Superintendencia Nacional de Salud

CIRCULAR EXTERNA 7 DE 2017

(Junio 30)

Asunto: Instrucciones generales para la implementación de mejores prácticas organizacionales - Código de Conducta y de Buen Gobierno EPS, EMP y SAP.

1. Antecedentes.

En virtud de lo establecido en la Ley 1122 de 2007 la Superintendencia Nacional de Salud tiene la responsabilidad de cumplir con los deberes de inspección, vigilancia y control en el sentido de “Vigilar que las instituciones aseguradoras (...) del sistema general de seguridad social en salud adopten y apliquen (...) un Código de Conducta y de Buen Gobierno que oriente la prestación de los servicios a su cargo y asegure la realización de los fines de la presente ley”(1).

A su vez, de conformidad con lo señalado en la Circular Externa 47 de 2007 y en el numeral 4º del artículo 6º del Decreto 2462 de 2013, la Superintendencia Nacional de Salud cuenta con facultades para emitir instrucciones a los sujetos vigilados sobre la manera como deben cumplirse las disposiciones normativas que regulan su actividad, fijar los criterios técnicos y jurídicos que faciliten el cumplimiento de tales normas y señalar los procedimientos para su cabal aplicación. Asimismo, la Ley 1474 de 2011, en sus artículos 11 y 12, preceptúa que corresponde a esta superintendencia establecer un conjunto de medidas preventivas para evitar fraudes y combatir la corrupción en el sector de la seguridad social en salud, además de la creación de un sistema preventivo de prácticas riesgosas financieras y de atención en salud del sistema general de seguridad social en salud, con el fin de ejercer sus funciones de inspección, vigilancia y control a los sujetos vigilados.

Que el numeral 39 del artículo 6º del Decreto 2462 de 2013 establece como función de la Superintendencia Nacional de Salud “Adelantar acciones de inspección, vigilancia y control para que las instituciones aseguradoras (...) del sistema general de seguridad social en salud, adopten y apliquen un Código de Conducta y de Buen Gobierno que oriente la prestación de los servicios a su cargo y asegure la realización de los fines señalados en la ley”.

Adicionalmente, el numeral 26 del artículo 21 del Decreto 2462 de 2013 instaura como una de las funciones del despacho del superintendente delegado para la supervisión institucional “Ejercer inspección y vigilancia para garantizar que los sujetos vigilados adopten y apliquen un Código de Conducta y de Buen Gobierno de conformidad con lo previsto en la ley y en el presente decreto”; y el numeral 17 del artículo 22 del mismo decreto relaciona como una de las funciones de la dirección de inspección y vigilancia para entidades administradoras de planes de beneficios, EAPB, el “Realizar actividades de inspección y vigilancia para garantizar que las entidades administradoras de planes de beneficios, EAPB, o las que hagan sus veces, adopten y apliquen un Código de Conducta y de Buen Gobierno, de conformidad con lo previsto en la ley y los criterios y lineamientos establecidos por la superintendencia”.

Dicho lo anterior, las buenas prácticas de gobierno y de conducta se reconocen como instrumentos a ser aplicados para la mitigación de riesgos en las entidades de derecho público y privado que conforman el sistema general de seguridad social de salud. SGSSS. A nivel internacional la Organización para la Cooperación y el Desarrollo Económico, OCDE, ha establecido y promovido una serie de principios que deben revisar las organizaciones a este respecto, los cuales son de aplicación general en todos los sectores(2). Referenciando entre otros aspectos, el garantizar la base de un marco eficaz para el gobierno organizacional, los derechos y el trato equitativo para los miembros del máximo órgano social, las funciones claves de los propietarios, las responsabilidades de la junta directiva, la divulgación de datos y la transparencia, entre otros(3). Asimismo, la Corporación Andina de Fomento, CAF, a partir de la crisis financiera mundial del año 2008, ha rediseñado algunos lineamientos referentes a la arquitectura de control en la que se aborda la gestión de riesgos y el control interno, y el gobierno organizacional para grupos empresariales(4).

Son diversos los aspectos que conforman el gobierno organizacional y la ética empresarial, y condicionan de una y otra manera la evolución de una entidad en entornos cambiantes y con alta competencia(5). Por ende, es necesario proporcionar herramientas técnicas y jurídicas que permitan el balance entre la gestión de cada órgano y el control de dicha gestión. La observancia de principios y buenas prácticas por parte de las entidades responsables del aseguramiento en salud es determinante para el buen desempeño de los sistemas de salud. En Colombia, dada la competencia regulada y el diseño institucional del SGSSS, el Código de Conducta y de Buen Gobierno adquiere una relevancia aún mayor.

La experiencia internacional demuestra que el mejoramiento de las prácticas de buen gobierno, así como de buena conducta, requieren de la acción conjunta de las autoridades gubernamentales, las empresas, los empleados y los propietarios, mediante la adopción de normas con esquemas de autorregulación(6).

En consecuencia, dando aplicación a las disposiciones citadas en precedencia, se imparten las siguientes medidas a las entidades promotoras de salud, EPS, las empresas de medicina prepagada, EMP, y los servicios de ambulancia prepagada, SAP, en lo relacionado con la implementación de su sistema de gobierno organizacional y de conducta.

2. Ámbito de aplicación.

La presente circular externa está dirigida a las entidades promotoras de salud, EPS, del régimen contributivo y subsidiado incluyendo las EPS indígenas, EPS-I, a las empresas de medicina prepagada, EMP, y a las entidades que suministren servicios de ambulancia prepagada, SAP, vigilados por la Superintendencia Nacional de Salud.

Las disposiciones de la presente circular se ajustarán de forma proporcional al interior de la estructura organizacional de cada entidad responsable del aseguramiento en salud. En particular, las responsabilidades atribuidas a los diferentes órganos de administración y vigilancia de la entidad, deberán aplicarse de conformidad con los órganos sociales o cargos que se hayan creado para desarrollar las funciones análogas a las de la junta directiva, el comité de auditoría o contraloría interna, y otros órganos de vigilancia y administración a los cuales se haga referencia en esta circular acorde con la figura jurídica correspondiente.

3. Código de Conducta y de Buen Gobierno EPS, EMP Y SAP.

El Código de Conducta y de Buen Gobierno EPS, EMP y SAP se define como un conjunto de medidas concretas para las EPS, las EMP y los SAP, en materia de: i) Máximo órgano social; ii) Órganos de administración; iii) Órganos de control; iv) Grupos de interés; v) Revelación de información y, vi) Pautas de conducta. Lo dispuesto en la presente circular se entiende sin perjuicio de los requisitos que deben acreditar las personas jurídicas públicas y privadas de las EPS, las EMP y los SAP, establecidos por normas de las autoridades competentes que regulen la materia.

La metodología para diligenciar el reporte de implementación del Código de Conducta y de Buen Gobierno EPS, EMP y SAP, se fundamenta en el principio “Cumpla o explique”, de manera que, en todos los casos el asegurador deberá indicar si adoptó o no las medidas al momento del reporte junto con su justificación.

Los destinatarios de la presente circular deben dar a conocer esta información a los actores del SGSSS, mediante el diligenciamiento y divulgación bienal del reporte de implementación del Código de Conducta y de Buen Gobierno EPS, EMP y SAP, cuya finalidad es la revelación general sobre las prácticas de gobierno organizacional y de buena conducta de cada EPS, EMP y SAP. Dicho reporte, con sus respectivos detalles técnicos, se incorpora a la presente circular externa mediante el anexo técnico GT001 (sección 4. Anexo técnico y reporte de información).

El reporte debe ser publicado por la aseguradora en su página web y debe actualizarse con la misma periodicidad con la que se envía el anexo técnico GT001 a la Superintendencia Nacional de Salud. El diligenciamiento de este reporte, de obligatorio cumplimiento, es bienal (cada dos años) y debe reflejar la situación de la EPS, de la EMP o del SAP, frente a las medidas descritas en el Código de Conducta y de Buen Gobierno EPS, EMP y SAP.

3.1. Objetivos.

Esta circular emite los lineamientos para la implementación y la ejecución de las prácticas de buen gobierno y de buena conducta empresarial dentro de las entidades responsables del aseguramiento en salud (EPS, EMP y SAP), bajo la inspección, vigilancia y control de la Superintendencia Nacional de Salud, con el fin de lograr el cumplimiento de los derechos derivados de la afiliación o vinculación de la población a un plan de beneficios de salud y una mejor prestación de los servicios, garantizando con ello la protección del derecho constitucional a la salud de los usuarios.

El buen gobierno, también denominado gobierno organizacional: i) Proporciona un marco sólido que define derechos y responsabilidades, donde se tiene como propósito alcanzar el mayor grado de coordinación posible entre los intereses del máximo órgano social, la junta o consejo directivo, los representantes legales y demás administradores(7); ii) Brinda un adecuado entorno dentro del cual se relacionan los órganos de gobierno de la entidad, incluyendo el revisor fiscal y los correspondientes órganos de control; y iii) Provee mecanismos que aseguran las buenas prácticas en la gestión de la entidad, contribuye a una competitividad responsable, permite un mejor desarrollo institucional y ofrece una mayor eficiencia en el manejo de los recursos.

Por ende, en esta circular el gobierno organizacional se entiende como el conjunto de normas, principios y órganos internos a través del cual se dirige, controla y diseña la gestión de una persona jurídica, ya sea de manera individual o dentro de un grupo empresarial. Basados en los pilares de buen gobierno planteados por la Corporación Andina de Fomento, el Nuevo Código País y la Organización para la Cooperación y el Desarrollo Económico, OCDE, la presente circular enseña unas medidas pertinentes para EPS, EMP y SAP(8), que al aplicarse servirán para:

i. Reconocer mejor los derechos de las diferentes partes interesadas, entre ellas, los usuarios del sistema de salud.

ii. Facilitar el ejercicio de los derechos y el trato equitativo a los miembros del máximo órgano social.

iii. Garantizar la revelación oportuna y precisa de la información.

iv. Garantizar la orientación estratégica, el control efectivo de la dirección ejecutiva y la responsabilidad de esta frente a la empresa y a los miembros del máximo órgano social.

Por otra parte, en la presente circular los lineamientos de conducta se definen como un referente formal e institucional que versa sobre la conducta profesional y personal que debe tener toda persona con vínculo a una entidad aseguradora (EPS, EMP o SAP), ya sea empleado, director de la junta directiva, contratista o proveedor, entre otros.

El objetivo de tener estas pautas básicas de conducta es enmarcar todo aquello que debe ser considerado como ético “(...) en el cotidiano de las acciones y la forma en que cada sujeto debe encarar la solución de dilemas que pongan en juego su capacidad moral”(9). Su importancia radica en el componente disciplinario al interior de las entidades aseguradoras de servicios de salud en Colombia. La literatura internacional(10) ha mostrado que el poseer unos estándares de conducta, fortalece el compromiso personal de cada trabajador, garantizando mejores indicadores en términos de gestión eficiente, eficaz, responsable, íntegra y transparente en el día a día.

Se propende porque la razón misional, de todos y cada uno de los actores del sistema de seguridad social en salud, vaya encaminada a la existencia y a la adopción del Código de Conducta (ética) y de Buen Gobierno (gobierno organizacional). Esa misión tendría efectos en la comunidad que se verían reflejados en un aumento de la confianza y la legitimidad de las instituciones y del Estado, en el fortalecimiento de los procesos de participación ciudadana y en el fortalecimiento empresarial de los actores.

El desarrollo e implementación del Código de Conducta y de Buen Gobierno generará importantes lineamentos institucionales, orientará de mejor manera al usuario, proporcionará equidad en el trato a las personas pertenecientes a un grupo de interés que se encuentren en igualdad de condiciones, entre otros beneficios más.

Luego, con base en los lineamientos otorgados por la presente circular externa, las EPS, las EMP y los SAP deberán diseñar, construir, adaptar, consolidar y adoptar su propio Código de Conducta y de Buen Gobierno.

Este código debe estar a total disposición de los propietarios y de la alta gerencia de la entidad, así como de todos sus integrantes, de las autoridades de control y de los usuarios del SGSSS. Este documento debe ser publicado en la página web institucional de la aseguradora y debe ser de fácil consulta.

La documentación de las prácticas de gobierno organizacional y de buena conducta es necesaria para que las mismas tengan vocación de permanencia. Los principios y prácticas que las entidades aseguradoras adopten, deben estar expresamente plasmados en un documento con el fin de que exista claridad frente a los mismos. Este documento y sus posteriores cambios deben ser aprobados por el órgano de administración, previa presentación al máximo órgano social. Es importante que su modificación se realice a través de un procedimiento formalmente establecido(11).

3.2. Definiciones(12).

Para la aplicación de la presente circular externa se tendrán en cuenta los siguientes conceptos:

Alta gerencia: Personas del más alto nivel jerárquico en el área administrativa (denominados administradores) u organizacional de la entidad. La junta directiva la hace responsable del giro ordinario del negocio de la entidad y la encarga de idear, ejecutar y controlar los objetivos y estrategias de la misma. También se incluye en la alta gerencia el auditor interno(13).

Arquitectura de control: Concepto integral que agrupa todo lo relacionado con el ambiente de control, gestión de riesgos, sistemas de control interno, información, comunicación y monitoreo. Permite a la entidad contar con una estructura, unas políticas y unos procedimientos ejercidos por toda la organización (desde la junta directiva y la alta gerencia, hasta los propios empleados), los cuales pueden proveer una seguridad razonable en relación con el logro de los objetivos de la empresa.

Asamblea general: Reunión colectiva de los miembros del máximo órgano social, que puede darse de manera ordinaria o extraordinaria, según lo establece el Código de Comercio o la norma que regule cada tipo especial de entidad y los estatutos de la entidad.

Comité de dirección de EPS: Los consejos directivos de las cajas de compensación familiar que operan programas de EPS constituirán un comité de dirección de EPS, integrado por un subconjunto de los miembros del consejo directivo de la caja, e invitados externos. El comité de dirección de EPS hará las veces de junta directiva del programa de salud.

Conflicto de interés: Se considera que existe un conflicto de interés cuando por una situación de control, influencia directa o indirecta entre entidades, personas naturales o jurídicas; se realicen operaciones, transacciones, decisiones, traslado de recursos, situaciones de ventaja, mejoramiento en la posición de mercado, competencia desleal, desviaciones de recursos de seguridad social, o cualquier situación de hecho o de derecho que desequilibre el buen funcionamiento financiero, comercial o de materialización del riesgo al interior del sector. Estos desequilibrios tienen su fundamento en un “interés privado” que motiva a actuar en contravía de sus obligaciones y puede generar un beneficio personal, comercial o económico para la parte que incurre en estas conductas.

Directores: Son los miembros de la junta directiva u órganos equivalentes según la figura jurídica de que se trate.

Empresas off-shore: Empresas creadas en centros financieros con un nivel impositivo muy bajo. También conocidas como “paraísos fiscales”.

Grupos de interés: Todas aquellas personas que, por su vinculación con la entidad, tienen interés en esta, a saber: el público en general, miembros del máximo órgano social, empleados, proveedores de bienes y servicios, afiliados, clientes, usuarios, autoridades económicas y tributarias, autoridades de regulación, inspección, vigilancia y control, y otros actores identificados como grupos de interés por la entidad, si los llegase a tener(14).

Grupo empresarial: Se entiende como la conformación de grupo empresarial de acuerdo al artículo 28 de la Ley 222 de 1995, siempre que las categorías de matriz, filial y subsidiaria a las que hace referencia el Código de Comercio para establecer el vínculo de subordinación, incluyan a sociedades civiles como las entidades sin ánimo de lucro, asociaciones mutuales, cooperativas y otras entidades propias del sector de la salud.

Hallazgo material: Un hecho económico es material cuando, debido a su naturaleza o cuantía, su conocimiento o desconocimiento, teniendo en cuenta las circunstancias de su entorno, puede alterar significativamente las decisiones económicas de los usuarios de la información. Al preparar estados financieros, la materialidad se debe determinar en relación con el activo total, el pasivo total, el pasivo corriente, el capital de trabajo, el patrimonio o los resultados del ejercicio, según corresponda.

