Superintendencia Nacional de Salud

CIRCULAR EXTERNA 9 DE 2016 

(Abril 21)

Asunto: Por la cual se imparten instrucciones relativas al Sistema de Administración del Riesgo de Lavado de Activos y la Financiación del Terrorismo (Sarlaft)

1. ANTECEDENTES

El lavado de activos y/o la canalización de recursos hacia la realización o financiación de actividades terroristas, se vincula al riesgo legal, de contagio, operativo y reputacional al que se exponen los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) vigilados por la Superintendencia Nacional de Salud (SNS), con el consecuente impacto económico negativo que ello puede representar para su estabilidad y la del sector en su conjunto, al poder ser utilizados, entre otros, para el ocultamiento, manejo, inversión o aprovechamiento, en cualquier forma, de dineros u otros bienes provenientes de actividades ilícitas o destinadas a ellas, o para dar apariencia de legalidad a los recursos generados de dichas actividades.

En este contexto, la SNS pretende que los Agentes del SGSSS, continúen la lucha contra el Lavado de Activos y la Financiación del Terrorismo (LA/FT) e implementen un Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo (Sarlaft) con el fin de prevenir que sean utilizadas para dar apariencia de legalidad a activos que provienen de actividades delictivas o que sean utilizadas para ocultar la procedencia de recursos que sean dirigidos finalmente hacia la realización de actividades terroristas.

En este sentido, la presente Circular introduce los criterios y parámetros mínimos que los Agentes del SGSSS vigilados por la SNS deben tener en cuenta en el diseño, implementación y funcionamiento de un sistema de autocontrol y gestión del riesgo de LA/FT. Adicionalmente, la Circular contiene directrices dirigidas a los socios, accionistas, revisores fiscales, administradores y todas las personas naturales o jurídicas que hacen parte de los Agentes del SGSSS que de acuerdo con la Ley están sujetas a la Inspección, Vigilancia, y Control (IVC) de la SNS, y la determinación de los criterios técnicos y jurídicos que deben cumplir las empresas vigiladas sobre la manera como deben administrar los riesgos de LA/FT inherentes en sus actividades.

Por último, corresponde a las entidades que hacen parte del SGSSS diseñar e implementar el Sarlaft, de acuerdo con los criterios y parámetros mínimos exigidos en la presente Circular y de conformidad con los estándares internacionales que existen sobre la materia, especialmente los proferidos por el GAFI(1), el Gafilat(2) y el Gafisud(3) y adaptando las normas regulatorias que el Gobierno Nacional ha expedido sobre éste componente, en especial las Leyes 1121 de 2006 y 1621 de 2013. Asimismo, el Sarlaft debe abarcar todas las actividades que realizan los agentes vigilados del SGSSS en desarrollo de su objeto social y deberá prever procedimientos y metodologías para que las entidades eviten ser utilizadas como herramienta para lavar activos y/o financiar el terrorismo.

2. MARCO NORMATIVO

2.1. RECOMENDACIONES INTERNACIONALES SOBRE LA/FT

La Convención de las Naciones Unidas contra el Tráfico Ilícito de Estupefacientes del año 1988 y el Convenio Internacional de las Naciones Unidas para la Represión de la Financiación del Terrorismo del año 2000, determinaron la importancia y necesidad de adoptar medidas y utilizar herramientas efectivas que permitan minimizar y eliminar las prácticas relacionadas con el Lavado de Activos y la Financiación del Terrorismo. Por otra parte, la Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional del año 2000 y la Convención de las Naciones Unidas contra la Corrupción del año 2003, establecieron medidas preventivas, y la eficaz penalización de dichos actos.

A su vez, en el año de 1990 el Grupo de Acción Financiera (GAFI), diseñó cuarenta (40) recomendaciones para prevenir el Lavado de Activos y posteriormente estableció nueve (9) recomendaciones especiales contra el Financiamiento del Terrorismo, las cuales fueron actualizadas y unificadas en febrero de 2012, modificación que incluyó la prevención y la lucha contra la Financiación de la Proliferación de Armas de Destrucción masiva.

El 8 de diciembre de 2000 se creó en Cartagena de Indias, Colombia, el Gafilat como una organización intergubernamental de base regional que agrupa a 16 países de América del Sur y Centroamérica para combatir el lavado de dinero y la financiación del terrorismo, a través del compromiso de mejora continua de las políticas nacionales contra ambos temas y la profundización en los distintos mecanismos de cooperación entre los países miembros. Su creación se formalizó mediante la firma del Memorando de Entendimiento constitutivo del grupo por los representantes de los gobiernos de nueve países: Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, Paraguay, Perú y Uruguay.

Posteriormente se incorporaron como miembros plenos México (2006), Costa Rica y Panamá (2010). Cuba (2012), Guatemala, Honduras y Nicaragua (2013). Colombia, mediante la Ley 1186 de 2008 adoptó las recomendaciones de este organismo. Este grupo adquirió el compromiso de adoptar las recomendaciones del GAFI.

De igual manera, es necesario tener en cuenta las Resoluciones 1267 de 1999, la 1373 de 2001, la 1718 y 1737 de 2006, la 1989 de 2011, la 2178 de 2014, la 2253 de 2015 y la Resolución 2270 de 2016 del Consejo de Seguridad de las Naciones Unidas, siendo el marco general en la política de lucha y prevención del Lavado de Activos, la Financiación del Terrorismo y la financiación de la Proliferación de armas de destrucción masiva.

En este escenario y debido a la importancia que ostentan los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) resulta necesario emitir instrucciones con el fin de que adopten las previsiones que sean necesarias para analizar adecuadamente la información de sus usuarios y aquella que reportan, y si fuere el caso, realizar reportes de Operaciones Sospechosas (ROS) a la

Unidad de Información y Análisis Financiero (UIAF).

2.2. NORMATIVIDAD VIGENTE

El Artículo 113 de la Constitución Política en su último inciso señala que los diferentes órganos del Estado tienen funciones separadas, pero deben colaborar armónicamente para la realización de sus fines, dado que el Lavado de Activos y la Financiación del Terrorismo se han constituido como un riesgo y una amenaza en múltiples actividades de origen lícito, afectando la seguridad económica de todos los colombianos. Lo anterior motiva a que todos los organismos del Estado competentes, impulsen políticas públicas y procedimientos de prevención y detección de este fenómeno en el que confluyen grandes flujos de dinero.

De acuerdo con los artículos 48 y 49 de la Constitución de 1991, la Seguridad Social es un derecho irrenunciable que debe ser garantizado por el Estado. La atención de la salud es un servicio público de carácter obligatorio que se prestará bajo la dirección, coordinación y control del Estado, en sujeción a los principios de eficiencia, universalidad y solidaridad, garantizando a todas las personas el acceso a los servicios de promoción, protección y recuperación de la salud.

El artículo 1O de la Ley 526 de 1999, señala que las autoridades que ejerzan funciones de Inspección, Vigilancia y Control (IVC), deben instruir a sus vigilados sobre las características, periodicidad y controles en relación con la información que deben reportar a la Unidad de Información y Análisis

Financiero (UIAF), de acuerdo con los criterios e indicaciones que de esta reciban, relacionados con la prevención del Lavado de Activos y la Financiación del Terrorismo.

Por su parte, el Decreto 1497 de 2002 que reglamentó la Ley 526 de 1999, hoy Decreto Único 1068 de 2015, en su artículo 2.14.2 dispone que las entidades públicas y privadas pertenecientes a sectores diferentes al financiero, asegurador y bursátil, deben reportar Operaciones Sospechosas (ROS) a la UIAF, de acuerdo con el literal d) del numeral 2 del artículo 102 y en los términos de los artículos 103 y 104 del Estatuto Orgánico del Sistema Financiero, cuando dicha Unidad lo solicite, en la forma y oportunidad que les señale.

Asimismo, el artículo 68 de la Ley 715 de 2001 determinó que la SNS realiza la Inspección, Vigilancia y Control del cumplimiento de la Constitución y disposiciones normativas del SGSSS, así como sus recursos: “La Superintendencia Nacional de Salud tendrá como competencia realizar la Inspección, Vigilancia y Control del cumplimiento de las normas constitucionales y legales del sector salud y de los recursos del mismo”.

A su vez, la Ley 1122 de 2007 determinó las funciones de IVC asignadas a la SNS(4), estableciendo que el sistema de la IVC es un conjunto de normas que buscan el cumplimiento de los principios constitucionales a través de procesos y procedimientos establecidos.

De otra parte, la Ley 1438 de 2011 determina el alcance de la IVC sobre los sujetos vigilados y la forma en que se fortalece dicho mecanismo por parte de la Superintendencia(5).

