manual del sistema de administraciÓn de...

SISTEMA OBLIGATORIO DE LA GARANTIA DE CALIDAD

MANUAL DEL SISTEMA DE ADMINISTRACION DEL RIESGO

Código:

Versión: 01

Fecha Elaboración:

Vigente Desde: 02/01/2017

Proyecto: Verifico: Aprobó: Gerencia

Julio C Delgado Luis A. Díaz P

TRABAJAMOS CON CALIDAD Y OPORTUNIDAD” Carrera 2 No 6-26. E-mail [email protected] Telefax.8148854008

Página 1 de36

MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE

RIESGOS

2018



Código:

Versión: 01

Fecha Elaboración:





Página 2 de36



Código:

Versión: 01

Fecha Elaboración:





Página 3 de36

Tabla de Contenido

Concepto Pág.

Introducción 3

Objetivos del Manual 5

Proceso de Gestión de Planeación 7

Definición de la Política General del SAR 9

Líderes del Proceso 10

Oficina de Control Interno 11

Pasos para detectar cambios 11

Identificación de posibles actualizaciones 11

Establecer Impacto y la Probabilidad de Ocurrencia del SAR 12

Estructura de comunicación 13

Desarrollo de la cultura y orientación del SAR 14

Actividades de Capacitación y Concientización del SAR 15

Pilar Metodológico para la implementación del SAR 16

Cadena de valor como base del SAR 16

Procesos 17

Criterios Generales – Mapa de Riesgos 18

Severidad del Riesgo 19

Criterios de la probabilidad y magnitud del impacto 19

Magnitud del impacto 20

Tipo de ocurrencia 21

Categorías de riesgos 22

Categorías de fallas 23

Evaluación de los controles 24

Tratamiento de riesgos 24

Pasos para la identificación de riesgos 25

Desarrollo y fortalecimiento del esquema de Autocontrol 28

Participantes del esquema de autocontrol 31

Ciclo del esquema de autocontrol 32

Definición de términos 33



Código:

Versión: 01

Fecha Elaboración:





Página 4 de36

INTRODUCCIÓN

Ninguna organización es inmune o exenta al riesgo. Es más, los riesgos de negocios de cada organización cambian constantemente. La naturaleza de

los riesgos y las consecuencias potenciales de los mismos, que enfrentan las organizaciones son cada vez más complejas y sustanciales. La rapidez del cambio, la creciente complejidad de la economía mundial, las

expectativas más exigentes de los clientes, la intensidad de los competidores, el impacto dramático de una falla en los controles, los

rápidos cambios en las tecnologías y un sinnúmero de otros factores, afectan a las organizaciones de manera tal que en muchas ocasiones su capacidad de reacción no es la más oportuna y su estructura

organizacional no se encuentra preparada. Ninguna organización puede eliminar completamente los riesgos de

negocios. Esto es un hecho inherente a la realidad de las empresas. La Alta Dirección del CENTRO DE SALUD SALUDYA E.S.E, decide qué nivel

de riesgo es aceptable y crea una estructura de control que lo mantenga dentro de los límites apropiados. En la administración de riesgos de los negocios, la clave es el equilibrio eficaz entre el riesgo y el control.

Teniendo en cuenta la descripción anterior, es indispensable la creación e

implementación de un Sistema de Administración de Riesgo (SAR) que le permita a la Entidad gestionar sus procesos, identificando y administrando sus riesgos y así mismo, fortaleciendo el Sistema de Control

Interno. La Administración de Riesgos es un proceso sistemático, que hace parte integral de las buenas prácticas gerenciales y posibilita una mejora continua en el proceso de toma de decisiones.

La administración del riesgo ayuda al conocimiento y al mejoramiento de

la Entidad, contribuye a elevar la productividad, garantizar la eficiencia y la eficacia en los procesos organizacionales, permitiendo definir estrategias de mejoramiento continuo, brindando un manejo sistemático de la misma.

Con el objetivo de afianzar a la E.S.E. SALUDYA en administración del

riesgo, es necesario adoptar una POLITICA desde el Alta Dirección, que establezca los lineamientos para que los funcionarios y colaboradores de la Institución, pueda identificar, valorar y mitigar los riesgos a que

constantemente estamos expuestos, el reto es que la administración del



Código:

Versión: 01

Fecha Elaboración:





Página 5 de36

riesgo sea incorporado al interior de nuestra Entidad, como una política de

gestión por parte de la Alta Dirección, con la participación y respaldo de todos.

La Política debe ser transformada en una consigna Institucional, que fomente las acciones transparentes en la gestión de la Alta Dirección, y que apoyada por las actividades preventivas y de autocontrol, se

garanticen los mejores resultados en beneficio de la E.S.E. SALUDYA.

ORIGINAL FIRMADO LUIS ALBERTO DIAZ PASICHANA

Gerente E.S.E. SALUDYA



Código:

Versión: 01

Fecha Elaboración:





Página 6 de36

OBJETIVOS:

El presente Manual tiene por objeto describir los elementos que conforman el Sistema de Administración de Riesgos (SAR) del CENTRO DE SALUD

SALUDYA E.S.E, frente a:

Las directrices sobre las cuales se fundamenta el Sistema de

Administración de Riesgos (SAR) de La E.S.E. SALUDYA

Los elementos que componen el SAR.

Los criterios requeridos para desarrollar el SAR.

Las áreas de análisis y los riesgos a considerar en la aplicación del

Sistema

Los roles y responsabilidades de las diferentes áreas y asociados de

la E.S.E. SALUDYA frente al SAR.

La metodología de identificación, medición, control de los riesgos a

los que se encuentra expuesta la Entidad en las diferentes áreas de análisis.

El monitoreo del perfil de riesgos en Salud y demás riesgos a los que

la E.S.E, se encuentra expuesta.

Alcance del Manual

Las políticas, normas y procedimientos descritos en este manual serán conocidos y aplicados por todas las oficinas o sedes de la Entidad y para

todas las áreas de la salud, misional, operativa y administrativas y financieras de la E.S.E. SALUDYA.

El Sistema de Administración de Riesgos tiene como objetivo la identificación, evaluación, medición y aplicación de mecanismos de

mitigación y monitoreo de los riesgos que puedan afectar de manera negativa los objetivos de la E.SA.E, que puedan generar pérdidas económicas a la Organización o que afecten el bienestar de los agentes

económicos relacionados con:



Código:

Versión: 01

Fecha Elaboración:





Página 7 de36

Garantizar el mejor manejo de los recursos.

Identificar y monitorear los riesgos significativos. Establecer los límites de riesgo para cada riesgo, con el fin de reflejar

el nivel aceptable de riesgo, las competencias y los recursos

necesarios. Limitar las pérdidas en la empresa, a los niveles aceptables de

riesgo.

