Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
*20221300061773* Al contestar por favor cite estos datos: Radicado No.: 20221300061773 Fecha: 2022-09-23 09:33 Página 1 de 1 COMUNICACIÓN INTERNA Bogotá D.C., PARA: LUZ STELLA HERNÁNDEZ RUIZ Jefe Oficina Asesora de Planeación y Control de Riesgos (E) DE: Jefe Oficina de Control Interno. Asunto: Informe Final de seguimiento a la aplicación de la CE 006 de 2018 de la SNS, del Sistema Integra- do de Gestión de Riesgos y sus Subsistemas. Cordial saludo, De manera atenta remito para su conocimiento, el informe Final de resultado de la evaluación del seguimiento a la aplicación de la CE 006 de 2018 de la SNS, del Sistema Integrado de Gestión de Riesgos y sus Subsistemas. Esta Oficina recibió respuesta el 21 de septiembre de 2022 con el radicado No.20221100061483 de la Oficina Asesora de Planeación y Control de Riesgos, donde realizaron los comentarios al informe preliminar y estos se tuvieron en cuenta para el informe final. Si bien es cierto, que las observaciones mencionadas no generan plan de mejoramiento, se sugiere tener en cuenta las conclusiones y recomendaciones del citado informe. Atentamente, Firmado Digitalmente por DIEGO HERNANDO SANTACRUZ S. Jefe OCI DIEGO HERNANDO SANTACRUZ S. Jefe Oficina de Control Interno. Elaboró: CANM. Revisó: D.S.S. Anexo: 32 folios. Avenida El Dorado Calle 26 No. 69-76 Torre 1 Piso 17 y Torre 3 Oficina 901 Centro Empresarial Elemento - Bogotá D.C - Código Postal 111071 Línea gratuita Nacional: 01 8000 423 737 - Teléfono:(57-1) 4322760 www.adres.gov.co 1 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 FECHA DE EMISIÓN DEL INFORME Día: 22 Mes: 09 Año: 2022 Informe No. IRLI No.10 Informe Final Informe Final. Nombre del Seguimiento Informe Final de Seguimiento a la aplicación de la Circular Externa 006 de 2018 de la Supersalud. Objetivo del Seguimiento Revisar la aplicación de la CE006 de 2018, relacionada con los subsistemas de administración de riesgos. Alcance del Seguimiento Realizar seguimiento a la aplicación de la CE006 de 2018, relacionada con los subsistemas de Riesgo Operacional, Plan de continuidad del negocio, Lavado de Activos y Financiación del Terrorismo, Riesgo de Crédito, Riesgo de Liquidez y Riesgo de Mercado de Capitales. Con corte a julio de 2022. Normatividad • Circular Externa No.006 de 2018 de la Superintendencia Nacional de Salud. • Manual para la Administración de Riesgos_V04 • Política de Administración de Riesgos_V05 • GEPR_MA04_Manual Políticas Contables • GEPR-MA03_Riesgo de Mercado_V02 • GEPR-MA01_Riesgo de Liquidez_V03 • GEPR-MA02_Riesgo de Credito_V04 • GCON-MA01_Manual de Contratacion_V03 y procedimientos de contratación: (directa, Mínima Cuantía, selección abreviada, Concurso de Méritos, Licitación Pública y Adquisición por TVEC) • GETH-PR02_Cumplimiento de Requisitos para la Provisión de Empleos_V03 • GETH-PR10_Administracion de Hojas de Vida del Personal de Planta_V02. • DIES-PL02 Debida diligencia_V1 • DIES-PN01_Plan_Continuidad_de_Negocio_V02 • OSTI-PR14_Gestión de Recuperación de Desastres Tecnológicos_V03 • GEDO-MA02 MANUAL SIGI VO3 • Norma ISO 31000 2018, Norma internacional que proporciona principios y directivas eficaces para el tratamiento y la gestión de riesgos. • Norma Técnica ISO 27001:2013 Tecnología de la información. técnicas de seguridad. sistemas de gestión de la seguridad de la información. Requisitos. METODOLOGÍA Para la realización de la evaluación se tuvo en cuenta lo siguiente: Planeación: Mediante comunicación interna ORFEO Nro. 20221300047693 de julio 28 de 2021, dirigida a la jefe de la Oficina Asesora de Planeación y Control de Riesgos, se informa el inicio de la evaluación relacionada con el seguimiento a la aplicación de la CE006 de 2018, y con los subsistemas de Riesgo Operacional, Plan de continuidad del negocio, Lavado de Activos y Financiación del Terrorismo, Riesgo de Crédito, Riesgo de Liquidez y Riesgo de Mercado de 1. ANÁLISIS Y OBSERVACIONES 2 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 Capitales. FICHA TÉCNICA Herramientas Utilizadas: • Políticas de administración de riesgos de la ADRES. • Manuales de procedimientos de los procesos relacionados con los subsistemas de administración de riesgos. • Mapa de riesgos y controles en EUREKA de los subsistemas de administración de riesgos. • Reuniones con los procesos de la entidad, responsables de la aplicación de políticas y procedimientos de los subsistemas de administración de riesgos. Universo: Validar las