida Diligencia*: Equivale a ejecutar algo con suficiente cuidado. Existen dos interpretaciones sobre la utilización de este concepto en la actividad empresarial. La primera, se concibe como actuar con el cuidado que sea necesario para evitar la posibilidad de llegar a ser considerado culpable por negligencia y de incurrir en las respectivas responsabilidades administrativas, civiles o penales. La segunda, de contenido económico y proactiva, se identifica como el conjunto de procesos necesarios para poder adoptar decisiones suficientemente informadas.
Factores de Riesgo de LA/FT*: Son aquellas circunstancias y características de los clientes y/o contraparte, personas naturales y jurídicas, y de las operaciones que hacen que exista una mayor probabilidad de corresponder con una operación sospechosa de LA/FT.
Financiación del terrorismo*: Delito que comete toda persona que incurra en alguna de las conductas descritas en el artículo 345 del Código Penal[8].
Fuentes de riesgo de LA/FT*: Son los agentes generadores de riesgo de LA/FT en una entidad y se deben tener en cuenta para identificar las situaciones que puedan generarle este riesgo en las operaciones, negocios o contratos que realiza.
Gestión del riesgo de LA/FT*: Consiste en la adopción de políticas y procedimientos que permitan prevenir y controlar el riesgo de LA/FT.
Herramientas de Sarlaft*: Son los medios que utiliza la entidad para prevenir que se presente el riesgo de LA/FT y para detectar operaciones intentadas, inusuales o sospechosas. Dentro de dichas herramientas se deben mencionar, entre otras, las señales de alerta, indicadores de operaciones inusuales, programas para administración de riesgos empresariales y hojas electrónicas de control.
Lavado de activos*: Delito que comete toda persona que busca dar apariencia de legalidad a bienes o dinero provenientes de alguna de las actividades descritas en el artículo 323 del Código Penal[9].
Listas nacionales e internacionales*: Relación de personas que de acuerdo con el organismo que las publica, pueden estar vinculadas con actividades de lavado de activos o financiación del terrorismo, como lo son las listas del Consejo de Seguridad de las Naciones Unidas, que son vinculantes para Colombia. Adicionalmente, pueden ser consultadas por Internet u otros medios técnicos las listas OFAC, Interpol, Policía Nacional, entre otras.
Máximo Órgano Social: Es el máximo órgano de gobierno de la entidad. Es la Asamblea General o quien haga sus veces y puede variar su denominación según la figura jurídica de la que se trate. Se conforman por accionistas en caso de una sociedad comercial por acciones, por socios en las sociedades comerciales con cuotas o partes de interés, por asociados en caso de las organizaciones de economía solidaria, por afiliados en caso de una caja de compensación familiar que cuentan con autorización para operar programas de salud. Su principal función es velar por el cumplimiento de los objetivos misionales de la entidad, mediante la realización de asambleas, que puede darse de manera ordinaria o extraordinaria, según lo establece el Código de Comercio o la norma que regule cada tipo especial de la entidad y los estatutos.
Monitoreo*: Es el proceso continuo y sistemático que realizan los sujetos obligados, y mediante el cual se verifica la eficiencia y la eficacia de una política o de un proceso, así como la identificación de sus fortalezas y debilidades para recomendar medidas correctivas tendientes a optimizar los resultados esperados. Es condición para rectificar o profundizar la ejecución y para asegurar la retroalimentación entre los objetivos, los presupuestos teóricos y las lecciones aprendidas a partir de la práctica.
Oficial de Cumplimiento: El Oficial de Cumplimiento, o máxima persona encargada del cumplimiento del Sarlaft, es un funcionario de la entidad vigilada encargado de verificar el cumplimiento de los manuales y políticas de procedimiento de la entidad, así como de la implementación del Sarlaft.
Es un funcionario de mínimo segundo nivel jerárquico dentro de la Entidad, que depende directamente del Órgano de Administración o Dirección dentro de la estructura organizacional y funcional de la entidad, y, es nombrado por la Junta Directiva o quien haga sus veces. A su vez, es el encargado de realizar los reportes a la UIAF y a la Superintendencia Nacional de Salud. Dicho funcionario podrá ser nombrado con la entrada en vigencia de la presente Circular o su función podrá ser delegada a un funcionario ya existente en la entidad vigilada, siempre y cuando reúna las condiciones ya reseñadas y las señaladas en el numeral 6.2.1 de esta Circular, nombrándolo como cargo adjunto o de desempeño alterno a otra función que realice en la entidad.
Para el caso de los grupos empresariales oficialmente reconocidos, se puede nombrar a un mismo Oficial de Cumplimiento para todo el grupo, siempre y cuando este sea funcionario de alguna de las entidades que conforman dicho grupo y que reúna las condiciones ya reseñadas y las señaladas en el numeral 6.2.1 de esta Circular, nombrándolo como cargo adjunto o de desempeño alterno a otra función que desempeñara en la entidad.
Omisión de Denuncia de particular*: Consiste en tener conocimiento de la comisión de los delitos señalados en el artículo 441 del Código Penal y no denunciarlos ante las autoridades competentes.
Omisión de Reporte*: Determinado por el artículo 325A del Código Penal colombiano que establece que: “Aquellos sujetos sometidos a control de la Unidad de Información y Análisis Financiero (UIAF) que deliberadamente omitan el cumplimiento de los reportes a esta entidad para las transacciones en efectivo o para la movilización o para el almacenamiento de dinero en efectivo, incurrirán, por esa sola conducta, en prisión de treinta y ocho (38) a ciento veintiocho (128) meses y multa de ciento treinta y tres punto treinta y tres (133.33) a quince mil (15.000) salarios mínimos legales mensuales vigentes”.
Operación Intentada*: Se configura cuando se tiene conocimiento de la intención de una persona natural o jurídica de realizar una operación sospechosa, pero no se perfecciona por cuanto quien intenta llevarla a cabo desiste de la misma o porque los controles establecidos o definidos por los agentes del SGSSS no permitieron realizarla. Estas operaciones también deberán reportarse a la UIAF.
Operación Inusual*: Aquella cuya cuantía o características no guardan relación con la actividad económica de los clientes y/o contrapartes, o que, por su número, por las cantidades transadas o por sus características particulares, se salen de los parámetros de normalidad establecidos.
Operación Sospechosa*: Es aquella que por su número, cantidad o características no se enmarca dentro de los sistemas y prácticas normales de los negocios, de una industria o de un sector determinado y, además, que de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada. Cuando se detecten esta clase de operaciones, deben ser reportadas a la UIAF.
Órgano de Administración o Dirección: Es la Junta Directiva o quien haga sus veces y puede variar su denominación según la figura jurídica de la que se trate. En organizaciones de economía solidaria, se denomina consejo de administración. En el caso de las cajas de compensación familiar, se Denomina Consejo Directivo. Estos consejos directivos se apoyarán de un Comité de Dirección de EPS, integrado por un subconjunto de los miembros del Consejo Directivo e invitados externos. Sus principales funciones son la de dirigir y representar a la entidad en la gestión técnica, administrativa y financiera, logrando realizar los objetivos y estrategias de la misma. Asimismo, establecer los principios y procedimientos para la selección de sus miembros, sus funciones y responsabilidades, la forma de organizarse, deliberar y las instancias para evaluación y rendición de cuentas.
Órgano de Control: Es la instancia creada al interior de la persona jurídica para ejercer las funciones de control interno. Sus principales funciones son las de evaluar, monitorear y verificar que los procesos y procedimientos a cargo de la entidad, cumplan las metas y propósitos previamente planteados en torno a una gestión con calidad.
Personas Expuestas Públicamente (PEP)*: Son personas nacionales o extranjeras que por razón de su cargo manejan o han manejado recursos públicos, o tienen poder de disposición sobre estos o gozan o gozaron de reconocimiento público. Las PEP extranjeras son individuos que cumplen o a quienes se les han confiado funciones públicas prominentes en otro país, como por ejemplo los Jefes de Estado o de Gobierno, políticos de alto nivel, funcionarios gubernamentales o judiciales de alto nivel o militares de alto rango, ejecutivos de alto nivel de corporaciones estatales, funcionarios de partidos políticos importantes. Las PEP domésticas son individuos que cumplen o a quienes se les han confiado funciones públicas internamente, a los cuales les aplica los mismos ejemplos que las PEP extranjeras mencionadas anteriormente. Las personas que cumplen o a quienes se les han confiado funciones prominentes por una organización internacional se refiere a quienes son miembros de la alta gerencia, es decir, directores, subdirectores y miembros de la Junta o funciones equivalentes.
