RESOLUCIÓN 1740 DE 2008 

(Mayo 20)

“Por la cual se dictan disposiciones relacionadas con el sistema de administración de riesgos para las entidades promotoras de salud del régimen contributivo y entidades adaptadas previstas en el Sistema de Habilitación - Condiciones financieras y de suficiencia patrimonial, se definen las fases para su implementación y se dictan otras disposiciones”.

El Ministro de la Protección Social,

en ejercicio de sus facultades legales, en especial las contenidas en el artículo 12 del Decreto 574 de 2007 modificado por el artículo 7º del Decreto 1698 de 2007,

CONSIDERANDO:

Que el Decreto 574 de 2007 define y adopta las condiciones financieras y de solvencia del sistema único de habilitación de entidades promotoras de salud del régimen contributivo y entidades adaptadas;

Que el parágrafo 2º del artículo 5º del Decreto 574 de 2007 fue modificado por el artículo 1º del Decreto 1698 de 2007 introduciendo la posibilidad de acceder a un descuento en el monto de patrimonio mínimo exigido a las entidades para garantizar la solvencia, a través del diseño e implementación de un sistema de administración de riesgos;

Que el artículo 12 del Decreto 574 de 2007 modificado por el artículo 7º del Decreto 1698 de 2007 señala que será el Ministerio de la Protección Social el que establezca la gradualidad, los contenidos y los mecanismos de control de cumplimiento del sistema de administración de riesgos aplicable a las entidades promotoras de salud del régimen contributivo y entidades adaptadas,

RESUELVE:

ART. 1º—Objeto y ámbito de aplicación. La presente resolución tiene por objeto establecer la gradualidad, los contenidos y los mecanismos de control de cumplimiento del sistema de administración de riesgos aplicable a las entidades promotoras de salud del régimen contributivo y entidades adaptadas de que trata el Decreto 1698 de 2007 y aquellas normas que lo adicionen, reglamenten o sustituyan.

ART. 2º—Definiciones. Para la aplicación del objeto de la presente resolución, se adoptan las siguientes definiciones:

Incertidumbre. Corresponde a aquella situación sobre la cual no se conoce con seguridad si ocurrirá y, de ocurrir, cómo se comportará en el futuro.

Riesgo. Se refiere a aquella incertidumbre que afecta negativamente el bienestar de los agentes económicos y el logro de los objetivos de la organización, en particular, se considera como riesgo la posibilidad de generarse una pérdida económica por la ocurrencia de un evento adverso.

Sistema de administración de riesgos. Se entiende por el sistema de administración de riesgos los procesos, procedimientos y tareas sistemáticas de planear, hacer, verificar y actuar frente al riesgo. Este sistema puede ser parte integral de los sistemas de gestión de la entidad.

ART. 3º—Ámbitos de acción del sistema de administración de riesgos. Con el fin de implementar plenamente el sistema de administración de riesgos, las entidades deben establecer las acciones a desarrollar en cada uno de los siguientes ámbitos, los cuales deben revisarse periódicamente constituyendo un ciclo permanente:

1. Identificación del riesgo. Consiste en determinar y documentar cuáles son las exposiciones al riesgo o vulnerabilidades de las entidades para el negocio en que opera (visión integral de la empresa). Para caracterizar correctamente el riesgo se deberá establecer una perspectiva de la entidad en su conjunto y analizar la totalidad de las incertidumbres que la afectan.

2. Evaluación y medición del riesgo. Es la cuantificación de los efectos probables asociados a los riesgos que han sido identificados, considerando la frecuencia y la severidad de su ocurrencia. En las etapas iniciales se refiere a la definición cualitativa de los riesgos de acuerdo a una escala que los clasifique en un grado alto o bajo. Una vez completado el plan de implementación del sistema de administración de riesgos, se deberá medir la probabilidad de ocurrencia de un evento de pérdida y su impacto en caso de materializarse, con cualquier esquema de cuantificación de reconocida validez técnica.