actividades establecidas en las políticas de administración de riesgos y en los manuales de procedimientos establecidos para los subsistemas de Riesgo Operacional, Plan de continuidad del negocio, Lavado de Activos y Financiación del Terrorismo, Riesgo de Crédito, Riesgo de Liquidez y Riesgo de Mercado de Capitales. Población objeto: Revisión de las políticas y procedimientos de administración de los subsistemas de Riesgo Operacional, Plan de continuidad del negocio, Lavado de Activos y Financiación del Terrorismo, Riesgo de Crédito, Riesgo de Liquidez y Riesgo de Mercado de Capitales al corte de julio de 2022. Así mismo, pruebas de recorridos con los procesos de Contratación, Talento Humano, Dirección de Gestión de Recursos Financieros de la Salud – DGRFS, Oficina Asesora de Planeación Y Control de Riesgos - OAPCR y la Dirección de Gestión de Tecnología y Comunicaciones – DGTIC. De acuerdo con lo establecido en la CE 006 de 2018, la Oficina de Control Interno realizó seguimiento a la aplicación de los subsistemas de administración de riesgos operacional, Plan de Continuidad, Lavado de Activos y Financiación del Terrorismo LA/FT, Crédito, Liquidez y Mercado, con el propósito de verificar el cumplimiento de la citada norma por parte de la ADRES. Dado lo anterior, se relaciona el resultado de la aplicación de los subsistemas de riesgos: Según lo indicado en la circular No.006 se tiene los componentes y lineamientos generales del sistema integrado de gestión de riesgos y sus subsistemas, la ADRES con la metodología, las políticas y procedimientos tienes la capacidad institucional para identificar, evaluar, controlar y mitigar los riesgos que puedan afectar el logro de sus objetivos y, especialmente, el cumplimiento de los objetivos del SGSSS y sus obligaciones contractuales, contemplando, los siguientes riesgos prioritarios y sus respectivos subsistemas de administración: 1. Riesgo Operacional 2. Riesgo de Lavado de Activos, Financiación del Terrorismo y Corrupción 3. Riesgo de Crédito 4. Riesgo de Liquidez 5. Riesgo de Mercado De lo anterior, la ADRES a través del manual para la administración de riesgos DIES-MA01v4, integró los subsistemas de administración de riesgos, con los documentos asociados como: 3 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 ✓ Política de Administración de Riesgos DIES-PL01 ✓ Caracterización del Proceso de Direccionamiento Estratégico DIES-CP01. ✓ Procedimiento Administración de Riesgos DIES-PR02 ✓ Procedimiento Gestión de Activos de Información OSTI-PR08. ✓ Procedimiento Gestión de la Seguridad de la Información OSTI-PR09. ✓ Metodología de clasificación y valoración de activos de información OSTI-GU01. ✓ Matriz de Valoración de Activos de Información OSTI-FR02. ✓ Formato Mapa de Riesgos Consolidado de la ADRES DIES-FR16 ✓ Matriz de Vulnerabilidad de Procesos DIES-FR18 ✓ Procedimiento Reporte de Operaciones Inusuales o Sospechosas – SARLAFT DIES-PR06 ✓ Política de Debida Diligencia DIES-PL02 Fuente: Manual parala Administración de Riesgos DIES-MA01. - v.4 10/11/2021 De lo anterior, se recomienda en la próxima actualización del Manual para la Administración de Riesgos - DIES-MA01 v4. Del 10/11/2021, que se ajuste la versión de la guía para la administración del riesgo del DAFP, porque es la versión 5 y quedó registrada la versión 4, pues al inicio en el objetivo menciona la versión 4, siendo la vigente la versión 5 como, se señala en el control de cambios de mismo manual. Respuesta del Auditado: En la versión No. 5 del Manual de Administración de Riesgo, se realizó la actualización frente a la política de administración de riesgos y se realizó el ajuste respectivo en el objetivo del manual sobre la versión de la guía del DAFP vigente. (versión 5) Comentario Final de la OCI: Según lo indicado por la Oficina Asesora de Planeación y Control de Riesgos, se realizó la revisión al Manual para la Administración de Riesgos DIES-MA01 versión 5 del 14/09/2022 y se verificó la actualización, por lo que se acepta las explicaciones y no se deja observación. 