Puede realizar búsquedas exactas dentro de este documento, ingrese el texto a buscar en la siguiente casilla:
CIRCULAR EXTERNA 2022151000000050-5 DE 2022
(julio 25)
<Fuente: Página de Internet entidad emisora>
SUPERINTENDENCIA NACIONAL DE SALUD
| PARA: | ENTIDADES PERTENECIENTES AL RÉGIMEN ESPECIAL Y DE EXCEPCIÓN (REE) |
| DE: | SUPERINTENDENCIA NACIONAL DE SALUD |
| ASUNTO: | INSTRUCCIONES GENERALES RELATIVAS AL SISTEMA DE ADMINISTRACIÓN DE RIESGOS Y A SUS SUBSISTEMAS |
El artículo 48 de la Constitución Política establece que la seguridad social es un servicio público de carácter obligatorio que se presta bajo la dirección, coordinación y control del Estado. Así mismo, el articulo 49 ídem prevé que corresponde al Estado organizar, dirigir y reglamentar la prestación de servicios de salud, así como ejercer su vigilancia y control, funciones que son reiteradas en el artículo 365 al referirse a la regulación, control y vigilancia de los servicios públicos.
Por otra parte, el artículo 36 de la Ley 1122 de 2007 creó el Sistema de inspección, Vigilancia y Control del Sistema General de Seguridad Social en Salud (SGSSS) como un conjunto de normas, agentes, y procesos articulados entre sí, el cual está en cabeza de la Superintendencia Nacional de Salud, así mismo, el articulo 39 ídem señaló que corresponde a ésta, fijar las políticas de Inspección, Vigilancia y Control del SGSSS, por tanto, las autoridades administrativas del sector salud en sus diferentes niveles deben conformar un engranaje en sus funciones y competencias a efectos de dar cumplimiento a los principios de la función administrativa consagrados en el artículo 209 de la Constitución Política, de conformidad con los lineamientos dados por la Superintendencia.
El artículo 121 de la Ley 1438 de 2011, estableció los sujetos de inspección, vigilancia y control integral por parte de la Superintendencia Nacional de Salud, supervisión que se realiza dentro del marco normativo del servicio público de salud que rige su respectiva actividad, en cuanto a las obligaciones que les asiste en: i) el aseguramiento (EPS, entidades adaptadas, regímenes especial y de excepción), ii) la prestación de servicios de salud (IPS públicas, privadas o mixtas), así como, iii) en el ejercicio de las funciones que desarrollan en el ámbito del sector salud las Direcciones Territoriales de Salud, tales como el aseguramiento, la inspección, vigilancia y control, la prestación de servicios de salud y demás relacionadas con el sector salud, cuyo cumplimiento verifica esta entidad.
Respecto de los regímenes exceptuados en salud, el artículo 279 de la Ley 100 de 1993 dispone:
“Excepciones. El Sistema Integral de Seguridad Social contenido en la presente Ley no se aplica a los miembros de las Fuerzas Militares y de la Policía Nacional, ni al personal regido por el Decreto-Ley 1214 de 1990 y, con excepción de aquel que se vincule a partir de la vigencia de la presente Ley, ni a los miembros no remunerados de las Corporaciones Públicas.
Así mismo, se exceptúa a los afiliados al Fondo Nacional de Prestaciones Sociales del Magisterio, creado por la Ley 91 de 1989, cuyas prestaciones a cargo serán compatibles con pensiones o cualquier clase de remuneración. Este Fondo será responsable de la expedición y pago de bonos pensionales en favor de educadores que se retiren del servicio, de conformidad con la reglamentación que para el efecto se expida.
Se exceptúan también, los trabajadores de las empresas que, al empezar a regir la presente Ley, estén en concordato preventivo y obligatorio en el cual se hayan pactado sistemas o procedimientos especiales de protección de las pensiones, y mientras dure el respectivo concordato.
Igualmente, el presente régimen de Seguridad Social, no se aplica a los servidores públicos de la Empresa Colombiana de Petróleos, ni a los pensionados de esta. Quienes con posterioridad a la vigencia de la presente Ley, ingresen a la Empresa Colombiana de Petróleos, Ecopetrol, por vencimiento del término de contratos de concesión o de asociación, podrán beneficiarse del régimen de Seguridad Social de la misma, mediante la celebración de un acuerdo individual o colectivo, en términos de costos, forma de pago y tiempo de servicio, que conduzca a la equivalencia entre el sistema que los ampara en la fecha de su ingreso y el existente en Ecopetrol” (Negrila fuera de texto original)
En esa misma línea, el artículo 57 de la Ley 30 de 1992, modificado por la Ley 647 de 2001 extiende los efectos del artículo 279 de la Ley 100 de 1993 a entidades prestadoras de salud de las Universidades:
“El carácter especial del régimen de las universidades estatales u oficiales, comprenderá la organización y elección de directivas, del personal docente y administrativo, el sistema de las universidades estatales u oficiales, el régimen financiero, el régimen de contratación y control fiscal y su propia seguridad social en salud, de acuerdo con la presente ley”. (Negrila fuera de texto original)
El artículo 12 de la Ley 1474 de 2011 - Estatuto Anticorrupción, creó el Sistema Preventivo de Prácticas Riesgosas Financieras y de Atención en Salud del SGSSS y ordenó a la Superintendencia Nacional de Salud, entre otras cosas, definir para sus sujetos vigilados, el conjunto de medidas preventivas para su control, así como los indicadores de alerta temprana y ejercer sus funciones de Inspección y Vigilancia sobre la materia.
Mediante la Ley 1751 de 2015 se reguló el derecho fundamental a la salud, precisando su naturaleza y señalando que este “Comprende el acceso a los servicios de salud de manera oportuna, eficaz y con calidad para la preservación, el mejoramiento y la promoción de la salud. El Estado adoptará políticas para asegurar la igualdad de trato y oportunidades en el acceso a las actividades de promoción, prevención, diagnóstico, tratamiento, rehabilitación y paliación para todas las personas”. En su artículo 4, se definió al Sistema de Salud como "...el conjunto aticulado y armónico de principios y normas; políticas públicas; instituciones; competencias y procedimientos; facultades, obligaciones, derechos y deberes; financiamiento, controles; información y evaluación, que el Estado disponga para la garantía y materialización del derecho fundamental de la salud”.
Por medio de la Resolución 518 de 2015, el Ministerio de Salud y Protección Social (en adelante MSPS) dictó disposiciones relacionadas con la Gestión de la Salud Pública, generó las directrices para la caracterización y ejecución de los procesos para la Gestión de la Salud Pública en el contexto de la Política de Atención Integral en Salud - PAIS y describió los productos esperados de la implementación de los procesos de Gestión de la Salud Pública en las Entidades Administradoras de Planes de Beneficios (EAPB).
A su vez, mediante Resolución 1536 de 2015, el Ministerio de Salud y Protección Social determinó como responsabilidad de las EAPB realizar la caracterización de su población con el fin que las entidades territoriales puedan cumplir con el proceso de planeación integral para la salud. Para tal fin, el precitado ministerio creó en el año 2016 la Guía Conceptual y Metodológica para la caracterización de la población afiliada a las EAPB, entendida esta como un insumo indispensable para la identificación de grupos de riesgo y la gestión individual del riesgo.
Bajo la norma técnica colombiana NTC-ISO 31000 expedida por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), la cual es una adopción idéntica por traducción de la norma internacional ISO 31000 de 2015, se establecieron los principios y directrices genéricos para la gestión del riesgo en una organización sin importar su naturaleza, industria y sector donde se encuentran, como una adopción voluntaria.
Asimismo, y en virtud de las funciones asignadas a la Superintendencia Nacional de Salud, se expidió la Resolución 4559 de 2018[1] que en su artículo 2 instó a las entidades vigiladas, a la implementación de un Sistema de Administración de Riesgos y en su artículo 3 establece que los lineamientos mínimos que debe tener dicho sistema para cada tipo de vigilado serán establecidos a través del mecanismo que la Superintendencia Nacional de Salud fije.
Es así como la Supervisión Basada en Riesgos - SBR es la estrategia que está implementando la Superintendencia Nacional de Salud para complementar la Supervisión Basada en el Cumplimiento y, de esta manera, garantizar la protección de los derechos en salud de los usuarios y el cumplimiento de las normas que regulan el sistema, al utilizar ambas formas de supervisión de forma combinada y transversal. De esta manera, con la SBR, en el marco de un modelo de supervisión preventivo y activo, se busca fortalecer las actividades en salud del Régimen Especial y de Excepción - REE a través de una mayor estabilidad de las diferentes instituciones que lo componen, apoyada en una cultura de autocontrol y un adecuado Sistema Integrado de Administración y Gestión de Riesgos.
En concordancia con lo anterior, el parágrafo del artículo 14 de la Ley 1966 de 2019, indicó que “La implementación del Sistema de Administración de Riesgos se realizará de manera obligatoria para todas las entidades vigiladas por la Superintendencia Nacional de Salud, sin perjuicio de que su implementación sea gradual por tipo de vigilado y/o estructura o tamaño de las operaciones que desarrolla”.
Por su parte, el numeral 2 del artículo 7 del Decreto 1080 de 2021, estableció como función de la Superintendencia Nacional de Salud la de: “Emitir instrucciones a los sujetos vigilados sobre el cumplimiento de las disposiciones normativas que regulan su actividad, fijar los criterios técnicos y jurídicos que faciliten el cumplimiento de tales normas y señalar los procedimientos para su cabal aplicación”. Asimismo, la Ley 1474 de 2011, en sus artículos 11 y 12, preceptuó que corresponde a esta Superintendencia establecer un conjunto de medidas preventivas para evitar fraudes y combatir la corrupción en el sector de la seguridad social en salud, además de la creación de un sistema preventivo de prácticas riesgosas financieras y de atención en salud del Sistema General de Seguridad Social en Salud, con el fin de ejercer sus funciones de inspección, vigilancia y control a los sujetos vigilados.
En consecuencia, dando aplicación a las disposiciones antes citadas, se imparten las siguientes instrucciones a los sujetos vigilados pertenecientes al régimen especial y de excepción en sus actividades de salud, en lo relacionado con el Sistema de Administración de Riesgos y a sus subsistemas de administración de riesgos.
El objetivo de la presente circular es establecer las disposiciones generales (criterios, parámetros y lineamientos mínimos) que las entidades pertenecientes al REE deben incorporar en el diseño del Sistema de Administración de Riesgos y sus Subsistemas asociados en sus actividades en salud. En la evaluación de los riesgos deben identificar los principales determinantes de los eventos de alarma, los impactos inherentes y la correspondencia y efectividad de los controles implementados, y de esta forma, cumplir con los objetivos misionales, al identificar alertas tempranas y adoptar medidas correctivas y preventivas.
Cabe resaltar que los lineamientos contenidos en la presente circular son los mínimos para la operación de actividades en salud que debe tener el Sistema de Administración de Riesgos y sus Subsistemas y son complementarios al marco normativo vigente y, a las metodologías o instrumentos adoptados por cada entidad para administrar los riesgos que a la fecha esté gestionando.
La presente Circular Externa aplica a los sujetos vigilados de los Regímenes Especial y de Excepción en sus actividades de salud.
Para efectos de la correcta aplicación de lo previsto aquí, se recurrirá a la formulación de las definiciones que se presentan a continuación para el entendimiento e interpretación de los lineamientos generales del Sistema de Administración de Riesgos y los Subsistemas objeto de esta circular
- Ciclo general de gestión de riesgo: Son las etapas que incorpora un Subsistema de Administración de Riesgos para cada uno de los tipos o categorías de riesgo identificadas.
- Controles: Medidas prudenciales y correctivas que ayudan a contrarrestar la exposición a los diferentes riesgos. Entre estas se encuentra la implementación de políticas, procesos, prácticas u otras estrategias de gestión.
- Cultura de autocontrol: Concepto integral que agrupa todo lo relacionado con el ambiente de control, gestión de riesgos, sistemas de control interno, información, comunicación y monitoreo. Permite a la entidad contar con una estructura, unas políticas y unos procedimientos ejercidos por toda la organización los cuales pueden proveer una seguridad razonable en relación con el logro de los objetivos de la entidad.
- Evento: Situación que se presenta en un lugar específico y durante un intervalo de tiempo determinado.
- Evento de pérdida: Son las situaciones que generan pérdidas a las entidades al exponerse a cualquier riesgo.
- Evento externo: Son eventos ocasionados por terceros, o, asociados a la naturaleza que, debido a su causa y origen, se escapan del control de la entidad.
- Evento reputacional: Ocurrencia o acción que tiene el potencial de afectar la reputación de la entidad. Estas acciones pueden ser fundadas o infundadas.