Independiente: Se entiende por independiente, aquella persona que en ningún caso sea:

• Empleado o directivo de la EPS, la EMP o el SAP o de alguna de sus filiales, subsidiarias o controlantes, incluyendo aquellas personas que hubieren tenido tal calidad durante el año inmediatamente anterior a la designación, salvo que se trate de la reelección de una persona independiente.

• Miembros del máximo órgano social que directamente o en virtud de convenio dirijan, orienten o controlen la mayoría de los derechos de voto de la entidad o que determinen la composición mayoritaria de los órganos de administración, de dirección o de control de la misma.

• Socio o empleado de asociaciones o sociedades que presten servicios de asesoría o consultoría a la EPS, la EMP o el SAP o a las entidades que pertenezcan al mismo grupo empresarial del cual forme parte esta, cuando los ingresos por dicho concepto representen para aquellos, el veinte por ciento (20%) o más de sus ingresos operacionales.

• Empleado o directivo de una fundación, asociación o sociedad que reciba donativos importantes de la EPS, la EMP o el SAP. Se consideran donativos importantes aquellos que representen más del veinte por ciento (20%) del total de donativos recibidos por la respectiva institución.

• Administrador de una entidad en cuya junta directiva participe un representante legal (principal o suplente) de la EPS, la EMP o el SAP.

• Persona natural que reciba directamente de la EPS, la EMP o el SAP alguna remuneración diferente a los honorarios como miembro de la junta directiva, del comité de contraloría interna o de cualquier otro comité creado por la junta directiva.

Junta directiva: Es el máximo órgano colegiado encargado de la dirección de la entidad. Sus miembros se conocen como directores. Lo aquí dispuesto para la junta directiva y sus directores se entiende dicho para el consejo de administración de las cooperativas y sus consejeros, respectivamente. Para efectos de la presente circular, en cuanto a las cajas de compensación familiar, las disposiciones sobre las juntas directivas aplican para los comités de dirección de EPS. Tal denominación puede variar según la figura jurídica de la que se trate.

Matriz: Sociedad que ostenta el control o el poder de decisión sobre otra u otras llamadas filiales (si se trata de un control directo) o subsidiaria (si es por intermedio de sus propias subordinadas). Ver artículo 260 y siguientes del Código de Comercio, el capítulo V de la Ley 222 de 1995 y demás normas que lo modifiquen o adicionen.

Máximo órgano social: Es el máximo órgano de gobierno de la entidad. Es la asamblea general o quien haga sus veces y puede variar su denominación según la figura jurídica de la que se trate. Para esta circular se llamarán “miembros del máximo órgano social” o “miembros” al accionista, en el caso de una sociedad comercial por acciones, al socio en las sociedades comerciales con cuotas o partes de interés, al miembro en una mutual, al cooperado en una cooperativa, al afiliado en caso de una caja de compensación familiar que cuenta con autorización para operar programas de salud, o por cualquier denominación que se adopte de acuerdo a la naturaleza jurídica de la respectiva entidad.

Su principal función es velar por el cumplimiento de los objetivos misionales de la entidad, mediante la realización de asambleas, que pueden darse de manera ordinaria o extraordinaria, según lo establece el Código de Comercio o la norma que regule cada tipo especial de entidad y los estatutos de la entidad.

Miembro minoritario: Aquel miembro del máximo órgano social que por su reducida participación en el capital social o en la propiedad de la entidad no tiene capacidad de controlar directa o indirectamente a la entidad ni de influir en la toma de decisiones, o aquel definido como tal de acuerdo con los estatutos de la entidad o de las normas vigentes.

Miembro significativo: Aquel miembro del máximo órgano social que por sí solo o en virtud de acuerdo con otros miembros, es titular de derechos de voto que igualan o superan un determinado límite (fijado en el 5% del total de derechos de voto) y cuya participación tenga una finalidad estable.

Miembros: También referenciado como miembros del máximo órgano social. Este término es utilizado en la presente circular con el fin de identificar al accionista, en caso de una sociedad comercial por acciones, al socio en las sociedades comerciales con cuotas o partes de interés, al miembro en una mutual, al cooperado en una cooperativa, al afiliado en caso de una caja de compensación familiar que cuenta con autorización para operar programas de salud, o a cualquier denominación que se adopte de acuerdo a la naturaleza jurídica de la respectiva entidad.

Partes vinculadas: Siguiendo la Norma Internacional de Contabilidad, NIC 24:

“Una parte se considera vinculada con la entidad si dicha parte:

(a) directa, o indirectamente a través de uno o más intermediarios:

(i) controla a, es controlada por, o está bajo control común con, la entidad (esto incluye dominantes, dependientes y otras dependientes de la misma dominante);

(ii) tiene una participación en la entidad que le otorga influencia significativa sobre la misma; o

(iii) tiene control conjunto sobre la entidad;

(b) es una asociada (según se define en la NIC 28 Inversiones en entidades asociadas) de la entidad;

(c) es un negocio conjunto, donde la entidad es uno de los partícipes (véase la NIC 31 Intereses en negocios conjuntos);

(d) es personal clave de la dirección de la entidad o de su dominante;

(e) es un familiar cercano de una persona que se encuentre en los supuestos (a) o (d);

(f) es una entidad sobre la cual alguna de las personas que se encuentra en los supuestos (d) o (e) ejerce control, control conjunto o influencia significativa, o bien cuenta, directa o indirectamente, con un importante poder de voto; o

(g) es un plan de prestaciones postempleo para los trabajadores, ya sean de la propia entidad o de alguna otra que sea parte vinculada de esta”.

Participación significativa: Se considerará participación significativa en una entidad, aquella equivalente al cinco por ciento (5%) o más del capital o de las acciones en circulación, según su naturaleza jurídica.

Presidente ejecutivo: Posición individual dentro de la entidad que responde ante la junta directiva. El presidente ejecutivo es el máximo responsable del giro ordinario de la entidad y a él reportan de forma directa la mayoría de los miembros de la alta gerencia. También identificado como gerente general, comúnmente actúa como representante legal principal o titular de la sociedad. Tal denominación puede variar según la figura jurídica de la que se trate.

Propuesta de acuerdo: Texto preparado por la junta directiva que acompaña a cada uno de los puntos incluidos en la agenda de la asamblea general. La propuesta de acuerdo describe literalmente la cuestión que la junta directiva somete a la votación de los miembros del máximo órgano social y puede incluir una sugerencia de la junta directiva a los miembros sobre el sentido de voto.

Segregación: Se entiende por segregación o escisión impropia la operación mediante la cual una sociedad, que se denomina “segregante” destina una o varias partes de su patrimonio a la constitución de una o varias sociedades o al aumento de capital de sociedades ya existentes, que se denominarán “beneficiarias”. Como contraprestación, la sociedad segregante recibe acciones, cuotas o partes de interés en las sociedades beneficiarias.

Se considerará que un aporte en especie constituye segregación cuando, como resultado del mismo, se entregue una línea de negocio, establecimiento de comercio o se produzca un cambio significativo en el desarrollo del objeto social de la entidad segregante. En este sentido se presume que se ha producido un cambio significativo en el desarrollo del objeto social de la entidad segregante cuando el valor neto de los bienes aportados equivalga o sea superior al veinticinco por ciento (25%) del total del patrimonio de la respectiva sociedad o cuando los activos aportados generen el treinta por ciento (30%) o más de los ingresos operacionales de la misma, tomando como base los estados financieros correspondientes al ejercicio inmediatamente anterior.

Sistema de control interno, SCI: Conjunto de principios, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva u órgano equivalente, la alta gerencia y demás funcionarios de una entidad aseguradora del sistema de salud colombiano, para proporcionar un grado de seguridad razonable en cuanto a la consecución de los siguientes objetivos: (i) La efectividad, la seguridad y la eficiencia de las operaciones, (ii) La confiabilidad y la transparencia de la información de salud y financiera, (iii) El cumplimiento de las leyes y normas que sean aplicables a la entidad, (iv) El salvaguardar los recursos de la entidad, y, (v) El seguimiento y verificación de lo relacionado con las normas vigentes en materia de garantía de la calidad.

El sistema de control interno se fundamenta principalmente en las definiciones, principios y metodologías del COSO (Committee of Sponsoring Organizations of the Treadway Commission), en particular de COSO I, COSO II y COSO III, los cuales son complementarios.

Usuario: Es toda persona natural a la que la entidad le garantiza el acceso a servicios de salud mediante el aseguramiento.

3.3. Medidas relacionadas con las mejores prácticas de gobierno organizacional.

3.3.1. Máximo órgano social.

3.3.1.1. De los miembros del máximo órgano social.

3.3.1.1.1. Tratamiento equitativo.

Medida 1. La entidad proporciona un trato igualitario a todos los miembros del máximo órgano social que, dentro de un rango determinado de participación en el capital social o en la propiedad de la entidad, se encuentran en las mismas condiciones, sin que ello suponga el acceso a información privilegiada de unos de los miembros respecto de otros.

3.3.1.1.2. Deber de información general.

Preámbulo: La entidad promueve el principio general de que la información debe ir a los miembros del máximo órgano social y no que estos tengan que ir a la información. Transforma el derecho de estos a recibir información en una obligación de la entidad de proveerla.

Para alcanzar este objetivo se contemplan las siguientes medidas:

Medida 2. La entidad cuenta con una página web corporativa con secciones acerca de los miembros del máximo órgano social, los directores de la junta directiva, los administradores de la alta gerencia y los órganos de control. Adicionalmente, tiene otras secciones con el Código de Conducta y de Buen Gobierno, las estadísticas descriptivas sobre sus afiliados, los servicios prestados y la información financiera en los términos propuestos en las medidas dadas en esta circular en la sección sobre revelación de información frente al público. La información allí publicada no incluye aquella confidencial de la entidad o cuya divulgación puede ser utilizada en detrimento de la misma.

Medida 3. La entidad cuenta con mecanismos de acceso permanente y uso dirigido exclusivamente a los miembros del máximo órgano social, tales como un vínculo en la web de acceso exclusivo para ellos, o una oficina de atención o relaciones con miembros del máximo órgano social, reuniones informativas periódicas, entre otros, para que puedan expresar sus opiniones o plantear inquietudes o sugerencias sobre el desarrollo de la entidad o aquellas asociadas a su condición de miembros. De igual manera, la entidad cuenta con un conducto regular para la solicitud de información clara, oportuna y confiable por parte de los miembros del máximo órgano social.

3.3.1.2. De la asamblea general de los miembros del máximo órgano social.

Medida 4. La entidad tiene un reglamento interno de funcionamiento de la asamblea general que como mínimo abarca los temas de convocatoria y celebración.

3.3.1.2.1. Convocatoria.

Medida 5. La entidad facilita a los miembros del máximo órgano social la toma de decisiones informadas en la asamblea general, poniendo a su disposición, dentro del término de la convocatoria, en el domicilio social y en una página web de acceso restringido a los miembros, la documentación necesaria sobre los temas por tratar.

Medida 6. La convocatoria a las reuniones del máximo órgano social se realiza, como mínimo, con la antelación establecida en la ley, y contiene, por lo menos:

a) El orden del día, evitando menciones genéricas.

b) El lugar específico, fecha y hora de la reunión.

c) Lugar, oportunidad y persona ante quien podrá ejercerse el derecho de inspección, en los casos en que la ley lo establece.

d) El mecanismo utilizado para garantizar que los asociados estén debidamente informados, de los temas a tratar.

e) Cuando sea necesario, los posibles candidatos a conformar la junta directiva, junto con la información sobre sus perfiles (experiencia, especialidad, estudios) y la evaluación que de ellos se haya hecho según los procedimientos previstos para el efecto.

3.3.1.2.2. Celebración.

Medida 7. Sin perjuicio del derecho que les asiste a los miembros de presentar sus propuestas en las reuniones de asamblea (ordinarias o extraordinarias), en el orden del día establecido para aquellas, se desagregan los diferentes asuntos por tratar de modo que no se confundan con otros, dando al orden del día una secuencia lógica de temas, salvo aquellos puntos que deban discutirse conjuntamente por tener conexidad entre sí, hecho que deberá ser advertido.

Medida 8. Existen algunos temas de vital importancia que son decididos por la asamblea general, y no únicamente por la junta directiva, entre ellos:

a) Segregación, fusiones, adquisiciones, escisiones, conversiones, cesiones de activos, pasivos, contratos y carteras u otras formas de reorganización, disolución anticipada, renuncia al derecho de preferencia, cambio del domicilio social y modificación del objeto social.

b) La aprobación de la política general de remuneración de la junta directiva y la alta gerencia.

c) La aprobación de la política de sucesión de la junta directiva.

d) La adquisición, venta o gravamen de activos estratégicos que a juicio de la junta directiva resulten esenciales para el desarrollo de la actividad, o cuando, en la práctica, estas operaciones puedan devenir en una modificación efectiva del objeto social.

e) Establecer un proceso de selección del revisor fiscal y de los órganos de control bajo criterios de independencia e idoneidad.

f) Establecer y aprobar la política de creación de organizaciones subordinadas.

Estos temas son incluidos en la convocatoria cuando a ello haya lugar.

3.3.1.2.3. Representación y asistencia.

Medida 9. Sin perjuicio de los límites previstos en el artículo 185 del Código de Comercio o normas que lo modifiquen, sustituyan o eliminen, la entidad no limita el derecho del miembro a hacerse representar en la asamblea general, pudiendo delegar su voto en cualquier persona, sea esta miembro o no.

Medida 10. La entidad minimiza el uso de delegaciones de voto en blanco, sin instrucciones de voto, promoviendo de manera activa el uso de un modelo estándar de carta de representación que la propia entidad hace llegar a los convocados o que publica en su página web. En el modelo se incluyen los puntos del orden del día y las correspondientes propuestas de acuerdo conforme al procedimiento establecido con anterioridad. Aquellas propuestas serán sometidas a la consideración de los convocados, con el objetivo de que el constituyente, si así lo estima conveniente, indique, en cada caso, el sentido de su voto a su representante.

Medida 11. El reglamento de la asamblea de la entidad exige que los directores de la junta directiva u órgano equivalente y, muy especialmente, los presidentes de los comités de la junta directiva, así como el presidente ejecutivo de la entidad, asistan a la asamblea para responder a las inquietudes de los convocados.

3.3.1.3. De las funciones del máximo órgano social.

Medida 12. Se tienen como funciones aquellas dispuestas en los estatutos y en el reglamento de funcionamiento de la propia asamblea general, sin perjuicio de lo dispuesto por la normatividad legal vigente para cada entidad en particular.

El máximo órgano social se encarga entre otras actividades de:

a) Estudiar y aprobar las reformas de los estatutos.

b) Velar por el cumplimiento de los objetivos de la entidad y sus funciones indelegables, mediante la realización de asambleas, que pueden celebrarse de manera ordinaria o extraordinaria.

c) Examinar, aprobar o improbar los balances de fin de ejercicio y las cuentas que deban rendir los administradores o representantes legales.

d) Considerar los informes de los administradores o del representante legal sobre el estado de los negocios sociales, y el informe del revisor fiscal.

e) Analizar y aprobar los principios y procedimientos para la selección de miembros de la alta gerencia y de la junta directiva de la entidad, definición de funciones y responsabilidades, organización, estrategias para la toma de decisiones, evaluación y rendición de cuentas.

f) Aprobar las políticas para prevención y control de riesgos de lavado de activos y financiación del terrorismo, Sarlaft.

g) Las demás que les señalen los estatutos o las leyes.

3.3.1.4. Conflictos de interés.

3.3.1.4.1. Grupos empresariales.

Medida 13. La entidad se compromete a declarar la existencia del grupo empresarial, cuando a ello haya lugar, haciendo visible al público interesado y a las entidades de control esta situación, por los medios idóneos.