Conocer las obligaciones contractuales y legales.

Objetivos Específicos del SAR:

Lograr un sistema de administración de riesgos sostenible a través

de la Autogestión, compromiso y participación de cada uno de los funcionarios.

Fortalecer el entendimiento y control de los riesgos en las áreas de la salud, operativas, administrativas y financieras, para garantizar el

cumplimiento de los objetivos planteados desde la misión, visión y estrategia de la Institución.

Integrar la administración de riesgos como base para la gestión de todos los procesos y proyectos de la Entidad y administrar

efectivamente los riesgos derivados de la operación del Sistema de Calidad del CENTRO DE SALUD SALUDYA E.S.E, que permita permanentemente monitorear deficiencias, fallas o inadecuaciones

en el talento humano, procesos, tecnología, infraestructura; incumplimientos legales, regulatorios y reputacionales; evitando la probabilidad de pérdida por la no administración de los mismos.

Alinearse con los requerimientos de la normatividad vigente, del Plan

Nacional de Salud y los planes territoriales.

Reducir errores y optimizar procesos de acuerdo con la evaluación

de los riesgos y la identificación de oportunidades de mejoramiento.

Desarrollar un lenguaje uniforme y una cultura de gestión para la identificación y manejo de riesgos



Código:

Versión: 01

Fecha Elaboración:





Página 8 de36

PROCESO DE LA GESTION DE PLANEACION

OBJETIVO:

Establecer los lineamientos Institucionales para la gestión del riesgo del CENTRO DE SALUD SALUDYA E.S.E, como pilares fundamentales para garantizar la gestión estratégica en torno a la prevención y autocontrol.

EXPECTATIVAS:

La política de administración del riesgo del Centro de Salud Saludya E.S.E, busca satisfacer las exceptivas tanto de los usuarios externos como de los

internos, de tal manera que los diferentes procesos adopten buenas prácticas que ayuden a prevenir la materialización de los posibles riesgos y que a la vez, fomenten la cultura de prevención y del autocontrol, como

mecanismos de mejoramiento continuo:

A.- EXTERNAS: Identificar y gestionar los riesgos; que se llevan a cabo, actividades de identificación de los riesgos, y se planee sus respectivos controles y seguimiento.

Compromete a todos los servidores; que todas las personas que laboran en

la Entidad, cumplan a cabalidad con los lineamientos para evitar, reducir y mitigar o transferir los riesgos detectados.

Transparencia; la metodología aplicada para el tratamiento de los riesgos sea clara, publica y no busque ocultar sucesos de interés para la comunidad.

B.- INTERNAS: Cumplimiento normativo; que la Empresa aplique de

manera correcta la normatividad vigente en cuanto al tratamiento de los riesgos, enfocándose siempre en el cumplimiento de los objetivos de la E.S.E, conforme el marco legal.

Mejoramiento Institucional; que la administración de los riesgos se

transforme en cultura organizacional, para lograr el mejoramiento continuo de cada uno de los procesos.



Código:

Versión: 01

Fecha Elaboración:





Página 9 de36

Gestión de los riesgos; que se desarrolle de manera sistémica y

sistemática para la identificación, valoración, evaluación, seguimiento y tratamiento de los riesgos, acorde con los principios y valores Institucionales.

Despliegue; a todos los servidores de la Entidad, para que conozcan y visualicen los riesgos, para que puedan aplicar las buenas prácticas en

sus actividades diarias.

Ubicando las expectativas internas como externas, y estableciendo un orden de relevancia para cada una de ellas, en nuestro caso por ejemplo podemos establecer la transparencia (externa) y el cumplimiento normativo

interna), como las de mayor peso, esto no quiere decir que las demás carecen de pesos o no son importantes, sino más bien que el cumplimiento de una exceptiva, su logro conlleva a otras.

Políticas de Administración

de Riesgos

Expectativas y metas de la Entidad y de las partes

interesadas (Expectativas Internas)

Cumplimiento

Normativo

Mejoramiento

Institucional

Gestión de

Riesgos Despliegue Total

4 1 3 2

Expecta

tivas

Exte

rnas

Identificar y

Gestionar los

Riesgos 1 12 3 15 6 36

Comprometer a

todos lo Servidores 2 8 10 18 20 56

Transparencia 3 60 15 45 30 150

Total 80 28 78 56

Lista de las expectativas priorizadas Ubiquemos todas las expectativas, en la siguiente tabla, ordenadas de

manera descendente según puntaje obtenido:



Código:

Versión: 01

Fecha Elaboración:





Página 10 de36

POLITICAS DE ADMINISTRACION DEL RIESGO

INTERNAS Y EXTERNAS

ORDEN ESPECTATIVA PUNTAJE

1 Transparencia 150

2 Cumplimiento normativo 80

3 Gestión del riesgo 76

4

Comprometer a todos los servidores

de la E.S.E. 56

5 Despliegue 56

6 Identificar y gestionar los riesgos 36

7 Mejoramiento Institucional 28

DEFINICION DE LA POLITICA GENERAL DE ADMINISTRACION DE

RIESGOS

“Fomentar la transparencias en la administración de riesgos Institucionales y de corrupción, que garanticen el cumplimiento normativo

y permita orientar la cultura organizacional hacia una gestión participativa e integral, que comprometa a todos los servidores de la Empresa y que a

través de un despliegue sistémico, nos permita identificar, valorar, evaluar y monitorear, y tratar los riesgos de una manera responsable, logrando así altos niveles de mejoramiento Institucional”.

OBJETIVOS ESPECIFICOS DE LA POLITICA:

Teniendo en cuenta que la administración de riesgos debe ser integral, es necesario fijar objetivos desde los cuales se pueda impactar de manera

positiva en la cultura organizacional de la E.S.E. Es por ello que se debe garantizar la inclusión de los diferentes tipos de

riesgos, tanto Asistenciales como Administrativos, enfocados en las categorías como: riesgos por procesos (específicos), riesgos Institucionales

(generales), y riesgos de corrupción. Se estable así mismo, las políticas específicas de algunas de las

actividades que se pueden llevar a cabo para gestionar los posibles riesgos identificándolos, se consideran políticas de mejora continua, compromiso, integración y participación.



Código:

Versión: 01

Fecha Elaboración:





Página 11 de36

Líderes de Proceso:

Es de anotar que todos los funcionarios son responsables de implementar las medidas de control definidas por el CENTRO DE SALLUD SALUDYA

E.S.E, para mitigar o evitar la ocurrencia de pérdidas derivados de los riesgos identificados en los procesos en los cuales participan.

