ESE IMSALUD. 2019

GESTIÓN DE DIRECCIONAMIENTO ESTRATÉGICO Y PLANEACIÓN

CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014

POLÍTICA DE ADMINISTRACIÓN

DEL RIESGO

VERSION: 1 Página 1 de 46

1

POLÍTICA DE

ADMINISTRACIÓN DEL RIESGO

ESE IMSALUD.

2019


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


2

INDICE.

1 INTRODUCCIÓN………………………………………………………………….4 2 OBJETIVOS…………………………………………………………………...…..5 3 ALCANCE………………………………………………………………………….6 4 DEFINICIONES…………………………………………………………...………6 5 DECLARACIÓN DE LA POLÍTICA……………………………………...………7 6 NIVELES DE RESPONSABILIDAD…………………………………...………..7 7 CLASES DE RIESGOS…………………………………………………………..8 8 IDENTIFICACIÓN DEL RIESGO…………………………………………..……9 8.1 ESTABLECIMIENTO DEL CONTEXTO……………………………..……..10 8.1.1 IDENTIFICACIÓN DE ACTIVOS DE SEGURIDAD DE LA INFORMACIÓN…………………………………………………………..………..11 8.2 IDENTIFICACIÓN DEL RIESGO……………………………………...…….12 8.2.1 IDENTIFICACIÓN DE RIESGOS DE CORRUPCIÓN………………….12 8.2.2 DESCRIPCIÓN DEL RIESGO DE SEGURIDAD DIGITAL…………….13 9 VALORACIÓN DEL RIESGO………………………………………………….14 9.1 ANÁLISIS DEL RIESGO……………………………………………………..14 9.1.1 CALIFICACIÓN DE LA PROBALIDAD………………………………….14 9.1.2 CALIFICACIÓN DEL IMPACTO……………………………………...….15 9.1.3 ANÁLISIS DEL IMPACTO EN RIESGOS DE CORRUPCIÓN………..20 9.1.4 NIVELES DE ACEPTACIÓN O TOLERANCIA AL RIESGO………….20 9.2 EVALUACIÓN DEL RIESGOS…………………………………………...…22 9.2.1 DISEÑO DE LA EVALUACIÓN DE LOS CONTROLES………………..22 9.2.2 VALORACIÓN DE LOS CONTROLES………………………………...…24 9.2.3 NIVEL DE RIESGO RESIDUAL…………………………………….……..30 9.3 TRATAMIENTO DEL RIESGO………………………………………………31 9.3.1 ACEPTAR EL RIESGO…………………………………………………….31 9.3.2 REDUCIR EL RIESGO……………………………………………………..32 9.3.3 EVITAR EL RIESGO………………………………………………………..32 9.3.4 COMPARTIR EL RIESGO…………………………………………………32 10 MONITOREO Y REVISIÓN……………………………...…………………...33 11 LINEAMIENTOS SOBRE MATERIALIZACIÓN DE RIESGOS……...……36 12 ESTRATEGIAS PARA LA ADMINISTRACIÓN DEL RIESGO……………38 13 PRIORIZACIÓN DE RIESGOS A CONTROLAR……………………….….38 14 CONTROLES IMPLEMENTEADOS EN LA ESE IMSALUD…………..….38


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


3

14.1 OPCIONES PARA EVITAR LA MATERIALIZACION DE LOS RIESGOS APLICADOS EN LA ESE IMSALUD……………………………………………39 14.2 OPCIONES PARA REDUCIR EL RIESGO APLICADOS EN LA ESE IMSALUD……………………………………………………………………….….41 14.3 OPCIONES PARA COMPARTIR O TRANSFERIR EL RIESGO APLICADOS EN LA ESE IMSALUD…………………………………………….43 15 RECURSOS……………………………………………………………………44 16 SOCIALIZACIÓN DE LA POLÍTICA…………………………………………45 17 CAPACITACIÓN……………………………………………………………….45 18 INCUMPLIMIENTO DE LA POLÍTICA…………………………………...….45

INDICE DE TABLAS.

Tabla N° 1. Factores para cada categoría del contexto………………………10 Tabla N° 2. Criterios para calificar probabilidad……………………………….14 Tabla N° 3. Criterios para calificar impacto…………………………………….15 Tabla N° 4. Criterios para calificar impacto. Riesgos de Seguridad Digital…17 Tabla N° 5. Criterios para calificar el impacto. Riesgos de Corrupción…..…18 Tabla N° 6. Análisis y evaluación de los controles para la mitigación de los riesgos………………………………………………………………………… …24 Tabla N° 7. Peso o participación de cada variante en el diseño del control para la mitigación del riesgo…………………………………………………..…25 Tabla N° 8. Evaluación del diseño y ejecución de los controles………….….28 Tabla 9. Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos……………………………………………………….……30 Tabla N° 10. Manejo de materialización de Riesgos de Corrupción…………36 Tabla N° 11. Manejo de materialización de Riesgos de Gestión……….……37


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


4

1. INTRODUCCIÓN.

En cumplimiento de actualizar la política de Administración de riesgos según lo establecido en la nueva Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas, emitida en el mes de Octubre de 2018 por el Departamento Administrativo de la Función Pública (DAFP) en su versión 4 y teniendo en cuenta los cambios normativos dados por el Decreto 1083 de 20015, artículo 2.2.21.5.4 y en el Decreto 1499 del 11 de Septiembre de 2017; la Empresa Social del Estado ESE IMSALUD actualiza su Política de Administración del Riesgo como un instrumento que sirva de orientación para la identificación, el análisis, la valoración de los riesgos detectados y determinar roles y responsabilidades de cada uno de los servidores de la Empresa (líneas de defensa) y por ende asegurar a su vez el cumplimiento de los objetivos Institucionales y de sus procesos.

Así mismo, la Alta dirección establece la actualización de las directrices en aras de mitigar los riesgos que sean detectados a través del proceso de identificación, análisis y valoración de los riesgos tanto de los procesos identificados en el Mapa de Procesos, que fue actualizado según Resolución N° 057 del 29 de Enero de 2019, así como de los riesgos institucionales que surgen del análisis de los mapa de riesgos por procesos.

El Consejo Asesor del Gobierno Nacional en materia de control interno consideró necesario unificar la metodología existente para la administración del riesgo de gestión, de seguridad digital y de corrupción, con el fin de hacer más sencilla la utilización de esta herramienta gerencial para las entidades públicas y así evitar duplicidades o reprocesos, brindando seguridad razonable frente al logro de los objetivos.

En esta actualización se da mayor valor al diseño y ejecución de los controles que se establecen para controlar o mitigar los riesgos que se detectan por procesos y a su vez se definen las responsabilidades del seguimiento con base en las líneas de defensa, incluyendo las responsabilidades del monitoreo y revisión de manera independiente y objetiva del adecuado diseño y ejecución de los controles por parte de la tercera línea de defensa.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


5

2. OBJETIVOS.

Unificar los lineamientos en los aspectos comunes de las metodologías para la administración de todos los tipos de riesgos tanto de tipo de gestión, de seguridad digital y de corrupción y fortalecer con ello el enfoque preventivo con el fin de facilitar a las entidades, la identificación y tratamiento de cada uno de ellos.

Suministrar una metodología actualizada que permita a la ESE IMSALUD gestionar de manera efectiva todos los riesgos que afectan el logro de los objetivos estratégicos y de proceso.

Actualizar el Mapa de Riesgos que ya fue la adoptado por la ESE IMSALUD para identificar, analizar, evaluar los riesgos y determinar roles y responsabilidades de cada uno de los servidores de la entidad (esquema de las líneas de defensa) en los riesgos de gestión.