También, la Ley 1474 de 2011 -Estatuto Anticorrupción- dispuso en su artículo 12 lo siguiente:

“Sistema preventivo de prácticas riesgosas financieras y de atención en salud del Sistema General de Seguridad Social en Salud. Créase el Sistema Preventivo de Prácticas Riesgosas Financieras y de Atención en Salud del Sistema General de Seguridad Social en Salud que permita la identificación oportuna, el registro y seguimiento de estas conductas. La Superintendencia Nacional de Salud definirá para sus sujetos vigilados, el conjunto de medidas preventivas para su control, así como los indicadores de alerta temprana y ejercerá sus funciones de inspección, vigilancia y control sobre la materia. Dicho sistema deberá incluir indicadores que permitan la identificación, prevención y reporte de eventos sospechosos de corrupción y fraude en el Sistema General de Seguridad Social en Salud. El no reporte de información a dicho sistema, será sancionado conforme al artículo 131 de la Ley 1438 de 2011” (Subrayado ajeno al texto).

Por otra parte, el artículo 27 de la Ley 1121 de 2006, determina que “El Estado colombiano y las Entidades Territoriales en cualquier proceso de contratación deberán identificar plenamente a las personas naturales y a las personas jurídicas que suscriban el contrato, así como el origen de sus recursos; lo anterior con el fin de prevenir actividades delictivas”. 

Asimismo, en el artículo 20 ibídem se menciona el PROCEDIMIENTO PARA LA PUBLICACIÓN Y CUMPLIMIENTO DE LAS OBLIGACIONES RELACIONADAS CON LISTAS INTERNACIONALES 

VINCULANTES PARA COLOMBIA DE CONFORMIDAD CON EL DERECHO INTERNACIONAL, donde “el ministerio de relaciones exteriores transmitirá las listas de personas y entidades asociadas con organizaciones terroristas, vinculantes para colombia conforme al derecho internacional y solicitará a las autoridades competentes que realicen una verificación en las bases de datos con el fin de determinar la posible presencia o tránsito de personas incluidas en las listas y bienes o fondos relacionados con estas.

Las autoridades consultadas deberán realizar las verificaciones pertinentes e informar a la Fiscalía General de la Nación, quien evaluará la pertinencia de la información y comunicará los resultados obtenidos al Consejo de Seguridad de las Naciones Unidas, a través del Ministerio de Relaciones Exteriores. 

Los particulares que conozcan de la presencia o tránsito de una persona incluida en una de las listas mencionadas o de bienes o fondos relacionados con estas deberán informar oportunamente al Departamento Administrativo de Seguridad (DAS) y a la Unidad de Información y Análisis Financiero (UIAF), para lo de su competencia. Al suministro de esta información se le aplicará el régimen de responsabilidad previsto en el artículo 42 de la ley 190 de 1995”. 

Finalmente, la Ley Estatutaria de Salud Ley 1751 de 2015 determina que “El derecho fundamental a la salud es autónomo e irrenunciable en lo individual y en lo colectivo. Comprende el acceso a los servicios de salud de manera oportuna, eficaz y con calidad para la preservación, el mejoramiento y la promoción de la salud. El Estado adoptará políticas para asegurar la igualdad de trato y oportunidades en el acceso a las actividades de promoción, prevención, diagnóstico, tratamiento, rehabilitación y paliación para todas las personas. De conformidad con el artículo 49 de la Constitución Política, su prestación como servicio público esencial obligatorio, se ejecuta bajo la indelegable dirección, supervisión, organización, regulación, coordinación y control del Estado” (Resaltado ajeno al texto).

De esta manera, le corresponde a la Superintendencia Nacional de Salud generar las directrices propias del Sarlaft en el sector de la salud, dado que, en virtud de las disposiciones constitucionales y legales vigentes, la vigilancia del cumplimiento de las políticas públicas sobre LA/FT del SGSSS, le corresponde a esta Entidad.

El cumplimiento de la presente Circular no supone, en aquellas entidades del Estado o con participación de recursos del Estado, la modificación de la planta de personal. Los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) en cumplimiento de la presente Circular podrán realizar la contratación de personas idóneas para la implementación del Sarlaft bajo la figura jurídica que consideren más adecuada en atención a las funciones de IVC a las que están sometidas y al principio de autonomía administrativa que rige a cada entidad.

3. ÁMBITO DE APLICACIÓN

La presente Circular externa está dirigida a los representantes legales, socios, accionistas, revisores fiscales, la Alta Gerencia, los Máximos Órganos Sociales, Oficiales de Cumplimiento, administradores y personas naturales o jurídicas que hacen parte de los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) vigilados por la Superintendencia Nacional de Salud, en particular a las Entidades

Promotoras de Salud (EPS) del régimen contributivo y subsidiado, a las Instituciones Prestadoras de Salud (IPS) públicas y privadas de los grupos C1, C2 y D1 definidos en la Circular Externa 018 de

Septiembre de 2015 y normas que la modifiquen o sustituyan, a las Empresas de Medicina Prepagada y a las entidades que prestan Servicios de Ambulancia Prepagada.

En razón a que ésta Circular tiene como objetivo proporcionar instrucciones administrativas generales para todos los vigilados de las SNS, en el diseño e implementación del Sistema de Administración del Riesgo de Lavado de Activos y de Financiación del Terrorismo (Sarlaft), su ámbito de aplicación también incluye a las Empresas Promotoras de Salud Indígenas EPS-I de cualquier régimen.

Lo anterior, con fundamento en lo conceptuado por el Director de Consulta Previa del Ministerio del Interior mediante Oficio con número OFI15-000034420-DCP-2500 del 21 de agosto de 2015, que, con relación a la necesidad de surtir el trámite de consulta previa en las medidas administrativas adoptadas por la SNS, señaló:

(...) “…la práctica de medidas especiales ejercidas por la Superintendencia Nacional de Salud sobre las entidades sujetas a su vigilancia se constituyen en una medida administrativa de carácter general, puesto que afecta de forma igualmente uniforme a la totalidad de dichas entidades, es decir, de las EPS, entre ellas las EPS de las comunidades tradicionales, por lo cual no están, prima facie, sujetas al deber de consulta previa. 

Así pues, estas medidas administrativas no pueden predicarse de forma específica a los pueblos indígenas pues, de un lado, no van en desmedro de su calidad de vida ni niegan su derecho a la participación, y de otro lado, no están intrínsecamente ligadas, ni guardan vínculo necesario con su definición de identidad, conocimiento, ancestral y autonomía, en el entendido que su aplicación no hace nugatorios sus derechos a la salud ni impide la aplicación de sus conocimientos en medicina tradicional mediante sus instituciones propias, prerrogativas estas que están ampliamente garantizadas por la Constitución política a las comunidades étnicas desde el punto de vista del enfoque diferencial” (Subrayado fuera del texto).

4. DEFINICIONES

Para la aplicación de la presente Circular se tendrán en cuenta las siguientes definiciones:

Alta Gerencia: Personas del más alto nivel jerárquico en el área administrativa o corporativa de la entidad. Son responsables del giro ordinario del negocio de la entidad y encargadas de idear, ejecutar y controlar los objetivos y estrategias de la misma. Se incluyen también el Director General o Presidente Ejecutivo y el Contralor Interno.

Beneficiario Final*: Se refiere a la(s) persona(s) natural(es) que finalmente posee(n) o controla(n) a un cliente y/o la persona natural en cuyo nombre se realiza una transacción, incluye también a las personas que ejercen el control efectivo final sobre una persona jurídica u otra estructura jurídica(6).

Cliente y/o contraparte: Es toda persona natural o jurídica con quien la Entidad formaliza una relación contractual o legal, sea contratista, proveedor, suministro de medicamentos e insumos, contratos de red de prestadores, compradores y/o cualquier figura contractual que suponga inyección efectiva de recursos, como lo son los afiliados a los planes voluntarios de salud.

Debido a la obligatoriedad del aseguramiento y la prestación de servicios de salud por parte de las EPS y prestadores, no se consideran como clientes y/o contrapartes los usuarios (afiliados) de las EPS, ni los pacientes de las IPS cuyos servicios sean cancelados efectivamente por algún tipo de

seguro(7) (Plan Obligatorio de Salud, Sistema de Riesgos Laborales y Seguro Obligatorio de Accidentes de Tránsito (SOAT), Planes Adicionales de Salud, entre otros). Es así que, para estos casos, no será necesario la identificación del usuario.

Control del riesgo de LA/FT*: Comprende la implementación de políticas, procesos, prácticas u otras acciones existentes que actúan para minimizar el riesgo de LA/FT en las operaciones, negocios o contratos que realice la entidad.

Debida Diligencia*: Equivale a ejecutar algo con suficiente cuidado. Existen dos interpretaciones sobre la utilización de este concepto en la actividad empresarial. La primera, se concibe como actuar con el cuidado que sea necesario para evitar la posibilidad de llegar a ser considerado culpable por negligencia y de incurrir en las respectivas responsabilidades administrativas, civiles o penales. La segunda, de contenido económico y proactiva, se identifica como el conjunto de procesos necesarios para poder adoptar decisiones suficientemente informadas.

Factores de Riesgo de LA/FT*: Son aquellas circunstancias y características de los clientes y/o contraparte, personas naturales y jurídicas, y de las operaciones que hacen que exista una mayor probabilidad de corresponder con una operación sospechosa de LA/FT.

Financiación del terrorismo*: Delito que comete toda persona que incurra en alguna de las conductas descritas en el artículo 345 del Código Penal(8).