Medida 14. Sin perjuicio de la independencia de cada entidad individual integrada en el grupo empresarial y las responsabilidades de sus órganos de administración, existe una estructura organizacional del grupo empresarial que define para los tres (3) niveles de gobierno —asamblea general, junta directiva y alta gerencia— los órganos y posiciones individuales clave, así como las relaciones entre ellos, la cual es pública, clara y transparente, y permite determinar líneas claras de responsabilidad y comunicación, y facilita la orientación estratégica, supervisión, control y administración efectiva del grupo empresarial.

Medida 15. Bajo la anterior premisa, la entidad matriz y sus subordinadas han definido un marco de referencia de relaciones institucionales a través de la suscripción de un acuerdo, de carácter público y aprobado por la junta directiva de cada una de dichas empresas, que regula:

a) La definición del interés del grupo empresarial al que pertenecen, entendido como el interés primario que todas las empresas deben perseguir y defender.

b) El reconocimiento y aprovechamiento de sinergias entre entidades del grupo empresarial, bajo la premisa de respeto por los miembros minoritarios.

c) Las respectivas áreas de actividad y eventuales negocios entre ellas.

d) Los servicios comunes prestados por la matriz, una subordinada y/o por terceros.

e) Los criterios o manera de determinar el precio y condiciones de los negocios entre entidades del grupo empresarial y de los servicios comunes prestados por alguna de ellas o terceros.

f) La búsqueda de la cohesión del grupo empresarial, mediante una visión común y compartida de las posiciones clave de la arquitectura de control como contraloría interna (también denominada auditoría interna) y gestión de riesgos.

g) La actuación y coordinación de los comités de la junta directiva de la matriz y de los comités que sea conveniente u obligatorio constituir en las juntas directivas de las subordinadas.

h) Los mecanismos previstos para resolver posibles conflictos de interés entre las empresas.

i) La previsión de que cuando se presenten operaciones vinculadas entre una empresa subordinada y su empresa matriz, se aplicará con especial sensibilidad y rigor la política de administración de conflicto de interés, para asegurar, entre otras cuestiones, que las operaciones propendan hacia precios y condiciones de mercado.

3.3.1.4.2. Resolución de controversias.

Medida 16. Salvo para aquellas disputas entre miembros del máximo órgano social, o entre miembros del mismo y la entidad o su junta directiva, que por atribución legal expresa deban dirimirse necesariamente ante la jurisdicción ordinaria, los estatutos de la entidad incluyen mecanismos para la resolución de controversias tales como el acuerdo directo, la amigable composición, la conciliación o el arbitraje.

3.3.2. Órganos de administración.

3.3.2.1. Junta directiva u órgano equivalente.

Medida 17. Los consejos directivos de las cajas de compensación familiar que operan programas de EPS constituyen un comité de dirección de EPS.

Esta medida aplica únicamente para las cajas de compensación familiar.

3.3.2.1.1. Responsabilidades.

Medida 18. Los estatutos de la entidad establecen que la junta directiva (u órgano equivalente) tiene entre sus responsabilidades, además de las establecidas en la ley, al menos las siguientes:

a) Definir la orientación estratégica de la entidad y su cobertura geográfica, en el contexto de la regulación que le es aplicable y hacerle seguimiento periódico.

b) Medir y evaluar la calidad de los servicios de salud y de los procesos de atención al usuario.

c) Realizar la planeación financiera y la gestión de los recursos necesarios para el cumplimiento de la misión de la entidad.

d) Aprobar el presupuesto anual y el plan estratégico.

e) Identificar, medir y gestionar las diversas clases de riesgos (de salud, económicos, reputacionales, de lavado de activos, entre otros), y establecer las políticas asociadas a su mitigación.

f) Establecer planes de sistemas de información para cumplir los objetivos de la entidad y los requerimientos de las autoridades, los prestadores y los usuarios, y supervisar su implementación.

g) Verificar el adecuado funcionamiento del SCI de la entidad, de las políticas del sistema de gestión de riesgos y el cumplimiento e integridad de las políticas contables.

h) Hacer la propuesta a la asamblea general para la designación del revisor fiscal, previo análisis de experiencia y disponibilidad de tiempo, recursos humanos y recursos técnicos necesarios para su labor.

i) Proponer la política general de remuneración de la junta directiva y de la alta gerencia.

j) Proponer la política de sucesión de la junta directiva.

k) Proponer los principios y los procedimientos para la selección de miembros de la alta gerencia y de la junta directiva de la entidad, la definición de sus funciones y responsabilidades, la forma de organizarse y deliberar, y las instancias para evaluación y rendición de cuentas.

l) La aprobación del Código de Conducta y de Buen Gobierno.

m) Velar por el cumplimiento de las normas de gobierno organizacional.

n) La aprobación de las políticas referentes con los sistemas de denuncias anónimas o “whistleblowers”.

o) Identificar las partes vinculadas.

p) Conocer y administrar los conflictos de interés entre la entidad y miembros del máximo órgano social, miembros de la junta directiva (u órgano equivalente) y la alta gerencia.

q) Velar porque el proceso de proposición y elección de los directores de la junta directiva se efectúe de acuerdo con las formalidades previstas por la entidad.

r) Conocer y, en caso de impacto material, aprobar las operaciones que la entidad realiza con miembros del máximo órgano social significativos, definidos de acuerdo con la estructura de propiedad de la entidad, o representados en la junta directiva; con los directores de la junta directiva y otros administradores o con personas a ellos vinculadas (operaciones con partes vinculadas), así como con empresas del grupo empresarial al que pertenece.

(Nota: Adicionado por la Circular Externa 4 de 2018 de la Superintendencia Nacional de Salud)

3.3.2.1.2. Conformación.

Medida 19. Dentro de los límites legales, la junta directiva está conformada por un número impar de directores que sea suficiente para el adecuado desempeño de sus funciones, y que permita una eficaz administración y gobierno de la entidad.

Medida 20. La entidad adopta ciertos requisitos, en adición a los establecidos legalmente, para la designación de directores. Los requisitos aluden a la experiencia, conocimiento, formación académica y destrezas profesionales, para el mejor desarrollo de las funciones de la junta directiva.

Medida 21. Todo director de junta directiva cuenta con su carta de aceptación, entendiendo por esta un documento que firma al ser elegido o reelegido y en la que se resumen los compromisos que el nuevo (o reelegido) director de la junta directiva asume con la entidad. Esta carta, aborda cuestiones tales como: plazo del nombramiento; deberes y derechos; compromisos estimados de tiempo; programa de inducción; remuneración; gastos; devolución de documentos; terminación de la designación; pólizas de responsabilidad civil de administradores y directivos; reuniones estimadas; conflictos de interés; aceptación de la normativa interna de la sociedad y sujeción a los principios de la misma (estatutos, reglamentos, Código de Conducta y de Buen Gobierno, entre otros).

Al firmar la carta de aceptación se deja constancia del recibo y/o capacitación sobre su contenido.

En el caso de los directores independientes, la carta de aceptación incluirá su declaración de independencia y cumplimiento de los requisitos establecidos por la sociedad para integrarse en esta categoría.

Medida 22. La entidad identifica el origen de los distintos directores de la junta directiva de acuerdo con el siguiente esquema:

a) Directores independientes, quienes, como mínimo, cumplen con los requisitos de independencia establecidos en la sección de definiciones de la presente circular, y demás reglamentación interna expedida por la entidad para considerarlos como tales, independientemente del miembro del máximo órgano social o grupo de miembros que los haya nominado y/o votado.

b) Directores patrimoniales, quienes no cuentan con el carácter de independientes y son miembros del máximo órgano social, ya sean personas jurídicas o naturales, o personas expresamente nominadas por un miembro o grupo de miembros del máximo órgano social, para integrar la junta directiva.

c) Directores ejecutivos, que son los representantes legales, miembros de la alta gerencia o líderes de la parte asistencial que participan en la gestión diaria de la entidad.

Medida 23. El reglamento de la junta directiva, estipula que los directores independientes y patrimoniales son siempre mayoría respecto a los directores ejecutivos, cuyo número, en el supuesto de integrarse en la junta directiva, es el mínimo necesario para atender las necesidades de información y coordinación entre la junta directiva y la alta gerencia de la sociedad.

Medida 24. En la junta directiva no hay directores ejecutivos.

Medida 25. Además de los requisitos de independencia ya previstos anteriormente, la entidad adopta una definición de independencia rigurosa, a través de su reglamento de junta directiva, e incluye, entre otros requisitos que deben ser evaluados, los siguientes:

a) Las relaciones o vínculos de cualquier naturaleza del candidato a director independiente con miembros significativos y sus partes vinculadas, nacionales y del exterior.

b) Declaración de independencia del candidato ante la entidad, sus miembros del máximo órgano social y miembros de la alta gerencia, instrumentada a través de su carta de aceptación.

c) Declaración de la junta directiva, respecto a la independencia del candidato, donde se expongan los posibles vínculos que puedan estar en contravía con la definición de independencia que haya adoptado la entidad.

Medida 26. Si la junta directiva se compone de:

— 3 a 4 directores, al menos uno (1) es independiente.

— 5 a 8 directores, al menos dos (2) son independientes.

— 9 o 12 directores, al menos tres (3) son independientes.

— 13 o más directores, al menos cuatro (4) son independientes.

Medida 27. La entidad cuenta con un procedimiento, articulado a través del comité de gobierno organizacional u otro que cumpla sus funciones, que permite a la junta directiva, a través de su propia dinámica y las conclusiones de las evaluaciones anuales, alcanzar los siguientes objetivos:

a) Identificar la composición tentativa de perfiles funcionales (asociados a aspectos tales como conocimientos y experiencia profesional) que en cada circunstancia se necesitan en la junta directiva.

i) Habrá diversidad de perfiles profesionales, incluyendo al menos personas con experiencia y conocimiento en salud, así como en asuntos administrativos y financieros.

b) Identificar los perfiles personales (vinculados con trayectoria, reconocimiento, prestigio, disponibilidad, liderazgo, dinámica de grupo, etc.) más convenientes para la junta directiva.

c) Evaluar el tiempo y dedicación necesarios para que puedan desempeñar adecuadamente sus obligaciones.

3.3.2.1.3. Elección de directores.

Medida 28. La entidad cuenta con un procedimiento interno para evaluar las incompatibilidades e inhabilidades de carácter legal y la adecuación del candidato a las necesidades de la junta directiva, a través de la evaluación de un conjunto de criterios que deben cumplir los perfiles funcionales y personales de los candidatos, y la verificación del cumplimiento de unos requisitos objetivos para ser director de junta directiva y otros adicionales para ser director independiente.

Medida 29. La entidad, a través de su normativa interna, considera que la junta directiva, por medio de su presidente y con el apoyo del comité de gobierno organizacional o quien cumpla sus funciones, es el órgano más adecuado para centralizar y coordinar con anterioridad a la asamblea general el proceso de conformación del órgano de administración.

Medida 30. El reglamento de la junta directiva prevé que la evaluación de la idoneidad de los candidatos es una actividad cuya ejecución es anterior a la realización de la asamblea general, de tal forma que los miembros del máximo órgano social dispongan de información suficiente (calidades personales, idoneidad, trayectoria, experiencia, integridad, etc.) sobre los candidatos propuestos para integrarla, con la antelación que permita su adecuada valoración.

3.3.2.1.4. Reglamentos y declaraciones.

Medida 31. Al momento de posesionarse los directores de la junta directiva, estos hacen una declaración juramentada de su compromiso de obrar en el interés general de la entidad y sus afiliados, en un ejercicio de máxima transparencia, y no en el interés particular de algún miembro del máximo órgano social o parte interesada.

Asimismo, todos los directores deben firmar un documento de confidencialidad con relación a la información que se recibe y se discute en cada una de sus reuniones.

Medida 32. La junta directiva construye el reglamento interno que regula su organización y funcionamiento, así como las funciones y responsabilidades de sus directores, del presidente y del secretario de la junta directiva, y sus deberes y derechos. Tal reglamento es difundido entre los miembros del máximo órgano social para su aprobación en asamblea general y su carácter es vinculante para los directores de la junta directiva.

3.3.2.1.5. Funcionamiento.

Medida 33. El presidente de la junta directiva con la asistencia del secretario de la junta directiva y del presidente ejecutivo de la entidad prepara un plan de trabajo de la junta directiva para un determinado periodo, herramienta que facilita determinar el número razonable de reuniones ordinarias por año y su duración estimada.

Medida 34. La junta directiva sesiona mínimo cuatro (4) veces por año. Su foco está claramente orientado a la definición y seguimiento de la estrategia de la entidad.

Medida 35. El presidente de la junta directiva asume, con el concurso del secretario de la junta directiva, la responsabilidad última de que los miembros reciban la información con antelación suficiente y que la información sea útil, por lo que en el conjunto de documentos que se entrega (acta de la junta directiva) debe primar la calidad frente a la cantidad.

Medida 36. Anualmente la junta directiva evalúa la eficacia de su trabajo como órgano colegiado, la de sus comités y la de los miembros individualmente considerados, incluyendo la evaluación por pares, así como la razonabilidad de sus normas internas y la dedicación y rendimiento de sus directores, proponiendo, en su caso, las modificaciones a su organización y funcionamiento que considere pertinentes.

3.3.2.1.6. Comités.

Medida 37. Cada uno de los comités de la junta directiva cuenta con libro de actas y un reglamento interno que regula los detalles de su conformación, las materias, funciones sobre las que debe trabajar el comité, y su operativa, prestando especial atención a los canales de comunicación entre los comités y la junta directiva y, en el caso de los grupos empresariales, a los mecanismos de relacionamiento y coordinación entre los comités de la junta directiva de la matriz y los de las empresas subordinadas.

Las reuniones y decisiones de cada uno de los comités de la junta directiva constan por escrito en informes o actas, los cuales están a disposición de la junta directiva, autoridades internas y externas de control.

Medida 38. Los miembros de los diferentes comités son nombrados por la junta directiva. Asimismo, este órgano designa los presidentes de cada comité.

Medida 39. Los diferentes comités de la junta directiva sesionan al menos una (1) vez cada trimestre.

Medida 40. Todos los comités de la junta directiva tienen presencia de al menos dos (2) directores independientes.

3.3.2.1.6.1. Comité de contraloría interna.

Medida 41. El reglamento de la junta directiva crea un comité de contraloría interna. Está conformado por mínimo dos (2) directores y un (1) experto externo delegado por la junta directiva, quienes cuentan con conocimientos contables, financieros y de gestión operativa relacionada con temas de protección al usuario.

Este comité apoya la inspección y seguimiento de las políticas, procedimientos y controles internos que se establezcan, el análisis de la ejecución de las operaciones de la entidad, el análisis de las salvedades generadas por el revisor fiscal y la revisión periódica de la arquitectura de control de la entidad y del sistema de gestión de riesgos. Aunque el auditor interno puede asistir a las reuniones, este no posee poder de voto en el comité de contraloría interna.

El comité cuenta con la libertad para reportar sus hallazgos y revelarlos internamente, y las facilidades suficientes para mantener una comunicación directa y sin interferencia con el órgano de administración existente.

