BúsquedaBUSCAR
ÍndiceÍNDICE

CIRCULAR EXTERNA 20211700000004-5 DE 2021

(septiembre 15)

Diario Oficial No. 51.800 de 17 de septiembre de 2021

SUPERINTENDENCIA NACIONAL DE SALUD

PARA: INSTITUCIONES PRESTADORAS DE SERVICIOS DE SALUD (IPS) DE LOS GRUPOS B, C1, C2 Y D1 PÚBLICOS, PRIVADOS Y MIXTOS VIGILADOS POR LA SUPERINTENDENCIA NACIONAL DE SALUD DE MANERA OBLIGATORIA, Y PARA LOS DEMÁS GRUPOS DE FORMA VOLUNTARIA COMO BUENAS PRÁCTICAS.
DE: SUPERINTENDENCIA NACIONAL DE SALUD.
ASUNTO: POR LA CUAL SE IMPARTEN INSTRUCCIONES GENERALES RELATIVAS AL CÓDIGO DE CONDUCTA Y DE BUEN GOBIERNO ORGANIZACIONAL, EL SISTEMA INTEGRADO DE GESTIÓN DE RIESGOS Y A SUS SUBSISTEMAS DE ADMINISTRACIÓN DE RIESGOS.
FECHA: 15-09-2021.

A. ANTECEDENTES.

El artículo 4o de la Ley 1751 de 2015, por medio de la cual se reguló el derecho fundamental a la salud y se dictaron otras disposiciones, definió al Sistema de Salud como “...el conjunto articulado y armónico de principios y normas; políticas públicas; instituciones; competencias y procedimientos; facultades, obligaciones, derechos y deberes; financiamiento, controles; información y evaluación, que el Estado disponga para la garantía y materialización del derecho fundamental de la salud”.

Es así, como el Gobierno nacional ha impulsado una serie de normas dirigidas al fortalecimiento técnico, operativo, financiero y administrativo de los agentes participantes del Sistema General de Seguridad Social en Salud (SGSSS), el cual comprende la implementación del Sistema de Gestión de los Riesgos en Salud de las Instituciones Prestadoras de Servicios de Salud que deben acogerse a lo definido por el marco normativo de los componentes del Sistema Obligatorio de la Garantía de la Calidad en Salud (SOGCS), establecido por el Decreto número 1011 de 2006 y acogido en el Decreto número 780 de 2016; y la adopción de la Política de Atención Integral en Salud (PAIS) con énfasis en resultados en salud y disminución de la carga de enfermedad (Resolución número 2626 de 2019), entre otras medidas.

Estos nuevos aspectos están incluidos en el modelo de Supervisión Basada en Riesgos (SBR) de la Superintendencia Nacional de Salud (SNS), quien encabeza el Sistema de Inspección, Vigilancia y Control (IVC) del sector salud, de acuerdo con la Ley 1122 de 2007. El modelo de SBR es la estrategia implementada por la SNS para complementar a la Supervisión Basada en el Cumplimiento y, de esta manera, garantizar la protección de los derechos de los usuarios y el cumplimiento de las normas que regulan el sistema, al utilizar ambas formas de supervisión de forma combinada y transversal. Asimismo, con la SBR, en el marco de un modelo de supervisión preventivo y activo, se busca fortalecer el SGSSS a través de una mayor estabilidad de las diferentes instituciones que lo componen, apoyada en una cultura de autocontrol y un adecuado Sistema Integrado de Administración y Gestión de Riesgos.

Para hacer efectivo el Sistema Preventivo de Prácticas Riesgosas Financieras y de Atención en Salud, mediante el Decreto número 2462 de 2013 fue modificada la estructura de la SNS, creando la Oficina de Metodologías de Supervisión y Análisis de Riesgo así como la Superintendencia Delegada para la Supervisión de Riesgos; unidades con funciones concretas de diseño, vigilancia, recolección y análisis de información relevante para la aplicación de la SBR mediante la identificación y prevención de riesgos con la incorporación de alertas tempranas.

Adicionalmente, el artículo 12 de la Ley 1474 de 2011 o Estatuto Anticorrupción, crea el Sistema Preventivo de Prácticas Riesgosas Financieras y de Atención en Salud del SGSSS y ordena a la SNS, el cual define que, para sus sujetos vigilados, un conjunto de medidas preventivas para control, así como la implementación de indicadores de alerta temprana y ejercer sus funciones de IVC sobre la materia.

Esta misma ley, en el artículo 73, establece la obligatoriedad para las entidades públicas de elaborar anualmente la “estrategia de lucha contra la corrupción y de atención al ciudadano”, la cual contempla mapa de riesgos anticorrupción, medidas de mitigación, estrategias antitrámites y mecanismos de mejora a la atención (lo cual considera la conducta y trato por parte del servidor público).

Asimismo, por medio de la Resolución 518 de 2015 se dictaron disposiciones en relación con la Gestión de la Salud Pública (...) y en cumplimiento del parágrafo del artículo 5 de dicha Resolución, el Ministerio de Salud y Protección Social (MSPS) generó las Directrices para la caracterización y ejecución de los procesos para la Gestión de la Salud Pública en el contexto de la Política de Atención Integral en Salud (PAIS), la cual fue modificada por la Resolución número 2626 de 2019, adoptando el Modelo de Atención Integral Territorial MAITE, incluyendo las líneas mínimas de acción del Modelo en las cuales se encuentra 8.2 Salud Pública y 8.3 Presentación de Servicios de Salud.

A su vez, los principios y directrices genéricos para la gestión del riesgo en una organización sin importar su naturaleza, industria y sector se encuentran establecidas bajo la Norma Técnica Colombiana NTC-ISO 31000 expedida por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), la cual es una adopción idéntica por traducción de la norma internacional ISO 31000 de 2009. Cabe resaltar que su adopción es voluntaria.

De igual forma, en desarrollo del modelo de supervisión basada en riesgos, fue expedida la Resolución número 4559 de 2018, por la cual se adopta el modelo de Inspección, Vigilancia y Control para la Superintendencia Nacional de Salud para el ejercicio de la supervisión de los riesgos inherentes al Sistema General de Seguridad Social en Salud, la cual en los artículos 2o, 3o y 4o insta a las entidades vigiladas a la implementación de un Sistema Integrado de gestión de riesgos, estableciendo el mecanismo para hacer exigible el sistema para cada tipo de vigilado así como las instrucciones con los lineamientos mínimos que el mismo debe tener.

En esa misma línea, por medio de la expedición de la Circular Externa 003 de 2018, se impartieron recomendaciones para la implementación y la ejecución de mejores prácticas organizacionales (Código de Conducta y de Buen Gobierno empresarial) para las IPS vigiladas por la Superintendencia Nacional de Salud pertenecientes a los grupos C1 y C2 establecidos en la Circular Externa 018 de 2015 y las normas que la modifiquen, sustituyan o eliminen. La Circular Externa 003 de 2018 parte del principio de voluntariedad (cumpla o explique) con el fin de incentivar una política de autorregulación, autocontrol y autogestión, fortalecer los criterios de idoneidad y reputación para la Alta Gerencia, información pública oportuna y de calidad en pro de lograr una mayor eficiencia, transparencia y optimización del uso de los recursos del SGSSS, un mayor compromiso y responsabilidad frente a la gestión de riesgos que se vea reflejado en mejores resultados en la atención del paciente y la protección de los usuarios.

Como consecuencia de las actividades propias y operaciones diarias de las IPS, estas se ven expuestas a diversos riesgos inherentes, que deben ser identificados y administrados en un Sistema Integrado de Gestión de Riesgos, que promueva el autocontrol y permita generar alertas tempranas al interior de cada entidad sometida a la IVC de la SNS.

Es así, como este Sistema Integrado de Gestión de Riesgos debe estar alineado con los planes estratégicos que tenga cada entidad. Sin embargo, se precisa que la SNS llevará a cabo seguimiento a los Subsistemas de Administración de los Riesgos priorizados de acuerdo con la Resolución número 4559 de 2018, con fines de supervisión. Los elementos y procedimientos mínimos que se deben tener en cuenta en el ciclo de gestión para cada uno de los riesgos prioritarios estipulados por esta Superintendencia se desarrollarán en los siguientes literales y numerales.

Estos Subsistemas de Administración de Riesgos de forma individual les permite a las entidades identificar, evaluar, medir, controlar y monitorear eficazmente como mínimo los riesgos prioritarios a los que están expuestas en desarrollo de sus operaciones, para mejorar los resultados en salud de la población, la satisfacción de los usuarios, la estabilidad financiera del sistema, fortalecer la confianza de la población en los componentes de salud del SGSSS y prevenir posibles impactos negativos.

Por otro lado, la evaluación de los riesgos de las entidades consiste en identificar y analizar la probabilidad que ocurra un evento y qué impacto tiene sobre los objetivos misionales y, de esta forma adoptar estrategias preventivas.

Adicionalmente, por medio de la implementación del Sistema Integrado de Gestión de Riesgos, se busca:

a) Fortalecer la Prestación de Servicios de Salud y el cumplimiento de metas en salud de acuerdo con el Plan Decenal de Salud Pública, Resolución número 1841 de 2013, y velar por el mejoramiento de la salud de los individuos y la mitigación de los riesgos en salud, brindando servicios con mayor calidad y oportunidad.

b) Incrementar la probabilidad que los eventos de mayor impacto (eventos en salud, administrativos, financieros, entre otros), sean detectados y prevenidos antes que se materialicen.

c) Fomentar una cultura de autocontrol y de gestión de riesgos por parte de los vigilados, de manera que sea una política empresarial o de gobierno organizacional que se interiorice en toda la estructura corporativa, incluyendo políticas de control interno.

d) Generar condiciones de estabilidad operativa y financiera de las entidades a través de la implementación de Subsistemas de Administración de Riesgos estratégicamente diseñados e implementados, y debidamente documentados mediante Políticas de Gestión de Riesgo y manuales de procesos y procedimientos donde se incluyan Metodologías de valoración de los riesgos y las funciones de los Órganos de Control (Auditoría o Control Interno y Revisoría Fiscal, entre otros).

e) Robustecer la infraestructura de supervisión dentro de las entidades (Auditoría Interna, Revisoría Fiscal o Contralor Normativo, entre otros), encaminada a fortalecer el control y gestión de riesgos al interior de cada institución.

f) Promover la cultura institucional hacia una supervisión y administración basada en riesgos que desarrolle habilidades evaluativas sobre la calidad de la gestión de los riesgos por parte de cada entidad.

g) Extender el compromiso y responsabilidad de las Juntas Directivas y órganos administrativos de las entidades frente a la adecuada gestión de los riesgos, además de establecer criterios de idoneidad y reputación para la Alta Gerencia.

h) Estimular la transparencia, la calidad, la preservación de la información y la mejora continua en todos los procesos relacionados, como insumo fundamental para la gestión de los diversos riesgos.

i) Impulsar las mejores prácticas de Gobierno Organizacional e incorporar e interiorizar el Código de Conducta y Buen Gobierno en todas las instancias de las organizaciones que hacen parte del sector de la salud.

Cabe resaltar que los lineamientos generales contenidos en la presente circular son los mínimos que debe tener el Sistema Integrado de Gestión de Riesgos y los Subsistemas de Administración de Riesgos y son complementarios al marco normativo vigente. Por lo tanto, no sustituyen ni reemplazan las metodologías o instrumentos adoptados por cada entidad para administrar los riesgos que a la fecha cada entidad esté gestionando, así como la implementación de los subsistemas que se definen en la presente circular.

B. OBJETO.

En desarrollo de la operación de las IPS, existe una exposición a diversos riesgos inherentes, que deben ser identificados y administrados en un Sistema Integrado de Gestión de Riesgos, que promueva el autocontrol y la autorregulación a fin de evitar o mitigar la ocurrencia de eventos que impacten negativamente los objetivos del SGSSS.

Los Sistemas Integrados de Gestión de Riesgos deben responder a políticas claras y, a la vez, reflejarse en procesos y procedimientos que materialicen las estrategias de prevención y control de los riesgos identificados. Asimismo, estos Sistemas deben estar constituidos como mínimo por los riesgos prioritarios que se listan en la presente circular y que seleccionó la Superintendencia (se desarrollará cada Subsistema de Administración de Riesgos en detalle en literales y numerales posteriores, los cuales harán parte integral del Sistema en su conjunto), además de incorporar otros riesgos que identifiquen y que se presenten en el desarrollo ordinario de las actividades de cada entidad.

Las políticas y procedimientos que se adopten deben permitir el eficiente, efectivo y oportuno funcionamiento del Sistema Integrado de Gestión de Riesgos de las entidades, y traducirse en reglas de conducta y directrices que orienten la actuación de la entidad, sus empleados y sus socios.

El Sistema Integrado de Gestión de Riesgos deberá permitir a las entidades la adopción de decisiones oportunas para la adecuada gestión de los riesgos, de acuerdo con los niveles de tolerancia al riesgo que cada entidad esté dispuesta a asumir según sus políticas y en función a su estructura, tamaño, complejidad de las actividades, naturaleza, forma de comercialización y demás características particulares, siempre dentro de los parámetros que la normatividad y el adecuado desarrollo de su objeto social, lo permita. Asimismo, deben permitir incorporar acciones correctivas a tiempo, dirigidas a mejorar los resultados en salud y financieros de la entidad, la satisfacción de los usuarios, la estabilidad de los agentes del sector y la confianza de la población en el sistema de salud.

Como se mencionó anteriormente, los elementos y procedimientos mínimos que se deben tener en cuenta en el ciclo de gestión para cada uno de los riesgos prioritarios estipulados por esta Superintendencia se desarrollarán en los siguientes literales y numerales.

Los Subsistemas de Administración de Riesgos permiten a las entidades identificar, evaluar, medir, controlar y monitorear eficazmente como mínimo los riesgos prioritarios a los que están expuestas en desarrollo de sus operaciones, para mejorar los resultados en salud de la población, la satisfacción de los usuarios, la estabilidad financiera, y fortalecer la confianza de la población en los componentes de salud del SGSSS y prevenir posibles impactos negativos.

Asimismo, y como se mencionó anteriormente, para lograr un mayor compromiso y responsabilidad frente a la gestión de riesgos es necesaria la implementación y la ejecución de mejores prácticas organizacionales mediante la formulación de un Código de Conducta y de Buen Gobierno empresarial en cada entidad.

Por medio de la presente circular se establecen los lineamientos generales (criterios, parámetros y recomendaciones mínimas) que las IPS públicas, privadas y mixtas deben tener en cuenta para diseñar, implementar y poner en funcionamiento el Sistema Integrado de Gestión de Riesgos y subsistemas para cada uno de los riesgos priorizados por la SNS.

C. ÁMBITO DE APLICACIÓN.

La presente instrucción aplica a las IPS pertenecientes a los grupos B, C1, C2 y D1 establecidos en la Circular Externa 018 de 2015 y las normas que la modifiquen, sustituyan o eliminen. Asimismo, se encuentra dirigida a los representantes legales, socios, accionistas, revisores fiscales, la Alta Gerencia, los Máximos Órganos Sociales, Oficiales de Cumplimiento, administradores, directores o quienes hagan sus veces y demás funcionarios responsables de la administración de dichas entidades.

Para las demás IPS que no pertenezcan a los grupos anteriormente mencionados, podrán adoptarla de forma voluntaria como buenas prácticas.

D. DEFINICIONES.

Para efectos de la correcta aplicación de lo previsto aquí, se recurrirá a la formulación de las definiciones que se presentan a continuación para el entendimiento e interpretación de los lineamientos generales del Sistema Integrado de Gestión de Riesgos y los Subsistemas objeto de esta circular. Adicionalmente, las definiciones relacionadas con el Gobierno Organizacional y mejores prácticas como son los conflictos de interés, la Junta Directiva, el Máximo Órgano Social, entre otras, ya fueron definidas en la Circular Externa 003 de 2018, por lo que se recomienda remitirse a esta norma para su consulta:

a) Administrador: De acuerdo con el artículo 22 de la Ley 222 de 1995, “son administradores el representante legal, el liquidador, el factor, los miembros de juntas o consejos directivos y quienes de acuerdo con los estatutos ejerzan o detenten esas funciones”. El administrador debe obrar de buena fe, con lealtad y con diligencia. Sus actuaciones se cumplirán en interés de la sociedad, teniendo en cuenta los intereses de sus asociados, y en el cumplimiento de su función, deben realizar como mínimo las expresadas en el artículo 23 de la mencionada ley.

b) Atención en Salud: Servicios o tecnologías en salud suministrados a los individuos y a la comunidad para promover, mantener, monitorizar o restaurar el estado de salud.

c) Categorías de riesgos prioritarios: Agrupadores de distintos tipos de riesgos en torno a un elemento común, prioritarios para fines de supervisión definidos por la SNS. Cabe resaltar que las IPS deben gestionar todos los riesgos que se presenten dentro de su operación, y dependerá de la discrecionalidad y organización que cada entidad les quiera dar para su tratamiento. Sin embargo, deberán contemplar como mínimo, los siguientes riesgos: Riesgo en Salud, Riesgo Actuarial; Riesgo de Crédito, Riesgo de Liquidez, Riesgo de Mercado de Capitales, Riesgo Operacional, Riesgo de Grupo y Riesgo de Lavado de Activos y Financiación del Terrorismo.

d) Ciclo general de gestión de riesgo: Son las etapas que incorpora un Subsistema de Administración de Riesgos para cada uno de los tipos o categorías de riesgo identificadas.

e) Conflicto de interés: Se considera que existe un conflicto de interés cuando por una situación de control, influencia directa o indirecta entre entidades, personas naturales o jurídicas, se realicen operaciones, transacciones, decisiones, traslado de recursos, situaciones de ventaja, mejoramiento en la posición de mercado, competencia desleal, desviaciones de recursos de seguridad social, o cualquier situación de hecho o de derecho que desequilibre el buen funcionamiento financiero, comercial o de materialización del riesgo al interior del sector. Estos desequilibrios tienen su fundamento en un “interés privado” que motiva a actuar en contravía de sus obligaciones y puede generar un beneficio personal, comercial o económico para la parte que incurre en estas conductas.

f) Contralor Normativo: Cargo o área especializada dentro o fuera de la organización, el cual es nombrado por la Junta Directiva o quien haga sus veces, y ejerce control para asegurar la observancia de las disposiciones normativas aplicables. Sus funciones son dependientes de la Junta o quien haga sus veces, a quien debe asesorar y rendir cuentas.

g) Controles: Medidas prudenciales, preventivas y correctivas que ayudan a contrarrestar la exposición a los diferentes riesgos. Entre estas se encuentra la implementación de políticas, procesos, prácticas u otras estrategias de gestión.

h) Cultura de autocontrol: Concepto integral que agrupa todo lo relacionado con el ambiente de control, gestión de riesgos, sistemas de control interno, información, comunicación y monitoreo. Permite a la entidad contar con una estructura, unas políticas y unos procedimientos ejercidos por toda la organización (desde la Junta Directiva y la Alta Gerencia, hasta los propios empleados), los cuales pueden proveer una seguridad razonable en relación con el logro de los objetivos de la entidad.

i) Evento: Situación que se presenta en un lugar específico y durante un intervalo de tiempo determinado.

j) Eventos externos: Son eventos ocasionados por terceros, o, asociados a la naturaleza que, debido a su causa y origen, se escapan del control de la entidad.