Dentro de las funciones a cargo de los Líderes de proceso se encuentran:

Participar en el proceso de identificación, medición y control de

riesgos relacionados con los procesos que lideran.

Evaluar la ejecución del control en su proceso y retroalimentar al área de Calidad para que sea actualizado el inventario de controles.

Aplicación de la metodología del SAR cuando un nuevo proyecto,

producto o servicio se elabore se modifiquen los procesos o se cambien los controles.

Administrar los mapas de riesgos y las matrices de riesgos y controles – perfil de riesgo residual de los procesos a su cargo y riesgos consolidados en los procesos.

Realizar seguimiento periódico a los riesgos identificados en el mapa de riesgos, identificando si estos corresponden a la situación real de

la E.S.E. SALUDYA, y los eventos que generen su actualización. Velar por la correcta aplicación de los controles asociados al riesgo

inherente, identificado y medido.

Conocer y monitorear los indicadores de riesgo asociados a los Procesos.

Verificar la ejecución de los planes de tratamiento de riesgos y la

identificación de oportunidades de mejoramiento de los controles existentes.

Brindar asesoría y servir de capacitador al área a la que pertenece con respecto a la metodología del SAR.

Coordinar y realizar la recolección de la información para alimentar

el registro de eventos de riesgos. Custodiar la documentación soporte del SAR a su cargo.

Revisar periódicamente la caracterización de los procesos y solicitar las actualizaciones requeridas.



Código:

Versión: 01

Fecha Elaboración:





Página 12 de36

Oficina de Control Interno:

Efectuar de forma periódica la evaluación del SAR con el fin de

determinar sus debilidades e informarlas a los órganos competentes.

Ser independiente de la función de administración de riesgos. Evaluar anualmente la efectividad y cumplimiento de todas y cada

una de las etapas de SAR para determinar las deficiencias y sus

posibles soluciones

Pasos para detectar cambios en el SAR que generan la actualización de la Estructura Documental

A continuación se describen los pasos a seguir para la detección de cambios y realizar la actualización de los diferentes documentos que componen la estructura documental del Sistema de Administración de

Riesgos:

Identificar posibles actualizaciones al SAR. Reportar cambios a las diferentes áreas involucradas. Establecer el impacto y la probabilidad de ocurrencia.

Comunicar a Control Interno los cambios presentados en los controles.

Documentar el registro de actualizaciones. Establecer el nuevo perfil de riesgo.

Identificar Posibles Actualizaciones al SAR Los Líderes asignados a cada Proceso deben estar alerta sobre las posibles

modificaciones que se presenten dentro del proceso del cual son responsables, con el fin de identificar como mínimo los siguientes eventos

generadores de actividades de actualización:

Cambios en las operaciones que soportan el proceso.

Nuevos riesgos generados por cambios en las operaciones. Necesidad de incorporar un nuevo control.

Modificación del diseño de un control establecido. Disminución o fortalecimiento de la eficacia operativa de un control. Nuevos productos o servicios que generen cambios en el proceso.

Definición de nuevos procesos, proyectos, productos y/o servicios.



Código:

Versión: 01

Fecha Elaboración:





Página 13 de36

De acuerdo al Cronograma de Actividades establecido para efectuar el

monitoreo de los mapas de riesgo de los diferentes procesos, la Oficina de Control Interno valida si el perfil de riesgo se mantiene o se deben reportar variaciones existentes.

Establecer el Impacto y la Probabilidad de Ocurrencia:

Cuando se realice un cambio en el macro proceso o proceso se deben tener en cuenta los siguientes puntos para establecer el impacto o probabilidad

de ocurrencia que el cambio generará en el perfil de riesgo establecido:

Si se debe redefinir el impacto o probabilidad de ocurrencia de un

riesgo. Si para los controles modificados se afecta la solidez del control. Si se modifica el indicador de riesgo resultante.

Si es necesario realizar una nueva caracterización del proceso.

Estos factores inciden directamente sobre el mapa de riesgos del proceso y por ende en su perfil de riesgo.

Comunicar a la Oficina de Control Interno los cambios presentados en los controles.

Documentar el Registro de Actualizaciones

Es responsabilidad de la Alta Dirección actualizar el formato de registro de cambios y actualizaciones al Sistema de Administración de Riesgos, de los cambios presentados, los responsables y las acciones establecidas con

el fin de mantener un control adecuado sobre las condiciones que han generado cambios en la estructura de riesgos de la E.S.E. SALUDYA.

Establecer el Nuevo Perfil de Riesgos

De acuerdo con los cambios identificados se establece el nuevo perfil de riesgo según la probabilidad de ocurrencia y la magnitud del impacto

definidos. Así mismo, se actualiza el inventario de controles y el mapa de riesgos residuales.



Código:

Versión: 01

Fecha Elaboración:





Página 14 de36

Estructura de Comunicaciones

Con el fin de apoyar el Sistema de Administración de Riesgos, a continuación se describe el esquema para la difusión y divulgación de los

resultados en las distintas etapas del desarrollo de la metodología de administración de riesgos.

El objetivo de la estructura de comunicaciones es describir el proceso continuo del flujo de la información a través de las diferentes áreas de

SALUDYA E.S.E, que contribuye a identificar, medir, evaluar, controlar y monitorear los riesgos. Así mismo, las actividades relacionadas con la actualización y divulgación de la documentación que contiene los

elementos del SAR. A continuación se describe:

Función de los reportes internos y externos

Reportes Internos Reportes Externos Divulgación de información con los reportes internos y externos

Flujo de información para identificación, medición, control y monitoreo de riesgos para la evaluación de un proceso que se

determina por primera vez. Flujo de información para la consolidación de la información de

riesgos agrupados por proceso.

Flujo de información actualización de los perfiles de riesgo. Flujo de información para la definición de los criterios de evaluación

de riesgos y el Manual de administración de riesgos.

Función de los Reportes Internos y Externos

Abrir los canales de comunicación al interior de SALUDYA E.S.E con la generación de reportes internos y externos permite:

Generar la emisión de reportes que evidencian una gestión activa en la

función de administración del riesgo.



Código:

Versión: 01

Fecha Elaboración:





Página 15 de36

Mejorar el funcionamiento de los procesos y procedimientos de SALUDYA

E.S.E a través del análisis de los reportes relacionados con la gestión en la administración del riesgo.

Contar con información disponible y de manera periódica en el momento que sea requerida.

Reportes Internos

En ellos se establece de forma individual y consolidada el perfil de riesgo residual de SALUDYA E.S.E (periodicidad semestral).