Medida 42. Las funciones del comité de contraloría interna incluyen, al menos:

a) Establecer las políticas, criterios y prácticas que utilizará la entidad en la construcción, revelación y divulgación de su información financiera y contable.

b) Definir mecanismos para consolidar la información de los órganos de control de la entidad para la presentación de la información a la junta directiva.

c) Proponer para aprobación de la junta directiva u órgano que haga sus veces, la estructura, procedimientos y metodologías necesarios para el funcionamiento del SCI.

d) Presentarle a la junta directiva o al órgano que haga sus veces, las propuestas relacionadas con las responsabilidades y atribuciones asignadas a los diferentes cargos y áreas respecto de la administración del SCI, incluyendo la gestión de riesgos.

e) Evaluar la estructura del control interno de la entidad de forma tal que se pueda establecer si los procedimientos diseñados protegen razonablemente los activos de la entidad, así como los de terceros que administre o custodie, y si existen controles para verificar que las transacciones están siendo adecuadamente autorizadas y registradas.

f) Establecer planes de auditoría sobre áreas tales como atención al usuario y sistemas de respuesta a los afiliados.

g) Informar a la junta directiva u órgano equivalente sobre el no cumplimiento de la obligación de los administradores de suministrar la información requerida por los órganos de control para la realización de sus funciones.

h) Estudiar los estados financieros y elaborar el informe correspondiente para someterlo a consideración de la junta directiva, con base en la evaluación no solo de los proyectos correspondientes, con sus notas, sino también de los dictámenes, observaciones de las entidades de control, resultados de las evaluaciones efectuadas por los comités competentes y demás documentos relacionados con los mismos.

i) Supervisar las funciones y actividades del departamento de contraloría interna de la entidad u órgano que haga sus veces, con el objeto de determinar su independencia y objetividad en relación con las actividades que audita, determinar la existencia de limitaciones que impidan su adecuado desempeño y verificar si el alcance de su labor satisface las necesidades de control de la entidad.

j) Evaluar los informes de control interno practicados por el auditor o contralor interno, u otras instancias de control interno establecidas legalmente o en los reglamentos internos, verificando que la administración haya atendido sus sugerencias y recomendaciones.

k) Hacer seguimiento al cumplimiento de las instrucciones dadas por la junta directiva u órgano equivalente, en relación con el SCI.

l) Solicitar los informes que considere convenientes para el adecuado desarrollo de sus funciones.

m) Analizar el funcionamiento de los sistemas de información, su confiabilidad e integridad para la toma de decisiones.

n) Emitir concepto, mediante un informe escrito, respecto de las posibles operaciones que se planean celebrar con partes vinculadas, para lo cual deberá verificar que las mismas se realicen en condiciones de mercado.

o) Presentar al máximo órgano social, por conducto de la junta directiva, los candidatos para ocupar el cargo de revisor fiscal, sin perjuicio del derecho de los miembros de presentar otros candidatos en la respectiva reunión. En tal sentido, la función del comité será recopilar y analizar la información suministrada por cada uno de los candidatos y someter a consideración del máximo órgano social los resultados del estudio efectuado.

p) Elaborar el informe que la junta directiva deberá presentar al máximo órgano social respecto al funcionamiento del SCI, el cual deberá incluir entre otros aspectos:

i. Las políticas generales establecidas para la implementación del SCI de la entidad.

ii. El proceso utilizado para la revisión de la efectividad del SCI, con mención expresa de los aspectos relacionados con la gestión de riesgos.

iii. Las actividades más relevantes desarrolladas por el comité de contraloría interna.

iv. Las deficiencias materiales detectadas, las recomendaciones formuladas y las medidas adoptadas, incluyendo entre otros temas aquellos que pudieran afectar los estados financieros y el informe de gestión.

v. Las observaciones formuladas por los órganos de supervisión y las sanciones impuestas, cuando sea del caso.

vi. Si existe un departamento de contraloría interna o área equivalente, presentar la evaluación de la labor realizada por el mismo, incluyendo entre otros aspectos el alcance del trabajo desarrollado, la independencia de la función y los recursos que se tienen asignados. En caso de no existir, señalar las razones concretas por las cuales no se ha considerado pertinente contar con dicho departamento o área.

vii. Las demás que le fije la junta directiva, en su reglamento interno.

Medida 43. En el comité de contraloría interna los directores independientes son mayoría.

3.3.2.1.6.2. Comité de gobierno organizacional.

Medida 44. El reglamento de la junta directiva crea un comité de gobierno organizacional. Se conforma por un número impar, igual o mayor a tres (3), de directores y expertos externos delegados por la junta directiva con conocimientos en gobierno organizacional.

Este comité está encargado de apoyar a la junta directiva (o quien haga sus veces) en la definición de una política de nombramientos y retribuciones, la garantía de acceso a información veraz y oportuna sobre la entidad, la evaluación anual del desempeño de la junta directiva, los órganos de gestión, control interno y la monitorización de negociaciones con terceros, entre estos las entidades que hacen parte del mismo grupo empresarial (si es el caso).

El comité de gobierno organizacional en ningún momento sustituye la responsabilidad que corresponde a la junta directiva y a la alta gerencia sobre la dirección estratégica del talento humano y su remuneración. En tal contexto, su responsabilidad quedará limitada a servir de apoyo al órgano directivo.

En el caso de que la EPS, la EMP o el SAP haga parte de un grupo empresarial, este comité puede ser el mismo para todas las empresas que lo conforman, siempre y cuando se cumpla a cabalidad con todas las funciones establecidas en la presente circular.

Medida 45. El comité de gobierno organizacional tiene entre otras funciones, sin limitarse a ellas, apoyar a la junta directiva en los siguientes temas:

a) Propender por que los miembros del máximo órgano social, los afiliados y el público en general tengan acceso de manera completa, veraz y oportuna a la información de la entidad que deba revelarse.

b) Revisar y evaluar la manera en que la junta directiva dio cumplimiento a sus deberes durante el periodo.

c) Monitorear las negociaciones realizadas por directores de la junta directiva con acciones, cuotas o partes de interés de la entidad o por otras entidades del mismo grupo empresarial.

d) Monitorear las negociaciones realizadas por miembros significativos con terceros, incluidas las entidades que hacen parte del mismo grupo empresarial.

e) Supervisar el cumplimiento de la política de remuneración de los administradores.

f) Revisar el desempeño de la alta gerencia, entendiendo por ella al presidente ejecutivo y a los funcionarios del grado inmediatamente inferior.

g) Proponer una política de remuneraciones y salarios para los empleados de la entidad, incluyendo la alta gerencia.

h) Proponer el nombramiento y remoción del presidente ejecutivo, gerente general o cargo equivalente, así como su remuneración.

i) Proponer los criterios objetivos por los cuales la entidad contrata a sus principales ejecutivos.

3.3.2.1.6.3. Comité de riesgos.

Medida 46. El reglamento de la junta directiva crea un comité de riesgos. Presenta una composición interdisciplinaria que incluye al menos los siguientes miembros: un (1) profesional con formación en salud y con conocimientos en epidemiología, un (1) profesional con formación en actuaria o economía o matemáticas o estadística, un (1) profesional con formación en finanzas o economía o administración de empresas con núcleo esencial en finanzas, o carreras profesionales afines, y un (1) director de la junta directiva.

Este comité está encargado de liderar la implementación y desarrollar el monitoreo de la política y estrategia de la gestión de riesgos de la entidad.

Medida 47. Las funciones del comité de riesgos deben incluir, por lo menos las siguientes:

a) Establecer estrategias para prevenir y mitigar los riesgos en salud.

b) Identificar, medir, caracterizar, supervisar y anticipar, mediante metodologías adecuadas, los diversos riesgos (de salud, económicos —incluyendo coberturas o reaseguros—, operativos, de grupo, lavado de activos, reputacionales, entre otros) asumidos por la entidad, propios de su gestión en el SGSSS.

c) Establecer medidas prudenciales como la correcta constitución de reservas técnicas, y velar por la suficiencia patrimonial. Para el caso de las EPS no indígenas, este comité debe velar por el cumplimiento del capítulo 2 “Condiciones de habilitación financiera de las EPS” del Decreto Único Reglamentario del Sector Salud y Protección Social, Decreto 780 de 2016 o normas que lo sustituyan, adicionen o modifiquen.

d) Supervisar los procesos de atención al usuario y medir y evaluar el funcionamiento del sistema de atención al usuario (seguimiento y análisis de quejas y reclamos, orientación al usuario, tiempos de espera, etc.).

(Nota: Adicionado por la Circular Externa 4 de 2018 de la Superintendencia Nacional de Salud)

3.3.2.1.6.4. Comité de conducta.

Medida 48. El reglamento de la junta directiva crea un comité de conducta. Se conforma por miembros de la alta gerencia y deben ser un número impar, igual o mayor a tres (3). Si el tema de discusión implica directamente al presidente ejecutivo (o quien haga sus veces) o al auditor interno, un número impar, igual o mayor a tres (3), de directores de la junta directiva acciona como comité de conducta.

Medida 49. Las funciones del comité de conducta incluyen al menos las siguientes:

a) Construir, coordinar y aplicar estrategias para fortalecer los pilares de conducta ética al interior de cada entidad.

b) Apoyar a la junta directiva u órgano equivalente en sus funciones de resolución de conflictos de interés.

c) Elaborar los programas necesarios para la divulgación y difusión de los principios y valores éticos de la entidad.

d) Crear y apoyar las actividades para la actualización del Código de Conducta y de Buen Gobierno, en lo relacionado con temas de conducta, cuando así se necesite.

Medida 50. El comité de conducta construye los lineamientos de las políticas antisoborno y anticorrupción para la entidad. Asimismo, garantiza su divulgación de manera constante, completa y precisa.

Medida 51. El comité de conducta implementa un programa empresarial de cumplimiento anticorrupción, de acuerdo a las directrices dadas por la Secretaría de Transparencia de la Presidencia de la República de Colombia o la Oficina de las Naciones Unidas contra la Droga y el Delito, UNODC.

Medida 52. Sin perjuicio de los procesos de riesgo identificados por el comité de conducta, este define políticas claras para prevenir o controlar los siguientes comportamientos(15):

a) Soborno a funcionarios del Estado o particulares delegados para el ejercicio de funciones públicas(16).

b) Soborno comercial y otras actividades corruptas adoptadas para el beneficio económico de la entidad o de una persona natural.

c) Cualquier alteración de registros contables para realizar un fraude, soborno u otros actos indebidos.

d) Uso de terceras partes, esto es, agentes externos, consultores y otros intermediarios en posibles esquemas de soborno.

e) Riesgo de corrupción respecto de posibles socios de negocio: Uniones temporales de negocio, consorcios, subsidiarias, fusiones y adquisiciones.

f) Pagos monetarios y/o en especie para agilizar procesos y trámites (pagos de facilitación).

g) Donaciones filantrópicas y contribuciones caritativas que tengan por finalidad realizar fraudes al sistema (como descapitalizarse o evitar embargos, entre otros actos).

h) Otras áreas de alto riesgo, como contribuciones políticas ilegales, conflictos de interés, compromisos de compensación, el uso de recursos de la seguridad social en salud para otros fines diferentes a ella, y todos los acuerdos o convenios, así como las prácticas y decisiones concertadas que, directa o indirectamente, tengan por objeto impedir, restringir o falsear el juego de la libre escogencia dentro del sistema general de la seguridad social en salud.

3.3.3. Órganos de control(17).

3.3.3.1. Principios.

Medida 53. La entidad incluye como mínimo los siguientes tres principios en los diferentes elementos que constituyen el SCI de manera expresa, documentada y soportada:

Autocontrol: Es la capacidad de todos y cada uno de los funcionarios de la organización, independientemente de su nivel jerárquico para evaluar y controlar su trabajo, orientarlo a la satisfacción del derecho a la salud de los afiliados, detectar desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, así como para mejorar sus tareas y responsabilidades.

En consecuencia, sin perjuicio de la responsabilidad atribuible a los administradores en la definición de políticas y en la ordenación del diseño de la estructura del SCI, es deber que les corresponde a todos y cada uno de los funcionarios dentro de la organización su cumplimiento, quienes por ende, en desarrollo de sus funciones y con la aplicación de procesos operativos apropiados, procuran el cumplimiento de los objetivos trazados por la dirección, en busca de lograr un mejor nivel de calidad en los servicios prestados, siempre sujetos a los límites por ella establecidos.

Autorregulación: Se refiere a la capacidad de la organización para desarrollar y aplicar métodos, normas y procedimientos que permitan el desarrollo, implementación y mejoramiento del SCI, dentro del marco de las disposiciones aplicables.

Autogestión: Apunta a la capacidad de la entidad para interpretar, coordinar, ejecutar y evaluar de manera efectiva, eficiente y eficaz su funcionamiento.

Basado en los principios mencionados, el SCI establece las acciones, los métodos, procedimientos y mecanismos de prevención, de control, de evaluación y de mejoramiento continuo de la entidad que le permiten tener una seguridad razonable acerca de la consecución de sus objetivos, cumpliendo las normas que la regulan.

3.3.3.2. Elementos del sistema de control interno.

Medida 54. La entidad aseguradora diseña e implementa la estructura de control interno necesaria para alcanzar los fines ya mencionados, incluyendo por lo menos los siguientes tópicos: (i) Ambiente de control, (ii) Gestión de riesgos, (iii) Actividades de control, (iv) Información y comunicación, (v) Monitoreo, y (vi) Evaluaciones independientes.

3.3.3.2.1. Ambiente de control.

Preámbulo: El ambiente de control está dado por la implementación y consolidación de una cultura organizacional que fomenta los principios antes señalados, orientados hacia el control, procurando el acceso al aseguramiento en salud de manera oportuna, eficaz y con calidad para la preservación, el mejoramiento y la promoción de la salud. Es el fundamento de todos los demás elementos del SCI, dado que la eficacia del mismo depende de que las entidades cuenten con personal competente e inculquen en toda la organización un sentido de integridad y concientización sobre el control.

Medida 55. En lo relacionado con el ambiente de control, la entidad realiza como mínimo las siguientes funciones:

a) Determinar formalmente, por parte de la alta gerencia, los principios básicos que rigen la entidad, los cuales deben constar en documentos que se divulguen a toda la organización y a grupos de interés.

b) Establecer unos lineamientos de conducta (incluidos explícitamente en el Código de Conducta y de Buen Gobierno), los cuales deben ser expresamente adoptados por todos los funcionarios de la entidad.

c) Adoptar los procedimientos que propicien que los empleados en todos los niveles de la organización cuenten con los conocimientos, habilidades y conductas necesarios para el desempeño de sus funciones. Para el efecto, las entidades deben contar con políticas y prácticas expresas de gestión humana, que incluyan las competencias, habilidades, aptitudes e idoneidad de sus funcionarios, así como una definición clara de los niveles de autoridad y responsabilidad, precisando el alcance y límite de los mismos. La estructura organizacional debe estar armonizada con el tamaño y naturaleza de las actividades de la entidad, soportando el alcance del SCI.

d) Establecer unos objetivos coherentes y realistas, que deben estar alineados con la misión, visión y objetivos estratégicos de la entidad y del SGSSS, para que, a partir de esta definición, se formule la estrategia y se determinen los correspondientes objetivos operativos, de reporte y de cumplimiento para la organización.

e) Se entiende por objetivos operativos aquellos que se refieren a la utilización eficaz y eficiente de los recursos en las operaciones de la entidad. Deben reflejar la razón de ser de las organizaciones y van dirigidos a la consecución del objeto social. Los objetivos de reporte o de información consisten en la preparación y publicación de informes de gestión en salud y estándares de resultados en salud, estados financieros y otros informes que divulga la entidad.

f) Los objetivos de cumplimiento se refieren a aquellos que pretenden asegurar el cumplimiento por parte de la entidad de las normas legales y los reglamentos que le sean aplicables.

g) Estos tres tipos de objetivos deben ser difundidos por la alta gerencia a todos los niveles de la entidad y actualizarse en forma periódica.