k) Evento de pérdida: Son las situaciones que generan pérdidas a las entidades al exponerse a cualquier riesgo.

l) Factores de riesgo: Fuentes generadoras de eventos tanto internas como externas a la entidad y que pueden o no llegar a materializarse en pérdidas. Cada riesgo identificado puede ser originado por diferentes factores que pueden estar entrelazados unos con otros. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura, los acontecimientos externos, entre otros.

m) Falla de mercado: Una situación en la que un mercado no asigna eficientemente los recursos por sí solo.

n) Gestión de Riesgo: Es un enfoque estructurado y estratégico liderado por la Alta Gerencia acorde con las políticas de gobierno organizacional de cada entidad, en donde se busca implementar un conjunto de acciones y actividades coordinadas para disminuir la probabilidad de ocurrencia o mitigar el impacto de un evento de riesgo potencial (incertidumbre) que pueda afectar los resultados y, por ende, el logro de los objetivos de cada entidad, así como el cumplimiento de los objetivos en el SGSSS o sus obligaciones. Dentro de este conjunto de acciones se incluye, entre otros, el ciclo general de gestión de riesgo.

o) Grupos de Riesgo: Conjunto de personas con condiciones comunes de exposición y vulnerabilidad a ciertos eventos que comparten la historia natural de la enfermedad, factores de riesgo relacionados, desenlaces clínicos y formas o estrategias eficientes de entrega de servicios.

p) Gobierno Organizacional: Es el conjunto de normas, procedimientos y órganos internos aplicables a cualquier tipo de entidad, mediante los cuales se dirige y controla la gestión de estas de conformidad con las disposiciones contenidas en la presente circular y demás disposiciones sobre la materia. Tiene como objeto la adopción de mejores prácticas para garantizar que la gestión de las entidades se realice bajo los principios de trasparencia, eficiencia, equidad, y propender por la calidad en la prestación de los servicios de salud centrados en el usuario; además proporciona herramientas técnicas y jurídicas que permitan el balance entre la gestión de cada órgano y el control de dicha gestión.

q) Influencia Significativa: El poder de intervenir en las decisiones de política financiera y de operación en la participación, sin llegar a tener el control ni el control conjunto de dichas decisiones.

r) Pérdidas: Cuantificación económica que representa la materialización de un evento de Riesgo Operacional, donde se incluyen los gastos derivados de su atención.

s) Perfil de riesgo: Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.

t) Pruebas de desempeño o de autocomprobación (Back Testing): Se desarrolla para evaluar y calibrar la consistencia y confiabilidad de la medición de los indicadores de riesgos estimados por parte del modelo que se está utilizando, mediante la comparación de los resultados que el modelo arrojó, frente a los resultados observados. De esta manera se pueden identificar y ajustar los supuestos, parámetros y demás elementos que hacen parte del modelo de cálculo.

u) Pruebas de tensión (Stress Testing): Herramienta de diagnóstico donde bajo varios escenarios de estrés, se simulan diferentes choques extremos a los factores de riesgo para evaluar su sensibilidad e impacto, además de la capacidad de respuesta que las entidades tienen para enfrentarlos. Busca identificar fortalezas y vulnerabilidades de los Subsistemas de Administración de Riesgos de manera individual para cada riesgo, y así cada entidad pueda comprender mejor sus propios perfiles de riesgo y validar los límites establecidos.

v) Reputación: Percepción agregada que sobre una organización tienen los agentes relacionados con ella, sean estos clientes, accionistas, grupos de interés, partes vinculadas o público en general, la cual tiene el potencial de afectar la confianza en la entidad, influenciando su volumen de negocios, y su situación general. Esta puede variar por factores tales como el desempeño, escándalos, menciones en prensa, entre otros.

w) Riesgo: Posibilidad que ocurra un evento que pueda afectar negativamente el cumplimiento de la operación de una Entidad y que atenten contra los objetivos del SGSSS.

- Riesgo inherente: Nivel de riesgo propio de la actividad, cuya evaluación se efectúa sin considerar el efecto de los mecanismos de mitigación y de control.

- Riesgo neto o residual: Nivel de riesgo que resulta luego de la aplicación de las medidas de control o mitigación existentes a los riesgos inherentes.

- Riesgo neto global: Resultado de la combinación de cada uno de los riesgos residuales de la entidad, teniendo en cuenta la importancia relativa que a cada categoría de riesgo le haya asignado la Entidad.

- Riesgo significativo: Riesgo identificado y valorado de incorreción material que, a juicio del auditor, requiere una consideración especial en la auditoría.

x) Seguridad del Paciente: Es el conjunto de elementos estructurales, procesos, instrumentos y metodologías basadas en evidencias científicamente probadas que propenden por minimizar el riesgo de sufrir un evento adverso en el proceso de atención de salud o de mitigar sus consecuencias.

E. LINEAMIENTOS GENERALES, ESPECÍFICOS Y SUS COMPONENTES.

Las entidades deben desarrollar y mantener una estructura organizacional apropiada para la administración del Sistema Integrado de Gestión de Riesgos de acuerdo con su tamaño, estructura, actividad económica y demás características particulares. Para el efecto, deben establecer y preservar estándares que permitan contar con personal idóneo para la administración de los riesgos. De igual forma, deben quedar claramente asignadas las responsabilidades de las diferentes personas y áreas involucradas en los respectivos procesos y procedimientos, establecer reglas internas dirigidas a prevenir y sancionar conflictos de interés, a controlar el uso y a asegurar la reserva de la información.

Por tanto, sin perjuicio de las responsabilidades y obligaciones que se encuentren establecidas en otras disposiciones legales, estatutarias o en reglamentos, para el diseño y adopción de cada uno de los Subsistemas de Administración de Riesgos, se deben incluir como mínimo las siguientes actividades a cargo de los órganos de dirección y administración de cada entidad.

CAPÍTULO I: CÓDIGO DE CONDUCTA Y DE BUEN GOBIERNO.

Para lograr un mayor compromiso y responsabilidad frente a la gestión de riesgos es indispensable la implementación y la ejecución de mejores prácticas organizacionales mediante la formulación, implementación, desarrollo y seguimiento de un Código de Conducta y de Buen Gobierno en cada entidad. Como buenas prácticas para la implementación y fortalecimiento del Gobierno Organizacional y Código de Conducta en las entidades, se debe tener en cuenta las medidas mencionadas en la Circular Externa 003 de 2018 o las que la modifiquen, sustituyan o eliminen para su implementación.

Por medio de la implementación y fortalecimiento del Gobierno Organizacional, se busca:

a) Eficiencia en la Prestación del Servicio de Salud (Pertinencia, Accesibilidad, Calidad, Oportunidad y Seguridad), y así promover el uso debido y eficiente de los recursos.

b) Reconocer los derechos de las diferentes partes interesadas, entre ellas, los usuarios del sistema de salud, para equilibrar los intereses y mejorar las relaciones e interlocución, para alcanzar el mayor grado de coordinación posible.

c) Evitar y/o gestionar los posibles conflictos de interés.

d) Establecer políticas anticorrupción (entre ellas establecer políticas antisoborno).

e) Facilitar el ejercicio de los derechos y el trato equitativo a los miembros del Máximo Órgano Social, para promover la independencia y equidad.

f) Garantizar la revelación oportuna y precisa de la información para lograr una mayor transparencia.

g) Garantizar la orientación estratégica, el control efectivo de la dirección ejecutiva y la responsabilidad de esta frente a la empresa y a los miembros del Máximo Órgano Social.

h) Mejorar el desempeño operacional de la entidad, que se debe ver reflejada en la creación de valor de la empresa.

CAPITULO II: SISTEMA INTEGRADO DE GESTIÓN DE RIESGOS Y SUS SUBSISTEMAS.

CAPÍTULO II-I: LINEAMIENTOS GENERALES DEL SISTEMA INTEGRADO DE GESTIÓN DE RIESGOS Y SUS SUBSISTEMAS.

Las entidades deben tener la capacidad institucional para identificar, evaluar, controlar, prevenir y mitigar los riesgos que puedan afectar el logro de sus objetivos y, especialmente, el cumplimiento de los objetivos del SGSSS y sus obligaciones contractuales.

Tanto el Sistema Integrado de Gestión de Riesgos como los Subsistemas que lo componen deben contar al menos con los siguientes elementos mínimos: i) Ciclo General de Gestión de Riesgos, ii) Políticas de Gestión de Riesgos, iii) Procesos y Procedimientos, iv) Documentación, v) Estructura Organizacional, vi) Infraestructura Tecnológica y, vii) Divulgación de la Información y Capacitaciones.

En este contexto, las entidades deben gestionar todos los riesgos a los que estén expuestas dentro de su operación, y su gestión dependerá de la discrecionalidad y organización que cada entidad les quiera dar para su tratamiento. Sin embargo, deberán contemplar como mínimo, los siguientes riesgos priorizados y sus respectivos subsistemas:

1. Riesgo en Salud

2. Riesgo Operacional

3. Riesgo Actuarial

4. Riesgo de Crédito

5. Riesgo de Liquidez

6. Riesgo de Mercado de Capitales

7. Riesgo de Grupo

8. Riesgo de Lavado de Activos y Financiación del Terrorismo.

Cabe recordar que, el Riesgo de Lavado de Activos y Financiación del Terrorismo es la posibilidad que en la realización de las operaciones de una entidad, estas puedan ser utilizadas por organizaciones criminales como instrumento para ocultar, manejar, invertir o aprovechar dineros, recursos y cualquier otro tipo de bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos de recursos vinculados con las mismas. Los lineamientos específicos se encuentran publicados en la Circular Externa 009 de 2016 (expedida por la SNS) y las normas que la modifiquen, sustituyan o eliminen, por lo cual solo se menciona la definición en la presente circular.

Para gestionar estos riesgos prioritarios, deberán examinarlos a la luz de los parámetros y lineamientos mínimos dispuestos en la presente circular y realizar las modificaciones a que haya lugar.

Es deber de las entidades revisar periódicamente las etapas que comprenden el ciclo y los elementos que hacen parte de cada Subsistema, con el fin de realizar los ajustes que consideren necesarios para su efectivo, eficiente y oportuno funcionamiento, de tal forma que se tenga en cuenta en todo momento las condiciones particulares de cada entidad y las del mercado en general.

Tal como se listaron anteriormente, para efectos de la implementación del Sistema Integrado de Gestión de Riesgos al interior de cada uno de los vigilados, como mínimo se debe tener en cuenta los elementos generales que a continuación se desarrollan para cada uno de los Subsistemas de Administración de Riesgos:

1. CICLO GENERAL DE GESTIÓN DE RIESGOS.  

Para cada una de las categorías de riesgo a supervisar por esta Superintendencia, se incluyen las siguientes etapas en los Subsistemas de Administración de Riesgos:

a) Identificación de riesgos: Consiste en reconocer, explorar exhaustivamente y documentar todos los riesgos internos y externos que podrían afectar tanto los objetivos de la entidad como la salud de los usuarios a su cargo, en los casos que aplica, identificando sus causas, efectos potenciales y la posible interrelación entre los diferentes tipos de riesgos, para lo cual se recomienda la utilización de normas técnicas nacionales o internacionales.

Para esta identificación, las entidades podrán seleccionar las metodologías y técnicas que consideren más adecuadas, dentro de las que se encuentran estudios científicos encuestas, entrevistas estructuradas con expertos, talleres, lluvia de ideas, técnicas de escenarios, entre otros.

b) Evaluación y medición de riesgos: Es la valoración de los efectos asociados a los riesgos que han sido identificados, considerando la frecuencia y la severidad de su ocurrencia. También se deberá considerar el análisis de los riesgos inherentes y residuales, y su participación en el riesgo neto global. Se entenderá por valoración del riesgo, la medida cualitativa o cuantitativa de su probabilidad de ocurrencia y su posible impacto.

En la medida que avance el plan de implementación del modelo de Supervisión Basada en Riesgos, las entidades deberán contar con evaluaciones cuantitativas relacionadas con la probabilidad de ocurrencia de los riesgos identificados y su impacto, en la medida de lo posible. Independientemente de contar con modelos cuantitativos o cualitativos, estos deben estar sustentados y documentados técnicamente.

Es así como para la evaluación y medición de cada uno de los riesgos identificados, la entidad debe contar con información suficiente, completa y de calidad para generar los mejores pronósticos. Si la entidad no cuenta con este recurso se deben establecer mecanismos para tener estimaciones consistentes para cada uno de los riesgos asumidos y deberá documentar las hipótesis y supuestos de sus modelos, así como la información que se tuvo en cuenta para su cálculo, mientras logra obtener la información requerida y necesaria.

c) Selección de estrategias para el tratamiento y control de los riesgos: Una vez identificados y evaluados los riesgos, deben compararse con los límites (tolerancia) de riesgos aprobados por la instancia definida en el Gobierno Organizacional de la entidad y su política de riesgos, siempre dentro del marco normativo establecido. Todo riesgo que exceda los límites o desviaciones aceptadas, debe ser objeto de actividades de mitigación y control a fin de regresar al nivel de riesgo tolerado, conforme la estrategia adoptada. En cuanto a los riesgos en salud, estos límites hacen referencia a los máximos permitidos por la normatividad vigente, estándares internacionales y sin perjuicio de lo anterior, de acuerdo con lo que establezca la entidad en sus políticas, siempre que estén en pro del beneficio de la población de su área de influencia.

Se deben determinar las acciones tendientes a gestionar los riesgos a los que se ve expuesta la entidad, de acuerdo con los niveles de riesgo determinados y las tolerancias al riesgo definidas.

Todas las acciones de gestión del riesgo deberán identificar formalmente responsables, plazos, formas de ejecución y reportes de avances, los cuales deben corresponder a la complejidad de la operación de la entidad. Asimismo, deberán estar aprobadas por la instancia del Gobierno Organizacional que corresponda.

d) Seguimiento y monitoreo: Una vez establecidos los posibles mecanismos o un conjunto de estos, para la mitigación y control de los riesgos que se han identificado como relevantes para la entidad y después de realizar un análisis de causa y efecto para determinar los puntos más críticos a intervenir con mayor prelación, las entidades deberán poner en práctica tales mecanismos y reflejarlos en un plan de implementación de las acciones planteadas en la fase anterior, guardando correspondencia con las características particulares de cada entidad, teniendo en cuenta el grado de complejidad, el tamaño y el volumen de sus operaciones.

Con el fin de realizar el respectivo seguimiento y monitoreo permanente y continuo de la evolución de los perfiles de riesgo y la exposición frente a posibles pérdidas a causa de la materialización de cada uno de los riesgos identificados, la entidad debe desarrollar un sistema de alertas tempranas que facilite la rápida detección, corrección y ajustes de las deficiencias en cada uno de sus Subsistemas de Administración de Riesgo para evitar su materialización. Lo anterior, con una periodicidad acorde con los eventos y factores de riesgo identificados como potenciales, así como con la frecuencia y naturaleza de estos.

El diseño de dicho sistema de alertas debe incluir la definición de los límites máximos de exposición o niveles aceptables de riesgo previamente establecidos por la entidad teniendo en cuenta los análisis realizados, la normatividad vigente y los criterios definidos en la política de gestión de riesgo de cada entidad.

Las mediciones de riesgos esperadas, los riesgos derivados y sus controles deben ser contrastados regularmente con la realidad observada, de forma tal que permita establecer si los Subsistemas de Administración de Riesgos han logrado su mitigación y la corrección oportuna y efectiva de eventuales deficiencias. De esta manera la entidad debe contar con indicadores de gestión para hacer seguimiento a la administración de los riesgos residuales y netos, y que estos a su vez se encuentren y se mantengan en los niveles de aceptación previamente establecidos por la entidad.

De llegarse a presentar desviaciones o que se superen los límites previamente establecidos, se deben establecer planes de contingencia para intervenir y tratar los diferentes riesgos, teniendo en cuenta la variabilidad de los riesgos identificados, con el propósito de ajustar las desviaciones lo más pronto posible. Todas las acciones y actividades incluidas en estos planes deben contener la definición de los estándares de seguimiento y monitoreo, además de contar con un responsable, plazos, periodicidad, reportes de avance y de evaluaciones periódicas sobre las estrategias seleccionadas que incluyan el monitoreo de los indicadores propuestos para el seguimiento de las acciones de gestión del riesgo planteadas, los cuales deben ser definidos mediante un cronograma y ser objeto de un proceso de seguimiento, verificación y calidad de la información. Los planes de contingencias resultantes del seguimiento a riesgos deben ser coherentes con otras medidas contingentes o planes de mejoramiento resultantes de otras actividades de control, internas o externas, a fin de lograr soluciones estructurales e integrales a las problemáticas identificadas.

En esta etapa cobra importancia la implementación de mecanismos de retroalimentación, donde se promueva la comunicación dinámica y continua, la entrega de reportes gerenciales y de monitoreo donde se evalúen los resultados obtenidos, su evolución y la ejecución de los controles y estrategias implementadas para mejorar el desempeño en la mitigación de los factores de riesgo en cada uno de los Subsistemas de Administración de Riesgo, dirigidos a todos los involucrados tanto externos como internos, en especial a los órganos de seguimiento definidos por el Gobierno Organizacional de cada entidad. Lo anterior determina la necesidad de implementar planes de mejora, en donde se desarrollen estrategias de incorporación de cambios para mejorar los resultados en la gestión de riesgos de la entidad.

2. POLÍTICAS DE GESTIÓN DE RIESGOS.

Las entidades deben adoptar como mínimo, en relación con el marco de su Sistema Integrado de Gestión de Riesgos, las políticas o lineamientos generales que permitan el desarrollo del ciclo de la gestión de los riesgos prioritarios de forma eficiente y oportuna. Cada una de las etapas y elementos para cada uno de los Subsistemas de Administración de Riesgos deben contar con políticas claras y aplicables. Estas Políticas de Gestión de Riesgos deberán ser adoptadas por la Junta Directiva, el Consejo de Administración o quien haga las veces como máximo órgano de administración, las cuales deben establecer los mecanismos y controles necesarios para asegurar el cumplimiento de dichas políticas y de las normas que le son aplicables al proceso de gestión de cada riesgo inherente.

Las Políticas de Gestión de Riesgos deben ser revisadas como mínimo una vez al año, con el fin de actualizarlas a las condiciones particulares de cada entidad y a las del mercado en general. Tanto la aprobación como las modificaciones que se efectúen a dichas políticas, deben tener constancia en acta del máximo órgano de administración, de la Junta Directiva o quien haga sus veces, tal como se menciona más en detalle en el numeral 4. Documentación.

Asimismo, estas políticas deben ser conocidas por todos los funcionarios de la organización y se deben establecer mecanismos de comunicación y socialización que permitan que los responsables a cargo de las funciones de la gestión de los diversos riesgos conozcan los hechos que pueden impactar sus funciones.

