superintendencia nacional de salud … – v 5 introduccion el objetivo del presente informe es...
TRANSCRIPT
FI-PLAN-110810 – V 5
SUPERINTENDENCIA NACIONAL DE SALUD
OFICINA DE CONTROL INTERNO
INFORME DE SEGUIMIENTO AL MAPA DE RIESGOS Y POLÍTICA DE ADMINISTRACIÓN DEL RIESGOS DE LA SUPERINTENDENCIA NACIONAL DE SALUD
Bogotá, D. C.
Octubre de 2.014
FI-PLAN-110810 – V 5
INTRODUCCION
El objetivo del presente informe es poner en contexto a la Alta Dirección de la Superintendencia Nacional de Salud sobre la importancia de la gestión del riesgo y de igual manera presentar recomendaciones sobre la necesidad de implementar la gestión de riesgos como un proceso estratégico dentro la Institución para garantizar la eficiencia, eficacia y efectividad del modelo de Inspección Vigilancia y Control que ejerce la Entidad. Así mismo, se presenta la metodología recomendada por el Departamento Administrativo de la Función Pública como la guía genérica para el establecimiento e implementación del proceso de administración de riesgos del sector público. De este informe, al final se concluye que es indispensable que la Entidad se encargue de gestionar sus riesgos, los cuales deben estar incorporados en la parte estratégica de la Institución. Esta herramienta gerencial, es la materialización del componente Administración de los Riesgos correspondiente al Módulo de Control de la Planeación y Gestión, y que nos muestra que acciones de alerta se presentan en el ejercicio Administrativo que puedan afectar el cumplimiento de la misión. Es importante recordar que el Estado colombiano, mediante el Decreto 1537 de 2001, estableció una serie de elementos técnicos requeridos para el desarrollo adecuado y fortalecimiento del Sistema de Control Interno de las diferentes entidades y organismos de la Administración Pública, uno de ellos es la “Administración del Riesgo”, considerando que la identificación y análisis del riesgo entrega información suficiente y objetiva que les permitirá aumentar la probabilidad de alcanzar sus objetivos institucionales. Así mismo a través del Decreto 1599 de 2005 se adoptó el Modelo Estándar de Control Interno (MECI) para todas las entidades del Estado, en el que la “Administración del Riesgo” se define como uno de los componentes del Subsistema de Control Estratégico y en el Anexo Técnico como “el conjunto de elementos de control que, al interrelacionarse, permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan identificar oportunidades para un mejor cumplimiento de su función. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pública auto controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos”.
FI-PLAN-110810 – V 5
Luego mediante el Decreto 943 de 2.014 se actualiza el Modelo Estándar de Control Interno en el cual se determinan las generalidades y estructura necesaria para establecer, implementar y fortalecer el sistema de control interno. De igual manera se establece el Manual Técnico del Modelo Estándar de Control Interno el cual, entre sus principales novedades se encuentra que los tres subsistemas a los que se refería la versión anterior se convierten en dos Módulos de Control, que sirven como unidad básica para realizar el control a la planeación y gestión institucional, y a la evaluación y seguimiento. A partir de esa modificación, la información y comunicaciones convierten en un eje transversal del Modelo, teniendo en cuenta que hacen parte de todas las actividades de control de las entidades. Dentro del Módulo de Control de la Planeación y Gestión se encuentra el parámetro de control Administración de los Riesgos, que es el tema al que nos estamos refiriendo en este informe y que en detalle se muestra en los siguientes esquemas.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la Entidad y afectar el logro de sus objetivos. La Administración del Riesgo se sirve de la planeación estratégica (misión, visión, establecimiento de objetivos, metas, factores críticos de éxito), del campo de aplicación (procesos, proyectos, sistemas de información), del componente de Ambiente de Control y todos sus elementos, su revisión sistémica contribuye a que la Entidad no solo garantice la gestión institucional y el logro de los objetivos sino que fortalece el ejercicio del Control Interno.
