Superintendencia Nacional de Salud

CIRCULAR EXTERNA 4 DE 2018

(Junio 29)

Asunto: Por la cual se imparten instrucciones generales relativas al código de conducta y de buen Gobierno organizacional, el sistema integrado de gestión de riesgos y a sus subsistemas de administración de riesgos.

a) Antecedentes

El Gobierno nacional ha impulsado una serie de normas dirigidas al fortalecimiento técnico, operativo, financiero y administrativo de los agentes participantes del sistema general de seguridad social en salud (SGSSS), el cual comprende la redefinición de los criterios para la habilitación y permanencia financiera de las entidades promotoras de salud (EPS) contenidos en la sección 1 del capítulo 2 del título 2 de la parte 5 del libro 2 del Decreto Único 780 de 2016 y sus modificaciones, la adopción de un modelo integral de atención en salud con énfasis en resultados (Res. 429/2016), entre otras medidas. Estos nuevos aspectos están incluidos en el modelo de supervisión basada en riesgos (SBR) de la Superintendencia Nacional de Salud (SNS), quien encabeza el sistema de inspección, vigilancia y control (IVC) del sector salud, de acuerdo con la Ley 1122 de 2007.

De conformidad con el artículo 14 de la Ley 1122 de 2007, se entiende por aseguramiento en salud la administración del riesgo financiero, la gestión del riesgo en salud y la articulación de los servicios que garanticen el acceso efectivo, la garantía de la calidad en la prestación de los servicios de salud y la representación del afiliado ante el prestador y los demás actores, sin perjuicio de la autonomía del usuario.

Es así como la SBR es la estrategia que está implementando la SNS para complementar a la supervisión basada en el cumplimiento y, de esta manera, garantizar la protección de los derechos de los usuarios y el cumplimiento de las normas que regulan el sistema, al utilizar ambas formas de supervisión de forma combinada y transversal. Asimismo, con la SBR, en el marco de un modelo de supervisión preventivo y activo, se busca fortalecer el SGSSS a través de una mayor estabilidad de las diferentes instituciones que lo componen, apoyada en una cultura de autocontrol y un adecuado Sistema integrado de administración y gestión de riesgos.

Asimismo, el artículo 12 de la Ley 1474 de 2011 o estatuto anticorrupción, crea el sistema preventivo de prácticas riesgosas financieras y de atención en salud del SGSSS y ordena a la SNS, entre otras cosas, definir para sus sujetos vigilados, el conjunto de medidas preventivas para su control, así como los indicadores de alerta temprana y ejercer sus funciones de IVC sobre la materia.

Adicionalmente, la política de atención integral en salud (PAIS) del Ministerio de Salud y Protección Social (MSPS), es adoptada mediante la Resolución 429 de 2016 bajo el marco del artículo 65 de la Ley 1753 de 2015 por la cual se expide el Plan Nacional de Desarrollo 2014-2018 “Todos por un nuevo país”. La mencionada resolución, tiene como marco operacional el modelo integral de atención en salud (MIAS), el cual está compuesto por diez (10) componentes: i) Caracterización de la población, ii) Regulación de rutas integrales de atención en salud (RIAS), iii) Implementación de la gestión integral del riesgo en salud (GIRS), iv) Delimitación territorial del MIAS, v) Redes integrales de prestadores de servicios de salud (RIPS), vi) Redefinición del rol del asegurador, vii) Redefinición del esquema de incentivos, viii) Requerimientos y procesos del sistema de información, ix) Fortalecimiento del recurso humano, y, x) Fortalecimiento de la investigación, innovación y apropiación del conocimiento.

El MIAS define la implementación de la GIRS como “la estrategia para anticiparse a las enfermedades y los traumatismos para que no se presenten o si se tienen, detectarlos y tratarlos precozmente para impedir o acortar su evolución y sus consecuencias. Esto implica la acción coordinada de actores sectoriales y extra sectoriales en la identificación de las circunstancias y condiciones que inciden en su aparición y desenlace, originadas en los individuos, los colectivos y en el entorno donde viven, estudian, trabajan o se recrean; la clasificación de las personas según se vean afectadas por estas circunstancias y condiciones, así como el diseño y puesta en marcha de acciones integrales y efectivas para eliminarlas, disminuirlas o mitigarlas”.

Asimismo, por medio de la Resolución 518 de 2015 se dictaron disposiciones en relación con la gestión de la salud pública (…) y en cumplimiento del parágrafo del artículo 5º de dicha Resolución, el MSPS generó las directrices para la caracterización y ejecución de los procesos para la gestión de la salud pública en el contexto de la PAIS, documento disponible en el siguiente Link:

https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/VS/PP/ENT/directrices-gsp-v.pdf. Y que en el numeral 8.4 de dicho documento (pág. 106), se describen los productos esperados de la implementación de los procesos de gestión de la salud pública en las entidades administradoras de planes de beneficios (EAPB).

Por una parte, la Resolución 1536 de 2015 determina la responsabilidad a las EAPB de realizar la caracterización de su población con el fin que las entidades territoriales puedan cumplir con el proceso de planeación integral para la salud. Para tal fin, el MSPS crea la guía conceptual y metodológica en 2016 para la caracterización de la población afiliada a las EAPB. La caracterización poblacional es, a su vez, un insumo indispensable para la identificación de grupos de riesgo y para la gestión individual del riesgo.

Por otra parte, mediante la Resolución 3202 de 2016, el MSPS creó el manual metodológico para la elaboración e implementación de las RIAS desarrolladas dentro de la PAIS.

En la misma línea, el documento “Bases del Plan Nacional de Desarrollo 2014-2018 “Todos por un nuevo país”, el cual hace parte integral de la Ley 1753 de 2015 de acuerdo a su artículo 2º, expone en la estrategia transversal “Movilidad social” (cap. VI), Objetivo 2, Mejorar las condiciones de salud de la población colombiana y propiciar el goce efectivo del derecho a la salud, en condiciones de calidad, eficiencia, equidad y sostenibilidad; Objetivo específico c. Recuperar la confianza y la legitimidad en el sistema; que una vez culminada la primera fase del fortalecimiento de la dimensión de supervisión (funciones de IVC), a partir de un enfoque de gestión de riesgo, la SNS deberá implementar un modelo de SBR que establezca para las entidades vigiladas la obligatoriedad de la identificación de los riesgos y el establecimiento de controles, para que a su vez la SNS realice la supervisión basada en la evaluación de la gravedad del impacto, la probabilidad de los riesgos significativos a los que están expuestos las entidades vigiladas y la efectividad de los controles, con el fin de anticiparse a situaciones indeseables, no solo desde el punto de vista financiero en el sistema, sino también en la gestión de riesgo en salud, para iniciar las investigaciones a que haya lugar y determinar las acciones correctivas correspondientes.

A su vez, los principios y directrices genéricos para la gestión del riesgo en una organización sin importar su naturaleza, industria y sector se encuentran establecidas bajo la norma técnica colombiana NTC-ISO 31000 expedida por el Instituto Colombiano de Normas Técnicas y Certificación (Icontec), la cual es una adopción idéntica por traducción de la norma internacional ISO 31000 de 2009. Cabe resaltar que su adopción es voluntaria.

En esa misma línea, por medio de la expedición de la Circular Externa 7 de 2017, se impartieron recomendaciones para la implementación y la ejecución de mejores prácticas organizacionales (código de conducta y de buen Gobierno empresarial) para las entidades promotoras de salud del régimen contributivo y subsidiado, empresas de medicina prepagada y servicio de ambulancia prepagada, vigiladas por la Superintendencia Nacional de Salud. Esta circular parte del principio de voluntariedad (cumpla o explique) con el fin de incentivar una política de autorregulación, autocontrol y autogestión, fortalecer los criterios de idoneidad y reputación para la alta gerencia, información pública oportuna y de calidad en pro de lograr una mayor eficiencia, transparencia y optimización del uso de los recursos del SGSSS, un mayor compromiso y responsabilidad frente a la gestión de riesgos que se vea reflejado en mejores resultados en la atención del paciente y la protección de los usuarios.

Para hacer efectivo el sistema preventivo de prácticas riesgosas financieras y de atención en salud, mediante el Decreto 2462 de 2013 se modificó la estructura de la SNS y se creó la oficina de metodologías de supervisión y análisis de riesgo y el despacho del superintendente delegado para la supervisión de riesgos; unidades con funciones concretas de diseño, vigilancia, recolección y análisis de información relevante para la aplicación de la SBR mediante la identificación y prevención de riesgos con la incorporación de alertas tempranas.

Asimismo, y en virtud de las funciones asignadas a la superintendencia, al despacho del Superintendente Nacional de Salud, al despacho del superintendente delegado para la supervisión de riesgos y a la oficina de metodologías de supervisión y análisis de riesgos en el mencionado decreto, se expide la Resolución 4559 de 2018 “por la cual se adopta el modelo de inspección, vigilancia y control para la Superintendencia Nacional de Salud para el ejercicio de la supervisión de los riesgos inherentes al sistema general de seguridad social en salud”, la cual en su artículo 2º insta a las entidades vigiladas la implementación de un sistema integrado de gestión de riesgos; y en sus artículos 3º y 4º, establece el mecanismo para hacer exigible el sistema para cada tipo de vigilado así como las instrucciones con los lineamientos mínimos que el mismo debe tener.

Por último, en el Decreto 682 de 2018 donde se actualizan las condiciones para la autorización de funcionamiento, habilitación y permanencia de las entidades responsables del aseguramiento en salud, en sus artículos 2.5.2.3.3.1 Condiciones de habilitación de las EPS y 2.5.2.3.3.2 sistema de gestión de riesgos en las EPS, insta a las entidades desarrollar un modelo de gestión integral del riesgo en salud y dicta a la Superintendencia Nacional de Salud la expedición de las instrucciones que sobre instrumentos, herramientas, indicadores y requisitos mínimos debe tener este sistema para la gestión de los riesgos propios de cada entidad, además de instruir en algunos temas sobre el Código de Conducta y de buen Gobierno Organizacional.

b) Objeto

En desarrollo de la operación de las EPS sometidas a la inspección, vigilancia y control (IVC) de la SNS, existe una exposición a diversos riesgos inherentes, que deben ser identificados y administrados en un sistema integrado de gestión de riesgos, que promueva el autocontrol y la autorregulación a fin de evitar o mitigar la ocurrencia de eventos que impacten negativamente los objetivos del SGSSS.

Estos sistemas integrados de gestión de riesgos deben responder a políticas claras y, a la vez, reflejarse en procesos y procedimientos que materialicen las estrategias de prevención y control de los riesgos identificados. Asimismo, estos sistemas integrados de gestión deben estar constituidos como mínimo por los riesgos prioritarios que se listan en el capítulo II-I de la presente circular y que seleccionó la superintendencia (se desarrollará cada subsistema de administración de riesgos en detalle en literales y numerales posteriores y que harán parte integral del sistema en su conjunto), además de incorporar otros riesgos que identifiquen y que se presenten en el desarrollo ordinario de las actividades de cada entidad.

Las políticas y procedimientos que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del sistema integrado de gestión de riesgos de las entidades, y traducirse en reglas de conducta y directrices que orienten la actuación de la entidad, sus empleados y sus socios.

Los sistemas integrados de gestión de riesgos deberán permitir a las entidades la adopción de decisiones oportunas para la adecuada gestión de los riesgos, de acuerdo con los niveles de tolerancia al riesgo que cada entidad esté dispuesta a asumir de acuerdo a sus políticas y en función a su estructura, tamaño, complejidad de las actividades, naturaleza, forma de comercialización y demás características particulares, siempre dentro de los parámetros que la normatividad y el adecuado desarrollo de su objeto social, lo permita. Asimismo, deben permitir incorporar acciones correctivas a tiempo, dirigidas a mejorar los resultados en salud y financieros de la entidad, la satisfacción de los usuarios, la estabilidad de los agentes del sector y la confianza de la población en el sistema.

Como se mencionó anteriormente, los elementos y procedimientos mínimos que se deben tener en cuenta en el ciclo de gestión para cada uno de los riesgos prioritarios estipulados por esta superintendencia se desarrollarán en los siguientes literales y numerales.

Se precisa que la SNS llevará a cabo un seguimiento más minucioso a los subsistemas de administración de los riesgos que priorizó, con fines de supervisión.

Estos subsistemas de administración de riesgos, permiten a las entidades identificar, evaluar, medir, controlar y monitorear eficazmente como mínimo los riesgos prioritarios a los que están expuestas en desarrollo de sus operaciones, para mejorar los resultados en salud de la población, la satisfacción de los usuarios, la estabilidad financiera del sistema, fortalecer la confianza de la población en los componentes de salud del sistema general de seguridad social (SGSSS) y prevenir posibles impactos negativos.

Asimismo, y como se mencionó anteriormente, para lograr un mayor compromiso y responsabilidad frente a la gestión de riesgos es necesaria la implementación y la ejecución de mejores prácticas organizacionales mediante la formulación de un Código de Conducta y de buen Gobierno empresarial en cada entidad.

De acuerdo con lo anterior, por medio de la presente circular se busca establecer los lineamientos generales (criterios, parámetros y recomendaciones mínimas) que las entidades promotoras de salud (EPS) del régimen contributivo y subsidiado deben tener en cuenta en el diseño, implementación y funcionamiento de su gobierno organizacional, de sus sistemas integrados de gestión de riesgos y de los subsistemas de administración para cada uno de los riesgos priorizados por la SNS.

Por un lado, por medio de la implementación y fortalecimiento del gobierno organizacional, se busca:

a) Eficiencia en la prestación del servicio de salud (Calidad - oportunidad), y así promover el uso debido y eficiente de los recursos.

b) Reconocer mejor los derechos de las diferentes partes interesadas, entre ellas, los usuarios del sistema de salud, para equilibrar los intereses y mejorar las relaciones e interlocución, para alcanzar el mayor grado de coordinación posible.

c) Evitar y/o gestionar los posibles conflictos de interés.

d) Establecer políticas anticorrupción (entre ellas establecer políticas anti-soborno).

e) Facilitar el ejercicio de los derechos y el trato equitativo a los miembros del máximo órgano social, para promover la independencia y equidad.

f) Garantizar la revelación oportuna y precisa de la información para lograr una mayor transparencia.

g) Garantizar la orientación estratégica, el control efectivo de la dirección ejecutiva y la responsabilidad de esta frente a la empresa y a los miembros del máximo órgano social.

h) Mejor desempeño operacional de la entidad, que se debe ver reflejada en la creación de valor de la empresa.

Por otro lado, la evaluación de los riesgos de las entidades debe identificar los principales determinantes de los eventos de riesgo, el impacto de los riesgos inherentes y la correspondencia y efectividad de los controles implementados, y de esta forma, cumplir con los objetivos misionales, al identificar alertas tempranas de los eventos de riesgo y adoptar medidas correctivas y preventivas.

Adicionalmente, por medio de la implementación del sistema integrado de gestión de riesgos, se busca:

a) Fortalecer el aseguramiento y la prestación del servicio y el cumplimiento de metas en salud, para velar por el mejoramiento de la salud de los individuos y la mitigación de los riesgos en salud, brindando servicios con mayor calidad y oportunidad.

b) Incrementar la probabilidad que los eventos de mayor impacto (eventos en salud, administrativos, financieros, entre otros), sean detectados a tiempo y prevenidos antes que se materialicen.

c) Fomentar una cultura de autocontrol y de gestión de riesgos por parte de los vigilados, de manera que esta sea una política empresarial o de gobierno organizacional que se interiorice en toda la estructura corporativa, incluyendo políticas de control interno.

d) Generar condiciones de estabilidad operativa y financiera de las instituciones a través de la implementación de subsistemas de administración de riesgos estratégicamente diseñados e implementados, y debidamente documentados mediante políticas de gestión de riesgo y manuales de procesos y procedimientos donde se incluyan metodologías de valoración de los riesgos y las funciones de los órganos de control (auditoría o control interno y revisoría fiscal, entre otros).

e) Robustecer la infraestructura de supervisión dentro de las entidades (Auditoría interna, revisoría fiscal o contralor normativo, entre otros), encaminada a fortalecer el control y gestión de riesgos al interior de cada institución.

f) Promover la cultura institucional hacia una supervisión y administración basada en riesgos que desarrolle habilidades evaluativas sobre la calidad de la gestión de los riesgos por parte de cada entidad.

g) Extender el compromiso y responsabilidad de las juntas directivas y órganos administrativos de las entidades frente a la adecuada gestión de los riesgos, además de establecer criterios de idoneidad y reputación para la alta gerencia.

h) Estimular la transparencia, la calidad, la preservación de la información y la mejora continua en todos los procesos relacionados, como insumo fundamental para la gestión de los diversos riesgos.

i) Impulsar las mejores prácticas de gobierno organizacional e incorporar e interiorizar el Código de Conducta y Buen Gobierno en todas las instancias de las organizaciones que hacen parte del sector de la salud.

Cabe resaltar que los lineamientos generales contenidos en la presente circular son los mínimos que debe tener el código de conducta y de buen gobierno empresarial, el sistema integrado de gestión de riesgos y los subsistemas de administración de riesgos y son complementarios al marco normativo vigente y, por lo tanto, no sustituyen ni reemplazan las metodologías o instrumentos adoptados por cada entidad para administrar los riesgos que a la fecha cada entidad esté gestionando, así como la implementación de las categorías que se definen en la presente circular.

c) Ámbito de aplicación

La presente circular externa aplica integralmente a todas las entidades promotoras de salud (EPS) autorizadas para operar el aseguramiento en salud, pertenecientes al régimen contributivo y subsidiado, vigiladas por la Superintendencia Nacional de Salud independientemente de su naturaleza jurídica, excluyendo las EPS indígenas (EPSI).

Para las entidades adaptadas al sistema general de seguridad social en salud, la presente circular únicamente les aplicará en lo relacionado con la gestión del riesgo en salud.

Asimismo, se encuentra dirigida a los representantes legales, socios, accionistas, revisores fiscales, la alta gerencia, los máximos órganos sociales, oficiales de cumplimiento, administradores, directores o quienes hagan sus veces y demás funcionarios responsables de la administración de dichas entidades.

d) Definiciones

Para efectos de la correcta aplicación de lo previsto aquí, se recurrirá a la formulación de las definiciones que se presentan a continuación para el entendimiento e interpretación de los lineamientos generales del sistema integrado de gestión de riesgos y los subsistemas objeto de esta circular. Adicionalmente, las definiciones relacionadas con el gobierno organizacional y mejores prácticas como son los conflictos de interés, la junta directiva, el máximo órgano social, entre otras, ya fueron definidas en la Circular Externa 7 de 2017, por lo que se recomienda remitirse a esta norma para su consulta:

Administrador: De acuerdo con el artículo 22 de la Ley 222 de 1995, “son administradores el representante legal, el liquidador, el factor, los miembros de juntas o consejos directivos y quienes de acuerdo con los estatutos ejerzan o detenten esas funciones”. El administrador debe obrar de buena fe, con lealtad y con la diligencia de un buen hombre de negocios. Sus actuaciones se cumplirán en interés de la sociedad, teniendo en cuenta los intereses de sus asociados, y en el cumplimiento de su función, deben realizar como mínimo las expresadas en el artículo 23 de la mencionada ley.

Ciclo general de gestión de riesgo: Son las etapas que incorpora un subsistema de administración de riesgos para cada uno de los tipos o categorías de riesgo identificadas.

Contralor normativo: Cargo o área especializada dentro o fuera de la organización, el cual es nombrado por la junta directiva o quien haga sus veces, y ejerce control para asegurar la observancia de las disposiciones normativas aplicables. Sus funciones son dependientes de la junta o quien haga sus veces, a quien debe asesorar y rendir cuentas.