Suministrar lineamientos basados en una adecuada gestión del riesgo y control a los mismos, que permitan a la alta dirección de la empresa tener una seguridad razonable en el logro de sus objetivos.

Definir los parámetros requeridos para realizar una oportuna administración de los riesgos de la organización a través de los elementos de la metodología establecida por el DAFP que garanticen la aplicación de las medidas necesarias para su mitigación, para evitar con ello la afectación institucional por la materialización de los riesgos, asegurando con ello el normal funcionamiento de la entidad, que garantice el cumpliendo de los objetivos estratégicos de la ESE IMSALUD.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


6

3. ALCANCE.

El alcance de la Política de Administración del Riesgo va desde la formulación de la política por parte de la Gerencia, asegurando la divulgación del mapa de riesgos por procesos y el Mapa de Riesgos Institucional incluyendo los riesgo de seguridad digital y de corrupción, la aplicación y seguimiento de los controles adoptados por los líderes de procesos y termina con el control a su ejecución por parte de la Oficina de Control Interno de Gestión.

4. DEFINICIONES.

Administración del Riesgo: Un proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planeación.

Consecuencia: Resultado de un evento.

Establecimiento del contexto: Definición de los parámetros internos y externos que se han de tomar en consideración cuando se gestiona el riesgo.

Identificación del Riesgo: Proceso para encontrar, reconocer y describir el riesgo Líder o Responsable del proceso: Persona con la responsabilidad y autoridad para gestionar un riesgo.

Probabilidad: Oportunidad de que algo suceda.

Riesgo: Posibilidad de que suceda algún evento que tendrá un impacto sobre el cumplimiento de los objetivos. Se expresa en términos de probabilidad y consecuencias.

Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto.

Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas de tratamiento del riesgo.

Riesgo de Corrupción: La posibilidad de que, por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


7

intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.

Riesgo de Seguridad Digital: Combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.

Impacto: Se entiende como las consecuencias que puede ocasionar a la organización la materialización del riesgo.

Activo: en el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web, redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la organización para funcionar en el entorno digital.

CICCI: Comité Institucional de Coordinación de Control Interno.

CIGD: Comité Institucional de Gestión y Desempeño.

5. DECLARACIÓN DE LA POLÍTICA

La Empresa Social del Estado ESE IMSALUD está comprometida a controlar todos los riesgos de gestión, de corrupción y de seguridad digital identificados en los procesos de la entidad, que puedan impedir el cumplimiento de los objetivos institucionales y de los procesos, mediante una efectiva administración de los mismos, como una herramienta de gestión que se basa en la participación de todos sus servidores públicos tanto en la fase de identificación y valoración de los riesgos como en la fase de control y seguimiento a los controles establecidos para cada uno de los riesgos identificados.

6. NIVELES DE RESPONSABILIDAD

La formulación de Política de Administración del Riesgo es responsabilidad de la Gerencia de la ESE IMSALUD como parte fundamental de la línea estratégica del MECI.

El Comité Institucional de Coordinación de Control Interno (CICC), aprobará la Política de Administración del Riesgo.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


8

La dependencia de Planeación o quien haga las veces de asesores de la planeación, como segunda línea de defensa del MECI, tendrán la responsabilidad de asesorar los procesos en la gestión del riesgo así como la de consolidar el Mapa de Riesgos Institucional y de Corrupción en la empresa.

La identificación, análisis y valoración de los riesgos así como el seguimiento, análisis y evaluación de los controles, con una periodicidad trimestral, es responsabilidad de los líderes de procesos, siendo estos, integrantes de la primera línea de defensa del MECI.

Al Mapa de Riesgo por Procesos de la ESE IMSALUD se le realizará seguimiento y evaluación trimestral a través de los indicadores establecidos en cada proceso para verificar el avance y efectividad de las acciones propuestas y su impacto frente al riesgo asociado, a cargo de la 1° línea de defensa.

Es importante recalcar que los indicadores que se establezcan en el mapa de riesgos serán para medir el avance y efectividad de las acciones de control, que se definan en el mapa de riesgo.

La supervisión y Revisión del adecuado diseño y ejecución de los controles para la mitigación de los riesgos que se han establecido por parte de la primera línea de defensa y a su vez realizar las recomendaciones y seguimiento para el fortalecimiento de los mismos será ejecutada por la Oficina de Control Interno de Gestión de la ESE IMSALUD como tercera línea de defensa del MECI y estarán definidos en el Plan Anual de Auditorias.

La divulgación a través de la página Web, de la Política de Administración del Riesgo, de los Mapas de Riesgo por procesos y el Mapa de Riesgo Institucional y Corrupción estará a cargo de la dependencia de Planeación a través del Proceso Gestión de Tecnologías de la Información.

La socialización y divulgación de los mapas de Riesgos por Procesos con su equipo de trabajo será responsabilidad de los líderes de cada proceso y del tal actividad se elaborará un acta de reunión, la cual deberá ser remitida a la Líder de Planeación en el transcurso de mes siguiente a su actualización.

Los riesgos de corrupción se deben establecer sobre procesos y el líder de cada proceso será el responsable de su identificación y control.

La oficina de planeación, o quien haga sus veces, será la encargada de consolidar el mapa de riesgos de corrupción. El jefe de la Oficina Control Interno de Gestión debe adelantar seguimiento a la gestión de riesgos de corrupción.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


9

7. CLASES DE RIESGOS.

Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad, su manejo se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la gerencia.

Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución

Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.

Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

Riesgos de Corrupción: Relacionados con acciones, omisiones, uso indebido del poder, de los recursos o de la información para la obtención de un beneficio particular o de un tercero.

8. IDENTIFICACIÓN DEL RIESGO.

Esta acción debe iniciar con la formulación de los objetivos estratégicos de la empresa, los cuales estarán a cargo de la segunda línea de defensa y a su vez de los objetivos de los procesos, estos a cargo de la primera línea de defensa del MECI.

En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus causas y sus consecuencias. Para el análisis se pueden involucrar datos históricos, análisis teóricos, opiniones informadas y expertas


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


10

y las necesidades de las partes involucradas. (NTC ISO 31000, Numeral 2.15). Se debe tener en cuenta los objetivos del proceso para identificar sus riesgos.

8.1 ESTABLECIMIENTO DEL CONTEXTO.

Tabla N° 1. Factores para cada categoría del contexto. (Tomado de la Guía para la Administración del Riesgo. DAFP 2018)

CONTEXTO EXTERNO

ECONOMICOS Y FINANCIEROS

Disponibilidad de capital, liquidez, mercados financieros, desempleo, competencia.

POLÍTICOS Cambios de gobierno, legislación, políticas públicas, regulación.

SOCIALES Y CILTURALES

Demografía, responsabilidad social, orden público.

TECNOLÓGICOS Avances en tecnología, acceso a sistemas de información externos, gobierno en línea.

AMBIENTALES Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

LEGALES Y REGLAMENTARIOS

Normatividad externa (Leyes, decretos, ordenanzas y acuerdos).

CONTEXTO INTERNO

FINANCIEROS Presupuesto de funcionamiento, recursos de inversión, infraestructura, capacidad instalada.

PERSONAL Competencia del personal, disponibilidad del personal, seguridad y salud ocupacional.

PROCESOS Capacidad, diseño, ejecución, proveedores, entradas, salidas, gestión del conocimiento.

TECNOLOGÍA

Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento de sistemas de información.

ESTRATÉGICOS Direccionamiento estratégico, planeación institucional, liderazgo, trabajo en equipo.

COMUNICACIÓN INTERNA

Canales utilizados y su efectividad, flujo de la información necesaria para el desarrollo de las operaciones.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


11

CONTEXTO DEL

PROCESO

DISEÑO DEL PROCESO

Claridad en la descripción del alcance y objetivo del proceso.