4 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 1. POLITICA DE ADMINISTRACION DE RIESGOS. La ADRES realizó la actualización y aprobación de Política de Administración de Riesgos DIES-PL01, versión No.5 del 29/07/2022 referente a los ajustes de forma en redacción en riesgos operativos - estratégicos, actualización del diagrama de calificación del impacto de riesgos operativos (DAFP), ajuste oficial de cumplimiento de Seguridad de Información. Se incluye redacción de lineamiento de riesgo de opacidad frente a las políticas de transparencia y se incluyen de políticas antifraude y para el conflicto de interés. Dentro del marco del Modelo Integrado de Planeación y Gestión – MIPG, Política de Administración de Riesgos es aplicable a todos los niveles, dependencias y procesos de la entidad y su aplicabilidad se dará conforme con cada subsistema así: • Operacional o Gestión: todos los procesos de la entidad • Estratégicos: asociados a procesos estratégicos y riesgos relacionados con la planeación y cumplimiento de los objetivos institucionales. • Lavado de Activos, Financiación del Terrorismo y Corrupción: procesos en los que se determinen con mayor vulnerabilidad. • Seguridad de la Información: todos los procesos de la entidad. • Crédito: procesos misionales en los que aplique. • Liquidez: procesos misionales en los que aplique. • Mercado: procesos misionales en los que aplique. Así mismo, la entidad integró los subsistemas de administración de riesgos en el mapa de riesgos institucional, el cual se encuentra en la herramienta EUREKA y realiza monitoreo cuatrimestralmente, en el módulo de riesgos y para los riesgos materializados se deben monitorear mínimo una vez cada dos meses hasta que se dé por finalizado el plan de mejoramiento establecido y se realice una nueva valoración del riesgo. La ADRES establece lineamientos de ética y buena conducta, aplicables a todos los niveles de la organización y documentados en el Código de Buen Gobierno y el Código de Integridad, y aplicados a los subsistemas de administración de riesgos, así como el manual de Debida diligencia_V1 DIES-PL02 y el Plan_Continuidad_de_Negocio_V02 DIES-PN01. 1.1. SUBSISTEMA DE ADMINISTRACIÓN DE RIESGO OPERACIONAL. • POLITICA. La Política de Administración de Riesgo operacional (Gestión – Estratégicos) se encuentra documentada en la política de administración de riesgos, denominado DIES-PL01 v5 de 29/07/2022 y esta alineada con la guía para la administración del riesgo y el diseño de controles en entidades públicas y lo definido en la CE006 de 2018, así como con el Manual SIGI - GEDO-MA02 v3 del 06/05/2022 en su numeral 11.6 Subsistema de Administración de Riesgos Integrados. Dado lo anterior, la política de administración de riesgos se encuentra alineada con los temas definidos por la CE006 de 2018 y se aplica al subsistema de administración de riesgo operacional. En la Política de Administración de Riesgo operacional denominado DIES-PL01 v5 de 29/07/2022, se observó en la actualización el ajuste de forma en redacción en riesgos operativos - estratégicos, actualización del diagrama de calificación del impacto de riesgos operativos (DAFP), ajuste oficial de cumplimiento de Seguridad de Información. Se incluye redacción de lineamiento de riesgo de opacidad frente a las políticas de transparencia y se incluyen de 5 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 políticas antifraude y para el conflicto de interés. • PROCEDIMIENTO. De la verificación realizada al procedimiento de administración de riesgos, se observó que la entidad a través del manual para la administración de riesgos DIES-MA01 v4 actualizado en 10/11/2021, tiene establecida la metodología de administración de riesgos para el contexto, identificación del riesgos, análisis del riesgo, valoración de controles y manejo del riesgo operacional, así mismo, se observó que la entidad integró los subsistemas de administración de Riesgos operacionales (Gestión – Estratégicos), Riesgos de Seguridad de la Información, Riesgos de Corrupción y LA/FT, Riesgos de Liquidez, Riesgos de Crédito y Riesgos de Mercado, en el mapa de riesgos de la Adres. De igual manera, mediante el procedimiento administración de riesgos DIES-PR05 v5 de 02/09/2021, la entidad definió las etapas que debe realizar cada proceso para la aplicación de la metodología establecida por el Departamento Administrativo de la Función Pública - DAFP y los lineamientos de la CE006 de la Superintendencia Nacional de Salud – SNS. De la revisión efectuada al subsistema de administración de riesgo operacional, relacionado con los manuales y procedimientos establecidos por la Adres para el cumplimiento de lo definido en la CE006 de 2018 y por la metodología del DAFP, se observó que los procesos de la entidad aplican los lineamientos y parámetros fijados en los citados documentos, para la elaboración y construcción de los mapas de riesgos de cada proceso, como se evidenció a través de la herramienta