- Factores de riesgo: Fuentes generadoras de riesgos tanto internas como externas a la entidad y que pueden o no llegar a materializarse en pérdidas. Cada riesgo identificado se encuentra originado por diferentes factores de riesgo que pueden estar entrelazados unos con otros.
- Falla de mercado: Una situación en la que un mercado no asigna eficientemente los recursos por sí solo.
- Gestión de Riesgo: Es un enfoque estructurado y estratégico liderado por la Alta Gerencia acorde con las políticas de cada entidad, en donde se busca implementar un conjunto de acciones y actividades coordinadas para disminuir la probabilidad de ocurrencia o mitigar el impacto de un evento de riesgo potencial (incertidumbre) que pueda afectar los resultados y, por ende, el logro de los objetivos de cada entidad en sus actividades en salud, así como el cumplimiento de los objetivos en el REE o sus obligaciones. Dentro de este conjunto de acciones se incluye, entre otros, el ciclo general de gestión de riesgo.
- Grupos de Riesgo: Conjunto de personas con condiciones comunes de exposición y vulnerabilidad a ciertos eventos que comparten la historia natural de la enfermedad, factores de riesgo relacionados, desenlaces clínicos y formas o estrategias eficientes de entrega de servicios.
- Influencia Significativa: El poder de intervenir en las decisiones de política financiera y de operación en la participación, sin llegar a tener el control ni el control conjunto de dichas decisiones.
- Pérdidas: Cuantificación económica que representa la materialización de un evento de Riesgo Operacional, donde se incluyen los gastos derivados de su atención.
- Perfil de riesgo: Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.
- Pruebas de desempeño o de autocomprobación (Back Testíng): Se desarrolla para evaluar y calibrar la consistencia y confiabilidad de la medición de los indicadores de riesgos estimados por parte del modelo que se está utilizando, mediante la comparación de los resultados que el modelo arrojó, frente a los resultados observados. De esta manera se pueden identificar y ajustar los supuestos, parámetros y demás elementos que hacen parte del modelo de cálculo.
- Pruebas de tensión (Stress Testíng): Herramienta de diagnóstico donde bajo varios escenarios de estrés, se simulan diferentes choques extremos a los factores de riesgo para evaluar su sensibilidad e impacto, además de la capacidad de respuesta que las entidades tienen para enfrentarlos. Busca identificar fortalezas y vulnerabilidades de los Subsistemas de Administración de Riesgos de manera individual para cada riesgo, y así cada entidad pueda comprender mejor sus propios perfiles de riesgo y validar los límites establecidos.
- Reputación: Percepción agregada que sobre una organización tienen los agentes relacionados con ella, sean estos clientes, accionistas, grupos de interés, partes vinculadas o público en general, la cual tiene el potencial de afectar la confianza en la entidad, influenciando su volumen de negocios, y su situación general. Esta puede variar por factores tales como el desempeño, escándalos, menciones en prensa, entre otros.
- Riesgo: Posibilidad que ocurra un evento que pueda afectar negativamente el cumplimiento de la operación de una Entidad y que atenten contra los objetivos del REE en sus actividades en salud.
- Riesgo inherente: Cualquier nivel de riesgo propio de la actividad, cuya evaluación se efectúa sin considerar el efecto de los mecanismos de mitigación y de control.
- Riesgo neto o residual: Es el nivel de riesgo que resulta luego de la aplicación de las medidas de control o mitigación existentes a los riesgos inherentes.
- Riesgo neto global: Resultado de la combinación de cada uno de los riesgos residuales de la entidad, teniendo en cuenta la importancia relativa que a cada categoría de riesgo le haya asignado la Entidad.
- Riesgo significativo: Riesgo identificado y valorado de incorreción material que, a juicio del auditor, requiere una consideración especial en la auditoria.
- Seguridad del Paciente: Es el conjunto de elementos estructurales, procesos, instrumentos y metodologías basadas en evidencias científicamente probadas que propenden por minimizar el riesgo de sufrir un evento adverso en el proceso de atención de salud o de mitigar sus consecuencias.
- Supervisión Basada en Riesgos - SBR: Proceso sistemático, dinámico y continuo mediante el cual se busca identificar los factores de riesgo que presentan mayores amenazas para la Entidad, además de evaluar la gestión que ésta realiza para evitar y mitigar que los riesgos se materialicen.
- Temporalidad: El análisis de las mediciones e indicadores de supervisión se realizan en cortes transversales y de seguimiento a la tendencia con periodicidad anual, trimestral o mensual principalmente, de acuerdo con el proceso metodológico definido.
E. LINEAMIENTOS GENERALES, ESPECÍFICOS Y COMPONENTES.
LINEAMIENTOS GENERALES DEL SISTEMA DE ADMINISTRACION DE RIESGOS.
Las entidades pertenecientes al Régimen Especial y de Excepción, deberán diseñar y adoptar un Sistema de Administración de Riesgos asociado al aseguramiento y a la prestación de los servicios de salud, de acuerdo con su tamaño, estructura, actividad económica y demás características particulares. Para el efecto, deberán establecer y preservar estándares que permitan contar con personal idóneo para la administración de los riesgos a los que estén expuestas que surjan de sus actividades en salud; y la gestión dependerá de la discrecionalidad y organización que su administrador les quiera dar para su tratamiento.
Tanto el Sistema de Administración de Riesgos como los Subsistemas que lo componen, deben contar al menos con los siguientes elementos mínimos: 1) Ciclo General de Gestión de Riesgos, 2) Políticas de gestión de riesgos, 3) Procesos y Procedimientos, 4) Documentación, 5) Infraestructura Tecnológica y 6) Divulgación de la Información y Capacitaciones, y de manera voluntaria 7) Área o grupo de gestión de riesgos.
Si las entidades pertenecientes al REE ya cuentan con políticas, procedimientos y subsistemas de prevención y control adoptados para gestionar riesgos, podrá examinar en sus actividades en salud a la luz de los parámetros y lineamientos mínimos dispuestos en la presente circular y realizar las homologaciones o modificaciones a que haya lugar.
Como mínimo se debe tener en cuenta los elementos generales que a continuación se desarrollan:
1. CICLO GENERAL DE GESTIÓN DE RIESGOS
Para cada una de las categorías de riesgo priorizadas en el marco del rol de la entidad en el aseguramiento del Régimen Especial y de Excepción, se deben incluir las 4 etapas en los Subsistemas de Administración de Riesgos, las cuales se describen a continuación. Es deber de las entidades pertenecientes al REE revisar periódicamente las etapas que comprenden el ciclo y los elementos que hacen parte de cada Subsistema en sus actividades en salud, con el fin de realizar los ajustes que consideren necesarios para su efectivo, eficiente y oportuno funcionamiento, de tal forma que se tenga en cuenta en todo momento las condiciones particulares de estas.
1.1. Identificación de riesgos: Consiste en reconocer, explorar exhaustivamente y documentar todos los riesgos internos y externos que podrían afectar tanto los objetivos de la entidad como la salud de los usuarios a su cargo, en los casos que aplica, identificando sus causas, efectos potenciales y la posible interrelación entre los diferentes tipos, para lo cual se recomienda la utilización de normas técnicas nacionales o internacionales.
Para esta identificación, podrán seleccionar las metodologías y técnicas que consideren más adecuadas, dentro de las que se encuentran estudios científicos, encuestas, entrevistas estructuradas con expertos, talleres, lluvia de ideas, técnicas de escenarios, entre otros.
De igual manera, para la identificación de los riesgos puede utilizar la información que genera la institución de acuerdo con el modelo de salud y el modelo de negocio, así como todos los datos y documentos disponibles en el Ministerio de Salud y Protección Social, la Superintendencia Nacional de Salud, la Dirección de Impuestos y Aduanas Nacionales, y cualquier otra entidad competente. Es fundamental que las entidades de los REE velen por la disponibilidad y confiabilidad de la información acerca de la exposición al riesgo y de la gestión de estos; para tal fin es importante que cuente con un sistema de que permita cumplir este objetivo.
1.2. Evaluación y medición de riesgos: Es la valoración de los efectos asociados a los riesgos que han sido identificados, considerando la frecuencia y la severidad de su ocurrencia. También se deberá considerar el análisis de los riesgos inherentes y residuales, y su participación en el riesgo neto global. Se entenderá por valoración del riesgo, la medida cualitativa o cuantitativa, de su probabilidad de ocurrencia y su posible impacto.
Según el avance el plan de implementación del modelo de Supervisión Basada en Riesgos, las entidades del REE deberán contar con evaluaciones cuantitativas relacionadas con la probabilidad de ocurrencia de los riesgos identificados y su impacto, en la medida de lo posible. Independientemente de contar con guías cuantitativas o cualitativas, estos deben estar sustentados técnicamente y documentados.
Si las entidades del REE no cuentan con una medición de riesgo inherente inicial en el momento de la expedición de la presente circular deberá implementarlo. Por otro lado, aquellas que cuentan con una medición inicial, se asegurarán de desarrollar la estimación del riesgo neto después de aplicados los controles y las medidas de mitigación correspondientes.
1.3. Selección de estrategias para el tratamiento y control de los riesgos: Una vez identificados y evaluados los riesgos, a excepción de los de salud, deben compararse con los límites (tolerancia) aprobados por la instancia definida por la entidad y su política, siempre dentro del marco normativo como referencia. Todo riesgo que exceda los límites o desviaciones aceptadas debe ser objeto de actividades de mitigación y control a fin de regresar al nivel de riesgo tolerado, conforme la estrategia adoptada. En cuanto a los riesgos en salud, estos límites hacen referencia a los máximos permitidos por la normatividad vigente, estándares internacionales y sin perjuicio de lo anterior, de acuerdo con lo que establezca la entidad en sus políticas, siempre que estén en pro del beneficio de la población asegurada.
Por otro lado, los riesgos que no exceden el límite deben ser vigilados; las cifras que sean muy inferiores a lo que se podría considerar una frecuencia estadística usual para un evento en particular, deben ser objeto de investigación de la entidad para demostrar que no existe subregistro o ausencia de notificación por parte del personal al que corresponde tal responsabilidad.
1.4. Seguimiento y monitoreo: Una vez establecidos los posibles mecanismos o un conjunto de estos, para la mitigación y control de los riesgos que se han identificado como relevantes para la entidad y después de realizar un análisis de causa y efecto para determinar los puntos más críticos a intervenir con mayor prelación, esta deberá poner en práctica tales mecanismos y reflejarlos en un plan de implementación de las acciones planteadas en la fase anterior, guardando correspondencia con las características particulares de cada entidad, teniendo en cuenta el grado de complejidad, el tamaño y el volumen de sus operaciones.
Con el fin de realizar el respectivo seguimiento y monitoreo permanente y continuo de la evolución de los perfiles de riesgo y la exposición frente a posibles pérdidas a causa de la materialización de cada uno de ellos, la entidad debe desarrollar un sistema de alertas tempranas que facilite la rápida detección, corrección y ajustes de las deficiencias en cada uno de sus Subsistemas de Administración de Riesgo para evitar su materialización, con una periodicidad acorde con los eventos y los factores identificados como potenciales, así como con la frecuencia y naturaleza de los mismos. El diseño de dicho sistema de alertas debe incluir la definición de los límites máximos de exposición o niveles aceptables de riesgo previamente establecidos por la entidad teniendo en cuenta los análisis realizados, la normatividad vigente y los criterios definidos en la política de cada entidad.
De igual forma, debe realizar evaluaciones sistemáticas y periódicas de los resultados e impactos esperados y un plan de seguimiento que incluya indicadores de gestión que permitan identificar sí los riesgos netos se encuentran en los niveles de aceptación establecidos por la institución.
2. POLÍTICAS DE GESTIÓN DE RIESGOS
Las entidades del REE deben adoptar, en el marco de su Sistema de Administración de Riesgos relacionados con el aseguramiento en salud, las directrices o lineamentos generales que permitan el desarrollo de su ciclo de gestión de forma eficiente y oportuna, como mínimo. Cada una de las etapas y elementos para cada uno de los Subsistemas de Administración de Riesgos deben contar con políticas claras y aplicables y ser adoptadas y/o aprobadas por el máximo órgano según su gobierno corporativo, el cual establecerá los mecanismos y controles necesarios para asegurar el cumplimiento de dichos mandatos y de las normas que le son aplicables al proceso de gestión de cada riesgo inherente.
Las Políticas de Gestión de Riesgos serán revisadas periódicamente y como mínimo una vez al año, con el fin de actualizarlas a las condiciones particulares de las entidades del REE. Tanto la aprobación como las modificaciones que se efectúen a dichas políticas, deben tener constancia en acta del órgano correspondiente.