3.3.3.2.2. Gestión de riesgos.

Medida 56. La entidad adelanta como mínimo los siguientes procedimientos respecto a la gestión de riesgos:

a) Identificar las amenazas que enfrenta la entidad y las fuentes de las mismas.

b) Autoevaluar los riesgos existentes en sus procesos, identificándolos, clasificándolos y priorizándolos a través de un ejercicio de valoración, teniendo en cuenta los factores propios de su entorno y la naturaleza de su actividad. Las categorías de riesgos incluyen como mínimo los riesgos en salud, los riesgos económicos(18), los riesgos asociados a procesos operativos de las entidades y el riesgo de lavado de activos y financiación del terrorismo.

c) Medir la probabilidad de ocurrencia de los riesgos y su impacto sobre los recursos de la entidad (económicos, humanos, entre otros), así como sobre su credibilidad y buen nombre, en caso de materializarse. Esta medición es cuantitativa, sin embargo, en caso excepcional de no contar con la suficiente información, podrá ser cualitativa.

d) Identificar y evaluar con criterio conservador, los controles existentes y su efectividad, mediante un proceso de valoración realizado con base en la experiencia y un análisis razonable y objetivo de los eventos ocurridos.

e) Construir los mapas de riesgos que resulten pertinentes, los cuales deben ser actualizados periódicamente, permitiendo visualizarlos de acuerdo con la vulnerabilidad de la organización a los mismos.

f) Implementar, probar y mantener un proceso para administrar la continuidad de la operación de la entidad, que incluya elementos como: prevención y atención de emergencias, administración de crisis, planes de contingencia para responder a las fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la operación normal.

g) Divulgar entre los funcionarios que intervienen en los procesos respectivos, los mapas de riesgos y las políticas definidas para su administración.

h) Gestionar los riesgos en forma integral, aplicando diferentes estrategias que permitan llevarlos hacia niveles tolerables. Para cada riesgo se selecciona la alternativa que presente la mejor relación entre el beneficio esperado y el costo en que se debe incurrir para su tratamiento. Entre las estrategias posibles se encuentran las de evitar los riesgos, mitigarlos, compartirlos, transferirlos, o aceptarlos, según resulte procedente.

i) Registrar, medir y reportar los eventos de pérdidas por materialización de riesgos.

j) Hacer seguimiento a través de los órganos competentes, de acuerdo al campo de acción de cada uno de ellos, estableciendo los reportes o acciones de verificación que la administración de la entidad y los jefes de cada órgano social consideren pertinentes o les exija la normatividad vigente.

k) Definir las acciones correctivas y preventivas derivadas del proceso de seguimiento y evaluación de los riesgos (planes de mejoramiento).

l) Adicionalmente, las entidades cumplen las instrucciones especiales que en materia de gestión de riesgos imparte la Superintendencia Nacional de Salud y la normatividad vigente en la materia.

3.3.3.2.3. Actividades de control.

Preámbulo: Las actividades de control son el desarrollo de las políticas y los procedimientos que deben seguirse para lograr que las instrucciones de la administración con relación a sus controles se cumplan.

Las actividades de control son seleccionadas y desarrolladas considerando la relación beneficio/costo y su potencial de efectividad para mitigar los riesgos que afecten en forma material el logro de los objetivos de la organización. Dichas actividades implican una política que establece lo que debe hacerse y adicionalmente los procedimientos para llevarla a cabo. Todas estas actividades deben tener como principal objetivo la determinación y prevención de los riesgos (potenciales o reales), errores, fraudes u otras situaciones que afecten o puedan llegar a afectar la estabilidad y/o el prestigio de la entidad.

Medida 57. La entidad adelanta unas actividades de control obligatorias para todas las áreas, operaciones y procesos de la entidad, tales como, las siguientes:

a) Revisiones de alto nivel, como son el análisis de informes y presentaciones que solicitan los directores de junta directiva u órganos que hagan sus veces y otros altos directivos de la organización para efectos de analizar y monitorear los resultados o el progreso de la entidad hacia el logro de sus objetivos; detectar problemas, tales como deficiencias de control, errores en los informes financieros o en los resultados en salud y adoptar los correctivos necesarios.

b) Controles generales, que rigen para todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operación adecuada. Dentro de estos se incluyen aquellos que se hagan sobre la administración de la tecnología de información, su infraestructura, la administración de seguridad y la adquisición, desarrollo y mantenimiento del software.

c) Controles de aplicación, los cuales incluyen pasos a través de sistemas tecnológicos y manuales de procedimientos relacionados. Se centran directamente en la suficiencia, exactitud, autorización y validez de la captura y procesamiento de datos. Su principal objetivo es prevenir que los errores se introduzcan en el sistema, así como detectarlos y corregirlos una vez involucrados en él. Si se diseñan correctamente, pueden facilitar el control sobre los datos introducidos en el sistema.

d) Limitaciones de acceso físico a las distintas áreas de la organización, y controles de acceso a los sistemas de información, de acuerdo con el nivel de riesgo asociado a cada área, teniendo en cuenta tanto la seguridad de los funcionarios de la entidad como de sus bienes, de los activos de terceros que administra y de su información.

e) Segregación de funciones.

f) Acuerdos de confidencialidad.

g) Procedimientos de control aleatorios.

h) Difusión de las actividades de control.

3.3.3.2.4. Información y comunicación.

3.3.3.2.4.1. Información.

Medida 58. Los sistemas de información de la entidad son funcionales y permiten la dirección y control de la operación en forma adecuada. Asimismo, manejan tanto los datos internos como aquellos que se reciben del exterior. Tales sistemas garantizan que la información cumpla con los criterios de seguridad (confidencialidad, integridad y disponibilidad), calidad (completitud, validez y confiabilidad) y cumplimiento, para lo cual se establecen controles generales y específicos para la entrada, el procesamiento y la salida de la información, atendiendo su importancia relativa y nivel de riesgo.

La entidad adelanta como mínimo las siguientes acciones respecto a la gestión de la información:

a) Identificar la información que se recibe y su fuente.

b) Asignar el responsable de cada información y las personas que pueden tener acceso a la misma.

c) Diseñar formularios y/o mecanismos que ayuden a minimizar errores u omisiones en la recopilación y procesamiento de la información, así como en la elaboración de informes.

d) Diseñar procedimientos para detectar, reportar y corregir los errores y las irregularidades que puedan presentarse.

e) Establecer procedimientos que permitan a la entidad retener o reproducir los documentos fuente originales, para facilitar la recuperación o reconstrucción de datos, así como para satisfacer requerimientos legales.

f) Definir controles para garantizar que los datos y documentos sean preparados por personal autorizado para hacerlo.

g) Implementar controles para proteger adecuadamente la información sensible contra acceso o modificación no autorizada.

h) Diseñar procedimientos para la administración del almacenamiento de información y sus copias de respaldo.

i) Establecer parámetros para la entrega de copias, a través de cualquier modalidad (papel, medio magnético, entre otros).

j) Clasificar la información (en pública, clasificada o reservada, entre otras, según corresponda).

k) Verificar la existencia o no de procedimientos de custodia de la información, cuando sea del caso, y de su eficacia.

l) Implementar mecanismos para evitar el uso de información privilegiada, en beneficio propio o de terceros.

m) Detectar deficiencias y aplicar acciones de mejoramiento.

n) Cumplir los requerimientos legales y reglamentarios.

Medida 59. Además de la información que se proporciona al público y a la Superintendencia Nacional de Salud de conformidad con las normas vigentes, se difunde, de acuerdo con lo que los administradores de la entidad consideran pertinente, la información que hace posible conducir y controlar la organización, sin perjuicio de aquella que sea de carácter privilegiado, confidencial o reservado, respecto de la cual se adoptan todas las medidas que resultan necesarias para su protección, incluyendo lo relacionado con su almacenamiento, acceso, conservación, custodia y divulgación.

Medida 60. A la información clasificada o sujeta a reserva por disposición legal, solo tiene acceso directo ciertas personas (sujetos calificados), en razón de su profesión u oficio, ya que de conocerse podría vulnerarse el derecho a la intimidad de las personas. Los registros individuales que incluyen información a nivel de individuos pueden usarse internamente o con terceros para fines analíticos, estadísticos o de investigación siempre y cuando sean debidamente anonimizados de conformidad con el artículo 6º de la Ley 1581 de 2012 (o cualquier norma que lo sustituya, modifique o elimine).

Medida 61. A la información que se proporciona a esta superintendencia la entidad adiciona, sin ser excluyente, la exposición de las transacciones que se realizan entre las partes vinculadas y dentro de su grupo empresarial, según sea el caso, así como las relaciones existentes entre unas y otras, siguiendo lo dispuesto en este sentido por la Norma Internacional de Contabilidad (NIC 24), la Ley 222 de 1995 y demás disposiciones que adicionen, modifiquen o sustituyan.

Medida 62. Los administradores de la entidad definen políticas de seguridad de la información, mediante la ejecución de un programa que comprende, entre otros, el diseño, la implantación, la divulgación, la educación y el mantenimiento de las estrategias y mecanismos para administrar la seguridad de la información, lo cual incluye, entre otros mecanismos, la celebración de acuerdos de confidencialidad(19), en aquellos casos en los cuales resulta indispensable suministrar información privilegiada a personas que en condiciones normales no tienen acceso a la misma.

3.3.3.2.4.2. Comunicación.

Medida 63. Cada empleado conoce el papel que desempeña dentro de la organización y dentro del SCI y la forma en la cual las actividades a su cargo están relacionadas con el trabajo de los demás. Para el efecto, la entidad dispone de medios para comunicar la información significativa, tanto al interior de la organización como hacia su exterior.

Medida 64. Como parte de una adecuada administración de la comunicación, la entidad cuenta cuando menos con los siguientes elementos:

a) Canales de comunicación.

b) Responsables de su manejo.

c) Requisitos de la información que se divulga.

d) Frecuencia de la comunicación.

e) Responsables.

f) Destinatarios.

g) Controles al proceso de comunicación.

Adicionalmente, los administradores de la entidad adoptan los procedimientos necesarios para garantizar la calidad, oportunidad, veracidad, suficiencia y en general el cumplimiento de todos los requisitos que inciden en la credibilidad y utilidad de la información que la respectiva organización revela al público.

3.3.3.2.5. Monitoreo.

Medida 65. La entidad cuenta con un proceso en el que se permite verificar la calidad del control interno a través del tiempo. Se efectúa por medio de la supervisión continua que realizan los jefes o líderes de cada área o proceso como parte habitual de su responsabilidad (vicepresidentes, gerentes, directores, etc., dentro del ámbito de la competencia de cada uno de ellos), así como de las evaluaciones periódicas que realiza el departamento de contraloría interna u órgano equivalente, el presidente ejecutivo o máximo responsable de la organización y otras revisiones dirigidas. Estas evaluaciones están alineadas con el modelo de seguimiento de la operación del aseguramiento en salud que define el Ministerio de Salud y Protección Social y con los requerimientos de las diferentes entidades regulatorias y de control del SGSSS.

Las deficiencias de control interno son identificadas y comunicadas de manera oportuna a las partes responsables de tomar acciones correctivas y, cuando resultan materiales, se informa también a la junta directiva u órgano equivalente.

3.3.3.2.6. Evaluaciones independientes.

Medida 66. La entidad utiliza empresas de auditoría externa para revisar la efectividad del control interno. Las debilidades resultado de esta evaluación y sus recomendaciones de mejoramiento, son reportadas de manera ascendente, informando sobre asuntos representativos de manera inmediata al comité de contraloría interna, y haciéndoles seguimiento.

3.3.3.3. Áreas especiales dentro del sistema de control interno.

Preámbulo: El SCI debe abarcar todas las áreas de la organización, aplicando para cada una de ellas los objetivos, principios, elementos y actividades de control, información, comunicación y otros fundamentos del sistema. No obstante, por su particular importancia se considera pertinente entrar a analizar algunos aspectos del SCI relacionados con las áreas de salud, financiera y tecnológica.

(Nota: Modificado el presente numeral por la Circular Externa 4 de 2018 de la Superintendencia Nacional de Salud)

3.3.3.3.1. Control interno en la gestión de salud.

Medida 67. La entidad implementa los sistemas necesarios para hacer una evaluación sistemática de la atención en salud (en los tópicos de accesibilidad, oportunidad, seguridad, pertinencia y continuidad), a través de los procesos de contraloría, seguimiento, evaluación, identificación de problemas y solución de los mismos, mediante técnicas de auditoría o de autoevaluación para la calificación y mejoramiento de la calidad en la atención en salud.

Los representantes legales son responsables de adelantar todas las acciones necesarias para garantizar la calidad en la prestación de sus servicios, de conformidad con las normas vigentes en materia de garantía de la calidad, para lo cual diseñan procedimientos de control necesarios e incluyen en el informe de gestión que los administradores de la entidad presenten a la asamblea general u órgano equivalente, y a la junta directiva o quien haga sus veces, evaluaciones sobre el desempeño de los mencionados sistemas.

Medida 68. Los representantes legales informan a la junta directiva u órgano equivalente sobre la implementación y desarrollo de las acciones de auditoría para la garantía de la calidad, la revisión y el monitoreo de los niveles de acreditación, sobre las medidas que se deben adoptar para la superación de los eventos detectados, sobre los resultados de siniestralidad resultante respecto de la esperada y del mercado, sobre los eventos de seguridad relevantes y, particularmente, todas las deficiencias encontradas y las medidas adoptadas para superarlas.

3.3.3.3.1.1. Políticas de gestión en salud.

Medida 69. La junta directiva u órgano equivalente adopta las políticas de gestión en salud orientadas a obtener la mejor calidad, para ello las definen, desarrollan, documentan y comunican, junto con los recursos, procesos, procedimientos, metodologías y controles necesarios para asegurar su cumplimiento, en procura de garantizar, cuando menos, accesibilidad, oportunidad, seguridad, pertinencia y continuidad en la prestación del servicio.

Tales políticas se refirieren, cuando menos a:

a) Definición de estándares de calidad en la atención en salud que se pretenden alcanzar.

b) Estructura y procesos que se implementan para lograr los objetivos.

c) Acciones de seguimiento, evaluación continua y sistemática a los niveles de calidad y a la concordancia entre los resultados obtenidos y los estándares planteados, de conformidad con las pautas dadas por el Ministerio de Salud y Protección Social y con la normatividad vigente.

d) Procesos de auditoría interna o en el mejor caso auditoría externa, para evaluar sistemáticamente los procesos de atención a los usuarios para determinar su nivel de satisfacción. Para las EPS esta medida deberá tener en cuenta los servicios prestados por parte de los prestadores de servicios de salud, de conformidad con las normas vigentes sobre garantía de la calidad.

e) Diseño de programas para establecer una cultura de calidad en la atención en salud que incluya programas de capacitación y entrenamiento de los funcionarios.

f) Diseño de programas para establecer acciones pedagógicas que tengan por finalidad fomentar la cultura del cuidado en los usuarios.

3.3.3.3.2. Control interno en la gestión financiera.

Medida 70. Los representantes legales son los responsables del establecimiento y mantenimiento de adecuados sistemas de revelación y control de la información financiera, por lo cual diseñan procedimientos de control sobre la calidad, suficiencia y oportunidad de la misma. Además, verifican la operatividad de los controles establecidos al interior de la correspondiente entidad, e incluyen en el informe de gestión que los administradores presentan a la asamblea general u órgano equivalente, la evaluación sobre el desempeño de los mencionados sistemas de revelación y control.

Medida 71. Los representantes legales son los responsables de informar ante el comité de contraloría interna o en su defecto a la junta directiva u órgano equivalente, todas las deficiencias significativas encontradas en el diseño y operación de los controles internos que hubieran impedido a la entidad registrar, procesar, resumir y presentar adecuadamente la información financiera de la misma. También son los responsables de reportar los casos de fraude que hayan podido afectar la calidad de la información financiera, así como cambios en la metodología de evaluación de la misma.

3.3.3.3.2.1. Políticas contables.

Medida 72. La entidad adopta como mínimo las siguientes políticas de control contable:

a) Supervisión de los procesos contables.

b) Evaluaciones y supervisión de los aplicativos, accesos a la información y archivos, utilizados en los procesos contables.

c) Presentación de informes de seguimiento.

d) Validaciones de calidad de la información, revisando que las transacciones u operaciones sean veraces y estén adecuadamente calculadas y valoradas aplicando principios de medición y reconocimiento.

e) Comparaciones, inventarios y análisis de los activos de la entidad, realizados a través de fuentes internas y externas.

f) Supervisión continua de los sistemas de información.

g) Autorización apropiada de las transacciones por los órganos de dirección y administración.

h) Autorización y control de documentos con información financiera.

i) Autorizaciones y establecimiento de límites en las diferentes actividades del proceso contable.