FI-PLAN-110810 – V 5
La armonización entre el Modelo Estándar de Control Interno (MECI) y la Norma Técnica de Calidad NTCGP1000:2009, sugiere adoptar la metodología planteada por la Dirección de Control Interno y Racionalización de Trámites del Departamento Administrativo de la Función Pública, con el fin de facilitarle a las entidades el ejercicio de la administración del riesgo. El proceso de administración de riesgos ocurre dentro de la estructura del contexto estratégico de la Entidad. El contexto incluye los aspectos financieros, operativos, competitivos, políticos, sociales, de usuarios, culturales, legales, etc. Con respecto a la Superintendencia Nacional de Salud y teniendo en cuenta que recientemente realizo el proceso de restructuración de sus procesos y procedimientos, incorporada aquella en el Decreto 2462 de 2.013, y si bien en la nueva estructura institucional se crea la Oficina de Metodologías de Supervisión y Análisis de Riesgos, así como la Superintendencia Delegada para la Supervisión de Riesgos, no se ha evidenciado hasta el momento dentro de los procesos, la implementación de un sistema de gestión de riesgos; ni una herramientas que permita al Interior de la Entidad, ejecutar revisiones permanentes a los riesgos detectados en los procesos. A continuación se describen los elementos principales del proceso de administración de riesgo de acuerdo a la metodología adoptada por el Departamento Administrativo de la Función Pública a través de la Guía No. 18 de Administración de Riesgos y que podemos apreciar de manera gráfica en el siguiente esquema:
FI-PLAN-110810 – V 5
1. Establecer contexto: Identificación de los diferentes tipos de contexto, ya sea estratégico, organizacional o administración de riesgos, en el cual se tendrá lugar el proceso a controlar. Donde se debería establecer criterios que evalúen los riesgos y definan la estructura del análisis. 2. Identificar riesgos: Identificar el qué, el por qué y cómo pueden surgir las cosas como base para análisis posterior; en esta etapa se deberían incluir todos los riesgos, estén o no bajo control de la organización. 3. Analizar riesgos: Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debería considerar el rango de consecuencias potenciales y la probabilidad que ocurran estas mismas. Las consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de riesgo.
FI-PLAN-110810 – V 5
4. Evaluar riesgos: Comparar niveles estimados de riesgos contra los criterios preestablecidos. Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de administración. Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una categoría aceptable y no se requeriría un tratamiento. 5. Tratar riesgos: Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar e implementar un plan de administración específico que incluya consideraciones de fondeo. 6. Monitorear y revisar el desempeño del sistema de administración de riesgos y los cambios que podrían afectarlo. 7. Comunicar y consultar con partes interesadas internas y externas según corresponda en cada etapa del proceso de administración de riesgo y concerniendo al proceso como un todo. La administración de riesgos se puede aplicar en una organización a muchos niveles. Se lo puede aplicar a proyectos específicos, para asistir con decisiones específicas o para administrar áreas específicas reconocidas de riesgo. Teniendo en cuenta lo anteriormente mencionado, se puede observar que la administración de los riesgos lleva una secuencia lógica, la cual ayuda a crear un ambiente semipermeable en la protección del patrimonio de las organizaciones que la pongan en marcha; lo cual a su vez no garantiza el 100% de inmunidad ante los diferentes acontecimientos. Por ello, la metodología desarrollada por el Departamento Administrativo de la Función Pública propone a las organizaciones tener en cuenta la gestión de riesgos, como un proceso estratégico en el cual se le dé la importancia que tiene este dentro del funcionamiento y proyección de la Entidad, ya que no es una opción para ser eficientes; sino una necesidad, donde se fijaran y monitorean las estrategias optimas, para que la organización garantice rentabilidad y sostenibilidad en su mercado objetivo, contando de esta manera con el apoyo de la alta dirección quien es el área encargada de proveer los recursos necesarios para la coordinación y gestión de todos los procesos de la institución.