Las políticas que se adopten para la administración de cada uno de los Subsistemas de Administración de Riesgos deben contemplar como mínimo, los siguientes aspectos en su diseño y operación:
a. Establecer los elementos necesarios para garantizar la alineación de la planeación estratégica institucional (objetivos y compromisos) frente al contexto normativo en materia de la gestión de los diversos riesgos.
b. Instaurar una cultura de autocontrol, autorregulación, autogestión y mejoramiento continuo en todos los niveles de la organización, inspirada y liderada por el máximo órgano de gobierno, que oriente el desarrollo de competencias en la gestión de riesgos.
c. Comunicar a todos los niveles de la organización involucrados en el aseguramiento sobre la política de gestión de riesgos establecida.
d. Fijar lineamientos de ética y conducta que orienten el actuar de los funcionarios para el oportuno y efectivo funcionamiento de cada uno de los Subsistemas de Administración de Riesgos relacionados con el aseguramiento en salud.
e. Generar la documentación interna y externa necesaria para la adecuada gestión de los riesgos. Entre ellos se encuentran los manuales, instructivos, volantes, intranet, páginas web, entre otros.
f. Especificar de manera clara y precisa los criterios para cada una de las etapas del ciclo de gestión de riesgo en cada riesgo identificado.
g. Determinar la directriz institucional en materia de la exposición como mínimo frente a los riesgos prioritarios, reflejando su nivel máximo de tolerancia, acorde con las metodologías para definir las escalas de calificación establecidas por la entidad.
h. Disponer los criterios para la definición de límites frente a posibles pérdidas y a niveles máximos de exposición frente a los distintos tipos de riesgos.
i. Instaurar los procedimientos a seguir en caso de que se presenten comportamientos aislados, desviaciones, se sobrepasen los límites o se presente el incumplimiento a alguna de las políticas previamente establecidas por cada entidad bajo un análisis autónomo, al enfrentar cambios fuertes e inesperados en las condiciones de la entidad, por ejemplo.
j. Establecer las acciones necesarias y oportunas en respuesta a los cambios en el perfil de riesgo de la Entidad.
k. Establecer la periodicidad de revisión de la Política, con la que se ajuste en todo momento a las condiciones particulares de la entidad y a las del sector en general.
l. Efectuar un monitoreo periódico al cumplimiento de los lineamientos incluidos en los Subsistemas de Administración de Riesgos y como mínimo al comportamiento de cada uno de los riesgos prioritarios.
m. Fijar políticas de Sistemas de Información y manejo de bases de datos. Las entidades pertenecientes al REE deberá incluir en sus políticas, los criterios de seguridad y calidad de la información de todas y cada una de sus operaciones, así como de la información remitida a la Superintendencia Nacional de Salud y demás Organismos Gubernamentales, en los diferentes formatos, además de las respuestas a los requerimientos exigidos. Se debe tener en cuenta lo ordenado por la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias especialmente lo relacionado con la obligación de adoptar medidas de responsabilidad demostrada, garantizando el debido tratamiento de datos personales.
n. Instaurar políticas para garantizar que se cuente con información adecuada para la cuantificación de los diferentes riesgos. En caso de no contar con la información suficiente, se debe establecer un plan de acción, en donde se identifiquen los plazos y las actividades que se realizarán para contar con dicha información.
o. Garantizar que cuando se presenten cambios en las metodologías de cuantificación de los diferentes riesgos, se evalúe el impacto y se documenten dichos cambios de una manera adecuada.
p. Definir los criterios y los tipos de reportes gerenciales y de monitoreo tanto internos como externos, así como la forma y frecuencia de la presentación de los resultados de la administración de los diferentes riesgos.
q. Precisar los parámetros generales de la infraestructura tecnológica y el equipo técnico necesario para el adecuado funcionamiento de la gestión de riesgos.
3. PROCESOS Y PROCEDIMIENTOS PARA LA GESTIÓN DE RIESGOS
Las entidades del REE, deben establecer o incluir los procesos y procedimientos que instrumenten la Política de Gestión de Riesgos y que sean aplicables para la adecuada implementación y funcionamiento de cada uno de sus Subsistemas de Administración de Riesgos que surjan de sus actividades en salud.
Los procesos y procedimientos que se adopten deben cumplir, como mínimo, con los siguientes requisitos:
a. Instrumentar las diferentes etapas del ciclo general de riesgos y los elementos específicos de los diferentes Subsistemas de Administración de Riesgos.
b. Garantizar el efectivo, eficiente y oportuno funcionamiento de cada uno de los Subsistemas de Administración de Riesgos, de modo que se puedan adoptar oportunamente los correctivos necesarios.
c. Contemplar las acciones a seguir en caso de incumplimiento de los límites fijados y los casos en los cuales se deban solicitar autorizaciones especiales.
d. Generar informes internos y externos, que permitan la toma de decisiones de manera oportuna.
Adicionalmente, deben quedar claramente definidas las funciones, responsabilidades y atribuciones específicas para cada uno de los funcionarios de los diferentes órganos de dirección, administración y control involucrados en la administración de los diversos riesgos.
Dentro de la implementación del Sistema de Administración de Riesgos y de sus Subsistemas, se deben cumplir como mínimo las siguientes funciones a cargo del Representante Legal:
a) Apoyar y garantizar el efectivo cumplimiento de las políticas definidas.
b) Adelantar un seguimiento permanente del cumplimiento del área de gestión de riesgos o grupo que haga sus veces y mantener informada a quien corresponda.
c) Conocer y discutir los procedimientos a seguir en caso de sobrepasar o exceder los límites de exposición frente a los riesgos, así como los planes de contingencia a adoptar respecto de cada escenario extremo.
d) Hacer seguimiento a los informes periódicos que se presenten sobre el grado de exposición de riesgos asumidos por la entidad y los controles realizados. Lo anterior podrá plasmarse en un informe al máximo órgano corporativo y hacer énfasis cuando se presenten situaciones anormales como mínimo en algún riesgo prioritario o existan graves incumplimientos a las políticas, procesos y procedimientos en sus actividades en salud.
e) Informar de manera oportuna mediante oficio a la Superintendencia Nacional de Salud, acerca de cualquier situación excepcional que se presente o prevea que pueda presentarse en el ámbito de la administración de riesgos prioritarios en sus actividades en salud.
4. DOCUMENTACIÓN PARA LA GESTIÓN DE RIESGOS
Las etapas del ciclo general de riesgos y los elementos específicos de los diferentes Subsistemas de Administración de Riesgos, que surjan de sus actividades en salud, deben quedar plasmados en documentos y registros, garantizando la integridad, oportunidad, trazabilidad, confiabilidad, partes colaboradores o funcionarios de los diferentes órganos de dirección, administración y control involucrados y disponibilidad de la información allí contenida.
Estos documentos deben estar disponibles en medio físico o magnético, y contener como mínimo lo siguiente:
a. Las políticas para la administración de cada uno de los riesgos.
b. Los procesos, procedimientos y metodologías para la identificación, medición, control y monitoreo de los riesgos a gestionar. A su vez, el establecimiento de los niveles de aceptación y límites de exposición.
c. Los roles y responsabilidades de quienes participan en la gestión de los diversos riesgos identificados, especialmente los que surgen de las actividades en salud.
d. Las medidas necesarias para asegurar el cumplimiento de las políticas y objetivos de cada uno de los Subsistemas de Administración de Riesgos.
e. Las estrategias de capacitación y divulgación de cada uno de los Subsistemas de Administración de Riesgos.
f. Análisis sobre el cumplimiento de los límites y del nivel de exposición de los diferentes riesgos, particularmente los prioritarios
Tanto las políticas, como el manual de procesos y procedimientos de la entidad, las bases de datos utilizados para la gestión de los diversos riesgos y con especial énfasis en los prioritarios, y demás información, documentación y lineamientos que estén referenciados en esta circular, deben estar a disposición de la Superintendencia Nacional de Salud para ser revisados y validar que cumplen con lo establecido en la misma. Es decir que, se deberá mantener en todo momento, y a disposición de la Superintendencia Nacional de Salud la documentación que trata la presente Circular y sus documentos relacionados.
5. INFRAESTRUCTURA TECNOLÓGICA
Las entidades del REE, dispondrán y utilizarán infraestructura tecnológica y los sistemas necesarios para garantizar el funcionamiento efectivo, eficiente y oportuno del Sistema de Administración de Riesgos, los cuales generarán informes confiables sobre dicha labor y contar con un soporte tecnológico acorde con sus actividades, operaciones, riesgos asociados y tamaño. Cuando no se cuente con dicha infraestructura, debe establecer un plan de acción para cubrir esta falencia en el menor tiempo posible.
Adicional a lo anterior, deben contar con procesos que permitan realizar un control adecuado del cumplimiento de las políticas y límites establecidos, además de contar con un plan de conservación, custodia y seguridad de la información tanto documental como electrónica. De igual forma, deben establecer requisitos de seguridad, de forma tal, que se permita la consulta a información sensible, únicamente por parte de funcionarios autorizados.
Los parámetros utilizados en las aplicaciones informáticas para cada uno de los Subsistemas de Administración de Riesgos deben estar dentro de supuestos fundamentados y ser revisados periódicamente. Asimismo, centralizar la información relacionada con la gestión de riesgos, para lo cual deben contar con un sistema adecuado de consolidación eficaz de los distintos riesgos para la toma de decisiones efectivas, el cual tendrá evaluación por lo menos una vez al año.
6. DIVULGACIÓN DE LA INFORMACIÓN Y CAPACITACIONES
Las entidades del REE deben garantizar que el personal vinculado tenga conocimiento de los procedimientos administrativos y operativos asociados a cada uno de los Subsistemas de Administración de Riesgos. Para ello se debe diseñar, programar y coordinar planes de divulgación y capacitación como mínimo una vez al año, sobre las políticas, procedimientos, herramientas y controles adoptados por parte de la entidad para dar cumplimiento al Sistema.
La divulgación y capacitación sobre cada uno de los Subsistemas de Administración de Riesgos deben hacer parte de los procesos de inducción de los nuevos empleados, trabajadores o colaboradores relacionados con las actividades en salud, dejando constancia de las capacitaciones realizadas por medio de la presentación de una prueba de los temas expuestos a los participantes, para incentivar la adherencia y el entendimiento, y, en donde se indique como mínimo la fecha, los temas tratados y el nombre de los asistentes.
6.1. Divulgación de la Información Interna
Asimismo, debe elaborar informes de gestión al cierre de cada ejercicio contable sobre el cumplimiento de las políticas, los límites establecidos y su grado de cumplimiento, el nivel de exposición a los diferentes riesgos a los que se ve expuesto el REE que incluya los prioritarios y la cuantificación de los efectos de la posible materialización de estos sobre la salud de la población afiliada, las utilidades, el patrimonio y el perfil de riesgo de la entidad. Se deben elaborar reportes semestrales como mínimo, que permitan establecer el perfil de riesgo o realizarlos con menor periodicidad si así lo requieren.
Estos informes deben dirigirse por lo menos al Director de Salud, Representante Legal máximo órgano según su gobierno corporativo, los cuales quedarán plasmados en acta donde se socialicen los informes. Asimismo, deben ser presentados de manera comprensible y mostrar las exposiciones por tipo de riesgo y de la manera más desagregada, detallada y clara posible.
6.2. Divulgación de la Información Externa
Las entidades del REE establecerán dentro de su reglamentación interna una política general de revelación de información y transparencia, atendiendo los parámetros establecidos en la Ley 1712 de 2014 y la Ley 2195 de 2022 y sus normas reglamentarias, que permitan a los usuarios, a los entes de control y el público en general, conocer y acceder con facilidad a la información referente como mínimo a la red de servicios de salud, resultados en salud de la entidad y las actividades de gestión del riesgo adelantadas como mínimo de los subsistemas de administración de riesgos descritos en esta circular.
Para tal fin, es necesario contar con información tanto cualitativa como cuantitativa. Por un lado, la información cualitativa es indispensable para elaborar y proveer una mejor compresión de los estados financieros, por tanto, es necesario que informen sobre sus objetivos de negocio, estrategias y filosofía en la gestión de riesgos y los controles implementados en cada uno para mitigarlos. Además, la información revelada debe considerar los cambios potenciales en los niveles de riesgo, cambios materiales en las estrategias y límites de exposición para cada uno de los Subsistemas de Administración de Riesgos.
Por otro lado, deben revelar al público en general, la información cuantitativa sobre la gestión integral de los riesgos relacionado con sus actividades en salud (como mínimo de los subsistemas de riesgos definidos en esta circular).