Fuentes de riesgo de LA/FT*: Son los agentes generadores de riesgo de LA/FT en una entidad y se deben tener en cuenta para identificar las situaciones que puedan generarle este riesgo en las operaciones, negocios o contratos que realiza.

Gestión del riesgo de LA/FT*: Consiste en la adopción de políticas y procedimientos que permitan prevenir y controlar el riesgo de LA/FT.

Herramientas de Sarlaft*: Son los medios que utiliza la entidad para prevenir que se presente el riesgo de LA/FT y para detectar operaciones intentadas, inusuales o sospechosas. Dentro de dichas herramientas se deben mencionar, entre otras, las señales de alerta, indicadores de operaciones inusuales, programas para administración de riesgos empresariales y hojas electrónicas de control.

Lavado de activos*: Delito que comete toda persona que busca dar apariencia de legalidad a bienes o dinero provenientes de alguna de las actividades descritas en el artículo 323 del Código Penal(9).

Listas nacionales e internacionales*: Relación de personas que de acuerdo con el organismo que las publica, pueden estar vinculadas con actividades de lavado de activos o financiación del terrorismo, como lo son las listas del Consejo de Seguridad de las Naciones Unidas, que son vinculantes para Colombia. Adicionalmente, pueden ser consultadas por Internet u otros medios técnicos las listas

OFAC, Interpol, Policía Nacional, entre otras.

Máximo Órgano Social: Es el máximo órgano de gobierno de la entidad. Es la Asamblea General o quien haga sus veces y puede variar su denominación según la figura jurídica de la que se trate. Se conforman por accionistas en caso de una sociedad comercial por acciones, por socios en las sociedades comerciales con cuotas o partes de interés, por asociados en caso de las organizaciones de economía solidaria, por afiliados en caso de una caja de compensación familiar que cuentan con autorización para operar programas de salud. Su principal función es velar por el cumplimiento de los objetivos misionales de la entidad, mediante la realización de asambleas, que puede darse de manera ordinaria o extraordinaria, según lo establece el Código de Comercio o la norma que regule cada tipo especial de la entidad y los estatutos.

Monitoreo*: Es el proceso continuo y sistemático que realizan los sujetos obligados, y mediante el cual se verifica la eficiencia y la eficacia de una política o de un proceso, así como la identificación de sus fortalezas y debilidades para recomendar medidas correctivas tendientes a optimizar los resultados esperados. Es condición para rectificar o profundizar la ejecución y para asegurar la retroalimentación entre los objetivos, los presupuestos teóricos y las lecciones aprendidas a partir de la práctica.

Oficial de Cumplimiento: El Oficial de Cumplimiento, o máxima persona encargada del cumplimiento del Sarlaft, es un funcionario de la entidad vigilada encargado de verificar el cumplimiento de los manuales y políticas de procedimiento de la entidad, así como de la implementación del Sarlaft.

Es un funcionario de mínimo segundo nivel jerárquico dentro de la Entidad, que depende directamente del Órgano de Administración o Dirección dentro de la estructura organizacional y funcional de la entidad, y, es nombrado por la Junta Directiva o quien haga sus veces. A su vez, es el encargado de realizar los reportes a la UIAF y a la Superintendencia Nacional de Salud. Dicho funcionario podrá ser nombrado con la entrada en vigencia de la presente Circular o su función podrá ser delegada a un funcionario ya existente en la entidad vigilada, siempre y cuando reúna las condiciones ya reseñadas y las señaladas en el numeral 6.2.1 de esta Circular, nombrándolo como cargo adjunto o de desempeño alterno a otra función que realice en la entidad.

Para el caso de los grupos empresariales oficialmente reconocidos, se puede nombrar a un mismo Oficial de Cumplimiento para todo el grupo, siempre y cuando este sea funcionario de alguna de las entidades que conforman dicho grupo y que reúna las condiciones ya reseñadas y las señaladas en el numeral 6.2.1 de esta Circular, nombrándolo como cargo adjunto o de desempeño alterno a otra función que desempeñara en la entidad.

Omisión de Denuncia de particular*: Consiste en tener conocimiento de la comisión de los delitos señalados en el artículo 441 del Código Penal y no denunciarlos ante las autoridades competentes.

Omisión de Reporte*: Determinado por el artículo 325A del Código Penal colombiano que establece que: “Aquellos sujetos sometidos a control de la Unidad de Información y Análisis Financiero (UIAF) que deliberadamente omitan el cumplimiento de los reportes a esta entidad para las transacciones en efectivo o para la movilización o para el almacenamiento de dinero en efectivo, incurrirán, por esa sola conducta, en prisión de treinta y ocho (38) a ciento veintiocho (128) meses y multa de ciento treinta y tres punto treinta y tres (133.33) a quince mil (15.000) salarios mínimos legales mensuales vigentes”.

Operación Intentada*: Se configura cuando se tiene conocimiento de la intención de una persona natural o jurídica de realizar una operación sospechosa, pero no se perfecciona por cuanto quien intenta llevarla a cabo desiste de la misma o porque los controles establecidos o definidos por los agentes del SGSSS no permitieron realizarla. Estas operaciones también deberán reportarse a la UIAF.

Operación Inusual*: Aquella cuya cuantía o características no guardan relación con la actividad económica de los clientes y/o contrapartes, o que, por su número, por las cantidades transadas o por sus características particulares, se salen de los parámetros de normalidad establecidos.

Operación Sospechosa*: Es aquella que por su número, cantidad o características no se enmarca dentro de los sistemas y prácticas normales de los negocios, de una industria o de un sector determinado y, además, que de acuerdo con los usos y costumbres de la actividad que se trate, no ha podido ser razonablemente justificada. Cuando se detecten esta clase de operaciones, deben ser reportadas a la UIAF.

Órgano de Administración o Dirección: Es la Junta Directiva o quien haga sus veces y puede variar su denominación según la figura jurídica de la que se trate. En organizaciones de economía solidaria, se denomina consejo de administración. En el caso de las cajas de compensación familiar, se Denomina Consejo Directivo. Estos consejos directivos se apoyarán de un Comité de Dirección de

EPS, integrado por un subconjunto de los miembros del Consejo Directivo e invitados externos. Sus principales funciones son la de dirigir y representar a la entidad en la gestión técnica, administrativa y financiera, logrando realizar los objetivos y estrategias de la misma. Asimismo, establecer los principios y procedimientos para la selección de sus miembros, sus funciones y responsabilidades, la forma de organizarse, deliberar y las instancias para evaluación y rendición de cuentas.

Órgano de Control: Es la instancia creada al interior de la persona jurídica para ejercer las funciones de control interno. Sus principales funciones son las de evaluar, monitorear y verificar que los procesos y procedimientos a cargo de la entidad, cumplan las metas y propósitos previamente planteados en torno a una gestión con calidad.

Personas Expuestas Públicamente (PEP)*: Son personas nacionales o extranjeras que por razón de su cargo manejan o han manejado recursos públicos, o tienen poder de disposición sobre estos o gozan o gozaron de reconocimiento público. Las PEP extranjeras son individuos que cumplen o a quienes se les han confiado funciones públicas prominentes en otro país, como por ejemplo los Jefes de Estado o de Gobierno, políticos de alto nivel, funcionarios gubernamentales o judiciales de alto nivel o militares de alto rango, ejecutivos de alto nivel de corporaciones estatales, funcionarios de partidos políticos importantes. Las PEP domésticas son individuos que cumplen o a quienes se les han confiado funciones públicas internamente, a los cuales les aplica los mismos ejemplos que las PEP extranjeras mencionadas anteriormente. Las personas que cumplen o a quienes se les han confiado funciones prominentes por una organización internacional se refiere a quienes son miembros de la alta gerencia, es decir, directores, subdirectores y miembros de la Junta o funciones equivalentes.

La definición de PEP no pretende cubrir a individuos en un rango medio o más subalterno en las categorías anteriores(10).

Políticas*: Son los lineamientos, orientaciones o aspectos que fundamentan la prevención y el control del riesgo de LA/FT en la entidad. Deben hacer parte del proceso de gestión del riesgo de LA/FT.

Reportes internos*: Son aquellos que se manejan al interior de la entidad y están dirigidos al Oficial de Cumplimiento y pueden ser efectuados por cualquier empleado o miembro de la organización, que tenga conocimiento de una posible operación intentada, inusual o sospechosa.

Riesgo de LA/FT*: Es la posibilidad de pérdida o daño que puede sufrir una entidad, por su propensión a ser utilizada directa o a través de sus operaciones, como instrumento para cometer los delitos de Lavado de Activos o la canalización de recursos para la Financiación del Terrorismo.

Riesgos Asociados al LA/FT*: Son aquellos a través de los cuales se puede llegar a materializar el riesgo de LA/FT, estos son: contagio, legal, operativo y reputacional.

Riesgo de Contagio: En el marco de Sarlaft, es la posibilidad de pérdida o daño que puede sufrir una entidad directa o indirectamente, por acción de una persona natural o jurídica que posee vínculos con la entidad.

