El pasado 19 de agosto venció el plazo para que las EPS, IPS y empresas de medicina y ambulancias prepagadas designaran a sus respectivos oficiales de cumplimiento. Ante la gran cantidad de trabajo que tendrán estos profesionales, Infolaft les da cinco recomendaciones básicas con el objetivo de facilitar su labor.
Durante el pasado mes de julio Infolaft lanzó una cartilla basada en la Circular Externa 9 de 2016 que contiene comentarios acerca de la mayoría de párrafos de la norma. Allí se analizan e interpretan apartes de la circular, se dan explicaciones sobre temas técnicos, se plantean preguntas al supervisor y se sugieren soluciones prácticas para dar cumplimiento a las obligaciones impuestas por la Superintendencia de Salud.
Ante la gran acogida que ha tenido esa publicación, en este artículo se extraen y se publican cinco de las recomendaciones dirigidas específicamente a los oficiales de cumplimiento, las cuales serán de gran ayuda para sacar adelante el Sarlaft en sus entidades.
Acerca de los reportes internos
El numeral 5.1.4 de la circular establece que ‘‘la entidad debe desarrollar reportes que permitan establecer la evolución del riesgo, así como la eficiencia de los controles implementados’’ para prevenir el LA/FT.
En este sentido, Infolaft aconseja que los denominados reportes sobre la evolución del riesgo sean catalogados como reportes internos y sean asignados al oficial de cumplimiento, ya que esta es la persona con más conocimiento de las temáticas de prevención del lavado de activos y la financiación del terrorismo.
En este punto es importante mencionar que la norma define los reportes internos como aquellos ‘‘que se manejan al interior de la entidad y están dirigidos al oficial de cumplimiento y pueden ser efectuados por cualquier empleado o miembro de la organización que tenga conocimiento de una posible operación intentada, inusual o sospechosa’’.
Aquí, una observación: la definición de reporte interno que contiene la circular no debería ser tan cerrada y debería incluir, además, los reportes que el oficial de cumplimiento entrega a sus superiores.
Ojo con las PEP
Según el numeral 5.2.2.2.2.2., los procesos para el conocimiento de los clientes y/o usuarios catalogados como personas expuestas públicamente (PEP) ‘‘deben ser más estrictos y, en lo posible, la negociación debe ser aprobada por una instancia superior al interior de la organización’’.
La cartilla recomienda a los oficiales de cumplimiento promover que en sus entidades sea obligatoria la aprobación de la ‘‘instancia superior al interior de la organización’’ de todos los negocios u operaciones realizadas con PEP. Esta es una práctica muy frecuente en otros sectores obligados a prevenir el LA/FT y que bien puede ser adoptada en el sector salud.
Además, sería importante que la categorización de PEP no solo se haga con clientes y/o usuarios como lo sugiere la norma, sino con todas las contrapartes con las que tiene vínculo la entidad.
Ir más allá con los empleados
De acuerdo con lo expuesto en el numeral 5.2.2.2.2.4, ‘‘la entidad debe verificar los antecedentes de sus trabajadores, empleados o proveedores antes de su vinculación y realizar por lo menos una actualización anual de sus datos’’. Según esto, el conocimiento de tales empleados o proveedores se reduciría simplemente a la consulta y actualización de sus antecedentes y no sería necesario otro tipo de procedimientos.
No obstante, la cartilla recomienda que la entidad evalúe si alguna de estas contrapartes (empleado o proveedor) es de alto riesgo y con base en eso determine qué información se les debe solicitar. Es decir, la sugerencia es no quedarse en la mera revisión de los antecedentes.
Por otra parte, el oficial de cumplimiento debe tener claro que este fragmento de la norma impone a la entidad la obligación de verificar los antecedentes y, si dicha tarea no estaba asignada a algún funcionario o área en particular, es muy importante que tal asignación quede claramente estipulada en la política y en el manual.
No a los espacios en blanco en los informes
El numeral 6.2.2. de la Circular Externa 9 de 2016 sostiene que los informes del oficial de cumplimiento deben contener ‘‘las medidas adoptadas para corregir las falencias encontradas al efectuar el monitoreo de los controles’’.
Según la cartilla de Infolaft, si llegara a presentarse el caso de que no se hallaron falencias al momento de efectuar el monitoreo de los controles y por ende no hubo necesidad de adoptar medidas, el oficial de cumplimiento debería informar por escrito de esto y no dejar este espacio en blanco en su informe.
Nunca diga que no hubo operaciones sospechosas
El numeral 8.2.2. de la Circular Externa 9 de 2016 señala que ‘‘si durante el mes inmediatamente anterior la entidad no realizó ningún ROS a la Uiaf, dentro de los 10 primeros días calendario del mes siguiente deberá reportar a la Uiaf que durante el mes anterior no efectuaron reporte de operaciones sospechosas’’.
Sobre este punto la cartilla aclara que es muy importante que el oficial de cumplimiento reporte exactamente lo que pide la Uiaf en este numeral, es decir, ‘‘que durante el mes anterior no efectuaron reportes de operaciones sospechosas’’.
Sería un error reportar, por ejemplo, que no hubo operaciones sospechosas, ya que puede que sí hubieran ocurrido pero no fueron detectadas por el sistema. En esta clase de comunicaciones el correcto uso del lenguaje es muy importante para evitar inconvenientes en el futuro.