INTERACCIONES CON OTROS

PROCESOS

Relación precisa con otros procesos en cuanto a insumos, proveedores, productos, usuarios o clientes.

TRANSVERSALIDAD

Procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad.

PROCEDIMIENTOS ASOCIADOS

Pertinencia en los procedimientos que desarrollan los procesos.

RESPONSABLES DEL PROCESO

Grado de autoridad y responsabilidad de los funcionarios frente al proceso.

COMUNICACIÓN ENTRE LOS PROCESOS

Efectividad en los flujos de información determinados en la interacción de los procesos.

ACTIVOS DE SEGURIDAD DIGITAL

Información, aplicaciones, hardware entre otros, que se deben proteger para garantizar el funcionamiento interno de cada proceso, como de cara al ciudadano.

8.1.1 IDENTIFICACIÓN DE ACTIVOS DE SEGURIDAD DE LA INFORMACIÓN.

Le corresponde a la primera línea de defensa identificar los activos tecnológicos inherentes a cada proceso para determinar qué es lo más importante que los procesos de la ESE IMSALUD poseen (sean bases de datos, archivos, servidores, página web, software de facturación, contable y financiero, o aplicaciones claves para que la entidad pueda cumplir con la prestación de los servicios). Así la entidad puede determinar qué es lo que debe proteger para garantizar tanto su funcionamiento interno como su funcionamiento de cara al ciudadano, aumentando así su confianza en el uso del entorno digital.

Para la identificación de los activos relacionados con seguridad digital se deben seguir varios pasos que pueden ser consultados en la sección 4.1.6 del anexo 4 “Lineamientos para la gestión del riesgo de seguridad digital en entidades públicas”, que hace parte de la guía emitida por el DAFP.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


12

8.2 IDENTIFICACIÓN DEL RIESGO.

La identificación del riesgo se realiza determinando las causas que pueden afectar el logro de los objetivos de cada proceso, con base en el contexto interno, externo y del proceso analizado.

La identificación del riesgo se lleva a cabo determinando las causas con base en el contexto interno, externo y del proceso que pueden afectar el logro de los objetivos. A partir de este levantamiento de causas se procederá a identificar el riesgo, el cual estará asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso,

Las preguntas clave a utilizar para la identificación del riesgo son:

¿QUÉ PUEDE SUCEDER? Identificar la afectación del cumplimiento del objetivo estratégico o del proceso según sea el caso.

¿CÓMO PUEDE SUCEDER? Establecer las causas a partir de los factores determinados en el contexto.

¿CUÁNDO PUEDE SUCEDER? Determinar de acuerdo con el desarrollo del proceso.

¿QUÉ CONSECUENCIAS TENDRÍA SU MATERIALIZACIÓN? Determinar los posibles efectos por la materialización del riesgo.

8.2.1 IDENTIFICACIÓN DE RIESGOS DE CORRUPCIÓN.

Es necesario que en la descripción del riesgo concurran los componentes de su definición, así:

ACCIÓN U OMISIÓN + USO DEL PODER + DESVIACIÓN DE LA GESTIÓN DE LO PÚBLICO + EL BENEFICIO PRIVADO.

Los riesgos de corrupción se deben establecer sobre cada proceso.

El riesgo debe estar descrito de manera clara y precisa. Su redacción no debe dar lugar a ambigüedades o confusiones con la causa generadora de los mismos.

Se elabora anualmente por cada responsable de los procesos al interior de las entidades junto con su equipo.

Consolidación: la oficina de planeación, o quien haga sus veces, o a la de dependencia encargada de gestionar el riesgo le corresponde liderar el proceso de administración de estos. Adicionalmente, esta misma oficina será la encargada de consolidar el mapa de riesgos de corrupción.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


13

Publicación del mapa de riesgos de corrupción: se publicará en la página web de la entidad, en la sección de transparencia y acceso a la información pública, a más tardar el 31 de enero de cada año.

La publicación será parcial y fundamentada en la elaboración del índice de información clasificada y reservada. En este caso se deberá anonimizar esa información. Es decir, la parte clasificada o reservada, aunque se elabora, no se hace visible en la publicación.

Monitoreo: Aplicando la cultura del autocontrol, los líderes de los procesos junto con su equipo realizarán monitoreo y evaluación trimestral a la gestión de riesgos de corrupción y reportar a la dependencia de planeación o quien haga sus veces, dentro de los plazos establecidos.

8.2.2 DESCRIPCIÓN DEL RIESGO DE SEGURIDAD DIGITAL.

Los riesgos de seguridad digital se basan en la afectación de tres criterios en un activo o un grupo de activos dentro del proceso: “Integridad, confidencialidad o disponibilidad”.

Para el riesgo identificado se deben asociar el grupo de activos o activos específicos del proceso y, conjuntamente, analizar las posibles amenazas y vulnerabilidades que podrían causar su materialización.

Existen tres (3) tipos de riesgos: pérdida de confidencialidad, pérdida de la integridad y pérdida de la disponibilidad de los activos. Para cada tipo de riesgo se podrán seleccionar las amenazas y las vulnerabilidades que puedan causar que dicho riesgo se materialice.

Los catálogos de amenazas y vulnerabilidades comunes se encuentran en la sección 4.1.7 del anexo “Lineamientos para la gestión del riesgo de seguridad digital en entidades públicas”.

La agrupación de activos debe ser del mismo tipo, por ejemplo, analizar conjuntamente activos tipo hardware, software, información, entre otros, para determinar amenazas y vulnerabilidades comunes que puedan afectar a dicho grupo.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


14

9. VALORACIÓN DEL RIESGO.

Consiste en establecer la probabilidad de ocurrencia del riesgo y el nivel de consecuencias o impacto, con el fin de estimar la zona de riesgo inicial (RIESGO INHERENTE).

9.1 ANÁLISIS DEL RIESGO.

Es la valoración inicial de los riesgos identificados en los diferentes procesos, teniendo en cuenta la probabilidad y el impacto antes de definir sus controles.

Los objetivos estratégicos y de proceso se desarrollan a través de actividades, pero no todas tienen la misma importancia, por lo tanto se debe establecer cuáles de ellas contribuyen mayormente al logro de los objetivos y estas son las actividades críticas o factores claves de éxito; estos factores se deben tener en cuenta al identificar las causas que originan la materialización de los riesgos (ver anexo 5. Análisis y priorización de causas).

La ESE IMSALUD aplicará las siguientes cifras en la valoración del riesgo que se aplicará al desarrollar los Mapas de Riesgo por procesos, institucionales y en los Mapas de riesgos de Corrupción.

9.1.1 CALIFICACIÓN DE LA PROBALIDAD.

La probabilidad de ocurrencia de un riesgo se define por la siguiente tabla:

Tabla N° 2. Criterios para calificar probabilidad. (Tomado de la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. DAFP 2018).

Nivel Descriptor Descripción Frecuencia

5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias

Más de 1 vez al año.

4 Probable Es viable que el evento ocurra en la mayoría de las circunstancias

Al menos 1 vez en el último año.

3 Posible El evento podrá ocurrir en algún momento

Al menos 1 vez en los últimos 2 años

2 Improbable El evento puede ocurrir en algún momento

Al menos 1 vez en los últimos 5 años

1

Rara vez El evento puede ocurrir solo en circunstancias excepcionales (poco comunes o anormales)

No se ha presentado en los últimos 5 años


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


15

9.1.2 CALIFICACIÓN DEL IMPACTO

El impacto que genera un riesgo se mide según la siguiente tabla:

Tabla N° 3. Criterios para calificar impacto. (Tomado de la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. DAFP 2018).


