A continuación, presentamos una breve reseña que nos ayuda a conocer sobre las empresas obligadas a implementar SARLAFT y los parámetros a tener en cuenta en este proceso, de acuerdo con la Circular 20211700000005-5 DE 2021
Las entidades obligadas son:
Entidades Promotoras de Salud de los regímenes contributivo y subsidiado, a las Empresas de Medicina Prepagada, a los Servicios de Ambulancia Prepagada, a las secretarías municipales, departamentales y distritales de salud, y a las Instituciones Prestadoras de Salud (IPS) públicas, privadas y mixtas de los grupos B, C1, C2, D1 y subgrupo A.
1. ¿Qué entidades tienen que implementar SARLAFT Salud?
Empresas que durante el año anterior cumplan con las siguientes características:
Cabe resaltar que, estos valores son con corte al 31 de diciembre del año inmediatamente anterior. Además, que no es necesario cumplir con todas las características, con una de ellas es suficiente para que se clasifique en uno de los grupos, en cuanto a los servicios, se refiere a la totalidad sin importar que se presten en diferentes sedes.
Por otro lado, el subgrupo A se conforma cumpliendo con una o más de siguientes características:
- Único prestador en el municipio, tienen solo habilitados servicios en ese municipio.
- El departamento tiene menos de 19 IPS por cada 100.000 habitantes, y la distancia por carretera del municipio a la capital más cercana es superior a 109 km.
- Son único prestador en el municipio o tienen solo habilitados servicios en ese municipio, Y la distancia por carretera del municipio a la capital más cercana es superior a 167 km.
- Son prestadores con servicios habilitados en algún municipio sin acceso vial.
2. ¿Cuáles son las etapas del SARLAFT?
La identificación del riesgo.
Establece que el SARLAFT debe permitir a los Agentes del SGSSS reconocer, explorar exhaustivamente y documentar los riesgos inherentes de LA/FT/FPADM en el desarrollo de su actividad, teniendo en cuenta los factores de riesgo y señales de alerta identificadas en la presente Circular, más las que logre identificar la entidad mediante el desarrollo normal del negocio. Es importante identificar el riesgo derivado de un nuevo producto o por la modificación de los existentes, así como situaciones que generen algún grado de incertidumbre por su magnitud o expectativas en el mercado o que supongan la intervención de terceros inversionistas, variación de coberturas, contratos o cualquier otra operación de los Agentes.
Además, se establece la necesidad de establecer metodologías para la segmentación de los factores de riesgo y de evaluar aspectos como los factores de riesgo a los cuales se encuentra expuesto la entidad, los riesgos asociados que podrían materializarse, entre otros.
Políticas
Las políticas son los lineamientos generales que deben adoptar las entidades vigiladas por la Superintendencia Nacional de Salud en relación con el SARLAFT, Como mínimo se debe cumplir con las siguientes políticas:
- Establecer lineamientos para la prevención y resolución de conflictos de interés
- Señalar los lineamientos que debe adoptar la entidad frente a los factores de riesgo y los riesgos asociados de LA/FT/FPADM
- Garantizar la reserva de la información reportada conforme lo establece el art. 105 del Estatuto Orgánico del Sistema Financiero – EOSF
- Establecer las consecuencias que genera el incumplimiento del SARLAFT
- Establecer el compromiso y la exigencia de que los funcionarios antepongan el cumplimiento de las normas en materia de administración de riesgo de LA/FT/FPADM al logro de las metas comerciales.
- Consagrar el deber de los órganos de administración y de control de las entidades vigiladas, del oficial de cumplimiento, así como de todos los funcionarios, de asegurar el cumplimiento de los reglamentos internos y demás disposiciones relacionadas con el SARLAFT.
- Consagrar lineamientos más exigentes de vinculación de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que, por su perfil o por las funciones que desempeñan, pueden exponer en mayor grado a la entidad al riesgo de LA/FT/FPADM.
- Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del SARLAFT. Instrumentar las diferentes etapas y elementos del SARLAFT, que se puede realizar a través de la parametrización de las herramientas tecnológicas establecidas por la entidad para soportar el funcionamiento del mismo.”
Proceso y procedimientos
Las entidades obligadas deberán establecer como mínimo:
- Instrumentar las diferentes etapas y elementos del SARLAFT Salud.