FI-PLAN-110810 – V 5
En este orden de ideas, y dentro de las funciones en que se enmarca el rol de la Oficina de Control Interno, tenemos la valoración del Riesgo, abordándola desde el punto de vista de lo que le exige el marco legal aplicable, pero sobre todo, desde la perspectiva del rol que le corresponde cumplir a las Oficinas de Control Interno, frente al riesgo y las salvaguardas necesarias para proteger la objetividad e independencia con las que debe evaluar la manera como la entidad está administrando sus riesgos.
A través del artículo 4o del Decreto 1537 de 2001 se establece que todas las entidades de la Administración Pública deben contar con una política de administración del riesgo
tendiente a darle un manejo adecuado a los riesgos, con el fin de lograr de la manera más eficiente el cumplimiento de sus objetivos y estar preparados para enfrentar cualquier contingencia que se pueda presentar. El MECI contempla en el Módulo de Control de la Planeación y Gestión el parámetro de control Administración de los Riesgos, contribuyendo a que la entidad garantice no solo la gestión institucional sino que fortalezca el ejercicio del autocontrol y del control interno en las entidades de la Administración Pública. La administración del riesgo es un elemento fundamental de la función administrativa y por lo tanto la Alta Dirección de la Superintendencia Nacional de Salud es responsable de establecer y operar la política de la administración del riesgo con el apoyo del Comité de Desarrollo Administrativo. En cuanto al acompañamiento que en la materia debe hacer la Oficina de Control Interno, de acuerdo con lo previsto en el Decreto 1537 de 2001, en su artículo 4o. “(...) la identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las Oficinas de Control Interno, evaluando los aspectos tanto internos como externos que pueden llegar a representar una amenaza para la consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y las Oficinas de Control Interno e integradas de manera inherente a los procedimientos”. El propósito de la Oficina de Control Interno respecto de la administración del riesgo es el de proveer una evaluación objetiva a la Entidad a través del proceso de auditoría interna sobre la efectividad de las políticas y acciones en la materia, de cara a asegurar que los riesgos institucionales están siendo administrados apropiadamente y que el Sistema de Control Interno está siendo operado efectivamente, a lo que han apuntado cada uno de los informes de auditoría que se han presentado por esta dependencia.
FI-PLAN-110810 – V 5
Del seguimiento realizado por la Oficina de Control Interno se evidencia que antes de la reestructuración se tenía un mapa de riesgos con actividades escasas de mitigación por parte de las diferentes dependencias y ausencia de seguimiento por parte de la Oficina Asesora de Planeación. Hoy, después de la reestructuración no contamos con un mapa de riesgos institucional ni por procesos, aspecto este que por tanto debemos mejorar, siendo consciente la Oficina de Control Interno, que en estos momentos se está culminando con el levantamiento de los procesos y procedimientos de la Institución, por lo cual entonces la labor posterior a ejecutar, es el levantamiento del nuevo Mapa de Riesgos de la Institución, en cumplimiento de las directrices impartidas por el Departamento Administrativo de la Función Pública, que resulta ser una herramienta de gran valor para el desarrollo de la gestión de la Alta Dirección y por ello en el presente informe se reitera la recomendación de utilizar la herramienta desarrollada por el mencionado Departamento, que resulta relevante en la labor a desarrollar en este sentido.
BENEFICIOS DE LA GESTION DEL RIESGO Si se gestiona el riesgo cuidadosamente se tendrán los siguientes resultados.
Una planificación estratégica como resultado de un conocimiento más amplio y una integración de la exposición a riesgos claves.
Sorpresas sin mayor costo, debido a que se está previniendo que ocurra algo no deseable.
Mejores resultados en términos de efectividad y eficiencia de programas específicos.
Una mayor transparencia en toma de decisiones y procesos de gestión en curso.