7. ÁREA O GRUPO DE GESTIÓN DE RIESGOS
De manera voluntaria y sin perjuicio del cumplimiento de otras disposiciones, las entidades del REE podrán contar con un grupo interdisciplinario de personas a cargo de la gestión de los diferentes riesgos en sus actividades en salud a los cuales se encuentran expuestas (incluyendo los riesgos prioritarios) a través de la identificación, medición, control y monitoreo de cada uno de ellos de tal manera que se realice la evaluación continua del ciclo para detectar las desviaciones y generar insumos para la formulación de los planes de mejoramiento, mediante el trabajo conjunto con todas las áreas.
El área o grupo de gestión de riesgos tendría las siguientes funciones:
a. Diseñar las metodologías de segmentación, identificación, medición, control y monitoreo de los riesgos a los que se expone, para mitigar su impacto.
b. Establecer estrategias para prevenir y mitigar los riesgos.
c. Velar por el efectivo, eficiente y oportuno funcionamiento del ciclo general de gestión de riesgos
d. Proponer el manual de procesos y procedimientos, a través de los cuales se llevarán a la práctica las políticas aprobadas para la implementación de los diferentes Subsistemas de Administración de Riesgos. Asimismo, velar por su actualización, socialización, divulgación y apropiación en todos los niveles de la organización y su operatividad.
e. Realizar seguimiento o monitoreo a la eficiencia y la eficacia de las políticas, procedimientos y controles establecidos.
f. Proponer y evaluar los límites de exposición para cada uno de los riesgos identificados, y presentar las observaciones o recomendaciones que considere pertinentes.
g. Velar por el adecuado archivo de los soportes documentales y demás información relativa al Sistema de Administración de Riesgos de la entidad.
h. Participar en el diseño y desarrollo de los programas de capacitación sobre los riesgos prioritarios y velar por su cumplimiento.
i. Analizar los informes presentados por Auditoría Interna o quien haga sus veces, y los que presente el Revisor Fiscal en los casos que aplique, para que sirvan como insumo para la formulación de planes de acción y de mejoramiento, para la adopción de las medidas que se requieran frente a las deficiencias informadas, respecto a temas relacionados con el Sistema de Administración de Riesgos.
j. Monitorear e informar a la Gerencia/Dirección o quien haga sus veces el avance en los planes de acción y de mejoramiento, para la adopción de las medidas que se requieran frente a las deficiencias informadas, respecto a temas relacionados con el Sistema de Administración de Riesgos.
LINEAMIENTOS ESPECÍFICOS DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO.
A continuación, se presentan los lineamientos específicos, adicional a lo establecido en el capítulo de lineamientos generales, que deben tener como mínimo el Subsistema de Administración de Riesgos en sus actividades en salud para cada uno de los riesgos prioritarios, sin perjuicio de los demás riesgos identificados por la entidad.
1. GESTIÓN DEL RIESGO EN SALUD
Se entiende por Riesgo en Salud como la probabilidad de ocurrencia de un evento no deseado, evitable y negativo para la salud del individuo, que puede ser también el empeoramiento de una condición previa o la necesidad de requerir más consumo de bienes y servicios que hubiera podido evitarse. En este caso, el evento se entiende como la ocurrencia de la enfermedad, su evolución desfavorable o su complicación; y las causas, son los diferentes factores asociados a los eventos.[2]
De esta manera, el presente numeral establece las recomendaciones respecto a la identificación, evaluación y tratamiento propias del subsistema de gestión de riesgo en salud. Asimismo, lo dispuesto en el presente numeral se entiende sin perjuicio de los requisitos establecidos que debe acreditar el REE por normas superiores de las autoridades competentes que regulen la materia.
1.1. Identificación del Riesgo en Salud
La identificación de riesgos en salud puede realizarse mediante la metodología de preferencia de las entidades del REE, y debe comprender, por lo menos, los siguientes análisis:
a. Caracterización de la población afiliada según el curso de vida y los grupos de riesgo (Resolución 1536 de 2015 o la norma que la modifique o sustituya), que incluya la identificación del territorio y la estructura demográfica, análisis de la morbilidad y mortalidad, y de los determinantes sociales de la salud, así como los demás que consideren necesarios o se requieran teniendo en cuenta los planes territoriales de salud tanto en el ámbito individual como colectivo, el enfoque diferencial armonizado en el contexto de los planes territoriales de salud, en el ámbito individual y colectivo, en lo que corresponda.
b. Caracterización de los factores de riesgo de la población afiliada sana
c. Caracterización del riesgo propio derivado de la gestión preventiva, a partir de las acciones sobre los factores generales y específicos identificados en la caracterización de la población.
d. Caracterización del riesgo propio derivado de la gestión de recuperación de la salud, a partir del acceso y oportunidad a los servicios de salud, así como el acceso específico por patologías o condiciones de interés identificadas.
e. Caracterización de la red de prestadores de servicios contratada o dispuesta para la atención de sus afiliados, teniendo en cuenta la caracterización de la población y las categorías de riesgo identificadas; debe incluir un análisis en términos de habilitación, suficiencia, contratación, resultados en salud y la gestión del riesgo clínico transferido por la red (seguridad del paciente).
Adicionalmente, deberán realizar valoraciones complementarias que permitan establecer factores de riesgo y causalidades específicas a su población. La identificación del riesgo en salud se debe realizar utilizando la información disponible, incluyendo la del Sistema Integral de Información de la Protección Social - SISPRO, del Ministerio de Salud y Protección Social - MSPS, de las entidades adscritas a este como el Instituto Nacional de Salud - INS, Instituto Nacional de Vigilancia de Medicamentos y Alimentos - INVIMA, Superintendencia Nacional de Salud - SNS, entre otros, Cuenta de Alto Costo - CAC, la información propia y las demás pertinentes para el análisis.
1.2. Medición y Evaluación del Riesgo en Salud
Posterior a la identificación de los riesgos en salud se debe realizar la medición y evaluación de estos. Para lo cual, se requiere establecer una metodología que considere como mínimo los siguientes aspectos:
a. Establecer la probabilidad de ocurrencia de los riesgos identificados, la severidad y el impacto sobre la salud de la población.
b. Incluir una matriz de priorización de riesgos en salud acorde con los criterios de valoración definidos y armonizados con los lineamientos, pautas e instrumentos en salud expedidos por las autoridades competentes en caso de que aplique, y con las prioridades territoriales y poblacionales.
c. Definir los límites de tolerancia para cada riesgo o su factor identificado de forma tal que se establezcan metas de control o mitigación para el sistema de gestión; pero priorizando los recursos sobre aquellos de mayor importancia según el ejercicio anterior
d. Priorizar aquellos riesgos de mayor importancia, sin que eso implique ignorar, dejar de vigilar y no tratar de evitar, otros que se consideran de menor importancia y que pueden estar presentes en la entidad.
Se recomienda que la metodología implementada por las entidades del REE contemple el desarrollo del análisis de brechas[3] para los indicadores de salud, teniendo como referencia las metas territoriales o nacionales. Para los casos en los que no existan referentes normativos o metas públicas nacionales, se podrán adoptar referencias internacionales o realizar análisis de distribución, u otras técnicas establecidas y alineadas con el direccionamiento estratégico, para así determinar sus metas institucionales.
Asimismo, la metodología deberá incluir mecanismos de procesamiento, manejo y análisis de información, como herramientas específicas para estimar el riesgo inherente y el riesgo neto una vez aplicados los tratamientos o controles.
1.3. Tratamiento y Control del Riesgo en Salud
Los métodos de tratamiento y control del riesgo en salud deben estar soportados en una metodología que le permita de forma sistemática y holística, establecer acciones coordinadas, integrales y costo efectivas encaminadas al tratamiento y control de los riesgos en salud de sus afiliados, incluyendo estrategias para el mantenimiento de la población sana, de acuerdo con el territorio. Se consideran como elementos mínimos para la selección e implementación de tratamiento y controles los siguientes:
a. La adopción de los diferentes lineamientos definidos por el Ministerio de Salud y la Protección Social para garantizar la atención integral en salud de los afiliados de acuerdo con el curso de vida y los grupos de riesgos en salud establecidos para tal fin.
b. El desarrollo de planes o programas individuales y colectivos de salud orientados a intervenir los riesgos identificados con el fin de abordarlos y mitigarlos. Incluyendo el diseño de estrategias para fomentar el autocuidado de los afiliados, teniendo en cuenta el entorno y la cultura.
c. El diseño de planes o programas de intervención sobre enfermedades crónicas priorizadas por la entidad, con el propósito de disminuir su prevalencia y mitigar los efectos negativos por la evolución y las complicaciones derivadas.
d. El desarrollo de un plan individual para el tratamiento del riesgo del afiliado priorizado, orientado a intervenir factores de riesgo y/o gestionar su enfermedad de acuerdo con su complejidad clínica.
e. La definición de los resultados e impactos esperados por las diferentes intervenciones de los planes o programas individuales y colectivos establecidos por la entidad según los riesgos priorizados.
f. La planificación, organización y gestión de la red de servicios requerida para atender las necesidades de la población afiliada.
g. La utilización de modelos de contratación y mecanismos de pago orientados a la obtención de resultados en salud y pago por desempeño e incentivos, los cuales deben ir articulados con el Modelo de Atención en Salud planteado por la entidad.
h. La articulación de los diferentes procesos y procedimientos institucionales con el fin de facilitar el acceso a los servicios de salud a los afiliados.
i. La implementación de actividades para la gestión de la oferta y la demanda de servicios de salud de la población afiliada.
j. La implementación de jornadas de capacitación a su red de prestadores de servicios de salud, haciendo énfasis en el procedimiento de evaluación y adherencia de guías y protocolos de práctica clínica, normas técnicas, lineamientos y orientaciones.
Por otro lado, adicional a la gestión del riesgo en salud, se deben tener en cuenta los demás riesgos que tienen un efecto sobre los resultados en salud como: el actuarial, de crédito, de liquidez, de mercado, operacional, entre otros. A continuación, se presentan los lineamientos específicos que deben tener como mínimo los riesgos asociados a los resultados en salud.
2. GESTIÓN DEL RIESGO ACTUARIAL
Se entiende por riesgo actuarial la posibilidad de incurrir en pérdidas económicas debido a la ocurrencia de diferentes sucesos futuros e inciertos. Estos hechos, deben ser identificados por la entidad de acuerdo con diferentes factores internos y externos que pueden afectar los ingresos o los costos tales como los territorios donde opera, características de la población, temas regulatorios, entre otros. A continuación, se enumeran algunos de estos riesgos que no son los únicos a tener en cuenta:
a. Riesgos de concentración y hechos catastróficos: Corresponde a la posibilidad de pérdida en que puede incurrir una entidad como consecuencia de una concentración de riesgos, bien sea por género, grupos etarios, regiones, patologías, por la ocurrencia de hechos catastróficos o situaciones similares que afecten un número elevado de afiliados.
b. Riesgos de incremento inesperado en los índices de morbi- mortalidad y en los costos de atención: Corresponde a la posibilidad de pérdida que se genera como consecuencia de variaciones considerables en las condiciones de morbi-mortalidad de la población afiliada, así como pérdidas derivadas de incrementos inesperados en los costos de atención.
c. Riesgos de cambios tecnológicos: Corresponde a la posibilidad de pérdida debido a la incorporación de nuevas tecnologías, que requieran incrementos en la financiación del plan de beneficios.
d. Riesgos de insuficiencia de reservas técnicas: Posibilidad de pérdida como consecuencia de una subestimación en el cálculo de las reservas técnicas y otras obligaciones contractuales (servicios autorizados y servicios facturados).
Teniendo en cuenta la anterior definición, las políticas de gestión de riesgo actuarial deben considerar la forma en que se relacionan con las políticas de gestión de los otros riesgos.
2.1. Identificación del Riesgo Actuarial
El Subsistema de Administración del Riesgo Actuarial debe permitir definir e identificar el riesgo actuarial teniendo en cuenta, como mínimo, las siguientes consideraciones relevantes:
a. Proyectar la evolución de los ingresos de acuerdo con la caracterización y conocimiento de su población afiliada teniendo en cuenta los aspectos geográficos, etarios, demográficos y demás.
b. Caracterizar la situación de morbi-mortalidad, de acuerdo con la normatividad, lineamientos, pautas e instrumentos en salud expedidos por las autoridades competentes en caso de que aplique, y las prioridades territoriales y poblacionales.
c. Identificar posibles hechos catastróficos como epidemias, desastres naturales, o situaciones similares que afecten a un número elevado de afiliados, teniendo en cuenta que, este riesgo puede generar a la entidad gastos marginales asociados a estos eventos.
d. Identificar los costos de atención y de los servicios a prestar de la población afiliada asociados al REE.
e. Identificar posibles incorporaciones tecnológicas, medicamentos, entre otros.
f. Evaluar el comportamiento de la variabilidad del gasto que tengan las entidades del REE.