Riesgo Legal: En el marco de Sarlaft, es la posibilidad de pérdida o daño que puede sufrir una entidad al ser sancionada, multada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones, obligaciones contractuales, fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

Riesgo Operativo: En el marco de Sarlaft, es la probabilidad de pérdida o daño que puede sufrir una entidad al incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura, por fraude y corrupción, o por la ocurrencia de acontecimientos externos, entre otros.

Riesgo Reputacional: En el marco del Sarlaft, es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, verdadera o no, respecto de la institución y sus prácticas de negocios, que cause una disminución de su base de clientes, disminución de los negocios o ingresos, o incurrir en procesos judiciales.

Riesgo Inherente*: Es el nivel de riesgo propio de la actividad, cuya evaluación se efectúa sin considerar el efecto de los mecanismos de mitigación y de control.

Riesgo Neto o Residual*: Es el nivel resultante del riesgo después de la aplicación de los mecanismos de control o mitigación existentes a los riesgos inherentes.

Segmentación*: Es el proceso por medio del cual se lleva a cabo la separación de elementos en grupos que comparten características homogéneas al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).

Señales de alerta*: Son circunstancias particulares que llaman la atención y justifican un mayor análisis. Son realizadas por personas naturales o jurídicas que presentan como actividad económica principal o secundaria aquellas relacionadas con el sector salud y que pueden llegar a presentar a manera de ejemplo las siguientes situaciones(11):

– Características inusuales de las actividades, productos o lugares de procedencia. Inconsistencias en la información relacionada con la existencia, identificación, dirección del domicilio, o ubicación del usuario.

– Inconsistencias en la información que suministra el cliente y/o contraparte frente a la que suministran otras fuentes.

– Facturas que contengan precios ostensiblemente diferenciales frente a los del mercado.

Transacciones en Efectivo: Es el recibo o entrega de dinero en efectivo de billetes o monedas, donde el sujeto de la transacción debe tener la condición de cliente y/o contraparte de la entidad vigilada.

Unidad de Información y Análisis Financiero (UIAF)*: Es una Unidad Administrativa Especial, de carácter técnico, adscrita al Ministerio de Hacienda y Crédito Público, creada por la Ley 526 de 1999, modificada por la Ley 1121 de 2006, y que tiene como objetivo la prevención y detección de operaciones que puedan ser utilizadas para el Lavado de Activos o la Financiación del Terrorismo.

Asimismo, impone obligaciones de reporte de operaciones a determinados sectores económicos.

Usuario: Es toda persona natural a la que, sin ser cliente y/o contraparte, la entidad le suministra o presta un servicio de salud.

5. SISTEMA DE ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL TERRORISMO (SARLAFT)

El Sarlaft es el sistema de prevención y control que deben implementar los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) para la adecuada gestión del riesgo de LA/FT, para lo cual deberán adoptar procedimientos y herramientas que contemplen todas las actividades que realizan en desarrollo de su objeto social y que se ajusten a su tamaño, actividad económica, forma de comercialización y demás características particulares.

Asimismo, el Sarlaft debe comprender el diseño, aprobación e implementación de políticas y procedimientos para la prevención y control del riesgo de LA/FT. Las políticas y procedimientos que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del Sarlaft y traducirse en reglas de conducta y procedimientos que orienten la actuación de la entidad, sus empleados y socios.

Aquellas personas jurídicas que ya tienen implementadas políticas, procedimientos y/o sistemas de prevención y control del riesgo de LA/FT, deberán revisarlos para verificar que como mínimo cumplen con lo dispuesto en la presente Circular, realizando las modificaciones a que haya lugar.

La adopción del Sarlaft debe cumplir como mínimo con lo siguiente:

5.1. ETAPAS DEL SARLAFT

El Sarlaft que implementen los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) debe comprender como mínimo las siguientes etapas:

5.1.1. IDENTIFICACIÓN DEL RIESGO:

El Sarlaft debe permitir a los Agentes del SGSSS reconocer, explorar exhaustivamente y documentar los riesgos inherentes de LA/FT en el desarrollo de su actividad, teniendo en cuenta los factores de riesgo y señales de alerta identificadas en la presente Circular, más las que logre identificar la entidad mediante el desarrollo normal del negocio. Asimismo, debe identificarse el riesgo derivado de un nuevo producto o por la modificación de los existentes, así como situaciones que generen algún grado de incertidumbre por su magnitud o expectativas en el mercado o que supongan la intervención de terceros inversionistas, variación de coberturas, contratos o cualquier otra operación de los Agentes.

Para identificar el riesgo de LA/FT, los Agentes del SGSSS deben como mínimo establecer metodologías para la segmentación de los factores de riesgo. Al aplicar estas metodologías, los Agentes del SSSGS deben estar en capacidad de identificar los factores de riesgo de LA/FT, los efectos potenciales y los riesgos asociados. Las entidades supervisadas podrán seleccionar las metodologías y técnicas que consideren más adecuadas, dentro de las que se encuentran encuestas, entrevistas estructuradas con expertos, talleres, lluvia de ideas, técnicas de escenarios, entre otras.

5.1.2. EVALUACIÓN Y MEDICIÓN:

El SARLAFT debe permitirle a los Agentes del SGSSS medir la posibilidad o probabilidad de ocurrencia (frecuencia) del riesgo inherente de LA/FT, frente a cada uno de los factores de riesgo, así como el impacto (severidad) en caso de materializarse mediante los riesgos asociados. Estas mediciones podrán ser de carácter cualitativo o cuantitativo, al establecer metodologías de medición o evaluación para construir el perfil de riesgo inherente de LA/FT de la entidad y las mediciones agregadas en cada factor de riesgo y en sus riesgos asociados.

5.1.3. CONTROLES:

Los Agentes del SGSSS deben tomar las medidas necesarias para controlar el riesgo inherente al que se ven expuestas, en razón de los factores de riesgo y de los riesgos asociados. Para esto, las entidades deben como mínimo establecer las metodologías para definir las medidas de control del riesgo de LA/FT, los niveles de exposición y efectuar los Reportes de Operaciones Sospechosas (ROS) a la UIAF. Como resultado de esta etapa, la entidad debe establecer el perfil de riesgo residual de LA/ FT. El control debe traducirse en una disminución de la posibilidad de ocurrencia y/o del impacto del riesgo de LA/FT, en caso de materializarse, al buscar detectar operaciones que se pretendan realizar o se hayan realizado.

Todas las acciones de gestión del riesgo deberán identificar formalmente responsables, plazos, formas de ejecución, y reportes de avances. Asimismo, deberán estar aprobadas por la instancia del Gobierno Organizacional que corresponda.

5.1.4. SEGUIMIENTO Y MONITOREO:

Esta etapa debe permitir a los Agentes del SGSSS hacer seguimiento del perfil de riesgo y, en general, del Sarlaft, así como llevar a cabo la detección de operaciones inusuales o sospechosas. Para estos efectos se permite comparar la evaluación del riesgo inherente con el riesgo residual de cada factor de riesgo y de los riesgos asociados.

La entidad debe desarrollar reportes que permitan establecer la evolución del riesgo, así como la eficiencia de los controles implementados, para así poder establecer si se ha logrado corregir oportunamente eventuales deficiencias. En esta etapa cobra importancia la comunicación y entrega de resultados a todos los involucrados y responsables, en especial a los órganos de seguimiento definidos por el Gobierno Organizacional.

5.2. ELEMENTOS DEL SARLAFT

5.2.1. POLÍTICAS:

Son los lineamientos generales que deben adoptar las entidades vigiladas por la Superintendencia Nacional de Salud en relación al Sarlaft. Durante cada una de las etapas del Sarlaft se debe contar con políticas claras y aplicables.

5.2.1.1. Diseño de políticas

El diseño de las políticas para la implementación del Sarlaft, es responsabilidad de la Junta Directiva o de quien haga sus veces y cuando esta no exista, del representante legal principal de la entidad y/o en todo caso quien haga sus veces o sea nombrado por mandato legal.

5.2.1.2. Aprobación de las políticas

El máximo órgano social, o por mandato legal quien haga sus veces, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada unipersonal, será el responsable de aprobar las políticas del Sarlaft que se aplicarán en las empresas obligadas al cumplimiento de esta norma.

5.2.1.3. Constancia de la aprobación de las políticas

La aprobación de las políticas del Sarlaft, debe quedar debidamente documentada mediante acta y ésta debe quedar a disposición de la SNS y, asimismo, deberá quedar incluida en las actividades que desarrollará la entidad, de acuerdo con las disposiciones que se mencionan en el numeral 10 que hace parte integral de este mismo documento.

5.2.1.4. Comunicación de políticas

Las políticas y procedimientos adoptados para la implementación del Sarlaft, deberán ser comunicadas a todos los empleados, socios, directivos, administradores y cualquier otra persona que tenga vinculación con la entidad, con el fin de asegurar que sean entendidas e implementadas en todos los niveles de la organización. Asimismo, las políticas de Sarlaft deben hacer parte integral del Código de Ética de cada entidad para que oriente la actuación de los funcionarios y establezca procedimientos sancionatorios y consecuencias frente a su incumplimiento.