- Identificar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual.
- Atender los requerimientos de información por parte de autoridades competentes.
- Dar cumplimiento a las obligaciones relacionadas con listas internacionales vinculantes para Colombia.
- Implementar medidas efectivas para consultar de forma permanente las listas internacionales vinculantes para Colombia.
- Consagrar las sanciones por incumplimiento a las normas relacionadas con el SARLAFT, así como los procesos para su imposición.
- Prever procesos para llevar a cabo un efectivo, eficiente y oportuno
Conocimiento de los clientes actuales y potenciales, así como la verificación de la información suministrada y sus correspondientes soportes:
- Establecer procedimientos especiales respecto de países de mayor riesgo.
- Implementar las metodologías para la detección de operaciones inusuales y sospechosas, y el oportuno y eficiente reporte de éstas últimas a las autoridades competentes.
3. ¿Quién es el encargado del diseño de los procedimientos?
El encargado del diseño es el oficial de cumplimiento
4. ¿Quién aprueba los procedimientos de SARLAFT Salud?
La junta directiva o el máximo órgano de la entidad.
De el acumulado de procedimientos se genera un manual de procedimientos del SARLAFT que debe contener como mínimo lo siguiente:
- Identificar las situaciones que le generen riesgo de LA/FT/FPADM en las operaciones, negocios o contratos que realiza la entidad, identificación implica evaluarlos procesos establecidos, los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual, en situaciones tales como operaciones con clientes y/o contrapartes, usuarios, productos, canales de distribución y jurisdicción territorial.
5. ¿Qué debe hacer el oficial de cumplimiento una vez identificada una situación de riesgo?
El oficial de cumplimiento debe analizar la situación dejando constancia, cabe resaltar que si es una incursión de la entidad se debe actuar de la misma manera, esto con el fin de implementar controles necesarios y facilitar su seguimiento.
Conocimiento de las contrapartes, para esta actividad se debe aplicar la debida diligencia teniendo en cuenta las características particulares del negocio. En cuanto a los afiliados a los EPS y pacientes de IPS pagados por seguros, no sea necesario la identificación del usuario, en cuanto a el conocimiento del cliente se puede realizar de manera presencial o virtual y utilizar fuentes externas, es importante subrayar que el cliente debe autorizar. Estos soportes de conocimiento del cliente deben mantenerse durante 5 años.
Es importante mencionar que para persona jurídica si hay accionistas que tengan acciones igual o superior al 5 % se debe identificar y mantener actualizada la información, para las EPS se deberá tener en cuenta los dispuesto en el Artículo 75 de la Ley 1955 de 2019 o las que lo modifiquen o sustituyan.
Según la CIRCULAR EXTERNA 20211700000005-5 DE 2021 el conocimiento mínimo de los clientes que se debe contener:
Descripción | PN | PJ |
Nombre y apellidos completos o Razón Social según el caso | X | X |
Número de identificación: Cédula de ciudadanía, tarjeta de identidad, cédula de extranjería, carné diplomático, pasaporte o NIT |
X | X |
Nombre y apellidos completos del representante y número de identificación | X | |
Dirección y teléfono del representante | X | |
Lugar y fecha de nacimiento | X | |
Dirección y teléfono residencia | X | |
Ocupación, oficio o profesión | X | |
Declaración voluntaria de origen de los fondos | X | X |
¿Maneja recursos públicos y/u ostenta algún grado de poder público y/o goza de reconocimiento público? (Declaración del cliente/usuario de si tiene o no la condición de Persona Expuesta Políticamente (PEP). ¿Es servidor público?). |
X | |
¿Realiza operaciones internacionales? (Señale el tipo de operación: importaciones, exportaciones, inversiones, préstamos, envío y/o recepción de giros, pago de servicios, transferencias, entre otras. |
X | X |
Firma y huella del cliente/usuario cuando aplique. Será la del representante en caso de las personas jurídicas | X | X |
Fecha de diligenciamiento del formulario y nombre e identificación del funcionario de la entidad que lo diligencia. |
X | X |
PN – Persona Natural
PJ – Persona Jurídica
Estos formularios de conocimiento los podrás diseñar con el fin de facilitar el registro de sus contrapartes con una plataforma que permite el diligenciamiento “en línea”, incluyendo mecanismos de seguridad como verificación de identidad, firma digital y pregunta secreta.