La definición de PEP no pretende cubrir a individuos en un rango medio o más subalterno en las categorías anteriores[10].
Políticas*: Son los lineamientos, orientaciones o aspectos que fundamentan la prevención y el control del riesgo de LA/FT en la entidad. Deben hacer parte del proceso de gestión del riesgo de LA/FT.
Reportes internos*: Son aquellos que se manejan al interior de la entidad y están dirigidos al Oficial de Cumplimiento y pueden ser efectuados por cualquier empleado o miembro de la organización, que tenga conocimiento de una posible operación intentada, inusual o sospechosa.
Riesgo de LA/FT*: Es la posibilidad de pérdida o daño que puede sufrir una entidad, por su propensión a ser utilizada directa o a través de sus operaciones, como instrumento para cometer los delitos de Lavado de Activos o la canalización de recursos para la Financiación del Terrorismo.
Riesgos Asociados al LA/FT*: Son aquellos a través de los cuales se puede llegar a materializar el riesgo de LA/FT, estos son: contagio, legal, operativo y reputacional.
Riesgo de Contagio: En el marco de Sarlaft, es la posibilidad de pérdida o daño que puede sufrir una entidad directa o indirectamente, por acción de una persona natural o jurídica que posee vínculos con la entidad.
Riesgo Legal: En el marco de Sarlaft, es la posibilidad de pérdida o daño que puede sufrir una entidad al ser sancionada, multada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones, obligaciones contractuales, fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.
Riesgo Operativo: En el marco de Sarlaft, es la probabilidad de pérdida o daño que puede sufrir una entidad al incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura, por fraude y corrupción, o por la ocurrencia de acontecimientos externos, entre otros.
Riesgo Reputacional: En el marco del Sarlaft, es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, verdadera o no, respecto de la institución y sus prácticas de negocios, que cause una disminución de su base de clientes, disminución de los negocios o ingresos, o incurrir en procesos judiciales.
Riesgo Inherente*: Es el nivel de riesgo propio de la actividad, cuya evaluación se efectúa sin considerar el efecto de los mecanismos de mitigación y de control.
Riesgo Neto o Residual*: Es el nivel resultante del riesgo después de la aplicación de los mecanismos de control o mitigación existentes a los riesgos inherentes.
Segmentación*: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos que comparten características homogéneas al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).
Señales de alerta*: Son circunstancias particulares que llaman la atención y justifican un mayor análisis. Son realizadas por personas naturales o jurídicas que presentan como actividad económica principal o secundaria aquellas relacionadas con el sector salud y que pueden llegar a presentar a manera de ejemplo las siguientes situaciones[11]:
– Características inusuales de las actividades, productos o lugares de procedencia.
Inconsistencias en la información relacionada con la existencia, identificación, dirección del domicilio, o ubicación del usuario.
– Inconsistencias en la información que suministra el cliente y/o contraparte frente a la que suministran otras fuentes.
– Facturas que contengan precios ostensiblemente diferenciales frente a los del mercado.
Transacciones en Efectivo: Es el recibo o entrega de dinero en efectivo de billetes o monedas, donde el sujeto de la transacción debe tener la condición de cliente y/o contraparte de la entidad vigilada.
Unidad de Información y Análisis Financiero (UIAF)*: Es una Unidad Administrativa Especial, de carácter técnico, adscrita al Ministerio de Hacienda y Crédito Público, creada por la Ley 526 de 1999, modificada por la Ley 1121 de 2006, y que tiene como objetivo la prevención y detección de operaciones que puedan ser utilizadas para el Lavado de Activos o la Financiación del Terrorismo.
Asimismo, impone obligaciones de reporte de operaciones a determinados sectores económicos.
Usuario: Es toda persona natural a la que, sin ser cliente y/o contraparte, la entidad le suministra o presta un servicio de salud.
5. SISTEMA DE ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS DE LA FINANCIACIÓN DEL TERRORISMO Y FINANCIACIÓN DE LA PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA -SARLAFT / PADM. <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> El SARLAFT es el sistema de prevención y control que deben implementar los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) para la adecuada gestión del riesgo de Lavado de Activos / Financiación del Terrorismo - LA/FT, en virtud del cual, tales agentes deben adoptar procedimientos y herramientas que contemplen todas las actividades que realizan en desarrollo de su objeto social y que se ajusten a su tamaño, actividad económica, forma de comercialización y demás características particulares.
El mencionado sistema debe comprender el diseño, aprobación e implementación de políticas y procedimientos para la prevención y control del riesgo de LA/FT. Las políticas y procedimientos que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del SARLAFT y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad, sus empleados y socios.
Los parámetros establecidos en la presente circular son los mínimos exigidos, por lo que cada vigilado que sea sujeto de esta circular podrá adoptar reglas y prácticas por encima del mínimo exigido.
Aquellas personas jurídicas que ya tienen implementadas políticas, procedimientos y/o sistemas de prevención y control del riesgo de LA/FT, deberán verificar el cumplimiento de los parámetros mínimos dispuestos en la presente Circular, realizando las modificaciones a que haya lugar. Esta revisión se debe llevar a cabo, como mínimo una vez al año, sin perjuicio de que se pueda hacer en un periodo inferior por decisión de la Junta Directiva de la entidad vigilada u órgano que haga sus veces, conforme a su análisis de riesgo de LA/FT o de esta Superintendencia en desarrollo de sus actividades de supervisión. En todo caso, las entidades vigiladas deberán realizar esta revisión siempre que se presenten situaciones que requieran la adopción de medidas efectivas para fortalecer el SARLAFT. Las entidades vigiladas deben tener a disposición de esta Superintendencia los medios verificables a través de los cuales se demuestre la realización de dicha revisión.
La adopción del SARLAFT debe cumplir como mínimo con lo siguiente:
5.1. ETAPAS DEL SARLAFT <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> El SARLAFT que implementen los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) debe comprender como mínimo las siguientes etapas:
5.1.1 Identificación del riesgo
5.1.2 Evaluación y Medición
5.1.3 Controles
5.1.4 Seguimiento y monitoreo
5.1.1. IDENTIFICACIÓN DEL RIESGO: <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> El SARLAFT debe permitir a los Agentes del SGSSS reconocer, explorar exhaustivamente y documentar los riesgos inherentes de LA/FT/FPADM en el desarrollo de su actividad, teniendo en cuenta los factores de riesgo y señales de alerta identificadas en la presente Circular, más las que logre identificar la entidad mediante el desarrollo normal del negocio. Asimismo, debe identificarse el riesgo derivado de un nuevo producto o por la modificación de los existentes, así como situaciones que generen algún grado de incertidumbre por su magnitud o expectativas en el mercado o que supongan la intervención de terceros inversionistas, variación de coberturas, contratos o cualquier otra operación de los Agentes.
Para identificar el riesgo de LA/FT/FPADM, los Agentes del SGSSS deben como mínimo establecer metodologías para la segmentación de los factores de riesgo. Al aplicar estas metodologías, los Agentes del SSSGS deben estar en capacidad de identificar los factores de riesgo de LA/FT/FPADM, los efectos potenciales y los riesgos asociados. Las entidades supervisadas podrán seleccionar las metodologías y técnicas que consideren más adecuadas, dentro de las que se encuentran encuestas, entrevistas estructuradas con expertos, talleres, y técnicas de escenarios, entre otras.
Así mismo, esta etapa debe estar acompañada de un ejercicio de revisión, evaluación y análisis de contexto interno y externo del vigilado donde se evalúen aspectos como: factores de riesgo a los cuales se encuentra expuesto, los riesgos asociados que podrían materializarse, entre otros, y deben estar claramente documentados, los cuales servirán y deberán estar conectados a la matriz de riesgos y la segmentación de factores.
5.1.2. EVALUACIÓN Y MEDICIÓN:
El SARLAFT debe permitirle a los Agentes del SGSSS medir la posibilidad o probabilidad de ocurrencia (frecuencia) del riesgo inherente de LA/FT, frente a cada uno de los factores de riesgo, así como el impacto (severidad) en caso de materializarse mediante los riesgos asociados. Estas mediciones podrán ser de carácter cualitativo o cuantitativo, al establecer metodologías de medición o evaluación para construir el perfil de riesgo inherente de LA/FT de la entidad y las mediciones agregadas en cada factor de riesgo y en sus riesgos asociados.
