Subred Integrada de Servicios de Salud Norte Administraciรณn del Riesgo
ES-GE-F-16-02
GESTIÓN INTEGRAL DEL RIESGO * ADMINISTRACIÓN DEL RIESGO** Conceptos Básicos
*En desarrollo de la Norma NTC ISO 31000 2011 **Atendiendo a lo establecido en los Decretos 1599 de 2005 y 943 de 2014 MECI
1. Política Institucional y Conceptos Básicos.
POLÍTICA INSTITUCIONAL DE GESTIÓN Y ADMINISTRACIÓN DEL RIESGO “La Subred Integrada de Servicios de Salud Norte E.S.E, se compromete a adoptar mecanismos y acciones necesarias para la gestión integral de sus riesgos, de tal forma que se prevengan o minimice su impacto, para ello adoptará mecanismos que permitan identificar, analizar, valorar, priorizar y administrar los riesgos propios de la operación, acogiendo una autorregulación institucional.”
INTRODUCCIÓN Las organizaciones se enfrentan constantemente a condiciones de incertidumbre cuando buscan cumplir los objetivos trazados, debido a la presencia de factores internos y externos muchas veces impredecibles. Esta situación revela la necesidad de contar con profesionales que lleven a cabo una adecuada administración de riesgos, la cual permita tanto la identificación de eventos potenciales que podrían afectar la organización, como el aumento de la probabilidad de lograr las metas y el fomento de la gestión proactiva. (Tomado de Universidad de Lima, Perú -Centro Integral de Educación Continua –CIEC)
Definición
“ El
proceso de entre beneficio decisión de la decisión de
formulación de las compensaciones y costo de la reducción del riesgo y la acción que se tomara (que incluye la no actuar) se conoce como:
Administración del Riesgo
MARCO NORMATIVO
CONCEPTOS BÁSICOS
A través del decreto 1499 de 2017, se crea el Modelo Integrado de Planeación y Gestión –MIPG, que integra los anteriores sistemas de Gestión de Calidad y de Desarrollo Administrativo, con el Sistema de Control Interno. MIPG es un marco de referencia diseñado para que las entidades ejecuten y hagan seguimiento a su gestión para el beneficio del ciudadano. Opera a través de la puesta en marcha de siete (7) dimensiones, entre las cuales se encuentra el Talento Humano como corazón del Modelo. Incluye elementos propios de una gestión pública moderna y democrática tales como: la información, la comunicación y la gestión del conocimiento y la innovación. El Control Interno se integra, a través del MECI, como una de las dimensiones del Modelo, y es allí, donde se encuentra inmersa la Evaluación del Riesgo.
CONCEPTOS BÁSICOS ¿Qué es el Riesgo? Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias. La tendencia más común es la valoración del riesgo como una amenaza; en este sentido, los esfuerzos institucionales se dirigen a reducir, mitigar o eliminar su ocurrencia. Pero existe también la percepción del riesgo como una oportunidad, lo cual implica que su gestión está dirigida a maximizar los resultados que este genera.
CONCEPTOS BÁSICOS Clases de Riesgos • • • • • • • • • • •
Estratégicos Conocimiento Financiero Imagen: Legales y normativos Operativos Tecnológicos Ambientales Seguridad y salud en el trabajo Seguridad de la Información Corrupción
CONCEPTOS BÁSICOS
CONCEPTOS BÁSICOS El Instituto de Normas Técnicas y Certificación-ICONTEC, es el organismo nacional de normalización en el país. A través de la Norma NTC-ISO 31000 estandarizó la “Gestión del Riesgos y sus Principios". Las siguientes son la relaciones entre principios, marco de referencia y proceso, allí establecidos:
CONCEPTOS BÁSICOS ‒ ‒ ‒ ‒
ESTABLECER EL CONTEXTO DEL RIESGO Análisis DOFA Planes de Acción Proyectos de Inversión y Cooperación Procesos
¿Qué es el contexto estratégico?
Evaluación de riesgos ‒ ‒ ‒ ‒
Participación y comunicación
IDENTIFICAR LOS RIESGOS
¿Qué puede suceder? ¿Como puede suceder? Identificar clase de riesgo Determinar causas y efectos
ANALIZAR LOS RIESGOS
‒ ‒ ‒
Determinar la probabilidad Determinar el impacto Clasificación del riesgo antes de controles
‒ ‒ ‒
Determinar los controles existentes (Preventivos, detectivos y correctivos Evaluar los controles existentes Calificación del riesgo después de controles
‒ ‒ ‒ ‒
Seleccionar opciones de tratamiento Formulación de planes de contingencia (Si aplica) Formulación de acciones y/o indicadores Implementación de acciones
VALORAR LOS RIESGOS
MANEJO DE LOS RIESGOS
5. MONITOREO Y SEGUIMIENTO
Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución.
