Durante el más reciente foro de Infolaft varios profesionales dedicados a prevenir el LA/FT en la industria de la salud resolvieron sus dudas sobre tres temas concretos: conocimiento de las contrapartes, gobierno corporativo y el contenido del manual Sarlaft. Esto se dio justo cuando vence el plazo para implementar el sistema.
En el pasado mes de abril la Superintendencia Nacional de Salud expidió su Circular Externa 9 de 2016 en la que obligó a Entidades Promotoras de Salud (EPS) de los regímenes contributivo y subsidiado, a Instituciones Prestadoras de Salud (IPS) públicas y privadas, a empresas de medicina prepagada y a aquellas que ofertan servicios prepagados de ambulancia a adoptar un Sistema de Administración del Riesgo de Lavado de Activos y la Financiación del Terrorismo (Sarlaft).
Esta nueva regulación, que llegó en un momento trascendental para el sistema nacional ALA/CFT de Colombia de cara a la evaluación que hará el Fondo Monetario Internacional durante 2017, ha implicado un esfuerzo adicional de implementación para los profesionales encargados del cumplimiento al interior de estas compañías, y esto ha generado inquietudes acerca de algunos apartes de la norma que han resultado poco claros.
Dado que interpretar y aplicar la norma no ha sido fácil, sumado a que el término para cumplir con las exigencias del supervisor sigue corriendo, en el pasado foro Infolaft se abrió un espacio de diálogo exclusivamente enfocado en resolver varios interrogantes.
Conocimiento de las contrapartes
La debida diligencia para el efectivo conocimiento de los clientes en el sector salud tiene diferencias si se trate del servicio de aseguramiento obligatorio, de los seguros voluntarios o de la simple prestación del servicio de salud.
En el aseguramiento obligatorio
En el primero de los casos, la norma advierte que los sujetos obligados no pueden considerar como clientes a los usuarios afiliados a una EPS o a los pacientes de una IPS cuyos servicios son efectivamente pagados por algún esquema de aseguramiento obligatorio, como el Plan Obligatorio de Salud (POS), el Seguro Obligatorio de Accidentes de Tránsito (Soat), por el Sistema de Riesgos Laborales y otros planes adicionales de salud.
De esta manera, como estos individuos no se consideran contrapartes, no se hace necesaria su identificación. Esta directiva jurídica es relevante porque se armoniza con otras dos normas que señalan que no podrá restringirse ni la prestación de servicios de salud ni el aseguramiento obligatorio bajo la excusa de la imposibilidad de conocer plenamente al usuario.
En el aseguramiento voluntario
Este estos casos las entidades sí están en el deber de establecer e implementar procesos de debida diligencia de conocimiento del cliente toda vez que en tales escenarios la cancelación de los servicios depende única y exclusivamente del interesado.
La norma también establece que debe existir un procedimiento más exigente y estricto para el conocimiento de aquellos usuarios o clientes que por manejar recursos públicos son considerados personas expuestas públicamente (PEP) que incluya no solo una instancia adicional y superior de autorización de la vinculación, sino que se requiere que para los casos en los que el PEP busque contratar servicios diferentes se haga una indagación que determine si el sujeto tiene la autorización de su entidad y la capacidad legal para contratar.
Al respecto solo resta agregar que, aunque la norma de la Supersalud solo exige que la categoría de PEP sea aplicada a clientes o usuarios, una recomendación importante que se expuso en la discusión es que se introduzca la mejor práctica de extender esa categorización a otras contrapartes potencialmente riesgosas, como pueden ser los proveedores.
Respecto a socios y accionistas
Sobre este tema la Circular Externa 9 de 2016 de la Supersalud ha establecido que el sistema que se adopte tiene que incorporar herramientas que permitan determinar la identificación plena de estos individuos aportantes de recursos, mantener actualizados sus datos y verificar el origen de los aportes a la sociedad tanto en efectivo como en especie.
Si bien es cierto que la regulación no estipuló de forma específica cómo deben estar construidas esas herramientas del sistema, la circular contiene un postulado genérico según el cual “las entidades deben contar con la infraestructura tecnológica necesaria para garantizar la adecuada administración del riesgo de LA/FT, al contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgo y tamaño”, lo que permite entender que el sistema debe estar erigido sobre la tecnología.