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


16


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


17

Tabla N° 4. Criterios para calificar impacto. Riesgos de Seguridad Digital. (Tomado de la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. DAFP 2018).


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


18

Tabla N° 5. Criterios para calificar el impacto. Riesgos de Corrupción (Fuente: Secretaría de Transparencia de la Presidencia de la República.)

N°

PREGUNTA:

SI EL RIESGO DE CORRUPCIÓN SE MATERIALIZA PODRÍA . . .

RESPUESTA

SI NO

1 ¿Afectar al grupo de funcionarios del proceso?

2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?

3 ¿Afectar el cumplimiento de misión de la entidad?

4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la entidad?

5 ¿Generar pérdida de confianza de la entidad, afectando su reputación?

6 ¿Generar pérdida de recursos económicos?

7 ¿Afectar la generación de los productos o la prestación de servicios?

8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien, servicios o recursos públicos?

9 ¿Generar pérdida de información de la entidad?

10 ¿Generar intervención de los órganos de control, de la Fiscalía u otro ente?


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


19

11 ¿Dar lugar a procesos sancionatorios?

12 ¿Dar lugar a procesos disciplinarios?

13 ¿Dar lugar a procesos fiscales?

14 ¿Dar lugar a procesos penales?

15 ¿Generar pérdida de credibilidad del sector?

16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?

17 ¿Afectar la imagen regional?

18 ¿Afectar la imagen nacional?

19 ¿Generar daño ambiental?

TOTAL

Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado. Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor. Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastrófico MODERADO: Genera medianas consecuencias sobre la entidad. MAYOR: Genera altas consecuencias sobre la entidad. CATASTRÓFICO: Genera consecuencias desastrosas para la entidad Es importante tener en cuenta que si la respuesta a la pregunta 16 es afirmativa, el riesgo se considera catastrófico. Por cada riesgo de corrupción identificado se debe aplicar la anterior tabla para calificar el impacto de los riesgos de corrupción.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


20

9.1.3 ANÁLISIS DEL IMPACTO EN RIESGOS DE CORRUPCIÓN. Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en cuenta solamente los niveles “moderado”, “mayor” y “catastrófico”, dado que estos riesgos siempre serán significativos; en este orden de ideas, no aplican los niveles de impacto insignificante y menor, que sí aplican para los demás riesgos. La probabilidad de los riesgos de corrupción se califica con los mismos cinco niveles de los demás riesgos. Aunque se utilice el mismo mapa de calor, para los riesgos de gestión y de corrupción, a estos últimos solo les aplican las columnas de impacto Moderado, Mayor y Catastrófico.

9.1.4 NIVELES DE ACEPTACIÓN O TOLERANCIA AL RIESGO. Para estimar el nivel de riesgo inicial los valores determinados para la probabilidad y el impacto o consecuencias se cruzan en la siguiente matriz de riesgo.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


21

En el caso de los riesgos de corrupción no se tiene en cuenta la clasificación de insignificante o menor.

Esta acción determina la zona de riesgo en la cual se ubica el riesgo identificado. Este primer análisis del riesgo se denomina Riesgo Inherente y se define como aquél al que se enfrenta una entidad en ausencia de acciones por parte de la Dirección para modificar su probabilidad o impacto.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


22

9.2 EVALUACIÓN DEL RIESGOS. Se busca confrontar los resultados del análisis de riesgo inicial frente a los controles establecidos, con el fin de determinar la zona de riesgo final (RIESGO RESIDUAL). Para tal fin se debe establecer unas actividades de control por parte de la primera línea de defensa y para tal fin es indispensable que dichos controles estén bien diseñados, es decir que mitigan efectivamente las causas de hacen que os riesgos se materialicen. Para cada causa o falla identificada se debe establecer uno o varios controles. Se debe evaluar si los controles están bien diseñados y si estos ejecutan como fueron diseñados. En el mapa de riesgos las causas se deben trabajar de manera separada. Cuando un control es bien eficiente y controla varias causas se debe repetir para cada causa.

9.2.1 DISEÑO DE LA EVALUACIÓN DE LOS CONTROLES. Previo a la evaluación de los controles se debe conocer cómo se diseñan estos controles. Al momento de redactar el control se deben tener en cuenta una serie de variables para asegurar el diseño del control. Pasos para diseñar un control.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


23

Las acciones de tratamiento de los riesgos se definen en 2 grupos a saber. - Disminuir la probabilidad, que se consideran como acciones encaminadas a gestionar las causas del riesgo. - Disminuir el impacto, que se consideran como acciones encaminadas a disminuir las consecuencias del riesgo. La guía metodológica de cada una de las secuencias de estos pasos está definida en la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas, emitida por el DAFP en 2018, desde la página 50 hasta la 58. En este punto de la guía se explican con detalles y ejemplos prácticos, uno a uno, los 6 pasos a desarrollar para asegurar que los controles sean efectivos e impacten favorablemente en el control de las causas identificadas como generadoras de riesgos. Para facilitar la aplicación de los controles, la ESE IMSALUD actualizó el instrumento (Mapa de Riesgos) diseñado para la gestión del riesgo en la empresa y este será entregado a cada líder para su aplicación.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


24

9.2.2 VALORACIÓN DE LOS CONTROLES

Tabla N° 6. Análisis y evaluación de los controles para la mitigación de los riesgos. (Tomado de la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. DAFP 2018).


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


25

Tabla N° 7. Peso o participación de cada variante en el diseño del control para la mitigación del riesgo. (Tomado de la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. DAFP 2018).


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


26

En este campo se debe valorar los controles para asegurar, primero que el control esté bien diseñado para mitigar el riesgo y segundo que este se ejecuta como fue diseñado y de manera consistente. Para la adecuada mitigación de los riesgos no basta con que un control esté bien diseñado, el control debe ejecutarse por parte de los responsables tal como se diseñó. Porque un control que no se ejecute, o un control que se ejecute y esté mal diseñado, no va a contribuir a la mitigación del riesgo. El resultado de cada variable de diseño, a excepción de la evidencia, va a afectar la calificación del diseño del control, ya que deben cumplirse todas las variables para que un control se evalúe como bien diseñado. Para tal fin se debe tener en cuenta los siguientes rangos de calificación:

Si el resultado de las calificaciones del control, o el promedio en el diseño de los controles, está por debajo de 96%, se debe establecer un plan de acción que permita tener un control o controles bien diseñados.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


27

Evaluación de la ejecución del control. Aunque un control esté bien diseñado, este debe ejecutarse de manera consistente, de tal forma que se pueda mitigar el riesgo. No basta solo con tener controles bien diseñados, debe asegurarse por parte de la primera línea de defensa que el control se ejecute. Al momento de determinar si el control se ejecuta, inicialmente, el responsable del proceso debe llevar a cabo una confirmación, posteriormente se confirma con las actividades de evaluación realizadas por auditoría interna o control interno. Para esta evaluación se debe tener en cuenta los siguientes rangos de calificación:

Al tener definidas estas dos evaluaciones se debe realizar un análisis y a su vez evaluar la calidad de cada valoración de cada control. Para tal fin se debe aplicar esta tabla.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


28

Tabla N° 8. Evaluación del diseño y ejecución de los controles. (Tomado de la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. DAFP 2018).