EUREKA, en el módulo de riesgos / gestión / proceso / operativo, en el cual se tiene establecido las etapas de identificación, análisis, valoración, manejo y monitoreo para cada riesgo del proceso. Dado lo anterior, se muestra la verificación realizada en el sistema EUREKA: Dado lo anterior, se evidenció que los manuales y procedimientos definidos para el subsistema de administración de riesgo operacional, se desarrollan y aplican de acuerdo con los lineamientos señalados en la CE006 de la SNS y lo establecido en la metodología del DAFP. • MAPA DE RIESGOS. La entidad tiene incorporado en el mapa de riesgos institucional, el subsistema de administración de riesgos operacional (gestión – estratégico), para cada proceso con las respectivas etapas de riesgos y controles de acuerdo con la guía para la administración del riesgo y el diseño de controles en entidades públicas del DAFP. 6 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 El manual para la administración de riesgos DIES-MA01 v4 del 10/11/2021, estableció la periodicidad para el monitoreo de riesgos y controles, definiendo que los riesgos se deben monitorear cuatrimestralmente de acuerdo con las fechas establecidas en la Guía de Administración del Riesgo del DAFP. Para lo cual se realizó verificación a los siguientes riesgos de gestión de proceso misionales de Gestión y Pago de Recursos donde se evidencia el seguimiento: Se verificó en el Manual SIGI-GEDO-MA02 v.3del 6/05/2022 en el numeral 11.6 Subsistema de Administración de Riesgos Integrados, que todos los riesgos se caracterizan a través de la plataforma Eureka, la cual documenta los riesgos, causas, controles y acciones de tratamiento para todos los procesos de la entidad que integran el SIGI. Por lo anterior, de la revisión efectuada al subsistema de administración de riesgo operacional, se observó que el mapa de riesgos y controles de los procesos está definido de acuerdo con la metodología del DAFP, así mismo, se evidenció que la entidad está aplicando lo establecido en los manuales de administración de riesgos de la entidad y los lineamientos del ciclo general de gestión de riesgos señalados en la CE006 de la SNS. • VERIFICACION MAPA DE RIESGOS Y CONTROLES RIESGO OPERACIONAL En la herramienta EUREKA, se verificó la identificación de eventos de Riesgo del proceso de Direccionamiento Estratégico, asociado a la Política, Manual de Administración de riesgos y Procedimiento Administración y de Riesgos denominado DIES-PL01 v5 de 29/07/2022 y riesgos DIES-MA01 v4 del 10/11/2021, evidenciando que se analizaron los aspectos metodológicos de administración de riesgos indicados en la Guía para la administración del riesgo y el diseño de Código del riesgo Identificador Procesos Áreas organizativas Responsable Comentario de último monitoreo Fecha de último monitoreo Fecha de próximo monitore GEPR-RG04 Posibilidad de afectación económica por posibles sanciones y/o Inadecuada asignación de recursos en cuentas de ahorro de entidades financieras habilitadas para la operación con la ADRES, dado las inconsistencias en la aplicación y análisis de la metodología, dependencia de terceros en precision oportunidad y calidad de la información y cambios a nivel de condiciones de mercado y/o politica monetaria. * Gestión y Pago de Recursos * Dirección de Gestión de Recursos Financieros de la Salud Carmen Rocio Rangel Quintero Se realiza reporte de monitoreo a los controles de gestion del riesgo enfocados en mitigar la posibilidad de afectación económica por posibles sanciones y/o Inadecuada asignación de recursos en cuentas de ahorro de entidades financieras habilitadas para la operación con la ADRES, dado las inconsistencias en la aplicación y análisis de la metodología, dependencia de terceros en precision oportunidad y calidad de la información y cambios a nivel de condiciones de mercado y/o politica monetaria. 27/Abr/2022 12:14 31/Ago/2022 23:59 GEPR-RG03 Posibilidad de afectación económica y reputacional por sanciones y/o insuficiencia de flujo de caja necesario para cumplir con las obligaciones y compromisos de la ADRES, debido a Inconsistencias en la aplicación, análisis y calculo de las proyecciones, Factores que hagan que la Nación no suministre los recursos, Crisis económicas que impacten los niveles de recaudo de fuentes de los recursos del SGSSS. * Gestión y Pago de Recursos * Dirección de Gestión de Recursos Financieros de la Salud Carmen Rocio Rangel Quintero Se realiza el reporte de monitoreo a controles para la gestión del riesgo enfocados en mitigar la Posibilidad de afectación económica y reputacional por sanciones y/o insuficiencia de flujo de caja necesario para cumplir con las obligaciones y compromisos de la ADRES, debido a Inconsistencias en la aplicación, análisis y calculo de las proyecciones, Factores que hagan que la Nación no suministre los recursos, Crisis económicas que impacten los niveles de recaudo de fuentes de los recursos del SGSSS. 