3.3.3.3.3. Control interno para la gestión de la tecnología.

Medida 73. La entidad establece, desarrolla, documenta y comunica políticas de tecnología y define los recursos, procesos, procedimientos, metodologías y controles necesarios para asegurar el cumplimiento de las políticas adoptadas.

3.3.3.3.3.1. Políticas de tecnología.

Medida 74. La entidad cuenta con un plan de infraestructura de tecnología, que incluye, por lo menos las siguientes variables:

a) Administración de proyectos de sistemas.

b) Administración de la calidad.

c) Adquisición de tecnología.

d) Adquisición y mantenimiento de software de aplicación.

e) Instalación y acreditación de sistemas.

f) Administración de cambios.

g) Administración de servicios con terceros.

h) Administración, desempeño, capacidad y disponibilidad de la infraestructura tecnológica.

i) Continuidad del negocio.

j) Seguridad de los sistemas.

k) Capacitación y entrenamiento de usuarios.

l) Administración de los datos.

m) Administración de instalaciones.

n) Administración de operaciones de tecnología y documentación.

Es importante resaltar que la junta directiva u órgano equivalente debe conocer y hacer seguimiento a su desempeño, así como participar activamente en la definición de sus componentes, objetivos y ajustes, a lo largo del tiempo, mediante la determinación de las políticas, necesidades y expectativas de la entidad.

3.3.3.4. Responsabilidades dentro del sistema de control interno.

3.3.3.4.1. Junta directiva u órgano equivalente.

Medida 75. En adición a las obligaciones especiales asignadas a este órgano, o el que haga sus veces en las normas legales, estatutarias o en reglamentos vigentes de conformidad con la naturaleza jurídica de la entidad, en materia de control interno, la junta directiva u órgano equivalente es la instancia responsable de:

a) Participar en la planeación estratégica de la entidad, aprobarla y hacerle seguimiento, para determinar su ajuste, cuando se requiera.

b) Definir y aprobar las estrategias y políticas generales relacionadas con el SCI, con fundamento en las recomendaciones de los comités de la junta cuando los haya.

c) Establecer mecanismos de evaluación formal a la gestión de los administradores y sistemas de remuneración e indemnización atados al cumplimiento de objetivos a largo plazo y los niveles de riesgo.

d) Definir claras líneas de responsabilidad y rendición de cuentas a través de la organización.

e) Designar a los directivos de las áreas encargadas del SCI, salvo que el régimen legal aplicable a la respectiva entidad establezca una instancia diferente para el efecto.

f) Adoptar las medidas necesarias para garantizar la independencia del auditor interno y hacer seguimiento a su cumplimiento.

g) Conocer los informes relevantes respecto del SCI que sean presentados por los diferentes órganos de control e impartir las órdenes necesarias para que se adopten las recomendaciones y correctivos a que haya lugar.

h) Solicitar y estudiar, con la debida anticipación, toda la información relevante que requiera para contar con la ilustración suficiente para adoptar responsablemente las decisiones que le corresponden y solicitar asesoría experta, cuando sea necesario.

i) Requerir las aclaraciones y formular las objeciones que considere pertinentes respecto a los asuntos que se someten a su consideración.

j) Aprobar los recursos suficientes para que el SCI cumpla sus objetivos.

k) Efectuar seguimiento en sus reuniones ordinarias directamente o a través de informes periódicos que le presenten los comités de la junta directiva, sobre la gestión de estos aspectos en la entidad y las medidas más relevantes adoptadas para su control, por lo menos cada seis (6) meses, o con una frecuencia mayor si así resulta procedente.

l) Evaluar las recomendaciones relevantes que formulen los comités de junta directiva cuando los haya, y de los otros órganos de control internos y externos; adoptar las medidas pertinentes y hacer seguimiento a su cumplimiento.

m) Evaluar los estados financieros, con sus notas, antes de que sean presentados al máximo órgano social, teniendo en cuenta los informes y recomendaciones que le presente el comité de contraloría interna.

n) Presentar al final de cada ejercicio al máximo órgano social un informe sobre el resultado de la evaluación del SCI y sus actuaciones sobre el particular.

Todas las decisiones y actuaciones que se producen en desarrollo de las atribuciones antes mencionadas constan por escrito en el acta de la reunión respectiva y están debidamente motivadas. La junta directiva u órgano equivalente determina la información que debe ser divulgada a los diferentes niveles de la organización, de acuerdo con lo que considera pertinente.

3.3.3.4.2. Representante legal(20).

Medida 76. En adición a las obligaciones especiales asignadas al representante legal en otras disposiciones legales, estatutarias o en reglamentos, en materia de control interno el representante legal es la instancia responsable de:

a) Implementar las estrategias y políticas aprobadas por la junta directiva u órgano equivalente en relación con el SCI.

b) Comunicar las políticas y decisiones adoptadas por la junta directiva u órgano equivalente a todos y cada uno de los funcionarios dentro de la entidad, quienes en desarrollo de sus funciones y con la aplicación de procesos operativos apropiados deben procurar el cumplimiento de los objetivos trazados por la dirección, siempre sujetos a los lineamientos por ella establecidos.

c) Poner en funcionamiento la estructura, procedimientos y metodologías inherentes al SCI, en desarrollo de las directrices impartidas por la junta directiva, garantizando una adecuada segregación de funciones y asignación de responsabilidades.

d) Implementar los diferentes informes, protocolos de comunicación, sistemas de información y demás determinaciones de la junta directiva relacionados con el SCI.

e) Fijar los lineamientos tendientes a crear la cultura organizacional de control, mediante la definición y puesta en práctica de las políticas y los controles suficientes, la divulgación de las normas éticas y de integridad dentro de la institución y la definición y aprobación de canales de comunicación, de tal forma que el personal de todos los niveles comprenda la importancia del control interno e identifique su responsabilidad frente al mismo.

f) Realizar revisiones periódicas al Código de Conducta y de Buen Gobierno.

g) Proporcionar a los órganos de control internos y externos, toda la información que requieran para el desarrollo de su labor.

h) Proporcionar los recursos que se requieran para el adecuado funcionamiento del SCI, de conformidad con lo autorizado por la junta directiva u órgano equivalente.

i) Certificar que los estados financieros y otros informes relevantes para el público no contienen vicios, imprecisiones o errores que impidan conocer la verdadera situación patrimonial o las operaciones de la correspondiente entidad.

j) Establecer y mantener adecuados sistemas de revelación y control de la información de los resultados en salud y de la información financiera, para lo cual deberá diseñar procedimientos de control y revelación para que la información sea presentada en forma adecuada.

k) Establecer mecanismos para la recepción de denuncias (líneas telefónicas, buzones especiales en el sitio web, entre otros) que faciliten a quienes detecten eventuales irregularidades ponerlas en conocimiento de los órganos competentes de la entidad.

l) Verificar la operatividad de los controles establecidos al interior de la entidad.

m) Incluir en su informe de gestión un aparte independiente en el que se dé a conocer al máximo órgano social la evaluación sobre el desempeño del SCI en cada uno de sus elementos.

En general, el representante legal es el responsable de dirigir la implementación de los procedimientos de control y revelación, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento, para lo cual demuestra la ejecución de los controles que le corresponden.

Medida 77. El representante legal deja constancia documental de sus actuaciones relacionadas con sus responsabilidades, mediante memorandos, cartas, actas de reuniones o los documentos que resulten pertinentes para el efecto.

Adicionalmente, mantiene a disposición del auditor interno, el revisor fiscal y demás órganos de supervisión o control los soportes necesarios para acreditar la correcta implementación del SCI, en sus diferentes elementos, procesos y procedimientos.

3.3.3.5. Departamento de contraloría interna u órgano que cumpla funciones equivalentes.

Preámbulo: La contraloría interna es una actividad que se fundamenta en criterios de independencia y objetividad, concebida para agregar valor y mejorar las operaciones de una organización, ayudándola a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión, control y gobierno.

En tal sentido y ante la importancia que representa la contraloría (o auditoría) interna en el control y gestión exitosos de una organización, la Superintendencia Nacional de Salud estima necesario que las entidades bajo su supervisión que cuenten con un auditor interno, contralor, juntas de vigilancia o funcionario que cumpla funciones equivalentes, adopten como referente y cumplan normas y parámetros mínimos que garanticen el ejercicio profesional e idóneo de la auditoría o contraloría interna, acorde con los estándares y mejores prácticas internacionales.

Para las entidades a las que va dirigida esta circular que pertenezcan al sector público, se admite el enfoque de contraloría interna establecido en el modelo estándar de control interno, MECI(21). En todo caso, los departamentos de contraloría interna o quienes hagan sus veces se les recomienda, en lo que no sea contrario a las disposiciones legales aplicables, los lineamientos básicos de la presente circular.

En adición a lo previsto para el cumplimiento de las exigencias legales sobre garantía de la calidad, cuando a ello haya lugar, se considera como buena práctica de gobierno organizacional contar con un área, departamento o dependencia que asuma como mínimo las siguientes medidas.

3.3.3.5.1. Pautas para el ejercicio de la contraloría interna.

3.3.3.5.1.1. Objetivo y responsabilidad.

Medida 78. Los objetivos, la autoridad y la responsabilidad de la contraloría interna están formalmente definidos en un documento, debidamente aprobado por la junta directiva u órgano equivalente, en donde se establece un acuerdo con la alta gerencia de la entidad respecto de la función y responsabilidad de la actividad de contraloría interna, su posición dentro de la organización y la autorización al auditor interno para que tenga acceso a todos los registros relevantes para la ejecución de su labor.

3.3.3.5.1.2. Independencia y objetividad.

Medida 79. La actividad de contraloría interna es independiente, y el auditor interno es objetivo en el cumplimiento de su trabajo a través de una actitud imparcial y neutral, buscando siempre evitar conflictos de intereses.

Si la independencia u objetividad del auditor interno en cualquier momento se ve comprometida de hecho o en apariencia, los detalles del impedimento se dan a conocer por escrito a la junta directiva u órgano equivalente.

Medida 80. El auditor interno o quien haga sus veces es nombrado por la junta directiva u órgano equivalente.

3.3.3.5.1.3. Pericia y debido cuidado profesional.

Medida 81. Tanto el auditor interno como su equipo de trabajo reúnen los conocimientos, las aptitudes y las competencias necesarias para cumplir con sus responsabilidades.

Cuentan con asesoría y asistencia competente para aquellas áreas especializadas respecto de las cuales él o su personal no cuentan con los conocimientos necesarios.

El auditor interno cumple su trabajo con el cuidado y la pericia que se esperan de un especialista razonablemente prudente y competente.

3.3.3.5.1.4. Programa de calidad y cumplimiento.

Medida 82. El auditor interno desarrolla y mantiene un programa de calidad y mejora que cubre todos los aspectos de la actividad de contraloría interna y revisa continuamente su eficacia. Este programa incluye evaluaciones de calidad externas e internas periódicas y supervisión interna continua. Cada parte del programa está diseñada para ayudar a la actividad de contraloría interna a añadir valor y a garantizar que cumpla con las normas aplicables a esta actividad.

Cuando el incumplimiento afecta el alcance general o el funcionamiento de la actividad de contraloría interna, se aclara esta situación a la alta gerencia y a la junta directiva u órgano competente, informándoles los obstáculos que se presentaron para generar esta situación.

3.3.3.5.1.5. Administración de la actividad.

Medida 83. El auditor interno gestiona efectivamente la actividad que desarrolla para asegurar que su trabajo está generando valor agregado a la organización, para lo cual ejerce entre otras, las siguientes actividades:

a) Plan anual: Establece anualmente, planes soportados en los objetivos de la entidad, de acuerdo a las mejores prácticas basadas en riesgos, a fin de determinar las prioridades de la actividad de contraloría interna, incluyendo entre otros, el derivado de las operaciones y relaciones con otras entidades del mismo grupo empresarial (si es el caso). Esto lo comunica al representante legal y a la junta directiva.

b) Requerimientos: Determina los requerimientos de recursos para el adecuado ejercicio de su labor y lo comunica al representante legal y a la junta directiva directamente o por conducto del comité de contraloría, para la adecuada revisión y aprobación. También comunica el impacto de cualquier limitación de recursos.

c) Políticas: Establece políticas y procedimientos para guiar la actividad de contraloría interna, en pro de asegurar la adecuada ejecución de acciones contra riesgos. Asimismo, comparte información y coordina actividades con los otros órganos de control para lograr una cobertura adecuada y minimizar la duplicación de esfuerzos.

d) Condiciones de los informes: Los informes emitidos por el auditor interno son precisos, objetivos, claros, constructivos, completos y oportunos. Igualmente, están debidamente soportados en evidencias suficientes y realizan el seguimiento a las acciones tomadas por la administración frente a estas comunicaciones.

3.3.3.5.1.6. Funciones.

Medida 84. La actividad de contraloría interna evalúa y contribuye a la mejora de los procesos de gestión de riesgos, control y gobierno de la entidad, utilizando un enfoque sistemático y disciplinado, que incluye por lo menos las siguientes funciones:

a) Gestión de salud: Evalúa la eficacia del sistema de gestión de salud de la entidad para verificar si se están cumpliendo las políticas y directrices trazadas por la junta directiva.

b) Sistema de control interno: La actividad de contraloría interna asiste a la organización en el mantenimiento de controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora continua, sin perjuicio de la autoevaluación y el autocontrol que corresponden a cada funcionario de la entidad.

c) Gobierno interno: La actividad de contraloría interna valora y hace las recomendaciones apropiadas para mejorar el proceso de gobierno interno, para lo cual evalúa el diseño, implantación y eficacia de los objetivos, programas y actividades de la organización.

d) El auditor interno establece un proceso de seguimiento, para supervisar y verificar que las acciones de la dirección, si llegasen a existir, hayan sido efectivamente implantadas. Este aspecto queda debidamente documentado.

e) Comunicación de resultados: El auditor interno comunica los resultados de su labor, en forma precisa, objetiva, clara, concisa, constructiva, completa y oportuna. Por lo menos al cierre de cada ejercicio, el auditor interno o quien haga sus veces presenta un informe de su gestión y su evaluación sobre la eficacia del SCI, incluyendo todos sus elementos. Dicho informe debe contener por lo menos lo siguiente:

i. Identificación de los temas, procesos, áreas o materias objeto del examen, el periodo y criterios de evaluación y la responsabilidad sobre la información utilizada, precisando que la responsabilidad del auditor interno es señalar los hallazgos y recomendaciones sobre los sistemas de control interno.

ii. Especificación respecto a que las siguientes evaluaciones se realizaron de acuerdo con la regulación, las políticas definidas por la junta directiva u órgano equivalente y las mejores prácticas de contraloría sobre el particular: evaluación de la confiabilidad de los sistemas de información contable, financiera y administrativa; evaluación sobre el funcionamiento y confiabilidad del sistema de control interno; evaluación de la calidad y adecuación de los sistemas establecidos para garantizar el cumplimiento con las leyes, regulaciones, políticas y procedimientos y evaluación de la calidad y adecuación de otros sistemas y procedimientos; análisis de la estructura organizacional y evaluación de la adecuación de los métodos y recursos en relación con su distribución.

iii. Resultados de la evaluación realizada respecto a la existencia, funcionamiento, efectividad, eficacia, confiabilidad y razonabilidad de los sistemas de control interno.

iv. Información de la forma en que fueron obtenidas sus evidencias, indicando cuál fue el soporte técnico de sus conclusiones.

v. Indicación sobre las limitaciones encontradas para realizar sus evaluaciones, para tener acceso a información u otros eventos que puedan afectar el resultado de las pruebas realizadas y las conclusiones.

vi. Relación de las recomendaciones formuladas sobre deficiencias materiales detectadas, mencionando los criterios generales que se tuvieron en cuenta para determinar la importancia de las mismas.

vii. Resultados del seguimiento a la implementación de las recomendaciones formuladas en informes anteriores.