Una mejor preparación y la facilitación de los resultados positivos a través de la sub-secuente revisión interna y externa y procesos de auditoría.
Hasta aquí nos hemos venido refiriendo a los riesgos institucionales y por procesos, de acuerdo a la metodología recomendada por el DAFP, pero merece mencionar también los riesgos anticorrupción y la política implementada por la Superintendencia Nacional de Salud.
FI-PLAN-110810 – V 5
En armonía con el Estatuto Anticorrupción, Ley 1474 de 2011 artículo 73, y el Decreto 2641 de 2012, el 30 de abril de 2013 la Superintendencia Nacional de Salud presentó a todo el universo de instituciones vigiladas por la Entidad, a todos los usuarios del Sistema General de Seguridad Social en Salud, y a la opinión pública en general, el Plan Anticorrupción y de Atención al Ciudadano de la Superintendencia Nacional de Salud, elaborado después de un intenso y cuidadoso ejercicio de construcción colectiva interna, y con la asesoría técnica de la Secretaría de Transparencia de la Presidencia de la República.
Con el fin de tener una directriz que sea reconocida y entendida por todos los servidores públicos de la Entidad en materia de prevención de posibles eventos de corrupción, la Superintendencia Nacional de Salud implementó la siguiente política de administración de riesgos de corrupción:
“La Superintendencia Nacional de Salud se compromete a establecer e implementar un Sistema de Administración del Riesgos Anticorrupción, a partir de la identificación de causas generadoras de posibles eventos de corrupción, la aplicación de controles y la debida selección de métodos y aplicación de acciones para el tratamiento y monitoreo, de aquellos hechos que puedan afectar o impedir el normal desarrollo y gestión eficaz de los procesos. Lo anterior con el fin de preservar y afianzar la imagen de transparencia en la Superintendencia Nacional de Salud, así como con la salvaguarda de sus bienes, el bienestar de sus colaboradores, garantizando el manejo adecuado de los recursos, el cumplimiento de los objetivos de los procesos y el logro de los propósitos institucionales.” Ese documento, y el proceso de reflexión y análisis colectivo que antecedió a su redacción, fue el primer y fundamental paso para la transformación que el Gobierno Nacional quiere realizar sobre la Superintendencia Nacional de Salud, con el fin de convertirla en una entidad volcada a la protección al usuario del sistema de salud. El Plan Anticorrupción y de atención al Ciudadano 2014, destaca lo siguiente:
En noviembre de 2013, se expidió el Decreto 2462, que reestructuró la Entidad, dotándola de mejores instrumentos para combatir la corrupción en el sector salud, y sobre todo para mejorar su capacidad de atención al ciudadano.
La creación de la Superintendencia Delegada para los Procesos Administrativos para agilizar la capacidad sancionatoria de la Supersalud.
FI-PLAN-110810 – V 5
El fortalecimiento de la Superintendencia Delegada para la Protección al Usuario, con el fin de permitir la simplificación de la atención de las peticiones, quejas, reclamos y denuncias de los usuarios, todo lo cual acompañado de la creación de las oficinas regionales de la Supersalud.
La creación de una Oficina de Comunicaciones Estratégicas e Imagen Institucional para permitir a la Supersalud adelantar una campaña permanente, sistemática y completa de información a los usuarios con el fin de que puedan ejercer mejor sus derechos y deberes en el sistema de salud.
La creación de la Superintendencia Delegada para la Supervisión Institucional, con e l p rop ós i t o d e permitir que la Entidad pueda ejercer sus labores de inspección y vigilancia sobre las entidades vigiladas de una manera más comprensiva e integral, en beneficio de los usuarios.
La filosofía de supervisión preventiva, que será posible implementar gracias a la creación de la Superintendencia Delegada para la Supervisión de Riesgos, con el fin de hacer posible que las entidades vigiladas eviten llegar a situaciones financieras o administrativas que pongan en peligro su capacidad de atender a los usuarios.