Controles: Medidas prudenciales y correctivas que ayudan a contrarrestar la exposición a los diferentes riesgos. Entre estas se encuentra la implementación de políticas, procesos, prácticas u otras estrategias de gestión.

Cultura de autocontrol: Concepto integral que agrupa todo lo relacionado con el ambiente de control, gestión de riesgos, sistemas de control interno, información, comunicación y monitoreo. Permite a la entidad contar con una estructura, unas políticas y unos procedimientos ejercidos por toda la organización (desde la junta directiva y la alta gerencia, hasta los propios empleados), los cuales pueden proveer una seguridad razonable en relación con el logro de los objetivos de la entidad.

Evento reputacional: Ocurrencia o acción que tiene el potencial de afectar la reputación de la entidad. Estas acciones pueden ser fundadas o infundadas.

Factores de riesgo: Fuentes generadoras de riesgos tanto internas como externas a la entidad y que pueden o no llegar a materializarse en pérdidas. Cada riesgo identificado se encuentra originado por diferentes factores de riesgo que pueden estar entrelazados unos con otros.

Falla de mercado: Una situación en la que un mercado no asigna eficientemente los recursos por sí solo.

Gestión de riesgo: Es un enfoque estructurado y estratégico liderado por la alta gerencia acorde con las políticas de gobierno organizacional de cada entidad, en donde se busca implementar un conjunto de acciones y actividades coordinadas para disminuir la probabilidad de ocurrencia o mitigar el impacto de un evento de riesgo potencial (incertidumbre) que pueda afectar los resultados y, por ende, el logro de los objetivos de cada entidad, así como el cumplimiento de los objetivos en el SGSSS o sus obligaciones. Dentro de este conjunto de acciones se incluye, entre otros, el ciclo general de gestión de riesgo.

Gobierno organizacional: Es el conjunto de normas, procedimientos y órganos internos aplicables a cualquier tipo de entidad, mediante los cuales se dirige y controla la gestión de estas de conformidad con las disposiciones contenidas en la presente circular y demás disposiciones sobre la materia (D. 682/2018, art. 2.5.2.3.4.1). Tiene como objeto la adopción de mejores prácticas para garantizar que la gestión de las entidades se realice bajo los principios de trasparencia, eficiencia, equidad, y propender por la calidad en la prestación de los servicios de salud centrados en el usuario; además proporciona herramientas técnicas y jurídicas que permitan el balance entre la gestión de cada órgano y el control de dicha gestión.

Pruebas de desempeño o de autocomprobación (Back Testing): Se desarrolla para evaluar y calibrar la consistencia y confiabilidad de la medición de los indicadores de riesgos estimados por parte del modelo que se está utilizando, mediante la comparación de los resultados que el modelo arrojó, frente a los resultados observados. De esta manera se pueden identificar y ajustar los supuestos, parámetros y demás elementos que hacen parte del modelo de cálculo.

Pruebas de tensión (Stress Testing): Herramienta de diagnóstico donde bajo varios escenarios de estrés, se simulan diferentes choques extremos a los factores de riesgo para evaluar su sensibilidad e impacto, además de la capacidad de respuesta que las entidades tienen para enfrentarlos. Busca identificar fortalezas y vulnerabilidades de los subsistemas de administración de riesgos de manera individual para cada riesgo, y así cada entidad pueda comprender mejor sus propios perfiles de riesgo y validar los límites establecidos.

Reputación: Percepción agregada que sobre una organización tienen los agentes relacionados con ella, sean estos clientes, accionistas, grupos de interés, partes vinculadas o público en general, la cual tiene el potencial de afectar la confianza en la entidad, influenciando su volumen de negocios, y su situación general. Esta puede variar por factores tales como el desempeño, escándalos, menciones en prensa, entre otros.

Riesgo: Posibilidad que ocurra un evento que pueda afectar negativamente el cumplimiento de la operación de una entidad y que atenten contra los objetivos del SGSSS.

Riesgo inherente: Cualquier nivel de riesgo propio de la actividad, cuya evaluación se efectúa sin considerar el efecto de los mecanismos de mitigación y de control.

Riesgo residual: Es el nivel de riesgo que resulta luego de la aplicación de las medidas de control o mitigación existentes a los riesgos inherentes.

Riesgo neto global: Resultado de la combinación de cada uno de los riesgos residuales de la entidad, teniendo en cuenta la importancia relativa que a cada categoría de riesgo le haya asignado la entidad.

e) Lineamientos generales, específicos y sus componentes

CAPÍTULO I

Código de Conducta y de Buen Gobierno

1. Adiciones a la Circular Externa 7 DE 2017.

Las entidades deben desarrollar y mantener una estructura organizacional apropiada para la administración del sistema integrado de gestión de riesgos de acuerdo con su tamaño, estructura, actividad económica, forma de comercialización y demás características particulares. Para el efecto, deben establecer y preservar estándares que permitan contar con personal idóneo para la administración como mínimo de los riesgos prioritarios. De igual forma, deben quedar claramente asignadas las responsabilidades de las diferentes personas y áreas involucradas en los respectivos procesos y procedimientos, y establecer reglas internas dirigidas a prevenir y sancionar conflictos de interés, a controlar el uso y a asegurar la reserva de la información.

Sin perjuicio de las responsabilidades y obligaciones que se encuentren establecidas en otras disposiciones legales, estatutarias o en reglamentos, para el diseño y adopción de cada uno de los subsistemas de administración de riesgos, se deben establecer como mínimo las siguientes funciones a cargo de los órganos de dirección, administración y el revisor fiscal de las entidades dentro de sus códigos de conducta y buen gobierno:

1.1. Adiciónese la medida 18.1 al numeral 3.3.2.1.1 Responsabilidades, de la Circular Externa 7 de 2017, el texto es el siguiente:

Medida 18.1. Dentro de la implementación del sistema integrado de gestión de riesgos y de cada uno de los subsistemas de administración de riesgos de la entidad, se deberán asignar como mínimo las siguientes funciones a la junta directiva u órgano de administración que haga sus veces.

a) Aprobar las políticas de la entidad en materia de administración de todos los riesgos que pueden afectar los objetivos de la entidad y que son presentadas por el Comité de riesgos, a partir del trabajo con el área de gestión de riesgos, en caso que existan, órgano equivalente o de las diferentes áreas de la entidad.

b) Aprobar los reglamentos, manuales de procesos, procedimientos y funciones de las áreas pertenecientes a la entidad, así como sus respectivas actualizaciones.

c) Aprobar el Código de Conducta y Buen Gobierno, el sistema de control interno, la estructura organizacional y tecnológica del sistema integrado de gestión de riesgos.

d) Aprobar el diseño y definir la periodicidad de los informes internos para los reportes de la gestión de los riesgos, especialmente los prioritarios que se van a presentar a las diferentes áreas de la entidad.

e) Aprobar el marco general de indicadores de alerta temprana y los límites de exposición como mínimo a los riesgos prioritarios.

f) Aprobar las actuaciones en caso de sobrepasar o exceder los límites de exposición como mínimo frente a los riesgos prioritarios o cualquier excepción de las políticas, así como los planes de contingencia a adoptar en caso de presentarse escenarios extremos.

g) Conocer los resultados de las pruebas de tensión (stress test) en el caso que apliquen y el plan de acción a ejecutar con base en ellos, presentado por el comité de riesgos u órgano equivalente.

h) Garantizar los recursos técnicos y humanos que se requieran para implementar y mantener en funcionamiento el sistema integrado de gestión de riesgos, teniendo en cuenta las características de cada riesgo y el tamaño y complejidad de la entidad.

i) Realizar el nombramiento del comité de riesgos en caso que la entidad decida establecerlo, definir sus funciones y aprobar su reglamento, de acuerdo con las normas legales que le apliquen.

j) Pronunciarse y hacer seguimiento sobre los informes periódicos que elabore el comité de riesgos y la revisoría fiscal, respecto a los niveles de riesgo asumidos por la entidad, las medidas correctivas aplicadas para que se cumplan los límites de riesgo previamente establecidos y las observaciones o recomendaciones adoptadas para el adecuado desarrollo de cada uno de los subsistemas de administración de riesgo.

k) Designar la(s) instancia(s) responsable(s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de la exposición como mínimo a los riesgos prioritarios.

l) Aprobar las metodologías de segmentación, identificación, medición, control y monitoreo de los diferentes subsistemas de administración de riesgos, diseñadas por la instancia responsable.

m) Monitorear el cumplimiento de los lineamientos de los diferentes subsistemas de administración de riesgos promoviendo su continuo fortalecimiento y que la toma de decisiones este en función de la selección e implementación de las estrategias para el tratamiento y control de los diversos riesgos y de su comportamiento.

1.2. Adiciónese la medida 47.1 al numeral 3.3.2.1.6.3 Comité de riesgos, de la Circular Externa 7 de 2017, el texto es el siguiente:

Medida 47.1 Dentro de la implementación del sistema integrado de gestión de riesgos y de cada uno de los subsistemas de administración de riesgos de la entidad, se deberán asignar como mínimo las siguientes funciones a cargo del comité de riesgos:

a) Evaluar y formular a la junta directiva o quien haga sus veces, las metodologías de segmentación, identificación, medición, control y monitoreo de los riesgos a los que se expone la entidad, para mitigar su impacto, presentadas y diseñadas por el área de gestión de riesgos. Asimismo, las actualizaciones a las que haya lugar.

b) Velar por el efectivo, eficiente y oportuno funcionamiento del ciclo general de gestión de riesgos, incluyendo todas las etapas que se mencionaron en el punto anterior, para cada uno de los riesgos identificados.

c) Evaluar y formular a la junta directiva o quien haga sus veces, los ajustes o modificaciones necesarios a las políticas de los diferentes subsistemas de administración de riesgos, presentadas y diseñadas por el área de gestión de riesgos.

d) Evaluar y proponer a la junta directiva o quien haga sus veces, el manual de procesos y procedimientos y sus actualizaciones, a través de los cuales se llevarán a la práctica las políticas aprobadas para la implementación de los diferentes subsistemas de administración de riesgos.

e) Identificar las consecuencias potenciales que pueda generar la materialización de los diferentes riesgos sobre las operaciones que realiza la entidad.

f) Evaluar los límites de exposición para cada uno de los riesgos identificados, y presentar a la junta directiva y al representante legal, las observaciones o recomendaciones que considere pertinentes, presentadas y diseñadas por el área de gestión de riesgos.

g) Objetar la realización de aquellas operaciones que no cumplan con las políticas o límites de riesgo establecidas por la entidad o grupo empresarial oficialmente reconocido al cual esta pertenezca. Cabe resaltar que de acuerdo con las políticas que establezca la entidad, cada instancia podrá tener diferentes atribuciones para aprobar operaciones que incumplan las políticas establecidas inicialmente por la entidad y que violen los límites de exposición para cada uno de los riesgos identificados.

h) Conocer y discutir los resultados de las pruebas de tensión (stress test) en el caso que apliquen y el plan de acción a ejecutar con base en ellos para informarlo a la junta directiva, consejo de administración u órgano que haga sus veces.

i) Informar a la junta directiva y al representante legal sobre los siguientes aspectos:

j) El comportamiento y los niveles de exposición de la entidad a cada uno de los riesgos (como mínimo los riegos prioritarios), así como las operaciones objetadas. Los informes sobre la exposición de riesgo deben incluir un análisis de sensibilidad por escenarios y pruebas bajo condiciones extremas basadas en supuestos razonables (stress testing).

k) Las desviaciones con respecto a los límites de exposición de riesgo previamente establecidos, si se llegasen a presentar (posibles incumplimientos frente a los límites), operaciones poco convencionales o por fuera de las condiciones de mercado y las operaciones con vinculados.

l) Validar e informar a la junta directiva y al representante legal, el avance en los planes de acción y de mejoramiento, para la adopción de las medidas que se requieran frente a las deficiencias informadas, respecto a temas relacionados con el sistema integrado de gestión de riesgos.

1.3. Adiciónese la medida 85.1 al numeral 3.3.3.6.1 revisor fiscal, de la Circular Externa 7 de 2017, el texto es el siguiente:

Medida 85.1 El diseño, desarrollo y aplicación de las políticas de gestión de los riesgos prioritarios, deberá comprender los procesos de auditoría por parte de la revisoría fiscal.

Sin perjuicio de las funciones asignadas en otras disposiciones, la revisoría fiscal deberá dar cuenta por escrito cuando menos, de forma anual a la junta directiva o quien haga sus veces, y al representante legal, del estricto cumplimiento a las disposiciones contenidas en la presente circular, debiendo incluir el pronunciamiento expreso sobre el sistema integrado de gestión de riesgos dentro del dictamen que rinda respecto de los estados financieros.

De conformidad con lo previsto en los numerales 1º, 2º y 3º del artículo 207 del Código de Comercio, el revisor fiscal deberá cerciorarse que las operaciones, negocios y contratos que celebre o cumpla la entidad, se ajustan a las instrucciones y políticas aprobadas.

De igual forma, deberá poner en conocimiento del comité de riesgos y del representante legal, las inconsistencias y falencias que detecte respecto a la implementación de los diferentes subsistemas de administración de riesgos o la violación a los controles y límites establecidos.

Finalmente, deberá rendir informes de manera oportuna y permanente sobre las irregularidades que en la aplicación de la presente circular advierta en el ejercicio de sus funciones, cuando las mismas sean materiales, y sobre el cumplimiento de las disposiciones contenidas en esta circular, y que le sean solicitadas por la Superintendencia Nacional de Salud. En consecuencia, el revisor fiscal debe establecer las medidas necesarias que le permitan cumplir con lo señalado en este numeral.

2. Modificaciones a la Circular Externa 7 de 2017.

2.1. Modifíquese el numeral 3.3.3.3 Áreas especiales dentro del sistema de control interno, de la Circular Externa 7 de 2017, el nuevo texto es el siguiente:

Preámbulo: El SCI debe abarcar todas las áreas de la organización, aplicando para cada una de ellas los objetivos, principios, elementos y actividades de control, información, comunicación y otros fundamentos del sistema. No obstante, por su particular importancia se considera pertinente entrar a analizar algunos aspectos del SCI relacionados con las áreas de salud, financiera y tecnológica.

El diseño, desarrollo y ejecución de políticas para la gestión de los riesgos deben contemplar procesos de auditoría y control tanto interno como externos, mediante los cuales se audite el cumplimiento de las políticas y procedimientos establecidos.

3. Medidas obligatorias de la Circular Externa 7 de 2017.

De acuerdo con el Decreto 682 de 2018, en el cual se actualizan las condiciones para la autorización de funcionamiento, habilitación y permanencia de las entidades responsables del aseguramiento en salud, las siguientes medidas del código de conducta y buen Gobierno contenidas en la Circular Externa 7 de 2017, son de obligatorio cumplimiento para las entidades que trata el ámbito de aplicación de la presente circular:

• 3.3.1.3. De las funciones del máximo órgano social.

• Medida 12.

• 3.3.1.4. Conflictos de Interés

• Medida 13

• Medida 14

• Medida 15

• Medida 16

• 3.3.2.1.1. Responsabilidades

• Medida 18

• Medida 18.1

• 3.3.2.1.2 Conformación

• Medida 20

• Medida 21

• Medida 22

• Medida 27

• 3.3.2.1.3. Elección de directores

• Medida 28

• 3.3.2.1.6. Comités

• Medida 37

• Medida 38

• 3.3.2.1.6.1 Comité de contraloría interna

• Medida 41

• Medida 42

• 3.3.2.1.6.2 Comité de gobierno organizacional

• Medida 44

• Medida 45

• 3.3.2.1.6.3 Comité de riesgos

• Medida 46. En esta medida, se entiende que, en el comité de riesgos de la EPS, “el profesional con formación en actuaría o economía o matemáticas o estadística”, debe contar con experiencia en actuaría.

• Medida 47

• Medida 47.1

• 3.3.3.1. Principios

• Medida 53

• 3.3.3.2. Elementos del sistema de control interno

• Medida 54

• 3.3.3.2.1. Ambiente de control

• Medida 55

• 3.3.2.5. Monitoreo

• Medida 65

• 3.3.3.3.1. Control interno en la gestión de salud

• Medida 67

• 3.3.3.3.1.1 Políticas de gestión en salud

• Medida 69

• 3.3.3.4.1. Junta directiva u órgano equivalente

• Medida 75

• 3.3.3.4.2. Representante legal

• Medida 76

• 3.3.4.1.1. Frente al público

• Medida 86

• Medida 87

• 3.3.4.12. Frente a las autoridades locales

• Medida 88

• 3.3.4.1.4. Frente a la Superintendencia Nacional de Salud

• Medida 91

• 3.3.4.3 Transparencia en la política de pagos

• Medida 95

• 3.3.5.1. Política general de revelación de información

• Medida 98

• 3.3.5.2. Frente a las autoridades

• Medida 99

• 3.3.5.3.1 Información sobre la entidad

• Medida 100

• 3.3.5.3.2 Información sobre salud

• Medida 101

• 3.3.5.3.3. Información financiera

• Medida 102

• 3.3.5.4.1 Informe de gobierno organizacional

• Medida 103

• Medida 104

• 3.3.5.4.2. Salvedades del revisor fiscal

• Medida 105

• 3.3.5.5. Partes vinculadas

• Medida 106

• 3.3.5.6. Grupos empresariales

• Medida 107

4. Buenas prácticas.

Como buenas prácticas se recomienda tener en cuenta las demás medidas mencionadas en la Circular Externa 7 de 2017 para su implementación.

CAPÍTULO II

Sistema integrado de gestión de riesgos y sus subsistemas

• CAPÍTULO II-I:

Lineamientos generales

Las entidades deben tener la capacidad institucional para identificar, evaluar, controlar y mitigar los riesgos que puedan afectar el logro de sus objetivos y, especialmente, el cumplimiento de los objetivos del SGSSS y sus obligaciones contractuales.

Tanto el sistema integrado de gestión de riesgos como los subsistemas que lo componen, deben contar al menos con los siguientes elementos mínimos: i) Ciclo general de gestión de riesgos, ii) Políticas, iii) Procesos y procedimientos, iv) Documentación, v) Estructura organizacional, vi) Infraestructura tecnológica y vii) Divulgación de la información y capacitaciones.

Como se mencionó anteriormente, las entidades deben gestionar todos los riesgos a los que estén expuestas dentro de su operación, y su gestión dependerá de la discrecionalidad y organización que cada entidad les quiera dar para su tratamiento. Sin embargo, deberán contemplar como mínimo, los siguientes riesgos prioritarios y sus respectivos subsistemas de administración:

I. Riesgo en salud.

II. Riesgo actuarial.

III. Riesgo de crédito.

IV. Riesgo de liquidez.

V. Riesgo de mercado de capitales.

VI. Riesgo operacional.

VII. Riesgo de fallas del mercado de salud.

VIII. Riesgo de grupo.

IX. Riesgo reputacional.

X. Riesgo de lavado de activos y financiación del terrorismo: es la posibilidad que, en la realización de las operaciones de una entidad, estas puedan ser utilizadas por organizaciones criminales como instrumento para ocultar, manejar, invertir o aprovechar dineros, recursos y cualquier otro tipo de bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos de recursos vinculados con las mismas.

Cabe recordar que, para el riesgo de lavado de activos y financiación del terrorismo los lineamientos específicos se encuentran publicados en la Circular Externa 9 de 2016 (expedida por la SNS) y las normas que la modifiquen, sustituyan o eliminen, por lo cual solo se menciona la definición en la presente circular.

Las definiciones de los demás riesgos prioritarios por esta superintendencia se encuentran desagregados en el literal F. Lineamientos específicos para la gestión de los riesgos prioritarios, en cada uno de sus apartes.