2.2. Evaluación y Medición del Riesgo Actuarial
El Subsistema de Administración del Riesgo Actuarial debe permitir:
a. Anticipar incrementos inesperados en los índices de morbi-mortalidad y por ende en los costos de atención.
b. Realizar proyecciones que incluyan los posibles impactos y la ocurrencia, entre otros, de los factores de riesgo asociados a la concentración, hechos catastróficos, incrementos en los costos de nueva tecnología y el cambio del perfil sociodemográfico de la población, que pueden tener efectos sobre la frecuencia y características de la demanda de servicios de salud.
c. Construcción de modelos de cuantificación que contemplen de manera adecuada, las pérdidas esperadas e inesperadas, a las que se encuentra expuesta.
Los modelos que se adopten para calcular estas pérdidas deben contar con los siguientes parámetros:
a. La probabilidad de ocurrencia del siniestro (materialización del riesgo) en la unidad de tiempo (frecuencia).
b. Los asociados con cada distribución que mejor defina la cuantía de la pérdida (severidad).
c. El nivel de exposición del riesgo en la unidad de tiempo.
2.3. Tratamiento y Control del Riesgo Actuarial
El Subsistema de Administración del Riesgo Actuarial debe permitir tomar medidas adecuadas para su control, entre ellas:
a. Establecer y actualizar periódicamente las políticas y los procesos actuariales, teniendo en cuenta los cambios que se presenten en el sector.
b. Hacer una traza de las medidas tomadas por la administración, en respuesta a los problemas identificados y a las recomendaciones efectuadas.
c. Adoptar medidas para mitigar las potenciales pérdidas asociadas a un aumento inesperado de los costos de la atención en salud. Además de esta evaluación periódica, se debe realizar un análisis anual detallado donde se consolide toda la información de los anteriores puntos referenciados.
d. Realizar controles de calidad a los sistemas de información.
e. Cuando utilizan los reaseguros como mecanismo de gestión del riesgo actuarial, debe tener una política formalmente establecida respecto al tipo de contrato del reaseguro a realizar, los montos o niveles de cesión de riesgos y los requisitos que se exigirán para operar con la entidad, tales como la calificación de riesgo y la experiencia en las coberturas de riesgos ofrecidas.
Como buena práctica, se recomienda realizar pruebas de estrés (Stress- Testing) y ejercicios de autocomprobación (Back-Testing)[4] sobre los modelos actuariales utilizados para establecer los niveles adecuados de reservas técnicas, y de esta manera realizar los ajustes correspondientes.
3. GESTIÓN DEL RIESGO DE CRÉDITO
El Riesgo de Crédito corresponde a la posibilidad que se incurra en pérdidas como consecuencia del incumplimiento de las obligaciones por parte de sus deudores o contrapartes en los términos acordados, como, por ejemplo, monto, plazo y demás condiciones. Su materialización puede poner en riesgo la operación y por ende en los resultados en salud.
Teniendo en cuenta la anterior definición, se debe evaluar permanentemente el riesgo inherente que sus activos pierdan valor, como consecuencia que un deudor o contraparte incumpla con sus obligaciones, como por ejemplo los anticipos. Es así como dentro de esta evaluación debe incorporar oportunamente los cambios significativos de las condiciones de cumplimiento de sus deudores. Para esto, se deberá desarrollar políticas, procedimientos y mecanismos idóneos que le permiten llevar a cabo en forma oportuna el ciclo general de gestión de este riesgo particular. Por otro lado, la verificación de los siguientes literales se debe realizar al menos semestralmente, para evaluar su funcionamiento y monitorear efectivamente la exposición a este riesgo.
Las bases de datos utilizadas en el proceso de diseño de los modelos para la administración del riesgo crediticio deben tener una historia mínima de cinco (5) años. En caso de no cumplirse con el tiempo recomendado, se deberá preparar un plan de ajuste en el cual se expongan los procedimientos y fechas en las cuales se logrará cumplir con esta recomendación. Durante el periodo de ajuste, a partir de la infraestructura tecnológica y de los sistemas necesarios para garantizar la adecuada administración del Riesgo de Crédito se deben generar informes confiables sobre dicha labor por lo menos una vez al trimestre.
3.1. Identificación del Riesgo de Crédito
Para la identificación de este riesgo, los aspectos mínimos a considerar por parte de las entidades del REE parten de definir los tipos de activos expuestos a este riesgo: i) las cuentas por cobrar (por ejemplo, los anticipos, por lo que las entidades deben evaluar el riesgo de que la contraparte no legalice o no haga la devolución de estos dineros) y ii) los instrumentos financieros. Estos últimos incluyen:
a. Cuentas de Bancos y Fondos de Inversión Colectivas (FIC, antes Carteras Colectivas) tales como: cuentas corrientes; cuentas de ahorros; cuentas maestras de recaudo; FIC abiertos, del mercado monetario; carteras colectivas cerradas; y otros tipos de encargos fiduciarios o fondos de inversión, fideicomisos, fondos de inversión colectiva inmobiliarios y/o fondos de capital privado, entre otros, siendo locales o extranjeros.
b. Instrumentos inscritos en el Mercado de Valores de Colombia, tales como títulos de deuda pública emitidos o garantizados por la Nación o por el Banco de la República; títulos de renta fija emitidos, aceptados, garantizados o avalados por entidades vigiladas por la Superintendencia Financiera de Colombia, FOGAFIN y FOGACOOP.
c. Todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras.
3.2. Evaluación y Medición del Riesgo de Crédito
El Subsistema de Administración de Riesgo de Crédito debe evaluar las pérdidas estimadas como resultado del incumplimiento de sus contrapartes. Dentro del Subsistema, la entidad puede diseñar modelos para diferentes tipos de activos expuestos a este riesgo, dentro de los cuales se contempla la estimación de los siguientes elementos:
a. La probabilidad de incumplimiento de los deudores dentro de un periodo de tiempo de 12 meses.
b. La estimación de la pérdida esperada en que incurrirían las entidades del REE dado el incumplimiento. En este elemento se debe considerar tanto el valor expuesto del activo (saldo de la obligación o valor neto del activo) en el momento del incumplimiento, como la tasa de recuperación del valor del activo una vez se ha materializado el incumplimiento, la cual debe contemplar las recuperaciones efectivas que se han realizado sobre estos incumplimientos en los últimos 3 años y la existencia e idoneidad de las garantías, si las hubiese.
c. Una evaluación de riesgo por contraparte (incluyendo los instrumentos financieros, tratándose de inversiones) y los límites de exposición asociados al análisis de riesgos. Las entidades del REE podrán realizar un estudio agrupando activos sobre la base de características y perfiles de riesgo similares, teniendo en cuenta que será de forma individual si el activo es significativo.
d. Un modelo de cálculo de deterioros/provisiones por riesgo de crédito que sea adecuado para reflejar las potenciales pérdidas a la que están expuestos por el incumplimiento de las contrapartes y que se ajuste a la normativa vigente.
Para estimar la probabilidad que el deudor/contraparte no cumpla con sus obligaciones en los términos acordados, se recomienda que tenga en cuenta como mínimo los siguientes aspectos:
i. En el caso de los deudores/cuentas por cobrar:
a. Análisis históricos de las cuentas por cobrar de cada deudor según plazos y cumplimiento de pago.
b. La calidad del deudor y el plazo de la cartera: a mayor concentración de las deudas de mayor plazo, mayor el riesgo asociado al deudor.
c. Adicional al análisis individual por deudor, se recomienda realizar un análisis segmentado por la línea de negocio (en tanto la entidad desarrolle varias actividades dentro del sector como aseguramiento obligatorio y prestación de servicios de salud) y el concepto generador de la obligación, en el caso de las cuentas por cobrar.
d. Estimar las posibles pérdidas que resulten de incumplimientos de pago frente a prestaciones realizadas u obligaciones generadas, las cuales involucran entre otros elementos, la evaluación de deterioros o posteriores valoraciones de acuerdo con las políticas contables que sobre los instrumentos financieros haya escogido la entidad, específicamente en las cuentas por cobrar.
ii. En el caso de los instrumentos financieros, se recomienda que:
a. Clasifique la seguridad del activo con fundamento en la calificación de crédito emitida por agencias calificadoras de riesgo tanto para el activo de renta fija como para el emisor, ya que estas calificaciones reflejan las probabilidades de incumplimiento de los activos en cada categoría de calificación.
b. Asigne factores de riesgo en función de las probabilidades de incumplimiento para cada categoría de seguridad del activo. De no disponer de estudios propios que evalúen estas probabilidades de incumplimiento para los diferentes emisores y tipos de instrumentos financieros, se puede tomar como referencia los ponderadores que se mencionan en el Decreto 2954 de 2010 del MHCP o sus modificatorias, por el cual se modificó el Decreto 2555 de 2010 y se establece el régimen de patrimonio adecuado para las entidades aseguradoras.
3.3. Tratamiento y Control del Riesgo de Crédito
Las entidades pertenecientes al REE, deberán contemplar dentro de este Subsistema de Administración y Gestión de Riesgo mecanismos de tratamiento y control del riesgo de crédito, los cuales se aplicarán de forma continua. Su frecuencia y criterios de calificación se definirán de acuerdo con las políticas de gestión del riesgo que esté dispuesto a asumir cada entidad. Además de, la definición de procedimientos específicos de seguimiento y cobranza de las deudas y el establecimiento de mecanismos apropiados de negociación y recuperación de deudas que se encuentran en incumplimiento.
Se consideran buenas prácticas de gestión para el tratamiento y control del riesgo de crédito las siguientes acciones, las cuales por su naturaleza deberán ser refrendadas en los aspectos específicos de la política de gestión del riesgo de crédito de la entidad.
3.3.1. Límites de exposición crediticia y de pérdida tolerada
Las políticas de gestión del riesgo deben establecer lineamientos para la fijación de niveles y límites de exposición (iniciales y potenciales) de los créditos totales, individuales y por portafolios de inversión, así como de los límites de concentración por deudor, sector o grupo económico. Asimismo, para establecer porcentajes máximos de tenencia de activos de la categoría más riesgosa y mínimos de los activos de máxima seguridad.
3.3.2. Deterioro de los activos
Las políticas de gestión del riesgo deben establecer un sistema de cubrimiento del riesgo de crédito por medio de provisiones o deterioro de los activos generales e individuales que permitan absorber las pérdidas esperadas derivadas de la exposición crediticia de la entidad y estimadas mediante las metodologías y análisis desarrollados para la gestión de riesgo de crédito. En todo caso, el sistema de deterioro desarrollado debe estar alineado con el cumplimiento de las normas que se encuentren vigentes sobre la materia y debe establecerse como política contable calculado en función de la pérdida esperada.
3.3.3. Capital Basado en Riesgo
El capital basado en riesgo de crédito corresponde a la estimación del nivel de patrimonio necesario para absorber las pérdidas no esperadas de la entidad debido a incumplimientos de las obligaciones por parte de sus deudores. En este sentido, se recomienda como medida prudencial que se realice un proceso de estimación de este capital con metodologías internas y acorde con las políticas de gestión del riesgo de crédito aprobadas.
3.3.4. Recuperación de cartera
Las entidades del REE, debe establecer políticas y procedimientos que le permita tomar medidas oportunas para enfrentar incumplimientos con el objeto de menguar las pérdidas. El diseño debe partir como mínimo de la base histórica de recuperaciones y las variables críticas que determinen la disminución de las pérdidas o castigos a la cartera. La información sobre los resultados de estas políticas debe ser almacenada como insumo de afinamiento de los modelos desarrollados, su seguimiento y la estimación de pérdidas, así como para alimentar las proyecciones de flujos de caja que permiten gestionar a su vez, el riesgo de liquidez.
4. GESTIÓN DEL RIESGO DE LIQUIDEZ
El Riesgo de Liquidez corresponde a la posibilidad que una entidad no cuente con recursos líquidos para cumplir con sus obligaciones de pago tanto en el corto (riesgo inminente) como en el mediano y largo plazo (riesgo latente). Lo cual pone en riesgo la operación de la entidad y por ende en los resultados en salud.