Gestión con los trabajadores
En relación al proceso previo de verificación de los trabajadores, cabe decir que además de que es está expresamente previsto que “la entidad debe verificar los antecedentes de sus trabajadores, empleados o proveedores antes de su vinculación y realizar por lo menos una actualización anual de sus datos (…)”, también es explícito que en la identificación de situaciones que generen riesgo de LA/FT (5.2.2.2.1) se deben analizar todos los contratos que celebre la entidad, dentro de los que no se excluye los contratos de vinculación laboral.
El manual y el gobierno corporativo
La confluencia de esfuerzos de varios órganos dentro del gobierno corporativo de una institución o entidad es un presupuesto necesario para el éxito y correcto funcionamiento de un sistema ALA/CFT. Para lograr ese presupuesto, el supervisor del sector salud impuso ciertas funciones concretas a la junta directiva o al órgano de administración que haga sus veces, al oficial de cumplimiento y al revisor fiscal.
En cuanto a la junta directiva (en caso de que no haya estas responsabilidades recaen sobre el representante legal) quedó establecido un catálogo de competencias que incluyen el establecimiento de políticas de prevención del riesgo de LA/FT que luego deben ser aprobadas por el máximo órgano social, la definición de cuáles son los recursos humanos y técnicos para el correcto funcionamiento del sistema, la aprobación del manual, la designación del oficial de cumplimiento, y la aprobación de las metodologías aplicables en las etapas del Sarlaft.
Reynermedia
A pesar de ello, según los preceptos normativos de la circular, es el oficial de cumplimiento el funcionario central en el sistema pues no solo debe “velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el Sarlaft”, sino que tiene otras 18 competencias adicionales que deben materializarse en un manual cuya aplicación y difusión está enteramente a su cargo.
De esta manera, las expresiones genéricas contenidas en el numeral 6.2.2. de la circular (de funciones del oficial de cumplimiento) tales como elaborar los procesos y procedimientos a través de los cuales se llevarán a la práctica las políticas aprobadas para la implementación del Sarlaft, identificar situaciones que puedan generar riesgo de LA/FT en las operaciones de la entidad, implementar y desarrollar controles y velar por el adecuado archivo de los soportes documentales, entre otros, no son más que el punto de partida legal para que el oficial de cumplimiento estructure detalladamente procesos y herramientas que materialicen el cumplimiento de esos lineamientos.
Alrededor de este catálogo de funciones, y dado que aún el sector salud está en el período inicial de adopción del Sarlaft, fue evidente en la discusión sostenida en el foro que en algunos casos existe la errónea creencia de que trasladar el contenido literal de la circular a un documento bajo el título de “manual” es suficiente para cumplir con la norma.
¡Todo lo contrario! Esta afirmación no sólo resulta falsa, sino que es tremendamente riesgosa porque, se reitera, las instrucciones de la circular 9 de la Superintendencia Nacional de Salud para la implementación del Sarlaft son tan sólo criterios orientadores de obligatoria aplicación que guían la puesta en marcha de un Sarlaft, pero que no lo definen en sí mismo, pues este tiene que tener como base tanto las características individuales del negocio como su naturaleza misma.
Otra de las dudas presentadas respecto al contenido del manual, y sobre la cual ya hubo una aclaración previa de Infolaft en el artículo ‘Todo lo que debe saber del Sarlaft del sector salud’, publicado en el pasado mes de agosto, es si es menester desarrollar un código de ética para la institución, si este debe incluirse en un capítulo del manual del Sarlaft o si por el contrario es el Sarlaft el que debe incorporarse en el código de ética.
Al respecto cabe afirmar que si bien es cierto que el numeral 5.2.1.4. de la analizada circular menciona que “las políticas de Sarlaft deben hacer parte integral del código de ética de cada entidad para que oriente la actuación de los funcionarios y establezca procedimientos sancionatorios y consecuencias frente a su incumplimiento”, la exigencia debe ser entendida en el sentido de que se debe promover una interacción dinámica entre el código de ética de la entidad y el manual Sarlaft para que ambos consoliden un ambiente de transparencia y de coerción frente a asuntos de ética corporativa y prevención del blanqueo.