3. Selección de métodos para la administración del riesgo. Se deben determinar las políticas y las acciones tendientes a gestionar los riesgos a los que se ve expuesta la entidad, de acuerdo con los niveles de riesgo determinados. Para el efecto, se contemplan cuatro métodos fundamentales:

a) Evitar el riesgo;

b) Prevenir y controlar las pérdidas;

c) Retener el riesgo;

d) Transferir el riesgo.

Para seleccionar el mecanismo o conjunto de mecanismos que se ajuste a las necesidades de la entidad se deberá realizar un análisis de costo-beneficio de las diferentes alternativas a considerar.

4. Implementación. Una vez establecidos los posibles mecanismos o conjunto de mecanismos para la mitigación y gestión de los riesgos que se han identificado como relevantes para la entidad, esta deberá poner en práctica tales métodos.

5. Retroalimentación. Las incertidumbres esperadas, los riesgos derivados y la cuantificación de los mismos deben ser contrastados regularmente con la realidad observada.

ART. 4º—Elementos de la gestión del sistema de administración de riesgos. Para una adecuada administración de riesgos, se deberán tener en cuenta los siguientes elementos:

1. Ambiente interno. La actividad de administración y gestión de riesgos debe ejecutarse por la organización en su conjunto, lo cual supone que todos los niveles jerárquicos tengan conciencia del riesgo y lo involucren en sus actividades cotidianas de gestión.

2. Plan de implementación. El sistema de administración de riesgos debe partir de la determinación de objetivos generales y específicos, que puntualicen el alcance de la gestión de riesgos dentro de la organización además de un plan de implementación que incluya la fijación de metas, los recursos humanos y financieros involucrados, las metodologías y herramientas necesarias, la identificación de los riesgos críticos y el cronograma de implementación.

3. Respuesta y comunicación. Descripción y operación de los mecanismos para mantener el contacto regular y pertinente con los actores involucrados (funcionarios, terceros interesados y autoridades) incluyendo manuales y documentación de procesos, informes, entre otros.

4. Monitoreo. Comprende el diseño y aplicación del sistema de indicadores y acciones definidas para el seguimiento y aseguramiento del proceso de gestión de riesgos y su impacto.

Lo anterior es una secuencia lógica de actividades para la implementación del sistema de administración de riesgos. El proceso de gestión de riesgos supone que estos elementos se contemplen desde el inicio del proceso.

ART. 5º—Áreas de análisis y riesgos a considerar. Para la aplicación de lo dispuesto en el sistema único de habilitación definido en los decretos 574 y 1698 de 2007 o los que los adicionen, modifiquen o sustituyan, en relación con las condiciones de suficiencia patrimonial y financiera y las fases de implementación, se definen las siguientes áreas de análisis en el marco general del sistema de administración de riesgos, asociándose a los riesgos que le son propios:

1. Administración de riesgos en salud:

a) Riesgo de concentración y hechos catastróficos: Corresponde a la probabilidad de pérdida en que puede incurrir una entidad como consecuencia de una concentración de los riesgos, bien sea por género, franjas de edades, de regiones, de patologías, por la ocurrencia de hechos catastróficos o situaciones similares que afecten un número elevado de afiliados;

b) Riesgo de incrementos inesperados en los índices de morbilidad y de los costos de atención: Corresponde a la probabilidad de pérdida en un periodo contable que se genera como consecuencia de diferencias apreciables entre las condiciones de morbilidad asumidas y las actuales, así como pérdidas derivadas de incrementos inesperados en los costos de atención;

c) Riesgo de cambios permanentes en las condiciones de salud o cambios tecnológicos: Corresponde a la probabilidad de que ocurran cambios permanentes en las condiciones de salud de la población objeto o derivados de la disponibilidad e incorporación al plan de beneficios de nuevas tecnologías, que requieran ajustes en la financiación de este plan de beneficios;

d) Riesgo de insuficiencia de reservas técnicas: Corresponde a la probabilidad de pérdida como consecuencia de una subestimación en el cálculo de las reservas técnicas y otras obligaciones contractuales (servicios autorizados y servicios facturados);

e) Riesgo de comportamiento: Corresponde a los posibles conflictos de interés de individuos o instituciones respecto de los objetivos generales del sistema general de seguridad social en salud.