Como consecuencia de las actividades y operaciones diarias, las entidades se ven expuestas a este riesgo de liquidez. La gestión de liquidez de la entidad está correlacionada con:
a. Una adecuada recuperación de cartera (gestión de riesgo de crédito),
b. Una adecuada modelación y monitoreo a las volatilidades del mercado financiero (gestión de riesgo de mercado) y,
c. Un adecuado manejo en el flujo de los recursos del sistema, es decir la razón combinada entre los servicios prestados y los ingresos (gestión del riesgo actuarial).
La materialización del riesgo de liquidez genera necesidades de recursos líquidos[5] por parte de las entidades del REE, las cuales pueden verse impedidas a realizar los pagos a los prestadores de servicios de salud o demás proveedores, lo que podría conllevar, entre otras consecuencias, a deficiencias en la prestación del servicio de salud, tales como: no asignación de citas, retraso en los servicios de salud, procedimientos o entrega de medicamentos, entre otros; y así afectar la percepción de los usuarios al servicio de salud y la viabilidad financiera de las entidades del sector.
4.1. Identificación del Riesgo de Liquidez
El Subsistema de Administración de Riesgo de Liquidez debe permitir, definir e identificar el riesgo al que están expuestas las entidades en función de los flujos de ingresos y egresos de efectivo y equivalentes de efectivo, de acuerdo con las operaciones autorizadas.
Con el fin de identificar y cuantificar el riesgo de liquidez se debe disponer de la mejor información que permita realizar las proyecciones de todos los flujos netos de activos y pasivos o de ingresos y egresos, y debe contar como mínimo con lo siguiente para poder analizar los posibles descalces:
i. Activos:
a. Identificar los activos considerados como líquidos (aquellos que proveen liquidez inmediata). Se recomienda incluir dentro de estos como mínimo, el disponible que esté consignado en bancos y/o inversiones en Fondos de Inversión Colectiva (FIC) en las siguientes modalidades: cuenta corriente, cuenta de ahorros (cuenta maestra de recaudo), FIC abiertos, del mercado monetario y cualquier otro tipo de encargo fiduciario o fondo de inversión, fideicomiso, fondos de inversión colectiva de inmobiliarios y fondos de capital privado que no tengan restricciones para el retiro inmediato de recursos (sin pacto de permanencia). Asimismo, se debe identificar todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras, públicas o privadas, que considere de fácil realización (activos que forman parte del portafolio de inversiones y que no tengan ninguna restricción de movilidad ni que estén sujetos a algún tipo de gravamen, medida preventiva o de cualquier naturaleza, que impida su libre cesión o transferencia).
b. Identificar los recursos y plazos de recuperación de cartera (cuentas por cobrar). Tener en cuenta el comportamiento histórico de cartera vencida para aplicar factores de descuento o de castigo, en los casos que considere necesario para obtener una aproximación mucho más cercana a la realidad.
c. Identificar los ingresos operacionales.
d. Proyectar cualquier movimiento de entradas futuras de efectivo por cualquier concepto, entre los cuales puede estar el portafolio de inversiones: vencimiento de títulos de renta fija o de operaciones, cobro de cupones, rendimientos de un CDT, dividendos en efectivo, entre otros flujos que se esperan recibir.
ii. Pasivos:
a. Identificar las cuentas por pagar bajo cualquier concepto.
b. Proyectar cualquier movimiento de salidas futuras de efectivo bajo cualquier concepto, entre los cuales pueden presentarse por la emisión de instrumentos financieros, el pago de cupones de emisiones de deuda por renta fija, el pago de dividendos por acciones emitidas, entre otros.
4.2. Evaluación y Medición del Riesgo de Liquidez
El Subsistema de Administración de Riesgo de Liquidez debe permitir cuantificar el nivel mínimo diario de efectivo o equivalentes de efectivo requerido, en moneda nacional y/o extranjera, de acuerdo con la normatividad vigente, que le permita cumplir de manera oportuna con sus obligaciones de pago.
Es decir que deben estar en capacidad de medir y proyectar los flujos de caja de sus activos y pasivos, en diferentes horizontes de tiempo, tanto en un escenario en condiciones normales como en un escenario de crisis bajo hipótesis razonables (stress testing), en el que los flujos de caja se alejan significativamente de lo esperado, por efecto de cambios imprevistos en el entorno de los mercados, de la entidad o de ambos, y de esta manera, poder calcular sus necesidades de liquidez.
Para la medición de este riesgo, se requiere que aplique un “test de liquidez” periódicamente con el fin de identificar potenciales necesidades de liquidez o recursos líquidos para cubrir sus flujos de pago y las causas de potenciales situaciones de iliquidez. Uno de los principales objetivos de este test es que las entidades mejoren sus estimaciones conforme lo aplican frecuentemente y puedan prevenir potenciales situaciones adversas. Si bien algunos ingresos y/o egresos son más predecibles que otros, se busca que las estimaciones vayan mejorando a medida que estas se realizan y que con fundamento en las proyecciones de egresos se identifiquen los activos necesarios o recursos adicionales para poder cubrir estas estimaciones, de acuerdo con unos niveles de tolerancia de riesgo definidos.
Para estructurar el test de liquidez debe usar la información de los flujos de efectivo tanto de ingresos como de egresos, de acuerdo con los diferentes tipos de obligaciones y acreencias proyectándolos en un horizonte de tiempo de por lo menos tres (3) meses. Los periodos de proyección se pueden construir de forma diaria, semanal, mensual e incluso trimestral.
La proyección de ingresos y egresos estará basada en la mejor información disponible con la que cuente cada entidad del REE, y de acuerdo con supuestos y estimaciones propias, los cuales en todo caso deben ser explicitados y justificados técnicamente por la entidad. Para efectos de la determinación del riesgo inherente de liquidez, se deberá establecer el superávit o déficit de liquidez, que corresponderá a la diferencia entre el monto total de ingresos y egresos de efectivo proyectados. Este monto se utilizará para el cálculo del indicador de liquidez.
Debido a que el riesgo será mayor en aquellas proyecciones más volátiles o que incorporen una mayor incertidumbre, y que a su vez cuenten con menores recursos líquidos para cubrir sus necesidades, las técnicas de modelación deben abordar como mínimo los siguientes elementos críticos:
a. Identificación y caracterización de los conceptos de ingresos y egresos más volátiles.
b. Identificación y caracterización de los recursos líquidos para cubrir las necesidades de liquidez, teniendo en cuenta factores de descuento cuando se considere necesario.
Es así como las entidades deberán identificar descalces en distintos horizontes de tiempo y realizar un análisis de la liquidez, que les permitan crear señales de alerta temprana y establecer límites encaminados a evitar la materialización de riesgos asociados como el Riesgo de Crédito, Mercado y Actuarial.
Independientemente que las entidades cuenten o no con modelos propios de proyección de flujos de caja, deberán reportar de manera mensual el Archivo Tipo FT018 que se encuentra en el literal F de esta Circular. Adicionalmente, en el instructivo de este archivo, encontrarán la descripción y el desarrollo de una herramienta sencilla para proyectar los flujos de liquidez, que encontrará en la página web de la Superintendencia como anexo “Modelo básico flujos de cajaREE.xlsx”.
4.3. Tratamiento y Control del Riesgo de Liquidez
El Subsistema de Administración de Riesgo de Liquidez debe permitir tomar medidas adecuadas para controlar el riesgo de liquidez al que se ven expuestas en las actividades propias del REE.
Adicionalmente, debe permitir realizar seguimiento continuo de su exposición al riesgo de liquidez mediante las alertas tempranas, los límites de exposición y los indicadores que la entidad haya elaborado con el fin de monitorear y realizar los controles adecuadamente y a tiempo para evitar que este riesgo pueda llegar a materializarse e impactar negativamente en los objetivos de la entidad.
El seguimiento debe permitir la elaboración de reportes gerenciales y de monitoreo del riesgo de liquidez y evaluar los resultados de las estrategias de la entidad e incluyan el resumen de las posiciones que contribuyen significativamente a dicho riesgo.
A su vez, se deben establecer límites para mantener un nivel mínimo de activos líquidos, que estén acordes con el volumen de operaciones y tamaño de la entidad y sus necesidades de liquidez bajo condiciones normales del negocio y márgenes adicionales de liquidez para enfrentar situaciones de estrés.
Asimismo, las entidades deberán incluir mediciones de escenarios extremos (stress testing y de back testing), como medios para verificar la precisión de las proyecciones obtenidas a través de los test y hacerlos parte del mismo para hacer ajustes posteriores.
Para mejorar la capacidad técnico-administrativa, el flujo de recursos y la calidad y disponibilidad de información necesaria para diseñar el flujo de efectivo se requiere como mínimo:
a. Implementación de procesos orientados a garantizar el pago oportuno a las Instituciones Prestadores de Servicios de Salud y demás proveedores (política de pagos a proveedores).
b. Sistema que permita la radicación oportuna, de preferencia en línea, por parte de los proveedores, de las facturas correspondientes a los servicios realizados por los prestadores de servicios.
5. GESTIÓN DEL RIESGO DE MERCADO DE CAPITALES
El Riesgo de Mercado de Capitales corresponde a la posibilidad de incurrir en pérdidas derivadas de un incremento no esperado, de sus obligaciones con acreedores tanto internos como externos, o la pérdida en el valor de sus activos, por causa de las variaciones en las tasas de interés, en la tasa de cambio o cualquier otro parámetro de referencia que afecte cualquier elemento de la situación financiera de la administración del régimen.
La adopción del Subsistema de Administración de Riesgo de Mercado de Capitales debe cumplir como mínimo con lo siguiente:
5.1. Identificación del Riesgo de Mercado de Capitales
El Subsistema debe permitir definir e identificar la exposición al riesgo de mercado de capitales al que se encuentran expuestas de acuerdo, con las siguientes acciones como mínimo:
i) Definir los factores de riesgo que generan su exposición a este riesgo. Como mínimo las entidades deben considerar las tasas de interés, el precio de las acciones, el de bienes inmuebles y la tasa de cambio.
ii) Identificar los activos expuestos a la volatilidad de estas variables, como mínimo:
a. Respecto a los activos expuestos a la tasa de interés (instrumentos de renta fija principalmente) considerar al menos los siguientes: bonos ordinarios, bonos subordinados, bonos opcionalmente convertibles en acciones, bonos obligatoriamente convertibles en acciones, Certificados de Depósito a Término (CDT), Títulos de Deuda Pública (TES), bonos de capitalización, y demás inversiones que estén expuestos a este factor de riesgo, ya sea que estén inscritos o no en la Bolsa de Valores de Colombia (BVC).
b. Al considerar los activos expuestos al precio de las acciones (instrumentos de renta variable) por lo menos tener en cuenta acciones ordinarias, preferenciales y demás inversiones que estén expuestos a este factor de riesgo, ya sea que estén inscritos o no en la BVC.
c. Entre los activos no monetarios que estarían expuestos a la variabilidad en el precio de los bienes inmuebles, contemplar los terrenos, así como las construcciones y edificaciones de la entidad.
d. Por último, considerar los activos y pasivos denominados en moneda extranjera a afectos de abordar la volatilidad de la tasa de cambio.
5.2. Evaluación y Medición del Riesgo de Mercado de Capitales
El Subsistema de Administración del Riesgo de Mercado de Capitales debe permitir medir y cuantificar las posibles pérdidas esperadas derivadas de la exposición a este riesgo en particular. Para esta etapa del ciclo, las entidades deben como mínimo:
a. Detallar la correspondiente valoración de los activos y pasivos (el precio o valor de mercado) expuestos a los factores de riesgos identificados por la entidad y mencionados en el numeral anterior como mínimo, aplicando de manera adecuada las mediciones, reconocimiento, presentación y revelación en aplicación del respectivo marco técnico normativo de información financiera y contable.
b. Escoger y aplicar una metodología para valorar la exposición de cada factor ante el riesgo de mercado de capitales, analizando de manera independiente las variaciones en las tasas de interés, de cambio, precio de las acciones y de los bienes inmuebles, como mínimo.
c. La entidad debe escoger la metodología que considere más apropiada para la medición, en función de la información disponible, personal encargado de la estimación y las políticas establecidas por la entidad en la gestión de este riesgo. Para ello, se recomienda analizar la información histórica de las variables que generan exposición al riesgo de mercado de capitales para un periodo de observación efectivo de por lo menos un (1) año. Entre los posibles métodos de cálculo se encuentran: paramétricos o no paramétricos tales como el Valor en Riesgo (VaR), simulaciones de Montecarlo, simulaciones históricas, entre otros.
d. Calcular el capital adecuado que guarde correspondencia con los niveles de riesgo de cada entidad para cubrir las pérdidas inesperadas para cada uno de los factores de riesgo del mercado de capitales (tasa de interés, tasa de cambio, precio de las acciones y de bienes inmuebles, como mínimo).
e. Agregar los requerimientos de capital de los diferentes factores de riesgo del mercado de capitales aplicando la correlación entre los mismos.