Las políticas que se adopten para la administración de cada uno de los Subsistemas de Administración de Riesgos deben contemplar como mínimo, los siguientes aspectos en su diseño y operación:

a) Establecer los elementos necesarios para garantizar la alineación de la planeación estratégica institucional (objetivos y compromisos de la entidad) frente al contexto normativo en materia de la gestión de los diversos riesgos.

b) Instaurar una cultura de autocontrol, autorregulación, autogestión y

mejoramiento continuo en todos los niveles de la entidad, inspirada y liderada por el máximo órgano de gobierno, que oriente el desarrollo de competencias en la gestión de riesgos.

c) Comunicar a todos los niveles de la organización sobre la política de gestión de riesgos establecida.

d) Fijar lineamientos de ética y conducta que orienten el actuar de los funcionarios de la entidad para el oportuno y efectivo funcionamiento de cada uno de los Subsistemas de Administración de Riesgos. Se debe dejar constancia por escrito de estas políticas e incorporarse en el Código de Conducta y Buen Gobierno, que debe incluir disposiciones sobre la confidencialidad de la información, manejo de información privilegiada y conflictos de interés.

e) Generar la documentación interna y externa necesaria para la adecuada gestión de los riesgos. Entre ellos se encuentran los manuales, instructivos, volantes, intranet, páginas web, entre otros.

f) Identificar los factores y actores (usuarios, clientes y/o contrapartes, socios, trabajadores, empleados, proveedores, entre otros) tanto externos como internos, que puedan afectar los objetivos de una adecuada implementación del Sistema Integrado de Gestión de Riesgos en la entidad, y de esta manera poderlos trabajar de forma independiente.

g) Especificar de manera clara y precisa los criterios para cada una de las etapas del ciclo de gestión de riesgo en cada riesgo identificado.

h) Determinar la directriz institucional en materia de la exposición como mínimo frente a los riesgos prioritarios, reflejando su nivel máximo de tolerancia, acorde con las metodologías para definir las escalas de calificación establecidas por la entidad.

i) Disponer los criterios para la definición de límites frente a posibles pérdidas y a niveles máximos de exposición frente a los distintos tipos de riesgos.

j) Instaurar los mecanismos y las herramientas de seguimiento y monitoreo necesarios en caso de que se presenten comportamientos aislados, desviaciones, se sobrepasen los límites o se presente el incumplimiento a alguna de las políticas previamente establecidas por cada entidad bajo un análisis autónomo, al enfrentar cambios fuertes e inesperados en las condiciones de la entidad, por ejemplo.

k) Iniciar las acciones necesarias y oportunas en respuesta a los cambios en el perfil de riesgo de la entidad.

l) Establecer la periodicidad de revisión de la Política, que se ajuste en todo momento a las condiciones particulares de la entidad y a las del sector en general.

m) Efectuar un monitoreo periódico al cumplimiento de los lineamientos de los Subsistemas de Administración de Riesgos y como mínimo al comportamiento de cada uno de los riesgos prioritarios.

n) Fijar políticas de Sistemas de Información y manejo de bases de datos. Las entidades deberán incluir en sus políticas, los criterios de seguridad y calidad de la información de todas y cada una de sus operaciones, así como de la información remitida y respuestas a los requerimientos exigidos por la Superintendencia Nacional de Salud y demás entidades que soliciten información.

o) Instaurar políticas para garantizar que se cuente con información adecuada para la cuantificación de los diferentes riesgos.

p) Garantizar que cuando se presenten cambios en las metodologías de cuantificación de los diferentes riesgos, se evalúe el impacto y se documenten dichos cambios de una manera adecuada.

q) Establecer los lineamientos del sistema de control interno y el monitoreo frente a los diferentes riesgos.

r) Definir los criterios y los tipos de reportes gerenciales y de monitoreo tanto internos como externos, así como la forma y frecuencia de la presentación de los resultados de la administración de los diferentes riesgos.

s) Precisar los parámetros generales de la infraestructura tecnológica y el equipo técnico necesario para el adecuado funcionamiento de la gestión de riesgos.

t) La política debe precisar las características básicas de los usuarios y proveedores de insumos y medicamentos, de igual forma establecer los mercados en los cuales puede actuar la entidad.

u) Conformar de manera voluntaria un Comité de Gestión de Riesgos en los términos del numeral 5 del presente literal y las medidas del Código de Conducta y de Buen Gobierno en su numeral 3.3.2.1.6.3.

v) Designar voluntariamente, y de acuerdo con su estructura, un área especializada en la gestión de riesgos de la entidad. Sin perjuicio de la conformación de esta instancia, las entidades deben velar por una adecuada estructura organizacional que permita un desarrollo apropiado del Código de Conducta y Buenas Prácticas de Gobierno en pro de la mejora continua en la implementación y administración del Sistema Integrado de Gestión de Riesgos y de sus Subsistemas.

3. PROCESOS Y PROCEDIMIENTOS PARA LA GESTIÓN DE RIESGOS.

Las entidades a las que les aplica la presente circular deben establecer los procesos y procedimientos que instrumenten su Política de Gestión de Riesgos que cada entidad establezca y que sean aplicables para la adecuada implementación y funcionamiento de cada uno de sus Subsistemas de Administración de Riesgos.

Los procesos y procedimientos que se adopten deben cumplir, como mínimo, con los siguientes requisitos:

a) Implementar las diferentes etapas del ciclo general de riesgos y los elementos específicos de los diferentes Subsistemas de Administración de Riesgos.

b) Garantizar el efectivo y oportuno funcionamiento de cada uno de los Subsistemas de Administración de Riesgos, de modo que se puedan adoptar oportunamente los correctivos necesarios.

c) Definir las acciones a seguir en caso de incumplimiento de los límites fijados y los casos en los cuales se deban solicitar autorizaciones especiales.

d) Generar informes internos y externos, que permitan la toma de decisiones de manera oportuna en todas las instancias de la organización.

e) Garantizar como mínimo que las actividades de control del cumplimiento de los límites de los riesgos económicos y financieros sean llevadas a cabo por un área funcional diferente al área de tesorería.

4. DOCUMENTACIÓN PARA LA GESTIÓN DE RIESGOS.

Las etapas del ciclo general de riesgos y los elementos específicos de los diferentes Subsistemas de Administración de Riesgos deben quedar plasmados en documentos y registros, garantizando la integridad, oportunidad, trazabilidad, confiabilidad y disponibilidad de la información allí contenida.

Los procesos y procedimientos mencionados en el anterior numeral se deben adoptar y plasmar mediante documentos controlados, en los cuales deben quedar claramente definidas las funciones, responsabilidades y atribuciones específicas para cada uno de los funcionarios de los diferentes órganos de dirección, administración y control involucrados en la administración de los diversos riesgos.

Esta documentación debe contener como mínimo lo siguiente:

a) Las políticas para la administración de cada uno de los riesgos.

b) Las metodologías y procedimientos para la identificación, medición, control y monitoreo de los riesgos identificados. A su vez, el establecimiento de los niveles de aceptación y límites de exposición.

c) La estructura organizacional que garantice el desarrollo de cada uno de los Subsistemas de Administración de Riesgos y que, a su vez, fortalezca el Sistema Integrado de Gestión de Riesgos de la entidad.

d) Los roles y responsabilidades de quienes participan en la gestión de los diversos riesgos identificados, especialmente los prioritarios.

e) Las medidas necesarias para asegurar el cumplimiento de las políticas y objetivos de cada uno de los Subsistemas de Administración de Riesgos.

f) Roles, responsabilidades y acciones de los órganos de control interno frente a cada uno de los Subsistemas de Administración de Riesgos.

g) Las estrategias de capacitación y divulgación de cada uno de los Subsistemas de Administración de Riesgos.

Asimismo, la entidad debe mantener en todo momento y a disposición de la Superintendencia Nacional de Salud, la documentación e información, que se trata en la presente circular y previendo como mínimo lo siguiente:

a) Las actas del Máximo Órgano de Administración, de la Junta Directiva o quien haga sus veces, donde conste la aprobación de las políticas de cada uno de los Subsistemas de Administración de Riesgos, así como las actas correspondientes a la aprobación de los ajustes o modificaciones que se efectúen a dichas políticas.

b) Los instructivos o manuales que contengan los procesos y procedimientos a través de los cuales se llevan a la práctica las políticas aprobadas para cada uno de los Subsistemas de Administración de Riesgos. Estos documentos deberán ser firmados por el Representante Legal y ser de fácil consulta y aplicación al interior de la organización.

c) El Código de Conducta y Buen Gobierno de las entidades.

d) Los informes presentados por la Junta Directiva o quien haga sus veces, el Representante Legal y el Comité de Riesgos, en el caso que aplique. Entre estos debe encontrarse un reporte sobre el cumplimiento de los límites y del nivel de exposición de los diferentes riesgos establecidos por la entidad, particularmente los prioritarios.

e) Los informes presentados por los órganos de control, como el Revisor Fiscal, sobre el funcionamiento y resultados de la implementación de cada uno de los Subsistemas de Administración de Riesgos.

f) Las actas de Junta Directiva en donde conste la presentación del informe del Comité de Riesgos y del Revisor Fiscal, en los casos que aplique.

g) Las actas del Comité de Riesgos, del Comité de Contraloría Interna, y los reportes a la Junta Directiva y al Representante Legal, en los casos que aplique.

h) Las constancias de las capacitaciones impartidas a todos los empleados, socios, directivos, administradores y cualquier otra persona que tenga vinculación con la entidad sobre el Sistema Integrado de Gestión de Riesgos, con el fin de asegurar que sean entendidas e implementadas en todos los niveles de la organización.

i) Los documentos y registros que evidencien el funcionamiento oportuno, efectivo y eficiente de cada uno de los Subsistemas de Administración de Riesgos.

j) Las metodologías, parámetros, fuentes de información y demás elementos utilizados para la medición de cada uno de los riesgos.

k) El procedimiento a seguir en caso de incumplimiento a los límites preestablecidos en cada uno de los Subsistemas de Administración de Riesgos.

l) Disponer de un respaldo físico o en medio magnético de la documentación mencionada en este numeral.

m) Establecer requisitos de seguridad, de forma tal, que se permita la consulta a información sensible, únicamente por parte de funcionarios autorizados.

n) Determinar criterios y procesos de manejo, guarda y conservación de la información.

Tanto las políticas, como el manual de procesos y procedimientos de la entidad, las bases de datos utilizados para la gestión de los diversos riesgos y con especial énfasis en los prioritarios, y demás información, documentación y lineamientos que estén referenciados en esta circular, deben estar a disposición de la Superintendencia Nacional de Salud para ser revisados y validar que cumplen con lo establecido en la presente circular. Asimismo, la SNS en virtud de sus funciones de IVC, podrá requerir dicha información en cualquier momento.

5. ESTRUCTURA ORGANIZACIONAL.

Sin perjuicio de las responsabilidades y obligaciones que se encuentren establecidas en otras disposiciones legales, estatutarias o en reglamentos, para el diseño y adopción de cada uno de los Subsistemas de Administración de Riesgos, se deben establecer como mínimo las siguientes actividades a cargo de los órganos de dirección, administración y el revisor fiscal de las entidades dentro de sus Códigos de Conducta y Buen Gobierno:

5.1. REPRESENTANTE LEGAL.

Dentro de la implementación del Sistema Integrado de Gestión de Riesgos y de cada uno de los Subsistemas de Administración de Riesgos de la entidad, se deberán asignar como mínimo las siguientes funciones a cargo del Representante Legal:

a) Apoyar y garantizar el efectivo cumplimiento de las políticas definidas por la Junta Directiva.

b) Adelantar un seguimiento permanente del cumplimiento de las funciones del Comité de Riesgos u Órgano equivalente, en los casos que aplique, y mantener informada a la Junta Directiva.

c) Conocer y discutir los procedimientos a seguir en caso de sobrepasar o exceder los límites de exposición frente a los riesgos, así como los planes de contingencia a adoptar respecto de cada escenario extremo.

d) Hacer seguimiento y pronunciarse respecto de los informes periódicos que presente el Comité de Riesgos u Órgano equivalente sobre el grado de exposición de riesgos asumidos por la entidad y los controles realizados, además de los informes presentados por la Revisoría Fiscal. Lo anterior debe plasmarse en un informe a la Junta Directiva o, quien haga sus veces, y hacer énfasis cuando se presenten situaciones anormales como mínimo en algún riesgo prioritario o existan graves incumplimientos a las políticas, procesos y procedimientos para cada uno de los Subsistemas de Administración de Riesgos.

e) Realizar monitoreo y revisión de las funciones del área de control interno.

f) Velar porque se dé cumplimiento a los lineamientos establecidos en el Código de Conducta y Buen Gobierno de la entidad en materia de conflictos de interés y uso de información privilegiada que tengan relación con el Sistema Integrado de Gestión de Riesgos.

g) Vigilar cuidadosamente las relaciones de todas las personas que hacen parte de la entidad tanto interna como externamente, para identificar y controlar de manera eficiente los posibles conflictos de interés que puedan presentarse.

h) Informar de manera oportuna mediante Oficio a la Superintendencia Nacional de Salud, acerca de cualquier situación excepcional que se presente o prevea que pueda presentarse como mínimo en el ámbito de la administración de los riesgos prioritarios, de las causas que la originan y de las medidas que se propone poner en marcha por parte de la entidad para corregir o enfrentar dicha situación, si procede.

5.2. ÁREA DE GESTIÓN DE RIESGOS.

De manera voluntaria y sin perjuicio del cumplimiento de otras disposiciones, las entidades deberían contar con un área de apoyo, orientadora y de evaluación, que tendrá a su cargo la administración y gestión de los diferentes riesgos a los cuales las entidades se encuentran expuestas (incluyendo los riesgos priorizados) a través de la identificación, medición, control y monitoreo de cada uno de ellos de tal manera que se realice la evaluación continua del ciclo para detectar las desviaciones y generar insumos para la formulación de los planes de mejoramiento y demás información que requiera el Comité de Riesgos, en los casos que aplique, mediante el trabajo conjunto con todas las áreas. En caso de que la entidad recurra a un outsourcing o tercerización de todo o parte de lo anteriormente descrito, debe contar con mecanismos y procedimientos que le permitan garantizar que los objetivos de la función de gestión de riesgos se estén cumpliendo a cabalidad.

En caso de que en la entidad exista el área de Gestión de Riesgos, debe tener características de independencia y sin sesgos de las áreas misionales de la entidad relacionadas con la prestación de servicios de salud (atención en servicios ambulatorios, atención en urgencias, atención hospitalaria y quirúrgica, entre otras), las áreas encargadas de las negociaciones como son compras, tesorería, entre otros. Queda a discreción de cada entidad, contar con un área de gestión de riesgos de acuerdo con su estructura, tamaño, naturaleza, y demás características particulares.

En caso de no contar con esta área, se deben otorgar funciones de gestión de riesgos en cada uno de los procesos (especialmente los más significativos y sensibles para el funcionamiento) a funcionarios de diferentes áreas de manera transversal dentro de la misma entidad. Sin embargo, los responsables de estas áreas deberán pertenecer al segundo nivel jerárquico (depender directamente de la Gerencia y/o Dirección de la entidad) con poder de decisión que le permita cumplir de manera adecuada con sus funciones, atendiendo la naturaleza y estructura propia de cada entidad o grupo empresarial oficialmente reconocido a la que está pertenezca.

El área de gestión de riesgos o quien haga sus veces, debería tener como mínimo las siguientes funciones:

a) Apoyar en el diseño de las metodologías de segmentación, identificación, medición, control y monitoreo de los riesgos a los que se expone la entidad, para mitigar su impacto.

b) Sugerir al Comité de Riesgos, en los casos que aplique, los ajustes o modificaciones necesarios a las políticas de los diferentes Subsistemas de Administración de Riesgos.

c) Proponer al Comité de Riesgos, en los casos que aplique, el manual de procesos y procedimientos, a través de los cuales se llevarán a la práctica las políticas aprobadas para la implementación de los diferentes Subsistemas de Administración de Riesgos. Asimismo, velar por su actualización, divulgación y apropiación en todos los niveles de la organización y su operatividad.

d) Velar por el adecuado diseño e implementación de los controles a los diferentes riesgos para mitigar su impacto, en todos los niveles de la organización y su operatividad.

e) Realizar seguimiento o monitoreo a la eficiencia y la eficacia de las políticas, procedimientos y controles establecidos.

f) Apoyar a las áreas en la identificación y evaluación de los límites de exposición para cada uno de los riesgos identificados, y presentar al Comité de Riesgos, en los casos que aplique, las observaciones o recomendaciones que considere pertinentes.

g) Monitorear las condiciones de suficiencia patrimonial y financiera de la entidad, de acuerdo con la Resolución número 3100 de 2019 o las normas que la sustituyan o modifiquen.

h) Velar por el adecuado archivo de los soportes documentales y demás información relativa al Sistema Integrado de Gestión de Riesgos de la entidad.

i) Participar en el diseño y desarrollo como mínimo de los programas de capacitación sobre los riesgos identificados y velar por su cumplimiento. Incluir por lo menos los riesgos de los Subsistemas de Administración de Riesgos.

j) Analizar los informes presentados por la Auditoría Interna o quien haga sus veces, y los informes que presente el Revisor Fiscal para que sirvan como insumo para la formulación de planes de acción y de mejoramiento, para la adopción de las medidas que se requieran frente a las deficiencias informadas, respecto a temas relacionados con el Sistema Integrado de Gestión de Riesgos.

k) Monitorear e informar al Comité de Riesgos, en los casos que aplique, el avance en los planes de acción y de mejoramiento, para la adopción de las medidas que se requieran frente a las deficiencias informadas, respecto a temas relacionados con el Sistema Integrado de Gestión de Riesgos.

5.3. ÓRGANOS DE CONTROL.

El diseño, desarrollo y ejecución de políticas para la gestión de riesgos deben contemplar procesos de auditoría y control tanto internos como externos, mediante los cuales se audite el cumplimiento de las políticas y procedimientos establecidos.

Los órganos de control deben abarcar todas las áreas de la organización, aplicando para cada una de ellas los objetivos, principios, elementos y actividades de control, información, comunicación y otros fundamentos del sistema. No obstante, por su particular importancia se considera pertinente entrar a analizar algunos aspectos relacionados con las áreas de salud, financiera y tecnología.

Las entidades deben establecer instancias responsables de efectuar una revisión y evaluación del Sistema Integrado de Gestión de Riesgos, compuesto por cada uno de los Subsistemas de Administración de Riesgos, así como por otros riesgos identificados por cada entidad, las cuales deben informar oportunamente a los órganos competentes, de las inconsistencias y falencias que detecte respecto a la implementación de los diferentes Subsistemas de Administración de Riesgos o la violación a los controles y límites establecidos.

Los órganos de control serán, por lo menos, Revisoría Fiscal y la Auditoría Interna, cuando apliquen. Estos deberán identificar las operaciones realizadas con entidades o personas vinculadas a la entidad, y promover revisiones independientes para validar la efectividad del Sistema Integrado de Gestión de Riesgos de la entidad y de los Subsistemas por los cuales está conformado, además de las responsabilidades y obligaciones que se encuentren establecidas en otras disposiciones legales, estatutarias o en reglamentos.

6. INFRAESTRUCTURA TECNOLÓGICA.

Las entidades deben disponer y utilizar la infraestructura tecnológica y los sistemas necesarios para garantizar el funcionamiento efectivo, eficiente y oportuno del Sistema Integrado de Gestión de Riesgos, los cuales deben generar informes confiables sobre dicha labor y contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgos asociados y tamaño. Cuando no se cuente con dicha infraestructura, debe establecer un plan de acción para cubrir esta falencia en el menor tiempo posible.

Además, deben contar con procesos que permitan realizar un control adecuado del cumplimiento de las políticas y límites establecidos, además de contar con un plan de conservación, custodia y seguridad de la información tanto documental como electrónica.

Los parámetros utilizados en las aplicaciones informáticas para cada uno de los Subsistemas de Administración de Riesgos que componen el Sistema Integrado de Gestión de Riesgos deben estar dentro de supuestos fundamentados y ser revisados periódicamente.