2. Administración de riesgo operativo:

a) Riesgo operativo. Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura, ya sea por causa endógena o por la ocurrencia de acontecimientos externos. La exposición a este riesgo puede resultar de una deficiencia o ruptura en los controles internos o procesos de control, fallas tecnológicas, errores humanos o deshonestidad, práctica insegura y catástrofes naturales, entre otras causas;

b) Riesgo legal y regulatorio. Contempla la posibilidad de incurrir en pérdidas derivadas del incumplimiento de normas legales, errores u omisiones en la contratación, de la inobservancia de disposiciones reglamentarias, de códigos de conducta o normas éticas. Así mismo, el riesgo legal puede derivarse de situaciones de orden jurídico que afecten la titularidad o disponibilidad de los activos, en detrimento de su valor. El riesgo regulatorio se refiere a los riesgos derivados de los cambios en las normas que rigen la actividad;

c) Riesgo reputacional. Asociado a la ocurrencia de otros riesgos, este se refiere a la probabilidad de pérdidas por la disminución de ingreso o aumento de los costos como consecuencia de fallas en la prestación del servicio, noticias adversas derivadas de acciones de mercado o sanciones impuestas por la autoridad, debilidades financieras que minen la confianza de afiliados, clientes o acreedores, entre otros.

3. Administración de riesgos generales del negocio, de mercado y de crédito:

a) Riesgo estratégico: Corresponde a la probabilidad de pérdida como consecuencia de la imposibilidad de implementar apropiadamente los planes de negocio, las estrategias, las decisiones de mercado, la asignación de recursos y su incapacidad para adaptarse a los cambios en el entorno de los negocios. Así mismo, se debe analizar el riesgo que emerge de la pérdida de participación en el mercado y/o disminuciones en los ingresos que puedan afectar la situación financiera de la entidad;

b) Riesgo de crédito: Es la posibilidad de incurrir en pérdidas por el no pago o pago inoportuno de las obligaciones a cargo de (i) sus aseguradoras (particularmente en el caso de enfermedades de alto costo), (ii) de sus afiliados y aportantes, (iii) anticipos otorgados a prestadores de servicios (contratos por capitación), (iv) riesgo de contraparte de las inversiones, y (v) de retrasos en el flujo oportuno de los recursos del sistema, vi) cualquier otra operación que determine una deuda a favor de la entidad;

c) Riesgo de mercado: Corresponde a la posibilidad de incurrir en pérdidas derivadas del incremento no esperado en el monto de sus obligaciones con acreedores externos o pérdida en el valor de activos, a causa de variaciones en las tasas de interés, en la tasa de devaluación o cualquier otro parámetro de referencia;

d) Riesgo de liquidez: Está dado por la imposibilidad de adquirir u obtener los fondos necesarios para atender el pago de obligaciones tanto a corto plazo (riesgo inminente) como en el mediano y largo plazo (riesgo latente), bien sea para el pago de los gastos en salud o para el ajuste de reservas y sus inversiones.

Esta organización de riesgos es meramente indicativa y se admite que las entidades adopten otro tipo de agrupaciones, siempre y cuando se contemplen los riesgos más relevantes que enfrenta la entidad y se incluyan los acá descritos.

Las entidades deberán disponer de planes de contingencia y de continuidad del negocio aprobado por la junta directiva.

ART. 6º—Roles y responsabilidades. Las entidades deben establecer y asignar funciones en relación con las distintas etapas y componentes del sistema de administración de riesgos. La junta directiva, el representante legal y la instancia que lidere la administración de riesgos de la entidad, deberán desarrollar como mínimo las siguientes funciones:

1. Junta directiva u órgano que haga sus veces:

Serán funciones a cargo de la junta directiva u órgano que haga sus veces:

a) Aprobar el sistema de administración de riesgos del sistema general de seguridad social en salud;

b) Establecer las políticas generales del sistema de administración de riesgos;

c) Hacer seguimiento y pronunciarse sobre el perfil de riesgo de la entidad;

d) Aprobar el diseño y plan de implementación del sistema de administración de riesgos y sus actualizaciones;

e) Aprobar los planes de contingencia y de continuidad del negocio presentados por el representante legal de la entidad;

f) Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente, el sistema de administración de riesgos.