5.3. Tratamiento y Control del Riesgo de Mercado de Capitales
El Subsistema de Administración del Riesgo de Mercado de Capitales debe permitir tomar medidas adecuadas para su control en el desarrollo de sus operaciones. Esta etapa debe cumplir con los siguientes requisitos mínimos:
a. Contar con un modelo de seguimiento de riesgo de mercado de capitales donde se identifiquen los criterios utilizados para calcular los niveles de exposición, los factores de riesgo, la periodicidad de evaluación y las fuentes de información. Debe haber correspondencia entre el modelo y las características particulares de cada entidad, teniendo en cuenta el grado de complejidad y el volumen de las operaciones expuestas a este riesgo.
Dicho modelo debe estar en la capacidad de realizar mediciones que incorporen escenarios extremos (stress testing) en los diferentes factores de riesgo. Asimismo, cuando se presenten cambios estructurales en las variables que generan exposición a este, el modelo debe considerar estos movimientos en los factores de riesgo. Un ejemplo que se puede usar como referencia es el que se contempla en el Sistema de Administración de Riesgo de Mercado (SARM) de la Superintendencia Financiera de Colombia.
b. Permitir el control de los niveles de exposición a los diferentes factores de riesgo de mercado de capitales y especificar los límites máximos de exposición permitidos por la Entidad y los planes de contingencia para los casos en los que se superen dichos límites.
c. Realizar pruebas de desempeño (back testing) del modelo interno para determinar la consistencia, precisión y confiabilidad del requerimiento de capital estimado para cubrir las pérdidas inesperadas.
6. GESTIÓN DEL RIESGO OPERACIONAL
El Riesgo Operacional corresponde a la posibilidad que una entidad presente desviaciones en los objetivos misionales de sus procesos como consecuencia de deficiencias, inadecuaciones o fallas en los procesos, en el recurso humano, en los sistemas tecnológicos y biomédicos, en la infraestructura, fraude, corrupción, entre otros ya sea por causa interna o por la ocurrencia de acontecimientos externos, entre otros.
Es importante resaltar que, la anterior definición incluye una amplia variedad de factores de riesgo que pueden afectar los objetivos del REE, y que pueden materializarse como resultado de una deficiencia o ruptura en los controles internos o procesos de control, fallas tecnológicas, errores humanos, deshonestidad, prácticas inseguras y catástrofes naturales, entre otras causas, que afectan diferentes procesos, según las características propias de las entidades.
La adopción del Subsistema de Administración de Riesgo Operacional debe cumplir como mínimo con lo siguiente:
6.1. Identificación del Riesgo Operacional
El Subsistema debe permitir a las entidades definir e identificar la exposición al riesgo operacional, por lo cual, en esta etapa se elabora un perfil de los procesos de las actividades en salud de la entidad con las siguientes acciones:
a. Levantamiento y documentación de los procesos, entre los cuales deben tener en cuenta los siguientes para el cumplimiento de las funciones de la Entidad:
- Auditoría de cuentas médicas
- Facturación
- Gestión del talento humano
- Sistemas de Información
- Gestión de Red de: Prestadores de Servicios de Salud, de insumos y de medicamentos
- Gestión Financiera
- Atención al Usuario
b. Identificación de los eventos de riesgo operacional, potenciales y ocurridos, en cada uno de los procesos.
c. Identificar pérdidas en los resultados de salud de su población, los cuales, por su relevancia son tratados como riesgos en salud.
d. La etapa de identificación debe realizarse previamente a la implementación de nuevos procesos o a la modificación de cualquiera de ellos, así como en los casos de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.
e. Determinar potenciales pérdidas financieras en la entidad causadas por los eventos de riesgo operacional identificados.
Para la identificación, se debe tener un registro de eventos materializados de riesgo operacional, con la información relacionada a nivel local. A continuación, se presenta la información relevante que debe tener un registro de eventos de riesgo operativo:
1. Referencia: Código interno que relacione el evento en forma secuencial.
2. Proceso: Identificación del proceso donde se produjo el evento de riesgo o se vio afectado.
3. Fecha de descubrimiento: Fecha en que se detecta el evento (Día, mes, año, hora).
4. Fecha de inicio: Fecha en la que el evento tiene su inicio (Día, mes, año, hora).
5. Fecha de finalización: Fecha en que finaliza el evento (Día, mes, año, hora).
6. Descripción del evento: Descripción detallada del evento.
7. Producto-Servicio afectado: Identificación del producto o servicio al que el evento afecta.
8. Clase de evento: Especifique la clase de evento, según la clasificación adoptada (Fraude interno, fraude externo, relaciones laborales, clientes, daños a activos físicos, fallas tecnológicas, ejecución y administración de procesos, entre otros).
9. Tipo de perdida: Identificación de la perdida que origina el evento: o Genera perdida y afecta el estado de resultados de la entidad o Genera pérdida y no afecta el estado de resultados de la entidad o No genera pérdidas
10. Divisa: Moneda en la que se materializa el evento (COP, USD, entre otras).
11. Cuantía: Monto de dinero a la que asciende la perdida. Este valor debe ser presentado en moneda legal, es decir en pesos colombianos (COP). Si el evento se presenta en otra moneda diferente a la legal, se utiliza para el cambio la TRM del día en que se contabilizó la pérdida por el evento.
12. Cuantía total recuperada: Monto de dinero recuperado por acción directa de la entidad. Incluye cuantías recuperadas por seguros.
13. Cuantía recuperada por seguros: Corresponde al monto de dinero recuperado por el cubrimiento a través de un seguro.
14. Cuentas del Plan de Cuentas afectadas: Identifica las cuentas del “Plan de Cuentas” afectadas
15.Fecha de contabilización: Fecha en que se registra contablemente la pérdida por el evento (Día, mes, año, hora).
16.Datos del registro: Aquí se detalla quien diligenció el formato, la dependencia y fecha de este, así como nombre, firma y cargo de quien lo reporte.
Además de los campos descritos en este numeral, se pueden incorporar dentro del registro de eventos materializados de riesgo operacional otros adicionales que consideren relevantes para su gestión.
Asimismo, cabe mencionar que, dentro del riesgo operacional se puede encontrar inmerso el riesgo de lavado de activos y financiación del terrorismo tratado en la Circular Externa 009 de 2016 modificada por la Circular 202117000000055 de 2021 o las que la modifiquen o sustituyan, al igual que el riesgo de Corrupción, Opacidad y Fraude tratado en la última circular en mención.
6.2. Evaluación y Medición del Riesgo Operacional
En esta etapa, el Subsistema de Administración de Riesgo Operacional debe medir la probabilidad de ocurrencia de un evento y su impacto en caso de materializarse. En caso de no contar con datos históricos se deberá realizar una aproximación cualitativa, y elaborar un plan de ajuste que posibilite la medición cuantitativa del riesgo posteriormente. Para esta etapa del ciclo, las entidades deben tener como mínimo lo siguiente:
a. Diseñar y aplicar la metodología de evaluación acorde con los eventos de riesgo operacional identificados procurando una medición individual y consolidada de la probabilidad de ocurrencia y del impacto, para así determinar el perfil de riesgo de la entidad.
b. Tener en cuenta dentro de la evaluación, los planes de contingencia y el Plan de Continuidad del Negocio, todos los recursos (físicos, humanos, técnicos y financieros) necesarios para que cada entidad enfrente la exposición al riesgo operacional bajo cualquier eventualidad, de acuerdo con su tamaño y nivel de operaciones.
6.3. Tratamiento y Control del Riesgo Operacional
El Subsistema de Administración del Riesgo Operacional debe permitir tomar medidas adecuadas para controlar el riesgo operacional inherente al que se ve expuesta en el desarrollo de sus operaciones con el fin de disminuir la probabilidad de ocurrencia y/o impacto en caso de que se materialicen.
Esta etapa debe cumplir con los siguientes requisitos mínimos:
a. Diseñar e implementar controles para cada proceso de manera que se pueda mitigar el riesgo inherente, ya sea mediante su probabilidad, impacto o ambos.
b. Incluir los controles diseñados dentro de las políticas y procedimientos de la entidad.
c. En cuanto a los riesgos que afecten la operación en condiciones normales de la entidad, ésta debe implementar un Plan de Continuidad del Negocio aprobado por el órgano director de cada entidad del REE.
Adicionalmente, se deben adoptar diferentes políticas y medidas encaminadas en implementar acciones para el fortalecimiento continuo de una cultura ética de integridad, transparencia y la lucha contra la corrupción. El objetivo de esta estrategia es prevenir, detectar, y, cuando sea del caso, denunciar la corrupción que, en cualquiera de sus formas, eventualmente se pueda presentar, por parte o en contra de una entidad.
La implementación y seguimiento a estos riesgos van estrechamente ligados a las políticas, principios y valores institucionales, de ahí la importancia de su ejecución y mejoramiento continuo.
6.3.1. Plan de Continuidad del Negocio
Las entidades del REE deben definir, implementar, probar y mantener un proceso para administrar y asegurar la continuidad del negocio en situaciones de emergencia o desastre, incluyendo elementos como la prevención y la atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. Estas medidas deben contar con los siguientes elementos:
a. Identificación de eventos que pueden afectar la operación. b. Actividades a realizar cuando se presentan las fallas.
c. Alternativas de operación.
d. Proceso de retorno a la actividad normal.
7. GESTIÓN DEL RIESGO DE FALLAS DE MERCADO
El Riesgo de Fallas de Mercado corresponde a la posibilidad que la estructura del mercado de salud genere pérdidas en el bienestar y beneficios de la entidad. Ejemplos: mercado monopólico u oligopólico; prácticas de competencia desleal (como lo son la selección de riesgo, barreras de acceso a los servicios, entre otros).
7.1. Identificación del Riesgo de Fallas de Mercado
Para la identificación de este riesgo, la entidad debe determinar las relaciones existentes, según los mercados de referencia de servicios o productos indicativos, con sus proveedores tales como prestadores, farmacéuticas, talento humano, dispositivos médicos, entre otros, con el fin de identificar las fallas de mercado presentes allí.
Para la selección de los servicios o productos indicativos se recomienda tener en consideración tecnologías comparables entre los diferentes mercados de referencia y, la participación de estos servicios o productos en la frecuencia de uso y gasto o costo total de la entidad. Asimismo, se puede utilizar como referencia las rutas integrales de atención en salud RIAS y la caracterización de su población afiliada.
Teniendo en cuenta los mercados de referencia de servicios o productos indicativos y la oferta disponible para estos, la entidad debe identificar la presencia de fallas de mercado, entre otras, tales como:
a. Fallos de la competencia, presencia de monopolios y oligopolios, así como problemas de comportamiento de los agentes que impliquen, por ejemplo, colusiones orientadas a generar acuerdos de precios.
b. Asimetrías de información (información incompleta o imperfecta) que impidan hacer el seguimiento al cumplimiento contractual con los proveedores o hacer gestión del riesgo individual de la población asegurada.
c. Existencia de integraciones verticales y horizontales, y grupos empresariales.
d. Externalidades, generadas por personas o entidades que provocan impactos negativos afectando la eficiencia del mercado.
e. Mercados incompletos.
7.2. Evaluación y Medición del Riesgo de Fallas de Mercado
La entidad debe establecer mecanismos para la medición y evaluación del riesgo de fallas de mercado, que le permita comparar resultados en mercados con fallas y sin fallas sobre puntos estratégicos donde se pueden observar los impactos en pérdidas de bienestar para la entidad. Algunos de estos puntos estratégicos son:
a. Los sobrecostos en la operación de la entidad derivados de las afectaciones en los precios transados,
b. Las limitaciones en la capacidad de la entidad de hacer el seguimiento a los acuerdos contractuales y gestionar su riesgo en salud derivado de la baja disponibilidad de información sobre los servicios prestados a los afiliados,
c. Las restricciones en la gestión del riesgo en salud y sobrecostos asociados al déficit de la oferta de servicios de salud respecto de la demanda de los mismos.
d. La reducción en la calidad de los servicios suministrados a los afiliados que pudieran llegar a generar menores resultados de salud.
Entre otros, se debe contar con una base de datos completa y oportuna de composición de la oferta y precios de los servicios, medicamentos y otros insumos que contrata con terceros. Asimismo, contar con información que le permita calcular indicadores de gestión que le faciliten la comparación de mercados y evaluación del efecto de las fallas de mercado.