Aquellas entidades que a la fecha ya cuenten con políticas, procedimientos y subsistemas de prevención y control adoptados para gestionar estos riesgos prioritarios, deberán examinarlas a la luz de los parámetros y lineamientos mínimos dispuestos en la presente circular y realizar las homologaciones o modificaciones a que haya lugar.

Es deber de las entidades revisar periódicamente las etapas que comprenden el ciclo y los elementos que hacen parte de cada subsistema, con el fin de realizar los ajustes que consideren necesarios para su efectivo, eficiente y oportuno funcionamiento, de tal forma que se tenga en cuenta en todo momento las condiciones particulares de cada entidad y las del mercado en general.

Tal como se listaron anteriormente, para efectos de la implementación del sistema integrado de gestión de riesgos al interior de cada una de las entidades, como mínimo se debe tener en cuenta los elementos generales que a continuación se desarrollan para cada uno de los subsistemas de administración de riesgos:

1. Ciclo general de gestión de riesgos.

Para cada una de las categorías de riesgo a supervisar por esta superintendencia, se incluyen las siguientes etapas en los subsistemas de administración de riesgos:

• Identificación de riesgos: Consiste en reconocer, explorar exhaustivamente y documentar todos los riesgos internos y externos que podrían afectar tanto los objetivos de la entidad como la salud de los usuarios a su cargo, en los casos que aplica, identificando sus causas, efectos potenciales y la posible interrelación entre los diferentes tipos de riesgos, para lo cual se recomienda la utilización de normas técnicas nacionales o internacionales.

Para esta identificación, las entidades podrán seleccionar las metodologías y técnicas que consideren más adecuadas, dentro de las que se encuentran estudios científicos, encuestas, entrevistas estructuradas con expertos, talleres, lluvia de ideas, técnicas de escenarios, entre otros.

• Evaluación y medición de riesgos: Es la valoración de los efectos asociados a los riesgos que han sido identificados, considerando la frecuencia y la severidad de su ocurrencia. También se deberá considerar el análisis de los riesgos inherentes y residuales, y su participación en el riesgo neto global. Se entenderá por valoración del riesgo, la medida cualitativa o cuantitativa, de su probabilidad de ocurrencia y su posible impacto.

En la medida que avance el plan de implementación del modelo de supervisión basada en riesgos, las entidades deberán contar con evaluaciones cuantitativas relacionadas con la probabilidad de ocurrencia de los riesgos identificados y su impacto, en la medida de lo posible. Independientemente de contar con modelos cuantitativos o cualitativos, estos deben estar sustentados técnicamente y documentados.

Es así como para la evaluación y medición de cada uno de los riesgos identificados, la entidad debe contar con información suficiente, completa y de calidad para generar los mejores pronósticos. Si la entidad no cuenta con información suficiente, esta debe establecer mecanismos para tener estimaciones consistentes para cada uno de los riesgos asumidos y deberá documentar las hipótesis y supuestos de sus modelos, así como la información que se tuvo en cuenta para su cálculo, mientras logra obtener la información requerida y necesaria.

• Selección de estrategias para el tratamiento y control de los riesgos: Una vez identificados y evaluados los riesgos, a excepción de los riesgos en salud, deben compararse con los límites (tolerancia) de riesgos aprobados por la instancia definida en el gobierno organizacional de la entidad y su política de riesgos, siempre dentro del marco normativo como referencia. Todo riesgo que exceda los límites o desviaciones aceptadas debe ser objeto de actividades de mitigación y control a fin de regresar al nivel de riesgo tolerado, conforme la estrategia adoptada. En cuanto a los riesgos en salud, estos límites hacen referencia a los máximos permitidos por la normatividad vigente, estándares internacionales y sin perjuicio de lo anterior, de acuerdo con lo que establezca la entidad en sus políticas, siempre que estén en pro del beneficio de la población asegurada.

Se deben determinar las acciones tendientes a gestionar los riesgos a los que se ve expuesta la entidad, de acuerdo con los niveles de riesgo determinados y las tolerancias al riesgo definidas.

Todas las acciones de gestión del riesgo deberán identificar formalmente responsables, plazos y formas de ejecución, y reportes de avances los cuales deben corresponder a la complejidad de la operación de la entidad. Asimismo, deberán estar aprobadas por la instancia del gobierno organizacional que corresponda.

• Seguimiento y monitoreo: Una vez establecidos los posibles mecanismos o un conjunto de estos, para la mitigación y control de los riesgos que se han identificado como relevantes para la entidad y después de realizar un análisis de causa y efecto para determinar los puntos más críticos a intervenir con mayor prelación, esta deberá poner en práctica tales mecanismos y reflejarlos en un plan de implementación de las acciones planteadas en la fase anterior, guardando correspondencia con las características particulares de cada entidad, teniendo en cuenta el grado de complejidad, el tamaño y el volumen de sus operaciones.

Con el fin de realizar el respectivo seguimiento y monitoreo permanente y continuo de la evolución de los perfiles de riesgo y la exposición frente a posibles pérdidas a causa de la materialización de cada uno de los riesgos identificados, la entidad debe desarrollar un sistema de alertas tempranas que facilite la rápida detección, corrección y ajustes de las deficiencias en cada uno de sus subsistemas de administración de riesgo para evitar su materialización, con una periodicidad acorde con los eventos y factores de riesgo identificados como potenciales, así como con la frecuencia y naturaleza de los mismos. El diseño de dicho sistema de alertas debe incluir la definición de los límites máximos de exposición o niveles aceptables de riesgo previamente establecidos por la entidad teniendo en cuenta los análisis realizados, la normatividad vigente y los criterios definidos en la política de gestión de riesgo de cada entidad.

Las mediciones de riesgos esperadas, los riesgos derivados y sus controles deben ser contrastados regularmente con la realidad observada, de forma tal que permita establecer si los Subsistemas de Administración de Riesgos han logrado su mitigación y la corrección oportuna y efectiva de eventuales deficiencia. De esta manera la entidad debe contar con indicadores de gestión para hacer seguimiento a la administración de los riesgos residuales y netos, y, que estos a su vez se encuentran y se mantengan en los niveles de aceptación previamente establecidos por la entidad.

De llegarse a presentar desviaciones o que se superen los límites previamente establecidos, se deben establecer planes de contingencia para intervenir y tratar los diferentes riesgos, teniendo en cuenta la variabilidad de los riesgos identificados, con el propósito de ajustar las desviaciones lo más pronto posible. Todas las acciones y actividades incluidas en estos planes deben contener la definición de los estándares de seguimiento y monitoreo, además de contar con un responsable, plazos, periodicidad, reportes de avance y de evaluaciones periódicas sobre las estrategias seleccionadas que incluyan el monitoreo de los indicadores propuestos para el seguimiento de las acciones de gestión del riesgo planteadas, los cuales deben ser definidos mediante un cronograma y ser objeto de un proceso de verificación y calidad de la información.

En esta etapa cobra importancia la implementación de mecanismos de retroalimentación donde se promueva la comunicación dinámica y continua y la entrega de los reportes gerenciales y de monitoreo donde se evalúen los resultados obtenidos, su evolución y la ejecución de los controles y estrategias implementadas para mejorar el desempeño en la mitigación de los factores de riesgo en cada uno de los subsistemas de administración de riesgo, y que van dirigidos a todos los involucrados tanto externos como internos, en especial a los órganos de seguimiento definidos por el gobierno organizacional de cada entidad. Lo anterior determina la necesidad de implementar planes de mejora en donde se desarrollen estrategias de incorporación de cambios para mejorar los resultados en la gestión de riesgos de la entidad.

2. Políticas de gestión de riesgos.

Las entidades deben adoptar, en relación con el marco de su sistema integrado de gestión de riesgos, las políticas o lineamentos generales que permitan el desarrollo del ciclo de la gestión de los riesgos prioritarios de forma eficiente y oportuna, como mínimo. Cada una de las etapas y elementos para cada uno de los subsistemas de administración de riesgos deben contar con políticas claras y aplicables. Estas políticas de gestión de riesgos deberán ser adoptadas por la junta directiva, el consejo de administración o quien haga las veces como máximo órgano de administración, las cuales deben establecer los mecanismos y controles necesarios para asegurar el cumplimiento de dichas políticas y de las normas que le son aplicables al proceso de gestión de cada riesgo inherente.

Las políticas de gestión de riesgos deben ser revisadas periódicamente y como mínimo una vez al año, con el fin de actualizarlas a las condiciones particulares de cada entidad y a las del mercado en general. Tanto la aprobación como las modificaciones que se efectúen a dichas políticas, deben tener constancia en acta del máximo órgano de administración, de la junta directiva o quien haga sus veces, tal como se menciona más en detalle en el numeral 4º. Documentación.

Asimismo, estas políticas deben ser conocidas por todos los funcionarios de la organización y se deben establecer mecanismos de comunicación que permitan que los profesionales a cargo de las funciones de la gestión de los diversos riesgos conozcan los hechos que pueden impactar sus funciones.

Las políticas que se adopten para la administración de cada uno de los subsistemas de administración de riesgos deben contemplar como mínimo, los siguientes aspectos en su diseño y operación:

a) Establecer los elementos necesarios para garantizar la alineación de la planeación estratégica institucional (objetivos y compromisos de la entidad) frente al contexto normativo en materia de la gestión de los diversos riesgos.

b) Instaurar una cultura de autocontrol, autorregulación, autogestión y mejoramiento continuo en todos los niveles de la entidad, inspirada y liderada por el máximo órgano de Gobierno, que oriente el desarrollo de competencias en la gestión de riesgos.

c) Comunicar a todos los niveles de la organización sobre la política de gestión de riesgos establecida.

d) Fijar lineamientos de ética y conducta que orienten el actuar de los funcionarios de la entidad para el oportuno y efectivo funcionamiento de cada uno de los subsistemas de administración de riesgos. Debe hacerse constancia por escrito de estas políticas e incorporarse en el Código de Conducta y Buen Gobierno, que debe incluir disposiciones sobre la confidencialidad de la información, manejo de información privilegiada y conflictos de interés.

e) Generar la documentación interna y externa necesaria para la adecuada gestión de los riesgos. Entre ellos se encuentran los manuales, instructivos, volantes, intranet, páginas web, entre otros.

f) Identificar los factores y actores (usuarios, clientes y/o contrapartes, socios, trabajadores, empleados, proveedores, entre otros) tanto externos como internos, que puedan afectar los objetivos de una adecuada implementación del sistema integrado de gestión de riesgos en la entidad, y de esta manera poderlos trabajar de forma independiente.

g) Especificar de manera clara y precisa los criterios para cada una de las etapas del ciclo de gestión de riesgo en cada riesgo identificado.

h) Determinar la directriz institucional en materia de la exposición como mínimo frente a los riesgos prioritarios, reflejando su nivel máximo de tolerancia, acorde con las metodologías para definir las escalas de calificación establecidas por la entidad.

i) Disponer los criterios para la definición de límites frente a posibles pérdidas y a niveles máximos de exposición frente a los distintos tipos de riesgos.

j) Instaurar los procedimientos a seguir en caso de que se presenten comportamientos aislados, desviaciones, se sobrepasen los límites o se presente el incumplimiento a alguna de las políticas previamente establecidas por cada entidad bajo un análisis autónomo, al enfrentar cambios fuertes e inesperados en las condiciones de la entidad, por ejemplo.

k) Iniciar las acciones necesarias y oportunas en respuesta a los cambios en el perfil de riesgo de la entidad.

l) Establecer la periodicidad de revisión de la política, con la que se ajuste en todo momento a las condiciones particulares de la entidad y a las del sector en general.

m) Efectuar un monitoreo periódico al cumplimiento de los lineamientos de los subsistemas de administración de riesgos y como mínimo al comportamiento de cada uno de los riesgos prioritarios.

n) Fijar políticas de sistemas de información y manejo de bases de datos. Las entidades deberán incluir en sus políticas, los criterios de seguridad y calidad de la información de todas y cada una de sus operaciones, así como de la información remitida a la Superintendencia Nacional de Salud y demás organismos gubernamentales, en los diferentes formatos, además de las respuestas a los requerimientos exigidos.

o) Instaurar políticas para garantizar que se cuente con información adecuada para la cuantificación de los diferentes riesgos. En caso de no contar con la información suficiente, se debe establecer un plan de acción, en donde se identifiquen los plazos y las actividades que se realizarán para contar con dicha información.

p) Garantizar que cuando se presenten cambios en las metodologías de cuantificación de los diferentes riesgos, se evalúe el impacto y se documenten dichos cambios de una manera adecuada.

q) Establecer los lineamientos del sistema de control interno y el monitoreo frente a los diferentes riesgos.

r) Definir los criterios y los tipos de reportes gerenciales y de monitoreo tanto internos como externos, así como la forma y frecuencia de la presentación de los resultados de la administración de los diferentes riesgos.

s) Precisar los parámetros generales de la infraestructura tecnológica y el equipo técnico necesario para el adecuado funcionamiento de la gestión de riesgos.

t) Delimitar sus nichos de mercado. La política debe precisar las características básicas de los afiliados y proveedores de servicios, de igual forma establecer los mercados en los cuales puede actuar la entidad.

u) Conformar un Comité de gestión de riesgos en los términos del numeral 2.1 del capítulo I de la presente circular que tenga como funciones mínimas las mencionadas en el numeral 1.3.

v) Conformar voluntariamente un área especializada en la gestión de riesgos de la entidad en los términos del numeral 5º del capítulo II de la presente circular. Sin perjuicio de la conformación de esta instancia, las entidades deben velar por una adecuada estructura organizacional que permita un desarrollo apropiado del Código de Conducta y buenas prácticas de Gobierno en pro de la mejora continua en la implementación del sistema integrado de gestión de riesgos y de la administración de sus subsistemas.

Dentro de la implementación del sistema integrado de gestión de riesgos y de cada uno de los subsistemas de administración de riesgos de la entidad, se deberán asignar como mínimo las siguientes funciones a cargo del representante legal:

a) Apoyar y garantizar el efectivo cumplimiento de las políticas definidas por la junta directiva.

b) Adelantar un seguimiento permanente del cumplimiento de las funciones del Comité de riesgos y mantener informada a la junta directiva.

c) Conocer y discutir los procedimientos a seguir en caso de sobrepasar o exceder los límites de exposición frente a los riesgos, así como los planes de contingencia a adoptar respecto de cada escenario extremo.

d) Hacer seguimiento y pronunciarse respecto de los informes periódicos que presente el Comité de riesgos u órgano equivalente sobre el grado de exposición de riesgos asumidos por la entidad y los controles realizados, además de los informes presentados por la revisoría fiscal. Lo anterior debe plasmarse en un informe a la junta directiva o, quien haga sus veces, y hacer énfasis cuando se presenten situaciones anormales como mínimo en algún riesgo prioritario o existan graves incumplimientos a las políticas, procesos y procedimientos para cada uno de los subsistemas de administración de riesgos.

e) Realizar monitoreo y revisión de las funciones del área de control interno.

f) Velar porque se dé cumplimiento a los lineamientos establecidos en el Código de Conducta y Buen Gobierno de la entidad en materia de conflictos de interés y uso de información privilegiada que tengan relación con el sistema integrado de gestión de riesgos.

g) Vigilar cuidadosamente las relaciones de todas las personas que hacen parte de la entidad tanto interna como externamente, para identificar y controlar de manera eficiente los posibles conflictos de interés que puedan presentarse.

h) Informar de manera oportuna mediante oficio a la Superintendencia Nacional de Salud, acerca de cualquier situación excepcional que se presente o prevea que pueda presentarse como mínimo en el ámbito de la administración de los riesgos prioritarios, de las causas que la originan y de las medidas que se propone poner en marcha por parte de la entidad para corregir o enfrentar dicha situación, si procede.

3. Procesos y procedimientos para la gestión de riesgos.

Las entidades a las que les aplica la presente circular deben establecer los procesos y procedimientos que instrumenten la política de gestión de riesgos que cada entidad establezca y que sean aplicables para la adecuada implementación y funcionamiento de cada uno de sus subsistemas de administración de riesgos.

Los procesos y procedimientos que se adopten deben cumplir, como mínimo, con los siguientes requisitos:

a) Instrumentar las diferentes etapas del ciclo general de riesgos y los elementos específicos de los diferentes subsistemas de administración de riesgos.

b) Garantizar el efectivo, eficiente y oportuno funcionamiento de cada uno de los subsistemas de administración de riesgos, de modo que se puedan adoptar oportunamente los correctivos necesarios.

c) Contemplar las acciones a seguir en caso de incumplimiento de los límites fijados y los casos en los cuales se deban solicitar autorizaciones especiales.

d) Generar informes internos y externos, que permitan la toma de decisiones de manera oportuna en todas las instancias de la organización.

e) Garantizar que como mínimo las actividades de control del cumplimiento de los límites de los riesgos económicos y financieros prioritarios sean llevadas a cabo por un área funcional diferente al área de tesorería.

4. Documentación para la gestión de riesgos.

Las etapas del ciclo general de riesgos y los elementos específicos de los diferentes subsistemas de administración de riesgos deben quedar plasmados en documentos y registros, garantizando la integridad, oportunidad, trazabilidad, confiabilidad y disponibilidad de la información allí contenida.

Los procesos y procedimientos mencionados en el anterior numeral se deben adoptar y plasmar mediante manuales, en los cuales deben quedar claramente definidas las funciones, responsabilidades y atribuciones específicas para cada uno de los funcionarios de los diferentes órganos de dirección, administración y control involucrados en la administración de los diversos riesgos.

Estos manuales deben contener como mínimo lo siguiente:

a) Las políticas para la administración de cada uno de los riesgos.

b) Las metodologías y procedimientos para la identificación, medición, control y monitoreo de los riesgos identificados. A su vez, el establecimiento de los niveles de aceptación y límites de exposición.

c) La estructura organizacional que garantice el desarrollo de cada uno de los subsistemas de administración de riesgos y que, a su vez, fortalezca el sistema integrado de gestión de riesgos de la entidad.

d) Los roles y responsabilidades de quienes participan en la gestión de los diversos riesgos identificados, especialmente los prioritarios.

e) Las medidas necesarias para asegurar el cumplimiento de las políticas y objetivos de cada uno de los subsistemas de administración de riesgos.

f) Los procesos y procedimientos que deben implementar los órganos de control interno frente a cada uno de los subsistemas de administración de riesgos.

g) Las estrategias de capacitación y divulgación de cada uno de los subsistemas de administración de riesgos.

Asimismo, la entidad debe mantener en todo momento, y a disposición de la Superintendencia Nacional de Salud la documentación que trata la presente circular y debe tener en cuenta como mínimo lo siguiente:

a) Las actas del máximo órgano de administración, de la junta directiva o quien haga sus veces, donde conste la aprobación de las políticas de cada uno de los subsistemas de administración de riesgos, así como las actas correspondientes a la aprobación de los ajustes o modificaciones que se efectúen a dichas políticas.

b) Los instructivos o manuales que contengan los procesos y procedimientos a través de los cuales se llevan a la práctica las políticas aprobadas para cada uno de los subsistemas de administración de riesgos. Estos documentos deberán ser firmados por el representante legal y ser de fácil consulta y aplicación al interior de la organización.

c) El Código de Conducta y Buen Gobierno de las entidades.

d) Los informes presentados por la junta directiva o quien haga sus veces, el representante legal y el comité de riesgos. Entre estos debe encontrarse un reporte sobre el cumplimiento de los límites y del nivel de exposición de los diferentes riesgos, particularmente los prioritarios.

e) Los informes presentados por los órganos de control, como el revisor fiscal, sobre el funcionamiento y resultados de la implementación de cada uno de los subsistemas de administración de riesgos.

f) Las actas de junta directiva en donde conste la presentación del informe del comité de riesgos y del revisor fiscal.

g) Las actas del comité de riesgos, del comité de contraloría interna, y los reportes a la junta directiva y al representante legal.

h) Las constancias de las capacitaciones impartidas a todos los empleados, socios, directivos, administradores y cualquier otra persona que tenga vinculación con la entidad sobre el sistema integrado de gestión de riesgos, con el fin de asegurar que sean entendidas e implementadas en todos los niveles de la organización.

i) Los documentos y registros que evidencien el funcionamiento oportuno, efectivo y eficiente de cada uno de los subsistemas de administración de riesgos.

j) Las metodologías, parámetros, fuentes de información y demás elementos utilizados para la medición de cada uno de los riesgos.

k) El procedimiento a seguir en caso de incumplimiento a los límites preestablecidos en cada uno de los subsistemas de administración de riesgos.

l) Disponer de un respaldo físico o en medio magnético de la documentación mencionada en este numeral.

m) Establecer requisitos de seguridad, de forma tal, que se permita la consulta a información sensible, únicamente por parte de funcionarios autorizados.

n) Determinar criterios y procesos de manejo, guarda y conservación de la información.