2. Representante legal:

Frente al sistema de administración de riesgos, serán funciones del representante legal:

a) Diseñar y someter a aprobación de la junta directiva u órgano que haga sus veces, el sistema de administración de riesgos y sus actualizaciones;

b) Velar por el cumplimiento efectivo de las políticas establecidas por la junta directiva en relación con el sistema de administración de riesgos;

c) Adelantar un seguimiento permanente de la aplicación del sistema de administración de riesgos, incluyendo los aspectos de cultura organizacional requeridos para su buen desarrollo;

d) Designar el área, cargo o comité que actuará como responsable de la implementación y seguimiento del sistema de administración de riesgos, asegurando la idoneidad técnica del recurso humano asignado;

e) Adoptar las medidas relativas al perfil de riesgo en concordancia con las políticas y lineamientos definidos por la junta directiva;

f) Velar por la correcta aplicación de los controles del riesgo identificado y medido;

g) Presentar un informe periódico, como mínimo de forma semestral, a la junta directiva sobre la evolución y aspectos relevantes del sistema de administración de riesgos, incluyendo, entre otros, el nivel de riesgo de la entidad, las acciones preventivas y correctivas implementadas o por implementar y el área responsable;

h) Establecer un procedimiento para construir las bases de datos necesarias para la gestión del riesgo en los términos previstos en la presente resolución.

3. Responsables de implementar y operar el sistema de administración de riesgos:

a) Definir los instrumentos, metodologías y procedimientos tendientes a que la entidad administre efectivamente sus riesgos;

b) Desarrollar e implementar el sistema de reportes, internos y externos, del riesgo de la entidad;

c) Diseñar, construir y mantener de las bases de datos relacionadas con la medición y evaluación del sistema de administración de riesgos;

d) Evaluar la efectividad de las medidas de control potencial y ejecutadas para los riesgos identificados;

e) Establecer y monitorear el perfil de riesgo de la entidad e informarlo al representante legal;

f) Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con el sistema de administración de riesgos y proponer sus correspondientes actualizaciones y modificaciones;

g) Desarrollar los modelos de medición del riesgo de la entidad;

h) Diseñar e implementar los programas de capacitación de la entidad relacionados con el sistema de administración de riesgos;

i) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo, con el propósito de evaluar su eficacia y efectividad;

j) Reportar trimestralmente al representante legal la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos de la presente normatividad.

4. Responsables de los órganos de control de la organización:

a) Las entidades deben establecer instancias responsables de efectuar una evaluación del sistema de administración de riesgo, con el fin de determinar sus debilidades, e informarlas a los órganos competentes;

b) Los órganos de control no deben ser responsables de la administración de los riesgos de la entidad;

c) Sin perjuicio de las funciones asignadas en otras disposiciones a la auditoría interna, o quien cumpla las funciones de control interno, esta deberá evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas del sistema de administración de riesgos con el fin de determinar las deficiencias y sus posibles soluciones.

ART. 7º—Reglas de la estructura y operación del sistema de administración de riesgos. Al momento de completarse el proceso de implementación del sistema de administración de riesgos de cada entidad, este deberá satisfacer las siguientes reglas:

1. Infraestructura. La junta directiva de cada entidad o el órgano que haga sus veces, deberá establecer y asegurar la dotación de los recursos humanos, tecnológicos y demás que se consideren necesarios para la adecuada operación del sistema de administración de riesgos. Desde el punto de vista organizativo, cada entidad determinará si se crea una unidad de riesgos o implementa un sistema por procesos en el cual se involucra toda la organización, con una instancia de coordinación individual o colegiada, pero que en todo caso debe reportar al máximo nivel jerárquico de la entidad y debe ser independiente del órgano de control de la misma.

2. Características de las metodologías de cuantificación de los riesgos. En primera instancia, para la cuantificación de los riesgos mencionados las entidades podrán utilizar los métodos cualitativos, también llamados de expertos. Al final de las fases de implementación descritas en la normatividad, las entidades deberán usar métodos estadísticos, actuariales y financieros adecuados y con sustento técnico idóneo, para la cuantificación de los riesgos. Los cálculos deben ser realizados con base en estadísticas y series históricas particulares de cada entidad y del mercado, velando en todo momento por la calidad del dato desde su recolección hasta su presentación y utilización como información. Para garantizar comparabilidad de la información y establecer los riesgos de mercado, la Superintendencia Nacional de Salud deberá definir: (i) la estructura de las bases de datos en que se van a capturar los eventos de riesgo, (ii) la periodicidad y (iii) las condiciones del reporte de eventos a presentar.