Desarrollo de la Cultura de Administración de Riesgos El desarrollo de la cultura de administración de riesgos está relacionada

con la continua capacitación a los funcionarios de SALUDYA E.S.E, buscando fortalecer y orientar al interior de la Entidad de un enfoque en

administración de riesgos. Objetivos del Ciclo de Cultura y Orientación al Riesgo

Dar a conocer los siguientes aspectos:

La importancia de la administración de riesgos. Los beneficios de administrar el riesgos en cada uno de los roles

desempeñados al interior de SALUDYA E.S.E. La responsabilidad de cada miembro de SALUDYA E.S.E, para lograr

el éxito de la puesta en marcha del proceso.

El dinamismo del mercado y la competencia, y su relación con el proceso de administración del riesgo.

El autocontrol y la calidad en la ejecución de los procesos dependen de cada participante de SALUDYA E.S.E, y no de áreas específicas.

¿A quiénes debe ir dirigido?

Las capacitaciones están dirigidas en primera instancia a los Líderes de Proceso, sin embargo es importante que todos los funcionarios de SALUDYA E.S.E, se encuentren sensibilizados y capacitados en el Sistema

de Administración de Riesgos.



Código:

Versión: 01

Fecha Elaboración:





Página 16 de36

¿Qué temas?

Principalmente se hará una sensibilización de temas relacionados con riesgos, además de mostrar la cadena de valor en caso de cambios,

metodología adoptada para cada uno de los procedimientos relacionados con el SAR y los temas de divulgación de la información, control, autocontrol y registro de eventos.

Actividades de Capacitación y Concientización

Las siguientes son las actividades a continuar realizando como proceso de capacitación en la E.S.E.SALUDYA:

Diseñar, programar y coordinar planes de capacitación sobre el SAR., dirigidos a todas las áreas y funcionarios de la Entidad, teniendo en

cuenta el nivel de interrelación con la función del riesgo.

Aplicar los mecanismos de control que permitan garantizar las siguientes actividades en relación con la capacitación en SAR:

© Capacitaciones periódicas a todo el personal, informando los cambios o ajuste que se realice al SAR.

© Capacitación al personal nuevo que se vincula a SALUDYA E.S.E. © Revisión y actualización periódica de la información contenidas en

las capacitaciones, mínimo una vez al cada trimestre.

© Aplicar el esquema de evaluación para verificar la efectividad de los programas de capacitación implementados. Estas evaluaciones no constituyen factor de medición del desempeño de las funciones de

los empleados. © Aplicar las políticas, su correspondiente procedimiento y

responsables en relación con la planeación, ejecución, control y monitoreo de la capacitación en SAR definida para E.S.E.

© Realizar talleres de capacitación en los cuales se combine la práctica

y la teoría. © En las capacitaciones evaluar a los funcionarios para determinar

oportunidades de mejora y fortalezas la minimización de riesgos.



Código:

Versión: 01

Fecha Elaboración:





Página 17 de36

Pilar Metodológico para la Implementación del SAR

El despliegue metodológico del Sistema de Administración de Riesgos se realiza a partir de los macro procesos y/o procesos y procedimientos que

componen la cadena de valor de SALUDYA E.S.E, y finaliza con las actividades de monitoreo de los riesgos identificados. En este capítulo se describen cada uno de los procedimientos para poder identificar, medir,

controlar, tratar y monitorear los riesgos a los que E.S.E, se encuentra expuesto en las áreas de la salud, administrativas, operativas, generales

del negocio y financieras. El Sistema de Administración de Riesgos es reconocido como una parte

integral de las prácticas líderes de administración gerencial. Es un proceso cíclico compuesto por una serie de pasos que, si se ejecutan en secuencia, permiten la mejora continua en la toma de decisiones.

El despliegue metodológico del Sistema de Administración de Riesgos se

realiza basado en los siguientes pasos:

Definición de la Cadena de Valor

Definición de Criterios de Calificación de Riesgos Identificación de Riesgos relacionados con las áreas de salud,

administración, operativas, generales del negocio y financieras Medición del Riesgos Inherente Calificación del Riesgo con controles

Registro de Eventos de Riesgos Identificación de medidas de tratamiento de los riesgos Monitoreo de los Riesgos

Cadena de Valor como base del Sistema de Administración de Riesgos

La base de implementación del Sistema de Administración de Riesgos de SALUDYA E.S.E, es la estructura de procesos determinada en las Cadenas

de Valor tanto asistenciales como administrativos.

Los mapas están constituidos por la integración de Procesos Gerenciales, Procesos de Salud y Procesos Administrativos.



Código:

Versión: 01

Fecha Elaboración:





Página 18 de36

Procesos Gerenciales: Se refiere a aquellos procesos que proporcionan

directrices a los niveles de Procesos de Servicio de Salud y de Apoyo, los cuales son ejecutados por la Alta Dirección, para poder cumplir con los objetivos misionales y políticas institucionales.

Los procesos gerenciales son Planeación Estratégica, Gestión de la Calidad y mejora Continua, en los cuales se define el Direccionamiento Estratégico,

la Generación de Políticas, la Planeación Financiera, la Gestión de Riesgos y la Calidad.

Procesos del Servicio de Salud: Son los procesos misionales y/o esenciales para la gestión de SALUDYA E.S.E, destinados a la Prestación

de los Servicios de Salud a la población del Municipio y su radio de acción. Los procesos del Servicio de Salud son: Sistema de Información y Atención

al Usuario –SIAU, la Atención, en Urgencias, Observación, Sala de Partos, Consulta Externa, Promoción y Prevención, Laboratorio Clínico, Servicio de

Farmacia, Facturación y TAB. Planeación de la Prestación Servicios en Salud, de acuerdo con la

Contratación de los Servicios de Salud con las aseguradoras.

Procesos Administrativos: Son aquellos procesos que apoyan a los Procesos Gerenciales, son Procesos de Administrativos, tecnológico la optimización de los recursos y la prestación de servicios legales, contables

y financieros a la Organización. Los Procesos de Apoyo son: Gestión del Presupuesto, Gestión Contable,

Gestión de Tesorería, Gestión Talento Humano, Gestión Administrativa, Gestión Comunicaciones, Gestión Informática, Gestión Jurídica, Gestión

Transferencia Tecnológica y Auditoría de Control Interno. Pasos para la Definición de Criterios de Calificación de Riesgos

Para lograr una adecuada aplicación de la metodología de administración

de riesgos, es necesario establecer el apetito de riesgo del CENTRO DE SALUD SALUDYA E.S.E, a través de la definición de los criterios para la calificación de los riesgos identificados.



Código:

Versión: 01

Fecha Elaboración:





Página 19 de36

Los pasos a seguir para la definición de los criterios son los siguientes:

Criterios Generales Esquema del mapa de riesgos.