CONCEPTOS BÁSICOS ¿Cuál es el enfoque metodológico que usa la Subred integrada de Servicios de Salud Norte E.S.E? La E.S.E., optó metodológicamente por elaborar un “matriz de riesgos”, atendiendo los lineamientos establecidos en la Norma NTCISO-31000 y las Guías expedidas por el Departamento Administrativo de la Función Pública-DAFP, el enfoque de MIPG y el mapa de procesos de la institución, entre otros insumos técnicos.
¿Cómo se identifica el Riesgo? La identificación del riesgo se realiza determinando las causas, con base en los factores internos y/o externos analizados para la entidad, y que pueden afectar el logro de los objetivos. 1. SITUACIÓN NO DESEADA
2. PREPOSICIÓN
3. COMPLEMENTO
RIESGO (1+2+3)
CONCEPTOS BÁSICOS ¿Cómo se analiza y valora el Riesgo? El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias, este último aspecto puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. Pasos claves en el análisis de riesgos - Determinar probabilidad - Determinar consecuencias - Clasificación del riesgo - Estimar el nivel del riesgo
La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijación de políticas.
CONCEPTOS BÁSICOS
¿Cómo asignar controles?
Ejemplos
Tipo de Control La asignación de controles se realiza con fundamento en las causas establecidas para los riesgos y su valoración de acuerdo a la clasificación y estado respectivo. Preventivos: Preventivos: aquellos aquellos que que actúan actúan para para eliminar eliminar las las causas causas del riesgo para prevenir su ocurrencia o materialización. del riesgo para prevenir su ocurrencia o materialización. Correctivos: aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia. Detectivos: Aquellos que registran un evento después de presentado; sirven para descubrir resultados no previstos y alertar sobre la presencia de un riesgo
CONCEPTOS BÁSICOS ¿Cómo se valoran los controles? El resultado obtenido a través de la valoración del riesgo es denominado también tratamiento del riesgo •Evitar el riesgo •Reducir el riesgo, •Asumir un riesgo •Compartir o transferir el riesgo
Tratamiento del Riesgo
CONCEPTOS BÁSICOS Tratamiento del riesgo Riesgo Residual
Formulación de políticas de administración de riesgo
Riesgo residual y mapa de riesgos • Mapa de Riesgos Institucional: • Mapa de Riesgos por Proceso:
Monitoreo y Revisión
Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles se denomina riesgo residual, este se define como aquel que permanece después que la dirección desarrolle sus respuestas a los riesgos23 El mapa de riesgos es una representación final de la probabilidad e impacto de uno o más riesgos frente a un proceso, proyecto o programa.
CONCEPTOS BÁSICOS
Mapa de riesgos por proceso El mapa de riesgos es una representación final detallada por cada uno de los diecisiete (17) procesos, aprobados mediante Acuerdo 07 de 2017 por la Junta Directiva de la Subred Norte . Allí también se incluyen los riesgos del Plan Anticorrupción y de Atención al Ciudadano-PAAC.
CONCEPTOS BĂ SICOS
Mapa de riesgos institucional
El mapa de riesgos institucional es la representaciĂłn final de aquellos riesgos cuya probabilidad e impacto se encuentran en el rango de alto.
FORMULACIÓN DE LAS POLÍTICAS
La comunicación y consulta con las partes involucradas tanto internas como externas debería realizarse durante todas las etapas (pasos dentro de la metodología) del proceso para la gestión del riesgo.
Una vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización.
CONCEPTOS BÁSICOS Como parte de la operativización de la política de Gestión y Administración del Riesgo se han generado estrategias tales como la consolidación y socialización del proceso y la implementación del tratamiento del riesgo y de la mejora continua; que se miden periódicamente a través de los siguientes indicadores: Porcentaje de procesos con riesgos identificados % de cumplimiento actividades mapa de riesgos. Indicador de Riesgos Significativos
Responsabilidades en esta etapa
Línea estratégica
Corresponde al Comité de Auditoria de las Empresas Industriales y Comerciales del Estado y/o los Comités Instituciones de Coordinación de Control Interno, establecer la Política de Gestión de Riesgos y asegurarse de su permeabilización en todos los niveles de la organización pública, de tal forma que se conozcan claramente los niveles de responsabilidad y autoridad que posee cada una de las tres líneas de defensa frente a la Gestión del Riesgo
Primera Línea de defensa Corresponde a los jefes de Área y/o Grupo (primera línea de defensa) asegurarse de implementar esta metodología para mitigar los riesgos en la operación, reportando a la segunda línea sus avances y dificultades
Segunda Línea de defensa Corresponde al Área encargada de la Gestión del Riesgo (segunda línea de defensa) la difusión y asesoría de la presente metodología, así como de los planes de tratamiento de riesgo identificados en todos los niveles de la entidad, de tal forma que se asegure su implementación
Tercera Línea de defensa Le corresponde a las Unidades de Control Interno, realizar evaluación (aseguramiento) independiente sobre la Gestión del Riesgo en la Entidad, catalogándola como una unidad auditable mas dentro su Universo de Auditoria y por tanto debe dar a conocer a toda la Entidad el Plan Anual de Auditorias basado en riesgos, y los resultados de la evaluación de la Gestión del Riesgo. Fuente :DAFP Guía para la Administración del riesgos de Gestión, corrupción, y seguridad digital y diseño de controles en entidades publicas
CONCEPTOS BÁSICOS ¿Que es la Información, Comunicación y Reporte? La comunicación de la Información y el reporte debe garantizar que se tienen en cuenta las necesidades de los usuarios o ciudadanos, de modo tal que los riesgos identificados, permitan encontrar puntos críticos para la mejora en la prestación de los servicios. Es preciso promover la participación de los funcionarios con mayor experticia, con el fin de que aporten su conocimiento en la identificación, análisis y valoración del riesgo.