ART. 8º—Fases de implementación. Para el cumplimiento de lo dispuesto en el artículo 7º del Decreto 1698 de 2007 y aquellas normas que lo adicionen, reglamenten o sustituyan, se han establecido las siguientes fases anuales para la implementación del sistema de administración de riesgos, entendiéndose que el avanzar a cada etapa siguiente supone la adopción plena y a satisfacción de la Superintendencia Nacional de Salud de la etapa anterior, etapas que se detallan en su gradualidad en el anexo técnico de la presente resolución:

Fase I. Plan de implementación: determinación de objetivos generales y específicos, que puntualicen el alcance de la gestión de riesgos dentro de la organización, que incluya la fijación de metas, los recursos humanos y financieros involucrados, las metodologías y herramientas necesarias, la identificación de los riesgos críticos y el cronograma de implementación, así como el proceso para informar a la organización acerca del plan.

En el área de salud: documentar la gestión de riesgo existente en la organización, realizar pruebas de implementación con un alcance general enfocado al riesgo poblacional (o de grupo de riesgo), con énfasis en el mejoramiento de las herramientas del sistema y en la adecuación del sistema de información. Lo anterior debe incluir un análisis de la situación de salud, capacidad instalada de red contratada y descripción de las rutas de acceso a los servicios, con un enfoque de riesgo.

Fase II. Despliegue del sistema: Énfasis en seguimiento a la implantación y despliegue del sistema a toda la organización y organizaciones con las que se relaciona. Medición de los avances en la implantación del modelo del sistema de administración de riesgos. En esta fase debe diseñarse la identificación de riesgos en salud desde la afiliación.

En el área de salud: implantación inicial, partiendo de actividades ya existentes y ampliándolas a grupos priorizados de riesgos, para los cuales se debe llegar a la gestión individualizada del riesgo. Lo anterior debe incluir un análisis de la situación de salud, capacidad instalada de red contratada y descripción de las rutas de acceso a los servicios con un enfoque de riesgo por regiones. Se deberán iniciar esquemas cualitativos de medición del impacto.

Fase III. Ampliación del sistema: Inicio de la implementación del sistema de administración de riesgos en áreas diferentes a salud.

1. En el área de salud: Lo establecido en las fases I y II debe estar en plena operación e iniciar la medición cuantitativa de los efectos de los principales riesgos priorizados, así como la medición del impacto de las intervenciones. Lo anterior debe incluir una evaluación por parte de la organización de la pertinencia de los riesgos priorizados o de su posible ampliación.

2. En el área operativa: Documentar la gestión de riesgo existente en la organización e identificar con un alcance general, enfocado a los riesgos asociados al recurso humano, los procesos y tecnología con énfasis en el mejoramiento de las herramientas del sistema y en la adecuación del sistema de información. Lo anterior debe incluir un mapa de procesos críticos clasificados según su riesgo inherente.

3. En el área de riesgos generales del negocio, de mercado y de crédito: Iniciar la gestión del riesgo de liquidez, incorporando flujos de caja (incluyendo estimación de la transabilidad del portafolio de inversiones) para determinar los requerimientos de liquidez de la entidad. Se deberán identificar los riesgos de crédito referido a los deudores de la entidad e inversiones.

Fase IV. Consolidación del sistema: Completar la implementación del sistema en áreas diferentes a salud.

1. En el área de salud: Consolidar el sistema, garantizando que se aplica de manera sistemática ejecutando el ciclo de planear, hacer, verificar y actuar frente al riesgo.

2. En el área operativa: Documentar la gestión de riesgo existente en la organización, adicionando a lo considerado en la fase anterior los demás riesgos del área operativa. Se complementa el mapa de procesos críticos, clasificados según su riesgo inherente, e inician esquemas cualitativos de medición del impacto.