Severidad del riesgo. Criterios de probabilidad de ocurrencia y magnitud del impacto. Criterios asociados a la calificación de Riesgos.

Probabilidad de ocurrencia. Magnitud de impacto.

Categorías de Riesgos. Categorías de fallas Evaluación de controles (diseño y ejecución).

Tratamiento de los riesgos. Indicadores de riesgo.

Criterios Generales

Esquema del Mapa de Riesgos A continuación se presenta para el esquema del mapa de riesgos los

niveles de probabilidad de ocurrencia y magnitud del impacto.

La dimensión del mapa corresponde a niveles de 5 filas por 5 columnas que brindan mayor flexibilidad en la determinación de los riesgos intermedios.

El mapa de riesgos corresponde a una estructura no lineal, para establecer un mayor peso a aquellos eventos en los cuales aunque la probabilidad es

baja su impacto al interior para SALUDYA E.S.E, es crítico.

Pro

babil

idad

De

Ocurr

encia

Muy Alto

Alto

Moderada

Baja

Muy Baja

Inferior Menor Importante Critico

Impacto



Código:

Versión: 01

Fecha Elaboración:





Página 20 de36

Severidad del Riesgo

La combinación de la probabilidad de ocurrencia y magnitud del impacto del riesgo, permiten determinar el nivel de riesgo en el proceso conocido

como perfil de riesgo:

Severidad en el Riesgo

Bajo

Moderado

Alto

Critico

Criterios de Probabilidad de Ocurrencia y Magnitud del Impacto El objetivo es establecer la composición de los criterios de calificación de

riesgos en términos de probabilidad de ocurrencia y magnitud del impacto, los cuales serán la guía para la medición de los riesgos identificados y su

ubicación dentro del mapa de riesgo de SALUDYA E.S.E. Los criterios de probabilidad e impacto son las reglas generales que deben

ser útiles para la medición y priorización de aquellos riesgos que se puedan presentar en la E.S.E. Estos criterios permiten delimitar el grado

de aversión al riesgo que está dispuesto a asumir la Gerencia para lograr los objetivos trazados al interior de la Entidad.

Los propósitos de los criterios de probabilidad e impacto son: Permitir la calificación de los riesgos usando dos variables: la probabilidad

de ocurrencia y el impacto que puede generarse si se materializa un riesgo.

Disponer de reglas que permitan la clasificación de los riesgos dentro del mapa de riesgos de forma priorizada, permitiendo así, una planificación de acciones y asignación de recursos de forma orientada y ordenada.

Criterios asociados al Riesgo

Probabilidad de Ocurrencia



Código:

Versión: 01

Fecha Elaboración:





Página 21 de36

Es la variable que mide la posibilidad de que un riesgo se materialice.

Dado que no en todos los casos se tiene información histórica para su cálculo, se deben establecer las siguientes tres opciones de escala:

Casuística: Escala que determina la probabilidad de ocurrencia de

un riesgo basada en datos históricos. (Ej. 3 de 50 casos, 5% de los

casos).

Periodicidad: Escala relacionada con la frecuencia con la que un riesgo se materializa en un periodo determinado de tiempo. (Ej.: una vez al mes, una vez cada año)

Probabilidad: Escala asociada a la apreciación sobre la posibilidad

de ocurrencia de un riesgo. (Ej.: con certeza, significativamente

posible, medianamente posible, ocasionalmente, esporádicamente, remotamente, raramente).

Los cinco niveles de probabilidad de ocurrencia ubicados en el mapa de riesgos son: Muy Alta, Alta, Moderada, Baja, Muy Baja.

Una vez se han determinado los rangos para cada uno de los niveles, la

utilización de las escalas está sujeta a los siguientes puntos: El uso de las escalas es excluyente, esto es, se debe identificar si el riesgo

a evaluar tiene datos históricos de ocurrencia (casuística), de no ser así, si se puede determinar su ocurrencia en un periodo de tiempo (periodicidad) o de lo contrario recurrir a la apreciación de la posibilidad de

materialización del riesgo (probabilidad).

Es necesario precisar que los rangos establecidos para cada una de las escalas no guardan una relación directa, por lo que se sugiere evitar las equivalencias entre ellas.

Magnitud de Impacto

Corresponde a la evaluación del efecto y la consecuencia producida al materializarse un riesgo al interior de SALUDYAE.S.E, Las variables que



Código:

Versión: 01

Fecha Elaboración:





Página 22 de36

son tenidas en cuenta para definir el impacto se encuentran divididas en

dos grupos: Cuantitativos: Aquellos criterios que miden el impacto de los riesgos

desde el punto de vista financiero. Cualitativos: Aquellos criterios que miden el impacto de los riesgos

intangibles, que generalmente no son fáciles de medir desde el punto de vista financiero (Ej. La reputación (imagen), temas legales,

pérdida de usuarios, factores humanos, entre otros.) Los cinco niveles de impacto cualitativo ubicados en el mapa de

riesgos son: Crítico, Mayor, Importante, Menor e Inferior. Tipo de Consecuencia:

Financiero - legal

Operación - humano Reputacional - imagen

Criterios de Impacto Cuantitativo.

El criterio de impacto financiero es una forma de medir la pérdida por la materialización de un riesgo desde el punto de vista monetario (Ejemplo:

Impacto en el patrimonio, pérdida de ingresos, mayor gasto, menor producción de atenciones en salud, entre otros).

La escala de criterio financiero es definida por la Gerencia de SALUDYA E.S.E, quien limita el valor máximo, que está dispuesto a asumir la

Institución, si se materializa un riesgo, esto es el “apetito de riesgo”. Criterios de Impacto Cualitativo

A través de estas escalas cualitativas se busca clasificar el impacto de los

riesgos que no es fácil de calcular en términos monetarios o que, a pesar de ser posible hacerlo, requieren para su calificación otros factores diferentes al financiero. Además pueden servir para calificar el impacto de



Código:

Versión: 01

Fecha Elaboración:





Página 23 de36

riesgos hacia el largo plazo. Este criterio se utiliza cuando no es fácil medir

un riesgo desde el punto de vista financiero. En este punto se deben seleccionar las variables sensibles para la

Gerencia de SALUDYA E.S.E, y las cuales pueden ser impactadas si se materializa un riesgo independiente del proceso, área, sistema o persona que lo genera.

Dentro de las variables que SALUDYA E.S.E, debe considerar importantes

a ser impactadas, se encuentran sus objetivos y metas estratégicas, entre otros:

Clientes y Mercado Calidad en la Atención Tecnología biomédica

Relación entorno Político y entes de control

Con el fin de garantizar un adecuado número de criterios cualitativos se deben contemplar los siguientes aspectos:

Cubrir la preocupación de la Alta Gerencia. Ser medibles.