Asimismo, las entidades deben centralizar la información relacionada con la gestión de riesgos, para lo cual deben contar con un sistema adecuado de consolidación eficaz de los distintos riesgos para la toma de decisiones efectivas, el cual deberá ser validado por lo menos una vez al año.

7. DIVULGACIÓN DE LA INFORMACIÓN Y CAPACITACIONES.

Por un lado, las entidades deben garantizar que el personal vinculado tenga conocimiento de los productos y líneas de negocio que tenga la Entidad, además de los procedimientos administrativos y operativos asociados a cada uno de los Subsistemas de Administración de Riesgos. Para ello cada entidad debe diseñar, programar y coordinar planes de divulgación y capacitación como mínimo una vez al año a todas las áreas y funcionarios de la entidad, con mayor énfasis a las áreas involucradas en la gestión de estos riesgos, sobre las políticas, procedimientos, herramientas y controles adoptados por parte de la entidad para dar cumplimiento al Sistema Integrado de Gestión de Riesgos.

La divulgación y capacitación sobre cada uno de los Subsistemas de Administración de Riesgos deben hacer parte de los procesos de inducción de los nuevos empleados. Se debe dejar constancia de las capacitaciones realizadas por medio de la presentación de una prueba de los temas expuestos a los participantes, para incentivar la adherencia y el entendimiento, y, en donde se indique como mínimo la fecha, los temas tratados y el nombre de los asistentes.

Por otro lado, las entidades deben diseñar un sistema efectivo, veraz, eficiente y oportuno de manejo de la información capaz de generar reportes, tanto internos como externos, que garantice el funcionamiento de cada uno de los Subsistemas de Administración de Riesgos, teniendo en cuenta los procesos y procedimientos establecidos para cada uno.

Este sistema de información debe ser funcional y permitir la dirección y control de la operación en forma adecuada. Además, estos sistemas deben garantizar que la información cumpla con los criterios de seguridad (confidencialidad, integridad y disponibilidad), calidad (completitud, validez y confiabilidad) y cumplimiento, para lo cual se deben establecer controles generales y específicos para la entrada, el procesamiento y la salida de la información, atendiendo su importancia relativa y nivel de riesgo.

7.1. DIVULGACIÓN DE LA INFORMACIÓN INTERNA.

Como resultado del monitoreo y control de cada uno de los riesgos identificados y especialmente los prioritarios, las entidades deben elaborar reportes semestrales como mínimo, que permitan establecer el perfil de riesgo de estas.

Asimismo, debe elaborar informes de gestión al cierre de cada ejercicio contable sobre el cumplimiento de las políticas, los límites establecidos y su grado de cumplimiento, el nivel de exposición a los diferentes riesgos a los que se ven expuestas las entidades que incluya los prioritarios y la cuantificación de los efectos de la posible materialización de estos sobre la salud de la población de su área de influencia, las utilidades, el patrimonio y el perfil de riesgo de cada entidad.

Los informes deben dirigirse por lo menos al Representante Legal, a la Junta Directiva o quien haga sus veces y los líderes de los procesos involucrados, los cuales deben quedar plasmados en acta donde se socialicen estos informes. Estos informes deben ser presentados de manera comprensible y deben mostrar las exposiciones por tipo de riesgo y de la manera más desagregada, detallada y clara posible.

7.2. DIVULGACIÓN DE LA INFORMACIÓN EXTERNA.

Los administradores de las entidades, en su informe de gestión, al cierre de cada ejercicio contable, deben incluir en las notas a los estados financieros un apartado sobre la gestión adelantada en materia de administración como mínimo de los subsistemas de gestión de riesgos descritos en esta circular. En este sentido, las notas deberán contener un resumen de su situación en materia de la administración de dichos riesgos con información tanto cualitativa como cuantitativa.

Por un lado, la información cualitativa es indispensable para elaborar y proveer una mejor comprensión de los estados financieros de las entidades, por tanto, es necesario que las entidades informen sobre sus objetivos de negocio, estrategias y filosofía en la gestión de riesgos y los controles implementados en cada uno para mitigarlos. Además, la información revelada debe considerar los cambios potenciales en los niveles de riesgo, cambios materiales en las estrategias y límites de exposición para cada uno de los Subsistemas de Administración de Riesgos.

Por otro lado, las entidades deben revelar al público en general, la información cuantitativa sobre la gestión integral de los riesgos (como mínimo de los subsistemas de riesgos definidos en esta circular), como resultado de sus políticas y metodologías internas aplicadas para su control, de acuerdo con lo que los administradores de las entidades consideren pertinente revelar, sin perjuicio de aquella que sea de carácter privilegiado, confidencial o reservado, respecto de la cual se deben adoptar todas las medidas que consideren necesarias para su protección, incluyendo lo relacionado con su almacenamiento, acceso, conservación, custodia y divulgación.

Las características de la información divulgada estarán relacionadas con el volumen, la complejidad y el perfil de riesgo de las operaciones que maneje cada entidad. Asimismo, las entidades deberán mantener a disposición del público en general, a través de medios que garanticen su acceso, la información general que resulte necesaria para que haya un adecuado y cabal entendimiento respecto de la estructura que la entidad tenga diseñada e implementada, para la identificación, medición y control integral de cada uno de los subsistemas definidos en esta circular, de acuerdo con los mecanismos de rendición de cuentas que la entidad haya establecido en sus políticas.

CAPÍTULO II-II: LINEAMIENTOS ESPECÍFICOS DE LOS SUBSISTEMAS DE ADMINISTRACIÓN DE RIESGOS.  

El presente capítulo contiene los lineamientos específicos que deben tener como mínimo los Subsistemas de Administración de Riesgos para cada uno de los riesgos prioritarios (salud, actuarial, crédito, liquidez, mercado de capitales, operacional, y finalmente para la gestión del riesgo de grupo), sin perjuicio de los demás riesgos identificados por la entidad.

Como ya se mencionó anteriormente, para el Riesgo de Lavado de Activos y Financiación del Terrorismo, los lineamientos específicos se encuentran publicados en la Circular Externa 009 de 2016 (expedida por la SNS) y sus modificatorias.

1. GESTIÓN DEL RIESGO EN SALUD.

Se entiende por Riesgo en Salud la probabilidad de ocurrencia de un evento no deseado, evitable y negativo para la salud del individuo, que puede ser también el empeoramiento de una condición previa o la necesidad de requerir más consumo de bienes y servicios que hubiera podido evitarse. El evento, es la ocurrencia de la enfermedad, traumatismos o su evolución negativa, desfavorable o complicaciones de esta; y las causas, son los diferentes factores asociados a los eventos2(1). De esta manera, se incluyen el marco institucional y el ciclo de gestión de riesgo en salud. Asimismo, lo dispuesto en el presente numeral se entiende sin perjuicio de los requisitos establecidos que deben acreditar las entidades por normas superiores de las autoridades competentes que regulen la materia.

1.1. CICLO GENERAL DE GESTIÓN DEL RIESGO EN SALUD.

Para la gestión del Riesgo en Salud inherente aplican todos los lineamientos generales presentados en esta circular, armonizados con los lineamientos, pautas e instrumentos en salud expedidos por las autoridades competentes en caso de que aplique, y las prioridades territoriales y poblacionales. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el Subsistema de Administración de Riesgo en Salud que implementen las entidades, por lo menos debe contener los siguientes lineamientos específicos:

1.1.1. IDENTIFICACIÓN DEL RIESGO EN SALUD.

La identificación de riesgos en salud debe comprender, como mínimo, lo siguiente:

a) Identificación de la situación en salud del territorio donde se encuentran habilitados y de la población objeto de la IPS o afiliada a cada una de las Entidades Administradoras de Planes de Beneficios (EAPB) con las cuales tienen una relación contractual. Para lo cual, podrán hacer uso de la información disponible en las diferentes fuentes oficiales de información, y las demás pertinentes para el análisis.

b) Caracterización de los servicios ofertados según modalidades de atención y contratación, teniendo en cuenta los grupos de riesgos de la población potencialmente usuaria de estos servicios, que permita una gestión clínica optima en el marco de un enfoque diferencial.

c) Caracterización de la demanda de servicios ex-ante, efectiva y agregada propia de la entidad, teniendo en cuenta un enfoque diferencial (género, grupo etario, étnico, curso de vida, territorial, grupos de riesgo, entre otros).

d) Establecer un sistema de reporte institucional de incidentes y eventos adversos.

e) Caracterización de los riesgos existentes en cada uno de los servicios declarados con su respectiva estrategia de prevención (Política de Seguridad del Paciente).

En cuanto a la caracterización de los servicios ofertados, la entidad debe realizar como mínimo, la evaluación de la capacidad de oferta de los servicios, teniendo en cuenta la capacidad instalada y la oferta de talento humano con respecto a la capacidad de producción, discriminado en cada uno de los servicios. Dicho análisis debe tener en cuenta la población asignada por las diferentes Empresas Responsable de Pago con las cuales la entidad suscribe contratos.

Es importante recordar que, en el desarrollo de la política de seguridad del paciente, no solo es necesario que el prestador haga un diagnóstico de los eventos adversos prevenibles ocurridos, sino también que identifique los procesos asistenciales de mayor riesgo de acuerdo con lo descrito en la literatura. Algunos de estos riesgos, han sido destacados en el documento de “lineamientos para la implementación de la Política de Seguridad del Paciente”3(2) y pueden ser específicos de un servicio o derivados de un proceso asistencial (por ejemplo, neumonías asociadas al uso del respirador) o ser transversales a todos los servicios institucionales (por ejemplo, caídas).

Esta etapa implica la revisión de la estadística propia pero también de estudios realizados por terceros. No tener reportes de eventos adversos y de incidentes de seguridad del paciente no necesariamente significa que se cuente con un proceso asistencial libre de riesgos en salud, siendo necesario la valoración del proceso de búsqueda activa y la eficiente implementación de la Política de Seguridad del Paciente. Así mismo, las atenciones en salud inseguras no están directamente asociadas a un gran número de incidentes y eventos adversos reportados. El uso de estudios transversales de prevalencia de eventos adversos es muy recomendado para hacer un mejor diagnóstico y para hacer seguimiento a la seguridad del paciente, como complemento de sistemas de reporte. También son recomendables técnicas de identificación de alertas para medir la frecuencia de los eventos adversos en un prestador.

Adicionalmente, es fundamental que las instituciones velen por la disponibilidad y confiabilidad de la información acerca de la exposición al riesgo y de la gestión de los eventos adversos ocurridos; para tal fin es importante que cuenten con un sistema de información que permita cumplir este objetivo. Debe tenerse en cuenta que el reporte de incidentes y eventos adversos no es un medio confiable para conocer la verdadera magnitud del riesgo sino una herramienta para profundizar la cultura de la seguridad mediante el aprendizaje alcanzado con el análisis de eventos y los planes de acción diseñados en conjunto con los interesados.

1.1.2. MEDICIÓN Y EVALUACIÓN DEL RIESGO EN SALUD.

Posterior a la identificación de los riesgos en salud se debe realizar la medición y evaluación de los mismos. Para lo cual, las entidades deberán establecer una metodología para determinar el nivel de riesgo, que debe contemplar:

a) Determinar la probabilidad de ocurrencia y la severidad de las consecuencias máximas posibles o impacto, sobre la salud de los pacientes, en caso de presentarse un evento derivado de cada riesgo identificado.

b) Establecer el costo que representa para la institución en términos de sobrecosto asistencial (susceptible de ser objeto de rechazo o glosa), estancia hospitalaria prolongadas, riesgo jurídico o la suma de los dos. Este análisis establece un vínculo entre los riesgos en salud y el riesgo operacional y financiero.

c) Incluir una matriz de priorización de riesgos en salud acorde con los criterios de valoración definidos por la entidad y armonizados con los lineamientos, pautas e instrumentos en salud expedidos por las autoridades competentes en caso de que aplique, y con las prioridades territoriales y poblacionales.

d) Definir los límites de tolerancia para cada riesgo o factor de riesgo identificado de forma tal que se establezcan metas de control o mitigación para el sistema de gestión; pero priorizando los recursos sobre aquellos riesgos de mayor importancia según el ejercicio anterior.

e) Priorizar aquellos riesgos de mayor importancia, sin que eso implique ignorar, dejar de vigilar y no tratar de evitar, otros riesgos que se consideran de menor importancia y que pueden estar presentes en la Institución.

Aquellas entidades que no tengan una medición de riesgo inherente inicial en el momento de la expedición de la presente circular deberán iniciar con dicha medición. Por otro lado, aquellas que cuentan con una medición inicial, deberán desarrollar la estimación del riesgo neto después de aplicados los controles y las medidas de mitigación correspondientes al riesgo inherente.

La metodología de medición y evaluación establecida por la entidad deberá permitir que se construya una matriz de priorización de riesgos en salud acorde con los criterios de valoración definidos por la entidad y armonizados con los lineamientos, pautas e instrumentos en salud expedidos por las autoridades competentes en caso de que aplique; y con las prioridades territoriales y poblacionales. Con esta información se deberán, asignar los recursos requeridos para atender los riesgos de mayor importancia, sin que eso implique ignorar, dejar de vigilar y no tratar de evitar, otros riesgos que se consideran de menor importancia y que pueden estar presentes en la Institución.

1.1.3. TRATAMIENTO Y CONTROL DEL RIESGO EN SALUD.

Los métodos de tratamiento y control con los que la entidad deberá contar deben estar soportados en una metodología que le permita de forma sistemática e integral, establezca acciones coordinadas, articuladas y costo efectivas, encaminadas al tratamiento y control de los riesgos en salud.

Se consideran como elementos mínimos para la selección e implementación de tratamiento y control los siguientes:

a) Diseño, implementación, evaluación y seguimiento de programas, planes o procedimientos que establezcan el tratamiento de los riesgos en salud identificados, y debe contener indicadores de gestión y resultado (nivel de riesgo alcanzado). Esto con el fin de monitorear el logro de las metas, acorde con la escala establecida por la entidad, y los límites de aceptación y tolerancia para los riesgos en salud identificados, además permite apoyar el replanteamiento de estrategias de intervención en caso de ser necesario para garantizar el cumplimiento de las metas planteadas.

b) Realizar el monitoreo y evaluación de los indicadores de calidad y salud correspondiente a aquellos factores de riesgo que se hayan identificado como prioritarios. Estos deben ser sujetos de tratamientos y controles, y tener una medición de impacto y de la efectividad de las actividades implementadas.

c) Definir planes de mitigación o control de los riesgos que se encuentran en niveles mayores al nivel de tolerancia definido por la organización; estos deben generar acciones de capacitación, comunicación y revisión periódica de implementación y resultados.

d) Diseño, implementación, evaluación y seguimiento de los procesos y procedimientos institucionales y su articulación; de tal manera que garanticen el acceso y la calidad de los servicios ofertados.

e) Utilizar modelos de contratación y mecanismos de pago con sus proveedores orientados a la obtención de resultados en salud y pago por desempeño e incentivos, los cuales deben ir articulados con el Modelo de Atención en Salud planteado por la entidad.

f) Implementar jornadas de capacitación a su personal, haciendo énfasis en el procedimiento de evaluación, seguimiento, y adherencia a guías, protocolos de práctica clínica, normas técnicas, lineamientos y orientaciones.

Es importante tener en cuenta que todo riesgo que exceda los límites aceptados debe ser objeto de actividades de mitigación y control a fin de regresar al nivel de riesgo tolerado, conforme la estrategia adoptada.

Por otro lado, los riesgos que no exceden el límite deben ser vigilados; las cifras que sean muy inferiores a lo que se podría considerar una frecuencia estadística usual para un evento en particular, deben ser objeto de investigación por parte de la IPS para demostrar que no existe sub registro o ausencia de notificación por parte del personal al que corresponde tal responsabilidad.

2. GESTIÓN DEL RIESGO OPERACIONAL.

El Riesgo Operacional corresponde a la probabilidad que una entidad presente desviaciones en los objetivos misionales, como consecuencia de deficiencias, inadecuaciones o fallas en los procesos, en el recurso humano, en los sistemas tecnológicos, legal y biomédicos, en la infraestructura, por fraude, corrupción y opacidad, ya sea por causa interna o por la ocurrencia de acontecimientos externos, entre otros.

Es importante resaltar que, la anterior definición incluye una amplia variedad de factores de riesgo que pueden afectar los objetivos de las entidades, y que pueden materializarse como resultado de una deficiencia o ruptura en los controles internos o procesos de control, fallas tecnológicas, errores humanos, deshonestidad, prácticas inseguras y catástrofes naturales, entre otras causas, que afectan diferentes procesos, según las características propias de cada entidad.

Es así como los Riesgos Operacionales en la entidad pueden generar pérdidas de tres tipos:

i) Pérdidas en los resultados en salud de los pacientes, los cuales, por su relevancia son tratados como riesgos en salud.

ii) Pérdidas en los resultados operativos esperados, incluyendo la satisfacción de la población en su área de influencia, que deben ser tratados en el resultado de la gestión de los riesgos operacionales.

iii) Pérdidas financieras en la entidad, que corresponden a la contabilización de los eventos de riesgo y los riesgos que se materializaron, tratados en la evaluación de los riesgos financieros.

Adicionalmente, las entidades deben adoptar diferentes políticas y medidas encaminadas a implementar acciones para el fortalecimiento continuo de una cultura ética de integridad, transparencia y la lucha contra la corrupción y opacidad. Los objetivos de estas políticas, medidas y acciones son prevenir, detectar y, cuando sea el caso, denunciar la corrupción y la opacidad que, en cualquiera de sus formas, eventualmente se pueda presentar, por parte, en contra de una entidad o en contra del SGSSS.

La implementación y seguimiento a estos riesgos van estrechamente ligados a las políticas, principios y valores institucionales establecidos en el Gobierno Organizacional (Código de Conducta y de Buen Gobierno), de ahí la importancia de su implementación y mejoramiento continuo. Una adecuada gestión de riesgos y prácticas de Gobierno Corporativo, son indispensables para mitigar el nivel de riesgo inherente al que están expuestas las entidades. Como resultado de la mitigación de los riesgos a través de la adecuada gestión y gobiernos corporativos, se obtiene el riesgo neto de la entidad, para cada categoría de riesgo.

La adopción del Subsistema de Administración de Riesgo Operacional debe cumplir como mínimo con lo siguiente:

2.1. CICLO GENERAL DE GESTIÓN DEL RIESGO OPERACIONAL.

Para la gestión del riesgo operacional inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el Subsistema de Administración de Riesgo Operacional que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

2.1.1. IDENTIFICACIÓN DEL RIESGO OPERACIONAL.

El Subsistema debe permitir a las entidades definir e identificar la exposición al riesgo operacional, por lo cual, en esta etapa se elabora un perfil de los procesos de las actividades de la entidad con las siguientes acciones:

a) Levantamiento y documentación de la totalidad de los procesos de la entidad. Como mínimo, entre otros definidos por la entidad, se deben tener en cuenta los siguientes procesos relevantes para el cumplimiento de las funciones de la entidad, así estos sean tercerizados:

- Atención ambulatoria

- Atención hospitalaria y quirúrgica

- Atención de Urgencias

- Atención de Apoyo Diagnóstico y Terapéutico

- Referencia y Contrarreferencia

- Sistemas de información en salud

- Calidad

- Gestión del talento humano

- Gestión Financiera.