5.2.2. PROCEDIMIENTOS:

Las entidades a las que se dirige la presente Circular, deben establecer procedimientos aplicables para la adecuada implementación y funcionamiento de los elementos y las etapas del Sarlaft, adoptando los controles que permitan reducir la posibilidad de que las operaciones, negocios y contratos que se hayan realizado o se intenten realizar, sean utilizadas para dar apariencia de legalidad a actividades de LA/FT.

Asimismo, el control implica la detección de las operaciones que no se ajustan a la normalidad del negocio o actividad, y el análisis correspondiente para determinar si se tratan de posibles operaciones sospechosas.

5.2.2.1. Diseño de procedimientos

El diseño de los procedimientos para la implementación del Sarlaft, es responsabilidad de la Junta Directiva o quien haga sus veces y cuando esta no exista, del representante legal principal de la entidad y/o en todo caso quien haga sus veces o sea nombrado por mandato legal.

5.2.2.2. Aprobación de procedimientos

La Junta Directiva o quien haga sus veces, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada unipersonal, será el responsable de aprobar el manual de procedimientos del Sarlaft que se aplicarán en las empresas obligadas al cumplimiento de esta norma.

En este sentido, debe estar conformado por medidas y procedimientos suficientes que permitan dar cumplimiento a este objetivo e incluir por lo menos lo siguiente:

5.2.2.2.1. Identificar las situaciones que le generen riesgo de LA/FT en las operaciones, negocios o contratos que realiza la entidad: 

Los procedimientos para la prevención del riesgo de LA/FT deben contemplar la revisión de todas las etapas del Sarlaft y las operaciones, negocios y contratos que realiza la entidad, con el propósito de identificar las situaciones que puedan generarle riesgo de LA/FT. Esta identificación implica evaluar los cambios y la evolución de los controles y de los perfiles de riesgo inherente y residual, en situaciones tales como operaciones con clientes y/o contrapartes, usuarios, productos, canales de distribución y jurisdicción territorial. La identificación puede hacerse a través del examen a los procesos establecidos, o consultando la experiencia y opiniones de los asociados, administradores y empleados.

Una vez identificadas las situaciones que puedan generarle riesgo de LA/FT según las fuentes de riesgo, el Oficial de Cumplimiento debe elaborar una relación y dejar documentado el análisis de cada una, con el fin de implementar los controles necesarios y facilitar su seguimiento.

Asimismo, cuando la entidad incursione en nuevos mercados u ofrezca nuevos bienes o servicios, el Oficial de Cumplimiento deberá evaluar el riesgo de LA/FT que implica, dejando constancia de este análisis.

5.2.2.2.2. Verificación procesos de debida diligencia: Para verificar los procesos de debida diligencia, la Superintendencia Nacional de Salud tendrá en cuenta como mínimo los siguientes procesos:

5.2.2.2.2.1. Conocimiento de los clientes y usuarios: La debida diligencia en el conocimiento de los clientes y/o contrapartes y usuarios será implementada según las características particulares del negocio y de la comercialización de los servicios que presta.

Debido a la obligatoriedad del aseguramiento y la prestación de servicios de salud por parte de las EPS y prestadores, no se consideran como clientes y/o contrapartes los usuarios (afiliados) de las EPS, ni los pacientes de las IPS cuyos servicios sean cancelados efectivamente por algún tipo de seguro(12) (Plan Obligatorio de Salud, Sistema de Riesgos Laborales y Seguro Obligatorio de Accidentes de Tránsito (SOAT), Planes Adicionales de Salud, entre otros). Es así que, para estos casos, no será necesario la identificación del usuario.

Frente a la prestación de los servicios de salud, no podrá restringirse la atención en salud por parte del prestador o para el aseguramiento obligatorio, movilidad o autorización de atención en salud por la ausencia del conocimiento de los clientes y usuarios.

Los soportes y la verificación del conocimiento de clientes y usuarios implican recaudar y conservar como mínimo información que permita identificar a la persona natural o jurídica (siendo firmado por este) por un término no menor a cinco (5) años.

De esta manera, será obligatorio el conocimiento de los clientes y usuarios y en general, las personas naturales y jurídicas que tienen relaciones y operaciones económicas con los Agentes del SGSSS.

Dicho conocimiento de los clientes y usuarios deberá contener como mínimo la siguiente información, la cual debe ser diligenciada por el cliente en letra imprenta:

Naru1
Naru1
 

 

PN: Identificación requerida del cliente persona natural.

PJ: Identificación requerida del cliente persona jurídica.

Asimismo, para el análisis de las operaciones con clientes y usuarios, la entidad debe construir una base de datos que le permita consolidar e identificar alertas presentes o futuras. Para los casos de proveedores, grupos de factor y clientes, la identificación del cliente/usuario será obligatoria dentro del diseño de políticas que la Junta Directiva o quien haga sus veces determine.

5.2.2.2.2.2. Conocimiento de personas expuestas públicamente: Si la entidad celebra operaciones con personas expuestas públicamente, como aquellas que por razón de su cargo manejan recursos públicos, se debe indagar sobre la autorización para contratar o negociar otorgada por el órgano competente para el caso en que los servicios adquiridos no sean para su beneficio personal, así como establecer el origen de los recursos. Sin embargo, aplican las mismas excepciones del numeral anterior.

En todo caso, los procesos para el conocimiento de esta clase de clientes/usuarios deben ser más estrictos, y en lo posible, la negociación debe ser aprobada por una instancia superior al interior de la organización. En este tema, lo importante es que la entidad tome las medidas necesarias, para no ser utilizada en la canalización de recursos provenientes de actos de corrupción, lavado de activos

y/o financiación del terrorismo.

5.2.2.2.2.3. Conocimiento de los asociados: El Sarlaft que se adopte, debe contemplar herramientas que permitan establecer plenamente la identidad de los socios y accionistas de la organización, así como confirmar sus datos y tenerlos actualizados permanentemente. Asimismo, debe permitirle conocer la procedencia de los aportes en dinero o en especie, para lo cual se deberán requerir los documentos pertinentes.

5.2.2.2.2.4. Conocimiento de trabajadores, empleados o proveedores: La entidad debe verificar los antecedentes de sus trabajadores, empleados o proveedores antes de su vinculación y realizar por lo menos una actualización anual de sus datos. Cuando se detecten comportamientos inusuales en cualquier persona que labore o tenga contacto con la entidad, se debe analizar tal conducta.

5.2.2.2.2.5. Determinar el monto máximo de efectivo que puede manejarse al interior del entidad por tipo de cliente/usuario: Para prevenir el riesgo de LA/FT, la entidad debe establecer controles y procedimientos para reglamentar la cantidad máxima de dinero en efectivo que puede operarse con los diferentes segmentos de clientes/usuarios y en lo posible utilizar los medios de pago que ofrecen las instituciones financieras. La entidad que tiene un alto volumen de manejo de efectivo debe implementar mayores medidas de prevención y control.

5.2.2.2.2.6. Establecer herramientas para identificar operaciones inusuales y/o sospechosas: 

La entidad deberá establecer herramientas que permitan identificar operaciones inusuales y/o sospechosas.

Dichas herramientas pueden consistir en aplicativos tecnológicos que generen alertas, como el caso de hojas electrónicas cuya información pueda ser consolidada periódicamente y permita el desarrollo de indicadores a partir de los cuales se pueda inferir la existencia de situaciones que escapan al giro ordinario de sus operaciones y le permitan monitorear operaciones efectuadas por aquellas personas naturales y jurídicas que no siendo usuarios del SGSSS, tengan una relación jurídica y/o económica con la entidad.

Estas herramientas deben segmentarse de acuerdo con la naturaleza específica de cada entidad, teniendo en cuenta sus características particulares, tamaño, ubicación geográfica, las diversas clases de servicios que ofrece, los tipos de clientes o cualquier otro criterio que a su juicio resulte adecuado para controlar el riesgo de LA/FT.

Para detectar operaciones inusuales o sospechosas es necesario conocer el día a día del negocio, así como a sus asociados y clientes, con el fin de identificar lo que no se ajusta a circunstancias normales.

Una vez identificada y analizada una operación inusual y/o sospechosa, deben conservarse los soportes físicos que dieron lugar a calificarla en una u otra categoría, deben tener el respectivo nivel de seguridad de forma tal que se permita su consulta solo por quienes estén autorizados y debe contar con los criterios y procesos de manejo, guarda y conservación de la misma. Esto con el fin de que cuando sean solicitados, puedan ser remitidos de forma oportuna, clara y eficiente a la UIAF o a las entidades judiciales.

6. FUNCIONES DE LOS ÓRGANOS DE ADMINISTRACIÓN Y CONTROL 

Sin perjuicio de otras funciones asignadas para la implementación del Sarlaft, se deben establecer como mínimo las siguientes funciones a cargo de los órganos de administración, el oficial de cumplimiento y el revisor fiscal de los Agentes del Sistema General de Seguridad Social en Salud (SGSSS).