Ser generales, lo cual permite que el criterio no se encasille en un proceso específico y se pueda aplicar a cualquier riesgo independiente donde se presente y el factor que lo genere.

No debe ser extensa. No se deben repetir. Un criterio no debe contener otro.

Deben ser redactados de forma sencilla para que con el conocimiento que tienen los líderes de procesos pueda calificar

fácilmente un riesgo. Categorías de Riesgos

Las categorías de riesgos incluidos en este Manual concuerdan con la

relación de riesgos se agrupan de acuerdo con su naturaleza en las siguientes categorías:



Código:

Versión: 01

Fecha Elaboración:





Página 24 de36

Categoría Riesgo Detalle

Administración de Riesgos en Salud

Riesgos en los cambios permanentes de normas para la prestación de salud

Probabilidad de que ocurran cambios permanentes en las condiciones de salud, para la atención de la población, derivados de la incorporación en el plan de beneficios, nuevas tecnologías, que requieren ajustes financieros - administrativos

Riesgos en planes, proyectos y programas

Probabilidad de que ocurra en la no aprobación de los planes, proyectos y programas y su financiación, o resultados negativos.

Riesgos en la Contratación con las EPS y Otras Entidades

Probabilidad de una contratación que no sea beneficiosa para la Entidad

Riesgos por desconocimiento de las normas de salud asistenciales y administrativas

Probabilidad de que ocurran inadecuados procedimientos asistenciales como administrativos

Riesgos en los indicadores de morbilidad, morbimortalidad en la

atención en salud

Probabilidad de que ocurran procedimientos inadecuados en la atención en salud y se disparen los

indicadores de morbilidad y morbimortalidad

Riesgos por falta de operatividad de la Salud y seguridad laboral

Probabilidad de que ocurra por falta de operatividad en los procesos de SST a los funcionarios

Riesgos en el cumplimiento de reportes de información a entes de control

Probabilidad de que ocurran en la presentación de la información requerida a los entes de control fuera del tiempo programado

Riesgos en la vinculación de talento humano por falta de requisitos

Probabilidad de la vinculación de talento humano sin los requisitos legales

Riesgos en la ejecución Presupuestal de Gastos

Probabilidad de no expedir CDP para garantizar compromisos y obligaciones

Riesgos en la causación Contable Probabilidad de no causar ingresos y gastos

Riesgos de Almacén

Probabilidad de faltantes por malos registros, faltantes, saqueos o robos continuos, vencimiento de insumos y otros

Riesgos de Inventarios Probabilidad de mal manejo y registros de elementos, propiedad planta y equipo

Riesgos de Farmacia

Probabilidad de mal manejo y registros de los medicamentos y material médico quirúrgico, faltante, robo o huerto ,

vencimientos otros

Riesgos en cuentas por cobrar Probabilidad de vencimientos de términos, las cuentas no son claras y confiables, gestión para su recuperación



Código:

Versión: 01

Fecha Elaboración:





Página 25 de36

Riesgos financieros Probabilidad de cobro de cheques sin registros y soportes

Riesgos financieros Probabilidad de peculados o destinaciones diferentes de los recursos

Riesgos financieros Probabilidad de consignaciones en cuentas diferentes o particulares

Riesgos en Facturación Probabilidad de mal manejo del sistema de información de atención en salud

Riesgos en Facturación Probabilidad de una sobre facturación

Riesgos en el Sistema de Información Probabilidad de que el SIS se bloque, sufra daños o desperfectos en los sistemas de información institucional

Riesgos en el Sistema de Información Probabilidad de que SIS, falle por cortes de energía, o por capacidad de

almacenamiento

Riesgos de Infraestructura Probabilidad de deterioro por falta de mantenimiento físico

Riesgos de Infraestructura Probabilidad de derrumbe de las instalaciones físicas por obsoletas

Riesgos en dotación biomédica Probabilidad de fallas del equipo biomédico por falta de mantenimiento, calibración, etc.

Riesgos en dotación biomédica Probabilidad de que los equipos sean obsoletos o cumplieron su vida útil

Riesgos de vehículos Probabilidad de accidentes por falta de mantenimiento

Riesgos de vehículos Probabilidad de que no estén asegurados contra daños y SOAT

Categorías de fallas

Los factores de riesgos corresponden a las fuentes generadoras de eventos de riesgo.

Cada factor de riesgo tiene numerosos componentes, cualquiera de los cuales puede dar origen a un riesgo. Algunos componentes estarán bajo el control del Centro de Salud SALUDYA E.S.E, mientras que otros pueden

estar fuera de su control.

Los factores de riesgo se seleccionan de acuerdo con su pertinencia en el contexto de la Institución. Talento Humano



Código:

Versión: 01

Fecha Elaboración:





Página 26 de36

Procesos

Tecnología informática Infraestructura Eventos externos

Los factores de riesgo se clasifican en internos o externos:

Internos:

Los procesos: Actividades para la transformación de elementos de entrada, en productos o servicios para el mejoramiento de la salud y de las condiciones de vida de nuestros usuarios, teniendo en cuenta la MISION.

Existen factores de riesgo en los procesos cuando hay fallas en:

© Definición de políticas y procedimientos.

© Estandarización, formalización, actualización y divulgación de procesos.

© Definición de objetivos, límite y alcance de los procesos. © Segregación de funciones. © Definición de indicadores de gestión.

© Actividades de mejoramiento y su seguimiento.

Talento Humano: Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos misionales de SALUDYA E.S.E, existen factores de riesgo en el recurso humano cuando hay fallas

tales como:

© Falta de personal adecuado.

© Negligencia. © Error humano.

© Inapropiadas relaciones interpersonales y ambiente laboral desfavorable.

© Falta de especificaciones claras en los términos de la vinculación

mediante contratación de personal.

La Tecnología: Es el conjunto de equipamiento biomédicos empleados para soportar los procesos Misionales de E.S.E. SALUDYA Incluye: hardware, software y comunicaciones (SIS). Existen factores de riesgo en la

tecnología cuando hay fallas relacionadas con:



Código:

Versión: 01

Fecha Elaboración:





Página 27 de36

Operaciones de Tecnología de Información. Servicios y recursos provistos por terceros (software). Administración de la seguridad de información.

Continuidad de las operaciones. Adquisición, desarrollo e implementación de las aplicaciones. Infraestructura tecnológica biomédica.

La Infraestructura: Es el conjunto de elementos de apoyo para el

funcionamiento del CENTRO DE SALUD SALUDYA E.S.E. Entre otros se incluyen: edificios, espacios de trabajo (Consultorios, Oficinas) almacenamiento y transporte o traslado de pacientes.

