La Superintendencia de Salud le hizo profundos cambios al SARLAFT del sector salud a través de una reciente circular externa.
Continúan los cambios en los sistemas de administración de riesgo de lavado de activos en diferentes sectores.
Esta vez el turno fue para el sector salud.
Las instituciones vigiladas por la Supersalud obligadas a cumplir con el SARLAFT deben prepararse para transformar sus sistemas.
A través de la Circular Externa 20211700000005-5 del 17 de septiembre de 2021 se imponen nuevas obligaciones y tareas.
Nueva revisión periódica del SARLAFT sector salud
La Supersalud definió que, mínimo cada año, las empresas obligadas tendrán que realizar una revisión de sus SARLAFT.
Sin embargo, el supervisor definió que esa revisión debe hacerse cada vez que se identifiquen situaciones que puedan afectar el SARLAFT.
Ahora, en esos casos, las entidades de salud deben adelantar su revisión y no limitarla al periodo anual.
Además, los obligados deben tener los medios verificables a través de los cuales se demuestre la realización de dicha revisión.
Esta es una nueva obligación dentro del SARLAFT del sector salud que se debe tener en cuenta.
Exigencia nueva en la identificación del riesgo
La etapa de identificación tendrá que “estar acompañada de un ejercicio de revisión, evaluación y análisis de contexto interno y externo”.
A través de ese análisis se deben evaluar, entre otros, los factores de riesgo y los riesgos asociados que podrían materializarse.
Esta obligación señala, además, que ese análisis tiene que estar debidamente documentado y servir como insumo para la matriz de riesgos y segmentación.
SARLAFT sector salud: puntos básicos para las políticas
Con la circular externa la Supersalud definió los puntos mínimos que deben tener las políticas del SARLAFT. Son los siguientes:
- Establecer lineamientos para la prevención y resolución de conflictos de interés.
- Señalar los lineamientos que debe adoptar la entidad frente a los factores de riesgo y los riesgos asociados.
- Garantizar la reserva de la información reportada.
- Definir las consecuencias que genera el incumplimiento del SARLAFT del sector salud.
- Exigir a los funcionarios anteponer el cumplimiento del SARLAFT al logro de las metas comerciales.
- Consagrar el deber de directivos y funcionarios para asegurar el cumplimiento del SARLAFT.
- Implementar lineamientos más exigentes de vinculación de clientes y de monitoreo de operaciones.
- Definir los procedimientos para la adecuada implementación y funcionamiento del SARLAFT.
- Identificar las etapas y elementos del SARLAFT que se pueden realizar a través de herramientas tecnológicas.
Elementos mínimos para los procedimientos
La Supersalud también estableció los elementos mínimos que deben contener los procedimientos dentro del SARLAFT del sector salud:
- Instrumentar las diferentes etapas y elementos del SARLAFT.
- Identificar los cambios y evolución de los controles y de los perfiles de riesgo inherente y residual.
- Atender los requerimientos de información por parte de autoridades competentes.
- Dar cumplimiento a las obligaciones relacionadas con listas vinculantes para Colombia.
- Implementar medidas efectivas para consultar de forma permanente las listas vinculantes.
- Establecer las sanciones por incumplimiento del SARLAFT del sector salud.
- Prever procesos para realizar un efectivo, eficiente y oportuno conocimiento de clientes actuales y potenciales.
- Definir procesos para verificar la información de clientes actuales y potenciales, y sus correspondientes soportes.
- Contar con procedimientos especiales respecto de países de mayor riesgo.
- Implementar metodologías para la detección de operaciones inusuales y sospechosas.
Diseño de procedimientos: tarea del oficial de cumplimiento
Ahora el diseño de los procedimientos para la implementación del SARLAFT es responsabilidad del oficial de cumplimiento.
Además, ese funcionario debe presentarlos al máximo órgano social o junta directiva para su respectiva aprobación.
Antes esta obligación estaba en cabeza de la junta directiva.
Inclusión de nuevas definiciones en el SARLAFT sector salud
Señales de alerta
Según la circular externa, las señales de alerta sirven para identificar situaciones anormales que pueden afectar el SARLAFT.
Estas señales deben considerar cada uno de los factores de riesgo y las características de sus operaciones.
También es posible incluir otros criterios que resulten adecuados, a juicio de la empresa, para fortalecer el SARLAFT del sector salud.
Segmentación de factores de riesgo
Las entidades deben segmentar, como mínimo, cada uno de los factores de riesgo de acuerdo con sus características particulares.
Aquí un punto importante: las variables deben garantizar las características de homogeneidad al interior de los segmentos y heterogeneidad entre ellos.
Llama la atención que la Supersalud definió como variables mínimas la información recolectada en el proceso de conocimiento del cliente.
Así como los procedimientos definidos dentro del SARLAFT del sector salud.
¿Para qué se deben usar los resultados de la segmentación?
La norma señala que sirven para determinar las características usuales de las transacciones “a efectos de detectar las operaciones inusuales”.
Seguimiento de operaciones
Las entidades deben “estar en capacidad” de hacer seguimiento a las operaciones que realicen sus clientes y usuarios.
Dicho seguimiento debe tener una frecuencia acorde a la evaluación de los factores de riesgo involucrados en las operaciones.
Adicionalmente, se debe “monitorear las operaciones realizadas en cada uno de los segmentos de los factores de riesgo”.
En criterio de Infolaft, esta es una de las nuevas obligaciones con mayor relevancia dentro del SARLAFT del sector salud.
Matriz de riesgos SARLAFT
Otra de las grandes novedades que trae la Circular Externa 20211700000005-5 es la definición de matriz de riesgos.
En primer lugar, la norma señala que las vigiladas deben tener una matriz de riesgos para la aplicación e implementación de las etapas.
Esa matriz de riesgos debe tener las siguientes características mínimas:
- Incluir los riesgos identificados, junto con sus respectivas causas y el impacto de su materialización.
- Contener la relación existente entre los riesgos identificados y cada uno de los segmentos de los factores de riesgo en los que se podrían materializar.
- Tener la relación existente entre los riesgos identificados y cada uno de los riesgos asociados.
- Incluir las mediciones de probabilidad e impacto, tanto inherentes como residuales, para cada uno de los riesgos identificados y a nivel consolidado.
- Contemplar los controles que mitigan cada uno de los riesgos identificados, junto con las variables consideradas para la medición de su efectividad.
- Exponer los Indicadores que permitan efectuar permanente seguimiento al perfil de riesgo de LA/FT/FPADM de la entidad.
De igual manera, los criterios metodológicos del diseño de la matriz de riesgos, así como la información, deben ser revisados con una periodicidad mínima anual.