SICOF nueva herramienta para prevenir la Corrupción en el Sector Salud

El pasado 17 de septiembre de 2021 la Superintendencia de Salud publicó su Circular Externa en la cual se impartes instrucciones generales relativas al Subsistema de Administración del Riesgo de Corrupción, Opacidad y Fraude (SICOF).

De acuerdo con lo establecido en la Circular, las entidades disponen de un plazo de 12 meses para su implementación soportado en tecnología y herramientas necesarias para operación del SICOF.

La Circular aplica para Las Entidades Promotoras de Salud (EPS) de los Regímenes Contributivo, Subsidiado, Especial y de Excepción, Empresas de Medicina Prepagada (EMP), Servicios de Ambulancia Prepagada (SAP), Entidades Territoriales (ET), Servicio de Transporte Especial de Pacientes (SETP) y las Instituciones Prestadoras de Servicios de Salud (IPS) Públicas, Privadas y Mixtas.

El responsable del Subsistema podrá ser el mismo Oficial de Cumplimiento u otra persona designada, para cumplir, en conjunto con el comité de riesgos, con funciones que se describirán más adelante.

ETAPAS DEL SICOF

  • Identificación.
  • Medición.
  • Control.
  • Monitoreo.

1. Identificación

Las entidades deberán:

  • Identificar, inventariar, relacionar y documentar la totalidad de los procesos.
  • Revisar, evaluar y analizar el contexto interno y externo que permita identificar los stakeholders, factores de riesgo, riesgos asociados, entre otros.
  • Establecer metodologías de identificación, que sean aplicables a los procesos, con el fin de determinar los Riesgos de COF.
  • Identificar los Riesgos de COF, potenciales y ocurridos, en cada uno de los procesos.
  • La etapa de identificación deberá realizarse previamente a la implementación o modificación de cualquier proceso.

2. Medición

Esta etapa se orienta a descubrir las posibles conductas irregulares, los fraudes o los actos de corrupción, enfocándose en aquellas áreas especiales o sensibles a los riesgos previamente identificados.

Las entidades deberán medir la probabilidad de ocurrencia (frecuencia) en caso de materializarse. Esta medición podrá ser cualitativa y, cuando se cuente con datos históricos, cuantitativa. Para la determinación de probabilidad se debe considerar un horizonte de tiempo de un año.

Pasos a desarrollar en el proceso de medición de los Riesgos de COF:

  • Establecer la metodología de medición individual y consolidada susceptible de aplicarse a los Riesgos COF identificados. La metodología deberá ser aplicable tanto a la probabilidad de ocurrencia como al impacto.
  • Aplicar la metodología establecida para lograr una medición de probabilidad de ocurrencia y del impacto de los riesgos de COF en la totalidad de los procesos de la entidad, conforme la clasificación de internos y externos de los mismos.
  • Determinar el perfil de riesgo inherente de la entidad.

3. Control

Las entidades deben tomar medidas para controlar los riesgos inherentes a que se ven expuestas, con el propósito de disminuir la probabilidad de ocurrencia y/o el impacto en caso que se materialicen.

Durante esta etapa las entidades deberán como mínimo:

  • Establecer la metodología con base en la cual definan las medidas de control de los riesgos de Corrupción, Opacidad y Fraude.
    • Establecer de manera clara los responsables de llevar a cabo la actividad de control.
    • Definir una periodicidad mínima para su ejecución.
    • Indicar cuál es el propósito de control.
    • Establecer el cómo se realiza la actividad de control.
    • Indicar qué pasa con las observaciones o desviaciones resultantes de ejecutar el control.
    • Dejar evidencia de la ejecución del control.
  • De acuerdo con la metodología establecida, implementar las medidas de control sobre cada uno de los riesgos de COF.
  • Estar en capacidad de determinar el perfil de riesgo residual de la entidad.

En esta etapa se realiza la gestión de los eventos de COF, buscando tomar medidas conducentes a reducir la probabilidad e impacto causado por los eventos.

La entidad podrá determinar y adoptar los controles o medidas conducentes a controlar el riesgo inherente.

Para esto deberá determinar la naturaleza de los controles, preventivos, detectivos y los correctivos que buscan reducir o recuperar las pérdidas o corregir los daños ocasionados por la ocurrencia de dichos eventos, para lo cual la entidad deberá realizar las revisiones, validaciones indagaciones, investigaciones y/o sanciones a que haya lugar de conformidad con las disposiciones establecidas en el Reglamento Interno de Trabajo y/o las demás normas internas o externas.