3. En el área de riesgos generales del negocio, de mercado y de crédito: Se identifican los riesgos asociados a la exposición de las inversiones a precios de mercado. Se desarrolla una metodología adecuada para la estimación del valor en riesgo de las inversiones de la entidad y su reflejo en la contabilidad de acuerdo con las normas vigentes.

De acuerdo con cada fase y al plan de implementación del sistema de administración de riesgos, se debe contar con indicadores para evaluar el impacto de las intervenciones del riesgo.

Los anteriores requisitos se consideran como mínimos, pudiendo una entidad hacer desarrollos mayores del sistema, de acuerdo con sus objetivos.

En el anexo técnico de la presente resolución, se ilustra el cronograma de implementación de cada una de las fases de implementación del sistema de administración de riesgos, de acuerdo con los elementos de gestión establecidos en el artículo 4º.

ART. 9º—Periodicidad de la evaluación y reporte a la Superintendencia Nacional de Salud. Cada entidad debe mantener en todo momento, a disposición de la Superintendencia Nacional de Salud, la información empleada en el cálculo de los valores estimados y las medidas de control y monitoreo adoptados en cada etapa.

Los resultados de la medición de riesgos deben reportarse a la Superintendencia Nacional de Salud, con una periodicidad semestral en los formatos previstos para este propósito por la misma.

ART. 10.—Facultad de objeción y auditoría del sistema de administración de riesgos por parte de la Superintendencia Nacional de Salud. Cada fase del sistema de administración de riesgos, incluida la metodología de cuantificación de riesgos que se diseñe, deberá estar operando de acuerdo con las siguientes fechas:

FaseFecha de evaluación por parte de la Superintendencia Nacional de Salud
IDebe estar lista a más tardar el 31 de diciembre de 2008.
IIDebe estar lista a más tardar el 31 de diciembre de 2009
IIIDebe estar lista a más tardar el 31 de diciembre de 2010
IVDebe estar lista a más tardar el 31 de diciembre de 2011

Las entidades promotoras de salud del régimen contributivo y entidades adaptadas deberán someter el sistema de administración de riesgos diseñado por estas a revisión por parte de las firmas externas que la Superintendencia Nacional de Salud determine.

Estas rendirán un informe dirigido a la Superintendencia Nacional de Salud en el cual se determine si el sistema de cada entidad vigilada cumple con las condiciones establecidas por esta norma.

Con base en este concepto, la Superintendencia Nacional de Salud podrá no objetarlo o exigir correctivos antes del pronunciamiento final.

Para efectos de lo previsto en el presente artículo, la Superintendencia Nacional de Salud y las entidades deberán cumplir con el siguiente cronograma:

Cronograma para emisión de concepto y decisión de la Superintendencia Nacional de Salud
ActividadFecha límiteResponsable
Selección de firmas externas que pueden elaborar conceptos acerca de la implementación del sistema.30 de junio de 2008.Superintendencia Nacional de Salud.
Finalización de cada fase.31 de diciembre del año correspondiente a la gradualidad definida.Entidades promotoras de salud del régimen contributivo y entidades adaptadas.
Concepto cumplimiento fase.31 de enero siguiente.Firma externa.
Observaciones.28 de febrero siguiente.Superintendencia Nacional de Salud.
Presentación de correctivos.15 de abril siguiente.Entidades promotoras de salud del régimen contributivo y entidades adaptadas.
Concepto definitivo sobre el cumplimiento de cada fase.15 de mayo siguiente.Firma externa.
Pronunciamiento definitivo acerca del cumplimiento fase.30 de mayo siguiente.Superintendencia Nacional de Salud.

Para todos los efectos del presente cronograma, en caso de que a la fecha límite de 30 de mayo correspondiente la Superintendencia Nacional de Salud no se haya pronunciado objetando el cumplimiento de la implementación del sistema, se entenderá la fase como cumplida por la entidad promotora de salud del régimen contributivo o la entidad adaptada y, por lo tanto, dicha entidad tendrá derecho a los descuentos relacionados con el sistema de administración de riesgos de que trata el Decreto 1698 de 2007 y aquellas normas que lo adicionen, reglamenten o sustituyan.