Es de advertir que, si bien resulta viable que la administración de las entidades supervisadas contrate externamente la realización de las actividades propias de la auditoría o contraloría, en ningún caso ello implica el traslado de la responsabilidad sobre la auditoría misma. Es decir, que la administración de la entidad solo entrega la ejecución de la labor mas no la responsabilidad misma de la realización de la auditoría, la cual conserva siempre.

En tal sentido, la administración de la entidad debe realizar el direccionamiento, administración y seguimiento de la actividad realizada por el tercero, sin delegar la toma de decisiones. Adicionalmente debe garantizarse el acceso permanente de la administración y del supervisor a la información de la auditoría y a los papeles de trabajo, el establecimiento de un plan de contingencias para que no cese la labor en caso de algún problema en la ejecución del contrato, y la independencia entre el auditor interno y externo (si existe este último), teniendo en cuenta que las dos funciones mencionadas no pueden ser desarrolladas por la misma entidad o persona.

3.3.3.6. Órganos externos.

3.3.3.6.1. Revisor fiscal.

Medida 85. El revisor fiscal de la entidad valora los sistemas de control interno y de gestión de riesgos implementados a fin de emitir la opinión a la que se refiere. Para el caso específico de EPS, se sigue lo previsto en el artículo 228 de la Ley 100 de 1993 o normas que lo modifiquen, sustituyan o eliminen.

El revisor fiscal seleccionado, para poder cumplir con el criterio de independencia, garantiza que sus ingresos provenientes de la EPS, la EMP o el SAP no superan el tres por ciento (3%) de sus ingresos totales.

De otra parte, cuando la revisoría fiscal es una persona jurídica, la EPS, la EMP o el SAP establece su cambio a más tardar cada 5 años. Cuando es persona natural se cambia a más tardar cada tres años.

(Nota: Adicionado por la Circular Externa 4 de 2018 de la Superintendencia Nacional de Salud)

3.3.4. Grupos de interés.

3.3.4.1. Rendición de cuentas.

3.3.4.1.1. Frente al público.

Medida 86. En las audiencias públicas de rendición de cuentas, se dará información sobre la gestión integral adelantada por la entidad responsable del aseguramiento en salud, el manejo presupuestal, financiero y administrativo, los avances y logros obtenidos como producto de las reuniones concertadas con las asociaciones respectivas y las acciones correctivas tomadas por el ejercicio del proceso veedor.

Medida 87. Los compromisos adquiridos por las entidades responsables del aseguramiento en salud y la comunidad a través de las asociaciones, ligas o alianzas de usuarios, están regulados por los principios de concertación y de amigable composición y en ningún momento se emplean para interrumpir el normal desarrollo de la atención en salud.

3.3.4.1.2. Frente a las autoridades locales.

Medida 88. La EPS realiza convocatorias dirigidas a los alcaldes y secretarios de salud de los municipios donde se tienen las principales sedes de la entidad y para ello sigue, como mínimo, los siguientes lineamientos:

a) Se realiza al menos una (1) al año en los departamentos donde se tienen las principales sedes de la entidad.

b) Se presenta en detalle los indicadores más relevantes de sus sistemas de administración de riesgo en salud y de riesgo financiero, así como del sistema de atención al usuario.

c) Se presenta el perfil de riesgo, estado de salud y satisfacción con el servicio de la población afiliada al territorio de interés.

d) Se envía con anticipación a cada uno la información desagregada para su respectiva jurisdicción.

e) A cada reunión asiste, al menos, un director de la junta directiva, preferiblemente diferente en cada ocasión. Aquel director preside la reunión.

Esta medida aplica únicamente para las entidades promotoras de salud y las cajas de compensación familiar que operan programas de EPS.

Medida 89. La junta directiva de la entidad designa un interlocutor, miembro de la alta gerencia, para atender las relaciones con los secretarios de salud sobre:

a) Coordinación de actividades de salud pública.

b) Acceso de los afiliados a los servicios de salud y calidad de los mismos.

c) Sistema de atención al usuario.

d) Procedimientos para que estos representantes de las autoridades locales puedan establecer comunicación con la junta directiva como segunda instancia de dicho interlocutor.

Esta medida aplica únicamente para las entidades promotoras de salud y las cajas de compensación familiar que operan programas de EPS.

3.3.4.1.3. Frente a sus pares.

Medida 90. La entidad realiza anualmente una convocatoria dirigida a expertos en salud pública, en sistemas de salud, actuarios e investigadores en epidemiología con miras a realizar una rendición de cuentas académica. En esta reunión:

a) Se presenta en detalle los indicadores más relevantes de sus sistemas de administración de riesgo en salud y de riesgo financiero, así como las mediciones o evaluaciones del impacto de sus programas de salud.

b) A esta reunión asisten los miembros de la junta directiva. El presidente de la junta presidirá la reunión.

3.3.4.1.4. Frente a la Superintendencia Nacional de Salud.

Medida 91. La entidad aporta oportunamente a la Superintendencia Nacional de Salud la información detallada para que esta pueda supervisar la integridad y rigor de las metodologías de gestión del riesgo en salud y financiero, el sistema de atención al usuario y el SCI. Asimismo, la entidad cumple a cabalidad con todas las instrucciones emitidas por esta superintendencia.

3.3.4.2. Transparencia en la contratación de prestadores.

Medida 92. La entidad tiene un documento, aprobado por acta de la junta directiva, que especifica los criterios que aplica para conformar la red de prestadores en las zonas donde opera. El documento considera los diferentes tipos de prestadores y de atención en salud. E incluye consideraciones cuantitativas, y también cualitativas siempre que estén basadas en criterios objetivos.

Medida 93. La entidad tiene un documento, aprobado por la junta directiva, que especifica los criterios con los cuales evalúa a los prestadores contratados y la forma como los aplica.

Medida 94. Los prestadores pueden conocer el resultado de sus respectivas evaluaciones. Los resultados tienen en cuenta la suficiencia de información médica aportada por el prestador.

3.3.4.3. Transparencia en la política de pagos.

Medida 95. La entidad tiene un documento, aprobado por la junta directiva, que especifica los criterios con los cuales administra la liquidez y los plazos de pagos a los proveedores (incluyendo los prestadores). En caso de que la entidad haga parte de un grupo empresarial, no existe discriminación en contra de proveedores externos al grupo empresarial respecto de los plazos de pago. Adicionalmente, la revisoría fiscal se pronuncia ante la asamblea general respecto del cumplimiento de esta política.

3.3.4.4. Transparencia en la política de compras.

Medida 96. La entidad tiene una política de compras, aprobada por la junta directiva, que incluye los criterios y procedimientos, así como las áreas responsables para la adquisición de bienes y servicios necesarios para la operación y sus respectivas atribuciones. Para las categorías de bienes y servicios y las cuantías que la entidad define, hay pluralidad de oferentes y comparación de ofertas con criterios predefinidos.

Medida 97. La entidad establece procesos abiertos y competitivos para:

a) La adquisición de los medicamentos ambulatorios e insumos.

b) La dispensación de los medicamentos ambulatorios e insumos.

c) La negociación de precios de los medicamentos hospitalarios e insumos en los casos en que sea pertinente.

La junta directiva es la encargada de aprobar los términos de estos procesos.

3.3.5. Revelación de información.

3.3.5.1. Política general de revelación de información.

Medida 98. La junta directiva aprueba una política de revelación de información, en la que se identifica, como mínimo, lo siguiente:

a) Identificación del área o unidad responsable al interior de la entidad de desarrollar la política de revelación de información.

b) La información que se debe revelar.

c) La forma como se debe revelar esa información.

d) A quién se debe revelar la información, discriminando a miembros del máximo órgano social, los afiliados, las autoridades, los aportantes y el público general, entre otros grupos de interés (stakeholders).

e) En lo relacionado con los reportes a las autoridades, se identifican los responsables de generar los datos incluidos en reportes como la base de datos única de afiliados del Fosyga, BDUA, registros individuales de prestación de servicios de salud, RIPS, sistema nacional de vigilancia en salud pública, Sivigila, cuenta de alto costo, suficiencia de UPC, estadísticas vitales y los relacionados con la Superintendencia Nacional de Salud, así como de establecer y aplicar los controles para garantizar su integridad y oportunidad. Esto sin perjuicio de la responsabilidad que al respecto recae sobre la junta directiva y la alta gerencia.

f) Mecanismos para asegurar la máxima calidad y representatividad de la información revelada.

g) Procedimiento para la calificación de la información como reservada o confidencial y para el manejo de esta información frente a las exigencias de revelación de la normativa vigente.

3.3.5.2. Frente a las autoridades.

Medida 99. La entidad establece procedimientos para que la contraloría interna y la revisoría fiscal hagan una evaluación independiente y se pronuncien sobre la calidad de los datos en salud que la entidad reporta a las diferentes autoridades (incluyendo entre otros RIPS, suficiencia de UPC, Sivigila, cuenta de alto costo y estadísticas vitales), y al público general.

3.3.5.3. Frente al público.

3.3.5.3.1. Información sobre la entidad.

Medida 100. La entidad cuenta con una página web que contiene información relevante de su institución —preservando el hábeas data—, útil para cada una de las partes interesadas, que incluye al menos estos vínculos o enlaces:

3.3.5.3.1.1. Información de la entidad.

La página web cuenta con una sección “acerca de la entidad” que incluye: historia, principales datos, visión y valores, modelo de organización, modelo de gobierno y en el caso de grupos empresariales las relaciones entre matriz y subordinadas, entre otros temas.

3.3.5.3.1.2. Información sobre los miembros o propietarios.

La página web cuenta con una sección “acerca de los miembros o propietarios” donde:

a) Las sociedades comerciales explican quiénes son sus propietarios, señalando los que tengan al menos el 5% de la propiedad, y sus respectivas participaciones.

b) Las cooperativas y mutuales indican el número de miembros, discriminando las personas naturales y jurídicas. Explican el perfil de las personas naturales afiliadas (estadísticas sobre profesiones u ocupaciones, departamentos o ciudades de residencia, u otros datos que se consideran pertinentes). E identifican las personas jurídicas afiliadas.

c) Las cajas de compensación familiar indican el número de empresas afiliadas y su perfil (por tamaño y sector económico). E identifican los 10 empleadores más grandes afiliados a la respectiva caja.

3.3.5.3.1.3. Información sobre la administración.

La entidad identifica en su página web a los miembros de la junta directiva (u órgano equivalente), y a los miembros de la alta gerencia. En ambos casos se incluyen los principales datos de sus hojas de vida, sus fechas de nombramiento y se indica si pertenecen o han pertenecido a otras juntas directivas.

3.3.5.3.1.4. Información sobre los órganos de control.

La EPS, la EMP o el SAP identifican en su página web la entidad o la persona que dirige el sistema de control interno. Identifica asimismo las entidades o personas que han ejercido la revisoría fiscal en el presente y en el pasado con sus respectivas fechas. Incluye datos relevantes sobres las calificaciones e idoneidad de quienes ejercen la contraloría interna y la revisoría fiscal. En el caso de las cooperativas y mutuales los órganos de control incluyen las juntas de vigilancia.

3.3.5.3.1.5. Información sobre los afiliados.

Estadísticas sobre su número, perfil demográfico y distribución geográfica.

3.3.5.3.2. Información sobre salud.

Medida 101. La página web de la entidad incluye información sobre las actividades y resultados en salud. Tiene, al menos, datos relevantes sobre:

a) Red de servicios contratada y su cobertura geográfica.

b) Volumen de procedimientos y actividades en salud realizados.

c) Información sobre la calidad de los servicios, incluyendo indicadores de proceso, así como de resultados en salud.

d) Actividades de promoción y prevención de la salud.

3.3.5.3.3. Información financiera.

Medida 102. La página web de la entidad incluye información financiera y administrativa. Puede incluir presentaciones (de resultados, de operaciones), informes financieros, de gestión, información a entes supervisores y noticias significativas. Adicionalmente, incluye al menos los resultados financieros trimestrales, presentados de manera consistente con los reportes de la entidad a la Superintendencia Nacional de Salud.

3.3.5.4. Frente a los miembros del máximo órgano social.

3.3.5.4.1. Informe de gobierno organizacional.

Medida 103. La entidad prepara anualmente un informe de gobierno organizacional, de cuyo contenido es responsable la junta directiva, previa revisión e informe favorable del comité de contraloría interna, que se presenta junto con el resto de documentos de cierre de ejercicio.

Para las EPS, las EMP y los SAP que hacen parte de grupos empresariales, el informe se puede presentar por su sociedad matriz, no obstante, este tiene que incluir la información explicita del asegurador.

Medida 104. La estructura del informe anual de gobierno organizacional de la entidad está alineada con el siguiente esquema:

Estructura de la propiedad de la entidad o grupo empresarial

a) Capital y estructura de la propiedad de la entidad.

b) Identidad de los miembros del máximo órgano social que cuenten con participaciones significativas (participaciones mayores o iguales al 5%), directas e indirectas.

c) Información de las acciones de las que directamente (a título personal) o indirectamente (a través de entidades u otros vehículos) sean propietarios los directores de la junta directiva y de los derechos de voto que representen.

d) Relaciones de índole familiar, comercial, contractual o societaria que existan entre los titulares de las participaciones significativas en la propiedad o el control de la entidad, o entre los titulares de participaciones significativas entre sí.

e) Negociaciones que los directores de la junta directiva, la alta gerencia y demás administradores han realizado con las acciones y los demás valores emitidos por la entidad.

f) Síntesis de los acuerdos entre miembros del máximo órgano social de los que se tenga conocimiento.

g) Acciones propias en poder de la entidad.

Estructura de la administración de la entidad o grupo empresarial

a) Composición de la junta directiva e identificación del origen o procedencia de cada uno de los miembros y de los miembros de los comités constituidos en su seno. Fecha de primer nombramiento y posteriores.

b) Hojas de vida de los directores de la junta directiva.

c) Cambios en la junta directiva durante el ejercicio.

d) Directores de la junta directiva de la matriz que se integran en las juntas directivas de las entidades subordinadas o que ocupan puestos ejecutivos en estas (caso de grupos empresariales).

e) Políticas aprobadas por la junta directiva durante el periodo que se reporta.

f) Proceso de nombramiento de los directores.

g) Política de remuneración de la junta directiva.

h) Remuneración de la junta directiva y miembros de la alta gerencia.

i) Quórum de la junta directiva.

j) Datos de asistencia a las reuniones de la junta directiva y de los comités.

k) Presidente de la junta directiva (funciones y temas claves).

l) Secretario de la junta directiva (funciones y temas claves).

m) Relaciones durante el año de la junta directiva con el revisor fiscal, analistas financieros, bancas de inversión y agencias de calificación.

n) Asesoramiento externo recibido por la junta directiva.

o) Política de revelación de información establecida por la junta directiva.

p) Actividades de los comités de la junta directiva.

q) Información sobre la realización de los procesos de evaluación de la junta directiva y de la alta gerencia, así como síntesis de los resultados.

Operaciones con partes vinculadas

a) Atribuciones de la junta directiva sobre este tipo de operaciones y situaciones de conflictos de interés.

b) Revelación de información sobre propiedad indirecta, es decir, la revelación de las diferentes capas de propiedad indirecta y control indirecto, con el fin de identificar partes vinculadas que no son evidentes en los propietarios directos o en los miembros del máximo órgano social.

c) Detalle de las operaciones con partes vinculadas más relevantes a juicio de la entidad, incluidas las operaciones entre entidades del grupo empresarial.

d) Conflictos de interés presentados y actuación de los directores de la junta directiva.

e) Mecanismos para resolver conflictos de interés entre entidades del mismo grupo empresarial y su aplicación durante el ejercicio.