Solidez del conjunto de controles para la adecuada mitigación del riesgo. Dado que un riesgo puede tener varias causas, a su vez varios controles y la calificación se realiza al riesgo, es importante evaluar el conjunto de controles asociados al riesgo. Para su evaluación debemos tener en cuenta el siguiente esquema:


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


29

Evaluación de la solidez del conjunto de los controles. Para tal fin se aplica el siguiente esquema:

La solidez del conjunto de controles se obtiene calculando el promedio aritmético simple de los controles por cada riesgo. Es decir la sumatoria de la calificación de todos los controles establecidos para un riesgo sobre el número de controles.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


30

9.2.3 NIVEL DE RIESGO RESIDUAL.

La mayoría de los controles que se diseñan son para disminuir la probabilidad de que ocurra una causa o evento que pueda llevar a la materialización del riesgo y muy pocos son dirigidos al impacto. Generalmente se encuentran más controles que disminuyen directamente la probabilidad que el impacto. Si no existieran controles para disminuir la probabilidad del riesgo, el impacto de un riesgo por el número de eventos que se llegarían a materializar sería mayor, por tal razón, y para efectos de la elaboración de la matriz al momento de evaluar si los controles ayudan a disminuir el impacto o la probabilidad, estos controles se calificarán teniendo en cuenta que de manera indirecta disminuyen también el impacto. Desplazamiento del riesgo inherente para calcular el riesgo residual. Dado que ningún riesgo con una medida de tratamiento se evita o elimina, el desplazamiento de un riesgo inherente en su probabilidad o impacto para el cálculo del riesgo residual se realizará de acuerdo con la siguiente tabla: Tabla 9. Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos. (Tomado de la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. DAFP 2018).


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


31

Si la solidez del conjunto de los controles es débil, este no disminuirá ningún cuadrante de impacto o probabilidad asociado al riesgo. Tratándose de riesgos de corrupción únicamente hay disminución de probabilidad. Es decir, para el impacto no opera el desplazamiento.

9.3 TRATAMIENTO DEL RIESGO Es la respuesta establecida por la primera línea de defensa para la mitigación de los diferentes riesgos, incluyendo aquellos relacionados con la corrupción. A la hora de evaluar las opciones existentes en materia de tratamiento del riesgo, los dueños de los procesos tendrán en cuenta la importancia del riesgo, lo cual incluye el efecto que puede tener sobre la entidad, la probabilidad e impacto de este y la relación costo-beneficio de las medidas de tratamiento. Como medio para propiciar el logro de los objetivos, las actividades de control se orientan a prevenir y detectar la materialización de los riesgos. Por consiguiente su efectividad depende, de qué tanto se está logrando los objetivos estratégicos y de proceso de la entidad. Le corresponde a la primera línea de defensa el establecimiento de actividades de control. Actividades de Control. Son las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos que inciden en el cumplimiento de los objetivos. Las políticas de operación establecen las líneas generales del control interno. Los procedimientos son los que llevan dichas políticas a la práctica. Los controles se despliegan a través de los procedimientos documentados. En todos los casos para los riesgos de corrupción la respuesta será evitar, compartir o reducir el riesgo. El tratamiento o respuesta dada al riesgo, se enmarca en las siguientes categorías:

9.3.1 ACEPTAR EL RIESGO. No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo. Si el nivel de riesgo cumple con los criterios de aceptación de riesgo no es necesario poner controles y este puede ser aceptado. Esto aplica para


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


32

riesgos inherentes en la zona de calificación de riesgo bajo. En ambos escenarios debe existir un seguimiento continuo del riesgo. En el caso de riesgos de corrupción, estos no pueden ser aceptados.

9.3.2 REDUCIR EL RIESGO. Se adoptan medidas para reducir la probabilidad o el impacto del riesgo, o ambos; por lo general conlleva a la implementación de controles. Es la toma de medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención) como el impacto (medidas de protección). Es el método más económico y sencillo, el cual se logra mediante la optimización de los procesos y la implementación de controles. El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda reevaluar como algo aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el impacto del riesgo. Para mitigar/tratar los riesgos de seguridad digital se deben emplear como mínimo los controles que se encuentran en el anexo 4. “Lineamientos para la gestión del riesgo de seguridad digital de la presente guía”.

9.3.3 EVITAR EL RIESGO. Se abandonan las actividades que dan lugar al riesgo, es decir, no iniciar o no continuar con la actividad que lo provoca. Consiste en tomar las medidas encaminadas a prevenir su materialización. Es la primera alternativa a considerar y se logra cuando al interior de los procesos se genera cambios sustanciales como resultado de unos adecuados controles. Cuando los escenarios de riesgo identificado se consideran demasiado extremos se puede tomar una decisión para evitar el riesgo, mediante la cancelación de una actividad o un conjunto de actividades. Se abandonan las actividades que dan lugar al riesgo y se decide no iniciar o no continuar con las actividades que lo causan.

9.3.4 COMPARTIR EL RIESGO. Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de este. Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable o se carece de conocimientos necesarios para gestionarlo,


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


33

este puede ser compartido con otra parte interesada que pueda gestionarlo con más eficacia. Se reduce el efecto traspasando las pérdidas a otras organizaciones, como el caso de los contratos de seguros o también con contratos con riesgo compartido. Los riesgos de corrupción se pueden compartir pero no se puede transferir su responsabilidad. Estos mecanismos de transferencia de riesgos deberían estar formalizados a través de un acuerdo contractual. Clasificación de las actividades de control. Controles preventivos: Controles que están diseñados para evitar un evento no deseado en el momento en que se produce. Este tipo de controles intentan evitar la ocurrencia de los riesgos que puedan afectar el cumplimiento de los objetivos. Controles detectivos: Controles que están diseñados para identificar un evento o resultado no previsto después de que se haya producido. Buscan detectar la situación no deseada para que se corrija y se tomen las acciones correspondientes

10. MONITOREO Y REVISIÓN La entidad debe asegurar el logro de sus objetivos anticipándose a los eventos negativos relacionados con la gestión de la entidad. El modelo integrado de planeación y gestión (MIPG) en la dimensión 7 “Control interno” desarrolla, a través de las líneas de defensa, la responsabilidad de la gestión del riesgo y control. Las líneas de defensa es un modelo de control que establece los roles y responsabilidades de todos los actores del riesgo y control en una entidad, este proporciona aseguramiento de la gestión y previene la materialización de los riesgos en todos sus ámbitos. El monitoreo y revisión de la gestión de riesgos está alineado con la 7° dimensión del MIPG de “Control interno”, que se desarrolla con el MECI a través de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como sigue: Línea Estratégica: Define el marco general para la gestión del riesgo y el control y supervisa su cumplimiento, está a cargo de la alta dirección y el comité institucional de coordinación de control interno.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


34

1° Línea de Defensa: Desarrolla e implementa procesos de control y gestión de riesgos a través de su identificación, análisis, valoración, monitoreo y acciones de mejora. A cargo de los gerentes públicos y líderes de los procesos, programas y proyectos de la entidad. Rol principal: diseñar, implementar y monitorear los controles, además de gestionar de manera directa en el día a día los riesgos de la entidad. Así mismo, orientar el desarrollo e implementación de políticas y procedimientos internos y asegurar que sean compatibles con las metas y objetivos de la entidad y emprender las acciones de mejoramiento para su logro. 2° Línea de Defensa: Asegura que los controles y los procesos de gestión de riesgos implementados por la primera línea de defensa, estén diseñados apropiadamente y funcionen como se pretende. A cargo de los servidores que tienen responsabilidades directas en el monitoreo y evaluación de los controles y la gestión del riesgo: jefes de planeación, supervisores e interventores de contratos o proyectos, coordinadores de otros sistemas de gestión de la entidad. Rol principal: monitorear la gestión de riesgo y control ejecutada por la primera línea de defensa, complementando su trabajo. 3° Línea de Defensa: Proporciona información sobre la efectividad del S.C.I., a través de un enfoque basado en riesgos, incluida la operación de la primera y segunda línea de defensa. A cargo de la Oficina de Control Interno de Gestión. El rol principal: proporcionar un aseguramiento basado en el más alto nivel de independencia y objetividad sobre la efectividad del S.C.I. El alcance de este aseguramiento, a través de la auditoría interna cubre todos los componentes del S.C.I. Los roles de monitoreo y revisión de cada línea de defensa están definidas en la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. DAFP 2018, desde la página 77 hasta la página 80 y estos serán de obligatorio cumplimiento por cada uno de sus responsables. El monitoreo y revisión deberán realizarse cada trimestre vencido y se deben reportar las actas de este seguimiento a la Oficina de Control Interno de Gestión y a la Líder de Planeación para sus respectivos seguimientos como se establece en el numeral 6 de esta Política (Niveles de Responsabilidad).