5.1.3. CONTROLES:
Los Agentes del SGSSS deben tomar las medidas necesarias para controlar el riesgo inherente al que se ven expuestas, en razón de los factores de riesgo y de los riesgos asociados. Para esto, las entidades deben como mínimo establecer las metodologías para definir las medidas de control del riesgo de LA/FT, los niveles de exposición y efectuar los Reportes de Operaciones Sospechosas (ROS) a la UIAF. Como resultado de esta etapa, la entidad debe establecer el perfil de riesgo residual de LA/ FT. El control debe traducirse en una disminución de la posibilidad de ocurrencia y/o del impacto del riesgo de LA/FT, en caso de materializarse, al buscar detectar operaciones que se pretendan realizar o se hayan realizado.
Todas las acciones de gestión del riesgo deberán identificar formalmente responsables, plazos, formas de ejecución, y reportes de avances. Asimismo, deberán estar aprobadas por la instancia del Gobierno Organizacional que corresponda.
5.1.4. SEGUIMIENTO Y MONITOREO:
Esta etapa debe permitir a los Agentes del SGSSS hacer seguimiento del perfil de riesgo y, en general, del Sarlaft, así como llevar a cabo la detección de operaciones inusuales o sospechosas. Para estos efectos se permite comparar la evaluación del riesgo inherente con el riesgo residual de cada factor de riesgo y de los riesgos asociados.
La entidad debe desarrollar reportes que permitan establecer la evolución del riesgo, así como la eficiencia de los controles implementados, para así poder establecer si se ha logrado corregir oportunamente eventuales deficiencias. En esta etapa cobra importancia la comunicación y entrega de resultados a todos los involucrados y responsables, en especial a los órganos de seguimiento definidos por el Gobierno Organizacional.
5.2. ELEMENTOS DEL SARLAFT
5.2.1. POLÍTICAS: <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Son los lineamientos generales que deben adoptar las entidades vigiladas por la Superintendencia Nacional de Salud en relación con el SARLAFT. Durante cada una de las etapas del SARLAFT se debe contar con políticas claras y aplicables.
Como mínimo, las políticas que adopten las entidades deberán:
- Establecer lineamientos para la prevención y resolución de conflictos de interés
- Señalar los lineamientos que debe adoptar la entidad frente a los factores de riesgo y los riesgos asociados de LA/FT/FPADM
- Garantizar la reserva de la información reportada conforme lo establece el art. 105 del Estatuto Orgánico del Sistema Financiero - EOSF
- Establecer las consecuencias que genera el incumplimiento del SARLAFT
- Establecer el compromiso y la exigencia de que los funcionarios antepongan el cumplimiento de las normas en materia de administración de riesgo de LA/FT/FPADM al logro de las metas comerciales.
- Consagrar el deber de los órganos de administración y de control de las entidades vigiladas, del oficial de cumplimiento, así como de todos los funcionarios, de asegurar el cumplimiento de los reglamentos internos y demás disposiciones relacionadas con el SARLAFT.
- Consagrar lineamientos más exigentes de vinculación de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que, por su perfil o por las funciones que desempeñan, pueden exponer en mayor grado a la entidad al riesgo de LA/FT/FPADM.
- Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT.
Instrumentar las diferentes etapas y elementos del SARLAFT, que se puede realizar a través de la parametrización de las herramientas tecnológicas establecidas por la entidad para soportar el funcionamiento del mismo.
5.2.1.1. Diseño de políticas
El diseño de las políticas para la implementación del Sarlaft, es responsabilidad de la Junta Directiva o de quien haga sus veces y cuando esta no exista, del representante legal principal de la entidad y/o en todo caso quien haga sus veces o sea nombrado por mandato legal.
5.2.1.2. Aprobación de las políticas
El máximo órgano social, o por mandato legal quien haga sus veces, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada unipersonal, será el responsable de aprobar las políticas del Sarlaft que se aplicarán en las empresas obligadas al cumplimiento de esta norma.
5.2.1.3. Constancia de la aprobación de las políticas
La aprobación de las políticas del Sarlaft, debe quedar debidamente documentada mediante acta y ésta debe quedar a disposición de la SNS y, asimismo, deberá quedar incluida en las actividades que desarrollará la entidad, de acuerdo con las disposiciones que se mencionan en el numeral 10 que hace parte integral de este mismo documento.
5.2.1.4. Comunicación de políticas
Las políticas y procedimientos adoptados para la implementación del Sarlaft, deberán ser comunicadas a todos los empleados, socios, directivos, administradores y cualquier otra persona que tenga vinculación con la entidad, con el fin de asegurar que sean entendidas e implementadas en todos los niveles de la organización. Asimismo, las políticas de Sarlaft deben hacer parte integral del Código de Ética de cada entidad para que oriente la actuación de los funcionarios y establezca procedimientos sancionatorios y consecuencias frente a su incumplimiento.
5.2.2. PROCESOS Y PROCEDIMIENTOS. <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Las entidades a las que se dirige la presente Circular deben establecer procesos y procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT, adoptando los controles que permitan reducir la posibilidad de que las operaciones, negocios y contratos que se hayan realizado o se intenten realizar, sean utilizadas para dar apariencia de legalidad a actividades de LA/FT/FPADM.
Asimismo, el control implica la detección de las operaciones que no se ajustan a la normalidad del negocio o actividad, y el análisis correspondiente para determinar si se tratan de posibles operaciones sospechosas.
Los procedimientos deberán como mínimo:
- Instrumentar las diferentes etapas y elementos del SARLAFT.
- Identificar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual.
- Atender los requerimientos de información por parte de autoridades competentes.
- Dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia.
- Implementar medidas efectivas para consultar de forma permanente las listas internacionales vinculantes para Colombia.
- Consagrar las sanciones por incumplimiento a las normas relacionadas con el SARLAFT, así como los procesos para su imposición.
- Prever procesos para llevar a cabo un efectivo, eficiente y oportuno conocimiento de los clientes actuales y potenciales, así como la verificación de la información suministrada y sus correspondientes soportes:
- Establecer procedimientos especiales respecto de países de mayor riesgo.
- Implementar las metodologías para la detección de operaciones inusuales y sospechosas, y el oportuno y eficiente reporte de éstas últimas a las autoridades competentes.
5.2.2.1. Diseño de procedimientos <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> El diseño de los procedimientos para la implementación del SARLAFT es responsabilidad del Oficial de Cumplimiento de la entidad quien deberá presentarlas para su aprobación al máximo órgano social o junta directiva.
5.2.2.2. Aprobación de procedimientos. <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> La Junta Directiva o quien haga sus veces, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada, será el responsable de aprobar el manual de procedimientos del SARLAFT que se aplicará en las empresas obligadas al cumplimiento de esta norma.
En este sentido, el manual de procedimientos del SARLAFT debe estar conformado por medidas y procedimientos suficientes que permitan dar cumplimiento a este objetivo e incluir por lo menos lo siguiente:
5.2.2.2.1. Identificar las situaciones que le generen riesgo de LA/FT/FPADM en las operaciones, negocios o contratos que realiza la entidad: <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Los procedimientos para la prevención del riesgo de LA/FT/FPADM deben contemplar la revisión de todas las etapas del SARLAFT y las operaciones, negocios y contratos que realiza la entidad, con el propósito de identificar las situaciones que puedan generarle riesgo de LA/FT/FPADM. Esta identificación implica evaluar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual, en situaciones tales como operaciones con clientes y/ o contrapartes, usuarios, productos, canales de distribución y jurisdicción territorial. La identificación puede hacerse a través del examen a los procesos establecidos, o consultando la experiencia y opiniones de los asociados, administradores y empleados.
Una vez identificadas las situaciones que puedan generarle riesgo de LA/FT/FPADM según las fuentes de riesgo, el Oficial de Cumplimiento debe elaborar una relación y dejar documentado el análisis de cada una, con el fin de implementar los controles necesarios y facilitar su seguimiento.
Asimismo, cuando la entidad incursione en nuevos mercados u ofrezca nuevos bienes o servicios, el Oficial de Cumplimiento deberá evaluar el riesgo de LA/FT/FPADM que implica, dejando constancia de este análisis.
5.2.2.2.2. Verificación procesos de debida diligencia: <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Para verificar los procesos de debida diligencia, la Superintendencia Nacional de Salud tendrá en cuenta como mínimo los siguientes procesos:
5.2.2.2.2.1. Conocimiento de los clientes y usuarios: <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> La debida diligencia en el conocimiento de los clientes y/o contrapartes y usuarios será implementada según las características particulares del negocio y de la comercialización de los servicios que presta.