- Gestión administrativa y legal.

b) Identificación de los eventos de riesgo operacional, potenciales y ocurridos, en cada uno de los procesos.

e) Identificación de procesos jurídicos en los que se encuentre la entidad.

d) Identificación pérdidas en los resultados en salud de sus pacientes, los cuales, por su relevancia son tratados como riesgos en salud.

e) Determinación de potenciales pérdidas financieras en la entidad causadas por los eventos de riesgo operacional identificados.

La etapa de identificación debe realizarse previamente a la implementación de nuevos procesos o a la modificación de cualquier proceso, así como en los casos de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.

Para la identificación, cada entidad debe tener su propio y único registro de eventos de riesgo operacional, incluyendo las entidades con casa matriz en el exterior, con la información relacionada con los eventos de riesgo operacional presentados a nivel local. A continuación, se presenta la información relevante mínima que debe tener un registro de eventos de riesgo operativo:

1. Referencia: Código interno que relacione el evento en forma secuencial.

2. Área o Dependencia: Área de la entidad en la cual se detecta el evento.

3. Proceso: Identificación del proceso donde se produjo el evento de riesgo o se vio afectado.

4. Fecha de descubrimiento: Fecha en que se detecta el evento (Día, mes, año, hora).

5. Fecha de inicio: Fecha en la que el evento tiene su inicio (Día, mes, año, hora).

6. Fecha de finalización: Fecha en que finaliza el evento (Día, mes, año, hora).

7. Descripción del evento: Descripción detallada del evento (Canal de servicio o atención al cliente (cuando aplica), Zona geográfica).

8. Producto-Servicio afectado: Identificación del producto o servicio al que el evento afecta.

9. Clase de evento: Especifique la clase de evento, según la clasificación adoptada (Fraude interno, fraude externo, relaciones laborales, clientes, daños a activos físicos, fallas tecnológicas, ejecución y administración de procesos, entre otros).

10. Tipo de pérdida: Identificación de la pérdida que origina el evento:

- Genera pérdida y afecta el estado de resultados de la entidad

- Genera pérdida y no afecta el estado de resultados de la entidad

- No genera pérdidas).

11. Divisa: Moneda en la que se materializa el evento (COP, USO, entre otras).

12. Cuantía: Monto de dinero a la que asciende la pérdida. Este valor debe ser presentado en moneda legal, es decir en pesos colombianos (COP). Si el evento se presenta en otra moneda diferente a la legal, se utiliza para el cambio la TRM del día en que se contabilizó la pérdida por el evento.

13. Cuantía total recuperada: Monto de dinero recuperado por acción directa de la entidad. Incluye cuantías recuperadas por seguros.

14. Cuantía recuperada por seguros: Corresponde al monto de dinero recuperado por el cubrimiento a través de un seguro.

15. Cuentas del Plan de Cuentas afectadas: Identifica las cuentas del “Plan de Cuentas” afectadas.

16. Fecha de contabilización: Fecha en que se registra contablemente la pérdida por el evento (Día, mes, año, hora).

17. Datos del registro: Aquí se detalla quien diligenció el formato, la dependencia y fecha del registro, así como nombre, firma y cargo de quien lo reporta.

Además de los campos descritos en este numeral, se pueden incorporar dentro del registro de eventos materializados de riesgo operacional otros adicionales que las entidades consideren relevantes para su gestión del riesgo operacional.

Asimismo, cabe mencionar que, dentro de todos los procesos de la entidad, se debe identificar que dentro del riesgo operacional se puede encontrar inmerso el riesgo de corrupción y opacidad, el cual puede impedir el funcionamiento efectivo de las instituciones, afectando directamente la misión y la visión de las entidades y el flujo normal y efectivo de los recursos, a través de acciones y actitudes contrarias a los valores y principios éticos que deben caracterizar a las personas en su conjunto, sean naturales o jurídicas y de carácter público o privado.

2.1.2. MEDICIÓN Y EVALUACIÓN DEL RIESGO OPERACIONAL.

El Subsistema de Administración del Riesgo Operacional debe permitir a la entidad medir y cuantificar las posibles pérdidas esperadas derivadas de la exposición a este riesgo en particular. Para esta etapa del ciclo, las entidades deben tener en cuenta lo siguiente:

En esta etapa, el Subsistema de Administración de Riesgo Operacional debe medir la probabilidad de ocurrencia de un evento de riesgo operacional y su impacto en caso de materializarse. En caso de no contar con datos numéricos históricos se deberá realizar una aproximación cualitativa, y elaborar un plan de ajuste que posibilite la medición cuantitativa del riesgo posteriormente. Para esta etapa del ciclo, las entidades deben tener como mínimo lo siguiente:

a) Diseñar e implementar la metodología de medición acorde con los eventos de riesgo operacional identificados procurando una medición de la probabilidad de ocurrencia y del impacto, para así determinar el perfil de riesgo de la entidad.

b) Tener en cuenta dentro de la evaluación, los planes de contingencia y el Plan de Continuidad del Negocio, todos los recursos (físicos, humanos, técnicos y financieros) necesarios para que cada entidad enfrente la exposición al riesgo operacional bajo cualquier eventualidad, de acuerdo con su tamaño y nivel de operaciones.

2.1.3. TRATAMIENTO Y CONTROL DEL RIESGO OPERACIONAL.

El Subsistema de Administración del Riesgo Operacional debe permitir a la entidad tomar medidas adecuadas para controlar el riesgo operacional inherente al que se ve expuesta en el desarrollo de sus operaciones con el fin de disminuir la probabilidad de ocurrencia y/o impacto en caso de que se materialicen.

Esta etapa debe cumplir con los siguientes requisitos mínimos:

a) Diseñar e implementar controles para cada proceso de manera que se pueda mitigar el riesgo inherente, ya sea mediante su probabilidad, impacto o ambos.

b) Incluir los controles diseñados dentro de las políticas y procedimientos de la entidad.

c) En cuanto a los riesgos que afecten la operación en condiciones normales de la entidad, esta debe implementar un Plan de Continuidad del Negocio aprobado por la Junta Directiva.

2.1.3.1. PLAN DE CONTINUIDAD DEL NEGOCIO.

Las entidades deben definir, implementar, probar y mantener un proceso para administrar y asegurar la continuidad del negocio en situaciones de emergencia o desastre, incluyendo elementos como la prevención y la atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. Estas medidas deben contar con los siguientes elementos:

a) Identificación de eventos que pueden afectar la operación.

b) Actividades por realizar cuando se presentan las fallas.

c) Alternativas de operación.

d) Proceso de retorno a la actividad normal.

2.2. ACREDITACIÓN CON SOPORTES DE TODAS LAS OPERACIONES, NEGOCIOS Y CONTRATOS.

Las entidades deben establecer reglas específicas que prohíban la realización de actividades, negocios y contratos sin que exista el respectivo soporte interno y/o externo, debidamente fechado y autorizado por quienes intervengan en ellos o los elaboren. Todo documento que acredite transacciones, negocios o contratos de la entidad, además de constituir el soporte de la negociación y del registro contable, constituye el respaldo probatorio para cualquier investigación que puedan adelantar las autoridades competentes.

3. GESTIÓN DEL RIESGO ACTUARIAL.

Se entiende por riesgo actuarial la posibilidad de incurrir en pérdidas económicas debido a no estimar adecuadamente el valor de los contratos según los diferentes tipos de contratos (cápita, evento, Grupo Relacionado de Diagnóstico, Pago Global Prospectivo entre otros) por venta de servicios, de tal manera que estos resulten insuficientes para cubrir las obligaciones futuras que se acordaron. Estas estimaciones deben realizarse teniendo en cuenta algunos eventos futuros e inciertos que podrían ocurrir como:

a) Desconocimiento de la demanda efectiva de servicios que van a atender, de la situación en salud de la población y de las frecuencias de uso.

b) Concentración poblacional, con un enfoque diferencial de género, étnico, grupos etarios, regiones, grupo de riesgo, curso de vida, entre otros.

c) Atención en zonas de difícil acceso y alta dispersión de la población.

d) Hechos catastróficos o situaciones similares que afecten un número elevado de la población incluida en los contratos.

e) Variaciones en las condiciones de morbimortalidad de la población incluida en los contratos.

f) Incrementos inesperados en los costos de proveedores.

g) Incorporación de tecnología nueva que requiera recursos de inversión considerables.

3.1. CICLO GENERAL DE GESTIÓN DEL RIESGO ACTUARIAL.

Para la gestión del riesgo actuarial aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el Subsistema de Administración de Riesgo Actuarial que implementen las entidades debe contener los siguientes lineamientos específicos como mínimo:

3.1.1. IDENTIFICACIÓN DEL RIESGO ACTUARIAL.

El Subsistema de Administración del Riesgo Actuarial debe permitir a la entidad definir e identificar el riesgo actuarial teniendo en cuenta, como mínimo, las siguientes consideraciones relevantes:

a) Caracterización y conocimiento de la población que incluirá en los contratos por venta de servicios teniendo en cuenta los aspectos geográficos, etarios, demográficos, la situación de morbimortalidad; así como la actualización de novedades.

b) Particularidades de las diferentes modalidades de pago (por capitación, por evento, por paquete, entre otros).

- Pago por Capitación: Identificación de las personas incluidas en el contrato e identificación de las actividades, procedimientos, intervenciones, insumos y medicamentos de baja complejidad incluidos en el contrato.

- Pago por evento: Identificación de las actividades, procedimientos, intervenciones, insumos y medicamentos incluidos en el contrato para el cálculo de las tarifas y precios a ser aplicadas a las tecnologías en salud.

- Pago por Grupo Relacionado de Diagnóstico: Identificación de las tecnologías en salud incluidas y no incluidas asociadas a la condición o condiciones individuales de salud, comorbilidades, complicaciones o eventos adversos de acuerdo con el grupo de riesgo.

- Pago Global Prospectivo: Identificación de las tecnologías en salud incluidas y no incluidas asociadas a la condición o condiciones individuales de salud, comorbilidades, complicaciones o eventos adversos de acuerdo con el grupo de riesgo. Además, de tener en cuenta la frecuencia estimada de los episodios de atención y/o de tecnologías en salud a ser prestadas con cargo a la suma global.

- En los demás tipos de contratación, es importante identificar el riesgo asumido por la IPS y las obligaciones de cobertura de servicios cada contrato, así como las características de la tarifa pactada.

c) Identificación de posibles incrementos en los costos de insumos y medicamentos, entre otros.

d) Evaluar el comportamiento de la variabilidad del ingreso y el costo que tenga la entidad, además del uso de los insumos para dar cumplimiento al objeto del contrato.

3.1.2. MEDICIÓN Y EVALUACIÓN DEL RIESGO ACTUARIAL.

El Subsistema de Administración del Riesgo Actuarial debe permitir a la entidad:

a) Anticipar incrementos inesperados en los índices de morbimortalidad y, por ende, en los costos de atención que puedan sobrepasar el valor pactado en los contratos.

b) Realizar proyecciones que incluyan los posibles impactos y la ocurrencia, entre otros, de los factores de riesgo asociados a la concentración, hechos catastróficos, incrementos en los costos de nueva tecnología y el cambio del perfil sociodemográfico de la población de su área de influencia, que pueden tener efectos sobre la frecuencia y características de la demanda de servicios de salud.

c) Construcción de modelos de cuantificación que contemplen de manera adecuada, las pérdidas esperadas e inesperadas, a las que se encuentra expuesta la entidad.

Los modelos que se adopten para calcular estas pérdidas deben contar con los siguientes parámetros teniendo en cuenta las particularidades de cada tipo de contrato:

d) La probabilidad de ocurrencia del evento (materialización del riesgo) en la unidad de tiempo (frecuencia).

e) Los asociados con cada distribución de pérdida que mejor defina la cuantía de la pérdida (severidad). Es decir, el cálculo del costo promedio del servicio.

f) El nivel de exposición del riesgo en la unidad de tiempo.

3.1.3. TRATAMIENTO Y CONTROL DEL RIESGO ACTUARIAL.

El Subsistema de Administración del Riesgo Actuarial debe permitir a la entidad tomar medidas adecuadas para controlar el riesgo actuarial, entre ellas:

a) Establecer y actualizar periódicamente las políticas y las estimaciones actuariales para cada tipo de contrato, teniendo en cuenta los cambios que se presenten en el sector.

b) Hacer una traza de las medidas tomadas por la administración, en respuesta a los problemas identificados y a las recomendaciones efectuadas.

c) Realizar pruebas de estrés (Stress-Testing) y ejercicios de autocomprobación

(Back-Testing)4(3) sobre los modelos actuariales utilizados para establecer los valores de los contratos, y de esta manera realizar los ajustes correspondientes.

d) Realizar controles de calidad a los sistemas de información de la entidad.

4. GESTIÓN DEL RIESGO DE CRÉDITO.

El Riesgo de Crédito corresponde a la posibilidad que una entidad incurra en pérdidas como consecuencia del incumplimiento de las obligaciones por parte de sus deudores en los términos acordados, como, por ejemplo, monto, plazo y demás condiciones.

Teniendo en cuenta la anterior definición, las entidades deben evaluar permanentemente el riesgo inherente que sus activos pierdan valor, como consecuencia de que un deudor o contraparte incumpla sus obligaciones. Es así como dentro de esta evaluación debe incorporar oportunamente los cambios significativos de las condiciones de cumplimiento de sus deudores. Para esto, la entidad deberá desarrollar políticas, procedimientos y mecanismos idóneos que le permitan llevar a cabo en forma oportuna el ciclo general de gestión de este riesgo particular.

4.1. CICLO DE GESTIÓN DE RIESGO DE CRÉDITO.

Para la gestión del riesgo de crédito inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el Subsistema de Administración de Riesgo de Crédito que implementen las entidades, deberá incorporar dentro de sus procesos y procedimientos internos para la gestión del riesgo de crédito, los siguientes lineamientos y aspectos específicos como mínimo:

a) Una evaluación de riesgo por contraparte (incluyendo los instrumentos financieros, tratándose de inversiones de renta fija), teniendo en cuenta los límites de exposición por contraparte asociadas a la evaluación de riesgos realizada. La entidad podrá realizar una evaluación agrupando activos con características y perfiles de riesgo similares, pero deberá realizar esta evaluación en forma individual si el activo es significativo.

b) Un modelo de cálculo de deterioros/provisiones por riesgo de crédito que sea adecuado para reflejar las potenciales pérdidas a las que está expuesta la entidad por el incumplimiento de las contrapartes y que se ajuste a la normatividad vigente.

c) La definición de procedimientos específicos de seguimiento, cobranza de las deudas y el establecimiento de mecanismos apropiados de negociación y recuperación de deudas que se encuentren en incumplimiento.

d) Una estrategia de gestión de glosas ante las EPS, la ADRES (o la entidad que ejerza sus funciones) o ante las Entidades Territoriales según sea el caso. La definición de la estrategia de gestión de glosas se debe formular en función del análisis histórico y su consecuente caracterización para determinar procesos específicos de actuación ante cada tipo de glosa.

e) La verificación de los literales anteriores se debe realizar por lo menos una vez al año, para evaluar su funcionamiento y monitorear efectivamente la exposición a este riesgo.

f) Las bases de datos utilizadas en el proceso de diseño de los modelos para la administración del riesgo crediticio deben tener una historia mínima de tres (3) años. En caso de no cumplirse con el tiempo recomendado, la entidad deberá preparar un plan de ajuste en el cual se expongan los procedimientos y fechas en las cuales se logrará cumplir con esta recomendación. Durante el periodo de ajuste, a partir de la infraestructura tecnológica y de los sistemas necesarios para garantizar la adecuada administración del Riesgo de Crédito se deben generar informes confiables sobre dicha labor por lo menos una vez al trimestre.

g) Cuando las IPS lleven menos de (3) años de constitución deberán velar por la recopilación de la información necesaria para dar cumplimiento a los lineamientos dispuestos en la presente circular.

4.1.1. IDENTIFICACIÓN DEL RIESGO DE CRÉDITO.

Para la identificación de este riesgo, los aspectos mínimos a considerar por parte de la entidad parten de definir los tipos de activos expuestos a este riesgo, como mínimo las cuentas por cobrar y los instrumentos financieros. Estos últimos incluyen:

a) Cuentas de Bancos y Fondos de Inversión Colectivas (FIC, antes Carteras Colectivas) tales como: cuentas corrientes; cuentas de ahorros; cuentas maestras de recaudo; FIC abiertos, del mercado monetario; carteras colectivas cerradas; y otros tipos de encargos fiduciarios o fondos de inversión, fideicomisos, fondos de inversión colectiva inmobiliarios y/o fondos de capital privado, entre otros, siendo locales o extranjeros.

b) Instrumentos inscritos en el Mercado de Valores de Colombia, tales como títulos de deuda pública emitidos o garantizados por la Nación o por el Banco de la República; títulos de renta fija emitidos, aceptados, garantizados o avalados por entidades vigiladas por la Superintendencia Financiera de Colombia, Fogafin y Fogacoop.

c) Todas las inversiones en títulos o valores de renta fija emitidos por entidades nacionales o extranjeras.

4.1.2. EVALUACIÓN Y MEDICIÓN DEL RIESGO DE CRÉDITO.

El Subsistema de Administración de Riesgo de Crédito debe evaluar las pérdidas estimadas como resultado del incumplimiento de sus contrapartes. Dentro del Subsistema, la entidad puede diseñar modelos para diferentes tipos de activos expuestos a este riesgo, dentro de los cuales deberá como mínimo contemplar la estimación de los siguientes elementos:

a) La probabilidad de incumplimiento de los deudores dentro de un periodo de tiempo de 12 meses.

b) Al interior de cada tipo de activo se deben generar categorías de calidad del deudor/contraparte que orienten una posterior asignación de factores de riesgo diferenciales según dicha categorización.

c) La estimación de la pérdida esperada en que incurriría la entidad dado el incumplimiento. En este elemento se debe considerar tanto el valor expuesto del activo (saldo de la obligación o valor neto del activo) en el momento del incumplimiento, como la tasa de recuperación del valor del activo una vez se ha materializado el incumplimiento, la cual debe contemplar las recuperaciones efectivas que se han realizado sobre estos incumplimientos en los últimos 3 años y la existencia e idoneidad de las garantías, si las hubiese.

Para estimar la probabilidad que el deudor/contraparte no cumpla con sus obligaciones en los términos acordados, se recomienda que la entidad tenga en cuenta como mínimo los siguientes aspectos:

i) En el caso de los deudores/cuentas por cobrar:

a) Análisis históricos de las cuentas por cobrar de cada deudor según plazos y cumplimiento de pago, teniendo en cuenta los acuerdos de voluntades.

b) La calidad del deudor y el plazo de la cartera (a mayor concentración de las deudas de mayor plazo, mayor el riesgo asociado al deudor).

c) Adicional al análisis individual por deudor, se recomienda realizar un análisis segmentado por líneas de negocio (en los casos en que la entidad desarrolle varias actividades dentro del sector como aseguramiento obligatorio, voluntario, prestación de servicios de salud) y el concepto generador de la obligación, en el caso de las cuentas por cobrar.

d) Estimar las posibles pérdidas que resulten de incumplimientos de pago frente a prestaciones realizadas u obligaciones generadas, las cuales involucran entre otros elementos, la evaluación de deterioros o posteriores valoraciones de acuerdo con las políticas contables que sobre los instrumentos financieros haya escogido la entidad, específicamente en las cuentas por cobrar.

ii) En el caso de los instrumentos financieros, se recomienda que la entidad:

a) Clasifique la seguridad del activo con fundamento en la calificación de crédito emitida por agencias calificadoras de riesgo tanto para el activo de renta fija como para el emisor, ya que estas calificaciones reflejan las probabilidades de incumplimiento de los activos en cada categoría de calificación.

b) Asigne factores de riesgo en función de las probabilidades de incumplimiento para cada categoría de seguridad del activo. De no disponer de estudios propios que evalúen estas probabilidades de incumplimiento para los diferentes emisores y tipos de instrumentos financieros, se puede tomar como referencia los ponderadores que se mencionan en el Decreto número 2954 de 2010 del Ministerio de Hacienda y Crédito Público y sus modificatorias.