Tanto las políticas, como el manual de procesos y procedimientos de la entidad, las bases de datos utilizados para la gestión de los diversos riesgos y con especial énfasis en los prioritarios, y demás información, documentación y lineamientos que estén referenciados en esta circular, deben estar a disposición de la Superintendencia Nacional de Salud para ser revisados y validar que cumplen con lo establecido en la presente circular. Asimismo, la SNS en virtud de sus funciones de IVC, podrá requerir dicha información en cualquier momento.

5. Área de gestión de riesgos.

De manera voluntaria y sin perjuicio del cumplimiento de otras disposiciones, las entidades deberían contar con un área de apoyo y de evaluación, que estará a cargo de la administración y gestión de los diferentes riesgos a los cuales la entidad se encuentra expuesta (incluyendo los riesgos prioritarios) a través de la identificación, medición, control y monitoreo de cada uno de ellos de tal manera que se realice la evaluación continua del ciclo para detectar las desviaciones y generar insumos para la formulación de los planes de mejoramiento y demás información que requiera el Comité de riesgos, mediante el trabajo conjunto con todas las áreas. En caso que la entidad recurra a un Outsourcing o tercerización de todo o parte de lo anteriormente descrito, debe contar con mecanismos y procedimientos que le permitan garantizar que los objetivos de la función de gestión de riesgos se estén cumpliendo a cabalidad.

En caso de existir esta instancia, esta área de gestión de riesgos debe ser independiente y funcional, de las áreas relacionadas con la salud, las autorizaciones, las áreas encargadas de las negociaciones como son compras, tesorería, entre otros, y queda a discreción de cada entidad y de acuerdo con su estructura, tamaño, naturaleza, y demás características particulares, o, por el contrario, se pueden otorgar funciones de gestión de riesgos en cada uno de los procesos (especialmente los más significativos y sensibles para el funcionamiento) a funcionarios de diferentes áreas de manera transversal dentro de la misma entidad. Sin embargo, el responsable de esta área deberá pertenecer al segundo nivel jerárquico (depender directamente de la gerencia y/o dirección de la entidad) con poder de decisión que le permita cumplir de manera adecuada con sus funciones, atendiendo la naturaleza y estructura propia de cada entidad o grupo empresarial oficialmente reconocido a la que esta pertenezca.

El área de gestión de riesgos debería tener como mínimo las siguientes funciones:

• Diseñar las metodologías de segmentación, identificación, medición, control y monitoreo de los riesgos a los que se expone la entidad, para mitigar su impacto.

• Formular al Comité de riesgos, los ajustes o modificaciones necesarios a las políticas de los diferentes subsistemas de administración de riesgos.

• Proponer al Comité de riesgos, el manual de procesos y procedimientos, a través De los cuales se llevarán a la práctica las políticas aprobadas para la implementación de los diferentes subsistemas de administración de riesgos. Asimismo, velar por su actualización, divulgación y apropiación en todos los niveles de la organización y su operatividad.

Velar por el adecuado diseño e implementación de los controles a los diferentes riesgos para mitigar su impacto, en todos los niveles de la organización y su operatividad.

• Realizar seguimiento o monitoreo a la eficiencia y la eficacia de las políticas, procedimientos y controles establecidos.

• Proponer y evaluar los límites de exposición para cada uno de los riesgos identificados, y presentar al Comité de riesgos, las observaciones o recomendaciones que considere pertinentes.

• Monitorear el nivel de capital mínimo y de patrimonio técnico de la entidad, cuando así lo establezca la normatividad vigente.

• Velar por el adecuado archivo de los soportes documentales y demás información relativa al sistema integrado de gestión de riesgos de la entidad.

• Participar en el diseño y desarrollo como mínimo de los programas de capacitación sobre los riesgos prioritarios y velar por su cumplimiento.

• Analizar los informes presentados por la auditoría interna o quien haga sus veces, y los informes que presente el revisor fiscal para que sirvan como insumo para la formulación de planes de acción y de mejoramiento, para la adopción de las medidas que se requieran frente a las deficiencias informadas, respecto a temas relacionados con el sistema integrado de gestión de riesgos.

• Monitorear e informar al Comité de riesgos, el avance en los planes de acción y de mejoramiento, para la adopción de las medidas que se requieran frente a las deficiencias informadas, respecto a temas relacionados con el sistema integrado de gestión de riesgos.

6. Infraestructura tecnológica.

Las entidades deben disponer y utilizar la infraestructura tecnológica y los sistemas necesarios para garantizar el funcionamiento efectivo, eficiente y oportuno del sistema integrado de gestión de riesgos, los cuales deben generar informes confiables sobre dicha labor y contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgos asociados y tamaño. Cuando no se cuente con dicha infraestructura, debe establecer un plan de acción para cubrir esta falencia en el menor tiempo posible.

Además, deben contar con procesos que permitan realizar un control adecuado del cumplimiento de las políticas y límites establecidos, además de contar con un plan de conservación, custodia y seguridad de la información tanto documental como electrónica.

Los parámetros utilizados en las aplicaciones informáticas para cada uno de los subsistemas de administración de riesgos que componen el sistema integrado de gestión de riesgos, deben estar dentro de supuestos fundamentados y ser revisados periódicamente.

Asimismo, las entidades deben centralizar la información relacionada con la gestión de riesgos, para lo cual deben contar con un sistema adecuado de consolidación eficaz de los distintos riesgos para la toma de decisiones efectivas, el cual deberá ser validado por lo menos una vez al año.

7. Divulgación de la información y capacitaciones.

Por un lado, la entidad debe garantizar que el personal vinculado tenga conocimiento de los productos y líneas de negocio que tenga la Entidad, además de los procedimientos administrativos y operativos asociados a cada uno de los subsistemas de administración de riesgos. para ello la entidad debe diseñar, programar y coordinar planes de divulgación y capacitación como mínimo una vez al año a todas las áreas y funcionarios de la entidad y con mayor énfasis a las áreas involucradas en la gestión de estos riesgos, sobre las políticas, procedimientos, herramientas y controles adoptados por parte de la entidad para dar cumplimiento al sistema integrado de gestión de riesgos.

La divulgación y capacitación sobre cada uno de los subsistemas de administración de riesgos deben hacer parte de los procesos de inducción de los nuevos empleados. Se debe dejar constancia de las capacitaciones realizadas por medio de la presentación de una prueba de los temas expuestos a los participantes, para incentivar la adherencia y el entendimiento, y, en donde se indique como mínimo la fecha, los temas tratados y el nombre de los asistentes.

Por otro lado, la entidad debe diseñar un sistema efectivo, veraz, eficiente y oportuno de manejo de la información capaz de generar reportes, tanto internos como externos, que garantice el funcionamiento de cada uno de los subsistemas de administración de riesgos, teniendo en cuenta los procesos y procedimientos establecidos para cada uno.

Este sistema de información debe ser funcional y permitir la dirección y control de la operación en forma adecuada. Además, estos sistemas deben garantizar que la información cumpla con los criterios de seguridad (confidencialidad, integridad y disponibilidad), calidad (completitud, validez y confiabilidad) y cumplimiento, para lo cual se deben establecer controles generales y específicos para la entrada, el procesamiento y la salida de la información, atendiendo su importancia relativa y nivel de riesgo.

7.1. Divulgación de la Información Interna.

Como resultado del monitoreo y control de cada uno de los riesgos identificados y especialmente los prioritarios, la entidad debe elaborar reportes semestrales como mínimo, que permitan establecer el perfil de riesgo de la misma.

Asimismo, debe elaborar informes de gestión al cierre de cada ejercicio contable sobre el cumplimiento de las políticas, los límites establecidos y su grado de cumplimiento, el nivel de exposición a los diferentes riesgos a los que se ven expuestas las entidades que incluya los prioritarios y la cuantificación de los efectos de la posible materialización de estos sobre la salud de la población afiliada, las utilidades, el patrimonio y el perfil de riesgo de la entidad.

Estos informes deben dirigirse por lo menos al representante legal y a la junta directiva o quien haga sus veces, los cuales deben quedar plasmados en acta donde se socialicen estos informes. Estos informes deben ser presentados de manera comprensible y deben mostrar las exposiciones por tipo de riesgo y de la manera más desagregada, detallada y clara posible.

7.2. Divulgación de la información externa.

Los administradores de la entidad, en su informe de gestión, al cierre de cada ejercicio contable, deben incluir en las notas a los estados financieros un apartado sobre la gestión adelantada en materia de administración como mínimo de los subsistemas de gestión de riesgos descritos en esta circular. En este sentido, las notas deberán contener un resumen de su situación en materia de la administración de dichos riesgos con información tanto cualitativa como cuantitativa.

Por un lado, la información cualitativa es indispensable para elaborar y proveer una mejor compresión de los estados financieros de las entidades, por tanto, es necesario que las entidades informen sobre sus objetivos de negocio, estrategias y filosofía en la gestión de riesgos y los controles implementados en cada uno para mitigarlos. Además, la información revelada debe considerar los cambios potenciales en los niveles de riesgo, cambios materiales en las estrategias y límites de exposición para cada uno de los subsistemas de administración de riesgos.

Por otro lado, las entidades deben revelar al público en general, la información cuantitativa sobre la gestión integral de los riesgos (como mínimo de los subsistemas de riesgos definidos en esta circular), como resultado de sus políticas y metodologías internas aplicadas para su control, de acuerdo con lo que los administradores de la entidad consideren pertinente revelar, sin perjuicio de aquella que sea de carácter privilegiado, confidencial o reservado, respecto de la cual se deben adoptar todas las medidas que consideren necesarias para su protección, incluyendo lo relacionado con su almacenamiento, acceso, conservación, custodia y divulgación.

Las características de la información divulgada estarán relacionadas con el volumen, la complejidad y el perfil de riesgo de las operaciones que maneje cada entidad. Asimismo, las entidades deberán mantener a disposición del público en general, a través de medios que garanticen su acceso, la información general que resulte necesaria para que haya un adecuado y cabal entendimiento respecto de la estructura que la entidad tenga diseñada e implementada, para la identificación, medición y control integral de cada uno de los subsistemas definidos en esta circular, de acuerdo con los mecanismos de rendición de cuentas que la entidad haya establecido en sus políticas.

• CAPÍTULO II-I:

Lineamientos específicos de los subsistemas de administración de riesgos

A continuación, se presentan los lineamientos específicos, adicional a lo establecido en el capítulo de lineamientos generales, que deben tener como mínimo los subsistemas de administración de riesgos para cada uno de los riesgos prioritarios (salud, actuarial, crédito, liquidez, mercado de capitales, operacional, fallas de mercado, riesgo de grupo y finalmente para la gestión del riesgo reputacional).

Como ya se mencionó anteriormente, para el riesgo de lavado de activos y financiación del terrorismo, los lineamientos específicos se encuentran publicados en la Circular Externa 9 de 2016 (expedida por la SNS) y sus modificatorias.

1. Gestión del riesgo en salud.

Se entiende por riesgo en salud como la probabilidad de ocurrencia de un evento no deseado, evitable y negativo para la salud del individuo, que puede ser también el empeoramiento de una condición previa o la necesidad de requerir más consumo de bienes y servicios que hubiera podido evitarse. El evento, es la ocurrencia de la enfermedad/ traumatismos o su evolución negativa, desfavorable o complicaciones de la misma; y las causas, son los diferentes factores asociados a los eventos(1).

De esta manera el presente numeral, incluye el marco institucional y el ciclo de gestión de riesgo en salud. Asimismo, lo dispuesto en el presente numeral se entiende sin perjuicio de los requisitos establecidos que deben acreditar las entidades por normas superiores de las autoridades competentes que regulen la materia.

1.1.1. Ciclo general de gestión del riesgo en salud.

Para la gestión del riesgo en salud inherente aplican todos los lineamientos generales presentados en esta circular, armonizados con los lineamientos, pautas e instrumentos en salud expedidos por las autoridades competentes en caso de que aplique, y las prioridades territoriales y poblacionales. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el subsistema de administración de riesgo en salud que implementen las entidades, por lo menos debe contener los siguientes lineamientos específicos:

1.1.2. Identificación del riesgo en salud.

La identificación de riesgos en salud puede ser realizada mediante la metodología de preferencia de la entidad, y debe comprender, por lo menos, los siguientes análisis:

• Caracterización y conocimiento de su población afiliada según los momentos del curso de vida, el grupo de riesgo, la estructura demográfica, distribución geográfica, los determinantes sociales de salud, la morbi mortalidad, el ámbito territorial, el enfoque diferencial y los demás análisis que la entidad considere necesarios, armonizado en el contexto de los planes territoriales de salud, en el ámbito individual y colectivo, en lo que corresponda.

• Caracterización de los niveles de riesgo de la población —incluyendo a la población sana— asociados a la gestión preventiva primaria, dando prioridad a las condiciones de riesgo generales y específicas identificadas en la caracterización.

• Caracterización del riesgo asociado a la gestión de recuperación de la salud, con énfasis en la gestión general sobre el acceso y oportunidad a los servicios de salud, así como el acceso específico por patologías o condiciones de interés identificadas.

• Caracterización de la red de prestadores contratada, teniendo en cuenta la caracterización de la población y las categorías de riesgo identificadas para la misma. Dicha caracterización de la red se debe realizar en términos de habilitación, suficiencia, distribución de la red contratada para cada servicio, resultados en salud, indicadores de infraestructura, mecanismos de pago contratados, servicios contratados dirigidos a la gestión de riesgo en salud (promoción y prevención, programas de paciente crónico, entre otros), análisis de brechas en la oferta de servicios de salud para la atención de los afiliados de acuerdo con las categorías de riesgo establecidas para la población y la gestión del riesgo clínico (seguridad del paciente).

• Caracterización de los riesgos en salud pública propios de la zona geográfica, teniendo en cuenta las acciones colectivas del plan de intervenciones colectivas (PIC) a cargo de las entidades territoriales y las acciones de promoción y prevención primaria que le correspondan, de manera articulada con la entidad territorial.

• Indicadores de resultados en salud de los afiliados.

Adicionalmente, las entidades deberán realizar valoraciones complementarias que permitan establecer factores de riesgo y causalidades específicas a su población. La identificación del riesgo en salud se debe realizar utilizando la información disponible, incluyendo la información del sistema integral de información de la protección social (SISPRO), de las entidades adscritas al Ministerio de Salud y Protección Social, la información propia de la entidad y las demás pertinentes para el análisis.

1.1.3. Evaluación y medición del riesgo en salud.

Para el desarrollo de la evaluación y medición de riesgos, las entidades deberán establecer la metodología para calcular el nivel de riesgo de los riesgos identificados en la etapa anterior, teniendo en cuenta el impacto de los mismos sobre la población y su probabilidad de ocurrencia. Se recomienda que la metodología contemple el desarrollo del análisis de brechas para los indicadores de salud y el análisis de caracterización de la población, teniendo como comparativo mínimo las metas distritales o departamentales y nacionales, o en su defecto los resultados sectoriales. Para los casos en los que no existan referentes normativos o metas públicas nacionales, las entidades podrán realizar análisis de distribución, u otros métodos escogidos por la misma, y determinar así sus metas institucionales.

Asimismo, la metodología deberá presentar métodos y herramientas específicas para establecer el riesgo inherente y estimar el riesgo neto una vez aplicados los tratamientos o controles.

Aquellas entidades que no tengan una medición de riesgo inherente inicial en el momento de la expedición de la presente circular, deberán iniciar con dicha medición. Por otro lado, aquellas que cuentan con una medición inicial, deberán desarrollar la estimación del riesgo neto después de aplicados los controles y las medidas de mitigación correspondientes al riesgo inherente.

La metodología deberá permitir aplicar una matriz de priorización de riesgos en salud acorde con los criterios de valoración definidos por la entidad y armonizados con los lineamientos, pautas e instrumentos en salud expedidos por las autoridades competentes en caso de que aplique, y las prioridades territoriales y poblacionales.

1.1.4. Tratamiento y control del riesgo en salud.

Para la selección de métodos de tratamiento y controles, la entidad deberá contar con una metodología que le permita de forma sistemática y holística, identificar y seleccionar medidas de tratamiento y control de los riesgos en salud más costo efectivas para la gestión en salud de su población, incluyendo estrategias para el mantenimiento de la población sana, de acuerdo con el territorio.

Se consideran como elementos mínimos para la selección e implementación de tratamiento y controles los siguientes:

• La definición y evaluación sistemática y periódica de indicadores de salud de la población afiliada con el fin de monitorear el logro de las metas, los límites de aceptación para los riesgos en salud identificados acorde con la escala establecida por la entidad.

• El desarrollo de planes o programas individuales y colectivos de salud orientados a intervenir condiciones de riesgo acorde con la clasificación específica del riesgo del individuo, con el fin de abordarlos y mitigarlos.

• El diseño e implementación de planes o programas de autocuidado del paciente, teniendo en cuenta el entorno y la cultura.

• El diseño de planes o programas de intervención sobre enfermedades crónicas priorizadas por la entidad, con el propósito de disminuir su prevalencia.

• La planificación, organización y gestión de la red de servicios requerida para atender las necesidades de la población afiliada.

• La utilización de modelos de contratación y mecanismos de pago orientados a la obtención de resultados en salud y pago por desempeño e incentivos, los cuales deben ir articulados con el modelo de atención en salud planteado por la entidad.

• La implementación de actividades para la gestión de la oferta y la demanda de servicios de salud de la población afiliada.

• La evaluación y seguimiento de la articulación de los procesos y procedimientos institucionales que facilitan el acceso a los servicios de salud.

• La implementación de jornadas de capacitación a su red de prestadores de servicios de salud, haciendo énfasis en el procedimiento de evaluación y adherencia de guías y protocolos de práctica clínica, normas técnicas, lineamientos y orientaciones.

• Realizar el monitoreo y evaluación de los resultados en salud en su población objeto de planes y programas. Para aquellos factores de riesgo en salud que haya identificado como prioritarios y sea sujeto de tratamientos y controles, realice medición de impacto y efectividad de las actividades implementadas.

2. Gestión del riesgo actuarial.

Se entiende por riesgo actuarial la posibilidad de incurrir en pérdidas económicas debido a la ocurrencia de diferentes sucesos futuros e inciertos, como, por ejemplo:

— Riesgos de concentración y hechos catastróficos: Corresponde a la posibilidad de pérdida en que puede incurrir una entidad como consecuencia de una concentración de riesgos, bien sea por género, grupos etarios, regiones, patologías, por la ocurrencia de hechos catastróficos o situaciones similares que afecten un número elevado de afiliados.

— Riesgos de incremento inesperado en los índices de morbi mortalidad y en los costos de atención: Corresponde a la posibilidad de pérdida que se genera como consecuencia de variaciones considerables en las condiciones de morbi mortalidad de la población afiliada, así como pérdidas derivadas de incrementos inesperados en los costos de atención.