29/Abr/2022 15:42 31/Ago/2022 23:59 GEPR-RG05 Posibilidad de afectación económica por decisiones erróneas al invertir en mercado de capitales, debido a la falta de análisis en la aplicación de la metodología, cambios inesperados en el contexto externo nacional o internacional que afecten los mercados, (Ambientales, sociales, políticos, económicos) y cambios en precio (oferta y demanda), cambios mercantiles(resultados de las compañías) * Gestión y Pago de Recursos * Dirección de Gestión de Recursos Financieros de la Salud Carmen Rocio Rangel Quintero No se manejan actualmente controles para mitigar la posibilidad de afectación económica por decisiones erróneas al invertir en mercado de capitales, debido a la falta de análisis en la aplicación de la metodología, cambios inesperados en el contexto externo nacional o internacional que afecten los mercados, (Ambientales, sociales, políticos, económicos) y cambios en precio (oferta y demanda), cambios mercantiles(resultados de las compañías) , dado que no hay inversiones en el mercado de capitales. 27/Abr/2022 12:29 31/Ago/2022 23:59 7 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 controles en entidades públicas-DAFP Versión 5. La Política de Administración de Riesgos Operacionales, se encuentra documentada en el manual de política de administración de riesgos, denominado DIES-PL01 v5 de 29/07/2022 y contempla los riesgos de: a. Gestión de procesos que puedan afectar el cumplimiento de la misión y objetivos de los procesos y su materialización puede llegar a afectar la continuidad de la operación. b. Estratégicos que puedan afectar el cumplimiento de objetivos y metas estratégicas. De lo expuesto se verificó mediante el reporte de todos los riesgos de Eureka, los procesos de Direccionamiento Estratégico que tienen 14 y los Riesgos de Gestión con 42, asociado a la política y manual de administración de riesgos, así: De lo anterior, se evidencia que se da cumplimiento a la metodología establecida por la entidad en cuanto a identificación, análisis, valoración y seguimiento de los riesgos. En la casilla que indica el último monitoreo. Respuesta del Auditado: Se aclara que los 14 riesgos expuestos en el informe, si bien son catalogados como estratégicos, no están asociados a algún proceso en específico, ya que se articulan al plan Estratégico Institucional, y su monitoreo está a cargo del líder de cada iniciativa estratégica. Procesos Código del riesgo Subsistema del riesgo Fecha de último monitoreo * Arquitectura y Proyectos TIC APTI-RG01 Operativo 17/Ago/2022 08:31 * Control y Evaluación de la Gestión CEGE-RG02 Operativo 22/Ago/2022 10:14 CEGE-RG03 Operativo 22/Ago/2022 10:55 * Direccionamiento Estratégico DIES-RG03 Operativo 30/Abr/2022 23:49 DIES-RG04 Operativo 28/Abr/2022 10:08 * Gestión Administrativa GEAD-RG03 Operativo 25/Abr/2022 09:27 * Gestión de Comunicaciones GECO-RG01 Operativo 27/Abr/2022 12:49 * Gestión de Contratación GCON-RG01 Operativo 25/Abr/2022 08:35 GCON-RG03 Operativo 25/Abr/2022 08:45 * Gestión de Desarrollo Organizacional GEDO-RG01 Operativo 22/Ago/2022 14:01 * Gestión Documental GDOC-RG01 Operativo 29/Abr/2022 09:42 * Gestión Estratégica de Talento Humano GETH-RG02 Operativo 29/Abr/2022 11:30 GETH-RG07 Operativo 28/Abr/2022 10:34 * Gestión Financiera de Recursos GFIR-RG01 Operativo (en blanco) GFIR-RG05 Operativo (en blanco) * Gestión Jurídica GJUR-RG01 Operativo 29/Abr/2022 16:48 GJUR-RG02 Operativo (en blanco) GJUR-RG03 Operativo (en blanco) GJUR-RG04 Operativo (en blanco) GJUR-RG05 Operativo (en blanco) * Gestión Servicio al Ciudadano GSCI-RG01 Operativo 17/Ago/2022 08:43 GSCI-RG02 Operativo 17/Ago/2022 08:02 * Gestión y Pago de Recursos GEPR-RG01 Operativo 29/Abr/2022 14:57 GEPR-RG02 Operativo 27/Abr/2022 15:31 GEPR-RG03 Liquidez 29/Abr/2022 15:42 GEPR-RG04 Crédito 27/Abr/2022 12:14 GEPR-RG05 Mercado 27/Abr/2022 12:29 * Gestión y Prevención de Asuntos Disciplinarios GPAD-RG01 Operativo 29/Abr/2022 16:11 * Operación y Soporte a las Tecnologías de Información y las ComunicacionesOSTI-RG01 Operativo 