Sistemas de gestión de riesgos de la entidad o grupo empresarial

a) Explicación del sistema de control interno de la entidad o grupo empresarial y sus modificaciones durante el ejercicio.

b) Descripción de la política de riesgos y su aplicación durante el ejercicio.

c) Materialización de riesgos durante el ejercicio.

d) Planes de respuesta y supervisión para los principales riesgos.

3.3.5.4.2. Salvedades del revisor fiscal.

Medida 105. De existir salvedades en el informe del revisor fiscal, estas y las acciones que la entidad plantea para solventar la situación, son objeto de pronunciamiento ante los miembros del máximo órgano social reunidos en asamblea general, por parte del presidente del comité de contraloría interna. Cuando ante las salvedades y/o párrafos de énfasis del revisor fiscal, la junta directiva considera que debe mantener su criterio, esta posición es adecuadamente explicada y justificada mediante informe escrito a la asamblea general, concretando el contenido y el alcance de la discrepancia.

3.3.5.5. Partes vinculadas.

Medida 106. Las operaciones con o entre partes vinculadas, incluidas las operaciones entre empresas del grupo empresarial que, por medio de parámetros objetivos tales como volumen de la operación, porcentaje sobre activos, ventas u otros indicadores, sean calificadas como materiales por la entidad, se incluyen con detalle en la información financiera pública, así como la mención a la realización de operaciones con empresas off-shore.

3.3.5.6. Grupos empresariales.

Medida 107. En el caso de grupos empresariales, la revelación de información a terceros es integral y transversal, referente al conjunto de empresas, que permita a los terceros externos formarse una opinión fundada sobre la realidad, organización, complejidad, actividad, tamaño y modelo de gobierno del grupo empresarial.

3.4. Medidas de conducta.

Medida 108. La entidad cuenta con unos lineamientos de conducta que recogen todas las disposiciones correspondientes a la gestión ética en el día a día de la organización. Estos deben contener los principios, valores y directrices que, en coherencia con lo dispuesto en esta circular para el tema de buen gobierno, todo empleado de una EPS, una EMP o un SAP, debe tener en cuenta en el ejercicio de sus funciones.

Medida 109. Los lineamientos de conducta están estructurados como mínimo, sobre los siguientes órdenes temáticos:

a) Las generalidades de la empresa (reseña histórica, certificaciones de calidad, etc.).

b) Direccionamiento estratégico de la entidad.

c) Los principios éticos.

d) Los valores institucionales.

e) Las políticas a observar para la gestión ética, a nivel de la interacción con los diferentes grupos de interés, entre la empresa y respecto a los usuarios, entre los funcionarios de la organización, en relación con el manejo de la información y el uso de los bienes, así como en lo que se refiere a la interacción con actores externos, la sociedad, el Estado, la competencia, el medio ambiente, entre otros.

f) Política antisoborno y anticorrupción de la entidad.

g) Principios de responsabilidad social empresarial.

h) Los mecanismos para la difusión y socialización permanente de los lineamientos de conducta.

i) El establecimiento de los procesos e instancias que permitan, a través de indicadores, el control sobre el sistema de gestión ética institucional.

Medida 110. Los lineamientos de conducta establecen pautas de comportamiento relacionadas con:

a) La obligación de informar sobre actuaciones ilegales o sospechosas de los diferentes grupos de interés.

b) El compromiso con la protección y uso adecuado de los activos de la entidad.

c) La importancia de colaborar con las autoridades.

d) El manejo de la información confidencial y privilegiada de la entidad.

4. Anexo técnico y reporte de información.

4.1. Generalidades.

Para efecto de verificar el cumplimiento normativo, la Superintendencia Nacional de Salud establece el formato de reporte de información para los actores aquí mencionados, a través del anexo técnico archivo tipo GT001, el cual debe cumplir con las siguientes especificaciones técnicas para el cargue y reporte de la información:

a) Nombre del archivo: NITDVPPANNOFFFFF.EXT, las sintaxis que componen el nombre del archivo deben estar unidas, sin caracteres de separación, y en el orden mencionado.

Donde:

NIT: Número de identificación tributaria de la entidad que reporta.

DV: Dígito de verificación.

PP: Periodo de corte de la información reportada.

Este valor siempre será igual a 90 (PP=90).

ANNO: Año de corte de la información reportada.

Para el primer reporte será 2018, para el segundo reporte 2020, para el tercer reporte 2022, y así sucesivamente.

FFFFF: Número de archivo (es decir, FFFFF=GT001).

EXT: Extensión del archivo en XML

b) El representante legal de la entidad aseguradora, será el responsable del diligenciamiento, así como de la integralidad y veracidad de la información consolidada en las respuestas. Por otra parte, el acceso para la transmisión de la información requerirá la firma digital del correspondiente representante legal.

c) La metodología para diligenciar el reporte de implementación del Código de Conducta y de Buen Gobierno EPS, EMP y SAP, se fundamenta en el principio “cumpla o explique”, de manera que, en todos los casos la entidad aseguradora deberá indicar si adoptó o no las medidas al momento del reporte.

d) Toda la información debe seguir los principios de transparencia, integralidad y veracidad, por tal razón no podrá contener información sesgada, insuficiente, no verificable, o cualquier otra que pueda inducir a error o confusión, o no permita a los actores del SGSSS hacerse un juicio fundado y objetivo sobre la entidad aseguradora.

e) En el contexto de “cumpla o explique”, tal principio exige un pronunciamiento concreto sobre las recomendaciones adoptadas o no del Código de Conducta y de Buen Gobierno, y permite que las entidades puedan voluntariamente añadir cualquier otra información o aclaración relacionadas con sus prácticas de gobierno organizacional y de buena conducta, en la medida que resulten relevantes para la comprensión de las respuestas. Por ello, el espacio destinado en el reporte para la explicación de la adopción o no de las medidas es de 3.000 caracteres (incluyendo espacios). Tales explicaciones deberán estar redactadas en un lenguaje claro, coherente y preciso.

f) Cuando la respuesta de cumplimiento sea afirmativa (es decir, que si se adoptó la medida), la entidad aseguradora debe describir los mecanismos formales tales como estatutos, reglamentos, códigos u otra normativa interna, a través de los cuales se asegura la implementación material de una determinada recomendación, así como la forma en que se ha llevado a la práctica.

g) En caso de no haber implementado alguna recomendación al momento del reporte, la aseguradora (EPS, EMP o SAP) está en la estricta obligación de explicar las razones para ello.

h) En el evento en que por razones legales no le sea posible adoptar la recomendación, la EPS, la EMP o el SAP deberá responder N (no aplica) e indicar en forma precisa la norma que se lo impide.

i) Además del reporte sobre la adopción o no de las 110 medidas consagradas en el Código de Conducta y de Buen Gobierno EPS, EMP y SAP, se puede agregar información referente a si la entidad aseguradora cuenta con prácticas de gobierno organizacional y/o de buena conducta adicionales, complementarias o diferentes a las previstas por el Código de Conducta y de Buen Gobierno.

Para ello, debe incluir en el anexo técnico un único (1) registro adicional, diligenciado como sigue: en ‘nummed’ (elemento #1) escribir 111; en ‘respmed’ (elemento #2) escribir 1 y en ‘medexp’ (elemento #3) escribir la explicación sobre prácticas adicionales, complementarias o distintas a las dispuestas en las 110 medidas de esta circular (ser concretos, el espacio límite son 3.000 caracteres incluyendo espacios).

j) Todas las EPS, EMP y SAP, deben remitir el reporte a la Superintendencia Nacional de Salud. Asimismo, el reporte debe ser publicado por la aseguradora en su página web y deberá ser actualizado con la misma periodicidad con la que se reporte a este ente de inspección, vigilancia y control.

4.2. Contextualización de las preguntas.

Cuando por su naturaleza la EPS, la EMP o el SAP no cuente con el órgano específico al que se refiere la medida sobre la cual se pregunta, se entenderá que la misma hace referencia al órgano que al interior de la entidad sea equivalente o haga sus veces.

4.3. Periodicidad.

El diligenciamiento del reporte es bienal, y debe reflejar la situación de la EPS, de la EMP o del SAP, frente a las medidas del Código de Conducta y de Buen Gobierno al momento del reporte. No obstante, habrá un reporte inicial, de línea base, con fecha de corte el 30 de noviembre de 2017 y plazo máximo de reporte el 15 de diciembre de 2017. El segundo reporte de esta circular externa tendrá fecha de corte el 30 abril de 2018, con plazo máximo de reporte el 30 de junio de 2018. El siguiente reporte, tendrá como fecha de corte el 30 de abril de 2020, con plazo máximo de reporte el 30 de junio de 2020. El cuarto reporte tendrá como fecha de corte el 30 de abril de 2022, con plazo máximo de reporte el 30 de junio de 2022; y así sucesivamente.

4.4. Anexos técnicos.

(Nota: Modificado el presente anexo por la Circular Externa 3 de 2018 de la Superintendencia Nacional de Salud)

Archivo tipo GT001.

Reporte de implementación del Código de Conducta y de Buen Gobierno EPS, EMP y SAP

Tipo de entidad a la que aplica: Empresas promotoras de salud, empresas de medicina prepagada y servicios de ambulancia prepagada.

Periodicidad: Bienal.

Fecha de corte: Para el reporte inicial es el 30 de noviembre de 2017. Para los siguientes reportes es el 30 de abril (de 2018, 2020, 2022, ...).

Fecha del reporte: Para el reporte inicial es el 15 de diciembre de 2017. Para los siguientes reportes es el 30 de junio (de 2018, 2020, 2022, ...).

ElementoGT001
#IdentificadorAtributoDescripciónLongitud máximaRegistro permitido
1nummedNúmero de la medidaNúmero de la medida de acuerdo al Código de Conducta y de Buen Gobierno3Numérico
2respmedRespuesta a la adopción o no de la medidaSi la respuesta es “Si se cumple”, escribir 1
Si la respuesta es “No se cumple”, escribir 0
Si la respuesta es “No aplica”, escribir N
1Alfanumérico
3medexpExplicaciónExplicación de la adopción o no de la medida3.000Alfanumérico

(Nota: Modificado el presente anexo por la Circular Externa 3 de 2018 de la Superintendencia Nacional de Salud)

5. Disposiciones generales.

5.1. Derogatorias.

La presente circular deroga el capítulo cuarto “Códigos de Ética y de Buen Gobierno” del título I “Disposiciones generales” de la circular única de la Superintendencia Nacional de Salud y todas aquellas disposiciones que le sean contrarias, en lo que respecta a las entidades promotoras de salud, las empresas de medicina prepagada y las entidades que suministren servicios de ambulancia prepagada, quedando vigente para los demás tipos de entidades.

5.2. Vigencia.

La presente circular rige a partir de su publicación y promulgación.

5.3. Control al cumplimiento de la circular externa.

De conformidad con lo establecido en los artículos 130 y 131 de la Ley 1438 de 2011, la inobservancia e incumplimiento de las instrucciones impartidas en la presente circular, dará lugar al inicio de procesos administrativos sancionatorios, sin perjuicio de las responsabilidades disciplinarias, penales o civiles que ellas conlleven y las sanciones que puedan imponer otras autoridades administrativas.

Publíquese y cúmplase.

Dada en Bogotá, D.C., a 30 de junio de 2017.

N. del D.: La presente circular externa va dirigida a entidades promotoras de salud, EPS, del régimen contributivo y subsidiado, empresas de medicina prepagada, EMP, y servicios de ambulancia prepagada, SAP, vigiladas por la Superintendencia Nacional de Salud.

(1) Literal h), artículo 40, capítulo VII “Inspección, vigilancia y control”, Ley 1122 de 2007.

(2) OECD. (2004). “White paper” sobre gobierno corporativo en América Latina. París: OECD.

(3) OECD. (2015). G20/OECD Principles of Corporate Governance. París: OECD.

(4) CAF. (2013). Lineamientos para un Código Latinoamericano de Gobierno Corporativo. Madrid: CAF.

(5) Tirole, J. (2001). Corporate Governance. Econométrica, 69(1), 1-35.

(6) Superintendencia Financiera de Colombia. (2014). Circular Externa 28 de 2014. Anexo 1: Código de mejores prácticas corporativas de Colombia - Nuevo Código País. Bogotá, D.C. Superintendencia Financiera de Colombia. OCDE. (2013). Supervision and enforcement in Corporate Governance. París: OECD.

(7) Superintendencia Financiera de Colombia. (2010). Documento conceptual de gobierno corporativo. Delegatura para riesgos de conglomerados y gobierno corporativo, subdirección de metodologías de supervisión y análisis de riesgos; versión 2.0; M-MN-SEG-002. Gaitán, A. (2011). Grupos empresariales y control de sociedades en Colombia. Bogotá, D.C. Superintendencia de Sociedades.

(8) Estas medidas se actualizarán cuando se considere necesario y pertinente.

(9) Ministerio del Trabajo. (2013). Código de Ética. Bogotá, D.C. Ministerio del Trabajo.

(10) Lee, Y., Choi, J., Moon, B., & Babin, B. (2014). Codes of ethics, corporate philanthropy, and employee responses. International Journal of Hospitality Management, 39, 97-106. Sennewald, C., & Baillie, C. (2016). Ethics and conflicts of interest. En: Sennewald, C., & Baillie, C. (Eds.). Effective Security Management (59-68) (6 Ed.). Oxford: Elsevier Inc.

(11) La adopción pública y formal del Código de Conducta y de Buen Gobierno es considerada como una buena práctica.

(12) El alcance de la definición dada a los términos estipulados en esta sección, se limita a su significado en el Código de Conducta y de Buen Gobierno EPS, EMP y SAP, y en ningún momento pretende reemplazar las definiciones legales, al tiempo que no van en contravía de las mismas.

(13) Dado que la administración y la gestión corporativa son actividades complejas, que demandan la toma de decisiones de forma ágil y eficiente, y exigen unas capacidades determinadas, no deben ser todos los miembros del máximo órgano social quienes directamente ejerzan esas funciones, por lo que normalmente estos delegan la administración de la entidad en la junta directiva, instancia que a su vez delega el giro ordinario en los miembros de la alta gerencia, estableciendo así, los tres niveles claves de gobierno: propiedad (miembros del máximo órgano social), administración (junta directiva u órgano equivalente) y giro ordinario (alta gerencia).

(14) Freeman, R. (2010). Strategic management: A stakeholder approach. Cambridge: Cambridge University Press.

(15) Esto, en línea con lo dispuesto en la sección 3.3.1 del documento: Secretaría de Transparencia. (2016). Guía para empresas en Colombia. ¿Cómo y por qué implementar un programa empresarial de cumplimiento anticorrupción? Bogotá D.C. Presidencia de la República.

(16) Por ejemplo, las empresas privadas que hacen visitas a nombre de una entidad de control en virtud de un contrato.

(17) Esta sección sigue de cerca los lineamientos dados por la Circular Externa 14 de 2009 de la Superintendencia Financiera de Colombia, así como de los estándares planteados por el COSO (Committee of Sponsoring Organizations of the Treadway Commission), la Ley SOX (Sarbanes-Oxley Act of 2002, Section 404), el Acuerdo de Basilea III (Basel Committee on Banking Supervision), los COBIT 5 (Control Objectives for Information and related Technology) y el IIA (Instituto de Auditores Internos de Colombia).

(18) Se incluye entre otros, los financieros, de grupo y fallas de mercado.

(19) La confidencialidad es uno de los elementos más importantes de la seguridad de la información y tiene como propósito garantizar que ella solo pueda ser conocida, consultada y divulgada por personas autorizadas.

(20) O en su defecto, el representante legal suplente, el cual reemplaza al principal en sus ausencias o cuando haya inhabilidad para actuar en un caso específico.

(21) Este modelo adoptado por el Gobierno Nacional para las entidades del Estado actualmente se rige por el Decreto 943 de 2014 “Por el cual se actualiza el Modelo Estándar de Control Interno, MECI”, el cual proporciona una estructura para el control de la estrategia, gestión y evaluación del desempeño institucional.