— Riesgos de cambios tecnológicos: Corresponde a la posibilidad de pérdida debido a la incorporación de nuevas tecnologías, que requieran incrementos en la financiación del plan de beneficios.

— Riesgos de insuficiencia de reservas técnicas: Posibilidad de pérdida como consecuencia de una subestimación en el cálculo de las reservas técnicas y otras obligaciones contractuales (servicios autorizados y servicios facturados).

— Riesgo de tarifación: Posibilidad de pérdida como consecuencia que las tarifas o precios de los planes voluntarios de salud (aquellos planes diferentes al plan de beneficios en salud con cargo a la unidad de pago por capitación (PBSUPC), antes POS) calculados por la entidad, resulten insuficientes para cubrir las obligaciones futuras que de ellos se deriven. Lo anterior aplica solamente a las entidades que cuentan con algún plan complementario de salud autorizado.

Teniendo en cuenta la anterior definición, las políticas de gestión de riesgo actuarial deben considerar la forma en que se relacionan con las políticas de gestión del capital de la entidad, esto no implica el uso de un modelo de capital económico, pero sí requiere que, dada la naturaleza y el tamaño del negocio, los requerimientos de capital asociados a pérdidas inesperadas, estén contemplados en los modelos de tarifación (en los planes voluntarios de salud) y de reservas en el marco de lo establecido en el modelo de atención diseñado por la entidad.

2.1. Ciclo general de gestión del riesgo actuarial.

Para la gestión del riesgo actuarial inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el subsistema de administración de riesgo actuarial que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

2.1.1. Identificación del riesgo actuarial.

El subsistema de administración del riesgo actuarial debe permitir a la entidad definir e identificar el riesgo actuarial teniendo en cuenta, como mínimo, las siguientes consideraciones relevantes:

• Proyectar la evolución de los ingresos de acuerdo con la caracterización y conocimiento de su población afiliada teniendo en cuenta los aspectos geográficos, etarios, demográficos y demás, acorde con la estructura de ponderadores de la UPC.

• Caracterizar la situación de morbi mortalidad, de acuerdo con la normatividad, lineamientos, pautas e instrumentos en salud expedidos por las autoridades competentes en caso de que aplique, y las prioridades territoriales y poblacionales.

• Identificar posibles hechos catastróficos como epidemias, desastres naturales, o situaciones similares que afecten a un número elevado de afiliados, teniendo en cuenta que, aunque este riesgo está cubierto por la cuenta ECAT, puede generar a la entidad gastos marginales asociados a estos eventos.

• Identificar los costos de atención y de los servicios a prestar de la población afiliada, contenidos en el plan de beneficios en salud con cargo a la unidad de pago por capitación (PBSUPC).

• Identificar posibles incorporaciones tecnológicas, medicamentos, entre otros.

• Evaluar el comportamiento de la variabilidad del gasto que tenga la entidad.

• Para las entidades que cuentan con planes de atención complementario de salud (PAC) autorizado debe incluir además de lo anterior, los ingresos y los costos de estos planes.

2.1.2. Evaluación y medición del riesgo actuarial.

El subsistema de administración del riesgo actuarial debe permitir a la entidad:

• Anticipar incrementos inesperados en los índices de morbi mortalidad y por ende en los costos de atención que afecten la capacidad de financiamiento de las entidades aseguradoras.

• Realizar proyecciones que incluyan los posibles impactos y la ocurrencia, entre otros, de los factores de riesgo asociados a la concentración, hechos catastróficos, incrementos en los costos de nueva tecnología y el cambio del perfil sociodemográfico de la población, que pueden tener efectos sobre la frecuencia y características de la demanda de servicios de salud.

• Calcular y verificar la correcta constitución de las reservas técnicas de acuerdo con la reglamentación vigente expedida por el Ministerio de Salud y Protección Social y por la Superintendencia Nacional de Salud. Además de evaluar la suficiencia de estas.

• Evaluar la razonabilidad de las reservas técnicas a partir de la construcción de modelos actuariales que permitan verificar la suficiencia de estas.

• Construcción de modelos de cuantificación que contemplen de manera adecuada, las pérdidas esperadas e inesperadas, a las que se encuentra expuesta la entidad.

Los modelos que se adopten para calcular estas pérdidas deben contar con los siguientes parámetros:

• La probabilidad de ocurrencia del siniestro (materialización del riesgo) en la unidad de tiempo (frecuencia).

• Los asociados con cada distribución que mejor defina la cuantía de la pérdida (severidad).

• El nivel de exposición del riesgo en la unidad de tiempo.

2.1.3. Tratamiento y control del riesgo actuarial.

El subsistema de administración del riesgo actuarial debe permitir a la entidad tomar medidas adecuadas para controlar el riesgo actuarial, entre ellas:

• Establecer y actualizar periódicamente las políticas y los procesos actuariales, teniendo en cuenta los cambios que se presenten en el sector.

• Hacer una traza de las medidas tomadas por la administración, en respuesta a los problemas identificados y a las recomendaciones efectuadas.

• Realizar pruebas de estrés (Stress-Testing) y ejercicios de autocomprobación (Back-Testing)(2) sobre los modelos actuariales utilizados para establecer los niveles adecuados de reservas técnicas, y de esta manera realizar los ajustes correspondientes.

• Adoptar medidas para mitigar las potenciales pérdidas asociadas a un aumento inesperado de los costos de la atención en salud. Además de esta evaluación periódica, se debe realizar un análisis anual detallado donde se consolide toda la información de los anteriores puntos referenciados.

• Realizar controles de calidad a los sistemas de información de la entidad.

• Cuando la entidad utiliza los reaseguros como mecanismo de gestión del riesgo actuarial, debe tener una política formalmente establecida respecto al tipo de contrato del reaseguro a realizar, los montos o niveles de cesión de riesgos hacia los reaseguradores y los requisitos que se exigirán a los reaseguradores para operar con la entidad, tales como la calificación de riesgo y la experiencia en las coberturas de riesgos ofrecidas.

3. Gestión del riesgo de crédito.

El riesgo de crédito corresponde a la posibilidad que una entidad incurra en pérdidas como consecuencia del incumplimiento de las obligaciones por parte de sus deudores en los términos acordados, como, por ejemplo, monto, plazo y demás condiciones.

Teniendo en cuenta la anterior definición, las entidades deben evaluar permanentemente el riesgo inherente que sus activos pierdan valor, como consecuencia que un deudor o contraparte incumpla sus obligaciones. Es así como dentro de esta evaluación debe incorporar oportunamente los cambios significativos de las condiciones de cumplimiento de sus deudores. Para esto, la entidad deberá desarrollar políticas, procedimientos y mecanismos idóneos que le permiten llevar a cabo en forma oportuna el ciclo general de gestión de este riesgo particular.

3.1. Ciclo de gestión de riesgo de crédito.

Para la gestión del riesgo de crédito inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el subsistema de administración de riesgo de crédito que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

La entidad deberá incorporar dentro de sus procesos y procedimientos internos para la gestión del riesgo de crédito, los siguientes aspectos específicos:

• Una evaluación de riesgo por contraparte (incluyendo los instrumentos financieros, tratándose de inversiones) y límites de exposición por contraparte asociadas a la evaluación de riesgos realizada. La entidad podrá realizar una evaluación agrupando activos sobre la base de características y perfiles de riesgo similares, pero deberá realizar esta evaluación en forma individual si el activo es significativo.

• La definición de procedimientos específicos de seguimiento y cobranza de las deudas y el establecimiento de mecanismos apropiados de negociación y recuperación de deudas que se encuentran en incumplimiento.

• Una estrategia de gestión de glosas ante la ADRES (o la entidad que ejerza sus funciones) o ante las entidades territoriales según sea el caso. La definición de la estrategia de gestión de glosas se debe formular en función del análisis histórico y consecuente caracterización de las mismas para determinar procesos específicos de actuación ante cada tipo de glosa.

• La verificación se debe realizar al menos trimestralmente, para que el modelo de cálculo de deterioros/provisiones por riesgo de crédito, sea adecuado para reflejar las potenciales pérdidas a las que está expuesta la entidad por el incumplimiento de las contrapartes y que se ajusta a la normatividad vigente.

• Las bases de datos que sean utilizadas en el proceso de diseño de los modelos que utiliza la entidad para la administración del riesgo crediticio se sugiere que tengan una historia mínima de cinco (5) años. En caso de no cumplirse con el tiempo recomendado, la entidad deberá preparar un plan de ajuste en el cual se expongan los procedimientos y fechas en las cuales se logrará cumplir con esta recomendación. A partir de la infraestructura tecnológica y de los sistemas necesarios para garantizar la adecuada administración del riesgo de crédito se deben generar informes confiables sobre dicha labor.

3.1.1. Identificación del riesgo de crédito.

Para la identificación de este riesgo, los aspectos mínimos a considerar por parte de la entidad parten de definir los tipos de activos expuestos a este riesgo, como mínimo las cuentas por cobrar y los instrumentos financieros. Estos últimos incluyen:

• Cuentas de bancos y fondos de inversión colectivas (FIC, antes carteras colectivas) tales como: cuentas corrientes; cuentas de ahorros; cuentas maestras de recaudo; FIC abiertos, del mercado monetario; carteras colectivas cerradas; y otros tipos de encargos fiduciarios o fondos de inversión, fideicomisos, fondos de inversión colectiva inmobiliarios y/o fondos de capital privado, entre otros, siendo locales o extranjeros.

• Instrumentos inscritos en el mercado de valores de Colombia, tales como títulos de deuda pública emitidos o garantizados por la Nación o por el Banco de la República; títulos de renta fija emitidos, aceptados, garantizados o avalados por entidades vigiladas por la Superintendencia Financiera de Colombia, Fogafín y Fogacoop.

• Todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras.

3.1.2. Evaluación y medición del riesgo de crédito.

El subsistema de administración de riesgo de crédito debe evaluar las pérdidas estimadas como resultado del incumplimiento de sus contrapartes. Dentro del subsistema, la entidad puede diseñar modelos para diferentes tipos de activos expuestos a este riesgo, dentro de los cuales deberá contemplar la estimación de los siguientes elementos:

• La probabilidad de incumplimiento de los deudores dentro de un periodo de tiempo de 12 meses.

• La estimación de la pérdida esperada en que incurriría la entidad dado el incumplimiento. En este elemento se debe considerar tanto el valor expuesto del activo (saldo de la obligación o valor neto del activo) en el momento del incumplimiento, como la tasa de recuperación del valor del activo una vez se ha materializado el incumplimiento, la cual debe contemplar las recuperaciones efectivas que se han realizado sobre estos incumplimientos en los últimos 3 años y la existencia e idoneidad de las garantías, si las hubiese.

Para estimar la probabilidad que el deudor/contraparte no cumpla con sus obligaciones en los términos acordados, se recomienda que la entidad tenga en cuenta como mínimo los siguientes aspectos:

i. En el caso de los deudores/cuentas por cobrar:

• Análisis históricos de las cuentas por cobrar de cada deudor según plazos y cumplimiento de pago.

• La calidad del deudor y el plazo de la cartera: a mayor concentración de las deudas de mayor plazo, mayor el riesgo asociado al deudor.

• Adicional al análisis individual por deudor, se recomienda realizar un análisis segmentado por línea de negocio (en tanto la entidad desarrolle varias actividades dentro del sector como aseguramiento obligatorio, voluntario, prestación de servicios de salud) y el concepto generador de la obligación, en el caso de las cuentas por cobrar.

• En el caso específico de las cuentas por cobrar a la ADRES (o quien haga sus veces), análisis de series históricas según tipos de glosa y su tasa de recuperación. Se sugiere sustentar este análisis en información histórica de por lo menos los últimos 5 años.

• Estimar las posibles pérdidas que resulten de incumplimientos de pago frente a prestaciones realizadas u obligaciones generadas, las cuales involucran entre otros elementos, la evaluación de deterioros o posteriores valoraciones de acuerdo con las políticas contables que sobre los instrumentos financieros haya escogido la entidad, específicamente en las cuentas por cobrar.

ii. En el caso de los instrumentos financieros, se recomienda que la entidad:

• Clasifique la seguridad del activo con fundamento en la calificación de crédito emitida por agencias calificadoras de riesgo tanto para el activo de renta fija como para el emisor, ya que estas calificaciones reflejan las probabilidades de incumplimiento de los activos en cada categoría de calificación.

• Asigne factores de riesgo en función de las probabilidades de incumplimiento para cada categoría de seguridad del activo. De no disponer de estudios propios que evalúen estas probabilidades de incumplimiento para los diferentes emisores y tipos de instrumentos financieros, se puede tomar como referencia los ponderadores que se mencionan en el Decreto 2954 de 2010 del MHCP o sus modificatorias, por el cual se modificó el Decreto 2555 de 2010 y se establece el régimen de patrimonio adecuado para las entidades aseguradoras.

3.1.3. Tratamiento y control del riesgo de crédito.

Las entidades deberán contemplar dentro de este subsistema de administración y gestión de riesgo mecanismos de tratamiento y control del riesgo de crédito, los cuales deben ser aplicados de forma continua. Su frecuencia y criterios de calificación deberán definirse de acuerdo con las políticas de gestión del riesgo que esté dispuesto a asumir cada entidad.

Se consideran buenas prácticas de gestión para el tratamiento y control del riesgo de crédito las siguientes acciones, las cuales por su naturaleza deberán ser refrendadas en los aspectos específicos de la política de gestión del riesgo de crédito de la entidad.

3.1.3.1. Límites de exposición crediticia y de pérdida tolerada.

Las políticas de gestión del riesgo deben establecer lineamientos para la fijación de niveles y límites de exposición (iniciales y potenciales) de los créditos totales, individuales y por portafolios de inversión, así como de los límites de concentración por deudor, sector o grupo económico. Asimismo, para establecer porcentajes máximos de tenencia de activos de la categoría más riesgosa y mínimos de los activos de máxima seguridad.

3.1.3.2. Deterioro de los activos.

Las políticas de gestión del riesgo deben establecer un sistema de cubrimiento del riesgo de crédito por medio de provisiones o deterioro de los activos generales e individuales que permitan absorber las pérdidas esperadas derivadas de la exposición crediticia de la entidad y estimadas mediante las metodologías y análisis desarrollados para la gestión de riesgo de crédito. En todo caso, el sistema de deterioro desarrollado debe estar alineado con el cumplimiento de las normas que se encuentren vigentes sobre la materia y debe establecerse como política contable calculado en función de la pérdida esperada.

3.1.3.3. Capital basado en riesgo.

El capital basado en riesgo de crédito corresponde a la estimación del nivel de patrimonio necesario para absorber las pérdidas no esperadas de la entidad debido a incumplimientos de las obligaciones por parte de sus deudores. En este sentido, se recomienda como medida prudencial que las entidades realicen un proceso de estimación de este capital con metodologías internas y acorde con las políticas de gestión del riesgo de crédito aprobadas.

3.1.3.4. Recuperación de cartera.

Las entidades deben establecer políticas y procedimientos que les permitan tomar medidas oportunamente para enfrentar incumplimientos con el objeto de minimizar las pérdidas. El diseño debe partir como mínimo de la base histórica de recuperaciones y las variables críticas que determinen la minimización de las pérdidas o castigos a la cartera. La información sobre los resultados de estas políticas debe ser almacenada como insumo para el afinamiento de los modelos desarrollados para el seguimiento y estimación de pérdidas, así como para alimentar las proyecciones de flujos de caja que permiten gestionar a su vez, el riesgo de liquidez.

4. Gestión del riesgo de liquidez.

El riesgo de liquidez corresponde a la posibilidad que una entidad no cuente con recursos líquidos para cumplir con sus obligaciones de pago tanto en el corto (riesgo inminente) como en el mediano y largo plazo (riesgo latente).

Como consecuencia de las actividades y operaciones diarias, las entidades se ven expuestas a este riesgo de liquidez. La gestión de liquidez de la entidad está correlacionada con:

• Una adecuada recuperación de cartera (gestión de riesgo de crédito).

• Una adecuada modelación y monitoreo a las volatilidades del mercado financiero (gestión de riesgo de mercado) y,

• Un adecuado manejo en el flujo de los recursos del sistema, es decir la razón combinada entre los servicios prestados y los ingresos por UPC (gestión del riesgo actuarial).

La materialización del riesgo de liquidez genera necesidades de recursos líquidos(3) por parte de las entidades, las cuales pueden verse impedidas a realizar los pagos a los prestadores de servicios de salud o demás proveedores, lo que podría conllevar, entre otras consecuencias, a deficiencias en la prestación del servicio de salud, tales como: no asignación de citas, retraso en los servicios, entre otros. Lo expuesto, puede conllevar a un riesgo sistémico(4) y afectar la percepción de los usuarios al servicio de salud y la viabilidad financiera de las entidades del sector.

Con el objetivo de evitar que las situaciones antes descritas se materialicen, la Superintendencia Nacional de Salud considera necesario que las entidades desarrollen e implementen un subsistema de administración de riesgo de liquidez, que les permita identificar, medir, controlar y monitorear eficazmente este riesgo. Este subsistema de administración les debe permitir tomar decisiones oportunas para mitigar este riesgo.

4.1. Ciclo de gestión de riesgo de liquidez.

Para la gestión de este riesgo inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el subsistema de administración de riesgo de liquidez que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

4.1.1. Identificación del riesgo de liquidez.

El subsistema de administración de riesgo de liquidez debe permitir a las entidades definir e identificar el riesgo de liquidez al que están expuestas las entidades en función de los flujos de ingresos y egresos de efectivo y equivalentes de efectivo, de acuerdo con las operaciones autorizadas.

Para realizar la identificación y cuantificación del riesgo de liquidez la entidad debe disponer de la mejor información para efectos de realizar las proyecciones de todos los flujos netos de activos y pasivos o de ingresos y egresos, y debe contar como mínimo con lo siguiente para poder analizar los posibles descalces:

Activos:

• Identificar los activos considerados como líquidos (aquellos que proveen a la entidad de liquidez inmediata). Se recomienda incluir dentro de estos como mínimo, el disponible que esté consignado en bancos y/o inversiones en fondos de inversión colectiva (FIC) en las siguientes modalidades: cuenta corriente, cuenta de ahorros (cuenta maestra de recaudo), FIC abiertos, del mercado monetario y cualquier otro tipo de encargo fiduciario o fondo de inversión, fideicomiso, fondos de inversión colectiva de inmobiliarios y fondos de capital privado que no tengan restricciones para el retiro inmediato de recursos (sin pacto de permanencia). Asimismo, se debe identificar todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras, públicas o privadas, que considere de fácil realización (activos que forman parte del portafolio de inversiones de la entidad y que no tengan ninguna restricción de movilidad ni que estén sujetos a algún tipo de gravamen, medida preventiva o de cualquier naturaleza, que impida su libre cesión o transferencia).

• Identificar los recursos y plazos de recuperación de cartera (cuentas por cobrar). Tener en cuenta el comportamiento histórico de cartera vencida para aplicar factores de descuento o de castigo, en los casos que considere necesario para obtener una aproximación mucho más cercana a la realidad.

• Identificar los ingresos por unidad de pago por capitación (UPC), ingresos por cuotas moderadoras y copagos.

• Proyectar cualquier movimiento de entradas futuras de efectivo por cualquier concepto, entre los cuales puede estar el portafolio de inversiones: vencimiento de títulos de renta fija o de operaciones, cobro de cupones, rendimientos de un CDT, dividendos en efectivo, entre otros flujos que se esperan recibir.

Pasivos:

• Identificar las cuentas por pagar bajo cualquier concepto.

