Subsistema de Administración del Riesgo de Corrupción, Opacidad y Fraude de Supersalud

El Subsistema de Administración del Riesgo de Corrupción, Opacidad y Fraude (“SICOF”), es parte del Sistema Integrado de Gestión de Riesgos aplicable a ciertas entidades del Sector Salud.  Mediante su regulación, la Superintendencia Nacional de Salud (“Supersalud”) pretende señalar los lineamientos administrativos generales para las entidades vigiladas por esta, en el diseño e implementación del SICOF, para la administración de los riesgos de corrupción, opacidad y fraude (los “Riesgos”). 

Así, con la expedición de la Circular Externa 005-5 de 2021, la Supersalud estableció las instrucciones, aplicabilidad, etapas, elementos y características relacionadas con el SICOF.

La Supersalud ha señalado que con la implementación del SICOF se pretende que las entidades concentren mayormente sus esfuerzos en la identificación de riesgos.  Es decir, en la implementación de estrategias y políticas sobre el inventario, relacionamiento y documentación de procesos y análisis del contexto interno y externo de la entidad (sobre contrapartes directas e indirectas) respecto de los Riesgos.

Lo anterior, sin perjuicio de la relevancia integral de las etapas restantes del SICOF, que son:

• Medición: a través de la cual se gestiona la detección de Riesgos para trabajar en el reporte de los mismos y evitar su materialización, a través de una cultura organizacional en los que dichos reportes sean eficaces, eficientes y ágiles, en el descubrimiento de posibles conductas irregulares asociadas a los Riesgos.  Todo esto, en consideración de la posibilidad de ocurrencia (del evento que genere el Riesgo) y su impacto en caso de materialización del mismo.
• Control: mediante el que se toman las medidas efectivas para controlar los Riesgos, mediante la designación de responsables de desarrollar estas actividades, la definición de una periodicidad mínima de ejecución, el establecimiento del procedimiento de control y las actuaciones a llevar a cabo.
• Monitoreo: que implica (i) el desarrollo de un proceso para la efectiva detección y corrección de deficiencias en el SICOF, con una periodicidad mínima de un (1) año; (ii) el establecimiento de indicadores descriptivos que evidencien los potenciales Riesgos; (iii) el aseguramiento del adecuado y oportuno funcionamiento de los controles; (iv) el aseguramiento de que los riesgos residuales se encuentren dentro de los niveles de aceptación establecidos por la entidad; (v) la generación de un reporte interno de forma periódica, con la gestión de los Riesgos, en el que se incluya el perfil de riesgo inherente y residual de la entidad.

Los elementos que deberá incluir el SICOF son los siguientes:

1. Políticas: documentos y/o principios para el establecimiento de lineamientos generales que las entidades deberán adoptar en relación con el SICOF. Estas deberán impulsar la cultura en materia de prevención de Riesgos, establecer deberes a los órganos para el control de los Riesgos, permitir la resolución de conflictos de interés en las diferentes etapas, así como la identificación de cambios en los controles y perfiles de riesgos. Deben ser diseñadas por la junta directiva o el representante legal principal de la entidad y aprobadas por el máximo órgano social. Estas deberán ser comunicadas a la totalidad de empleados, socios, directivos, administradores y contrapartes.
2. Procedimientos: con el fin lograr la implementación y funcionamiento del SICOF se deben establecer procedimientos para instrumentar las diferentes etapas del SICOF, identificar los cambios y la evolución de los controles y adoptar las medidas por incumplimiento del SICOF.
3. Manual de prevención de riesgos: es el documento que contiene las políticas y lineamientos que hacen parte del SICOF, en consideración a todas las etapas del mismo e incluyendo los procedimientos y metodologías para el registro de eventos, los parámetros concetos a implementar por parte de los órganos de control, las políticas de protección a quienes informen posibles casos de Riesgo, los roles y responsabilidades de quienes participan en la administración de los Riesgos.
4. Mecanismos: metodologías, modelos e indicadores cualitativos y cuantitativos de valor técnico para la detección de posibles actividades que impliquen Riesgos, así como el responsable de su análisis y resultados del mismo.  El oficial de cumplimiento o quien delegue la entidad deberá reportar estas actividades en caso de ser detectadas, ante la autoridad competente.
5. Instrumentos: Los instrumentos con los que deben contar los obligados a la implementación del SICOF, son: (i) las señales de alerta: hechos, situaciones, eventos e indicadores que para la entidad sean relevantes, a partir de las que se pueda inferir la posible existencia de un hecho o situación fuera de lo normal; (ii) segmentación de factores de Riesgo: las entidades vigiladas deben segmentar cada factor de riesgo, a partir de características particulares, como valor, periodicidad, e impacto. 
6. Estructura organizacional: las entidades obligadas deberán establecer y asignar funciones en relación con las etapas del SICOF, a los siguientes órganos: (i) junta directiva o quien haga sus veces; (ii) representante legal; (iii) oficial de cumplimiento o encargado por la entidad para la ejecución del SICOF; (iv) órganos de control (revisoría fiscal y auditoría interna).
7. Documentos del SICOF: dentro de los que se encuentran: (i) el manual de prevención de Riesgos; (ii) documentos y registros de la operación del SICOF; (iii) informes de junta directiva/representante legal/órganos de control; (iv) mapa de riesgos del SICOF; (v) metodología e instrumentos para la gestión de Riesgos; (vi) políticas sobre el manejo de información y comunicación; (vii) análisis del registro de eventos de Riesgo.
8. Divulgación de información y capacitaciones: las entidades deben diseñar un sistema efectivo, eficiente y oportuno de sus reportes, tanto internos como externos, para la divulgación de información de forma periódica y que esté permanentemente disponible, cuando así se requiera.  Para el SICOF, será deber del oficial de cumplimiento de reportar a las entidades competentes según su actividad.

Ámbito de aplicación

La Circular Externa 005-5 de 2021 y la obligación de implementar el SICOF, dependiendo de los criterios de clasificación, está dirigida, principalmente a las Entidades Promotoras de Salud (EPS) de los Regímenes Contributivo, Subsidiado, Especial y de Excepción; Empresas de Medicina Prepagada (EMP); Servicios de Ambulancia (SAP); Entidades Territoriales (ET);Servicio de Transporte Especial de Pacientes (SETP); e, Instituciones Prestadoras de Servicios de Salud (IPS) Públicas, Privadas y Mixtas; a los representantes legales, socios, accionistas, revisores fiscales, oficiales de cumplimiento, máximos órganos sociales de dichas entidades. 

Datos relevantes

• La no implementación del SICOF, no sólo podrá implicar la imposición de multas hasta de 8000 salarios mínimos legales mensuales vigentes, sino que puede constituir un delito. La omisión de control en el sector de la salud está establecido en el artículo 325-B del Código Penal y señala que el empleado o director de una entidad vigilada por la Supersalud, que con el fin de ocultar o encubrir un acto de corrupción, omita el cumplimiento de alguno o todos los mecanismos de control establecidos para la prevención y lucha contra el fraude, incurrirá, en la pena de prisión de treinta y ocho (38) a ciento veintiocho (128) meses y multa de ciento treinta y tres punto treinta y tres (133.33) a quince mil (15.000) salarios mínimos legales mensuales vigentes. Nótese que en este caso no basta cometer el delito a título de dolo, sino que debe demostrarse que el empleado o el director, tenía la intención de ocultar o encubrir un acto de corrupción.
• Para el adecuado cumplimiento en la implementación del SICOF, no es obligatorio contar con oficial de cumplimiento. Podrá ser otra persona encargada por la entidad para la ejecución del SICOF.
• El SICOF puede ser integrado con el SARLAFT, en la medida en que ambos hacen parte del Sistema Integrado de Gestión de Riesgos.
• El reporte de actos de Riesgo puede realizarse al oficial de cumplimiento o el delegado de la implementación del SICOF, para que este a su vez realice los reportes correspondientes a las autoridades competentes.