Debido a la obligatoriedad del aseguramiento y la prestación de servicios de salud por parte de las EPS y prestadores, no se consideran como clientes y/o contrapartes los usuarios (afiliados) de las EPS, ni los pacientes de las IPS cuyos servicios sean cancelados efectivamente por algún tipo de seguro[3] (Plan Obligatorio de Salud, Sistema de Riesgos Laborales y Seguro Obligatorio de Accidentes de Tránsito -SOAT-, Planes Adicionales de Salud, entre otros). Es así como, para estos casos, no será necesario la identificación del usuario.
Frente a la prestación de los servicios de salud, no podrá restringirse la atención en salud por parte del prestador o para el aseguramiento obligatorio, movilidad o autorización de atención en salud por la ausencia del conocimiento de los clientes y usuarios.
Los soportes y la verificación del conocimiento de clientes y usuarios implican recaudar y conservar como mínimo información que permita identificar a la persona natural o jurídica por un término no menor a cinco (5) años y deberá actualizarse como mínimo anualmente.
A su vez, las entidades vigiladas pueden realizar los procedimientos de conocimiento del cliente de manera presencial o no presencial a través del uso de canales digitales o electrónicos y pueden obtener la información necesaria para realizar los procedimientos de conocimiento del cliente utilizando datos e información de fuentes confiables e independientes[4], siempre y cuando exista constancia de haber leído, entendido, aceptado y autorizado lo estipulado en el documento por parte del cliente.
Por otra parte, se recalca la importancia de validar en las personas jurídicas la identificación del beneficiario final (real) y/o accionistas y/o asociados que tengan directa o indirectamente una participación igual o superior al 25% del capital social o aporte del potencial cliente. Para el caso de las EPS, se deberá tener en cuenta los dispuesto en el Artículo 75 de la Ley 1955 de 2019 o las que lo modifiquen o sustituyan.
Adicionalmente, las políticas y procedimientos de conocimiento del cliente deben prever la verificación efectiva de la identidad de los potenciales clientes al momento de su vinculación utilizando datos e información de fuentes confiables e independientes. Para el efecto, las entidades vigiladas pueden utilizar: certificados de firma digital[5]; biometría, información disponible en los bancos de datos administrados por operadores de información en los términos previstos en la Ley, y/o cualquier otro mecanismo tecnológico que garantice la realización de una verificación efectiva de la identidad del potencial cliente conforme a las leyes colombianas.
De esta manera, será obligatorio el conocimiento de los clientes y usuarios y en general, las personas naturales y jurídicas que tienen relaciones y operaciones económicas con los Agentes del SGSSS.
Dicho conocimiento de los clientes y usuarios deberá contener como mínimo la siguiente información:
Descripción | PN | PJ |
Nombre y apellidos completos o Razón Social según el caso | X | X |
Número de identificación: Cédula de ciudadanía, tarjeta de identidad, cédula de extranjería, carné diplomático, pasaporte o NIT | X | X |
Nombre y apellidos completos del representante y número de identificación | X | |
Dirección y teléfono del representante | X | |
Lugar y fecha de nacimiento | X | |
Dirección y teléfono residencia | X | |
Ocupación, oficio o profesión | X | |
Declaración voluntaria de origen de los fondos | X | X |
¿Maneja recursos públicos y/u ostenta algún grado de poder público y/o goza de reconocimiento público? (Declaración del cliente/usuario de si tiene o no la condición de Persona Expuesta Políticamente (PEP). ¿Es servidor público?). | X | |
¿Realiza operaciones internacionales? (Señale el tipo de operación: importaciones, exportaciones, inversiones, préstamos, envío y/o recepción de giros, pago de servicios, transferencias, entre otras. | X | X |
Firma y huella del cliente/usuario cuando aplique. Será la del representante en caso de las personas jurídicas | X | X |
Fecha de diligenciamiento del formulario y nombre e identificación del funcionario de la entidad que lo diligencia. | X | X |
PN: Identificación requerida del cliente persona natural.
PJ: Identificación requerida del cliente persona jurídica.
Igualmente, para el análisis de las operaciones con clientes y usuarios, la entidad debe construir una base de datos que le permita consolidar e identificar alertas presentes o futuras. Para los casos de proveedores, grupos de factor y clientes, la identificación del cliente/usuario será obligatoria dentro del diseño de políticas que la Junta Directiva o quien haga sus veces determine.
5.2.2.2.2.2. Conocimiento de personas expuestas políticamente: <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Si la entidad celebra operaciones con personas expuestas políticamente, como aquellas que por razón de su cargo manejan recursos públicos, se debe indagar
sobre la autorización para contratar o negociar otorgada por el órgano competente para el caso en que los servicios adquiridos no sean para su beneficio personal, así como establecer el origen de los recursos. Sin embargo, aplican las mismas excepciones del numeral anterior.
En todo caso, los procesos para el conocimiento de esta clase de clientes/usuarios deben ser más estrictos, y en lo posible, la negociación debe ser aprobada por una instancia superior al interior de la organización. En este tema, lo importante es que la entidad tome las medidas necesarias, para no ser utilizada en la canalización de recursos provenientes de actos de corrupción, lavado de activos y/o financiación del terrorismo.
5.2.2.2.2.3. Conocimiento de los asociados: <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> El SARLAFT que se adopte, debe contemplar herramientas que permitan establecer plenamente la identificación del(los) beneficiario(s) final(es) (socios y/o accionistas) de la organización que de manera directa y/o indirecta, tengan una participación dentro de la sociedad, igual o superior al 5%, así como confirmar sus datos y tenerlos actualizados permanentemente. También, debe permitirle conocer la procedencia de los aportes en dinero o en especie, para lo cual se deberán requerir los documentos pertinentes.
5.2.2.2.2.4. Conocimiento de trabajadores, empleados o proveedores: La entidad debe verificar los antecedentes de sus trabajadores, empleados o proveedores antes de su vinculación y realizar por lo menos una actualización anual de sus datos. Cuando se detecten comportamientos inusuales en cualquier persona que labore o tenga contacto con la entidad, se debe analizar tal conducta.
5.2.2.2.2.5. Determinar el monto máximo de efectivo que puede manejarse al interior de la entidad por tipo de cliente/usuario: Para prevenir el riesgo de LA/FT, la entidad debe establecer controles y procedimientos para reglamentar la cantidad máxima de dinero en efectivo que puede operarse con los diferentes segmentos de clientes/usuarios y en lo posible utilizar los medios de pago que ofrecen las instituciones financieras. La entidad que tiene un alto volumen de manejo de efectivo debe implementar mayores medidas de prevención y control.
5.2.2.2.2.6. Establecer herramientas para identificar operaciones inusuales y/o sospechosas:
La entidad deberá establecer herramientas que permitan identificar operaciones inusuales y/o sospechosas.
Dichas herramientas pueden consistir en aplicativos tecnológicos que generen alertas, como el caso de hojas electrónicas cuya información pueda ser consolidada periódicamente y permita el desarrollo de indicadores a partir de los cuales se pueda inferir la existencia de situaciones que escapan al giro ordinario de sus operaciones y le permitan monitorear operaciones efectuadas por aquellas personas naturales y jurídicas que no siendo usuarios del SGSSS, tengan una relación jurídica y/o económica con la entidad.
Estas herramientas deben segmentarse de acuerdo con la naturaleza específica de cada entidad, teniendo en cuenta sus características particulares, tamaño, ubicación geográfica, las diversas clases de servicios que ofrece, los tipos de clientes o cualquier otro criterio que a su juicio resulte adecuado para controlar el riesgo de LA/FT.
Para detectar operaciones inusuales o sospechosas es necesario conocer el día a día del negocio, así como a sus asociados y clientes, con el fin de identificar lo que no se ajusta a circunstancias normales.
Una vez identificada y analizada una operación inusual y/o sospechosa, deben conservarse los soportes físicos que dieron lugar a calificarla en una u otra categoría, deben tener el respectivo nivel de seguridad de forma tal que se permita su consulta solo por quienes estén autorizados y debe contar con los criterios y procesos de manejo, guarda y conservación de la misma. Esto con el fin de que cuando sean solicitados, puedan ser remitidos de forma oportuna, clara y eficiente a la UIAF o a las entidades judiciales.
5.2.2.2.2.6.1 Señales de alerta: <Numeral adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Son los hechos, situaciones, eventos, cuantías, indicadores cuantitativos y cualitativos, razones financieras y demás información que la entidad determine como relevante, a partir de los cuales se puede inferir oportuna y/o prospectivamente la posible existencia de un hecho o situación que escapa a lo que la entidad, en el desarrollo del SARLAFT, ha determinado como normal.