4. Monitoreo

Las entidades deben hacer un monitoreo periódico del perfil de riesgo, cumpliendo con los siguientes requisitos:

  • Desarrollar un proceso de seguimiento efectivo, que facilite la rápida detección y corrección de las deficiencias del Subsistema. Dicho seguimiento debe tener una periodicidad acorde con los Riesgos de COF potenciales y ocurridos tanto en la entidad.
  • Establecer indicadores descriptivos y prospectivos que evidencien los potenciales Riesgos de COF.
  • Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente.
  • Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.
  • Generar un reporte interno de manera periódica (Mínimo semestralmente) con la gestión de los riesgos COF, que contenga el perfil de riesgo inherente y residual de la entidad de acuerdo con las políticas establecidas y aprobadas, el cual debe estar a disposición de las autoridades competentes.

ELEMENTOS DEL SICOF

Para cumplimiento de los principios y objetivos del SICOF, las entidades vigiladas deben consolidar una estructura que considere por lo menos los siguientes elementos:

  • Políticas.
  • Procedimientos.
  • Manual de Prevención de la Corrupción, la Opacidad y el Fraude.
  • Mecanismos.
  • Instrumentos.
  • Estructura Organizacional.
  • Documentación.
  • Plataforma tecnológica.
  • Divulgación de información y capacitaciones.

1. Políticas

Son los lineamientos generales que las entidades deberán adoptar en relación con el Subsistema SICOF.

Cada una de las etapas y elementos del SICOF deberá contar con unas políticas claras y efectivamente aplicables y las que se adopten deben permitir un adecuado funcionamiento del subsistema, traduciéndose en reglas de conducta y procedimientos que orienten la actuación de la entidad.

Alineado con el código de conducta y buen gobierno de la entidad, debe cumplir como mínimo con:

  • Impulsar a nivel institucional la cultura en materia de prevención de la Corrupción, Opacidad y Fraude.
  • Establecer el deber de los órganos de Administración de control y de sus funcionarios, de asegurar el cumplimiento de las normas internas y externas relacionadas con la administración del riesgo COF.
  • Permitir la prevención y resolución de conflictos de interés en la recolección de información en las diferentes etapas del SICOF.
  • Permitir la identificación de los cambios en los controles y en el perfil de riesgo.

Diseño de Políticas: Es responsabilidad de la Junta Directiva o de quién haga sus veces, o del Representante Legal Principal o quien sea nombra por mandato legal.

Aprobación de políticas: El máximo órgano social o quien haga sus veces, el empresario si es empresa unipersonal, o el accionista único en la sociedad por acciones simplificada unipersonal, será el responsable de su aprobación.

Constancia de la aprobación: La aprobación de políticas del SICOF debe quedar debidamente documentada mediante acta y ésta debe quedar a disposición de la SNS y así mismo deberá quedar incluida en las actividades que desarrollará la entidad.

Comunicación de políticas: Las políticas y procedimientos deberán ser comunicadas a la totalidad de empleados, socios, directivos, administradores y cualquier otra persona que tenga vinculación con la entidad, con el fin de asegurar  que sean entendidas e implementadas en todos los niveles de la organización.

2. Procedimientos

Los procedimientos que adopten las entidades deben contemplar mínimo los siguientes requisitos:

  • Instrumentar las diferentes etapas y elementos del SICOF.
  • Identificar los cambios y la evolución de los controles, así como del perfil de riesgo.
  • Adoptar las medidas por el incumplimiento del SICOF.

3. Mecanismos

El subsistema deberá permitir a las entidades establecer cuándo existe una posible actividad de COF. Para ello debe contar con metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de estas posibles actividades.

En caso de detectarse alguna actividad COF, es deber del Oficial de Cumplimiento o quien delegue la entidad, reportar ante la autoridad competente, dejando evidencia de esto y guardando la debida reserva del reporte.

4. Instrumentos

Los instrumentos mínimos con los que deben contar los sujetos obligados para la adecuada, efectiva y eficiente gestión del SICOF son:

  • Señales de alerta: Son hechos, situaciones, eventos, indicadores cuantitativos y cualitativos, que la entidad determine relevante, a partir de los cuales se infiere oportunamente la posible existencia de un hecho o situación que escapa a lo que la entidad ha determinado como normal.
  • Segmentación de los Factores de Riesgo: Los vigilados deben segmentar cada uno de los factores de riesgo de acuerdo con las características particulares de cada uno de ellos, garantizando homogeneidad al interior de los segmentos y heterogeneidad entre ellos, según la metodología que previamente haya establecido la entidad.