• Proyectar cualquier movimiento de salidas futuras de efectivo bajo cualquier concepto, entre los cuales pueden presentarse por la emisión de instrumentos financieros, el pago de cupones de emisiones de deuda por renta fija, el pago de dividendos por acciones emitidas, entre otros.

4.1.2. Evaluación y medición del riesgo de liquidez.

El subsistema de administración de riesgo de liquidez debe permitir a las entidades cuantificar el nivel mínimo diario de efectivo o equivalentes de efectivo requerido, en moneda nacional y/o extranjera, de acuerdo con la normatividad vigente, que le permita cumplir de manera oportuna con sus obligaciones de pago.

Es decir que las entidades deben estar en capacidad de medir y proyectar los flujos de caja de sus activos y pasivos, en diferentes horizontes de tiempo, tanto en un escenario en condiciones normales como en un escenario de crisis bajo hipótesis razonables (stress Testing), en el que los flujos de caja se alejan significativamente de lo esperado, por efecto de cambios imprevistos en el entorno de los mercados, de la entidad o de ambos, y de esta manera, poder calcular sus necesidades de liquidez.

Para la medición del riesgo de liquidez se requiere que la entidad aplique un “test de liquidez” periódicamente con el fin de identificar potenciales necesidades de liquidez o recursos líquidos para cubrir sus flujos de pago y las causas de potenciales situaciones de iliquidez. Uno de los principales objetivos de este test es que las entidades mejoren sus estimaciones conforme lo aplican frecuentemente y puedan prevenir potenciales situaciones adversas. Si bien algunos ingresos y/o egresos son más predecibles que otros, se busca que las estimaciones vayan mejorando a medida que estas se realizan y que con fundamento en las proyecciones de egresos se identifiquen los activos necesarios o recursos adicionales para poder cubrir estas estimaciones, de acuerdo con unos niveles de tolerancia de riesgo definidos.

Para estructurar el test de liquidez debe usar la información de los flujos de efectivo tanto de ingresos como de egresos, de acuerdo con los diferentes tipos de obligaciones y acreencias proyectándolos en un horizonte de tiempo de por lo menos tres (3) meses. Los periodos de proyección se pueden construir de forma diaria, semanal, mensual e incluso trimestral.

La proyección de ingresos y egresos estará basada en la mejor información disponible con la que cuente la entidad, y de acuerdo con supuestos y estimaciones propias, los cuales en todo caso deben ser explicitados y justificados técnicamente por la entidad. Para efectos de la determinación del riesgo inherente de liquidez, la entidad deberá establecer el superávit o déficit de liquidez, que corresponderá a la diferencia entre el monto total de ingresos y egresos de efectivo proyectados. Este monto se utilizará para el cálculo del indicador de liquidez.

Debido a que el riesgo será mayor en aquellas entidades cuyas proyecciones sean más volátiles o que incorporen una mayor incertidumbre, y que a su vez cuenten con menores recursos líquidos para cubrir sus necesidades, las técnicas de modelación deben abordar como mínimo los siguientes elementos críticos:

• Identificación y caracterización de los conceptos de ingresos y egresos más volátiles.

• Identificación y caracterización de los recursos líquidos para cubrir las necesidades de liquidez, teniendo en cuenta factores de descuento cuando se considere necesario.

Es así como las entidades deberán identificar descalces en distintos horizontes de tiempo y realizar un análisis de la liquidez, que les permitan crear señales de alerta temprana y establecer límites encaminados a evitar la materialización de riesgos asociados como el riesgo de crédito, mercado y actuarial.

Independientemente que las entidades cuenten o no con modelos propios de proyección de flujos de caja, deberán reportar de manera mensual el archivo tipo FT018 que se encuentra en el literal F de la presente circular, información necesaria para la medición y el seguimiento de la posición de liquidez de cada entidad. Para las entidades que no cuentan con modelos propios, en el numeral 4.2 encontrarán la descripción y el desarrollo de una herramienta sencilla para proyectar los flujos de liquidez, la cual utiliza la información de las proyecciones de ingresos y egresos de efectivo que maneja la entidad y que encontrarán cargada en la página web de la Superintendencia a través de un archivo de Excel anexo “Modelo básico flujos de caja EPS.xlsx”. Esta herramienta ayuda de forma básica a identificar las necesidades de caja en el futuro y calcular el riesgo inherente de liquidez, considerando el total de activos líquidos con los que dispone la entidad para cubrir los flujos negativos (en los casos que se presenten) identificados en el ejercicio de proyección para el periodo determinado.

4.1.2.1. Herramienta básica para calcular la posición de liquidez.

La evaluación del riesgo inherente de liquidez se efectuará a través de la aplicación de un test de liquidez para cada una de las entidades, el cual debe ser propuesto por la entidad en su diseño de gestión de este riesgo. Sin embargo, para las entidades que aún no cuenten con modelos de liquidez o proyecciones de flujos de caja, a continuación, se describe el funcionamiento de un modelo básico de liquidez que les puede servir como guía de apoyo, la cual no es de obligatoria adopción. La entidad deberá tener a disposición de la superintendencia la herramienta que diseñó.

La herramienta ejemplo que propone la Superintendencia, (ver archivo de Excel cargado en la página web: “Modelo básico flujos de caja EPS.xlsx”), provee una estructura simple para procesar los resultados del test de liquidez. La evaluación se basa en la proyección de flujos de ingresos y egresos sobre la base de la mejor información disponible que tiene la entidad, así como también de sus expectativas y estimaciones propias, es decir se estiman los posibles flujos de entrada y salida de caja derivados de ingresos y egresos en diferentes períodos de tiempo futuros (se recomienda separar los flujos que provienen de la operación de los que no, tanto para las entradas como para las salidas de efectivo) y la diferencia entre ellos determinará las necesidades de liquidez de la entidad que requieran ser cubiertas de alguna manera (se identifica si existe o no algún déficit de liquidez).

A estas necesidades de liquidez se le agregan los activos líquidos con los que cuenta la entidad(5), para finalmente llegar a un monto de posición neta de liquidez y a un margen de liquidez que se calcula en relación con el monto total de egresos estimados.

Entre la categoría de activos líquidos se recomienda que la entidad identifique todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras que considere de fácil realización, es decir todos los activos que forman parte del portafolio de inversiones de la entidad y que no tienen ninguna restricción de movilidad ni que estén sujetos a algún tipo de gravamen, medida preventiva o de cualquier naturaleza, que impida su libre cesión, venta o transferencia.

En esta categoría se encuentra el disponible, las participaciones en fondos de inversión colectiva abiertos sin pacto de permanencia, las acciones inscritas en la bolsa de valores de Colombia que sean elegibles para ser objeto de operaciones repo, y las inversiones negociables y disponibles para la venta en títulos de renta fija, por ejemplo.

Los resultados de esta proyección de flujos se deben presentar de manera diaria para por lo menos las dos primeras semanas y de manera semanal para por lo menos el primer mes, de forma tal que se identifican y orientan más adecuadamente las medidas correctivas a implementar, al tener un mayor seguimiento a los flujos de corto plazo.

Utilizando la herramienta básica, el proceso para evaluar el riesgo de liquidez será el siguiente. Tenga en cuenta que los campos señalados con color rojo son los que estarán disponibles para modificar, mientras que los demás campos están ya formulados y bloqueados:

En la hoja “Parámetros” la entidad puede seleccionar los períodos de tiempo a trabajar para la proyección. La versión actual de la hoja de cálculo es apta para cuatro selecciones posibles (1: días, 2: semanal, 3: mensual, 4: trimestral) y hasta tres fases de tiempo pueden ser construidos en una proyección. Por ejemplo, en la parametrización inicial de la herramienta, se encuentra seleccionado un período de tiempo diario durante los primeros quince (15) días, después semanalmente durante tres (3) semanas y posteriormente cada mes. El horizonte de tiempo mínimo requerido para las proyecciones es de 3 meses y el máximo de periodos acumulados permitido es de 30, acumulando días, semanas, meses y trimestres, por lo que, de acuerdo con la parametrización inicial de la herramienta, para el periodo de meses se puede seleccionar hasta doce (12) meses para no superar el tope máximo de periodos y no tener que crear nuevas columnas para los periodos adicionales con los que cuenta la herramienta. En la casilla de validación, se verifica de forma automática que se cumple con estos dos requisitos antes de avanzar en la proyección.

Los flujos de caja proyectados para cada ítem se introducen en la hoja “Proyección flujo” de acuerdo con los periodos que se señalaron previamente en la hoja anterior, y el modelo le va indicando los días acumulados en función de los periodos seleccionados. Los ingresos y egresos del flujo de caja pueden incluir desgloses más detallados que correspondan al negocio y depende de la entidad (por ejemplo, como ingresos operacionales se pueden tomar las primas o UPC para aseguradores, o la venta de servicios para IPS o proveedores).

Por su parte, las salidas de efectivo se presentan por separado para los gastos operativos y administrativos de los relativos a los que no tienen que ver con la operación. Las entradas de efectivo también se separan entre los ingresos por la operación y los ingresos por inversiones (los flujos derivados de vencimientos contractuales de productos de inversión también se incluyen en esta etapa(6)).

Los ítems de desglose sugeridos son:

• Ingresos: Corresponde a ingresos de caja por dos conceptos:

• Ingresos del negocio por la operación de la entidad: En aseguradores corresponde a los ingresos por UPC, e ingresos por otros servicios, incluyendo copagos, cuotas moderadoras, etc.

• Otros ingresos: Incluyen todos los ingresos que no hacen parte de la operación como son las ganancias por inversiones, dividendos y participaciones, intereses, arrendamientos por inmuebles, y otros no relacionados con el negocio.

• Costos: Corresponde a egresos de caja por dos categorías:

• Costos de administración del SGSSS - POS y no POS: En este rubro se deben incluir los pagos previstos de contratos de prestación de servicios de las entidades por la administración del POS y no POS.

• Otros costos de salud: Se incluyen los costos por planes adicionales y la prestación de servicios de IPS propias.

• Gastos: Corresponde a egresos de caja por dos conceptos:

• Gastos de administración y de operación: En aseguradores corresponde a los egresos derivados del negocio, como sueldos y salarios, contribuciones, otros gastos de nómina elegibles y otros gastos administrativos y operacionales como gastos de mantenimiento, reparaciones y de transporte.

• Otros gastos no operativos: Incluyen todos los egresos que no hacen directamente parte del negocio de la entidad como son los gastos financieros, el impuesto a las ganancias y otros no relacionados con la operación del negocio.

• Impacto de operaciones de inversión: En estos rubros se incluyen tanto los pagos previstos de compras de activos de inversión o el ingreso de efectivo derivado de ventas de activos que se tengan planeadas.

• Resultados: Comprende tres rubros:

• Flujo de caja bruto: Es la diferencia (positiva o negativa entre todos los ingresos menos las erogaciones o salidas de efectivo), antes de inversiones o ventas.

• Resultado operativo neto antes de inversión o compras: Es la diferencia (positiva o negativa entre los ingresos operativos menos los costos y gastos administrativos y operacionales antes de inversiones o ventas).

• Resultado neto por periodo después de venta o compras de inversión: Corresponde al flujo de caja bruto menos gastos por disposición de activos más los ingresos por el mismo concepto.

• Resultado neto acumulado después de venta o compras de inversión: Es la acumulación de resultados netos por periodo después de venta o compras de inversión, es decir, sumado al resultado neto final del periodo inmediatamente anterior.

Cabe aclarar que los ítems incluidos en la herramienta solo son ilustrativos y, que, a manera de orientación, se referencia en paréntesis el concepto al código correspondiente basado en los catálogos de información financiera con fines de supervisión(7), aunque estas categorías no corresponden exactamente a las definiciones en las cuentas contables. Asimismo, cuentas que no acarrean cambios en liquidez, tales como ajustes contables y depreciaciones no deben ser incluidos en las proyecciones de liquidez.

Después de identificar los flujos de efectivo, se van acumulando automáticamente en cada periodo para identificar la cantidad total de activos líquidos que serían necesarios para garantizar los pagos proyectados en el caso que haya faltantes de efectivo (Ver hoja “Proyección acumulada”). Esta es una medición del riesgo inherente de liquidez para la entidad. Dado que los flujos de caja proyectados pueden ser bastante inciertos, en especial a largo plazo, se recomienda tener en cuenta haircuts, o márgenes de descuento para proporcionar un nivel suficiente de seguridad y más ajustado a la realidad dependiendo el tipo de activo y su fácil realización. Estas proyecciones tanto de flujo por periodo como acumuladas están enlazadas de forma automática con la hoja “Reporte”, el cual permite a las entidades diligenciar en parte el formato con la información necesaria y de obligatorio envío mensual a la Superintendencia Nacional de Salud (SNS), mediante el archivo tipo FT018, para reportar la posición de liquidez con fines de supervisión, el cual se describe en el literal f) Reportes y fuentes de información de la presente circular.

En esta hoja “Reporte”, lo único que se deben registrar son los saldos a la fecha de los activos líquidos realizables. La recomendación en este caso es identificar los activos que serían elegibles para mitigar riesgo de liquidez. Estos activos no son los incluidos en la hoja “Proyección”, que son los que se planean comprar o vender dentro del periodo de proyección. En este caso se identifican los activos que, en caso que sea necesario, son lo suficientemente líquidos para cubrir los faltantes de caja entre los que se debe reportar el disponible que esté consignado en bancos y/o inversiones en Fondos de Inversión Colectiva (FIC), en las siguientes modalidades: cuenta corriente, cuenta de ahorros (cuenta maestra de recaudo), FIC abiertos, del mercado monetario y cualquier otro tipo de encargo fiduciario o fondo de inversión, fideicomiso, fondos de inversión colectiva de inmobiliarios y fondos de capital privado que no tengan restricciones para el retiro inmediato de recursos (sin pacto de permanencia). Asimismo, se deben identificar todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras, públicas o privadas, que sean negociables o disponibles para la venta.

4.1.3. Tratamiento y control del riesgo de liquidez.

El subsistema de administración de riesgo de liquidez debe permitir a las entidades tomar medidas adecuadas para controlar el riesgo de liquidez al que se ven expuestas en las actividades propias de la entidad.

Estos controles, deberán guardar relación de acuerdo con el volumen y a la complejidad de la operación desarrollada y deberán estar aprobados y ser de conocimiento verificable por la junta directiva de la entidad, o quien haga sus veces.

Adicionalmente, debe permitir a las entidades realizar seguimiento continuo de su exposición al riesgo de liquidez mediante las alertas tempranas, los límites de exposición y los indicadores de liquidez que la entidad haya elaborado con el fin de monitorear y realizar los controles adecuadamente y a tiempo para evitar que el riesgo de liquidez pueda llegar a materializarse e impactar negativamente en los objetivos de la entidad.

Dicho seguimiento debe permitir la elaboración de reportes gerenciales y de monitoreo del riesgo de liquidez que evalúe los resultados de las estrategias de la entidad e incluyan el resumen de las posiciones que contribuyen significativamente a dicho riesgo.

A su vez, se deben establecer límites para mantener un nivel mínimo de activos líquidos, que estén acordes con el volumen de operaciones y tamaño de la entidad y sus necesidades de liquidez bajo condiciones normales del negocio y márgenes adicionales de liquidez para enfrentar situaciones de estrés.

Asimismo, las entidades deberán incluir mediciones de escenarios extremos (stress testing) y de back testing, como medios para verificar la precisión de las proyecciones obtenidas a través de los test y hacerlos parte del mismo para hacer ajustes posteriores.

Para mejorar la capacidad técnico-administrativa, el flujo de recursos y la calidad y disponibilidad de información necesaria para diseñar el flujo de efectivo se requiere como mínimo:

Sistema de información que permita la gestión del cobro de las cotizaciones y el análisis de su recaudo, para el caso de los afiliados del régimen contributivo. Así como, para los afiliados al régimen subsidiado el pago de UPC desde la ADRES, o quien haga sus veces, y los aportes del esfuerzo propio de las entidades territoriales.

Registro oportuno, de preferencia en línea, de los costos compartidos de la atención en el sistema (copagos y cuotas moderadoras).

Implementación de procesos orientados a garantizar el pago oportuno a las instituciones prestadores de servicios de salud.

Sistema que permita la radicación oportuna, de preferencia en línea, por parte de los proveedores, de las facturas correspondientes a los servicios realizados por los prestadores de servicios.

5. Gestión del riesgo de mercado de capitales.

El riesgo de mercado de capitales corresponde a la posibilidad de incurrir en pérdidas derivadas de un incremento no esperado, de sus obligaciones con acreedores tanto internos como externos, o la pérdida en el valor de sus activos, por causa de las variaciones en las tasas de interés, en la tasa de cambio o cualquier otro parámetro de referencia que afecte cualquier elemento de los estados financieros de la entidad.

La adopción del subsistema de administración de riesgo de mercado de capitales debe cumplir como mínimo con lo siguiente:

5.1. Ciclo general de gestión de riesgos de mercado de capitales.

Para la gestión del riesgo de mercado de capitales inherentes aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el subsistema de administración de riesgo de mercado de capitales que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

5.1.1. Identificación del riesgo de mercado de capitales.

El subsistema debe permitir a las entidades definir e identificar la exposición al riesgo de mercado de capitales al que se encuentran expuestas de acuerdo, con las siguientes acciones como mínimo:

i) Definir los factores de riesgo que generan exposición a este riesgo. Como mínimo las entidades deben considerar las tasas de interés, el precio de las acciones, el precio de bienes inmuebles y la tasa de cambio.

ii) Identificar los activos expuestos a la volatilidad de estas variables, como mínimo:

Respecto a los activos expuestos a la tasa de interés (instrumentos de renta fija principalmente), considerar al menos los siguientes: bonos ordinarios, bonos subordinados, bonos opcionalmente convertibles en acciones, bonos obligatoriamente convertibles en acciones, certificados de depósito a término (CDT), títulos de deuda pública (TES), bonos de capitalización, y demás inversiones que estén expuestos a este factor de riesgo, ya sea que estén inscritos o no en la bolsa de valores de Colombia (BVC).

Al considerar los activos expuestos al precio de las acciones (instrumentos de renta variable), por lo menos tener en cuenta acciones ordinarias, acciones preferenciales y demás inversiones que estén expuestos a este factor de riesgo, ya sea que estén inscritos o no en la BVC.

Entre los activos no monetarios que estarían expuestos a la variabilidad en el precio de los bienes inmuebles, contemplar los terrenos, así como las construcciones y edificaciones de la entidad.

Por último, considerar los activos y pasivos denominados en moneda extranjera a afectos de abordar la volatilidad de la tasa de cambio.

5.1.2. Evaluación y medición del riesgo de mercado de capitales.

El subsistema de administración del riesgo de mercado de capitales debe permitir a la entidad medir y cuantificar las posibles pérdidas esperadas derivadas de la exposición a este riesgo en particular. Para esta etapa del ciclo, las entidades deben tener como mínimo:

Detallar la correspondiente valoración de los activos y pasivos (el precio o valor de mercado), expuestos a los factores de riesgos identificados por la entidad y mencionados en el numeral anterior como mínimo, aplicando de manera adecuada las mediciones, reconocimiento, presentación y revelación en aplicación del respectivo marco técnico normativo de información financiera y contable.

Escoger y aplicar una metodología para valorar la exposición de cada factor de riesgo ante el riesgo de mercado de capitales, analizando de manera independiente las variaciones en la tasa de interés, tasa de cambio, precio de las acciones y precio de bienes inmuebles, como mínimo.

La entidad debe escoger la metodología que considere más apropiada para la medición, en función de la información disponible, personal encargado de la estimación y las políticas establecidas por la entidad en la gestión de este riesgo. Para ello, se recomienda analizar la información histórica de las variables que generan exposición al riesgo de mercado de capitales para un periodo de observación efectivo de por lo menos un (1) año.