6.1. JUNTA DIRECTIVA O QUIEN HAGA SUS VECES

Para la implementación del Sarlaft se deberán asignar como mínimo las siguientes funciones a la Junta Directiva u órgano de administración que haga sus veces. En caso que por su naturaleza jurídica no exista dicho órgano, estas funciones corresponderán al representante legal:

a) Establecer las políticas para la prevención y control del riesgo de LA/FT que harán parte del

Sarlaft, para una posterior aprobación por la Asamblea o el máximo órgano social o quien haga sus veces;

b) Aprobar el manual de procedimientos y sus actualizaciones;

c) Garantizar los recursos técnicos y humanos que se requieran para implementar y mantener en funcionamiento del Sarlaft, teniendo en cuenta las características del riesgo de LA/FT y el tamaño de la entidad. Este equipo de trabajo humano y técnico debe ser de permanente apoyo para que el

Oficial de Cumplimiento lleve a cabalidad sus funciones;

d) Designar al Oficial de Cumplimiento y su respectivo suplente. Para efectos de dar cumplimiento a esta Circular la Junta Directiva o quien haga sus veces dará a conocer el nombramiento del Oficial de Cumplimiento a la SNS, en un plazo no mayor a ciento veinte (120) días calendario después de la entrada en vigencia de la presente Circular, indicando nombre, profesión, cargo adjunto o de desempeño alterno (si procede), teléfonos de contacto y correo electrónico. Esta información y su respectiva actualización o modificación, deberá incluirse bajo el Anexo Técnico número 192, el cual se describe en la sección 11. Anexos Técnicos;

e) Incluir en el orden del día de sus reuniones, la presentación del informe del Oficial de Cumplimiento, por lo menos una vez al año o cuando este lo determine necesario;

f) Pronunciarse sobre los informes presentados por el Oficial de Cumplimiento y la Revisoría

Fiscal y realizar el seguimiento a las observaciones o recomendaciones adoptadas, dejando constancia en las actas;

g) Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y Reporte de las Operaciones Sospechosas (ROS);

h) Aprobar las metodologías de segmentación, identificación, medición y control del SARLAFT;

i) Designar la(s) instancia(s) responsable(s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.

6.2. OFICIAL DE CUMPLIMIENTO

6.2.1. REQUISITOS DEL OFICIAL DE CUMPLIMIENTO: 

El Oficial de Cumplimiento debe cumplir como mínimo con los siguientes requisitos:

a) Depender directamente del Órgano de Administración o Dirección dentro de la estructura organizacional y funcional de la entidad. Es decir, pertenecer como mínimo al segundo nivel jerárquico en el área administrativa o corporativa de la entidad;

b) Tener capacidad decisoria frente a los reportes y temas relacionados con la prevención de Lavado de Activos y/o Financiación del Terrorismo;

c) Acreditar conocimiento en materia de administración de riesgos, particularmente en el riesgo de LA/FT, mediante certificación expedida por parte de instituciones autorizadas por el Ministerio de Educación Nacional para impartir formación en dicha materia, en la que conste que la duración del diplomado no sea inferior a 90 horas y el curso e-learning de la UIAF. En caso que sea una especialización, será válida en riesgos en general. Si no tiene ninguna de las anteriores certificaciones o acreditaciones, se pueden certificar cuatro (4) años de experiencia laboral en áreas de administración y gestión de riesgos;

d) No pertenecer a órganos de control ni a las áreas directamente relacionadas con las actividades previstas en el objeto social principal que hacen parte del Máximo Órgano Social;

e) Ser empleado directo de la entidad. Para el caso de los grupos empresariales oficialmente reconocidos, se puede nombrar a un mismo Oficial de Cumplimiento para todo el grupo, siempre y cuando este sea funcionario de alguna de las entidades que conforman dicho grupo.

En caso de que exista Oficial de Cumplimiento suplente, este debe cumplir como mínimo, los requisitos establecidos en los subnumerales b) al e) del presente numeral.

El empresario o el accionista único, que a su vez es el Representante Legal de la empresa unipersonal o de la sociedad por acciones simplificada unipersonal, podrá autonombrarse como Oficial de Cumplimiento para los anteriores efectos.

6.2.2. FUNCIONES DEL OFICIAL DE CUMPLIMIENTO:

Al Oficial de Cumplimiento y su suplente le corresponde desempeñar como mínimo las siguientes funciones:

a) Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el Sarlaft;

b) Elaborar y desarrollar los procesos y procedimientos a través de los cuales se llevarán a la práctica las políticas aprobadas para la implementación del Sarlaft;

c) Identificar las situaciones que puedan generar riesgo de LA/FT en las operaciones que realiza la entidad;

d) Implementar y desarrollar los controles a las situaciones que puedan generar riesgo de LA/FT en las operaciones, negocios o contratos que realiza la entidad;

e) Realizar seguimiento o monitoreo a la eficiencia y la eficacia de las políticas, procedimientos y controles establecidos;

f) Velar por el adecuado archivo de los soportes documentales y demás información relativa al riesgo de LA/FT de la entidad;

g) Participar en el diseño y desarrollo de los programas de capacitación sobre el riesgo de LA/ FT y velar por su cumplimiento;

h) Proponer a la Junta Directiva o quien haga sus veces, al empresario en el caso de las empresas unipersonales o al accionista único en la sociedad por acciones simplificada, los ajustes o modificaciones necesarios a las políticas del Sarlaft;

i) Proponer a la administración la actualización del manual de procedimientos y velar por su divulgación a los funcionarios;

j) Recibir y analizar los reportes internos de posibles operaciones inusuales, intentadas o sospechosas y realizar el reporte de estas dos últimas a la UIAF;

k) Realizar todos los reportes a la SNS, incluidas las actas de aprobación de la política, así como el manual de procedimientos;

l) Mantener actualizados los datos de la entidad y el oficial de cumplimiento con la UIAF, utilizando los canales de comunicación correspondientes;

m) Informar a la UIAF cualquier cambio de usuario del Sistema de Reporte en Línea (SIREL);

n) Gestionar adecuadamente los usuarios del Sistema de Reporte en Línea (SIREL);

o) Revisar los documentos publicados por la UIAF en la página web como anexos técnicos, manuales y utilidades que servirán de apoyo para la elaboración de los reportes;

p) Diseñar las metodologías de segmentación, identificación, medición y control del Sarlaft;

q) Analizar los informes presentados por la auditoría interna o quien ejecute funciones similares o haga sus veces, y los informes que presente el Revisor Fiscal para que sirvan como insumo para la formulación de planes de acción para la adopción de las medidas que se requieran frente a las deficiencias informadas, respecto a temas de Sarlaft;

r) Elaborar y someter a la aprobación de la Junta Directiva o el órgano que haga sus veces, los criterios objetivos para la determinación de las operaciones sospechosas, así como aquellos para determinar cuáles de las operaciones efectuadas por usuarios serán objeto de consolidación, monitoreo y análisis de operaciones inusuales;

s) Presentar cuando menos, de forma semestral a los administradores y anualmente a la Junta Directiva o quien haga sus veces, al empresario en el caso de las empresas unipersonales o al accionista único en la sociedad por acciones simplificada unipersonal, un informe por escrito donde exponga el resultado de su gestión.

Estos informes son confidenciales y deben referirse como mínimo a los siguientes aspectos:

– Los procesos establecidos para llevar a la práctica las políticas aprobadas, sus adiciones o modificaciones.

– Los resultados del monitoreo y seguimiento para determinar la eficiencia y la eficacia de las políticas, procedimientos y controles establecidos.

– Las medidas adoptadas para corregir las falencias encontradas al efectuar el monitoreo de los controles.

– El cumplimiento a los requerimientos de las diferentes autoridades, en caso de que estos se hubieran presentado.

– Las propuestas de ajustes o modificaciones a las políticas para la prevención y control del riesgo de LA/FT que considere pertinentes.

– El cumplimiento a los ajustes o modificaciones a las políticas de prevención y de control del riesgo de LA/FT aprobados por la Junta Directiva o quien haga sus veces, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada unipersonal.

– Las últimas normas o reglamentaciones expedidas sobre la prevención y control del riesgo de LA/FT y las medidas adoptadas para darles cumplimiento a las mismas.

No podrán contratarse con terceros las funciones asignadas al Oficial de Cumplimiento, ni aquellas relacionadas con la identificación y reporte de operaciones inusuales, así como las relacionadas con la determinación y Reporte de Operaciones Sospechosas.

La designación del Oficial de Cumplimiento no exime a los administradores y demás empleados sobre la obligación de comunicarle y/o informarle internamente a este, sobre la ocurrencia de operaciones inusuales, sospechosas o intentadas (anormalidades dentro de las actividades y/u operaciones propias del negocio que realiza la Entidad), de acuerdo con el procedimiento que se haya establecido.

Adicional a las anteriores funciones, el Oficial de Cumplimiento también debe consultar, monitorear y revisar con la debida diligencia las listas sobre sanciones financieras dirigidas del Consejo de Seguridad de las Naciones Unidas que den lugar a posibles vínculos con delitos relacionados con

Lavado de Activos y/o Financiación del Terrorismo. De encontrar algún vínculo con alguna persona natural o jurídica relacionada con la entidad, el Oficial de Cumplimiento deberá informar sobre este punto en particular, a la Fiscalía General de la Nación.