4.1.3. TRATAMIENTO Y CONTROL DEL RIESGO DE CRÉDITO.

Las entidades deberán contemplar dentro de este Subsistema de Administración y Gestión de Riesgo mecanismos de tratamiento y control del riesgo de crédito, los cuales deben ser aplicados de forma continua. Su frecuencia y criterios deberán definirse de acuerdo con las políticas de gestión del riesgo que esté dispuesto a asumir cada entidad.

Se consideran buenas prácticas de gestión para el tratamiento y control del riesgo de crédito, acciones que por su naturaleza deberán ser refrendadas en los aspectos específicos de la política de gestión del riesgo de crédito de la entidad.

4.1.3.1. LÍMITES DE EXPOSICIÓN CREDITICIA Y DE PÉRDIDA TOLERADA.

Las políticas de gestión del riesgo deben establecer lineamientos para la fijación de niveles y límites de exposición (iniciales y potenciales) de los créditos totales, individuales y por portafolios de inversión, así como de los límites de concentración por deudor, sector o grupo económico. Asimismo, establecer porcentajes máximos de tenencia de activos de la categoría más riesgosa y mínimos de los activos de máxima seguridad.

4.1.3.2. DETERIORO DE LOS ACTIVOS.

Las políticas de gestión del riesgo deben establecer un sistema de cubrimiento del riesgo de crédito por medio de provisiones o deterioro de los activos generales e individuales que permitan absorber las pérdidas esperadas derivadas de la exposición crediticia de la entidad y estimadas mediante las metodologías y análisis desarrollados para la gestión de riesgo de crédito. En todo caso, el sistema de deterioro desarrollado debe estar alineado con el cumplimiento de las normas que se encuentren vigentes sobre la materia y debe establecerse como política contable calculado en función de la pérdida esperada.

4.1.3.3. CAPITAL EXPUESTO AL RIESGO.

El capital expuesto al riesgo de crédito corresponde a la estimación del nivel de patrimonio comprometido por las pérdidas no esperadas de la entidad debido a incumplimientos de las obligaciones por parte de sus deudores. En este sentido, se recomienda como medida prudencial (autocontrol), que las entidades realicen un proceso de estimación de este capital con metodologías internas y acorde con las políticas de gestión del riesgo de crédito aprobadas.

Se hace énfasis en que el capital expuesto al riesgo es una forma de medir los riesgos asumidos y estimar las posibles pérdidas con el fin de gestionarlas y establecer las acciones necesarias para mitigarlos, más no implica constitución de reservas o requerimientos de capital adicional.

4.1.3.4. RECUPERACIÓN DE CARTERA.

Las entidades deben establecer políticas y procedimientos que les permitan tomar medidas oportunamente para enfrentar incumplimientos con el objeto de minimizar las pérdidas. El diseño debe partir como mínimo de la base histórica de recuperaciones y las variables críticas que determinen la minimización de las pérdidas o castigos a la cartera. La información sobre los resultados de estas políticas debe ser almacenada como insumo para el afinamiento de los modelos desarrollados para el seguimiento y estimación de pérdidas, así como para alimentar las proyecciones de flujos de caja que permiten gestionar a su vez, el riesgo de liquidez.

5. GESTIÓN DEL RIESGO DE LIQUIDEZ.

El Riesgo de Liquidez corresponde a la posibilidad que una entidad no cuente con recursos líquidos para cumplir con sus obligaciones de pago tanto en el corto (riesgo inminente) como en el mediano y largo plazo (riesgo latente).

Como consecuencia de las actividades y operaciones diarias, las entidades se ven expuestas a este riesgo de liquidez. La gestión de liquidez de la entidad está relacionada con:

a) Una adecuada recuperación de cartera (gestión de riesgo de crédito).

b) Una adecuada modelación y monitoreo a las volatilidades del mercado financiero (gestión de riesgo de mercado de capitales).

c) Una adecuada modelación y gestión de la razón combinada entre costos e ingresos por venta de servicios de salud contratados bajo modalidades diferentes al pago por evento (gestión de riesgo actuarial), dado que los flujos esperados de ingresos se ajustarían a las proyecciones de la entidad para cubrir con sus obligaciones.

La materialización del riesgo de liquidez genera necesidades de recursos líquidos5(4) por parte de las entidades, las cuales pueden verse limitadas para realizar los pagos a terceros como pueden ser a proveedores, empleados y demás acreedores, lo que podría conllevar, entre otras consecuencias, a deficiencias en la prestación de los servicios de salud. Lo expuesto, puede generar un riesgo sistémico6(5) y afectar la percepción de los usuarios al servicio de salud y la viabilidad financiera de las entidades del sector

Con el objetivo de evitar que las situaciones antes descritas se materialicen, la Superintendencia Nacional de Salud considera necesario que las entidades desarrollen e implementen un Subsistema de Administración de Riesgo de Liquidez que les permita tomar decisiones oportunas para mitigar este riesgo.

5.1. CICLO DE GESTIÓN DE RIESGO DE LIQUIDEZ.

Para la gestión de este riesgo inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el Subsistema de Administración de Riesgo de Liquidez que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

5.1.1. IDENTIFICACIÓN DEL RIESGO DE LIQUIDEZ.

El Subsistema de Administración de Riesgo de Liquidez debe permitir a las entidades definir e identificar el riesgo de liquidez al que están expuestas las entidades en función de los flujos de ingresos y egresos de efectivo y equivalentes de efectivo, de acuerdo con las operaciones autorizadas.

Para realizar la identificación y cuantificación del riesgo de liquidez la entidad debe disponer de la mejor información para efectos de realizar las proyecciones de todos los flujos netos de activos y pasivos o de ingresos y egresos, y debe contar como mínimo con lo siguiente para poder analizar los posibles descalces:

5.1.1.1. ACTIVOS.

a) Identificar los activos considerados como líquidos (aquellos que proveen a la entidad de liquidez inmediata). Se recomienda incluir dentro de estos como mínimo, el disponible que esté consignado en bancos y/o inversiones en Fondos de Inversión Colectiva (FIC) en las siguientes modalidades: cuentas corrientes, cuentas de ahorros (cuentas maestras de recaudo), FIC abiertos, del mercado monetario y cualquier otro tipo de encargo fiduciario o fondo de inversión, fideicomisos, fondos de inversión colectiva de inmobiliarios y fondos de capital privado que no tengan restricciones para el retiro inmediato de recursos (sin pacto de permanencia). Asimismo, se deben identificar todas las inversiones en títulos o valores, sean de renta fija o renta variable, emitidos por entidades nacionales o extranjeras, públicas o privadas, que considere de fácil realización (activos que forman parte del portafolio de inversiones de la entidad y que no tengan ninguna restricción de movilidad ni que estén sujetos a algún tipo de gravamen, medida preventiva o de cualquier naturaleza, que impida su libre cesión o transferencia).

b) Identificar los recursos y plazos de recuperación de cartera (cuentas por cobrar). Tener en cuenta el comportamiento histórico de cartera vencida para aplicar factores de descuento o de castigo, en los casos que considere necesarios para obtener una aproximación mucho más cercana a la realidad.

c) Identificar los ingresos causados y recibidos por venta o prestación de servicios de salud.

d) Proyectar cualquier movimiento de entradas futuras de efectivo por cualquier concepto, entre los cuales puede estar el portafolio de inversiones: vencimiento de títulos de renta fija o de operaciones, cobro de cupones, rendimientos de un CDT, dividendos en efectivo, entre otros flujos que se esperan recibir.

5.1.1.2. PASIVOS.

a) Identificar y caracterizar las cuentas por pagar bajo cualquier concepto (insumos y medicamentos; dispositivos médicos o equipo biomédico; salarios; gastos operativos y administrativos; entre otros).

b) Identificar el valor causado y pagado de los costos y gastos de la operación de la entidad.

c) Proyectar cualquier movimiento de salidas futuras de efectivo bajo cualquier concepto, los cuales pueden presentarse por la emisión de instrumentos financieros, el pago de cupones de emisiones de deuda por renta fija y el pago de dividendos por acciones emitidas, entre otros flujos a entregar.

5.1.2. EVALUACIÓN Y MEDICIÓN DEL RIESGO DE LIQUIDEZ.

El Subsistema de Administración de Riesgo de Liquidez debe permitir a las entidades cuantificar el nivel mínimo diario de efectivo o equivalentes de efectivo requerido, en moneda nacional y/o extranjera, de acuerdo con la normatividad vigente, que le permita cumplir de manera oportuna con sus obligaciones de pago.

Es decir que las entidades deben estar en capacidad de medir y proyectar los flujos de caja de sus activos y pasivos, en diferentes horizontes de tiempo, tanto en un escenario en condiciones normales como en un escenario de crisis bajo hipótesis razonables (stress testing), en el que los flujos de caja se alejan significativamente de lo esperado, por efecto de cambios imprevistos en el entorno de los mercados, de la entidad o de ambos, y de esta manera, poder calcular sus necesidades de liquidez.

Para la medición del riesgo de liquidez se requiere que la entidad aplique una “prueba de liquidez” periódicamente con el fin de identificar potenciales necesidades de liquidez o recursos líquidos para cubrir sus flujos de pago y las causas de potenciales situaciones de iliquidez. Uno de los principales objetivos de esta prueba es que las entidades mejoren sus estimaciones conforme lo aplican frecuentemente y puedan prevenir potenciales situaciones adversas. Si bien algunos ingresos y/o egresos son más predecibles que otros, se busca que las estimaciones vayan mejorando a medida que estas se realizan y que con fundamento en las proyecciones de egresos se identifiquen los activos necesarios o recursos adicionales para poder cubrir estas estimaciones, de acuerdo con unos niveles de tolerancia de riesgo definidos.

Para estructurar la prueba de liquidez debe usar la información de los flujos de efectivo tanto de ingresos como de egresos, de acuerdo con los diferentes tipos de obligaciones y acreencias proyectándolos en un horizonte de tiempo de por lo menos tres (3) meses. Los periodos de proyección se pueden construir de forma diaria, semanal, mensual e incluso trimestral.

La proyección de ingresos y egresos estará basada en la mejor información disponible con la que cuente la entidad, y de acuerdo con supuestos y estimaciones propias, los cuales en todo caso deben ser explícitos y justificados técnicamente por la entidad. Para efectos de la determinación del riesgo inherente de liquidez, la entidad deberá establecer el superávit o déficit de liquidez, que corresponderá a la diferencia entre el monto total de ingresos y egresos de efectivo proyectados. Este monto se utilizará para el cálculo del indicador de liquidez.

Debido a que el riesgo será mayor en aquellas entidades cuyas proyecciones sean más volátiles o que incorporen una mayor incertidumbre, y que a su vez cuenten con menores recursos líquidos para cubrir sus necesidades, las técnicas de modelación deben abordar como mínimo los siguientes elementos críticos:

a) Identificación y caracterización de los conceptos de ingresos y egresos más volátiles.

b) Identificación y caracterización de los recursos líquidos para cubrir las necesidades de liquidez, teniendo en cuenta factores de descuento cuando se considere necesario.

Es así como las entidades deberán identificar descalces en distintos horizontes de tiempo y realizar un análisis de la liquidez, que les permitan crear señales de alerta temprana y establecer límites encaminados a evitar la materialización de riesgos asociados como el Riesgo de Crédito, Mercado y Actuarial.

Independientemente que las entidades cuenten o no con modelos propios de proyección de flujos de caja, deberán reportar el Archivo Tipo FT018 que se encuentra en el literal F de la presente circular; información necesaria para la medición y el seguimiento de la posición de liquidez de cada entidad. Para las entidades que no cuentan con modelos propios, en el numeral 4.1.2.1 encontrarán la descripción y el desarrollo de una herramienta sencilla para proyectar los flujos de liquidez, la cual utiliza la información de las proyecciones de ingresos y egresos de efectivo que maneja la entidad y que encontrarán cargada en la página web de la Superintendencia a través de un archivo de Excel anexo “Modelo básico flujos de cajalPS.xlsx”. Esta herramienta ayuda de forma básica a identificar las necesidades de caja en el futuro y calcular el riesgo inherente de liquidez, considerando el total de activos líquidos con los que dispone la Entidad para cubrir los flujos negativos (en los casos que se presenten) identificados en el ejercicio de proyección para el periodo determinado.

5.1.2.1. HERRAMIENTA BÁSICA PARA CALCULAR LA POSICIÓN DE LIQUIDEZ.  

La evaluación del riesgo inherente de liquidez se efectuará a través de la aplicación de una “prueba de liquidez” para cada una de las entidades, el cual debe ser propuesto por la entidad en su diseño de gestión de este riesgo. Sin embargo, para las entidades que aún no cuenten con modelos de liquidez o proyecciones de flujos de caja, a continuación, se describe el funcionamiento de un modelo básico de liquidez que les puede servir como guía de apoyo, la cual no es de obligatoria adopción. La entidad deberá tener a disposición de la Superintendencia la herramienta que diseñó.

La herramienta ejemplo que propone la Superintendencia7(6), provee una estructura simple para procesar los resultados de la prueba de liquidez. La evaluación se basa en la proyección de flujos de ingresos y egresos sobre la base de la mejor información disponible que tiene la entidad, así como también de sus expectativas y estimaciones propias, es decir se estiman los posibles flujos de entrada y salida de caja derivados de ingresos y egresos en diferentes períodos de tiempo futuros (se recomienda separar los flujos que provienen de la operación de los que no, tanto para las entradas como para las salidas de efectivo) y la diferencia entre ellos determinará las necesidades de liquidez de la entidad que requieran ser cubiertas de alguna manera (se identifica si existe o no algún déficit de liquidez).

A estas necesidades de liquidez se le agregan los activos líquidos con los que cuenta la entidad8(7), para finalmente llegar a un monto de posición neta de liquidez y a un margen de liquidez que se calcula en relación con el monto total de egresos estimados.

Entre la categoría de activos líquidos se recomienda que la entidad identifique todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras que considere de fácil realización, es decir todos los activos que forman parte del portafolio de inversiones de la entidad y que no tienen ninguna restricción de movilidad ni que estén sujetos a algún tipo de gravamen, medida preventiva o de cualquier naturaleza, que impida su libre cesión, venta o transferencia.

En esta categoría se encuentra el disponible, las participaciones en Fondos de Inversión Colectiva abiertos sin pacto de permanencia, las acciones inscritas en la Bolsa de Valores de Colombia que sean elegibles para ser objeto de operaciones repo, y las inversiones negociables y disponibles para la venta en títulos de renta fija, por ejemplo.

Los resultados de esta proyección de flujos se deben presentar de manera diaria para por lo menos las dos primeras semanas y de manera semanal para por lo menos el primer mes, de forma tal que se identifican y orientan más adecuadamente las medidas correctivas a implementar, al tener un mayor seguimiento a los flujos de corto plazo.

Utilizando la herramienta básica, el proceso para evaluar el riesgo de liquidez será el siguiente. Tenga en cuenta que los campos señalados con color rojo son los que estarán disponibles para modificar, mientras que los demás campos están ya formulados y bloqueados:

En la hoja “Parámetros” la entidad puede seleccionar los períodos de tiempo a trabajar para la proyección. La versión actual de la hoja de cálculo es apta para cuatro selecciones posibles (1: días, 2: semanal, 3: mensual, 4: trimestral) y hasta tres fases de tiempo pueden ser construidos en una proyección. Por ejemplo, en la parametrización inicial de la herramienta, se encuentra seleccionado un período de tiempo diario durante los primeros quince (15) días, después semanalmente durante tres (3) semanas y posteriormente cada mes. El horizonte de tiempo mínimo requerido para las proyecciones es de 3 meses y el máximo de periodos acumulados permitido es de 30, acumulando días, semanas, meses y trimestres, por lo que, de acuerdo con la parametrización inicial de la herramienta, para el periodo de meses se puede seleccionar hasta doce (12) meses para no superar el tope máximo de periodos y no tener que crear nuevas columnas para los periodos adicionales con los que cuenta la herramienta. En la casilla de validación, se verifica de forma automática que se cumple con estos dos requisitos antes de avanzar en la proyección.

Los flujos de caja proyectados para cada ítem se introducen en la hoja “Proyección flujo” de acuerdo con los periodos que se señalaron previamente en la hoja anterior, y el modelo le va indicando los días acumulados en función de los periodos seleccionados. Los ingresos y egresos del flujo de caja pueden incluir desgloses más detallados que correspondan a las particularidades de cada negocio y dependerá de la entidad (por ejemplo, como ingresos operacionales se pueden tomar las primas o UPC para los aseguradores, o la venta de servicios para las IPS o proveedores).

Por su parte, las salidas de efectivo se presentan por separado para los gastos operativos y administrativos de los relativos a los que no tienen que ver con la operación. Las entradas de efectivo también se separan entre los ingresos por la operación y los ingresos por inversiones (los flujos derivados de vencimientos contractuales de productos de inversión también se incluyen en esta etapa).

Los ítems de desglose sugeridos son:

-- Ingresos: Corresponde a ingresos de caja por dos conceptos:

- Ingresos del negocio por la operación de la entidad: En prestadores corresponde a los ingresos por la venta o prestación de servicios de salud de sus diferentes unidades funcionales (consulta externa, urgencias, hospitalización, quirófanos, apoyos diagnósticos y terapéuticos, mercadeo –por ejemplo, óptica, medicamentos–, entre otros).

- Otros ingresos: incluyen todos los ingresos que no hacen parte de la operación como son las ganancias por inversiones, dividendos y participaciones, intereses, arrendamientos de muebles e inmuebles, y otros no relacionados con la operación del negocio.

-- Costos por atenciones o prestaciones de servicios de salud: En este rubro se deben incluir los pagos por la prestación de servicios de salud de sus diferentes unidades funcionales que tengan habilitadas.

-- Gastos: Corresponde a egresos de caja por dos conceptos:

- Gastos de Administración y de Operación: Corresponde a los egresos derivados del negocio, como sueldos y salarios, contribuciones, otros gastos de nómina elegibles y otros gastos administrativos y operacionales como gastos de mantenimiento, adecuaciones, reparaciones y de transporte.

- Otros Gastos no operativos: incluyen todos los egresos que no hacen directamente parte del negocio de la entidad como son los gastos financieros, el impuesto a las ganancias y otros no relacionados con la operación del negocio.

-- Impacto de operaciones de inversión: En estos rubros se incluyen tanto los pagos previstos de compras de activos de inversión o el ingreso de efectivo derivado de ventas de activos que se tengan planeadas.

-- Resultados: comprende tres rubros:

- Flujo de caja bruto: Es la diferencia (positiva o negativa entre todos los ingresos menos las erogaciones o salidas de efectivo) antes de inversiones o ventas.