5. Estructura Organizacional:

Las entidades deben establecer al menos las siguientes funciones a cargo de los órganos de control:

Junta Directiva u Órgano que haga sus veces

  • Definir y aprobar las estrategias y políticas generales, con base en las recomendaciones del Oficial de Cumplimiento o persona encargada.
  • Adoptar las medidas necesarias para garantizar la independencia del Oficial de Cumplimiento o persona encargada.
  • Aprobar el Manual de Prevención COF.
  • Hacer seguimiento y pronunciarse sobre el perfil de COF de la entidad.
  • Proveer los recursos necesarios para implementar y mantener en funcionamiento de forma efectiva y eficiente el SICOF.
  • Pronunciarse respecto de cada uno de los puntos que contengan los informes del Oficial de Cumplimiento o persona encargada del SICOF.
  • Conocer los informes relevantes del SICOF e impartir las órdenes necesarias para que se adopten las recomendaciones y correctivos a que haya lugar.
  • Efectuar seguimiento en sus reuniones ordinarias a través de informes periódicos que presente el Oficial de Cumplimiento o persona encargada, sobre la gestión del subsistema y las medidas adoptadas para el control o mitigación de los riesgos más relevantes, por lo menos cada 6 meses.
  • Analizar los informes que presente el Oficial de cumplimiento o persona encargada, respecto de las labores realizadas para evitar que la entidad sea utilizada como instrumento para la realización de actividades delictivas, actos COF y evaluar la efectividad de los controles implementados y de la recomendaciones formuladas.

Representante Legal:

  • Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.
  • Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SICOF.
  • Designar el área o cargo que actuará como responsable de implementación y seguimiento del SICOF.
  • Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la administración de este riesgo implica para la entidad.
  • Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.
  • Recibir y evaluar los informes presentados por el Oficial de Cumplimiento o persona encargada.
  • Velar porque las etapas y elementos del SICOF, cumplan, como mínimo con las disposiciones señaladas en la circular.
  • Velar porque se implementen los procedimientos para la adecuada administración del riesgo COF a que se vea expuesta la entidad.

Oficial de Cumplimiento o Persona Encargada:

  • Diseñar y someter a aprobación de la Junta Directiva u órgano que haga sus veces, el manual de prevención de la COF.
  • Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al riesgo, fijado por la Junta Directiva.
  • Diseñar y proponer la aprobación de la Junta Directiva, la estructura instrumentos, metodologías y procedimientos tendientes a que la entidad administre efectivamente sus Riesgos de prevención y detección de la COF, en concordancia con los lineamientos, etapas y elementos mínimos previstos en la circular.
  • Desarrollar e implementar el sistema de reportes, internos y externos, de prevención y detección de la COF de la entidad.
  • Evaluar la efectividad de las medidas de controles potenciales y ejecutadas para los riesgos COF.
  • Establecer y monitorear el perfil de riesgo de la entidad e informarlo al órgano correspondiente.
  • Desarrollar los modelos de medición del riesgo de COF.
  • Desarrollar los programas de capacitación de la entidad relacionados con el SICOF.
  • Presentar un informe periódico, como mínimo semestral, a la Junta Directiva y al Representante Legal, sobre la evolución y aspectos relevantes del SICOF, incluyendo las acciones preventivas y correctivas implementadas o por implementar y el área responsable.
  • Establecer mecanismos para  la recepción de denuncias que faciliten, a quienes detecten eventuales irregularidades, ponerlas en conocimiento de los órganos competentes de la entidad.
  • Informar al máximo órgano social sobre el no cumplimiento de la obligación de los administradores de suministrar la información requerida para la realización de sus funciones.
  • Estudiar los posibles casos de COF, dentro del ámbito de su competencia, para lo cual debe contar con la colaboración de expertos en aquellos temas en que se requiera y elaborar el informe correspondiente para someterlo a consideración del máximo órgano social.
  • Informar a la Superintendencia Nacional de Salud los posibles casos de COF que se lleguen a presentar a través de los canales dispuestos para tal fin.
  • Proponer al máximo órgano social programas y controles para prevenir, detectar y responder adecuadamente a los Riesgos de COF y evaluar la efectividad de dichos programas y controles.
  • Poner en funcionamiento la estructura, procedimientos y metodologías inherentes al SICOF.
  • Elaborar el plan anual de acción del SICOF y darle estricto cumplimiento.
  • Recomendar a la Junta Directiva medidas preventivas y/o acciones ante organismos competentes (Judiciales y/o Disciplinarios) para fortalecer el SICOF.