24/Mar/2022 08:36 * Operaciones de fortalecimientofinanciero para actores del Sistema de SaludOFAS-RG01 Operativo (en blanco) * Recaudo e identificación de fuentes RIFU-RG01 Operativo 29/Abr/2022 10:32 RIFU-RG02 Operativo 29/Abr/2022 10:53 * Validación, liquidación y Reconocimiento VALR-RG01 Operativo 30/Abr/2022 22:09 VALR-RG02 Operativo 30/Abr/2022 21:20 VALR-RG03 Operativo (en blanco) VALR-RG04 Operativo (en blanco) VALR-RG05 Operativo (en blanco) VALR-RG06 Operativo (en blanco) VALR-RG07 Operativo (en blanco) VALR-RG08 Operativo (en blanco) * Verificaciones al reconocimiento de recursos del Sistema de SaludVERS-RG01 Operativo 30/Abr/2022 08:05 VERS-RG02 Operativo (en blanco) (en blanco) DO1-RE1 Operativo (en blanco) DO2-RE1 Operativo (en blanco) DO3-RE1 Operativo (en blanco) GI1-RE1 Operativo (en blanco) GM1-RE1_V1 Operativo (en blanco) GM1-RE2_V1 Operativo (en blanco) GM1-RE3_V1 Operativo (en blanco) GM2-RE1_V1 Operativo (en blanco) GM3-RE1_V1 Operativo (en blanco) GM4-RE1_V1 Operativo (en blanco) GM4-RE2_V1 Operativo (en blanco) GM5-RE1_V1 Operativo (en blanco) R1-RE1 Operativo (en blanco) R1-RE2 Operativo (en blanco) 8 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 • Valoración de controles: Para la evaluación del diseño de los controles, la OCI verificó que cada uno de los controles diseñados para mitigar los eventos de riesgo, contenga una adecuada redacción y atributos de eficiencia y formalización fundamentales para valorar el riesgo, establecidas en la Guía para la administración del riesgo y el diseño de controles en entidades públicas- DAFP Versión 5-diciembre – 2020. La OCI evidenció que la redacción de controles implementados para reducir la probabilidad y el impacto de ocurrencia del evento de riesgo cumple con los requisitos establecidos en la Guía de Función Pública, como son: Responsable de ejecutar el control, acción y complemento. Para evaluar la efectividad de cada uno de los controles implementados al riesgo inherente para reducir o mitigar la probabilidad y el impacto de eventos de riesgos, la OCI evaluó frente a la evidencia aportada según los puntos de control identificados en los procedimientos en los puntos, cada uno de los aspectos definidos en el diseño y su adecuada ejecución. Ver documento Excel Anexo No.1- hoja Controles. • CONCLUSION DEL SUBSISTEMA DE RIESGO OPERACIONAL. De la revisión efectuada al subsistema de administración de riesgo operacional, se observó que la entidad está aplicando las políticas de administración de riesgos, manual de riesgos y procedimientos definidos para el ciclo de gestión de riesgos y controles, dando cumplimiento con lo establecido en la CE 006 de 2018 de la SNS. 1.2. SUBSISTEMA DE ADMINISTRACIÓN DE RIESGOS DE LAVADO DE ACTIVOS Y FINANCIACION DEL TERRORISMO y CORRUPCION: • POLITICA. PROCESO DE CONTRATACIÓN Y TALENTO HUMANO. La Política de Administración de Riesgos Lavado de Activos, Financiación del Terrorismo y Corrupción se encuentra documentada en el manual de política de administración de riesgos, denominado DIES-PL01 v5 de 29/07/2022 y contempla los riesgos así: a. De posibles actos de corrupción, descritos como la probabilidad de ocurrencia de eventos en los que se use el poder para desviar la gestión de lo público hacia un beneficio privado. b. De Lavado de Activos y Financiación del Terrorismo (LA/FT), descritos como la posibilidad de pérdida o daño que podría sufrir la entidad al ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas. En la Política de Administración de Riesgo operacional denominado DIES-PL01 v5 de 29/07/2022, se observó que incluye redacción de lineamiento de riesgo de opacidad frente a las políticas de transparencia y se incluyen de políticas antifraude y para conflicto de interés. De igual manera, la Adres tiene establecida la política de Debida Diligencia a través del documento denominado DIES PL02 de abril 30 de 2021, referente a contrapartes y terceros, conocimiento del tercero, consulta en listas restrictivas, actualización de la información, señales de 9 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 alerta y reporte y monitoreo de las operaciones, transacciones o negocios. Así mismo, la entidad tiene definido los reportes de información, señales de alerta y operaciones sospechosas, a través del procedimiento DIES-PR06 “Reporte de Operaciones Sospechosas” De la revisión efectuada a la aplicación de la política de Lavado de Activos y Financiación del Terrorismo (LA/FT) por parte de los procesos de la ADRES, se observó