- Resultado operativo neto antes de inversión o compras: Es la diferencia (positiva o negativa entre los ingresos operativos menos los costos y gastos administrativos y operacionales antes de inversiones o ventas.

- Resultado neto por periodo después de venta o compras de inversión: Corresponde al flujo de caja bruto menos gastos por disposición de activos más los ingresos por el mismo concepto.

- Resultado neto acumulado después de venta o compras de inversión: Es la acumulación de resultados netos por periodo después de venta o compras de inversión, es decir sumado al resultado neto final del periodo inmediatamente anterior.

Cabe aclarar que los ítems incluidos en la herramienta solo son ilustrativos, y que, a manera de orientación, se referencia en paréntesis el concepto al código correspondiente basado en los catálogos de información financiera con fines de supervisión9(8), aunque estas categorías no corresponden exactamente a las definiciones en las cuentas contables. Asimismo, cuentas que no acarrean cambios en liquidez, tales como ajustes contables y depreciaciones no deben ser incluidos en las proyecciones de liquidez.

Después de identificar los flujos de efectivo, se van acumulando automáticamente en cada periodo para identificar la cantidad total de activos líquidos que serían necesarios para garantizar los pagos proyectados en el caso que haya faltantes de efectivo (Ver hoja “Proyección acumulada”). Esta es una medición del riesgo inherente de liquidez para la entidad. Dado que los flujos de caja proyectados pueden ser bastante inciertos, en especial a largo plazo, se recomienda tener en cuenta haircuts o márgenes de descuento para proporcionar un nivel suficiente de seguridad y más ajustado a la realidad dependiendo el tipo de activo y su fácil realización. Estas proyecciones tanto de flujo por periodo como acumuladas están enlazadas de forma automática con la hoja “Reporte”, el cual permite a las entidades diligenciar en parte el formato con la información necesaria y de obligatorio envío mensual a la Superintendencia Nacional de Salud (SNS) mediante el Archivo Tipo FT018, para reportar la posición de liquidez con fines de supervisión, el cual se describe en literal F Reportes y fuentes de información de la presente circular.

En esta hoja “Reporte”, lo único que se debe registrar son los saldos a la fecha de los Activos líquidos realizables. La recomendación en este caso es identificar los activos que serían elegibles para mitigar riesgo de liquidez. Estos activos no son los incluidos en la hoja “Proyección”, que son los que se planean comprar o vender dentro del periodo de proyección. En este caso se identifican los activos que, en caso que sea necesario, son lo suficientemente líquidos para cubrir los faltantes de caja entre los que se debe reportar el disponible que esté consignado en bancos y/o inversiones en Fondos de Inversión Colectiva (FIC) en las siguientes modalidades: cuenta corriente, cuenta de ahorros (cuenta maestra de recaudo). FIC abiertos, del mercado monetario y cualquier otro tipo de encargo fiduciario o fondo de inversión, fideicomiso, fondos de inversión colectiva de inmobiliarios y fondos de capital privado que no tengan restricciones para el retiro inmediato de recursos (sin pacto de permanencia). Asimismo, se debe identificar todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras, públicas o privadas, que sean negociables o disponibles para la venta.

5.1.3. TRATAMIENTO Y CONTROL DEL RIESGO DE LIQUIDEZ.

El Subsistema de Administración de Riesgo de Liquidez debe permitir a las entidades tomar medidas adecuadas para controlar el riesgo de liquidez al que se ven expuestas en las actividades propias de la entidad.

Estos controles deberán guardar relación con el volumen y la complejidad de la operación desarrollada, deberán estar aprobados y ser de conocimiento verificable por la Junta Directiva de la entidad o quien haga sus veces.

Adicionalmente, debe permitir a las entidades realizar seguimiento continuo de su exposición al riesgo de liquidez mediante las alertas tempranas, los límites de exposición y los indicadores de liquidez que la entidad haya elaborado con el fin de monitorear y realizar los controles adecuadamente y a tiempo para evitar que el riesgo de liquidez pueda llegar a materializarse e impactar negativamente en los objetivos de la entidad. En caso de que se materialice el riesgo, la entidad deberá tomar las medidas correctivas para mitigar dicho impacto.

Dicho seguimiento debe permitir la elaboración de reportes gerenciales y de monitoreo del riesgo de liquidez que evalúe los resultados de las estrategias de la entidad e incluyan el resumen de las posiciones que contribuyen significativamente a dicho riesgo.

A su vez, se deben establecer límites para mantener un nivel mínimo de activos líquidos, que estén acordes con el volumen de operaciones y tamaño de la entidad y sus necesidades de liquidez bajo condiciones normales del negocio y márgenes adicionales de liquidez para enfrentar situaciones de estrés.

Asimismo, las entidades deberán incluir mediciones de escenarios extremos (stress testing) y de back testing, como medios para verificar la precisión de las proyecciones obtenidas a través de las pruebas de liquidez y hacerlas parte de estas para hacer ajustes posteriores.

Para mejorar la capacidad técnico-administrativa, el flujo de recursos, la calidad y disponibilidad de información necesaria para diseñar el flujo de efectivo se requiere como mínimo:

a) Sistema de información que permita la identificación y gestión del recaudo de los ingresos y egresos de la entidad acorde con los diferentes rubros.

b) Registro oportuno, de preferencia en tiempo real, de los costos de la entidad.

c) Implementación de procesos orientados a garantizar el pago oportuno de las obligaciones a los diferentes acreedores de la entidad.

d) Sistema que permita la radicación oportuna de las facturas, de preferencia en línea, por parte de los proveedores de cada entidad y la trazabilidad de las mismas

6. GESTIÓN DEL RIESGO DE MERCADO DE CAPITALES.

El Riesgo de Mercado de Capitales corresponde a la posibilidad de incurrir en pérdidas derivadas de un incremento no esperado, de sus obligaciones con acreedores tanto internos como externos, o la pérdida en el valor de sus activos, por causa de las variaciones en los parámetros del mercado tales como la tasa de interés, la tasa de cambio o cualquier otra variable de referencia que afecte los precios del mercado financiero y asimismo los estados financieros de la entidad.

La adopción del Subsistema de Administración de Riesgo de Mercado de Capitales debe cumplir como mínimo con lo siguiente:

6.1. CICLO GENERAL DE GESTIÓN DE RIESGOS DE MERCADO DE CAPITALES.

Para la gestión del riesgo de mercado de capitales inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el Subsistema de Administración de Riesgo de Mercado de Capitales que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

6.1.1. IDENTIFICACIÓN DEL RIESGO DE MERCADO DE CAPITALES.

El Subsistema debe permitir a las entidades definir e identificar la exposición al riesgo de mercado de capitales al que se encuentran expuestas de acuerdo, con las siguientes acciones como mínimo:

i) Definir los factores de riesgo que generan exposición a este riesgo. Como mínimo las entidades deben considerar las tasas de interés, el precio de las acciones, el precio de bienes inmuebles y la tasa de cambio.

ii) Identificar los activos expuestos a la volatilidad de estas variables, como mínimo:

a) Respecto a los activos expuestos a la tasa de interés (instrumentos de renta fija principalmente) considerar al menos los siguientes: bonos ordinarios, bonos subordinados, bonos opcionalmente convertibles en acciones, bonos obligatoriamente convertibles en acciones, Certificados de Depósito a Término (CDT), Títulos de Deuda Pública (TES), bonos de capitalización, y demás inversiones que estén expuestos a este factor de riesgo, ya sea que estén inscritos o no en la Bolsa de Valores de Colombia (BVC).

b) Al considerar los activos expuestos al precio de las acciones (instrumentos de renta variable) por lo menos tener en cuenta acciones ordinarias, acciones preferenciales y demás inversiones que estén expuestos a este factor de riesgo, que estén inscritos en la BVC.

c) Entre los activos no monetarios que estarían expuestos a la variabilidad en el precio de los bienes inmuebles, contemplar los terrenos, así como las construcciones y edificaciones de la entidad.

d) Por último, considerar los activos y pasivos denominados en moneda extranjera a efectos de abordar la volatilidad de la tasa de cambio.

6.1.2. EVALUACIÓN Y MEDICIÓN DEL RIESGO DE MERCADO DE CAPITALES.

El Subsistema de Administración del Riesgo de Mercado de Capitales debe permitir a la entidad medir y cuantificar las posibles pérdidas esperadas derivadas de la exposición a este riesgo en particular. Para esta etapa del ciclo, las entidades deben tener en cuenta lo siguiente:

a) Detallar la correspondiente valoración de los activos y pasivos (el precio o valor de mercado) expuestos a los factores de riesgos identificados por la entidad y mencionados en el numeral anterior como mínimo, aplicando de manera adecuada las mediciones, reconocimiento, presentación y revelación en aplicación del respectivo marco técnico normativo de información financiera y contable.

b) Escoger y aplicar una metodología para valorar la exposición de cada factor ante el riesgo de mercado de capitales, analizando de manera independiente las variaciones en la tasa de interés, tasa de cambio, precio de las acciones y precio de bienes inmuebles, como mínimo.

c) La entidad debe escoger la metodología que considere más apropiada para la medición, en función de la información disponible, el personal encargado de la estimación y las políticas establecidas por la entidad en la gestión de este riesgo. Para ello, se recomienda analizar la información histórica de las variables que generan exposición al riesgo de mercado de capitales para un periodo de observación efectivo de por lo menos un (1) año.

d) Calcular el capital expuesto que guarde correspondencia con los niveles de riesgo asumidos por cada entidad de acuerdo con las posibles pérdidas calculadas para cada uno de los factores de riesgo del mercado de capitales (tasa de interés, tasa de cambio, precio de las acciones y precio de bienes inmuebles, como mínimo).

e) Agregar los resultados del capital expuesto de los diferentes factores de riesgo del mercado de capitales aplicando la correlación entre los mismos. De no disponer de información propia que le permita cuantificar esta correlación, podrá utilizar los coeficientes de correlación propuestos por la literatura internacional, las disposiciones de Basilea, lo normado por la Superintendencia Financiera de Colombia, entre otras.

6.1.3. TRATAMIENTO Y CONTROL DEL RIESGO DE MERCADO DE CAPITALES.

El Subsistema de Administración del Riesgo de Mercado de Capitales debe permitir a la entidad tomar medidas adecuadas para controlar el riesgo de mercado de capitales al que se ve expuesta en el desarrollo de sus operaciones. Esta etapa debe cumplir con los siguientes requisitos mínimos:

a) Contar con un modelo de seguimiento de riesgo de mercado de capitales donde se identifiquen los criterios utilizados para calcular los niveles de exposición al riesgo, los factores de riesgo, la periodicidad de evaluación y las fuentes de información. Debe haber correspondencia entre el modelo y las características particulares de cada entidad, teniendo en cuenta el grado de complejidad y el volumen de las operaciones expuestas a este riesgo.

Dicho modelo debe estar en la capacidad de realizar mediciones que incorporen escenarios extremos (stress testing) en los diferentes factores de riesgo. Asimismo, cuando se presenten cambios estructurales en las variables que generan exposición a este riesgo, el modelo debe considerar estos movimientos en los factores de riesgo. Para tal efecto, las entidades pueden usar como referencia el que se contempla en el Sistema de Administración de Riesgo de Mercado (SARM) de la Superintendencia Financiera de Colombia.

b) Permitir el control de los niveles de exposición a los diferentes factores de riesgo de mercado de capitales y especificar los límites máximos de exposición permitidos por la entidad y los planes de contingencia para los casos en los que se superen dichos límites.

c) Realizar pruebas de desempeño (back testing) del modelo interno para determinar la consistencia, precisión y confiabilidad del requerimiento de capital estimado para cubrir las pérdidas inesperadas.

Estos controles, deben corresponder a la complejidad de la operación y las características particulares de cada entidad y deben estar aprobados por la Junta Directiva o quien haga sus veces.

7. GESTIÓN DEL RIESGO DE GRUPO.

El Riesgo de Grupo corresponde a la posibilidad de pérdida que surge como resultado de participaciones de capital o actividades u operaciones con entidades que forman parte del mismo grupo empresarial. Este se deriva de la exposición a fuentes de riesgo adicionales a las propias del negocio de la entidad, dentro de las que se encuentran, por ejemplo: i) riesgo de contagio financiero, ii) detrimentos patrimoniales por filtración de flujos o concentración de pasivos y/o; iii) posibles conflictos de intereses, que generen condiciones desfavorables en las transacciones de la entidad. La exposición a las fuentes de riesgo puede ser directa, mediante exposición financiera u operativa, o indirecta, mediante daño a la reputación.

7.1. CICLO GENERAL DE GESTIÓN DEL RIESGO DE GRUPO.

Para la gestión del riesgo de grupo inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el Subsistema de Administración de Riesgo de Grupo que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

7.1.1. IDENTIFICACIÓN DEL RIESGO DE GRUPO.

Para la identificación de este riesgo la entidad debe determinar si esta hace parte de un grupo empresarial e identificar todos los miembros de su grupo definido en los términos legales de los artículos 260 y 261 del código de comercio, la Ley 222 de 1995 y sus modificatorias. Asimismo, debe tener en cuenta lo establecido en el marco de las normas Internacionales de Información Financiera.

Adicionalmente, la entidad debe identificar las transacciones de índole financiera y administrativa que involucran de forma directa o indirecta con los miembros de su grupo empresarial o partes vinculadas, con el fin de poder evaluar el impacto y probabilidad de ocurrencia de estos.

7.1.2. EVALUACIÓN Y MEDICIÓN DEL RIESGO DE GRUPO.

La entidad debe establecer mecanismos para la medición y evaluación del riesgo de grupo teniendo en cuenta que, por el hecho de pertenecer a un grupo puede estar expuesta, entre otros, a:

- Riesgo de contagio, donde resultados negativos en el ámbito financiero, calidad del servicio, entre otros, de los miembros del grupo empresarial y/o de las partes vinculadas impliquen algún estrés al interior de la entidad. Para tal fin, se debe tomar en consideración el seguimiento a las tendencias financieras del grupo y de los estados financieros separados que apliquen.

- Concentración del riesgo, donde un mismo tipo de riesgo se puede materializar en la entidad y otro miembro del grupo y/o parte vinculada al mismo tiempo. Esto teniendo en cuenta el nivel de concentración de transacciones y la participación de unos miembros en los otros.

- Posibles conflictos de intereses, especialmente en los procedimientos de compras y pagos de la entidad.

Para la medición del impacto debe tenerse en cuenta los efectos sobre la fijación de precios, el flujo de Información, la calidad en la atención en salud, la gestión contractual, entre otros.

7.1.3. TRATAMIENTO Y CONTROL DEL RIESGO DE GRUPO.

Teniendo en cuenta la probabilidad e impacto de las diferentes transacciones de la entidad con los miembros del grupo empresarial al cual pertenece sobre las pérdidas de la entidad, se recomiendan las siguientes medidas:

a) Incluir políticas en la entidad asociadas a la gestión y auditorías de transacciones con los miembros del grupo empresarial al cual pertenece o sus partes vinculadas.

b) Implementar mecanismos de resolución de conflictos de interés activados en virtud de la gestión del riesgo de grupo y realizar seguimiento.

c) Velar por la inscripción del grupo empresarial, al cual pertenece, en el registro mercantil de acuerdo con lo establecido en el artículo 30 de la Ley 222 de 1995.

d) Participar de forma activa revelando al Máximo Órgano Social del grupo empresarial al cual pertenece, la identificación, evaluación e impactos estimados por el riesgo de grupo, a efectos de que tanto el Marco de Referencia de la regulación de las relaciones institucionales entre las empresas del grupo, como las mejores prácticas con relación a proveedores aborden, de manera informada y documentada las necesidades de mitigación del riesgo de grupo de la entidad.

Adicional a las políticas individuales, se debe verificar que la entidad controlante asegure la existencia de políticas internas del grupo empresarial y mecanismos de control y gestión de riesgos adecuados conforme la estructura, negocios y perfil riesgos del grupo empresarial.

8. OTROS RIESGOS.

Además de los riesgos de carácter obligatorio mencionados anteriormente y priorizados por la SNS, la entidad podrá gestionar los riesgos que considere pertinentes para el adecuado desarrollo de su operación. Se señala como buenas prácticas, los siguientes riesgos:

8.1. GESTIÓN DEL RIESGO DE FALLAS DE MERCADO.

El Riesgo de Fallas de Mercado corresponde a la posibilidad que la estructura del mercado de salud genere pérdidas en el bienestar y beneficios de la entidad. Ejemplos: mercado monopólico u oligopólico; prácticas de competencia desleal (como lo son la selección de riesgo, barreras de acceso a los servicios, entre otros).

Para la gestión del riesgo de fallas de mercado inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el Subsistema de Administración de Riesgo de Fallas de Mercado que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

8.1.1 IDENTIFICACIÓN DEL RIESGO DE FALLAS DE MERCADO.

Para la identificación de este riesgo, la entidad puede determinar las relaciones existentes, según los mercados de referencia de servicios o productos indicativos, tanto con sus proveedores de insumos (medicamentos, dispositivos médicos, u otros insumos) talento humano en salud, entre otros, y de su demanda (principalmente los aseguradores), con el fin de identificar las fallas de mercado presentes allí.

Para la selección de los servicios o productos indicativos se recomienda tener en consideración tecnologías comparables entre los diferentes mercados de referencia y, la participación de estos servicios o productos en la frecuencia de uso y gasto o costo total de la entidad. Asimismo, pueden utilizar como referencia las patologías de interés de la entidad.

Teniendo en cuenta los mercados de referencia de servicios o productos indicativos y la oferta disponible para estos, la entidad debe identificar la presencia de fallas de mercado, entre otras, tales como:

a) Fallos de la competencia, presencia de monopolios y oligopolios, así como problemas de comportamiento de los agentes que impliquen, por ejemplo, colusiones orientadas a generar acuerdos de precios (proveedores o aseguradores).

b) Asimetrías de información (información incompleta o imperfecta) que impidan hacer el seguimiento al cumplimiento contractual con los proveedores o impidan hacer gestión del riesgo individual de la población de su área de influencia.

c) Existencia de integraciones verticales y horizontales, y grupos empresariales.

d) Externalidades, generadas por personas o entidades que provocan impactos negativos afectando la eficiencia del mercado.

e) Mercados incompletos.

8.1.2 EVALUACIÓN Y MEDICIÓN DEL RIESGO DE FALLAS DE MERCADO.

La entidad debe establecer mecanismos para la medición y evaluación del riesgo de fallas de mercado, que le permita comparar resultados en mercados con fallas y sin fallas sobre puntos estratégicos donde se pueden observar los impactos en pérdidas de bienestar para la entidad. Algunos de estos puntos estratégicos son:

a) Los sobrecostos en la operación de la entidad derivados de las afectaciones en los precios transados con sus proveedores y con los aseguradores.

b) Las limitaciones en la capacidad de la entidad de hacer el seguimiento a los acuerdos contractuales y gestionar sus riesgos derivados de asimetrías de la información.

c) Las restricciones en la gestión de riesgos y sobrecostos asociados al déficit de la oferta de servicios de salud respecto de la demanda de estos.

d) La reducción en la calidad de los servicios suministrados a la población de su área de influencia que pudieran llegar a generar menores resultados en salud.