RECOMENDACIONES La Oficina de Control Interno recomienda a la Alta Dirección realizar un ejercicio de capacitación y conocimiento de la metodología del Departamento Administrativo de la Función Pública antes mencionado, para después continuar con el paso de implementación del Mapa de Riesgos de la Superintendencia Nacional de Salud Se recomienda desarrollar y aplicar mecanismos que aseguren la revisión continua de los riesgos. Esto asegurará que la implementación y la política de gestión del riesgo mantengan su pertinencia, a medida que las circunstancias cambian con el tiempo y se hace vital revisar las decisiones previas. Los riesgos no son estáticos. La efectividad del proceso de gestión del riesgo debe ser revisada y monitoreada.
FI-PLAN-110810 – V 5
Conforme a la normativa vigente, la Alta Dirección de la Entidad debe garantizar que se realice una revisión del sistema de gestión del riesgo a intervalos especificados, suficiente para asegurar su continua conveniencia y eficacia para cumplir con la política y objetivos de gestión del riesgo establecidos por la institución. Teniendo en cuenta que la Entidad se encuentra en un proceso de Rediseño y modernización institucional, se recomienda tomar esta situación como una oportunidad de mejora, en procura de optimizar el tema de riesgos. Si bien en la nueva estructura institucional se crea la Oficina de Metodologías de Supervisión y Análisis de Riesgos, así como la Superintendencia Delegada para la Supervisión de Riesgos, recomendamos que la primera de las citadas, en armonía con la Oficina Asesora de Planeación, diseñe herramientas que permitan al Interior de la Entidad, ejecutar revisiones permanentes o con cortos lapsos de tiempo, del sistema de gestión del riesgo, pudiéndose estructurar una herramienta que facilite esta importante labor. Para gestionar el riesgo correctamente se requiere documentación apropiada, que debe ser la suficiente para satisfacer las auditorias independientes, ante lo cual debe definirse y documentarse la responsabilidad, autoridad y la interrelación del personal que realiza y verifica la gestión del riesgo, en especial para las personas que requieren autonomía y autoridad organizacional. La comunicación interna y externa efectiva es importante para garantizar que quienes son responsables de implementar la gestión del riesgo comprendan la base sobre la cual se toman las decisiones y porque se requieren acciones particulares, ante lo cual la recomendación en este aspecto es fortalecer aquella (Comunicación Interna y Externa). En el proceso de Rediseño Institucional el Grupo de Comunciaciones e Imagen Institucional obtiene la categoria de Oficina, tomando la denominación de Oficina de Comunicaciones Estratgéicas e Imagen Institrucional, la cual, recomendamos que se ocupe del tema que ahora mencionamos en este acapite.
FI-PLAN-110810 – V 5
En la administración de los riesgos deberán participar las personas que laboren en la Superintendencia, de manera directa y activa, a través por ejemplo de mesas de trabajo, o bajo la metodología, o el sistema que garantice el cumplimiento de las etapas previstas en la Guía para obtener el Mapa de Riesgos por Procesos y el Institucional. El trabajo o el desarrollo de la metodología utilizada se recomienda este dirigida por los líderes de procesos, quienes serán responsables de los resultados del mismo, contando con el apoyo de la Oficina Asesora de Planeación y con el acompañamiento de la Oficina de Control Interno. El sistema de gestión por procesos obliga a que los jefes de área y sus servidores, participen activamente en aquellos procesos en que su gestión esté involucrada; de tal manera que se deben formular mapas de riesgo por proceso y a partir de ellos el Mapa de Riesgos Institucional. Es imperativo que la Superintendencia Nacional de Salud tenga en cuenta las normas de administración de riesgos, de estricto cumplimiento para las entidades del sector público, al igual que la Guía recomendada por el DAFP u otra que se considere conveniente, para la implementación y la operación de su sistema de gestión de riesgos que lo que incluyen recomendaciones para adecuar el manejo de riesgos en los diferentes procesos de gestión de la Entidad; sin embargo es la propia Entidad la que debe definir la administración integral de sus riesgos de conformidad con los objetivos generales que se fijen en su planeación estratégica, pues para que la administración de riesgos sea efectiva, esta deberá ser flexible a los cambios que sufran tales objetivos. Por todo lo expuesto, se reitera la recomendación de capacitar al capital humano de la Entidad en este importante aspecto, puesto que son cada uno de los colaboradores los que se encargan de desarrollar dichas estrategias; las que permiten a la Institución funcionar exitosamente; sin dejar de lado la gestión de los riesgos propios de la organización. De igual manera, se recomienda contar con un sistema para registrar los eventos de riesgos materializados, en el cual se lleve la estadística de los mismos para de esta manera poder llevar una trazabilidad del comportamiento y evolución de estos; además es necesario realizar un monitoreo o seguimiento a los mismos para garantizar el cumplimiento a los objetivos de la organización y la eficiencia de los controles existentes.