6. ¿Qué hacer antes de vincularse con una persona expuesta políticamente?
Debe realizarse un conocimiento profundo y verificar ante las autoridades competentes que la persona está autorizada para realizar el vínculo, con el objetivo que no se canalice por medio de la entidad recursos provenientes de corrupción, lavado de activos y/o financiación del terrorismo.
7. ¿Qué herramientas se pueden establecer con el objetivo de identificar operaciones inusuales?
- Señal de alerta: son hechos o situaciones que se salen del común funcionamiento de la entidad.
- Segmentación de riesgo: Las entidades deben segmentar, como mínimo, cada uno de los factores de riesgo de acuerdo con las características particulares de cada uno de ellos, asegurando que las variables de análisis definidas garanticen la consecución de las características de homogeneidad al interior de los segmentos y heterogeneidad entre ellos
- Seguimiento de operaciones: Las entidades deben tener capacidad de hacer seguimiento a las operaciones que realicen sus clientes según la evaluación de riesgo de los factores involucrados y monitorear la operación se necesita.
Para que estos mecanismos sean efectivos el SARLAFT debe contar como mínimo con los siguientes instrumentos: Consolidación electrónica de operaciones en efectivo y la implementación de matriz de riesgo que debe contener como mínimo:
- Los riesgos identificados, junto con sus respectivas causas y el impacto de su materialización.
- La relación existente entre los riesgos identificados y cada uno de los segmentos de los factores de riesgo en los que se podrían materializar los mismos.
- La relación existente entre los riesgos identificados y cada uno de los riesgos asociados.
- Las mediciones de probabilidad e impacto, tanto inherentes como residuales, para cada uno de los riesgos identificados y a nivel consolidado.
- Los controles que mitigan cada uno de los riesgos identificados, junto con las variables consideradas para la medición de su efectividad.
- Indicadores que permitan efectuar permanente seguimiento al perfil de riesgo de LA/FT/FPADM de la entidad
8. ¿Las etapas del SARLAFT deben documentarse?
Si, tanto las etapas del ciclo general de riesgos y los elementos del SARLAFT implementados por la entidad deben quedar plasmados en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida. Al mismo tiempo se debe dejar claramente estipulado las funciones para cada una de las personas que hacen parte de los diferentes órganos involucrados.
9. ¿Que debe contener la documentación del SARLAFT?
- Manual de procedimientos del SARLAFT, el cual debe contemplar como mínimo:
- Los documentos y registros que evidencien la operación efectiva del SARLAFT.
- Los informes de la junta directiva, el representante legal, el oficial de cumplimiento y los órganos de control.
Cabe resaltar que, la entidad debe mantener a total disposición de la superintendencia Nacional de Salud la documentación antes mencionada.
10. ¿Qué debe implementar como mínimo la junta directiva o el máximo órgano de la entidad para cumplir con el SARLAFT?
- Diseñar y actualizar las políticas para la prevención y control del riesgo de LA/FT/FPADM que harán parte del SARLAFT, para una posterior aprobación por la Asamblea o el máximo órgano social o quien haga sus veces.
- Aprobar el manual de procedimientos y sus actualizaciones.
- Garantizar los recursos técnicos y humanos que se requieran para implementar y mantener en funcionamiento el SARLAFT, teniendo en cuenta las características del riesgo de LA/FT/FPADM y el tamaño de la entidad. Esto con el fin de apoyar a el Oficial de Cumplimiento para que cumpla con la totalidad de sus funciones.
- Asignar un presupuesto anual para contratación de herramientas tecnológicas, contratación de personal, capacitación, asesorías, consultorías, y lo necesario para mantener la operación del SARLAFT en la compañía y la actualización normativa del Oficial de Cumplimiento y su equipo.
- Designar al Oficial de Cumplimiento y su respectivo suplente. la Junta Directiva o quien haga sus veces dará a conocer el nombramiento del Oficial de Cumplimiento a la Superintendencia Nacional de Salud, indicando nombre, profesión, cargo adjunto o de desempeño alterno (si procede), teléfonos de contacto y correo electrónico. Esta información y su respectiva actualización o modificación, deberá realizarse a través del módulo de datos generales o aplicativos de reporte de información que la Superintendencia Nacional de Salud disponga para ellos. En el caso de las entidades públicas la designación se realizará de acuerdo a los términos de Ley que les aplique.