Entre los posibles métodos de cálculo se encuentran: métodos paramétricos o no paramétricos tales como el valor en riesgo (VaR), simulaciones de Montecarlo, simulaciones históricas, entre otros.

Calcular el capital adecuado que guarde correspondencia con los niveles de riesgo de cada entidad para cubrir las pérdidas inesperadas para cada uno de los factores de riesgo del mercado de capitales (tasa de interés, tasa de cambio, precio de las acciones y precio de bienes inmuebles, como mínimo).

Agregar los requerimientos de capital de los diferentes factores de riesgo del mercado de capitales aplicando la correlación entre los mismos. De no disponer de información propia que le permita cuantificar esta correlación, podrá utilizar la propuesta dada por el modelo de solvencia más actualizado de la Unión Europea, las disposiciones de Basilea, lo normado por la Superintendencia Financiera de Colombia, entre otras.

5.1.3. Tratamiento y control del riesgo de mercado de capitales.

El subsistema de administración del riesgo de mercado de capitales debe permitir a la entidad tomar medidas adecuadas para controlar el riesgo de mercado de capitales al que se ve expuesta en el desarrollo de sus operaciones. Esta etapa debe cumplir con los siguientes requisitos mínimos:

Contar con un modelo de seguimiento de riesgo de mercado de capitales donde se identifiquen los criterios utilizados para calcular los niveles de exposición al riesgo, los factores de riesgo, la periodicidad de evaluación y las fuentes de información. Debe haber correspondencia entre el modelo y las características particulares de cada entidad, teniendo en cuenta el grado de complejidad y el volumen de las operaciones expuestas a este riesgo.

Dicho modelo debe estar en la capacidad de realizar mediciones que incorporen escenarios extremos (stress testing) en los diferentes factores de riesgo. Asimismo, cuando se presenten cambios estructurales en las variables que generan exposición a este riesgo, el modelo debe considerar estos movimientos en los factores de riesgo. Un ejemplo que se puede usar como referencia es el que se contempla en el sistema de administración de riesgo de mercado (SARM), de la Superintendencia Financiera de Colombia.

Permitir el control de los niveles de exposición a los diferentes factores de riesgo de mercado de capitales y especificar los límites máximos de exposición permitidos por la entidad y los planes de contingencia para los casos en los que se superen dichos límites.

Realizar pruebas de desempeño (back testing) del modelo interno para determinar la consistencia, precisión y confiabilidad del requerimiento de capital estimado para cubrir las pérdidas inesperadas.

Estos controles, deben corresponder a la complejidad de la operación y las características particulares de cada entidad y deben estar aprobados por la junta directiva, o quien haga sus veces.

6. Gestión del riesgo operacional.

El riesgo operacional corresponde a la posibilidad que una entidad presente desviaciones en los objetivos misionales de sus procesos como consecuencia de deficiencias, inadecuaciones o fallas en los procesos, en el recurso humano, en los sistemas tecnológicos y biomédicos, en la infraestructura, por fraude y corrupción, ya sea por causa interna o por la ocurrencia de acontecimientos externos, entre otros.

Es importante resaltar que, la anterior definición incluye una amplia variedad de factores de riesgo que pueden afectar los objetivos de las entidades, y que pueden materializarse como resultado de una deficiencia o ruptura en los controles internos o procesos de control, fallas tecnológicas, errores humanos, deshonestidad, prácticas inseguras y catástrofes naturales, entre otras causas, que afectan diferentes procesos, según las características propias de cada entidad.

Es así como los riesgos operacionales en la entidad pueden generar pérdidas de tres tipos:

i) Pérdidas en los resultados de salud de su población, los cuales, por su relevancia son tratados como riesgos en salud.

ii) Pérdidas en los resultados operativos esperados, incluyendo la satisfacción de la población.

iii) Pérdidas financieras en la entidad.

La adopción del subsistema de administración de riesgo operacional debe cumplir como mínimo con lo siguiente:

6.1. Ciclo general de gestión del riesgo operacional.

Para la gestión del riesgo operacional inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el subsistema de administración de riesgo operacional que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

6.1.1. Identificación del riesgo operacional.

El subsistema debe permitir a las entidades definir e identificar la exposición al riesgo operacional, por lo cual, en esta etapa se elabora un perfil de los procesos de las actividades de la entidad con las siguientes acciones:

Levantamiento y documentación de la totalidad de los procesos de la entidad, entre los cuales se deben encontrar los siguientes procesos relevantes para el cumplimiento de las funciones de la entidad:

Afiliaciones, recaudo y compensación

Auditoría de cuentas médicas

Facturación

Gestión del talento humano

Sistemas de información

Gestión de red de: prestadores de servicios de salud, de insumos y de medicamentos

Gestión financiera

Atención al usuario

Identificación de los eventos de riesgo operacional, potenciales y ocurridos, en cada uno de los procesos.

Identificar pérdidas en los resultados de salud de su población, los cuales, por su relevancia son tratados como riesgos en salud.

La etapa de identificación debe realizarse previamente a la implementación de nuevos procesos o a la modificación de cualquier proceso, así como en los casos de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.

Determinar potenciales pérdidas financieras en la entidad causadas por los eventos de riesgo operacional identificados.

Para la identificación, cada entidad debe tener su propio y único registro de eventos materializados de riesgo operacional, incluyendo las entidades con casa matriz en el exterior, con la información relacionada con los eventos de riesgo operacional presentados a nivel local. A continuación, se presenta la información relevante mínima que debe tener un registro de eventos de riesgo operativo:

1. Referencia: Código interno que relacione el evento en forma secuencial.

2. Proceso: Identificación del proceso donde se produjo el evento de riesgo, o se vio afectado.

3. Fecha de descubrimiento: Fecha en que se detecta el evento (Día, mes, año, hora).

4. Fecha de inicio: Fecha en la que el evento tiene su inicio (Día, mes, año, hora).

5. Fecha de finalización: Fecha en que finaliza el evento (Día, mes, año, hora).

6. Descripción del evento: Descripción detallada del evento.

7. Producto - servicio afectado: Identificación del producto o servicio al que el evento afecta.

8. Clase de evento: Especifique la clase de evento, según la clasificación adoptada (Fraude interno, fraude externo, relaciones laborales, clientes, daños a activos físicos, fallas tecnológicas, ejecución y administración de procesos, entre otros).

9. Tipo de pérdida: Identificación de la pérdida que origina el evento:

Genera pérdida y afecta el estado de resultados de la entidad.

Genera pérdida y no afecta el estado de resultados de la entidad.

No genera pérdidas.

10. Divisa: Moneda en la que se materializa el evento (COP, USD, entre otras).

11. Cuantía: Monto de dinero a la que asciende la pérdida. Este valor debe ser presentado en moneda legal, es decir, en pesos colombianos (COP). Si el evento se presenta en otra moneda diferente a la legal, se utiliza para el cambio la TRM del día en que se contabilizó la pérdida por el evento.

12. Cuantía total recuperada: Monto de dinero recuperado por acción directa de la entidad. Incluye cuantías recuperadas por seguros.

13. Cuantía recuperada por seguros: Corresponde al monto de dinero recuperado por el cubrimiento a través de un seguro.

14. Cuentas del plan de cuentas afectadas: Identifica las cuentas del “Plan de cuentas” afectadas.

15. Fecha de contabilización: Fecha en que se registra contablemente la pérdida por el evento (Día, mes, año, hora).

16. Datos del registro: Aquí se detalla quién diligenció el formato, la dependencia y fecha del mismo, así como nombre, firma y cargo de quien lo reporte.

Además de los campos descritos en este numeral, se pueden incorporar dentro del registro de eventos materializados de riesgo operacional otros adicionales que las entidades consideren relevantes para su gestión del riesgo operacional.

Asimismo, cabe mencionar que, dentro de todos los procesos de la entidad, se debe identificar que dentro del riesgo operacional se puede encontrar inmerso el riesgo de corrupción y opacidad, el cual puede impedir el funcionamiento efectivo de las instituciones, afectando directamente la misión y la visión de las entidades y el flujo normal y efectivo de los recursos, a través de acciones y actitudes contrarias a los valores y principios éticos que deben caracterizar a las personas en su conjunto, sean naturales o jurídicas y de carácter público o privado.

6.1.2. Evaluación y medición del riesgo operacional.

En esta etapa, el subsistema de administración de riesgo operacional debe medir la probabilidad de ocurrencia de un evento de riesgo operacional y su impacto en caso de materializarse. En caso de no contar con datos históricos se deberá realizar una aproximación cualitativa, y elaborar un plan de ajuste que posibilite la medición cuantitativa del riesgo posteriormente. Para esta etapa del ciclo, las entidades deben tener como mínimo lo siguiente:

Diseñar y aplicar la metodología de medición acorde con los eventos de riesgo operacional identificados procurando una medición del riesgo inherente individual y consolidada de la probabilidad de ocurrencia y del impacto, para así determinar el perfil de riesgo de la entidad.

Tener en cuenta dentro de la evaluación, los planes de contingencia y el plan de continuidad del negocio, todos los recursos (físicos, humanos, técnicos y financieros), necesarios para que cada entidad enfrente la exposición al riesgo operacional bajo cualquier eventualidad, de acuerdo con su tamaño y nivel de operaciones.

6.1.3. Tratamiento y control del riesgo operacional.

El subsistema de administración del riesgo operacional debe permitir a la entidad tomar medidas adecuadas para controlar el riesgo operacional inherente al que se ve expuesta en el desarrollo de sus operaciones con el fin de disminuir la probabilidad de ocurrencia y/o impacto en caso de que se materialicen.

Esta etapa debe cumplir con los siguientes requisitos mínimos:

Diseñar e implementar controles para cada proceso de manera que se pueda mitigar el riesgo inherente, ya sea mediante su probabilidad, impacto o ambos.

Incluir los controles diseñados dentro de las políticas y procedimientos de la entidad.

En cuanto a los riesgos que afecten la operación en condiciones normales de la entidad, esta debe implementar un plan de continuidad del negocio, aprobado por la junta directiva.

Adicionalmente, las entidades deben adoptar diferentes políticas y medidas encaminadas en implementar acciones para el fortalecimiento continuo de una cultura ética de integridad, transparencia y la lucha contra la corrupción. Los objetivos de estas políticas, medidas y acciones son prevenir, detectar y, cuando sea del caso, denunciar la corrupción que, en cualquiera de sus formas, eventualmente se pueda presentar, por parte o en contra de una entidad.

La implementación y seguimiento a estos riesgos van estrechamente ligados a las políticas, principios y valores institucionales establecidos en el gobierno organizacional (Código de conducta y de buen gobierno), de ahí la importancia de su implementación y mejoramiento continuo.

6.1.3.1. Plan de continuidad del negocio.

Las entidades deben definir, implementar, probar y mantener un proceso para administrar y asegurar la continuidad del negocio en situaciones de emergencia o desastre, incluyendo elementos como la prevención y la atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. Estas medidas deben contar con los siguientes elementos:

Identificación de eventos que pueden afectar la operación.

Actividades a realizar cuando se presentan las fallas.

Alternativas de operación.

Proceso de retorno a la actividad normal.

7. Gestión del riesgo de fallas de mercado.

El riesgo de fallas de mercado corresponde a la posibilidad que la estructura del mercado de salud genere pérdidas en el bienestar y beneficios de la entidad. Ejemplos: mercado monopólico u oligopólico; prácticas de competencia desleal (como lo son la selección de riesgo, barreras de acceso a los servicios, entre otros).

7.1. Ciclo general de gestión del riesgo de fallas de mercado.

Para la gestión del riesgo de fallas de mercado inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el subsistema de administración de riesgo de fallas de mercado que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

7.1.1. Identificación del riesgo de fallas de mercado.

Para la identificación de este riesgo, la entidad debe determinar las relaciones existentes, según los mercados de referencia de servicios o productos indicativos, con sus proveedores tales como prestadores, farmacéuticas, talento humano, dispositivos médicos, entre otros, con el fin de identificar las fallas de mercado presentes allí.

Para la selección de los servicios o productos indicativos se recomienda tener en consideración tecnologías comparables entre los diferentes mercados de referencia y la participación de estos servicios o productos en la frecuencia de uso y gasto o costo total de la entidad. Asimismo, pueden utilizar como referencia las rutas integrales de atención en salud RIAS y la caracterización de su población afiliada.

Teniendo en cuenta los mercados de referencia de servicios o productos indicativos y la oferta disponible para estos, la entidad debe identificar la presencia de fallas de mercado, entre otras, tales como:

Fallos de la competencia, presencia de monopolios y oligopolios, así como problemas de comportamiento de los agentes que impliquen, por ejemplo, colusiones orientadas a generar acuerdos de precios.

Asimetrías de información (información incompleta o imperfecta), que impidan hacer el seguimiento al cumplimiento contractual con los proveedores o impidan hacer gestión del riesgo individual de la población afiliada.

Existencia de integraciones verticales y horizontales, y grupos empresariales.

• Externalidades, generadas por personas o entidades que provocan impactos negativos afectando la eficiencia del mercado.

Mercados incompletos.

7.1.2. Evaluación y medición del riesgo de fallas de mercado.

La entidad debe establecer mecanismos para la medición y evaluación del riesgo de fallas de mercado, que le permita comparar resultados en mercados con fallas y sin fallas sobre puntos estratégicos donde se pueden observar los impactos en pérdidas de bienestar para la entidad. Algunos de estos puntos estratégicos son:

Los sobrecostos en la operación de la entidad derivados de las afectaciones en los precios transados.

Las limitaciones en la capacidad de la entidad de hacer el seguimiento a los acuerdos contractuales y gestionar su riesgo en salud derivado de la baja disponibilidad de información sobre los servicios prestados a los afiliados.

Las restricciones en la gestión del riesgo en salud y sobrecostos asociados al déficit de la oferta de servicios de salud respecto de la demanda de los mismos.

La reducción en la calidad de los servicios suministrados a los afiliados que pudieran llegar a generar menores resultados de salud.

Para lo cual la entidad, entre otros, debe contar con una base de datos completa y oportuna de composición de la oferta y precios de los servicios, medicamentos y otros insumos que contrata con terceros. Asimismo, debe contar con información que le permita calcular indicadores de gestión que le faciliten la comparación de mercados y evaluación del efecto de las fallas de mercado.

7.1.3. Tratamiento y control del riesgo de fallas de mercado.

Teniendo en cuenta la probabilidad e impacto de las diferentes fallas de mercado sobre las pérdidas de la entidad, se recomiendan las siguientes medidas:

Documentar procesos o procedimientos en la entidad para identificar actos o acuerdos contrarios a la libre competencia o que constituyan abuso de la posición dominante en el mercado. Asimismo, se deben adoptar políticas para informar sobre estas actividades a las autoridades competentes (por ejemplo, Superintendencia de Industria y Comercio).

Fortalecer la calidad y la oportunidad de la información de sus proveedores; así como velar por un flujo de información constante y de calidad sobre las prestaciones y desenlaces de salud de la población afiliada.

Fortalecer los sistemas de auditorías sobre la contratación, facturación, entre otros.

8. Gestión del riesgo de grupo.

El riesgo de grupo corresponde a la posibilidad de pérdida que surge como resultado de participaciones de capital o actividades u operaciones con entidades que forman parte del mismo grupo empresarial. Este se deriva de la exposición a fuentes de riesgo adicionales a las propias del negocio de la entidad, dentro de las que se encuentran, por ejemplo: i) riesgo de contagio financiero, ii) detrimentos patrimoniales por filtración de flujos o concentración de pasivos, iii) posibles conflictos de intereses, que generen condiciones desfavorables en las transacciones de la entidad. La exposición a las fuentes de riesgo puede ser directa, mediante exposición financiera u operativa, o indirecta, mediante daño a la reputación.

Mediante la supervisión de este riesgo, se continuará verificando el cumplimiento de lo establecido en el artículo 15 de la Ley 1122 de 2007, de acuerdo con los instrumentos y metodologías, adoptados por la superintendencia.

8.1. Ciclo general de gestión del riesgo de grupo.

Para la gestión del riesgo de grupo inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el subsistema de administración de riesgo de grupo que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

8.1.1. Identificación del riesgo de grupo.

Para la identificación de este riesgo la entidad debe determinar si esta hace parte de un grupo empresarial e identificar todos los miembros de su grupo definido en los términos legales de los artículos 260 y 261 del Código de Comercio, la Ley 222 de 1995 y sus modificatorias. Asimismo, debe tener en cuenta lo establecido en el marco de las normas internacionales de información financiera.

Adicionalmente, la entidad debe identificar las transacciones de índole financiera y administrativa que involucran de forma directa o indirecta los miembros de su grupo empresarial o partes vinculadas, con el fin de poder evaluar el impacto y probabilidad de ocurrencia de los mismos.

8.1.2. Evaluación y medición del riesgo de grupo.

La entidad debe establecer mecanismos para la medición y evaluación del riesgo de grupo teniendo en cuenta que, por el hecho de pertenecer a un grupo puede estar expuesta, entre otros, a:

• Riesgo de contagio, donde los resultados negativos en el ámbito financiero, calidad del servicio, entre otros, de los miembros del grupo empresarial y/o de las partes vinculadas impliquen algún estrés al interior de la entidad.

• Concentración del riesgo, donde un mismo tipo de riesgo se puede materializar en la entidad y otro miembro del grupo y/o parte vinculada al mismo tiempo.

• Posibles conflictos de intereses

Para la medición del impacto deben tenerse en cuenta los efectos sobre la fijación de precios, el flujo de información, la calidad en la atención en salud, la gestión contractual, entre otros.

8.1.3. Tratamiento y control del riesgo de grupo.

Teniendo en cuenta la probabilidad e impacto de las diferentes transacciones de la entidad con los miembros del grupo empresarial al cual pertenece sobre las pérdidas de la entidad, se recomiendan las siguientes medidas:

Incluir políticas en la entidad asociadas a la gestión y auditorías de transacciones con los miembros del grupo empresarial al cual pertenece o sus partes vinculadas.

Velar por la inscripción del grupo empresarial, al cual pertenece, en el registro mercantil de acuerdo con lo establecido en el artículo 30 de la Ley 222 de 1995.

Adicional a las políticas individuales, se debe verificar que la entidad controlante asegure la existencia de políticas internas del grupo empresarial y mecanismos de control y gestión de riesgos adecuados conforme a la estructura, negocios y perfil riesgos del grupo empresarial.

9. Gestión del riesgo reputacional.

El riesgo reputacional corresponde a la posibilidad de toda acción propia o de terceros, evento o situación que pueda afectar negativamente el buen nombre y prestigio de una entidad, tales como el impacto de la publicidad negativa sobre las prácticas comerciales, conducta o situación financiera de la entidad. Tal publicidad negativa, ya sea verdadera o no, puede mermar la confianza pública en la entidad, dar lugar a litigios costosos, o dar lugar a una disminución de su base de usuarios, clientes, negocios o los ingresos. Estos pueden ser desagregados, en situacional o previsto, de acuerdo con la capacidad de prevención-mitigación(8):

— Riesgo reputacional situacional: Riesgo reputacional inmediato derivado de una acción imposible de anticipar.

— Riesgo reputacional previsto: Riesgo reputacional derivado de eventos a los cuales la organización puede anticiparse con una gestión adecuada de los riesgos en salud, financieros, y operativos, así como mediante estrategias de comunicación.

9.1. Ciclo general de gestión del riesgo reputacional.

Para la gestión del riesgo reputacional inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el subsistema de administración de riesgo reputacional que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

9.1.1. Identificación del riesgo reputacional.

Para la identificación de este riesgo, la entidad debe construir un inventario de eventos que tengan posibles efectos sobre la reputación de la entidad. Para ello, se debe realizar la selección de los procesos, servicios y acciones que sean considerados estratégicos en formar reputación que sean cuantificables y que permitan la comparabilidad frente al sector.