Estas señales deben considerar cada uno de los factores de riesgo y las características de sus operaciones, así como cualquier otro criterio que a juicio de la entidad resulte adecuado.
5.2.2.2.2.6.2 Segmentación de los factores de riesgo: <Numeral adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Las entidades deben segmentar, como mínimo, cada uno de los factores de riesgo de acuerdo con las características particulares de cada uno de ellos, asegurando que las variables de análisis definidas garanticen la consecución de las características de homogeneidad al interior de los segmentos y heterogeneidad entre ellos, según la metodología que previamente haya establecido la entidad. Para realizar la segmentación de los factores de riesgo, las entidades deben contemplar como variables, entre otras, la información recolectada durante la aplicación de los procedimientos de conocimiento del cliente y, en general, los procedimientos que hacen parte del presente Capítulo.
A través de la segmentación las entidades deben determinar las características usuales de las transacciones que se desarrollan y compararlas con aquellas que realicen los clientes, a efectos de detectar las operaciones inusuales.
5.2.2.2.2.6.3 Seguimiento de operaciones: <Numeral adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Las entidades deben estar en capacidad de hacer seguimiento a las operaciones que realicen sus clientes y usuarios con una frecuencia acorde a la evaluación de riesgo de los factores de riesgo involucrados en las operaciones y monitorear las operaciones realizadas en cada uno de los segmentos de los factores de riesgo.
Las entidades vigiladas deben dar pleno cumplimiento a las normas relacionadas con protección de datos personales y habeas data previstas para la aplicación de medidas intensificadas de conocimiento al cliente mencionadas en los numerales anteriores.
5.2.3 INSTRUMENTOS <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Para que los mecanismos adoptados por las entidades operen de manera efectiva, eficiente y oportuna, el SARLAFT debe contar como mínimo con los siguientes instrumentos:
5.2.3.1. Consolidación electrónica de operaciones en efectivo: Las entidades deben estar en capacidad de consolidar electrónicamente por lo menos de manera mensual, las operaciones que realicen sus clientes y usuarios a través de los productos, canales y jurisdicciones.
5.2.3.2. Matriz de riesgo: Las entidades vigiladas deben contar con una matriz de riesgos para la aplicación e implementación de las etapas del SARLAFT. La matriz de riesgos que diseñen e implementen las entidades vigiladas debe contemplar como mínimo las siguientes características, sin perjuicio de cualquier otra que consideren necesario incorporar.:
- Los riesgos identificados, junto con sus respectivas causas y el impacto de su materialización.
- La relación existente entre los riesgos identificados y cada uno de los segmentos de los factores de riesgo en los que se podrían materializar los mismos.
- La relación existente entre los riesgos identificados y cada uno de los riesgos asociados.
- Las mediciones de probabilidad e impacto, tanto inherentes como residuales, para cada uno de los riesgos identificados y a nivel consolidado.
- Los controles que mitigan cada uno de los riesgos identificados, junto con las variables consideradas para la medición de su efectividad.
- Indicadores que permitan efectuar permanente seguimiento al perfil de riesgo de LA/FT/FPADM de la entidad.
Los criterios metodológicos contemplados en el diseño/construcción de la matriz de riesgos, así como la información que sirve de fuente de análisis para esta herramienta, deben ser revisados con una periodicidad mínima anual.
5.2.4 DOCUMENTACIÓN <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Las etapas del ciclo general de riesgos y los elementos del SARLAFT implementados por la entidad deben quedar plasmados en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida.
Los procesos y procedimientos mencionados en el numeral 5.2.2, se deben adoptar y plasmar mediante documentos controlados, en los cuales deben quedar claramente definidas las funciones, responsabilidades y atribuciones específicas para cada uno de los funcionarios de los diferentes órganos involucrados en el SARLAFT.
5.2.4.1 Esta documentación debe contener lo siguiente:
a. Manual de procedimientos del SARLAFT, el cual debe contemplar como mínimo:
I. Las políticas para la administración del riesgo de LA/FT/FPADM.
II. Las metodologías para la segmentación, identificación, medición y control del riesgo de LA/FT/FPADM.
III. La estructura organizacional que garantice el desarrollo del SARLAFT.
IV. Los roles y responsabilidades de quienes participan en la administración del riesgo de LA/FT/FPADM.
V. Las medidas necesarias para asegurar el cumplimiento de las políticas del SARLAFT.
VI. Los procedimientos para identificar, medir, controlar y monitorear el riesgo de LA/FT/FPADM.
VII. Los procedimientos de control interno y revisión del SARLAFT.
VIII. Las estrategias de capacitación y divulgación del SARLAFT.
IX. Los procesos y procedimientos establecidos en el numeral 5.2.2 de esta Circular.
b. Los documentos y registros que evidencien la operación efectiva del SARLAFT.
c. Los informes de la junta directiva, el representante legal, el oficial de cumplimiento y los órganos de control.
5.2.4.2 La entidad debe mantener en todo momento y a disposición de la Superintendencia Nacional de Salud, la documentación e información mencionadas en la presente Circular y previendo como mínimo lo siguiente:
a. Las actas del máximo órgano social, o del empresario en el caso de las empresas unipersonales, o del accionista único en la sociedad por acciones simplificada unipersonal, donde conste la aprobación de las políticas del SARLAFT, así como las actas correspondientes a la aprobación de los ajustes o modificaciones que se efectúen a dichas políticas.
b. Actas de nombramiento del Oficial de Cumplimiento y documentación necesaria para verificar requisitos establecidos para ejercer dicho rol.
c. Las políticas para la administración del SARLAFT.
d. Los instructivos o manuales que contengan los procesos a través de los cuales se llevan a la práctica las políticas y procedimientos aprobados del SARLAFT. Estos documentos deberán ser firmados por el representante legal principal y ser de fácil consulta y aplicación al interior de la organización.
e. Las metodologías y procedimientos para Ia identificación, medición, control y el monitoreo de los riesgos identificados. A su vez, el establecimiento de los niveles de aceptación y tolerancia al riesgo.
f. Los informes presentados por el Oficial de Cumplimiento.
g. Los informes presentados por la Auditoría Interna y el Revisor Fiscal sobre el funcionamiento del SARLAFT.
h. Las constancias de envío de los Reportes de Operaciones Sospechosas - ROS remitidos a la UIAF, y demás reportes solicitados por esta Unidad.
i. Las constancias de las capacitaciones impartidas a todo el personal de la empresa y estrategias de divulgación sobre el SARLAFT.
j. Las actas de Junta Directiva en donde conste la presentación del informe del Oficial de Cumplimiento y del Revisor Fiscal y Auditoría Interna.
k. Matriz de riesgos del Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo, que contenga como mínimo: identificación de factores internos y externos, riesgos identificados, análisis de probabilidad de ocurrencia de los riesgos y su impacto, identificación de los controles existentes para prevenir la ocurrencia o mitigar el impacto de los riesgos identificados, evaluación de la efectividad de los controles y definición de las acciones de mejoramiento necesarias.
l. Plan de acción de ejecución del SARLAFT.
Las políticas, el manual de procedimientos de la entidad, las bases de datos de clientes o usuarios, los requisitos del Oficial de Cumplimiento y demás información, documentación y lineamientos que estén referenciados en esta Circular deben estar a disposición de la Superintendencia Nacional de Salud para ser revisados y validar que cumplen con lo establecido en las instrucciones emitidas. La SNS en virtud de sus funciones de IVC, podrá requerir dicha información en cualquier momento.
6. FUNCIONES DE LOS ÓRGANOS DE ADMINISTRACIÓN Y CONTROL.
Sin perjuicio de otras funciones asignadas para la implementación del Sarlaft, se deben establecer como mínimo las siguientes funciones a cargo de los órganos de administración, el oficial de cumplimiento y el revisor fiscal de los Agentes del Sistema General de Seguridad Social en Salud (SGSSS).