6.3. REVISOR FISCAL

De conformidad con lo previsto en los numerales 1, 2 y 3 del artículo 207 del Código de Comercio, el revisor fiscal deberá cerciorarse que las operaciones, negocios y contratos que celebre o cumpla la empresa, se ajustan a las instrucciones y políticas aprobadas por el máximo órgano social, el empresario en el caso de las empresas unipersonales o el accionista único en la sociedad por acciones simplificada unipersonal.

Asimismo, deberá dar cuenta por escrito cuando menos, de forma anual a la Junta Directiva o quien haga sus veces, al representante legal, al empresario en el caso de las empresas unipersonales o al accionista único en la sociedad por acciones simplificada unipersonal, del cumplimiento o incumplimiento a las disposiciones contenidas en el Sarlaft.

De igual forma, deberá poner en conocimiento del Oficial de Cumplimiento, las inconsistencias y falencias que detecte respecto a la implementación del Sarlaft o de los controles establecidos.

Finalmente, deberá rendir los informes que, sobre el cumplimiento a las disposiciones contenidas en esta Circular, le solicite la Superintendencia Nacional de Salud.

En consecuencia, el revisor fiscal debe establecer las medidas necesarias que le permitan cumplir con lo señalado en este numeral.

7. INFRAESTRUCTURA TECNOLÓGICA

Las entidades deben contar con la infraestructura tecnológica necesaria para garantizar la adecuada administración del riesgo de LA/FT, al contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño.

8. REPORTES

8.1. REPORTES INTERNOS

Los reportes internos son de uso exclusivo de la entidad.

8.2. REPORTES A LA UIAF

Los reportes deben ser entregados en la forma que disponga la UIAF, conforme a las instrucciones impartidas en los manuales y formatos contenidos en la página de internet de dicha Entidad: https://

www.uiaf.gov.co/reportantes

8.2.1. REPORTE DE OPERACIONES INTENTADAS Y OPERACIONES SOSPECHOSAS 

(REPORTE DE ROS): 

Una operación intentada o una operación sospechosa debe reportarse de manera inmediata como ROS directamente a la UIAF, entendiéndose por inmediato el momento a partir del cual la entidad toma la decisión de catalogar la operación como intentada o sospechosa. Para el efecto, no se necesita que la entidad tenga certeza de que se trata de una actividad delictiva, ni de identificar el tipo penal o de verificar que los recursos tienen origen ilícito; tan solo se requiere que la operación sea sospechosa en los términos definidos en la presente Circular y/o dentro del manual de políticas de la misma entidad.

El envío del ROS a la UIAF no constituye una denuncia ni da lugar a ningún tipo de responsabilidad para la entidad reportante, ni para las personas que hayan participado en su detección o en su reporte de conformidad con el artículo 42 de la Ley 190 de 1995.

Los soportes de la operación reportada se deben organizar y conservar como mínimo por cinco (5) años, dado que pueden ser solicitados por las autoridades competentes.

Ninguna persona de la entidad podrá dar a conocer que se ha efectuado el reporte de una operación sospechosa a la UIAF, según lo determina el inciso cuarto del artículo 11 de la Ley 526 de 1999.

Parágrafo. Para efectos de lo dispuesto en el presente numeral, los sujetos obligados deberán entender por reporte de manera inmediata, el lapso que transcurre entre que el sujeto obligado toma la decisión de catalogar la operación como sospechosa y documentarla, plazo que en ningún caso puede exceder de ocho (8) días calendario.

8.2.2. REPORTE DE AUSENCIA DE OPERACIONES INTENTADAS Y OPERACIONES 

SOSPECHOSAS (REPORTE DE AUSENCIA DE ROS): 

Si durante el mes inmediatamente anterior, la entidad no realizó ningún ROS a la UIAF, dentro de los 10 primeros días calendario del mes siguiente deberá reportar a la UIAF que durante el mes anterior no efectuaron Reporte de Operaciones Sospechosas.

8.2.3. REPORTE DE TRANSACCIONES INDIVIDUALES EN EFECTIVO:

Todos los sujetos vigilados por la Superintendencia Nacional de Salud a los que le compete la aplicación de esta Circular, deberán reportar mensualmente a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente, todas las transacciones en efectivo realizadas en un mismo día por parte de una misma persona natural o jurídica, por un valor igual o superior a cinco millones de pesos

($5.000.000) moneda corriente y /o su equivalente en otras monedas.

8.2.4. REPORTE DE TRANSACCIONES MÚLTIPLES EN EFECTIVO: 

Todos los sujetos vigilados por la Superintendencia Nacional de Salud a los que le compete la aplicación de esta Circular, deberán reportar mensualmente a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente, todas las transacciones en efectivo realizadas por parte de una misma persona natural o jurídica en el mes inmediatamente anterior, que en su conjunto iguale o supere la cuantía de veinticinco millones de pesos ($25.000.000) moneda corriente y/o su equivalente en otras monedas durante el mes objeto de reporte.

El reporte de transacciones en efectivo se realizará en un único archivo relacionando las operaciones múltiples y luego las individuales.

8.2.5. REPORTE DE AUSENCIA DE TRANSACCIONES EN EFECTIVO: 

Todos los sujetos vigilados por la Superintendencia Nacional de Salud a los que le compete la aplicación de esta Circular, que no hayan reportado transacciones en efectivo, bien sea individuales o múltiples durante el mes inmediatamente anterior, deberán reportar este hecho a la UIAF dentro de los diez (10) primeros días calendario del mes siguiente.

8.2.6. OTROS REPORTES:

La UIAF podrá establecer otros reportes y/o controles para ser entregados en los términos y periodicidad que determine, de acuerdo con los riesgos y vulnerabilidad de LA/FT detectados en la actividad.

Parágrafo: Los reportes que tratan los numerales 8.2.2 al 8.2.6 deberán realizarse por primera vez, una vez termine el período de transición. Es así como para el primer reporte de dichos numerales, estos deberán hacerse por parte de la entidad entre el 1° y el 10 de noviembre de 2016, tal como se explica con mayor detenimiento más adelante, en el numeral 12.2 de la presente Circular.

8.3. ACREDITAR CON SOPORTES TODAS LAS OPERACIONES, NEGOCIOS Y

CONTRATOS

Los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) deben establecer reglas específicas que prohíban la realización de actividades, negocios y contratos sin que exista el respectivo soporte interno o externo, debidamente fechado y autorizado por quienes intervengan en ellos o los elaboren. Todo documento que acredite transacciones, negocios o contratos de la entidad, además de constituir el soporte de la negociación y del registro contable, constituye el respaldo probatorio para cualquier investigación que puedan adelantar las autoridades competentes.

8.4. MONITOREO Y SEGUIMIENTO

Una vez implementadas las políticas aprobadas, las mediciones, los controles y el monitoreo, la entidad deberá verificar permanentemente que estos están operando de manera oportuna y eficiente.

En consecuencia, deberá adoptar las medidas necesarias para corregir las falencias encontradas y dar adecuado cumplimiento al Sarlaft.

9. CAPACITACIÓN

Los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) deben diseñar, programar y coordinar planes de capacitación como mínimo una vez al año a todas las áreas y funcionarios de la entidad sobre las políticas, procedimientos, herramientas y controles adoptados para dar cumplimiento al Sarlaft. Como resultado de esta capacitación, el personal debe estar en la capacidad como mínimo de identificar cuándo una operación es intentada, inusual o sospechosa, cuándo debe reportarse, el medio para hacerlo y a quién.

La capacitación debe ser considerada en los procesos de inducción de los nuevos empleados. Se debe dejar constancia de las capacitaciones realizadas, donde se indique como mínimo la fecha, el tema tratado y el nombre de los asistentes.

10. DOCUMENTACIÓN

El Representante Legal de la entidad debe mantener en todo momento, y a disposición de la Superintendencia Nacional de Salud los siguientes documentos:

a) Las actas del máximo órgano social, o del empresario en el caso de las empresas unipersonales, o del accionista único en la sociedad por acciones simplificada unipersonal, donde conste la aprobación de las políticas del Sarlaft, así como las actas correspondientes a la aprobación de los ajustes o modificaciones que se efectúen a dichas políticas;

b) Los instructivos o manuales que contengan los procesos a través de los cuales se llevan a la práctica las políticas y procedimientos aprobados del Sarlaft. Estos documentos deberán ser firmados por el representante legal principal y ser de fácil consulta y aplicación al interior de la organización;

c) Los informes presentados por el Oficial de Cumplimiento;

d) Los informes presentados por el Revisor Fiscal sobre el funcionamiento del Sarlaft;

e) Las constancias de envío de los Reportes de Operaciones Sospechosas (ROS) remitidos a la

UIAF, y demás reportes solicitados por esta Unidad;

f) Las constancias de las capacitaciones impartidas a todo el personal de la empresa sobre el Sarlaft;

g) Las actas de Junta Directiva en donde conste la presentación del informe del Oficial de Cumplimiento y del revisor fiscal.