- Incluir en el orden del día de sus reuniones, la presentación del informe del Oficial de Cumplimiento, por lo menos una vez al año o cuando éste lo determine necesario.
- Pronunciarse sobre los informes presentados por el Oficial de Cumplimiento y la Revisoría Fiscal y realizar el seguimiento a las observaciones o recomendaciones adoptadas, dejando constancia en las actas.
- Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y Reporte de las Operaciones Sospechosas (ROS).
- Aprobar las metodologías de segmentación, identificación, medición, control y monitoreo del SARLAFT.
- Designar la(s) instancia(s) responsable(s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.
11. ¿Qué hacer ante la ausencia excepcional del oficial de cumplimiento?
El oficial de cumplimiento suplente debe retomar las actividades que ya se venía realizando el oficial de cumplimiento. Al mismo tiempo, cumplir con los literales anteriores de la b a la f. Por otro lado, si el empresario o el accionista único, que a su vez es el Representante Legal de la empresa unipersonal o de la sociedad por acciones simplificada unipersonal, podrá autonombrarse como Oficial de Cumplimiento.
12. ¿Cuáles IPS no deben tener oficial de cumplimiento?
Las IPS clasificadas como D2, D3, el Servicio de Transporte Especial de Pacientes y los Régimen Especiales y de Excepción. Sin embargo, deben designar un funcionario, responsable de la administración de las medidas de control, diseñadas para prevenir que en las actividades de la entidad pueda verse vinculada con dinero proveniente de actividades delictivas.
13. ¿Cómo se debe designar el funcionario responsable?
Se debe designar mediante la junta directiva, se debe dar a conocer información personal del responsable a través de la plataforma NRVCC módulo de datos generales o el sistema o herramienta que la SNS disponga para ello. Además, el responsable no puede estar en ninguna de las listas vinculantes para Colombia.
14. ¿Cada cuánto se debe hacer auditoría interna del SARLAFT?
Debe evaluar semestralmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos, con el objetivo de determinar falencias y posibles soluciones, esto debe presentarse a la junta directiva.
15. ¿Cómo generar informes confiables, inmodificables y que garanticen la consulta permanente para SARLAFT?
Para generar estos informes periódicos se debe contar con un soporte tecnológico acorde con sus actividades y operaciones, con el objetivo de garantizar el funcionamiento efectivo, eficiente y oportuno del SARLAFT.
16. ¿Qué características deberían tener los sistemas de las entidades?
- Contar con la posibilidad de captura y actualización periódica de la información de los distintos factores de riesgo, garantizando que la estructura de datos definida para la captura de la información de estos contemple la totalidad de los campos necesarios para la adecuada administración del riesgo LAFT.
- Consolidar las operaciones de los distintos factores de riesgo, de acuerdo con los criterios establecidos por la entidad.
- Generar en forma automática los reportes internos y externos, distintos de los relativos a operaciones sospechosas, sin perjuicio de que todos los reportes a la UIAF sean enviados en forma electrónica.
Adicionalmente, deben contar con procesos que permitan realizar un control adecuado del cumplimiento de las políticas y límites establecidos, además de contar con un plan de cómo conservación, custodia y seguridad de la información tanto documental como electrónica.
17. ¿El soporte tecnológico debe ser revisado periódicamente?
Si, debe revisarse al menos una vez al año.
18. ¿Cómo te apoyamos?
La plataforma tecnológica desarrollada en Agnos integrado con nuestros servicios de consultoría y acompañamiento, nos permite apoyar las entidades de salud en la operación del SARLAFT del en actividades como:
- Establecer metodologías para la segmentación de los factores de riesgo y de evaluar aspectos como los factores de riesgo a los cuales se encuentra expuesto la entidad, los riesgos asociados que podrían materializarse
- Consultar listas internacionales y nacionales vinculantes
- Captura de información diligenciada por contrapartes en los formularios de conocimiento
- El establecimiento de canales de comunicación para captación
- El monitoreo transaccional y detección de señales de alerta
- Implementación
- La gestión de hallazgos integrando las diferentes áreas de la entidad.
- La presentación de informes de gestión.
- Conservación, custodia y seguridad de la información