FI-PLAN-110810 – V 5
CONCLUSIONES
La Superintendencia Nacional de Salud, como producto del rediseño Institucional contenido en el Decreto 2462 de 2.013, ha venido levantando sus procesos y procedimientos, ajustándolos a las nuevas funciones y actividades incorporadas en la mencionada norma, sin embargo debe a renglón seguido implementar un sistema de gestión de riesgos para lo cual la herramienta diseñada por el Departamento Administrativo de la Función Pública puede ser de invaluable apoyo para el logro de este objetivo. Actualmente se recomienda fortalecer la cultura de gestión del riesgo, Autocontrol y autoevaluación al interior de la Entidad, lo que no contribuye a que la Institución pueda consolidar de mejor manera su Sistema de Control Interno, aspecto este que ha sido expuesto por la Contraloría General de la República; y en el que por tanto debe mejorar la Institución.. En la Entidad se hace necesario promover la gestión de administración del riesgo y establecer la planeación con base en una valoración de riesgos realizada por la Oficina Asesora de Planeación, recomendando en este punto se tenga en cuenta las actividades desarrolladas por la Oficina de Control Interno a través de sus diferentes informes de auditoría, los cuales en sus conclusiones y recomendaciones apuntan a atacar riesgos, desarrollando de esta manera la función que la legislación vigente le ha conferido. No es posible gestionar el riesgo de manera eficaz sin algún nivel de compromiso y participación activa de cada una de las dependencias de la Institución, responsable de los procesos de la misma, tarea que hacen mejor los empleados convencidos que pueden demostrar cómo la gestión proactiva del riesgo se puede aplicar para hacer frente a los desafíos específicos de la Entidad, por lo que en este aspecto se recomienda una efectiva intervención de la Oficina de Comunicaciones e Imagen Institucional, motivando a los colaboradores de la Institución, a través de una campaña de expectativa que se recomienda implementar, con el objeto de lograr el objetivo antes propuesto, actividad en la que resulta fundamental la intervención de la Oficina Asesora de Planeación y lógicamente el apoyo de la alta dirección. Por otro lado, una entidad que gestiona exitosamente sus riesgos es aquella en la cual su personal está comprometido y capacitado con esta temática; ya que debe ser un engranaje, en el cual cada pieza debe moverse en armonía, aspecto por el cual se realiza la recomendación anteriormente planteada.
FI-PLAN-110810 – V 5
De esta manera dejamos presentado el informe de Seguimiento al mapa de riesgos y política de administración del riesgos de la Superintendencia Nacional de Salud, actividad que conforme a la normatividad vigente es de competencia de la Oficina de Control Interno dentro de sus facultades de Control Posterior, y que se encuentra incorporada para el mes de Octubre de 2.014 en el Plan Anual de Gestión.
JUAN DAVID LEMUS PACHECO Jefe de la Oficina de Control Interno