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


35

En cuanto a la periodicidad del seguimiento, para los riesgos asociados a posibles actos de corrupción, se debe dar cumplimiento a las fechas establecidas por la guía de la Secretaría de Transparencia, denominada “Estrategias para la construcción del plan anticorrupción y de atención al ciudadano”. El seguimiento y monitoreo de la Política de Administración del Riesgo de la ESE IMSALUD se realizará teniendo en cuenta las responsabilidades establecidas en el numeral 6 de esta Política (Niveles de Responsabilidad) Del proceso de Seguimiento y Monitoreo se generarán Planes de Mejoramiento, a los cuales se les hará evaluación y seguimiento por parte de los Líderes de Proceso y la Oficina de Control Interno de Gestión. Igual procedimiento se aplicará para el Mapa de Riesgos de Corrupción el cual tendrá seguimiento y monitoreo por la dependencia de Planeación. La evaluación Independiente realizada por la Oficina de Control Interno de Gestión, deberá analizar el diseño e idoneidad de los controles, determinando si son o no adecuados para prevenir o mitigar los riesgos de los procesos, haciendo uso de las técnicas establecidas en la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. DAFP 2018. La dependencia de Planeación o quien haga sus veces como asesores de la planeación, tendrán la responsabilidad de asesorar los procesos en la gestión del riesgo así como la de consolidar el Mapa de Riesgos Institucional y de Corrupción en la empresa, y realizará sus respectivos seguimientos a fin de suministrar a la Gerencia información vital para la toma de decisiones en esta materia. La supervisión y seguimiento a la implementación será ejecutada por la Oficina de Control Interno de Gestión de la ESE IMSALUD con una periodicidad trimestral y estarán definidos en el Plan Anual de Auditorias; esta Oficina entregará los resultados de la evaluación independiente junto con sus recomendaciones al Comité Institucional de Coordinación de Control Interno y reportará el seguimiento a los riesgos de corrupción. La identificación, análisis y valoración de los riesgos así como el seguimiento, análisis y evaluación de los controles, con una periodicidad trimestral, es responsabilidad de los líderes de procesos, así mismo la actualización de los mapas de riesgos de sus respectivos procesos.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


36

La divulgación de la Política de Administración del Riesgo y de los Mapas de Riesgo y de Corrupción estará a cargo de cada uno de los líderes de proceso, usando para tal fin todos los métodos de comunicación de la información establecidos por la empresa a través de la Política de Comunicaciones.

11. LINEAMIENTOS SOBRE MATERIALIZACIÓN DE RIESGOS Cuando dentro del seguimiento realizado, ya sea por parte de la Oficina de Control Interno de Gestión o por parte de los líderes de procesos, se establece la materialización de uno o más riesgos; se deben adoptar las siguientes acciones según quien se el funcionario o servidor que los detecte: Tabla N° 10. Manejo de materialización de Riesgos de Corrupción. (Adaptada de la Guía para la Administración del Riesgo. DAFP 2014).

DETECTADO POR RIESGOS DE CORRUPCIÓN

Oficina de Control Interno de Gestión

1. Informar al Líder del proceso, quien analizará la situación y definirá las acciones a que haya lugar.

2. Convocar al Comité Institucional de Coordinación de Control Interno e informar sobre los hechos detectados, desde donde se tomarán las decisiones para iniciar la investigación de los hechos

3. Una vez surtido el conducto regular establecido por la entidad y dependiendo del alcance (normatividad asociada al hecho de corrupción materializado), realizar la denuncia ante el ente de control respectivo.

4. Informar a la segunda línea de defensa para facilitar el inicio de las acciones correspondientes con el líder del proceso, para revisar el mapa de riesgos y sus controles asociados.

5. Verificar que se tomaron las acciones y se actualizó el mapa de riesgos de corrupción.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


37

Líder del Proceso o miembro del

equipo de trabajo del Proceso

1. Informar a la Gerencia y a la segunda línea de defensa

sobre el hecho encontrado.

2. Una vez surtido el conducto regular establecido por la entidad y de considerarlo necesario, realizar la denuncia ante el ente de control respectivo

3. Realizar el análisis de causas y determinar acciones preventivas y de mejora.

4. Iniciar con las acciones correctivas necesarias y documentarlas en el Plan de mejoramiento..

5. Análisis y actualización del mapa de riesgos.

Cuando los riesgos materializados son de la gestión identificados tanto en el Mapa de Riesgos por Procesos o si estos hacen parte del Mapa de Riesgos Institucional se deben adoptar las siguientes acciones según quien se el funcionario o servidor que los detecte: Tabla N° 11. Manejo de materialización de Riesgos de Gestión. (Adaptada de la Guía para la Administración del Riesgo. DAFP 2014).

DETECTADO POR RIESGOS DE GESTIÓN.

(ZONA EXTREMA, ALTA Y MODERADA)

RIESGO DE GESTIÓN.

(ZONA BAJA)

Oficina de Control

Interno de Gestión

1. Informar al líder del proceso sobre el hecho encontrado.

1. Informar al líder del proceso sobre el hecho.

2. Orientar al líder del proceso para que realice la revisión, análisis y acciones correspondientes para resolver el hecho.

3. Verificar que se tomaron las acciones y que se actualizó el mapa de riesgos correspondiente.

2. Orientar técnicamente sobre las acciones determinadas en la política de riesgos institucional.

4. Convocar al Comité de Coordinación de Control Interno e informar sobre la actualización realizada


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


38

Líder del

Proceso o miembro del

equipo de trabajo del

Proceso

1. Tomar las acciones correctivas necesarias, dependiendo del riesgo materializado.

Aplicar las orientaciones de la política de riesgos institucional. (Verificar los niveles de aceptación del riesgo).

2. Iniciar el análisis de causas y determinar acciones preventivas y de mejora

3. Analizar y actualizar el mapa de riesgos

4. Informar a la Alta Dirección sobre el hallazgo y las acciones tomadas.

De acuerdo con seguimiento realizado es importante considerar al final de cada vigencia si los mapas de riesgos deben ser actualizados o si se mantienen bajo las mismas condiciones en cuanto a factores de riesgo, identificación, análisis y valoración del riesgo. No obstante, los mapas de riesgos deben ser flexibles y permitir cambios cuando se requieran.

12. ESTRATEGIAS PARA LA ADMINISTRACIÓN DEL RIESGO. • Aplicar la metodología establecida por el Departamento Administrativo de la Función Pública (Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas. DAFP 2018) para la administración del riesgo en la entidad. • Realizar la comunicación y divulgación de la administración del riesgo en la entidad a los procesos definidos en el Mapa Riesgos por Procesos y en el Mapa Institucional de Riesgos y Mapa de Riesgos de Corrupción de la entidad. • Capacitar al equipo de trabajo y realizar acompañamiento para el desarrollo del enfoque de administración del riesgo en las actividades diarias. • Realizar seguimiento estricto a los riesgos más críticos identificados en el Mapa de Riesgos por Procesos de la entidad, a cargo del líder del respectivo proceso., incluyendo el seguimiento a los controles establecidos y sus indicadores.