Para lo cual la entidad, entre otros, debe contar con una base de datos completa y oportuna de composición de la oferta y precios de los servicios, medicamentos y otros insumos que contrata con terceros, así como el análisis de la demanda. Asimismo, debe contar con información que le permita calcular indicadores de gestión que le faciliten la comparación de mercados y evaluación del efecto de las fallas de mercado.

8.1.3 TRATAMIENTO Y CONTROL DEL RIESGO DE FALLAS DE MERCADO.

Teniendo en cuenta la probabilidad e impacto de las diferentes fallas de mercado sobre las pérdidas de la entidad, se recomiendan las siguientes medidas:

a) Documentar procesos o procedimientos en la entidad para identificar actos o acuerdos contrarios a la libre competencia o que constituyan abuso de la posición dominante en el mercado. Asimismo, se deben adoptar políticas para informar sobre estas actividades a las autoridades competentes (por ejemplo, Superintendencia de Industria y Comercio -ver Decreto número 2153 de 1992).

b) Fortalecer la calidad y la oportunidad de la información de sus proveedores; así como velar por un flujo de información constante y de calidad sobre las prestaciones y desenlaces de salud de la población de su área de influencia.

c) Fortalecer los sistemas de auditorías sobre la contratación, facturación, entre otros.

8.2 GESTIÓN DEL RIESGO REPUTACIONAL.

El Riesgo Reputacional corresponde a la posibilidad de toda acción propia o de terceros, evento o situación que pueda afectar negativamente el buen nombre y prestigio de una entidad, tales como el impacto de la publicidad negativa sobre las prácticas comerciales, conducta o situación financiera de la entidad. Tal publicidad negativa, ya sea verdadera o no, puede disminuir la confianza pública en la entidad, dar lugar a litigios costosos, a una disminución de su base de usuarios, clientes, negocios o los ingresos, entre otros. Estos pueden ser desagregados, en situacional o previsto, de acuerdo con la capacidad de prevención-mitigación10(9):

- Riesgo reputacional situacional: Riesgo reputacional inmediato derivado de una acción imposible de anticipar.

- Riesgo reputacional previsto: Riesgo reputacional derivado de eventos a los cuales la organización puede anticiparse con una gestión adecuada de los riesgos en salud, financieros, y operativos, así como mediante estrategias de comunicación.

Para la gestión del riesgo reputacional inherente aplican todos los lineamientos generales presentados en esta circular. Sin embargo, en atención a la anterior definición y para plantear las políticas específicas de gestión de este riesgo, el Subsistema de Administración de Riesgo Reputacional que implementen las entidades, debe contener los siguientes lineamientos específicos como mínimo:

8.2.1 IDENTIFICACIÓN DEL RIESGO REPUTACIONAL.

Para la identificación de este riesgo, la entidad debe construir un inventario de eventos que tengan posibles efectos sobre la reputación de la entidad. Para ello, se debe realizar la selección de los procesos, servicios y acciones que sean considerados estratégicos en formar reputación que sean cuantificables y que permitan la comparabilidad frente al sector.

Para tal inventario, se pueden considerar los siguientes eventos: aquellos eventos que afectan las ventas o los ingresos observados o potenciales (derivados de menores contratos, por ejemplo), así como también costos asociados (por multas, compensaciones, demandas, entre otros), así como otros eventos que identifique la entidad en sus procesos. Para la identificación de estos procesos, la entidad puede apoyarse en instrumentos que permitan conocer y entender los principales factores que afectan la percepción de los actores vinculados a la entidad.

8.2.2 EVALUACIÓN Y MEDICIÓN DEL RIESGO REPUTACIONAL.

En esta etapa, la entidad debe establecer mecanismos para la medición y evaluación del riesgo reputacional en el sector, para lo cual se recomienda la adopción de herramientas que permitan valorar la posición de la entidad y comparar su evolución con respecto a variables relacionadas tales como desempeño visible, percepción de usuario, entre otros, con el fin de determinar la probabilidad y severidad de los eventos que afectan la reputación. Las mediciones pueden variar de acuerdo con la herramienta usada y pueden consistir en análisis descriptivos, ordenamientos, puntajes, entre otros.

Las fuentes de información para la medición del riesgo reputacional pueden ser los diferentes sistemas de recolección de Peticiones, Quejas, Reclamos y Denuncias (PQRD), las diversas encuestas sectoriales, las encuestas propias y la información de medios, entre otros.

Las siguientes son mediciones posibles, pero no exhaustivas, para la medición del riesgo reputacional:

a) Encuestas de satisfacción: Por medio de encuestas a usuarios, se puede medir la lealtad de estos con la entidad y la satisfacción frente a su experiencia con el servicio. Se puede referir a herramientas como, por ejemplo, Net Promotor Score (NPS), Customer Effort Score (CES), y Customer Advocacy.

b) Recolección de contenido en medios: Se utilizan reportes de redes sociales, prensa, noticias, televisión y radio, a través de la búsqueda de palabras clave y la detección de los sentimientos positivos y negativos hacia las entidades o marcas, la fuerza de la marca o la influencia de esta.

La apropiada medición del riesgo reputacional debe tener en cuenta que:

a) La reputación es solo parcialmente construida con base en experiencias directas con la empresa; buena reputación se construye por la intervención de terceras partes, tales como medios, expertos del sector, usuarios, entre otros.

b) Las entidades no tienen absoluto control de los mensajes recibidos por las partes mencionadas anteriormente.

c) Los usuarios normalmente no perciben la complejidad en el proceso de toma de decisiones de las entidades.

d) La entidad normalmente cuenta con baja credibilidad cuando se enfrenta a una crisis que afecta su reputación, especialmente con relación a terceras partes reconocidas públicamente.

8.2.3 TRATAMIENTO Y CONTROL DEL RIESGO REPUTACIONAL.

Teniendo en cuenta la naturaleza de este riesgo, se recomiendan las siguientes medidas:

a) Incorporar en el Código de Conducta y Buen Gobierno políticas encaminadas a la medición, evaluación y seguimiento continuo de la reputación de la entidad y la toma de acciones, con el fin de mejorar los procesos que tienen relación directa o indirecta con la reputación.

b) Tomar acciones y decisiones en los procesos que permitan mejorar la percepción sobre la entidad por parte de los actores relacionados, como usuarios o proveedores, de acuerdo con las brechas que existan entre el resultado de la medición de reputación y el desempeño de la entidad.

c) Implementación de un protocolo de manejo de comunicaciones públicas y que se encuentre incluido o articulado con el Plan de Comunicaciones Institucional.

d) Adopción de metodologías de valoración continua de su posición reputacional en el mercado, ya sea a través de rankings o de rastreo de medios o por encuestas propias.

Adicionalmente, debido a que los eventos de carácter reputacional están naturalmente asociados a la materialización de otros riesgos (salud, operación, financieros, entre otros), una adecuada gestión de estos debería mitigar también el riesgo reputacional asociado.

Asimismo, se debe tener en cuenta que las creencias, percepción y expectativas de las personas son cambiantes. La entidad debe implementar un sistema de alertas tempranas para identificar eventos de reputación negativa, que puede incluir acciones, tales como el monitoreo informal de medios, grupos de reacción rápida contra eventos de carácter reputacional, herramientas informáticas para rastrear potenciales tendencias en redes sociales y medios, entre otros. Asimismo, debe realizar un seguimiento permanente a los resultados y ordenamientos públicos.

F. REPORTES Y FUENTES DE INFORMACIÓN.

Tal como se mencionó en numerales anteriores, tanto el código de conducta y de buen Gobierno, como las políticas, el manual de procesos y procedimientos de la entidad, las bases de datos utilizadas para la modelación de los riesgos, y demás información, documentación y lineamientos que estén referenciados en esta circular, deben estar a disposición de la Superintendencia Nacional de Salud, la cual, en virtud de sus funciones de IVC podrá requerir dicha información o información adicional en cualquier momento.

La información requerida para el IVC frente a la medición y exposición de riesgos prioritarios se obtendrá de la información reportada en la Circular Única y otras fuentes de información pública reportada por cada entidad.

El primer reporte de información para las IPS de los grupos C2 y Dl de los archivos FT006, FT007, FT008, FT009 y FT0l0; y el primer reporte del archivo FT018 para las IPS de los grupos B, Cl, C2 y Dl deberá realizarse con corte a diciembre de 2021, es decir, a más tardar el 20 de febrero de 2022, de la siguiente manera:

ARCHIVO TIPO FT006

Bancos y Carteras Colectivas

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo B (C.E. 018 de 2015 y normas que la modifiquen, sustituyan o eliminen).

PERIODICIDAD: Corresponde a la periodicidad con la que reporta su Entidad Administradora de Planes de Beneficios (EAPB).

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo C1 (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Trimestral

FECHA DE CORTE: marzo 31, junio 30, septiembre 30 y diciembre 31

FECHA DEL REPORTE: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del año siguiente.

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo C2 y D1 (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Semestral

FECHA DE CORTE: junio 30 y diciembre 31

FECHA DEL REPORTE: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del año siguiente.

ARCHIVO TIPO FT007

Control de Inversiones Inscritas en el Mercado de Valores de Colombia

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo B (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Corresponde a la periodicidad con la que reporta su Entidad Administradora de Planes de Beneficios (EAPB).

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo C1 (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Trimestral

FECHA DE CORTE: marzo 31, junio 30, septiembre 30 y diciembre 31

FECHA DEL REPORTE: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del año siguiente.

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo C2 y Dl (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Semestral

FECHA DE CORTE: junio 30 y diciembre 31

FECHA DEL REPORTE: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del año siguiente

ARCHIVO TIPO FT00B

Inversiones - Otros Títulos

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo B (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Corresponde a la periodicidad con la que reporta su Entidad Administradora de Planes de Beneficios (EAPB).

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo Cl (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Trimestral

FECHA DE CORTE: marzo 31, junio 30, septiembre 30 y diciembre 31

FECHA DEL REPORTE: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del año siguiente.

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo C2 y D1 (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Semestral

FECHA DE CORTE: junio 30 y diciembre 31

FECHA DEL REPORTE: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del año siguiente.

ARCHIVO TIPO FT009

Activos y Pasivos en Moneda Extranjera

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo B (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Corresponde a la periodicidad con la que reporta su Entidad Administradora de Planes de Beneficios (EAPB).

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo Cl (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Trimestral

FECHA DE CORTE: marzo 31, junio 30, septiembre 30 y diciembre 31

FECHA DEL REPORTE: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del año siguiente.

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupo C2 y Dl (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Semestral

FECHA DE CORTE: junio 30 y diciembre 31

FECHA DEL REPORTE: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del año siguiente.

ARCHIVO TIPO FT010

Activos No Monetarios

- TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud que no se encuentren obligadas a aplicar el Régimen de Contabilidad Pública emitido por la Contaduría General de la Nación - Grupos B, Cl, C2 y Dl (C.E. 018 de 2015 y normas que la modifiquen o sustituyan).

PERIODICIDAD: Semestral

FECHA DE CORTE: junio 30 y diciembre 31

FECHA DEL REPORTE: julio 20, febrero 20 del año siguiente.

ARCHIVO TIPO FT018

Datos para el cálculo de la posición de Liquidez

TIPO DE ENTIDAD A LA QUE APLICA: Instituciones Prestadoras de Servicios de Salud de los grupos B, Cl, C2 y Dl públicos, privados y mixtos.

PERIODICIDAD: Mensual.

FECHA DE CORTE: Último día de cada mes.

FECHA DEL REPORTE: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del siguiente año.

Para el cargue periódico del Archivo Tipo FT018 se deben tener en cuenta las siguientes consideraciones:

- La información se deberá reportar en pesos colombianos, sin decimales. En este sentido, cuando exista información a reportar que se encuentre denominada en moneda extranjera (activos o flujos contractuales), deberá ser expresada en pesos para su reporte, utilizando la Tasa Representativa del Mercado (TRM), correspondiente al día de la fecha de corte.

- Los campos que no contengan valor o no apliquen, se deben reportar en cero.

- La información a reportar deberá ser consistente con las cifras registradas en los Archivos Tipo que hacen parte de la Circular Única.

- Los Activos Líquidos deben de ser reportados por su valor razonable o de mercado.

- Ningún valor debe ser ajustado por los factores de descuento que utilizaron en sus modelos internos (haircuts).

- Cabe recordar que dentro de los activos líquidos realizables se recomienda identificar además del disponible e inversiones en FIC abiertos sin pacto de permanencia, todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras, públicas o privadas, que considere de fácil realización, es decir todos los activos que forman parte del portafolio de inversiones de la entidad y que no tienen ninguna restricción de movilidad ni que estén sujetos a algún tipo de gravamen, medida preventiva o de cualquier naturaleza, que impida su libre cesión o transferencia.

G. SUPERVISIÓN SNS.

La Superintendencia Nacional de Salud (SNS) podrá solicitar información adicional con el fin de evaluar la idoneidad de las políticas de gestión de los riesgos. Por tanto las entidades deberán tener a disposición toda la información relacionada, incluyendo los documentos de políticas, procedimientos, manuales, instrumentos e indicadores de seguimiento, entre otros, que plasmen el diseño y ejecución como mínimo para cada uno los Subsistemas de Administración de Riesgos prioritarios.

Asimismo, la SNS podrá evaluar integralmente la aplicación del Sistema Integrado de Gestión de Riesgos y, en particular, en lo relacionado con los Subsistemas de Administración de los Riesgos prioritarios y los diferentes cálculos de las pérdidas probables o esperadas para cada uno de los riesgos, dependiendo del cronograma de implementación establecido.

H. PERÍODO DE TRANSICIÓN.

La implementación de los elementos descritos en el presente acto administrativo, y el desarrollo de los componentes y lineamientos generales y específicos para cada uno de los Subsistemas de Administración de Riesgos prioritarios cuenta con un plazo máximo para su implementación que será de la siguiente manera:

Durante el plazo previsto, las entidades deberán, para cada categoría de riesgo, realizar el primer ciclo de la gestión de riesgos: identificación, evaluación y medición, tratamiento y control, seguimiento y monitoreo y dar cumplimiento a los términos definidos en la presente circular respecto a los lineamientos generales y específicos.

Una vez culminados los plazos máximos estipulados, la Superintendencia Nacional de Salud realizará los requerimientos respectivos para verificar el cumplimiento de las etapas descritas anteriormente. Los soportes y evidencias de cada una de las etapas y su plan de trabajo deberán mantenerse en todo momento y quedar a disposición de la SNS, para ser revisados y validar que cumplen con lo establecido en la presente circular, para fines de supervisión.

Asimismo, es importante resaltar que, durante el periodo de transición, la Superintendencia Nacional de Salud podrá en cualquier momento realizar visitas o hacer los requerimientos que considere necesarios para validar el plan de implementación que haya diseñado la entidad, el cronograma y sus avances (objetivos, estrategias, actividades, responsables y plazos), las políticas propuestas y los elementos de cada Subsistema de Administración de Riesgo priorizado. Adicionalmente, es importante mencionar que el desarrollo e implementación de cada Subsistema de Riesgo no es excluyente, por lo que se debe avanzar en el desarrollo de todos los Subsistemas priorizados de forma paralela, con el fin de ir articulando todo el Sistema Integral de Gestión de Riesgos y no trabajarlos de forma separada.

Para las entidades que, a la fecha de expedición de la presente circular, ya cuentan con los Subsistemas de Administración de Riesgos prioritarios, los plazos mencionados anteriormente regirán para la respectiva actualización y homologación a que haya lugar para dar total cumplimiento con lo acá dispuesto, según los lineamientos mínimos mencionados en esta circular.

Por último, se advierte que los plazos establecidos en la presente circular no aplican para aquellas entidades habilitadas con posterioridad a la expedición de la misma y, por tanto, deberán contar como mínimo con la documentación relativa a los Subsistemas de Administración de Riesgos priorizados y su medición cualitativa y, desde el inicio de sus operaciones, deberán implementar la medición de los Subsistemas de manera cualitativa.

I. VIGENCIA.

La presente circular rige a partir de su publicación y promulgación en el Diario Oficial. Las entidades obligadas al cumplimiento de lo dispuesto en esta circular deben adaptar sus procesos a las condiciones aquí establecidas, sin perjuicio del cumplimiento de la normatividad vigente.

J. CONTROL AL CUMPLIMIENTO DE LA CIRCULAR.

De conformidad con lo establecido en la Ley 1438 de 2011 artículos 130 y 131, modificados por el artículo 2 de la Ley 1949 de 2019, la inobservancia e incumplimiento de las instrucciones impartidas en esta circular, dará lugar a la imposición de multas hasta de 8000 Salarios Mínimo Legales Mensuales Vigentes (SMLMV), a entidades que se encuentren dentro del ámbito de la vigilancia de esta Superintendencia, así como a título personal hasta 2000 SMLMV a los Representantes Legales de estas ya sean de carácter público o privado, directores o secretarios de salud o quienes hagan sus veces, jefes de presupuesto, los revisores fiscales, tesoreros y demás funcionarios responsables de la administración y manejo de los recursos del sector salud, o a la revocatoria del certificado de habilitación de las entidades vigiladas, si a ello hubiere lugar, sin perjuicio de las acciones que le correspondan a otras autoridades competentes y demás facultades sancionatorias que esta Superintendencia tiene bajo el ámbito normativo.

Publíquese y cúmplase.

Dada en Bogotá, D. C., a 15 de septiembre de 2021.

La Asesora Encargada de las Funciones del Superintendente Nacional de Salud,

Paola Andrea Castellanos Guerra.

<Para consultar el anexo Modelo básico flujos de cajaIPS de este documento dirigirse al siguiente link: https://www.avancejuridico.com/docpdf/ANEXO_C_SNS_0004_2021.xlsx>

NOTAS AL FINAL:

21. Definición basada en el Plan Decenal de Salud Pública del MSPS 2012-2021.

32. https://www.minsaud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/CA/LINEAMENTOS_ IMPLEMENTACION_POLITICA_SEGURIDAD_DEL_PACIENTE pdf

43. La prueba de estrés mide la incidencia, sobre un portafolio, de determinadas situaciones consideradas extremas en los mercados; mientras que el ejercicio de autocomprobación contrasta el grado de precisión del modelo interno de medición de riesgos utilizado por la entidad aseguradora. (Feria, J., 2005. El riesgo de mercado: su medición y control. Madrid: Delta Publicaciones).

54. Los recursos líquidos son entendidos como los activos que pueden convertirse fácilmente en dinero en efectivo, a valor de mercado y de una forma rápida (European Central Bank, 2009).

65. Para este caso, el riesgo sistémico se define como la conjunción de los riesgos financieros y los riesgos en la actividad real, que pueden llegar a generar inestabilidades en el sistema de salud, dadas las

et al., 2014; Giglio et al., 2016).interdependencias creadas entre las diferentes entidades del sector (Cabrera

76. Ver archivo de Excel cargado en la página web: “Modelo básico flujos de cajalPS.xlsx”.

87. Al adicionar los activos líquidos se determina en forma más precisa la posición neta de liquidez de la entidad y se hace consistente con metodologías de riesgos financieros que consideran el capital disponible como factor mitigador (por ejemplo, el indicador de solvencia del Capital Basado en Riesgo (CBR)).

98. Circular Externa 016 de 2016 - Superintendencia Nacional de Salud.

109. Existen variadas clasificaciones aportadas en la literatura y no hay consenso sobre clasificación única. Por ejemplo, IF-IFC (2011) distingue entre los riesgos culturales (legal y ético), gerenciales y externos, los cuales están basados en las causas que los producen

×