6.1. JUNTA DIRECTIVA O QUIEN HAGA SUS VECES <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Para la implementación del SARLAFT se deberán asignar como mínimo las siguientes funciones a la Junta Directiva u órgano de administración que haga sus veces. En caso de que por su naturaleza jurídica no exista dicho órgano, estas funciones corresponderán al representante legal:
a. Diseñar y actualizar las políticas para la prevención y control del riesgo de LA/FT/FPADM que harán parte del SARLAFT, para una posterior aprobación por la Asamblea o el máximo órgano social o quien haga sus veces.
b. Aprobar el manual de procedimientos y sus actualizaciones.
c. Garantizar los recursos técnicos y humanos que se requieran para implementar y mantener en funcionamiento el SARLAFT, teniendo en cuenta las características del riesgo de LA/FT/FPADM y el tamaño de la
entidad. Este equipo de trabajo humano y técnico debe ser de permanente apoyo para que el Oficial de Cumplimiento lleve a cabalidad sus funciones.
d. Asignar un presupuesto anual para contratación de herramientas tecnológicas, contratación de personal, capacitación, asesorías, consultorías, y lo necesario para mantener la operación del SARLAFT en la compañía y la actualización normativa del Oficial de Cumplimiento y su equipo.
e. Designar al Oficial de Cumplimiento y su respectivo suplente. Para efectos de dar cumplimiento a esta Circular, la Junta Directiva o quien haga sus veces dará a conocer el nombramiento del Oficial de Cumplimiento a la Superintendencia Nacional de Salud, indicando nombre, profesión, cargo adjunto o de desempeño alterno (si procede), teléfonos de contacto y correo electrónico. Esta información y su respectiva actualización o modificación, deberá realizarse a través del módulo de datos generales o aplicativos de reporte de información que la Superintendencia Nacional de Salud disponga para ellos. En el caso de las entidades públicas la designación se realizará de acuerdo a los términos de Ley que les aplique.
f. Incluir en el orden del día de sus reuniones, la presentación del informe del Oficial de Cumplimiento, por lo menos una vez al año o cuando éste lo determine necesario.
g. Pronunciarse sobre los informes presentados por el Oficial de Cumplimiento y la Revisoría Fiscal y realizar el seguimiento a las observaciones o recomendaciones adoptadas, dejando constancia en las actas.
h. Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y Reporte de las Operaciones Sospechosas (ROS).
i. Aprobar las metodologías de segmentación, identificación, medición, control y monitoreo del SARLAFT.
j. Designar la(s) instancia(s) responsable(s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.
6.2. OFICIAL DE CUMPLIMIENTO
6.2.1. REQUISITOS DEL OFICIAL DE CUMPLIMIENTO:
El Oficial de Cumplimiento debe cumplir como mínimo con los siguientes requisitos:
a) Depender directamente del Órgano de Administración o Dirección dentro de la estructura organizacional y funcional de la entidad. Es decir, pertenecer como mínimo al segundo nivel jerárquico en el área administrativa o corporativa de la entidad;
b) Tener capacidad decisoria frente a los reportes y temas relacionados con la prevención de Lavado de Activos y/o Financiación del Terrorismo;
c) Acreditar conocimiento en materia de administración de riesgos, particularmente en el riesgo de LA/FT, mediante certificación expedida por parte de instituciones autorizadas por el Ministerio de Educación Nacional para impartir formación en dicha materia, en la que conste que la duración del diplomado no sea inferior a 90 horas y el curso e-learning de la UIAF. En caso que sea una especialización, será válida en riesgos en general. Si no tiene ninguna de las anteriores certificaciones o acreditaciones, se pueden certificar cuatro (4) años de experiencia laboral en áreas de administración y gestión de riesgos;
d) No pertenecer a órganos de control ni a las áreas directamente relacionadas con las actividades previstas en el objeto social principal que hacen parte del Máximo Órgano Social;
e) Ser empleado directo de la entidad. Para el caso de los grupos empresariales oficialmente reconocidos, se puede nombrar a un mismo Oficial de Cumplimiento para todo el grupo, siempre y cuando este sea funcionario de alguna de las entidades que conforman dicho grupo.
En caso de que exista Oficial de Cumplimiento suplente, este debe cumplir como mínimo, los requisitos establecidos en los subnumerales b) al e) del presente numeral.
El empresario o el accionista único, que a su vez es el Representante Legal de la empresa unipersonal o de la sociedad por acciones simplificada unipersonal, podrá autonombrarse como Oficial de Cumplimiento para los anteriores efectos.
<Inciso adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Para el caso del Oficial de Cumplimiento suplente, debidamente designado al interior de la organización (quien será el reemplazo en ausencia parcial o total del Oficial de Cumplimiento), debe cumplir como mínimo, los requisitos establecidos en los literales b al f del presente numeral.
<Inciso adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:> El empresario o el accionista único, que a su vez es el Representante Legal de la empresa unipersonal o de la sociedad por acciones simplificada unipersonal, podrá autonombrarse como Oficial de Cumplimiento para los anteriores efectos.
<Inciso adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Las IPS de los, D2 y D3, el Servicio de Transporte Especial de Pacientes y los Régimen Especiales y de Excepción no deben contar con un Oficial de Cumplimiento de acuerdo con las disposiciones contenidas en el presente numeral. Sin embargo, deben designar un funcionario, responsable de la administración de las medidas de control diseñadas para prevenir que en la realización de sus operaciones puedan ser utilizadas como instrumento para el ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dinero u otros bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos vinculados con las mismas.
<Inciso adicionado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Las entidades deben designar al funcionario responsable mediante la Junta Directiva u órgano que haga sus veces, y dará a conocer al responsable a la SNS indicando nombre, profesión, cargo adjunto o de desempeño alterno (si procede), teléfonos de contacto y correo electrónico. Esta información y su respectiva actualización o modificación, deberá realizarse a través de la plataforma NRVCC módulo de datos generales o el sistema o herramienta que la SNS disponga para ello. Además, se deberá verificar que el funcionario responsable no se encuentre en una lista internacional vinculante para Colombia.
6.2.2. FUNCIONES DEL OFICIAL DE CUMPLIMIENTO:
Al Oficial de Cumplimiento y su suplente le corresponde desempeñar como mínimo las siguientes funciones:
a) Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el Sarlaft;
b) Elaborar y desarrollar los procesos y procedimientos a través de los cuales se llevarán a la práctica las políticas aprobadas para la implementación del Sarlaft;
c) Identificar las situaciones que puedan generar riesgo de LA/FT en las operaciones que realiza la entidad;
d) Implementar y desarrollar los controles a las situaciones que puedan generar riesgo de LA/FT en las operaciones, negocios o contratos que realiza la entidad;
e) Realizar seguimiento o monitoreo a la eficiencia y la eficacia de las políticas, procedimientos y controles establecidos;
f) Velar por el adecuado archivo de los soportes documentales y demás información relativa al riesgo de LA/FT de la entidad;
g) Participar en el diseño y desarrollo de los programas de capacitación sobre el riesgo de LA/ FT y velar por su cumplimiento;
h) Proponer a la Junta Directiva o quien haga sus veces, al empresario en el caso de las empresas unipersonales o al accionista único en la sociedad por acciones simplificada, los ajustes o modificaciones necesarios a las políticas del Sarlaft;
i) Proponer a la administración la actualización del manual de procedimientos y velar por su divulgación a los funcionarios;
j) Recibir y analizar los reportes internos de posibles operaciones inusuales, intentadas o sospechosas y realizar el reporte de estas dos últimas a la UIAF;
k) Realizar todos los reportes a la SNS, incluidas las actas de aprobación de la política, así como el manual de procedimientos;
l) Mantener actualizados los datos de la entidad y el oficial de cumplimiento con la UIAF, utilizando los canales de comunicación correspondientes;
m) Informar a la UIAF cualquier cambio de usuario del Sistema de Reporte en Línea (SIREL);
n) Gestionar adecuadamente los usuarios del Sistema de Reporte en Línea (SIREL);
o) Revisar los documentos publicados por la UIAF en la página web como anexos técnicos, manuales y utilidades que servirán de apoyo para la elaboración de los reportes;
p) Diseñar las metodologías de segmentación, identificación, medición y control del Sarlaft;
q) Analizar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, y los informes que presente el Revisor Fiscal para que sirvan como insumo para la formulación de planes de acción para la adopción de las medidas que se requieran frente a las deficiencias informadas, respecto a temas de Sarlaft;
r) Elaborar y someter a la aprobación de la Junta Directiva o el órgano que haga sus veces, los criterios objetivos para la determinación de las operaciones sospechosas, así como aquellos para determinar cuáles de las operaciones efectuadas por usuarios serán objeto de consolidación, monitoreo y análisis de operaciones inusuales;
s) Presentar cuando menos, de forma semestral a los administradores y anualmente a la Junta Directiva o quien haga sus veces, al empresario en el caso de las empresas unipersonales o al accionista único en la sociedad por acciones simplificada unipersonal, un informe por escrito donde exponga el resultado de su gestión.
