
Por estos días las EPS, IPS y empresas de medicina y ambulancias prepagadas están literalmente corriendo para cumplir con la circular 9 de 2016, la cual les impone la obligación de implementar un Sarlaft. En este artículo un alto directivo de la Superintendencia Nacional de Salud responde varias preguntas de las ahora obligadas.
Daniel Pinzón entró a la Superintendencia Nacional de Salud en enero de 2014 y lo hizo para crear la oficina de metodologías de supervisión y análisis de riesgos, la cual tiene la función de diseñar todo el modelo de inspección, vigilancia y control de la Superintendencia.
Si bien su oficina no será la encargada de supervisar el cumplimiento del Sarlaft en las EPS, IPS y en las empresas de medicina prepagada (toda vez que esta tarea la tendrá el despacho del Superintendente Delegado para Supervisión de Riesgos), Pinzón es quizá el funcionario de la Superintendencia que más conoce la circular 9 de 2016.
Por ello infolaft lo consultó para despejar varias de las dudas que genera la aplicación y puesta en práctica de la nueva norma.
Lea también: SAGRILAFT, sistema para prevenir lavado de activos en empresas
Las listas vinculantes para Colombia
¿Cuántas entidades tendrán que dar cumplimiento a la circular?
Lo primero que se debe aclarar es que no todas las entidades vigiladas por la Superintendencia de Salud están obligadas a implementar el Sarlaft. Solo lo están las EPS, IPS y empresas de medicina y ambulancias prepagadas de los grupos C1, C2 y D1 de supervisión.
Vale decir que estas entidades son las más grandes del país, ya que la categorización se hizo con base en su nivel de activos, ingresos y patrimonio a través de la circular 18 de 2015.
Según Daniel Pinzón, esta primera etapa de regulación ‘‘incluye a entidades del aseguramiento obligatorio, del aseguramiento voluntario y a algunos prestadores’’. En la práctica esto significa que unas 720 o 730 entidades tendrán que adoptar el Sarlaft, de las cuales unas 44 son EPS, 10 son empresas de medicina prepagada y 9 de servicios de ambulancia prepagada. Las restantes son IPS.
El directivo de la Superintendencia sostiene que con esta norma se regula al 80% de las IPS que más recursos generan en el ámbito de la prestación de servicios.
Listas restrictivas y habeas data
Daniel Pinzón. Foto Infolaft
Caso distinto se presenta en el aseguramiento voluntario, en cuyo caso las entidades sí tendrán que aplicar procedimientos de debida diligencia ya que aquí el pago de los servicios sale directamente del bolsillo de los clientes.
En la prestación de servicios la situación es similar. Si la atención en salud de una persona es pagada por algún tipo de seguro, por una EPS, por una empresa de medicina prepagada o por alguna póliza de salud, no será necesario hacer conocimiento del cliente. No obstante, sí será necesario aplicar el conocimiento del cliente cuando la prestación de servicios sea pagada por el individuo con recursos propios.
Daniel Pinzón. Foto infolaft
¿Desde hace cuánto tiempo venían trabajando en la norma?
En octubre de 2014 la Unidad de Información y Análisis Financiero (Uiaf) y la Superintendencia Nacional de Salud suscribieron un convenio por medio del cual la entidad de supervisión se comprometió a compartir información con la Unidad, al tiempo que esta última acordó apoyar la elaboración de una circular que impusiera la obligación de implementar un Sarlaft a las entidades más importantes del sector salud. En octubre de 2015 y luego de varios meses de trabajo, la Supersalud publicó un proyecto de circular con el objetivo de recibir los comentarios de sus vigiladas. Entre noviembre de 2015 y abril de 2016 se hicieron los ajustes finales, hasta que la norma definitiva se promulgó el pasado 21 de abril.¿Hay que conocer a los clientes de planes voluntarios?
Según Daniel Pinzón, hay que diferenciar entre el aseguramiento obligatorio, el aseguramiento voluntario y la prestación del servicio de salud. ‘‘La persona que está afiliada a la EPS no necesita [diligenciar] un formulario de conocimiento del cliente debido a que este es un aseguramiento obligatorio y no podemos restringir esto, y no podemos ponerle barreras al acceso de servicios’’.
Si una entidad baja de categoría, ¿ya no estará obligada?
Daniel Pinzón reconoce que al dividir a los prestadores por grupos se corría el riesgo de que un prestador cambiara de un grupo y por ende ya no le aplicara la circular, por ello el cambio de categorías fue tenido en cuenta por la Superintendencia de Salud durante todos los análisis que realizó. La formula que encontraron para mitigar ese riesgo fue hacer una única categorización de entidades con base en los valores registrados ante la Superintendencia de Salud con corte a diciembre de 2014. ‘‘Lo dejamos estático (…) y todo se compara contra diciembre de 2014, y entonces no hay manera de que las entidades cambien de grupo de un año a otro’’. No obstante, el directivo señala que ‘‘obviamente esto también tiene que ser dinámico. El comportamiento de las compañías no es igual año tras año y puede cambiar, y acá estamos haciendo un estudio al interior de la Superintendencia sobre cómo establecer de nuevo esta clasificación sin alterar la que ya hicimos, y que no tengamos este riesgo de que las entidades se pasen de un lado al otro’’.¿Quién es el responsable de elaborar el manual Sarlaft?
Según Daniel Pinzón, el responsable es ‘‘claramente’’ el oficial de cumplimiento. ‘‘Si miran el numeral 6.2.2 [verán que] el oficial de cumplimiento es el encargado de elaborar y desarrollar los procesos y procedimientos a través de los cuales se llevarán a la práctica las políticas aprobadas (…) para la implementación del Sarlaft’’. El funcionario aclara que si bien el manual Sarlaft debe ser diseñado y propuesto por el oficial de cumplimiento, serán el máximo órgano social, la junta o la asamblea (cuando así aplique) las encargadas de su aprobación.¿Hay que incluir las políticas Sarlaft en el código de ética?
El numeral 5.2.1.4 de la circular 9 de 2016 señala que las políticas Sarlaft deben hacer parte integral del código de ética de la entidad, lo cual genera dudas respecto a si además de elaborar un manual Sarlaft hay que reescribir los códigos de ética de las entidades obligadas. La respuesta que Daniel Pinzón da a este interrogante es que ‘‘si la entidad tiene un código de ética debe hacer mención al Sarlaft e incluirlo integralmente allí’’. Sin embargo, aclara que ‘‘el código de ética no reemplaza al [manual] Sarlaft’’.¿Hay que identificar el riesgo LA/FT en los empleados?
El numeral 5.2.2.2.1 de la norma señala que la entidad debe identificar las situaciones que generen riesgo de LA/FT en ‘‘situaciones tales como operaciones con clientes y/o contrapartes, usuarios, productos, canales de distribución y jurisdicción territorial’’. Como se ve, este fragmento no menciona textualmente a los empleados, ¿quiere esto decir que sobre ellos no hay que hacer identificación? Pinzón sostiene que las entidades sí tienen que hacer la identificación del riesgo LA/FT en sus empleados porque ‘‘el mismo numeral habla de los contratos que realiza la entidad y por definición un empleado tiene un contrato con la entidad. Entonces, en este sentido, sí tendría que hacerse’’. El funcionario es claro en afirmar que ‘‘la única excepción que se está haciendo para el conocimiento (…) es para el afiliado al aseguramiento obligatorio y para el paciente o el usuario de la prestación de servicios de salud cuando medie algún tipo de seguro en el pago’’.