CONCEPTOS BÁSICOS ¿Qué es un plan de mitigación de riesgos? Se denomina Plan de Mitigación a las estrategias definidas por tu empresa que tratan de reducir la probabilidad de ocurrencia del riesgo o reducir el impacto que pueda causar
Para algunos riesgos resulta más apropiado elaborar un plan de contingencia (no una respuesta o mitigación) que solamente se utilizará cuando existan señales de advertencia que indiquen que el riesgo puede ocurrir.
¿Qué es un plan de contingencia de riesgos?
2. Sistema de Administraciรณn de Riesgos Lavado de Activos y Financiaciรณn del Terrorismo SARLAFT
¿Qué es el SARLAFT? El Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo (SARLAFT) es el sistema de prevención y control para la adecuada gestión del riesgo de LA/FT. Para esto, los vigilados deberán adoptar unas políticas, procedimientos y herramientas mínimas que contemplen todas las actividades que realizan en desarrollo de su objeto social y que se ajusten a su tamaño, actividad económica, forma de comercialización y demás características particulares de cada agente vigilado
¿Por qué es importante gestionar y mitigar el riesgo de LA/FT? El Lavado de Activos y/o la canalización de recursos hacia la realización o Financiación de Actividades Terroristas, se vincula al riesgo legal, de contagio, operativo y reputacional al que se exponen los agentes del SGSSS vigilados por la SNS, con el consecuente impacto económico negativo que ello puede representar para su estabilidad y la del sector en su conjunto.
¿Qué es el riesgo de LA/FT? El riesgo de Lavado de Activos y Financiación del Terrorismo (LA/FT) es la posibilidad que, en la realización de las operaciones de una entidad, se introduzcan a la economía recursos provenientes de actividades relacionadas con el lavado de activos o la financiación al terrorismo, y/o que estas entidades puedan ser utilizadas por organizaciones al margen de la Ley como instrumento para adquirir, resguardar, ocultar, transportar, transformar, almacenar, conservar, custodiar, recolectar, entregar, recibir, aportar, promover, organizar, apoyar, mantener, financiar, sostener, administrar, invertir o aprovechar dineros, recursos y cualquier otro tipo de bienes provenientes de actividades delictivas o destinados a su financiación, o para dar apariencia de legalidad a las actividades delictivas o a las transacciones y fondos de recursos vinculados con las mismas.
¿Qué es la UIAF? De conformidad con las Leyes 526 de 1999 (modificada por la Ley 1121 de 2006 y 1762 de 2015) y la Ley 1621 de 2013, y con los Decretos 1068 y 1070 de 2015, “la Unidad de Información y Análisis Financiero (UIAF) es un organismo de inteligencia y contrainteligencia del Estado, adscrito al Ministerio de Hacienda y Crédito Público, cuyas funciones son las de intervenir en la economía mediante actividades de inteligencia financiera y económica, con el fin de prevenir y detectar conductas que puedan estar asociadas a los delitos de lavado de activos, financiación del terrorismo, contrabando y/o fraude aduanero.
¿Cuáles son los elementos del SARLAFT?
¿Qué debo reportar y con qué periodicidad se deben realizar estos reportes a la UIAF? Los reportes que deben enviar las entidades a la UIAF son: 1) El Reporte de Operaciones Intentadas y Operaciones Sospechosas (Reporte de Operaciones Sospechosas - ROS) de manera inmediata, una vez. Por otra parte, las entidades dentro de los primeros diez (10) días calendarios al mes siguiente deberán reportar a la UIAF lo siguiente: El Reporte de ausencia de Operaciones Sospechosas, si no se presentaron ROS en el mes inmediatamente anterior.
¿Qué debo reportar y con qué periodicidad se deben realizar estos reportes a la UIAF? Reporte con todas las transacciones individuales en efectivo iguales o superiores a 5 millones de pesos diarias realizadas por una misma persona natural o jurídica ($5 ´000,000) y el Reporte con todas las transacciones múltiples en efectivo iguales o superiores a 25 millones de pesos ($25´000,000) mensuales realizadas por una misma persona natural o jurídica. Reporte de ausencia de transacciones en efectivo, si no se presentaron durante el mes inmediatamente anterior.