Estos informes son confidenciales y deben referirse como mínimo a los siguientes aspectos:
– Los procesos establecidos para llevar a la práctica las políticas aprobadas, sus adiciones o modificaciones.
– Los resultados del monitoreo y seguimiento para determinar la eficiencia y la eficacia de las políticas, procedimientos y controles establecidos.
– Las medidas adoptadas para corregir las falencias encontradas al efectuar el monitoreo de los controles.
– El cumplimiento a los requerimientos de las diferentes autoridades, en caso de que estos se hubieran presentado.
– Las propuestas de ajustes o modificaciones a las políticas para la prevención y control del riesgo de LA/FT que considere pertinentes.
– El cumplimiento a los ajustes o modificaciones a las políticas de prevención y de control del riesgo de LA/FT aprobados por la Junta Directiva o quien haga sus veces, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada unipersonal.
– Las últimas normas o reglamentaciones expedidas sobre la prevención y control del riesgo de LA/FT y las medidas adoptadas para darles cumplimiento a las mismas.
No podrán contratarse con terceros las funciones asignadas al Oficial de Cumplimiento, ni aquellas relacionadas con la identificación y reporte de operaciones inusuales, así como las relacionadas con la determinación y Reporte de Operaciones Sospechosas.
La designación del Oficial de Cumplimiento no exime a los administradores y demás empleados sobre la obligación de comunicarle y/o informarle internamente a este, sobre la ocurrencia de operaciones inusuales, sospechosas o intentadas (anormalidades dentro de las actividades y/u operaciones propias del negocio que realiza la Entidad), de acuerdo con el procedimiento que se haya establecido.
Adicional a las anteriores funciones, el Oficial de Cumplimiento también debe consultar, monitorear y revisar con la debida diligencia las listas sobre sanciones financieras dirigidas del Consejo de Seguridad de las Naciones Unidas que den lugar a posibles vínculos con delitos relacionados con Lavado de Activos y/o Financiación del Terrorismo. De encontrar algún vínculo con alguna persona natural o jurídica relacionada con la entidad, el Oficial de Cumplimiento deberá informar sobre este punto en particular, a la Fiscalía General de la Nación.
6.3. REVISOR FISCAL
De conformidad con lo previsto en los numerales 1, 2 y 3 del artículo 207 del Código de Comercio, el revisor fiscal deberá cerciorarse que las operaciones, negocios y contratos que celebre o cumpla la empresa, se ajustan a las instrucciones y políticas aprobadas por el máximo órgano social, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada unipersonal.
Asimismo, deberá dar cuenta por escrito cuando menos, de forma anual a la Junta Directiva o quien haga sus veces, al representante legal, al empresario en el caso de las empresas unipersonales o al accionista único en la sociedad por acciones simplificada unipersonal, del cumplimiento o incumplimiento a las disposiciones contenidas en el Sarlaft.
De igual forma, deberá poner en conocimiento del Oficial de Cumplimiento, las inconsistencias y falencias que detecte respecto a la implementación del Sarlaft o de los controles establecidos.
Finalmente, deberá rendir los informes que, sobre el cumplimiento a las disposiciones contenidas en esta Circular, le solicite la Superintendencia Nacional de Salud.
En consecuencia, el revisor fiscal debe establecer las medidas necesarias que le permitan cumplir con lo señalado en este numeral.
6.4 AUDITORÍA INTERNA, O QUIEN EJECUTE FUNCIONES SIMILARES, O QUIEN HAGA SUS VECES. <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Sin perjuicio de las funciones asignadas en otras disposiciones a la Auditoría Interna, o quien ejecute funciones similares o haga sus veces, ésta debe evaluar semestralmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARLAFT, con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, debe informar los resultados de la evaluación al Oficial de Cumplimiento y a la Junta Directiva.
La Auditoría Interna, o quien ejecute funciones similares o haga sus veces, debe realizar una revisión periódica de los procesos relacionados con las parametrizaciones de las metodologías, modelos e indicadores cualitativos y/ o cuantitativos de reconocido valor técnico.
7. INFRAESTRUCTURA TECNOLÓGICA. <Numeral modificado por la Circular 5 de 2021. El nuevo texto es el siguiente:> Las entidades deben disponer y utilizar la infraestructura tecnológica y los sistemas necesarios para garantizar el funcionamiento efectivo, eficiente y oportuno del SARLAFT, los cuales deben generar informes confiables inmodificables y que garanticen la consulta permanente sobre dicha labor y contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgos asociados y tamaño. Cuando no se cuente con dicha infraestructura, debe establecer un plan de acción para cubrir esta falencia en el menor tiempo posible. Las entidades deben propender porque sus sistemas cuenten con las siguientes características:
a. Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo, garantizando que la estructura de datos definida para la captura de la información de los mismos contemple la totalidad de los campos necesarios para la adecuada administración del riesgo LAFT.
b. Consolidar las operaciones de los distintos factores de riesgo, de acuerdo con los criterios establecidos por la entidad.
c. Generar en forma automática los reportes internos y externos, distintos de los relativos a operaciones sospechosas, sin perjuicio de que todos los reportes a la UIAF sean enviados en forma electrónica.
Adicionalmente, deben contar con procesos que permitan realizar un control adecuado del cumplimiento de las políticas y límites establecidos, además de contar con un plan de conservación, custodia y seguridad de la información tanto documental como electrónica.
De igual manera, los parámetros utilizados en las aplicaciones informáticas para el SARLAFT deben ser revisados periódicamente, como mínimo una vez al año.
8.1. REPORTES INTERNOS
Los reportes internos son de uso exclusivo de la entidad.
8.2. REPORTES A LA UIAF
Los reportes deben ser entregados en la forma que disponga la UIAF, conforme a las instrucciones impartidas en los manuales y formatos contenidos en la página de internet de dicha Entidad: https:// www.uiaf.gov.co/reportantes
8.2.1. REPORTE DE OPERACIONES INTENTADAS Y OPERACIONES SOSPECHOSAS (REPORTE DE ROS):
Una operación intentada o una operación sospechosa debe reportarse de manera inmediata como ROS directamente a la UIAF, entendiéndose por inmediato el momento a partir del cual la entidad toma la decisión de catalogar la operación como intentada o sospechosa. Para el efecto, no se necesita que la entidad tenga certeza de que se trata de una actividad delictiva, ni de identificar el tipo penal o de verificar que los recursos tienen origen ilícito; tan solo se requiere que la operación sea sospechosa en los términos definidos en la presente Circular y/o dentro del manual de políticas de la misma entidad.
El envío del ROS a la UIAF no constituye una denuncia ni da lugar a ningún tipo de responsabilidad para la entidad reportante, ni para las personas que hayan participado en su detección o en su reporte de conformidad con el artículo 42 de la Ley 190 de 1995.
Los soportes de la operación reportada se deben organizar y conservar como mínimo por cinco (5) años, dado que pueden ser solicitados por las autoridades competentes.
Ninguna persona de la entidad podrá dar a conocer que se ha efectuado el reporte de una operación sospechosa a la UIAF, según lo determina el inciso cuarto del artículo 11 de la Ley 526 de 1999.
Parágrafo. Para efectos de lo dispuesto en el presente numeral, los sujetos obligados deberán entender por reporte de manera inmediata, el lapso que transcurre entre que el sujeto obligado toma la decisión de catalogar la operación como sospechosa y documentarla, plazo que en ningún caso puede exceder de ocho (8) días calendario.
8.2.2. REPORTE DE AUSENCIA DE OPERACIONES INTENTADAS Y OPERACIONES SOSPECHOSAS (REPORTE DE AUSENCIA DE ROS):
Si durante el mes inmediatamente anterior, la entidad no realizó ningún ROS a la UIAF, dentro de los 10 primeros días calendario del mes siguiente deberá reportar a la UIAF que durante el mes anterior no efectuaron Reporte de Operaciones Sospechosas.
8.2.3. REPORTE DE TRANSACCIONES INDIVIDUALES EN EFECTIVO:
Todos los sujetos vigilados por la Superintendencia Nacional de Salud a los que le compete la aplicación de esta Circular, deberán reportar mensualmente a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente, todas las transacciones en efectivo realizadas en un mismo día por parte de una misma persona natural o jurídica, por un valor igual o superior a cinco millones de pesos ($5.000.000) moneda corriente y /o su equivalente en otras monedas.