13. PRIORIZACIÓN DE RIESGOS A CONTROLAR. A partir de la actualización de la política, se establece que la ESE IMSALUD realizará la respectiva identificación, evaluación, seguimiento y control de


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


39

todos los riesgos establecidos en el Mapa de Riesgo Institucional y los Mapas de Riesgos por Procesos de la empresa. El Mapa de Riesgos Institucional de desarrollará tomando los riesgos residuales que sean calificados como altos y extremos en los Mapas de Riesgo por Procesos. En el Mapa de Riesgo de Corrupción todos los riesgos identificados serán considerados como de alto impacto para la empresa y se deberán tomar acciones contundentes para su control.

14. CONTROLES IMPLEMENTEADOS EN LA ESE IMSALUD. La ESE IMSALUD actualmente tiene implementados, una serie de controles traducidos en políticas, estrategias y acciones tendientes a evitar los efectos adversos que se puedan presentar en el desarrollo de la gestión institucional. A continuación se esbozan muy sucintamente para que se tenga claridad que cuales controles se están aplicando en la actualidad en la empresa según las opciones del tratamiento del riesgo como son evitar, reducir y transferir. Estos son:

14.1 OPCIONES PARA EVITAR LA MATERIALIZACION DE LOS RIESGOS APLICADOS EN LA ESE IMSALUD.

14.1.1 Implementación de controles

Bajo los siguientes lineamientos de tipo general la Alta Dirección de la E.S.E IMSALUD busca una gestión de resultados orientada hacia las personas y su dimensión ética, así como el desarrollo eficaz de los procesos. Acuerdo 087 de 1999 por el cual fue creada la E.S.E IMSALUD por el honorable Concejo Municipal de San José de Cúcuta. Resolución 090 del 09 de Marzo de 2017, por medio de la cual se dictan disposiciones de organización del Comité Coordinador de Control Interno de la ESE IMSALUD. Resolución 494 de 2017, por la cual se crea el Comité Institucional de Gestión y Desempeño en la ESE IMSALUD.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


40

Resolución 502 de 2017, por la cual se adopta el Sistema de Gestión Modelo Integrado de Planeación y Gestión (MIPG) y se dan los lineamientos para su implementación. Resolución 505 de 2017, por el cual se adoptan la actualización de la Política de Administración de Riesgo de la ESE IMSALUD. Resolución 040 de 2018 por la cual se asignan funciones de Representante de la Alta Dirección ante el Sistema de Gestión Modelo Integrado de Planeación y Gestión (MIPG). Resolución 057 de 2019, por la cual se actualiza el Mapa de Procesos de la ESE IMSALUD.

14.1.2 Política de integridad. El Código de Integridad de la ESE IMSALUD se constituye en un conjunto de criterios para la mejor toma de decisiones éticas y comportamientos. La Función pública espera que cada uno de los integrantes de las entidades públicas del orden nacional y territorial aplique e interioricen estos 5 valores para alcanzar las metas propuestas de manera exitosa, dentro de los más altos estándares éticos. El objetivo fundamental de esta herramienta es que los valores seleccionados en forma participativa por el DAFP a nivel nacional, sean apropiados en nuestra acción diaria, tanto en la vida laboral como en la vida personal, nos identifiquen y sean factor de orgullo, capaces de responder por el cumplimiento de la misión institucional y que permitan minimizar toda clase de riesgos en el desarrollo de las funciones.

14.1.3 Proceso de capacitación y formación. El contar con empleados calificados y asegurar el mejor desempeño y desarrollo de los recursos humanos de los que disponen la entidad conllevan necesariamente a establecer procesos de capacitación eficientes. Las etapas correspondientes al proceso de capacitación por las que se rige la E.S.E IMSALUD están dadas en: detectar las necesidades, identificar los recursos, diseñar el plan de capacitación, ejecutar el programa y evaluar, controlar y darle el seguimiento correspondiente para lo cual se cuenta con los Proyecto de aprendizaje en Equipo (PAE) y el Grupo de Trabajo del PIC, quienes


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


41

coordinan y supervisan la ejecución del Programa Institucional de Capacitaciones (PIC) en forma anual.

14.1.4 Programas de mantenimiento preventivo para equipos. El programa de mantenimiento preventivo y correctivo para equipos y bienes, es una de las políticas aplicadas en la ESE IMSALUD para prevenir o evitar la materialización de los riesgos; este se dirige al parque automotor, equipos de cómputo, sistemas de información, aires acondicionados, plantas eléctricas de las Unidades Básicas, equipos médicos, odontológicos, laboratorio, ambulancias, rayos X de la empresa.. El propósito fundamental del mantenimiento preventivo es el de inspeccionar los equipos y detectar las fallas en su fase inicial, corrigiéndolas en el momento

oportuno para garantizar que la prestación del servicio se den forma continua y con calidad.

14.1.5 Formulación de planes operativos anuales (poas) Definido en el plan de desarrollo institucional de la ESE IMSALUD, el plan operativo anual (POA), es el componente fundamental para asegurar la real y efectiva ejecución de la estrategia institucional. Mediante éste se busca un proceso participativo, a fin de determinar las acciones a realizar para la consecución de los objetivos y metas, al igual que para garantizar los medios correspondientes, los recursos necesarios y los responsables, para asegurar y controlar que dichos objetivos serán alcanzados en todos los niveles de la Institución.

14.1.6 Sistema de gestión de seguridad y salud en el trabajo. El sistema de gestión de seguridad y salud en el trabajo en la ESE IMSALUD orienta sus actividades al control de los riesgos que puedan generar pérdidas, reduciendo el impacto de los accidentes de trabajo y las enfermedades laborales; para esto se compromete a identificar los peligros, evaluar y valorar los riesgos, establecer los respectivos controles para la prevención de los Accidentes de Trabajo y las Enfermedades Laborales (ATEL), la protección integral de los trabajadores, contratistas, estudiantes, usuarios y todas las personas que interactúan dentro de la prestación de los servicios, cumpliendo con la normatividad vigente en materia de riesgos laborales y promoviendo la participación activa de todas las partes interesadas.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


42

14.2 OPCIONES PARA REDUCIR EL RIESGO APLICADOS EN LA ESE IMSALUD.

Esta clase de controles busca disminuir tanto la probabilidad de ocurrencia del riesgo, como el impacto que este puede generar institucionalmente, se tienen implementadas las siguientes acciones:

14.2.1 Optimización de los procesos y procedimientos La ESE IMSALUD cuenta con 27 procesos identificados en su Mapa de Procesos, de los cuales 1 es estratégico, 12 son Misionales, 12 son de apoyo y 2 son de evaluación. Todos estos procesos cuentan con su caracterizador, actividades descritas y sus procedimientos con los formatos respectivos. Este mapa de procesos se actualizó en el 2019. Estos procesos están en continua evaluación siguiendo la aplicación del ciclo PHVA y se realizarán los ajustes requeridos para mejorar los controles y se adaptarán a la cambiante normatividad del sector público, especialmente en lo referente al sector salud.

14.2.2 Comités Actualmente la entidad cuenta con una serie de comités organizados y conformados mediante acto administrativo, como organismos autónomos de las dependencias, cuyo objetivo es asesorar en el control y vigilancia de las acciones y servicios que proporciona la E.S.E. IMSALUD. A todos estos comités debe asistir como veedor el Jefe de la Oficina de Control Interno de Gestión y desarrollar la labor de enfoque hacia la prevención (Decreto 648/2017 Art. 2.2.21.5.3). El Comité encargado del control del seguimiento al riesgo y sus controles es el Comité Institucional de Coordinación de Control Interno.