Para tal inventario, se pueden considerar los siguientes eventos: aquellos eventos que afectan las ventas o los ingresos observados o potenciales (derivados de menores contratos, afiliaciones, deserciones), así como también costos asociados (por multas, compensaciones, demandas, entre otros), entre otros que identifique la entidad de sus procesos. Para la identificación de estos procesos, la entidad puede apoyarse en instrumentos que permitan conocer y entender los principales factores que afectan la percepción de los actores vinculados a la entidad.

9.1.2. Evaluación y medición del riesgo reputacional.

En esta etapa, la entidad debe establecer mecanismos para la medición y evaluación del riesgo reputacional en el sector, para lo cual se recomienda la adopción de herramientas que permitan valorar la posición de la entidad y comparar su evolución con respecto a variables relacionadas tales como desempeño visible, percepción de usuario, entre otros, con el fin de determinar la probabilidad y severidad de los eventos que afectan la reputación. Las mediciones pueden variar de acuerdo con la herramienta usada y pueden consistir en análisis descriptivos, ordenamientos, puntajes, entre otros.

Las fuentes de información para la medición del riesgo reputacional pueden ser los diferentes sistemas de recolección de peticiones, quejas, reclamos y denuncias (PQRD), las diversas encuestas sectoriales, las encuestas propias y la información de medios, entre otros.

Las siguientes son mediciones posibles, pero no exhaustivas, para la medición del riesgo reputacional:

• Encuestas de satisfacción: Por medio de encuestas a usuarios, se puede medir la lealtad de los mismos con la entidad y la satisfacción frente a su experiencia con el servicio. Se puede referir a herramientas como, por ejemplo, Net Promoter Score (NPS), Customer Effort Score (CES) y Customer Advocacy.

• Recolección de contenido en medios: Se utilizan reportes de redes sociales, prensa, noticias, televisión y radio, a través de la búsqueda de palabras clave y la detección de los sentimientos positivos y negativos hacia las entidades o marcas, la fuerza de la marca o la influencia de la misma.

La apropiada medición del riesgo reputacional debe tener en cuenta que:

La reputación es solo parcialmente construida con base en experiencias directas con la empresa; buena reputación se construye por la intervención de terceras partes, tales como medios, expertos del sector, usuarios, entre otros.

Las entidades no tienen absoluto control de los mensajes recibidos por las partes mencionadas anteriormente.

Los usuarios normalmente no perciben la complejidad en el proceso de toma de decisiones de las entidades.

La entidad normalmente cuenta con baja credibilidad cuando se enfrenta a una crisis que afecta su reputación, especialmente con relación a terceras partes reconocidas públicamente.

9.1.3. Tratamiento y control del riesgo reputacional.

Teniendo en cuenta la naturaleza de este riesgo, se recomiendan las siguientes medidas:

Incorporar en el Código de conducta y buen gobierno políticas encaminadas a la medición, evaluación y seguimiento continuo de la reputación de la entidad y la toma de acciones con el fin de mejorar los procesos que tienen relación directa o indirecta con la reputación.

Tomar acciones y decisiones en los procesos que permitan mejorar la percepción sobre la entidad por parte de los actores relacionados, como usuarios o proveedores, de acuerdo con las brechas que existan entre el resultado de la medición de reputación y el desempeño de la entidad.

Implementación de un protocolo de manejo de comunicaciones públicas y que se encuentre incluido o articulado con el plan de comunicaciones institucional.

Adopción de metodologías de valoración continua de su posición reputacional en el mercado, ya sea a través de rankings o de rastreo de medios o por encuestas propias.

Adicionalmente, debido a que los eventos de carácter reputacional están naturalmente asociados a la materialización de otros riesgos (salud, operación, financieros, entre otros), una adecuada gestión de estos debería mitigar también el riesgo reputacional asociado.

Asimismo, se debe tener en cuenta que las creencias, percepción y expectativas de las personas son cambiantes. La entidad debe implementar un sistema de alertas tempranas para identificar eventos de reputación negativa, que puede incluir acciones, tales como el monitoreo informal de medios, grupos de reacción rápida contra eventos de carácter reputacional, herramientas informáticas para rastrear potenciales tendencias en redes sociales y medios, entre otros. Asimismo, debe realizar un seguimiento permanente a los resultados y ordenamientos públicos.

f) Reportes y fuentes de información

Tal como se mencionó en numerales anteriores, tanto el Código de conducta y de buen gobierno, como las políticas, el manual de procesos y procedimientos de la entidad, las bases de datos utilizados para la modelación de los riesgos, y demás información, documentación y lineamientos que estén referenciados en esta circular, deben estar a disposición de la Superintendencia Nacional de Salud, la cual, en virtud de sus funciones de IVC, podrá requerir dicha información en cualquier momento.

Salvo para el riesgo de liquidez donde se debe reportar el archivo tipo FT018, no es necesario remitir ningún reporte adicional sobre la medición y exposición de los riesgos prioritarios a la SNS, a menos que esta así lo considere y requiera, posteriormente. La información frente a la exposición de riesgos prioritarios se obtendrá de la información reportada en la circular única y otras fuentes de información pública reportada por cada entidad.

Como se mencionó anteriormente, independientemente si la entidad cuenta con modelos de liquidez o no, la entidad está en la obligación de enviar mensualmente a la Superintendencia Nacional de Salud el siguiente archivo tipo a partir del corte de diciembre de 2018, por lo que el primer envío deben hacerlo máximo el 20 de febrero de 2019 con los cortes de diciembre de 2018 y enero de 2019.

Para el cargue mensual del archivo tipo FT018 se deben tener en cuenta las siguientes consideraciones:

— El presente archivo tipo debe ser remitido con la firma digital del representante legal, el contador público y el revisor fiscal, si aplica.

— La información se deberá reportar en pesos colombianos, sin decimales. En este sentido, cuando exista información a reportar que se encuentre denominada en moneda extranjera (activos o flujos contractuales), deberá ser expresada en pesos para su reporte, utilizando la tasa representativa del mercado (TRM) correspondiente al día de la fecha de corte.

— Los campos que no contengan valor o no apliquen, se deben reportar en cero.

— La información a reportar deberá ser consistente con las cifras registradas en los archivos tipo que hacen parte de la Circular Externa 16 de 2016.

— Los activos líquidos deben de ser reportados por su valor razonable o de mercado.

— Ningún valor debe ser ajustado por los factores de descuento que utilizaron en sus modelos (haircuts).

— Cabe recordar que dentro de los activos líquidos realizables se recomienda identificar además del disponible e inversiones en FIC abiertos sin pacto de permanencia, todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras, públicas o privadas, que considere de fácil realización, es decir todos los activos que forman parte del portafolio de inversiones de la entidad y que no tienen ninguna restricción de movilidad ni que estén sujetos a algún tipo de gravamen, medida preventiva o de cualquier naturaleza, que impida su libre cesión o transferencia.

— Nombre del archivo: NITDVPPANNOFFFFF.EXT, las sintaxis que componen el nombre del archivo deben estar unidas, sin caracteres de separación, y en el orden mencionado.

Donde:

NIT: Número de identificación tributaria de la entidad que reporta.

DV: Dígito de verificación.

PP: Periodo de corte de la información reportada (ver tabla periodos).

ANNO: Año de corte de la información reportada.

FFFFF: Número de archivo.

EXT: Extensión del archivo.

Archivo tipo FT018

Datos para el cálculo de la posición de liquidez

Tipo de entidad a la que aplica: Entidades promotoras de salud del régimen contributivo y entidades promotoras de salud del régimen subsidiado exceptuando las EPS indígenas (EPSI).

Periodicidad: Mensual.

Fecha de corte: Último día de cada mes.

Fecha del reporte: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del siguiente año.

ElementoFT018
IdentificadorAtributosDescripciónLongitud máximaRegistro permitido
1ingresoOper30dEntradas de caja derivadas del negocio proyectadas a 30 días Entradas de efectivo proyección acumulada a 30 días que son propias del negocio y de la operación 18Numérico
2ingresoOper60dEntradas de caja derivadas del negocio proyectadas a 60 días Entradas de efectivo proyección acumulada a 60 días que son propias del negocio y de la operación 18Numérico
3ingresoOper90dEntradas de caja derivadas del negocio proyectadas a 90 días Entradas de efectivo proyección acumulada a 90 días que son propias del negocio y de la operación 18Numérico
4ingresoOtro30dEntradas de caja por otros conceptos proyectadas a 30 días Entradas de efectivo proyección acumulada a 30 días que provienen de otros conceptos diferentes a la operación 18Numérico
5ingresoOtro60dEntradas de caja por otros conceptos proyectadas a 60 días Entradas de efectivo proyección acumulada a 60 días que provienen de otros conceptos diferentes a la operación 18Numérico
6ingresoOtro90dEntradas de caja por otros conceptos proyectadas a 90 días Entradas de efectivo proyección acumulada a 90 días que provienen de otros conceptos diferentes a la operación 18Numérico
7egresoOper30dSalidas de caja derivadas del negocio proyectadas a 30 días Salidas de efectivo proyección acumulada a 30 días que son propias del negocio y de la operación 18Numérico
8egresoOper60dSalidas de caja derivadas del negocio proyectadas a 60 días Salidas de efectivo proyección acumulada a 60 días que son propias del negocio y de la operación 18Numérico
9egresoOper90dSalidas de caja derivadas del negocio proyectadas a 90 días Salidas de efectivo proyección acumulada a 90 días que son propias del negocio y de la operación 18Numérico
10egresoOtro30dSalidas de caja por otros conceptos proyectadas a 30 días Salidas de efectivo proyección acumulada a 30 días que provienen de otros conceptos diferentes a la operación 18Numérico
11egresoOtro60dSalidas de caja por otros conceptos proyectadas a 60 días Salidas de efectivo proyección acumulada a 60 días que provienen de otros conceptos diferentes a la operación 18Numérico

ElementoFT018
IdentificadorAtributosDescripciónLongitud máximaRegistro permitido
12egresoOtro90dSalidas de caja por otros conceptos proyectadas a 90 días Salidas de efectivo proyección acumulada a 90 días que provienen de otros conceptos diferentes a la operación 18Numérico
13dispActivos30dDisposición de activos proyectada a 30 días Ingresos por disposición de activos (Ventas de activos planeadas) proyección acumulada a 30 días 18Numérico
14dispActivos60dDisposición de activos proyectada a 60 días Ingresos por disposición de activos (Ventas de activos planeadas) proyección acumulada a 60 días 18Numérico
15dispActivos90dDisposición de activos proyectada a 90 días Ingresos por disposición de activos (Ventas de activos planeadas) proyección acumulada a 90 días 18Numérico
16disponibleDisponible Saldo que se tiene en efectivo, correspondiente a los saldos de caja, cuentas de ahorro y corriente a la fecha de corte 18Numérico
17partFICParticipaciones en FIC abiertos sin pacto de permanencia Saldo que se tiene en las participaciones de Fondos de Inversión Colectiva abiertos sin pacto de permanencia a la fecha de corte 18Numérico
18invNegNacionInversiones negociables y DPV en títulos de deuda pública interna garantizados por la Nación Reporte el valor razonable o de mercado de las inversiones negociables y disponibles para la venta que tenga en títulos de deuda pública garantizados por la Nación - TES a la fecha de corte 18Numérico
19invNegPubExternaInversiones negociables y DPV en títulos de deuda pública externa Reporte el valor razonable o de mercado de las inversiones negociables y disponibles para la venta que tenga en títulos de deuda soberana externa a la fecha de corte 18Numérico
20invNegFogafinInversiones negociables y DPV en títulos emitidos por Fogafin Reporte el valor razonable o de mercado de las inversiones negociables y disponibles para la venta que tenga en títulos emitidos por Fogafin a la fecha de corte 18Numérico
21invNegPrivInternaInversiones negociables y DPV en títulos de deuda privada interna Reporte el valor razonable o de mercado de las inversiones negociables y disponibles para la venta que tenga en títulos de deuda emitidos por empresas privadas localmente a la fecha de corte 18Numérico
22invNegPrivExternaInversiones negociables y DPV en títulos de deuda privada externa Reporte el valor razonable o de mercado de las inversiones negociables y disponibles para la venta que tenga en títulos de deuda emitidos por empresas privadas externas a la fecha de corte 18Numérico
23invTitBVCInversiones negociables en títulos participativos inscritas en la BVC Reporte el valor razonable o de mercado de sus inversiones en acciones inscritas en la bolsa de valores de Colombia a la fecha de corte 18Numérico
24invParticExtInversiones Negociables en títulos participativos inscritas en el exterior Reporte el valor razonable o de mercado de sus inversiones en acciones inscritas en el exterior a la fecha de corte 18Numérico

g) Supervisión SNS

La Superintendencia Nacional de Salud (SNS), podrá solicitar información adicional con el fin de evaluar la idoneidad de las políticas de gestión de los riesgos; en este sentido, las entidades deberán tener a disposición toda la información relacionada, incluyendo los documentos de políticas, procedimientos, manuales, instrumentos e indicadores de seguimiento, entre otros, que plasmen el diseño y ejecución como mínimo para cada uno los subsistemas de administración de riesgos prioritarios.

Asimismo, la SNS podrá evaluar integralmente la aplicación del sistema integrado de gestión de riesgos y, en particular, en lo relacionado con los subsistemas de administración de los riesgos prioritarios y los diferentes cálculos de las pérdidas probables o esperadas para cada uno de los riesgos.

h) Período de transición

El período de transición para la implementación de lo dispuesto en esta circular se fija en un término máximo de doce (12) meses, contados a partir de la fecha de expedición de la presente circular, con el fin de que los agentes del sistema general de seguridad social en salud (SGSSS), a los que les aplica, se preparen y actualicen su sistema integral de gestión de riesgos.

Sin embargo, la implementación de los elementos descritos en el presente acto administrativo y el desarrollo de los componentes y lineamientos generales y específicos para cada uno de los subsistemas de administración de riesgos prioritarios cuenta con un plazo máximo para su implementación que será de la siguiente manera:

EtapasPlazo máximo
Riesgo en salud y riesgo actuarial 6 meses
Riesgo de crédito, riesgo de liquidez y riesgo de mercado de capitales 6 meses
Riesgo operacional y riesgo reputacional 12 meses
Riesgo de grupo y riesgo de fallas de mercado de salud 12 meses

Durante el plazo previsto, las entidades deberán, para cada categoría de riesgo, realizar el primer ciclo de la gestión de riesgos: identificación, evaluación y medición, tratamiento y control, seguimiento y monitoreo y dar cumplimiento a los términos definidos en la presente circular respecto a los lineamientos generales y específicos.

Cabe resaltar que los plazos máximos descritos para que las entidades completen cada una de las etapas, empezarán a regir a partir de la fecha de expedición de la presente circular.

Una vez culminados los plazos máximos estipulados, la Superintendencia Nacional de Salud realizará los requerimientos respectivos para verificar su cumplimiento. Los soportes y evidencias de cada una de las etapas y su plan de trabajo deberán mantenerse en todo momento y quedar a disposición de la SNS, para ser revisados y validar que cumplen con lo establecido en la presente circular, para fines de supervisión.

Asimismo, es importante resaltar que, durante el periodo de transición, la Superintendencia Nacional de Salud podrá en cualquier momento realizar visitas o hacer los requerimientos que considere necesarios para validar el plan de implementación que haya diseñado la entidad, el cronograma y sus avances (objetivos, estrategias, actividades, responsables y plazos), las políticas propuestas y los elementos de cada subsistema de administración de riesgo priorizado. Adicionalmente, es importante mencionar que el desarrollo e implementación de cada subsistema de riesgo no es excluyente, por lo que se recomienda avanzar en el desarrollo de todos los subsistemas priorizados de forma paralela, con el fin de ir articulando todo el sistema integral de gestión de riesgos y no trabajarlos de forma separada.

Para las entidades que, a la fecha de expedición de la presente circular, ya cuentan con los subsistemas de administración de riesgos prioritarios, los plazos mencionados anteriormente regirán para la respectiva actualización y homologación a que haya lugar para dar total cumplimiento con lo acá dispuesto, según los lineamientos mínimos mencionados en esta circular.

Por último, cabe aclarar que las entidades que posterior a la fecha de expedición de la presente circular sean habilitadas, deben contar por lo menos de manera documental con los subsistemas de administración de riesgos prioritarios y su medición cualitativa, por lo que los plazos mencionados anteriormente no le aplican. Posterior a su inicio de operaciones, deberán ir implementando la medición de los subsistemas de manera cuantitativa.

i) Vigencia

La presente circular rige a partir de su publicación y promulgación en el Diario Oficial. Las entidades obligadas al cumplimiento de lo dispuesto en esta circular deben adaptar sus procesos a las condiciones aquí establecidas, sin perjuicio del cumplimiento de la normatividad vigente.

j) Control al cumplimiento de la circular

De conformidad con lo establecido en los numerales 7º, 12 y 13 del artículo 130 y de acuerdo con el artículo 131 de la Ley 1438 de 2011, la inobservancia e incumplimiento de las instrucciones impartidas en esta circular, dará lugar a la imposición de multas hasta de 2.500 smlmv, a entidades que se encuentren dentro del ámbito de la vigilancia de esta superintendencia, así como a título personal hasta 200 smlmv, a los representantes legales de estas ya sean de carácter público o privado, directores o secretarios de salud o quienes hagan sus veces y demás funcionarios responsables de la administración y manejo de los recursos del sector salud, o a la revocatoria del certificado de habilitación de las entidades vigiladas, si a ello hubiere lugar, sin perjuicio de las acciones que le correspondan a otras autoridades competentes.

Dada en Bogotá, D.C., a 29 de junio de 2018.

Publíquese y cúmplase.

N. del D.: La presente circular externa va dirigida a entidades promotoras de salud (EPS) del régimen contributivo y subsidiado, y las entidades adaptadas, excluyendo las EPS indígenas (EPSI).

1 Definición basada en el Plan Decenal de Salud Pública del MSPS 2012-2021.

2 La prueba de estrés mide la incidencia, sobre un portafolio, de determinadas situaciones consideradas extremas en los mercados; mientras que el ejercicio de autocomprobación contrasta el grado de precisión del modelo interno de medición de riesgos utilizado por la entidad aseguradora. (Feria, J., 2005. El riesgo de mercado: su medición y control. Madrid: Delta Publicaciones).

3 Los recursos líquidos son entendidos como los activos que pueden convertirse fácilmente en dinero en efectivo, a valor de mercado y de una forma rápida (European Central Bank, 2009).

4 Para este caso, el riesgo sistémico se define como la conjunción de los riesgos financieros y los riesgos en la actividad real, que pueden llegar a generar inestabilidades en el sistema de salud, dadas las interdependencias creadas entre las diferentes entidades del sector (Cabrera et al., 2014; Giglio et al., 2016).

5 Al adicionar los activos líquidos se determina en forma más precisa la posición neta de liquidez de la entidad y se hace consistente con metodologías de riesgos financieros que consideran el capital disponible como factor mitigador (por ejemplo, el indicador de solvencia del capital basado en riesgo - CBR).

6 Debido a la naturaleza regulada de los recursos derivados del plan obligatorio, este componente y los ingresos por planes complementarios (si los hay), se deben tratar por separado, en el caso de aseguradoras.

7 Circular Externa 16 de 2016 - Superintendencia Nacional de Salud.

8 Existen variadas clasificaciones aportadas en la literatura y no hay consenso sobre clasificación única. Por ejemplo, IF-IFC (2011) distingue entre los riesgos culturales (legal y ético), gerenciales y externos, los cuales están basados en las causas que los producen.