8.2.4. REPORTE DE TRANSACCIONES MÚLTIPLES EN EFECTIVO:
Todos los sujetos vigilados por la Superintendencia Nacional de Salud a los que le compete la aplicación de esta Circular, deberán reportar mensualmente a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente, todas las transacciones en efectivo realizadas por parte de una misma persona natural o jurídica en el mes inmediatamente anterior, que en su conjunto iguale o supere la cuantía de veinticinco millones de pesos ($25.000.000) moneda corriente y/o su equivalente en otras monedas durante el mes objeto de reporte.
El reporte de transacciones en efectivo se realizará en un único archivo relacionando las operaciones múltiples y luego las individuales.
8.2.5. REPORTE DE AUSENCIA DE TRANSACCIONES EN EFECTIVO:
Todos los sujetos vigilados por la Superintendencia Nacional de Salud a los que le compete la aplicación de esta Circular, que no hayan reportado transacciones en efectivo, bien sea individuales o múltiples durante el mes inmediatamente anterior, deberán reportar este hecho a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente.
8.2.6. OTROS REPORTES:
La UIAF podrá establecer otros reportes y/o controles para ser entregados en los términos y periodicidad que determine, de acuerdo con los riesgos y vulnerabilidad de LA/FT detectados en la actividad.
Parágrafo: Los reportes que tratan los numerales 8.2.2 al 8.2.6 deberán realizarse por primera vez, una vez termine el período de transición. Es así como para el primer reporte de dichos numerales, estos deberán hacerse por parte de la entidad entre el 1o y el 10 de noviembre de 2016, tal como se explica con mayor detenimiento más adelante, en el numeral 12.2 de la presente Circular.
8.3. ACREDITAR CON SOPORTES TODAS LAS OPERACIONES, NEGOCIOS Y CONTRATOS
Los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) deben establecer reglas específicas que prohíban la realización de actividades, negocios y contratos sin que exista el respectivo soporte interno o externo, debidamente fechado y autorizado por quienes intervengan en ellos o los elaboren. Todo documento que acredite transacciones, negocios o contratos de la entidad, además de constituir el soporte de la negociación y del registro contable, constituye el respaldo probatorio para cualquier investigación que puedan adelantar las autoridades competentes.
8.4. MONITOREO Y SEGUIMIENTO. <Numeral derogado por la Circular 5 de 2021>
Los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) deben diseñar, programar y coordinar planes de capacitación como mínimo una vez al año a todas las áreas y funcionarios de la entidad sobre las políticas, procedimientos, herramientas y controles adoptados para dar cumplimiento al Sarlaft. Como resultado de esta capacitación, el personal debe estar en la capacidad como mínimo de identificar cuándo una operación es intentada, inusual o sospechosa, cuándo debe reportarse, el medio para hacerlo y a quién.
La capacitación debe ser considerada en los procesos de inducción de los nuevos empleados. Se debe dejar constancia de las capacitaciones realizadas, donde se indique como mínimo la fecha, el tema tratado y el nombre de los asistentes.
10. DOCUMENTACIÓN. <Numeral derogado por la Circular 5 de 2021>
11. ANEXOS TÉCNICOS. <Numeral derogado por la Circular 5 de 2021>
Las disposiciones contenidas en la presente Circular se aplicarán sin perjuicio de aquellos sectores y/o actividades económicas que también tienen una obligación de reporte específica de acuerdo con las resoluciones expedidas por la Unidad de Información y Análisis Financiero (UIAF).
12.1. VIGENCIA
La presente Circular rige a partir de su publicación y promulgación.
12.2. PERÍODO DE TRANSICIÓN <Numeral derogado por la Circular 5 de 2021>
12.3. CONTROL AL CUMPLIMIENTO DE LA CIRCULAR De conformidad con lo establecido en los numerales 11 y 12 del artículo 130 y de acuerdo con el artículo 131 de la Ley 1438 de 2011, la inobservancia e incumplimiento de las instrucciones impartidas en este acto administrativo, dará lugar a la imposición de multas hasta de 2500 smlmv a entidades que se encuentren dentro del ámbito de la vigilancia de esta Superintendencia, así como a título personal hasta 200 smlmv, a los Representantes Legales de estas ya sean de carácter público o privado, directores o secretarios de salud o quienes hagan sus veces y demás funcionarios responsables de la administración y manejo de los recursos del sector salud o a la revocatoria del certificado de habilitación de las vigiladas, si a ello hubiere lugar, sin perjuicio de las acciones que le correspondan a otras autoridades.
Publíquese y cúmplase.
Dado en Bogotá, D. C., a 21 de abril de 2016.
El Superintendente Nacional de Salud,
NORMAN JULIO MUÑOZ MUÑOZ.
* * *
1. GAFI (Grupo de Acción Financiera Internacional): Organismo intergubernamental cuyo propósito es elaborar y promover medidas para combatir el lavado de activos.
2. GAFILAT (Grupo de Acción Financiera Internacional de Sudamérica).
3. GAFISUD (Grupo de Acción Financiera de Sudamérica): Organismo intergubernamental conformado por los países sudamericanos cuyo propósito es elaborar y promover medidas para combatir el lavado de activos en Suramérica.
4. Ley 122 de 2007 artículos 35 a 40.
5. Artículos 118 a 139 Ley 1438 de 2011.
6. * Las definiciones marcadas con este símbolo tienen relación con las 40 recomendaciones impartidas por el Grupo de Acción Financiera Internacional (GAFI).
De acuerdo con las recomendaciones del GAFI. Estándares internacionales sobre la lucha contra el lavado de activos y el financiamiento del terrorismo y la proliferación. Febrero 2012.
7. Se incluyen en estos pagos, los efectuados por concepto de copagos, cuotas moderadoras, deducibles o cualquier pago adicional contemplado en el Sistema General de Seguridad Social en Salud, en los Planes Voluntarios de Salud o seguros en general que cubran eventos de salud.
8. L. 599/2000 (Código Penal). Artículo 345, modificado por el artículo 16 de la Ley 1121 de 2006, y por el artículo 16 de la de la Ley 1453 de 2011: Financiación del terrorismo y de grupos de delincuencia organizada y administración de recursos relacionados con actividades terroristas y de la delincuencia organizada. El que directa o indirectamente provea, recolecte, entregue, reciba, administre, aporte, custodie o guarde fondos, bienes o recursos, o realice cualquier otro acto que promueva, organice, apoye, mantenga, financie o sostenga económicamente a grupos de delincuencia organizada, grupos armados al margen de la ley o a sus integrantes, o a grupos terroristas nacionales o extranjeros, o a terroristas nacionales o extranjeros, o a actividades terroristas, incurrirá en prisión de trece (13) a veintidós (22) años y multa de mil trescientos (1.300) a quince mil (15.000) salarios mínimos legales mensuales vigentes.
9. L. 599/2000 (Código Penal), Artículo 323: modificado por el artículo 8o de la Ley 747 de 2002, modificado a su vez por el artículo 7o de la Ley 1121 de 2006 y por el artículo 42 de la ley 1453 de 2011:
Lavado de activos. El que adquiera, resguarde, invierta, transporte, transforme. almacene, conserve, custodie o administre bienes que tengan su origen mediato o inmediato en actividades de tráfico de migrantes, trata de personas, extorsión, enriquecimiento ilícito, secuestro extorsivo, rebelión, tráfico de armas, tráfico de menores de edad, financiación del terrorismo y administración de recursos relacionados con actividades terroristas, tráfico de drogas tóxicas, estupefacientes o sustancias sicotrópicas, delitos contra el sistema financiero, delitos contra la administración pública, o vinculados con el producto de delitos ejecutados bajo concierto para delinquir, o les dé a los bienes provenientes de dichas actividades apariencia de legalidad o los legalice, oculte o encubra la verdadera naturaleza, origen, ubicación, destino, movimiento o derecho sobre tales bienes o realice cualquier otro acto para ocultar o encubrir su origen ilícito, incurrirá por esa sola conducta, en prisión de diez (10) a treinta (30) años y multa de seiscientos cincuenta (650) a cincuenta mil (50.000) salarios mínimos legales vigentes.
10. Las recomendaciones del GAFL Estándares internacionales sobre la lucha contra el lavado de activos y el financiamiento del terrorismo y la proliferación. Febrero 2012.
11. La lista que a continuación se ofrece es enunciativa. La mención de un comportamiento o una actividad no establece por si sola que se trate de una operación sospechosa; se requiere verificar otros elementos relativos a la actividad cuestionada que avalen esta percepción.
12. Se incluyen en estos pagos, los efectuados por concepto de copagos, cuotas moderadoras, deducibles o cualquier pago adicional contemplado en el Sistema General de Seguridad Social en Salud, en los Planes Voluntarios de Salud o seguros en general que cubran eventos de salud.