Tanto las políticas, como el manual de procedimientos de la entidad, las bases de datos de clientes y/o usuarios, los requisitos del Oficial de Cumplimiento y demás información, documentación y lineamientos que estén referenciados en esta Circular, deben estar a disposición de la Superintendencia Nacional de Salud para ser revisados y validar que cumplen con lo establecido en la presente Circular. Asimismo, la SNS en virtud de sus funciones de IVC, podrá requerir dicha información en cualquier momento.

11. ANEXOS TÉCNICOS

Como se mencionó anteriormente, la Entidad está en la obligación de enviar inmediatamente a la Superintendencia Nacional de Salud copia de las Actas donde se apruebe el diseño, implementación o modificación de las políticas y del manual de procedimientos del Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo, en un plazo no mayor a doscientos cuarenta (240) días calendario después de la entrada en vigencia de la presente Circular, de acuerdo a los términos contemplados en el numeral 12.2 Periodo de Transición para el primer envío, y cuando se presente cualquier modificación a las políticas y manuales. Estas copias de las actas deben ser entregadas mediante Anexo Técnico 191 en formato PDF debidamente diligenciadas y firmadas por todos los asistentes a la reunión de acuerdo a la siguiente estructura:

naru2
naru2
 

Asimismo, la SNS recibirá la información referente a los datos generales del Oficial de Cumplimiento titular y suplente, mediante el siguiente Anexo Técnico 192, en un plazo no mayor a ciento veinte (120) días calendario contados a partir de la entrada en vigencia de la presente Circular, de acuerdo a los términos contemplados en el numeral 12.2 Periodo de Transición para el primer envío,

y/o cuando se presente alguna modificación a dichos datos.

ARCHIVO TIPO 192

Datos Generales Oficial de Cumplimiento y Suplente

TIPO DE ENTIDAD A LA QUE APLICA: Entidades Promotoras de Salud del Régimen

Contributivo, Entidades Promotoras de Salud del Régimen Subsidiado, Instituciones Prestadoras de Salud públicas y privadas (Grupo C1, C2 y 01), Empresas de Medicina Prepagada y Servicio de

Ambulancia Prepagada.

PERIODICIDAD: Anual o cuando exista alguna modificación.

Nombre del archivo: CODIGOENTIDADPPANNO192.TXT

naru3
 

 

 

12. DISPOSICIONES FINALES

Las disposiciones contenidas en la presente Circular se aplicarán sin perjuicio de aquellos sectores y/o actividades económicas que también tienen una obligación de reporte específica de acuerdo con las resoluciones expedidas por la Unidad de Información y Análisis Financiero (UIAF).

12.1. VIGENCIA

La presente Circular rige a partir de su publicación y promulgación.

12.2. PERÍODO DE TRANSICIÓN

El período de transición para la implementación de políticas y manuales de procedimientos del Sarlaft se fija en un término de ciento veinte (120) días calendario contados a partir del nombramiento del Oficial de Cumplimiento y su debida notificación en los términos contemplados en el numeral 6.1 literal D de esta Circular, con el fin que los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) a los que les aplica la presente Circular se capaciten y remitan a la SNS, la documentación soporte de dicha implementación.

Téngase en cuenta que, para el nombramiento del Oficial de Cumplimiento, se estableció un término de ciento veinte (120) días calendario contados a partir de la entrada en vigencia de esta

Circular, en los términos establecidos en el numeral 6.1 literal D de ésta Circular, por lo que, en total, el periodo de transición sería de doscientos cuarenta (240) días calendario.

12.3. CONTROL AL CUMPLIMIENTO DE LA CIRCULAR

De conformidad con lo establecido en los numerales 11 y 12 del artículo 130 y de acuerdo con el artículo 131 de la Ley 1438 de 2011, la inobservancia e incumplimiento de las instrucciones impartidas en este acto administrativo, dará lugar a la imposición de multas hasta de 2500 smlmv a entidades que se encuentren dentro del ámbito de la vigilancia de esta Superintendencia, así como a título personal hasta 200 smlmv, a los Representantes Legales de estas ya sean de carácter público o privado, directores o secretarios de salud o quienes hagan sus veces y demás funcionarios responsables de la administración y manejo de los recursos del sector salud o a la revocatoria del certificado de habilitación de las vigiladas, si a ello hubiere lugar, sin perjuicio de las acciones que le correspondan a otras autoridades.

Publíquese y cúmplase.

Dado en Bogotá, D. C., a 21 de abril de 2016.

N. del D.: La presente Circular Externa va dirigida a Representantes legales, socios, accionistas, revisores fiscales, alta gerencia, máximo órgano social, oficiales de cumplimiento, administradores y personas naturales o jurídicas que hacen parte de los Agentes del Sistema General de Seguridad Social en Salud (SGSSS) vigilados por la Superintendencia Nacional de Salud, en particular las entidades promotoras de salud régimen contributivo y subsidiado, instituciones prestadoras de salud públicas y privadas de los Grupos C1, C2 y D1 según Circular Externa 018 de 2015 y normas que la modifiquen o sustituyan, Empresas de Medicina Prepagada y Servicios de Ambulancia Prepagada.

1 GAFI (Grupo de Acción Financiera Internacional): Organismo intergubernamental cuyo propósito es elaborar y promover medidas para combatir el lavado de activos.

2 GAFILAT (Grupo de Acción Financiera Internacional de Sudamérica).

3 GAFISUD (Grupo de Acción Financiera de Sudamérica): Organismo intergubernamental conformado por los países sudamericanos cuyo propósito es elaborar y promover medidas para combatir el lavado de activos en Suramérica.

4 Ley 122 de 2007 artículos 35 a 40.

5 Artículos 118 a 139 Ley 1438 de 2011.

6 * Las definiciones marcadas con este símbolo tienen relación con las 40 recomendaciones impartidas por el Grupo de Acción Financiera Internacional (GAFI).
De acuerdo con las recomendaciones del GAFI. Estándares internacionales sobre la lucha contra el lavado de activos y el financiamiento del terrorismo y la proliferación. Febrero 2012.

7 Se incluyen en estos pagos, los efectuados por concepto de copagos, cuotas moderadoras, deducibles o cualquier pago adicional contemplado en el Sistema General de Seguridad Social en Salud, en los Planes Voluntarios de Salud o seguros en general que cubran eventos de salud.

8 L. 599/2000 (Código Penal). Artículo 345, modificado por el artículo 16 de la Ley 1121 de 2006, y por el artículo 16 de la de la Ley 1453 de 2011: Financiación del terrorismo y de grupos de delincuencia organizada y administración de recursos relacionados con actividades terroristas y de la delincuencia organizada. El que directa o indirectamente provea, recolecte, entregue, reciba, administre, aporte, custodie o guarde fondos, bienes o recursos, o realice cualquier otro acto que promueva, organice, apoye, mantenga, financie o sostenga económicamente a grupos de delincuencia organizada, grupos armados al margen de la ley o a sus integrantes, o a grupos terroristas nacionales o extranjeros, o a terroristas nacionales o extranjeros, o a actividades terroristas, incurrirá en prisión de trece (13) a veintidós (22) años y multa de mil trescientos (1.300) a quince mil (15.000) salarios mínimos legales mensuales vigentes.

9 L. 599/2000 (Código Penal), Artículo 323: modificado por el artículo 8° de la Ley 747 de 2002, modificado a su vez por el artículo 7o de la Ley 1121 de 2006 y por el artículo 42 de la ley 1453 de 2011: Lavado de activos. El que adquiera, resguarde, invierta, transporte, transforme. almacene, conserve, custodie o administre bienes que tengan su origen mediato o inmediato en actividades de tráfico de migrantes, trata de personas, extorsión, enriquecimiento ilícito, secuestro extorsivo, rebelión, tráfico de armas, tráfico de menores de edad, financiación del terrorismo y administración de recursos relacionados con actividades terroristas, tráfico de drogas tóxicas, estupefacientes o sustancias sicotrópicas, delitos contra el sistema financiero, delitos contra la administración pública, o vinculados con el producto de delitos ejecutados bajo concierto para delinquir, o les dé a los bienes provenientes de dichas actividades apariencia de legalidad o los legalice, oculte o encubra la verdadera naturaleza, origen, ubicación, destino, movimiento o derecho sobre tales bienes o realice cualquier otro acto para ocultar o encubrir su origen ilícito, incurrirá por esa sola conducta, en prisión de diez (10) a treinta (30) años y multa de seiscientos cincuenta (650) a cincuenta mil (50.000) salarios mínimos legales vigentes.

10 Las recomendaciones del GAFL Estándares internacionales sobre la lucha contra el lavado de activos y el financiamiento del terrorismo y la proliferación. Febrero 2012.

11 La lista que a continuación se ofrece es enunciativa. La mención de un comportamiento o una actividad no establece por si sola que se trate de una operación sospechosa; se requiere verificar otros elementos relativos a la actividad cuestionada que avalen esta percepción.

12 Se incluyen en estos pagos, los efectuados por concepto de copagos, cuotas moderadoras, deducibleso cualquier pago adicional contemplado en el Sistema General de Seguridad Social en Salud, en los Planes Voluntarios de Salud o seguros en general que cubran eventos de salud.