lo siguiente: PROCESO DE CONTRATACIÓN. De la verificación realizada a la política de LA/FT aplicada al proceso de contratación, se observó que los procedimientos de: Contratación Directa, Mínima Cuantía, Selección Abreviada, Concurso de Méritos y Licitación Pública, contienen en las políticas de operación la directriz definida en la política de LA/FT, referente a la suscripción de la Carta de Presentación de la Propuesta la cual incluye la declaración de origen de fondos. Para la aplicación de esta política el proceso de contratación tiene establecido listas de chequeo, evidenciadas a través de los formatos GCON-FR15, GCON-FR33, GCON-FR32 y GCON-FR35 dichos formatos contienen la “…Declaración de que los recursos no son provenientes de actividades relacionadas con el lavado de activos y/o financiación del terrorismo…” y el GCON-FR45 declaración de origen de recursos de P.N. Lo anterior, se evidencio, a través de la información suministrada por el proceso de contratación en los requisitos y aplicación exigida a las personas jurídicas y naturales en la etapa precontractual y contractual, para el cumplimiento de la prevención de LA/FT por parte de la entidad. PROCESO DE TALENTO HUMANO. La política de administración de riesgos, denominada DIES-PL01v5, establece que la ADRES previo a la suscripción de una vinculación contractual o laboral aplicará los procedimientos de vinculación o actualización de información establecidos sobre prevención y control de riesgos de 10 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 LA/FT, para lo cual se observó que el proceso de Talento Humano tiene definido a través del manual de cumplimiento de requisitos para la provisión de empleos el formato denominado GETH- FR03 estudio cumplimiento y certificación de requisitos (verificación de antecedentes - LA/FT: Ingresa a la página web de la UIAF, enlace lista OFAC), dado lo anterior, se observó el cumplimiento de la política para la vinculación de los funcionarios a la ADRES. Dado lo anterior, la política de administración de riesgos de LA/FT de los procesos de contratación y talento humano se encuentran alineados con los temas definidos en el subsistema de administración de riesgo de LA/FT de la CE006 de 2018, para lo cual se aplica la política establecida a través de los procedimientos y formatos de listas de chequeo y verificación de requisitos establecidos por la entidad, para las modalidades de contratación de proveedores o terceros y la vinculación de funcionarios con la entidad. • PROCEDIMIENTOS. Contratación: De la verificación realizada al proceso de contratación, se observó que la Adres a través de las modalidades de contratación, definidos a través de los procedimientos de Contratación Directa, Mínima Cuantía, Selección Abreviada, Concurso de Méritos, Licitación Pública y Adquisición por TVEC, tienen incluida la política relacionada con LA/FT), para lo cualla entidad estableció mecanismos de prevención de LA/FT mediante cartas de presentación de propuestas y listas de chequeo (declaración de origen de fondos) para verificar los requisitos y cumplimiento exigidos para la contratación de proveedores y contratistas de la entidad. 11 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 De la revisión efectuada a los formatos las listas de chequeo (declaración de origen de fondos) se evidenció que el proceso aplica el procedimiento y los respectivos documentos definidos para la prevención del LA/T: Lista de chequeo persona Jurídica: Lista de chequeo persona natural: 12 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 Talento Humano. De la revisión efectuada al proceso de talento humano, se observó que la entidad a través de los procedimientos de cumplimiento de requisitos para la provisión de empleos y la aplicación del formato GETH-FR03 estudio de cumplimiento y certificación de requisitos (verificación de antecedentes - LA/FT) y de administración de hojas de vida del personal de planta (pantallazo de resultados de Antecedentes LA/FT - OFAC (lavado de activos y financiación del terrorismo - Office of Foreign Assets Control), para lo cual se verificó la aplicación de los procedimiento y del formato a través de una muestra seleccionada de tres (3) funcionarios vinculados a la planta de la ADRES en el mes de julio de 2022, observándose que el proceso, dio cumplimiento con lo establecido en los procedimientos y mecanismos para la prevención del LA/FT. CAPACITACION LA/FT: De acuerdo con el manual para la administración de riesgos, establece