Todo lo que debe saber del SARLAFT del sector salud

Lo primero que se debe aclarar es que no todas las entidades vigiladas por la Superintendencia de Salud están obligadas a implementar el Sarlaft. Solo lo están las EPS, IPS y empresas de medicina y ambulancias prepagadas de los grupos C1, C2 y D1 de supervisión. Vale decir que estas entidades son las más grandes del país, ya que la categorización se hizo con base en su nivel de activos, ingresos y patrimonio a través de la circular 18 de 2015. Según Daniel Pinzón, esta primera etapa de regulación ‘‘incluye a entidades del aseguramiento obligatorio, del aseguramiento voluntario y a algunos prestadores’’. En la práctica esto significa que unas 720 o 730 entidades tendrán que adoptar el Sarlaft, de las cuales unas 44 son EPS, 10 son empresas de medicina prepagada y 9 de servicios de ambulancia prepagada. Las restantes son IPS. El directivo de la Superintendencia sostiene que con esta norma se regula al 80% de las IPS que más recursos generan en el ámbito de la prestación de servicios. Listas restrictivas y habeas data

¿Desde hace cuánto tiempo venían trabajando en la norma?

En octubre de 2014 la Unidad de Información y Análisis Financiero (Uiaf) y la Superintendencia Nacional de Salud suscribieron un convenio por medio del cual la entidad de supervisión se comprometió a compartir información con la Unidad, al tiempo que esta última acordó apoyar la elaboración de una circular que impusiera la obligación de implementar un Sarlaft a las entidades más importantes del sector salud. En octubre de 2015 y luego de varios meses de trabajo, la Supersalud publicó un proyecto de circular con el objetivo de recibir los comentarios de sus vigiladas. Entre noviembre de 2015 y abril de 2016 se hicieron los ajustes finales, hasta que la norma definitiva se promulgó el pasado 21 de abril.

¿Hay que conocer a los clientes de planes voluntarios?

Según Daniel Pinzón, hay que diferenciar entre el aseguramiento obligatorio, el aseguramiento voluntario y la prestación del servicio de salud. ‘‘La persona que está afiliada a la EPS no necesita [diligenciar] un formulario de conocimiento del cliente debido a que este es un aseguramiento obligatorio y no podemos restringir esto, y no podemos ponerle barreras al acceso de servicios’’. Daniel Pinzón. Foto Infolaft Caso distinto se presenta en el aseguramiento voluntario, en cuyo caso las entidades sí tendrán que aplicar procedimientos de debida diligencia ya que aquí el pago de los servicios sale directamente del bolsillo de los clientes. En la prestación de servicios la situación es similar. Si la atención en salud de una persona es pagada por algún tipo de seguro, por una EPS, por una empresa de medicina prepagada o por alguna póliza de salud, no será necesario hacer conocimiento del cliente. No obstante, sí será necesario aplicar el conocimiento del cliente cuando la prestación de servicios sea pagada por el individuo con recursos propios.

Si una entidad baja de categoría, ¿ya no estará obligada?

Daniel Pinzón reconoce que al dividir a los prestadores por grupos se corría el riesgo de que un prestador cambiara de un grupo y por ende ya no le aplicara la circular, por ello el cambio de categorías fue tenido en cuenta por la Superintendencia de Salud durante todos los análisis que realizó. La formula que encontraron para mitigar ese riesgo fue hacer una única categorización de entidades con base en los valores registrados ante la Superintendencia de Salud con corte a diciembre de 2014. ‘‘Lo dejamos estático (…) y todo se compara contra diciembre de 2014, y entonces no hay manera de que las entidades cambien de grupo de un año a otro’’. No obstante, el directivo señala que ‘‘obviamente esto también tiene que ser dinámico. El comportamiento de las compañías no es igual año tras año y puede cambiar, y acá estamos haciendo un estudio al interior de la Superintendencia sobre cómo establecer de nuevo esta clasificación sin alterar la que ya hicimos, y que no tengamos este riesgo de que las entidades se pasen de un lado al otro’’.

¿Quién es el responsable de elaborar el manual Sarlaft?

Según Daniel Pinzón, el responsable es ‘‘claramente’’ el oficial de cumplimiento. ‘‘Si miran el numeral 6.2.2 [verán que] el oficial de cumplimiento es el encargado de elaborar y desarrollar los procesos y procedimientos a través de los cuales se llevarán a la práctica las políticas aprobadas (…) para la implementación del Sarlaft’’. El funcionario aclara que si bien el manual Sarlaft debe ser diseñado y propuesto por el oficial de cumplimiento, serán el máximo órgano social, la junta o la asamblea (cuando así aplique) las encargadas de su aprobación.