Externos:

Los eventos externos son aquellos asociados a la fuerza de la naturaleza u ocasionados por terceros, que se escapan en cuanto a su causa y origen al

control de SALUDYA E.S.E. Existen factores de riesgo en eventos externos cuando hay fallas relacionadas entre otras con:

Fallas en los servicios públicos. Ocurrencia de desastres naturales.

Atentados. Epidemias. Otros actos delictivos.

Evaluación de los Controles

En la evaluación de los controles se tienen en cuentan dos criterios: El diseño de los controles y la ejecución de los mismos. Como resultado de la

combinación de estos criterios se determina la solidez de control y el autocontrol de la Entidad.

Tratamiento de Riesgos

Una vez analizados los controles y desarrollado el mapa de riesgos residuales, los criterios para tomar decisiones sobre los planes de tratamiento de los riesgos son:



Código:

Versión: 01

Fecha Elaboración:





Página 28 de36

Los riesgos calificados como Crítico y Altos dentro del cuadrante

No.1, serán incluidos dentro de los planes de mitigación. Los riesgos calificados como Críticos y Altos dentro del cuadrante

No.2, serán monitoreados a través de indicadores de riesgo.

Indicadores de Riesgo Los indicadores de riesgo son las medidas que permiten al líder del

proceso, y a Control Interno monitorear el perfil del proceso. Los indicadores de riesgos se realizan para aquellos riesgos ubicados en el cuadrante No.2 del Mapa de Riesgos Residuales Críticos y Altos.

Pasos para la identificación de Riesgos

Objetivo

La metodología empleada para la identificación de riesgos en E.S.E. SALUDYA incluye:

Análisis de la situación de salud (riesgos generales e individuales en

salud)

Identificación de riesgos operativos, de negocio y financieros en cada

uno de los procesos.

El levantamiento de esta información se resume en las matrices de

riesgos.



Código:

Versión: 01

Fecha Elaboración:





Página 29 de36

Toda la información para determinar los riesgos (potenciales y ocurridos) se genera en reuniones de trabajo.

Metodología para la realización del análisis de situación de salud Con el propósito de realizar el diagnóstico de la prestación de los servicios

de salud habilitados para la atención a nuestros usuarios la E.S.E, realiza un análisis de tipo descriptivo que aborda características del perfil

epidemiológico por consulta externa y urgencias, indicadores de morbi mortalidad y presencia de factores de riesgo de la población.

Para la realización de este análisis, ha implementado un proceso de mejoramiento continuo de la calidad de la información que captura a través de las siguientes fuentes primarias:

Gestión de RIPS

Autorizaciones de EPS Formatos de registro según procesos y procedimientos

estandarizados para el Sistema de Vigilancia en Salud Publica.

A su vez, utiliza como fuente secundaria el Sistema de Información que

suministra el IDSN - SIVIGILA-, con el fin de obtener el registro de los eventos de notificación obligatoria por parte de las Instituciones Prestadoras de Servicios de Salud semanalmente.

El procesamiento y análisis de la información se realiza de la siguiente manera:

Comprobación de derechos en Salud:

Se verifica la afiliación y derechos en la BDUA de la población asegurada y no asegurada que entregan las EPS para prestar los servicios de salud que

se suscriben entre las partes. A través de la facturación de los usuarios atendidos y de la información de

la población afiliada, se generan reportes referentes a: Distribución por género, por grupos etáreos, y permite obtener información acerca de factores de riesgo de la población afiliada a los diferentes sistemas y no



Código:

Versión: 01

Fecha Elaboración:





Página 30 de36

afiliada con el propósito de conocer su estado de salud y canalizarlo a los

programas preventivos y de control. Registros Individuales de Prestación de Servicios (RIPS) facturación.

En el Software se carga, valida y procesa la información que se reporta a las EPS con las cuales se tienen contratos. Se consolida los registros de

atención de cada afiliado por tipo de servicio y de actividades para su análisis y verificación por cada aseguradora, independientemente de la

modalidad de contratación. El análisis de morbilidad y mortalidad está basado en los Registros

Individuales de Prestación de Servicios (RIPS) generados en los procesos de atención a usuarios y cuyo registro electrónico es consolidado por facturación, de acuerdo con los lineamientos de la normatividad vigente.

Para el análisis de la morbilidad se analizan los registros consolidados

correspondientes a los servicios de CONSULTA, OBSERVACION, URGENCIAS Y RECIEN NACIDOS.

De cada uno de los servicios se analiza la distribución por grupos de edad, sexo, mes de ocurrencia y departamento, de acuerdo con la Clasificación

Internacional de Enfermedades Décima Revisión – CIE-X- agrupada según la Clasificación 6/67 propuesta por la Organización Panamericana de la Salud (OPS).

Para el análisis de la mortalidad se utiliza los mismos parámetros en los registros de los servicios de OBSERVACION, URGENCIAS Y RECIEN

NACIDOS.

Importante: El Gestor de Riesgo y/o líder de proceso (cada seis meses) debe evaluar la

ejecución del control en su proceso para retroalimentar al Área de Control Interno.

El Área de Control Interno como parte del desarrollo de su plan de auditoria debe incluir la evaluación de la ejecución de los controles para aquellos riesgos de nivel Crítico o Alto.



Código:

Versión: 01

Fecha Elaboración:





Página 31 de36

Para la identificación de controles que requieren pruebas, con el fin de

evaluar su efectividad operativa, se debe tener en cuenta los siguientes aspectos:

Si el diseño del control es “Inadecuado” no se deben realizar pruebas.

Las pruebas deben ser parte de las actividades desarrolladas por el

Área de Control Interno. Es recomendable que para realizar las pruebas de controles se

considere una muestra representativa basada en el tamaño de la población y el período a evaluar.

Para la determinación del perfil de Riesgos Residuales, se establece

si el conjunto de controles disminuye la probabilidad y el nivel de impacto, seleccionando la opción correspondiente en la matriz de riesgos y controles.

La matriz de riesgos y controles genera automáticamente la calificación del riesgo residual partiendo de la combinación del

riesgo inherente y la solidez del conjunto de controles.

Retener los Riesgos

Luego de que los riesgos hayan sido reducidos o transferidos, podría haber

riesgos residuales que sean retenidos. Para éstos deben ponerse en práctica planes para administrar las consecuencias de esos riesgos si los mismos ocurrieran, incluyendo identificar medios de financiar dichos

riesgos. Los riesgos también pueden ser retenidos en forma predeterminada, por

ejemplo, cuando hay una falla para identificar y/o transferir apropiadamente o de otro modo tratar los riesgos

Evaluar las opciones de mitigación de riesgos. En este punto, las opciones deberían ser evaluadas sobre la base del alcance de la reducción del

riesgo, y el alcance de cualquier beneficio u oportunidad adicional creada.