14.2.3 Fortalecimiento del ejercicio de la Autoevaluación La ESE IMSALUD ha venido fortaleciendo la cultura de la autoevaluación y autocontrol con el fin de que cada servidor público, independiente de su nivel jerárquico tenga la capacidad de evaluar su trabajo, detectar desviaciones, efectuar correctivos, mejorar y solicitar ayuda cuando lo considere necesario, de tal suerte que la ejecución de los procesos, actividades y tareas para su responsabilidad, garanticen el ejercicio de una función administrativa


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


43

transparente y eficaz y a su vez le permita hacer el seguimiento a los riegos propios de su proceso.

14.2.4 Evaluación Independiente del Sistema de Control Interno La E.S.E. IMSALUD evalúa su Sistema de Control Interno Institucional, en cumplimiento de la Ley 87 de 1993, con el fin de determinar el cumplimiento de los objetivos principios y fundamentos del Sistema de Control Interno. La evaluación la desarrolla la Oficina de Control Interno de Gestión verificando el funcionamiento de las diferentes líneas de defensa del modelo MECI y comprobando la efectividad de cada uno de ellas y su interacción para apoyar el cumplimiento de los objetivos de la entidad con enfoque de prevención del riesgo. La evaluación consiste en el diligenciamiento del Formulario Único de Registro de los Avances de la Gestión versión 2. (FURAG II), encuesta elaborada por el Departamento Administrativo de la Función Pública y se genera un informe respecto de la madurez del Sistema de Gestión incluyendo la evaluación del MECI como método de control de riesgos para asegurar el cumplimiento de la misión y objetivos de la empresa. De esta evaluación se genera una calificación anual de cada dimensión del modelo para cada entidad a nivel nacional y territorial y con enfoque diferencial.

14.2.5 Proceso Auditoria Interna Se constituye en el mecanismo que permite llevar a cabo un examen sistemático, objetivo e independiente de los procesos, actividades, operaciones y resultados de la entidad, a fin de determinar si los recursos se han utilizado con la debida consideración por su economía, eficiencia, eficacia y transparencia, si se han observado las normas internas y externas que le sean aplicables. Su objetivo es emitir juicios fundados a partir de evidencias sobre el grado de cumplimiento de los objetivos, los planes, los programas y los proyectos; así como de irregularidades o errores presentado en la operación de la entidad, apoyando a la dirección en la toma de decisiones necesarias a corregir las desviaciones, sugiriendo las acciones de mejoramiento. Para tal efecto, la oficina de Control Interno de Gestión estableció unos parámetros para la realización de sus actividades que le garanticen una


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


44

valoración objetiva del Sistema de Control Interno, así como de la gestión a nivel institucional y de cada una de sus dependencias.

14.3 OPCIONES PARA COMPARTIR O TRANSFERIR EL RIESGO

APLICADOS EN LA ESE IMSALUD. Esta clase de acciones permiten reducir el efecto del riesgo a través del traspaso de las pérdidas a otras organizaciones, o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad. Cierta clase de riesgos identificados por las dependencias no aparecen en el mapa de riesgos institucional, en razón a que se consideraron únicamente aquellos que afectaran específicamente la ejecución de los procesos. Sin embargo y teniendo en cuenta que hay una serie de eventos que indirectamente influyen en el desarrollo de la gestión, ante cualquier clase de afectación que se presente en los servidores, como en los bienes de su propiedad, su tratamiento parte del establecimiento apropiado de una estrategia que saque del escenario institucional estos riesgos asegurables, cubriéndolos mediante el uso adecuado de pólizas y garantías.

14.3.1 Procedimientos de seguridad para el resguardo de la información institucional.

Para evitar la posible pérdida de la información, la empresa cuenta con un proceso de respaldo que permite efectuar copias de seguridad (backup), tanto a los archivos de trabajo como a los archivos de bases de datos para cada una de las dependencias y archivo documental de los procesos. Actualmente el Proceso Gestión de Tecnologías de la Información ha dispuesto guardar la información más relevante de las IPS y Unidades Básicas en la sede central de la ESE IMSALUD. La ESE IMSALUD está desarrollando la Estrategia de Gobierno Digital en su componente “Seguridad y Privacidad de la Información” que comprende las acciones transversales a los demás componentes enunciados, tendientes a proteger la información y los sistemas de información, del acceso, uso, divulgación, interrupción o destrucción no autorizada.


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


45

14.3.2 Seguridad para protección del personal y bienes de la entidad. La entidad debe contratada una firma especializada en seguridad, encargada de garantizar la protección y seguridad de los servidores, como de sus instalaciones y bienes. 14.3.3 Pólizas. La E.S.E IMSALUD debe contar con pólizas para amparar de riesgos a sus bienes, activos, patrimonio, personas, así como pólizas de manejo que sea necesario. Actualmente contamos con las siguientes pólizas que cubren integralmente los riesgos de la entidad.

15. RECURSOS. La Gerencia de la ESE IMSALUD contemplará los recursos necesarios para la definición, implementación y efectividad de las acciones que permitan un tratamiento adecuado de los riesgos, teniendo en cuenta la viabilidad financiera y la evaluación del costo-beneficio para aplicar dichas acciones. Para ello la Gerencia se apoyará en los procesos que tengan incidencia en el cálculo, aplicación o solicitud de los recursos técnicos, financieros y de talento humano requeridos.

16. SOCIALIZACIÓN DE LA POLÍTICA. Con el fin de contribuir a que la administración del riesgo se convierta en parte integral del desarrollo del Sistema Integral de Control Interno de la ESE IMSALUD, la Política de Administración de Riesgos, los Mapas de Riesgos por Procesos y el Mapa de Riesgos Institucional y Corrupción, será liderada por la dependencia de Planeación y se divulgará a todos los servidores públicos de la empresa a través de los medios de comunicación establecidos al interior de la misma en el Plan de Medios adoptado y cumpliendo los lineamientos establecidos en la estrategia de Gobierno Digital. Esta divulgación estará a cargo de Prensa y Comunicaciones. Será responsabilidad de los líderes de procesos la socialización con su grupo de trabajo.

17. CAPACITACIÓN. La Gerencia de la ESE IMSALUD garantizará los recursos necesarios en el presupuesto para el cumplimiento del Plan Institucional de Capacitaciones (PIC) el cual será definido a través de los Proyecto de Aprendizaje en Equipo


CODIGO: PA-GD-FO-08

FECHA: 19 /12/2014


DEL RIESGO


46

(PAE) teniendo en cuenta las necesidades de capacitación presentadas por los Líderes de Proceso, tendientes a hacer operativa la Política de Administración del Riesgo y su implementación al interior de todos los procesos de la empresa. Los Líderes de Proceso serán los responsables de establecer las necesidades de capacitación de sus equipos de trabajo.

18. INCUMPLIMIENTO DE LA POLÍTICA. La Gerencia ha definido que toda falta que se dé, ya sea por omisión o por acción y que sea causal de incumplimiento o retraso de la ejecución de la Política de Administración del Riesgo de la ESE IMSALUD, será remitida a la Unidad Interna Disciplinaria de la empresa para su debido proceso y determinación de las responsabilidad y sanciones a imponer. Paralelamente al proceso disciplinario se tomaran los correctivos necesarios para garantizar la normalización de la situación, subsanar el evento sucedido o eliminar la causa raíz del problema identificado. KATHERINE CALABRÓ GALVIS Gerente ESE IMSALUD.

ESE IMSALUD. 2019

Documents

Transcript of ESE IMSALUD. 2019