¿Hay que incluir las políticas Sarlaft en el código de ética?

El numeral 5.2.1.4 de la circular 9 de 2016 señala que las políticas Sarlaft deben hacer parte integral del código de ética de la entidad, lo cual genera dudas respecto a si además de elaborar un manual Sarlaft hay que reescribir los códigos de ética de las entidades obligadas. La respuesta que Daniel Pinzón da a este interrogante es que ‘‘si la entidad tiene un código de ética debe hacer mención al Sarlaft e incluirlo integralmente allí’’. Sin embargo, aclara que ‘‘el código de ética no reemplaza al [manual] Sarlaft’’.

¿Hay que identificar el riesgo LA/FT en los empleados?

El numeral 5.2.2.2.1 de la norma señala que la entidad debe identificar las situaciones que generen riesgo de LA/FT en ‘‘situaciones tales como operaciones con clientes y/o contrapartes, usuarios, productos, canales de distribución y jurisdicción territorial’’. Como se ve, este fragmento no menciona textualmente a los empleados, ¿quiere esto decir que sobre ellos no hay que hacer identificación? Pinzón sostiene que las entidades sí tienen que hacer la identificación del riesgo LA/FT en sus empleados porque ‘‘el mismo numeral habla de los contratos que realiza la entidad y por definición un empleado tiene un contrato con la entidad. Entonces, en este sentido, sí tendría que hacerse’’. El funcionario es claro en afirmar que ‘‘la única excepción que se está haciendo para el conocimiento (…) es para el afiliado al aseguramiento obligatorio y para el paciente o el usuario de la prestación de servicios de salud cuando medie algún tipo de seguro en el pago’’. Daniel Pinzón. Foto infolaft

¿Hay que nombrar a un oficial de cumplimiento suplente?

El numeral 6.2.1 de la circular señala que ‘‘en caso de que exista oficial de cumplimiento suplente’’ este deberá cumplir los mismos requisitos del oficial de cumplimiento titular. Esta redacción ha generado preguntas respecto a si es o no obligatoria la designación de un oficial suplente. En este sentido, Pinzón asegura que ‘‘el oficial de cumplimiento suplente es voluntario, la norma no está obligando [a una entidad] a tener un suplente, y esto pensando en no generar tanta carga a las entidades vigiladas’’. No obstante, el directivo dice que se debe tener en cuenta que ‘‘el oficial de cumplimiento es el responsable de todo el Sarlaft –de la identificación, del monitoreo y del seguimiento-, entonces hay que pensar como entidades qué pasa cuando el oficial de cumplimiento, por ejemplo, se va de vacaciones’’. ‘‘Como bien lo dice la norma (…) un oficial suplente tiene que tener las mismas condiciones del oficial de cumplimiento y también tiene que ser nombrado por la junta directiva, entonces, el reemplazo de esa persona cuando se va de vacaciones no puede ser cualquiera, sino aquel que nombre la junta directiva’’, aclara.

Aclaración sobre los 240 días de transición

La norma sostiene que el plazo para presentar las políticas Sarlaft ante la Superintendencia de Salud comienza a correr una vez se designe al oficial de cumplimiento, para lo cual las entidades tienen hasta el 19 de agosto. Entonces, ¿si una entidad nombra a su oficial de cumplimiento antes de esa fecha tendrá menos días de plazo que aquellas que se tomen hasta el 19 de agosto? Ante la pregunta Pinzón afirma que ‘‘la idea que hay es no generar asimetrías en esto y [por ello] tenemos un periodo de transición de 240 días. Claramente [las entidades] tienen hasta 120 días para hacer el nombramiento del oficial de cumplimiento y otros 120 días para adoptar sus políticas. Como no queremos generar asimetrías en esto y darle beneficios, por ejemplo, al que no lo nombre primero, entonces todos tienen el mismo periodo de transición’’. El mensaje que el directivo envía es claro: ‘‘si usted es una entidad juiciosa que ya nombró a su oficial de cumplimiento, pues tendrá mas período para poder hacer todo el diseño de sus políticas de prevención del lavado de activos y la financiación del terrorismo’’.

Anuncio: vendrá un Siplaft para los demás vigilados

Finalmente, Daniel Pinzón aseguró en su diálogo con Infolaft que al interior de la Superintendencia de Salud están evaluando emitir una norma que obligue a las demás IPS a implementar un Siplaft. ‘‘Es un proyecto que recién comienza’’. Además, afirma que en materia de regulación ‘‘no nos podemos quedar solo en el aseguramiento o en la prestación. También tenemos que mirar qué hacemos –por ejemplo- con licores, con juegos de suerte y azar y con el resto de prestadores que no hacen parte de esta circular’’.