Pueden considerarse y aplicarse una cantidad de opciones ya sea individualmente o combinadas.



Código:

Versión: 01

Fecha Elaboración:





Página 32 de36

La selección de la opción más apropiada involucra balancear el costo de

implementar cada opción contra los beneficios derivados de la misma. En general, el costo de administrar los riesgos necesita ser conmensurada con los beneficios obtenidos.

Cuando se pueden obtener grandes reducciones en el riesgo con un gasto relativamente bajo, tales opciones deberían implementarse. Otras opciones

de mejoras pueden no ser económicas y se necesita ejercer el juicio para establecer si son justificables.

En muchos casos es improbable que cualquier opción de tratamiento del riesgo sea una solución completa para un problema particular. A menudo

E.S.E. SALUDYA se beneficiará sustancialmente mediante una combinación de opciones tales como reducir la probabilidad de los riesgos, reducir su impacto, y transferir o retener algunos riesgos residuales.

Cuando el costo acumulado de implementación de todos los tratamientos

de riesgos excede el presupuesto disponible, el plan debería identificar claramente el orden de prioridad bajo el cual deberían implementarse los tratamientos individuales de los riesgos

DESARROLLO Y FORTALECIMIENTO DEL ESQUEMA DE

AUTOCONTROL Esquema de Autocontrol dentro del SAR

El esquema de Autocontrol corresponde a un proceso continuo de aseguramiento por parte de los líderes de los procesos, para que aquellos

riesgos que amenazan sus objetivos estén controlados.

A través de éste esquema se identifican fuentes de riesgos y debilidades de control, en cuanto al diseño de un control o en cuanto a su eficiencia operativa.



Código:

Versión: 01

Fecha Elaboración:





Página 33 de36

Concepto de Auto Evaluación

La autoevaluación es un proceso en el cual los riesgos operativos de los procesos son evaluados / monitoreados por las áreas – Los líderes de los

procesos son quienes administran su proceso y determinan cambios al mismo a través del tiempo.

Auto Evaluación de Riesgos Los líderes de procesos son los responsables del proceso de identificación y evaluación continua de riesgos.

Usualmente incorpora un elemento de evaluación conjunta para asegurar la consistencia (Apoyo del Área de Calidad y del Área de Control Interno).

Controles

Los líderes de los procesos son responsables del proceso de identificación y evaluación continua del rendimiento de los controles.

Los riesgos, el diseño y la eficiencia de los controles deben ser evaluados en forma periódica.

Usualmente incorpora un elemento de evaluación conjunta para asegurar

la consistencia. (Apoyo del Área de Calidad y el Área de Control Interno). Objetivo

Dentro de los objetivos del esquema de Autocontrol se encuentran:

Mejorar el entendimiento y apoyo a la administración de los riesgos asociados a los procesos de la E.S.E. SALUDYA.

© Proporcionar medios para la evaluación constante de la efectividad

del ambiente de control.

© Incrementar la calidad y eficiencia de los procesos de negocio,

actividades y controles, a través de evaluación y análisis periódico y dinámico.

© Mejorar la comunicación, el compromiso y el trabajo en equipo.



Código:

Versión: 01

Fecha Elaboración:





Página 34 de36

© Fortalecer la cultura de autocontrol y apoyar el desarrollo del

sistema de control interno. Participantes en el Esquema de Autocontrol

Para lograr la sostenibilidad del SAR a través del tiempo los Líderes de Proceso participarán activamente en la revisión periódica de los perfiles de

riesgo, funcionamiento de los controles, cumplimiento de los planes de acción (oportunidades de mejoramiento y planes de tratamiento),

capacitación, uso de un lenguaje común e identificación de oportunidades de mejoramiento del sistema.

Responsabilidades: Los Líderes de los Procesos, ejecutan las siguientes actividades:

© Llevan a cabo seguimiento a los planes de acción (relacionados con

los planes de tratamiento).

© Evalúan los controles establecidos (diseño y eficiencia operativa).

El Área de Control Interno, ejecuta las siguientes actividades:

© Apoyar en la definición del plan de autocontrol.

© Apoyar en la evaluación del diseño y eficiencia operativa de los controles.

© Realizar seguimiento al cumplimiento de los compromisos adquiridos en el plan de autocontrol.



Código:

Versión: 01

Fecha Elaboración:





Página 35 de36

Ciclo del Esquema de Autocontrol

Definición de Términos

Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.

Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo. Factores de Riesgo: Se entiende por factores de riesgo, las fuentes

generadoras de eventos en las que se originan las pérdidas por riesgo. Son factores de riesgo el recurso humano, los procesos, la tecnología, la

infraestructura y los acontecimientos externos. Fraude Externo: Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o

incumplir normas o leyes. Fraude Interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o

leyes, en los que está implicado, al menos, un empleado o administrador de la entidad.

Mapa de Riesgos: Matriz de dos ejes donde se representan los riesgos a los que se encuentra expuesta la organización. En el eje Y se muestra la probabilidad de ocurrencia del riesgo y en el eje X el impacto que este

generaría en caso de materializarse. Pérdida: Cuantificación económica de la ocurrencia de un evento de

riesgo, así como los gastos derivados de su atención. Perfil de Riesgo: Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.

Desarrollar habilidades de Autocontrol

Aprender de los errores Reacción rápida – Plan de mejora



Código:

Versión: 01

Fecha Elaboración:





Página 36 de36

Plan de Contingencia: Conjunto de acciones y recursos para responder a

las fallas e interrupciones específicas de un sistema o proceso. Plan de Continuidad del Negocio: Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para

retornar y continuar la operación, en caso de interrupción. Políticas de Administración de Riesgos: Son los lineamientos generales organizacionales de la administración de riesgos que permite estructurar

los criterios orientadores en la toma de decisiones respecto al tratamiento de los riesgos y sus efectos, al interior de la entidad.

Riesgo Inherente: Nivel de riesgo propio de la actividad de la entidad, sin tener en cuenta el efecto de los controles. Riesgo: Se entiende por Riesgo, la posibilidad de incurrir en pérdidas por

deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.

Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

Riesgo Legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El

riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o

actos involuntarios que afectan la formalización o ejecución de contratos o transacciones. Riesgo Reputacional: Es la posibilidad de pérdida en que incurre una

entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo residual: Nivel resultante del riesgo después de aplicar los controles

Atentamente,

Original firmado LUIS ALBERTO DIAZ P

Gerente E.S.E. SALUDYA

manual del sistema de administraciÓn de...

Documents