Una vez ha concluido la implementación completa del sistema de administración de riesgos, las entidades promotoras de salud del régimen contributivo y entidades adaptadas seguirán presentando a la Superintendencia Nacional de Salud, un concepto elaborado por las firmas externas aprobadas, acerca del adecuado funcionamiento del sistema de administración de riesgos, con periodicidad bianual.

PAR.—Para efectos de aplicar los descuentos a los que hace referencia el Decreto 1698 de 2007 y aquellas normas que lo adicionen, reglamenten o sustituyan, cada año se evaluará el cumplimiento de la fase correspondiente de la implementación del sistema de administración de riesgos de manera independiente, es decir, que si el concepto es de cumplimiento, se aplicará la totalidad del descuento y si es de incumplimiento, los requisitos de margen de solvencia se aplicarán al 100% de lo previsto para el periodo correspondiente.

ART. 11.—Entidades delegadas para la evaluación de los sistemas de administración de riesgos. Para llevar a cabo el estudio de los sistemas de administración de riesgos de que trata el artículo anterior, la Superintendencia Nacional de Salud definirá varias firmas consultoras o auditoras, de reconocido prestigio nacional e internacional en gestión de riesgos, auditoría de riesgos financieros, consultoría financiera o similares, estableciendo condiciones mínimas de experiencia nacional e internacional, capacidad financiera, capacidad técnica de infraestructura tecnológica (tecnología dura y blanda, aplicaciones estadísticas y de gestión de riesgos) y de recurso humano con experiencia individual acreditada en finanzas, gestión en salud, economía de la salud y gestión de riesgos. Dentro de las firmas así seleccionadas, las entidades vigiladas podrán escoger libremente aquella que deberá realizar la evaluación correspondiente.

ART. 12.—Instrumentos de control. La Superintendencia Nacional de Salud definirá los instrumentos mediante los cuales realizará el proceso de verificación del cumplimiento de lo dispuesto en la presente resolución y los informará a las entidades vigiladas.

ART. 13.—Vigencia. La presente resolución rige a partir de la fecha de su publicación y deroga las disposiciones que le sean contrarias.

Publíquese y cúmplase.

Dada en Bogotá, D.C., a 20 de mayo de 2008.

Anexo técnico

En el presente anexo se ilustra el cronograma de implementación de cada una de las fases de implementación del sistema de administración de riesgos, de acuerdo con los elementos de gestión establecidos en el artículo 4º.

Siglas:

RGS: Riesgos generales en salud.

RIS: Riesgos individuales en el grupo priorizado del riesgo en salud

RO: Riesgos de operación.

RFM: Riesgos financieros y de mercado.

Fase I: X

ComponenteTipo de riesgo
RGSRISRORFM
1. Ambiente interno, plan de implementación:XXXX
2. Identificación de eventos:X   
3. Evaluación de riesgos:X   
4. Respuesta al riesgo y actividades de control:X   
5. Respuesta y comunicación:X   
6. Monitoreo:    

Fase II: † 

ComponenteTipo de riesgo
RGSRISRORFM
1. Ambiente interno, plan de implementación:XXXX
2. Identificación de eventos:X  
3. Evaluación de riesgos:X  
4. Respuesta al riesgo y actividades de control:X  
5. Respuesta y comunicación:X  
6. Monitoreo:   

Fase III: ¢ 

ComponenteTipo de riesgo
RGSRISRORFM
1. Ambiente interno, plan de implementación:XXXX
2. Identificación de eventos:X¢¢
3. Evaluación de riesgos:X¢ 
4. Respuesta al riesgo y actividades de control:X¢ 
5. Respuesta y comunicación:X¢¢
6. Monitoreo:X¢¢ 

Fase IV: ¥ 

ComponenteTipo de riesgo
RGSRISRORFM
1. Ambiente interno, plan de implementación:XXXX
2. Identificación de eventos:X¢¢
3. Evaluación de riesgos:X¢¥
4. Respuesta al riesgo y actividades de control:X¢¥
5. Respuesta y comunicación:X¢¢
6. Monitoreo:X¢¢¥

________________________________________