En general el Oficial de Cumplimiento o Persona Encargada es el responsable de implementar los procedimientos de prevención y control, y verificar su operatividad y adecuado funcionamiento.

Debe dejar constancia documental de sus actuaciones, mediante memorandos, cartas, actas de reuniones o los documentos que resulten pertinentes.

Adicionalmente  debe mantener a disposición del auditor interno, el revisor fiscal y demás órganos de supervisión o control los soportes necesarios para acreditar la correcta implementación del SICOF.

Órganos de Control:

Las entidades deben establecer instancias responsables de evaluar el SICOF, informando de forma oportuna los resultados a los órganos competentes.

Los órganos de control serán por lo menos:

  • Revisoría Fiscal: Al cierre de cada ejercicio contable debe elaborar un reporte informando acerca de las conclusiones obtenidas sobre el SICOF. A su vez, debe informar al Representante Legal los incumplimientos del SICOF.
  • Auditoría Interna o quien ejerza el Control Interno: Debe evaluar periódicamente la efectividad y cumplimiento de las etapas y los elementos del SICOF, para determinar las deficiencias y posibles soluciones.

6. Documentación

La Superintendencia Nacional de Salud puede exigir con supervisión in situ o extra situ, los manuales, formatos, procedimientos y demás documentos específicamente requeridos.

Los documentos deben incluir como mínimo:

  • Manual de prevención COF.
  • Documentos y registros que evidencien la operación efectiva del SICOF.
  • Los informes de la Junta directiva, el Representante Legal y los órganos de control.
  • Mapa de Riesgos del SICOF conteniendo: Identificación de los factores internos y externos, riesgos identificados, análisis de probabilidad de ocurrencia de los riesgos y su impacto, identificación de los controles existentes para prevenir la ocurrencia o mitigar el impacto de los riesgos identificados, evaluación de la efectividad de los controles y definición de las acciones de mejoramiento necesarias.
  • Metodología e instrumentos para la gestión de riesgos COF incluyendo definición de funciones de los comités u órganos responsables.
  • Políticas establecidas en materia de manejo de información y comunicación, incluyendo mecanismos  específicos para garantizar a conservación y custodia de información reservada o confidencial para evitar su filtración.
  • Documento que soporte la comunicación a todos los funcionarios de la entidad del mapa de riesgos y de las políticas y metodologías.
  • Los análisis del registro de eventos de COF, deben permitir establecer procesos de prevención y anticipación logrando:
    • Entender los riesgos de las entidades, sus trabajadores y sus usuarios con las posibles consecuencias que conllevan.
    • Determinar si los controles y actividades ejecutadas son realmente efectivos a la hora de reducir los casos de COF.
    • Investigar sobre nuevos métodos de COF a fin de diseñar y avaluar controles para prevenirlos, detectarlos y responder de forma apropiada.
    • Colaborar con la Superintendencia Nacional de Salud y autoridades y organismos judiciales para emprender acciones conjuntas contra el COF en el SGSSS.

7. Plataforma Tecnológica

Las entidades deben contar con la tecnología y los sistemas necesarios para garantizar el adecuado funcionamiento del SICOF.

8. Divulgación de información

Las entidades deben diseñar un sistema efectivo, eficiente y oportuno de reportes tanto internos como externos que garantice el funcionamiento de sus procedimientos y los requerimientos de las autoridades competentes.

La divulgación de la información debe hacerse en forma periódica y estar disponible cuando así se requiera. Las entidades deben diseñar  un sistema adecuado de reportes tanto internos como externos, que garantice el funcionamiento de sus propios procedimientos y el cumplimiento de los requerimientos normativos.

9. Capacitación

Las entidades deben diseñar, programar y coordinar planes de capacitación que cumplan por lo menos con:

  • Periodicidad anual.
  • Impartir durante el proceso de inducción de los nuevos funcionarios.
  • Ser impartidos a los terceros siempre que exista una relación contractual con éstos y desempeñen funciones de la entidad.
  • Ser constantemente revisados y actualizados.
  • Contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos.

Cómo te apoyamos?

La plataforma tecnológica desarrollada en Agnos integrado con nuestros servicios de consultoría y acompañamiento, nos permite apoyar las entidades en la operación del SICOF en actividades como:

  • Implementación
  • El establecimiento de canales de comunicación para captación y gestión de denuncias.
  • La segmentación de factores de riesgo.
  • El monitoreo transaccional y detección de señales de alerta.
  • La gestión de hallazgos integrando las diferentes áreas de la entidad.
  • La presentación de informes de gestión.