7.3. Tratamiento y Control del Riesgo de Fallas de Mercado
Teniendo en cuenta la probabilidad e impacto de las diferentes fallas de mercado sobre las pérdidas, se recomiendan las siguientes medidas:
a. Documentar procesos o procedimientos para identificar actos o acuerdos contrarios a la libre competencia o que constituyan abuso de la posición dominante en el mercado. Asimismo, se deben adoptar políticas para informar sobre estas actividades a las autoridades competentes (por ejemplo, Superintendencia de Industria y Comercio).
b. Fortalecer la calidad y la oportunidad de la información de sus proveedores; así como velar por un flujo de información constante y de calidad sobre las prestaciones y desenlaces de salud de la población afiliada.
c. Fortalecer los sistemas de auditorías sobre la contratación, facturación, entre otros.
F. REPORTES Y FUENTES DE INFORMACIÓN
Tal como se mencionó en numerales anteriores, las entidades del REE deben tener a disposición de la Superintendencia Nacional de Salud, tanto las políticas, el manual de procesos y procedimientos de la entidad, como las bases de datos utilizados para la modelación de los riesgos, y demás información, documentación y lineamientos que estén referenciados en esta circular. En cualquier momento la Superintendencia Nacional de Salud podrá solicitar dicha información con motivos de Inspección, Vigilancia y Control complementando la supervisión del sistema de administración de riesgos.
De igual manera, la Superintendencia Nacional de Salud podrá solicitar información adicional con el fin de evaluar la idoneidad y la aplicación del Sistema de Administración de Riesgos para sus actividades en Salud.
El primer reporte de información para el archivo FT018 deberá realizarse con corte a diciembre 31 de 2022, el cual se debe reportar a más tardar el 20 de febrero de 2023. La estructura del archivo FT018 es el siguiente:
ARCHIVO TIPO FT018
Datos para el cálculo de la posición de Liquidez
TIPO DE ENTIDAD A LA QUE APLICA: Entidad que administra el Régimen Especial y de Excepción
PERIODICIDAD: Mensual.
FECHA DE CORTE: Último día de cada mes.
FECHA DEL REPORTE: 20 días calendario después de la fecha de corte. Para el cierre de año, el reporte se hará hasta febrero 20 del siguiente año.
| Elemento | FT018 | ||||
| # | Identificador | Atributos | Descripción | Longitud máxima | Registro permitido |
| 1 | ingresoOper30d | Entradas de Caja derivadas del negocio proyectadas a 30 días | Entradas de efectivo proyección acumulada a 30 días que son propias del negocio y de la operación | 18 | Numérico |
| Elemento | FT018 | ||||
| # | Identificador | Atributos | Descripción | Longitud máxima | Registro permitido |
| 2 | ingresoOper60d | Entradas de Caja derivadas del negocio proyectadas a 60 días | Entradas de efectivo proyección acumulada a 60 días que son propias del negocio y de la operación | 18 | Numérico |
| 3 | ingresoOper90d | Entradas de Caja derivadas del negocio proyectadas a 90 días | Entradas de efectivo proyección acumulada a 90 días que son propias del negocio y de la operación | 18 | Numérico |
| 4 | ingresoOtro30d | Entradas de Caja por otros conceptos proyectadas a 30 días | Entradas de efectivo proyección acumulada a 30 días que provienen de otros conceptos diferentes a la operación | 18 | Numérico |
| 5 | ingresoOtro60d | Entradas de Caja por otros conceptos proyectadas a 60 días | Entradas de efectivo proyección acumulada a 60 días que provienen de otros conceptos diferentes a la operación | 18 | Numérico |
| 6 | ingresoOtro90d | Entradas de Caja por otros conceptos proyectadas a 90 días | Entradas de efectivo proyección acumulada a 90 días que provienen de otros conceptos diferentes a la operación | 18 | Numérico |
| 7 | egresoOper30d | Salidas de Caja derivadas del negocio proyectadas a 30 días | Salidas de efectivo proyección acumulada a 30 días que son propias del negocio y de la operación | 18 | Numérico |
| 8 | egresoOper60d | Salidas de Caja derivadas del negocio proyectadas a 60 días | Salidas de efectivo proyección acumulada a 60 días que son propias del negocio y de la operación | 18 | Numérico |
| 9 | egresoOper90d | Salidas de Caja derivadas del negocio proyectadas a 90 días | Salidas de efectivo proyección acumulada a 90 días que son propias del negocio y de la operación | 18 | Numérico |
| 10 | egresoOtro30d | Salidas de Caja por otros conceptos proyectadas a 30 días | Salidas de efectivo proyección acumulada a 30 días que provienen de otros conceptos diferentes a la operación | 18 | Numérico |
| 11 | egresoOtro60d | Salidas de Caja por otros conceptos proyectadas a 60 días | Salidas de efectivo proyección acumulada a 60 días que provienen de otros conceptos diferentes a la operación | 18 | Numérico |
| 12 | egresoOtro90d | Salidas de Caja por otros conceptos proyectadas a 90 días | Salidas de efectivo proyección acumulada a 90 días que provienen de otros conceptos diferentes a la operación | 18 | Numérico |
| 13 | dispActivos30d | Disposición de Activos proyectada a 30 días | Ingresos por disposición de activos (Ventas de activos planeadas) proyección acumulada a 30 días | 18 | Numérico |
| 14 | dispActivos60d | Disposición de Activos proyectada a 60 días | Ingresos por disposición de activos (Ventas de activos planeadas) proyección acumulada a 60 días | 18 | Numérico |
| 15 | dispActivos90d | Disposición de Activos proyectada a 90 días | Ingresos por disposición de activos (Ventas de activos planeadas) proyección acumulada a 90 días | 18 | Numérico |
| Elemento | FT018 | ||||
| # | Identificador | Atributos | Descripción | Longitud máxima | Registro permitido |
| 16 | Disponible | Disponible | Saldo que se tiene en efectivo, correspondiente a los saldos de caja, cuentas de ahorro y corriente a la fecha de corte | 18 | Numérico |
| 17 | partFIC | Participaciones en FIC's abiertos sin pacto de permanencia | Saldo que se tiene en las participaciones de Fondos de Inversión Colectiva abiertos sin pacto de permanencia a la fecha de corte | 18 | Numérico |
| 18 | invNegNacion | Inversiones Negociables y DPV en Títulos de Deuda Pública Interna garantizados por la Nación | Reporte el valor razonable o de mercado de las inversiones negociables y disponibles para la venta que tenga en títulos de deuda pública garantizados por la Nación - TES a la fecha de corte | 18 | Numérico |
| 19 | invNegPubExterna | Inversiones Negociables y DPV en Títulos de Deuda Pública Externa | Reporte el valor razonable o de mercado de las inversiones negociables y disponibles para la venta que tenga en títulos de deuda soberana Externa a la fecha de corte | 18 | Numérico |
| 20 | invNegFogafin | Inversiones Negociables y DPV en Títulos emitidos por FOGAFIN | Reporte el valor razonable o de mercado de las inversiones negociables y disponibles para la venta que tenga en títulos emitidos por FOGAFIN a la fecha de corte | 18 | Numérico |
| 21 | invNegPrivInterna | Inversiones Negociables y DPV en Títulos de Deuda Privada Interna | Reporte el valor razonable o de mercado de las inversiones negociables y disponibles para la venta que tenga en títulos de deuda emitidos por empresas privadas localmente a la fecha de corte | 18 | Numérico |
| 22 | invNegPrivExterna | Inversiones Negociables y DPV en Títulos de Deuda Privada Externa | Reporte el valor razonable o de mercado de las inversiones negociables y disponibles para la venta que tenga en títulos de deuda emitidos por empresas privadas externas a la fecha de corte | 18 | Numérico |
| 23 | invTitBVC | Inversiones Negociables en Títulos Participativos inscritas en la BVC | Reporte el valor razonable o de mercado de sus inversiones en acciones inscritas en la Bolsa de Valores de Colombia a la fecha de corte | 18 | Numérico |
| 24 | invParticExt | Inversiones Negociables en Títulos Participativos inscritas en el exterior | Reporte el valor razonable o de mercado de sus inversiones en acciones inscritas en el exterior a la fecha de corte | 18 | Numérico |
Para el cargue periódico del Archivo Tipo FT018 se deben tener en cuenta las siguientes consideraciones:
- La información se deberá reportar en pesos colombianos, sin decimales. En este sentido, cuando exista información a reportar que se encuentre denominada en moneda extranjera (activos o flujos contractuales), deberá ser expresada en pesos para su reporte, utilizando la Tasa Representativa del mercado (TRM) correspondiente al día de la fecha de corte.
- Los campos que no contengan valor o no apliquen, se deben reportar en cero.
- La información a reportar deberá ser consistente con las cifras registradas en los Archivos Tipo que hacen parte de la Circular Única.
- Los Activos Líquidos deben de ser reportados por su valor razonable o de mercado.
- Ningún valor debe ser ajustado por los factores de descuento que utilizaron en sus modelos internos (haircuts).
- Cabe recordar que dentro de los activos líquidos realizables se recomienda identificar además del disponible e inversiones en FIC abiertos sin pacto de permanencia, todas las inversiones en títulos o valores sean de renta fija o renta variable emitidos por entidades nacionales o extranjeras, públicas o privadas, que considere de fácil realización, es decir todos los activos que forman parte del portafolio de inversiones de la entidad y que no tienen ninguna restricción de movilidad ni que estén sujetos a algún tipo de gravamen, medida preventiva o de cualquier naturaleza, que impida su libre cesión o transferencia.
G. PERÍODO DE TRANSICIÓN
El período de transición para la implementación de lo dispuesto en esta circular se fija en un término máximo de treinta meses (30) contados a partir de la fecha de publicación de la presente circular, con el fin que las entidades del REE se preparen y actualicen su Sistema de Administración de Riesgos.
Durante el primer año, las entidades del REE deben realizar la identificación de los riesgos y sus causas, diseñando el Sistema de Administración de Riesgos con políticas, procesos y procedimientos y en el transcurso de los siguientes meses implementar dicho sistema con la evaluación y medición de riesgos, diseñar estrategias para tratamiento, control, seguimiento y monitoreo de acuerdo con los lineamientos generales y específicos de la presente circular.
Asimismo, es importante resaltar que, durante el periodo de transición, la Superintendencia Nacional de Salud podrá en cualquier momento realizar visitas o hacer los requerimientos que considere necesarios para validar el plan de implementación que haya diseñado la entidad, el cronograma y sus avances (objetivos, estrategias, actividades, responsables y plazos), las políticas propuestas y los elementos del Sistema de Administración de Riesgo.
H. VIGENCIA
La presente circular rige a partir de su publicación y promulgación en el Diario Oficial. Las entidades del REE obligadas al cumplimiento de lo dispuesto en esta circular deben adaptar sus procesos a las condiciones aquí establecidas, sin perjuicio del cumplimiento de la normativa vigente.
I. CONTROL AL CUMPLIMIENTO DE LA CIRCULAR
De conformidad con lo establecido en los artículos 130 y 131 de la Ley 1438 de 2011, modificados por los artículos 2 y 3 de la Ley 1949 de 2019, la inobservancia e incumplimiento de las instrucciones impartidas en esta circular dará lugar a la imposición de sanciones por parte de la Superintendencia Nacional de Salud, previo agotamiento del debido proceso administrativo, esto, sin perjuicio de las demás responsabilidades disciplinarias, fiscales, penales o civiles que puedan derivarse y las sanciones que puedan imponer otras autoridades judiciales y/o administrativas.
Dada en Bogotá D.C., a los 25 días del mes 07 de 2022.
FABIO ARISTIZÁBAL ÁNGEL
Superintendente Nacional de Salud
1. “Por la cual se adopta el modelo de Inspección, Vigilancia y Control para la Superintendencia Nacional de Salud para el ejercicio de la supervisión de los riesgos inherentes al Sistema General de Seguridad Social en Salud”
2. Definición basada en el Plan Decenal de Salud Pública del MSPS 2012-2021.
3. El análisis de brechas es una herramienta de análisis para comparar el estado y desempeño real de una organización o entidad, estado o situación en un momento dado, respecto a uno o más puntos de referencia seleccionados de orden local, regional, nacional y/o internacional.
4. La prueba de estrés mide la incidencia, sobre un portafolio, de determinadas situaciones consideradas extremas en los mercados; mientras que el ejercicio de autocomprobación contrasta el grado de precisión del modelo interno de medición de riesgos utilizado por la entidad aseguradora. (Feria, J., 2005. El riesgo de mercado: su medición y control. Madrid: Delta Publicaciones).
5. Los recursos líquidos son entendidos como los activos que pueden convertirse fácilmente en dinero en efectivo, a valor de mercado y de una forma rápida (European Central Bank, 2009).