que la ADRES realizará jornadas de capacitación y/o sensibilización como mínimo una vez al año a todo el personal, sobre políticas, procedimientos, herramientas y controles adoptados para dar cumplimiento al SARLAFT. Así mismo, define que en los procesos de inducción y reinducción se contemplarán temas de LA/FT., según los soportes remitidos se evidenció la aplicación de: Contenidos temáticos Moodle Inducción – Reinducción: 13 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 Gestión de riesgos: Evidencias capacitación y divulgación: • Link de reunión con OAJ con el fin de buscar medidas que eviten impacto en contra del sistema de salud y en especial la liquidez del mismo (en específico las medidas cautelares que llegan a la entidad para aplicar contra EPS). • https://teams.microsoft.com/l/meetup- join/19:meeting_OWU1YjlmMWYtNzFhMS00ODI1LTg5ZGEtMzkzMzVjY2U0ZDkx@thread.v2/0? context={"Tid":"806240d0-3ba3-4102-984c-4f5d6f1b3bc4","Oid":"69f400e0-d90f-4c5a- 8a1d-8b0dba3b1b28"} • Link de reunión de equipo de la DGRFS para evaluación de resultados del modelo CAMEL donde se visualizaban bajas de indicadores de ciertas entidades bancarias. (27 de agosto de 2021) • https://teams.microsoft.com/l/meetup- join/19%3ameeting_NjI4ZDRhOGUtZWJmZi00MWY3LWJlMWItMDA2ZWJhYTI0OTgz%40threa d.v2/0?context=%7b%22Tid%22%3a%22806240d0-3ba3-4102-984c- 4f5d6f1b3bc4%22%2c%22Oid%22%3a%22f7a8dfdf-b92d-4541-813a- 5f3d1800e8fc%22%7d • MAPA DE RIESGOS. La Adres tiene en el mapa de riesgos institucional el riesgo de corrupción, en el cual se encuentra incorporado el subsistema de administración de riesgos LA/FT, para los procesos Contratación y Talento Humano con las respectivas etapas de riesgos y controles de acuerdo con la guía para la administración del riesgo y el diseño de controles en entidades públicas del DAFP. El manual para la administración de riesgos DIES-MA01 v4 del 10/11/2021, estableció la periodicidad para el monitoreo de riesgos y controles, definiendo que los riesgos se deben monitorear cuatrimestralmente de acuerdo con las fechas establecidas en la Guía de Administración del Riesgo del DAFP. De la revisión efectuada al mapa de riesgos de la ADRES, a través de la herramienta EUREKA al https://nam10.safelinks.protection.outlook.com/ap/t-59584e83/?url=https%3A%2F%2Fteams.microsoft.com%2Fl%2Fmeetup-join%2F19%3Ameeting_OWU1YjlmMWYtNzFhMS00ODI1LTg5ZGEtMzkzMzVjY2U0ZDkx%40thread.v2%2F0%3Fcontext%3D%257b%2522Tid%2522%3A%2522806240d0-3ba3-4102-984c-4f5d6f1b3bc4%2522%2C%2522Oid%2522%3A%252269f400e0-d90f-4c5a-8a1d-8b0dba3b1b28%2522%257d&data=05%7C01%7C%7C9d2cb686a02240b6822008da77194f9b%7C806240d03ba34102984c4f5d6f1b3bc4%7C0%7C0%7C637953247873739685%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=hhIlcWwm4KftKAwq%2FnhcAaTN6MRvpWpYFcDI8VUFpZ4%3D&reserved=0 https://nam10.safelinks.protection.outlook.com/ap/t-59584e83/?url=https%3A%2F%2Fteams.microsoft.com%2Fl%2Fmeetup-join%2F19%3Ameeting_OWU1YjlmMWYtNzFhMS00ODI1LTg5ZGEtMzkzMzVjY2U0ZDkx%40thread.v2%2F0%3Fcontext%3D%257b%2522Tid%2522%3A%2522806240d0-3ba3-4102-984c-4f5d6f1b3bc4%2522%2C%2522Oid%2522%3A%252269f400e0-d90f-4c5a-8a1d-8b0dba3b1b28%2522%257d&data=05%7C01%7C%7C9d2cb686a02240b6822008da77194f9b%7C806240d03ba34102984c4f5d6f1b3bc4%7C0%7C0%7C637953247873739685%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=hhIlcWwm4KftKAwq%2FnhcAaTN6MRvpWpYFcDI8VUFpZ4%3D&reserved=0 https://nam10.safelinks.protection.outlook.com/ap/t-59584e83/?url=https%3A%2F%2Fteams.microsoft.com%2Fl%2Fmeetup-join%2F19%3Ameeting_OWU1YjlmMWYtNzFhMS00ODI1LTg5ZGEtMzkzMzVjY2U0ZDkx%40thread.v2%2F0%3Fcontext%3D%257b%2522Tid%2522%3A%2522806240d0-3ba3-4102-984c-4f5d6f1b3bc4%2522%2C%2522Oid%2522%3A%252269f400e0-d90f-4c5a-8a1d-8b0dba3b1b28%2522%257d&data=05%7C01%7C%7C9d2cb686a02240b6822008da77194f9b%7C806240d03ba34102984c4f5d6f1b3bc4%7C0%7C0%7C637953247873739685%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=hhIlcWwm4KftKAwq%2FnhcAaTN6MRvpWpYFcDI8VUFpZ4%3D&reserved=0 https://nam10.safelinks.protection.outlook.com/ap/t-59584e83/?url=https%3A%2F%2Fteams.microsoft.com%2Fl%2Fmeetup-join%2F19%3Ameeting_OWU1YjlmMWYtNzFhMS00ODI1LTg5ZGEtMzkzMzVjY2U0ZDkx%40thread.v2%2F0%3Fcontext%3D%257b%2522Tid%2522%3A%2522806240d0-3ba3-4102-984c-4f5d6f1b3bc4%2522%2C%2522Oid%2522%3A%252269f400e0-d90f-4c5a-8a1d-8b0dba3b1b28%2522%257d&data=05%7C01%7C%7C9d2cb686a02240b6822008da77194f9b%7C806240d03ba34102984c4f5d6f1b3bc4%7C0%7C0%7C637953247873739685%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=hhIlcWwm4KftKAwq%2FnhcAaTN6MRvpWpYFcDI8VUFpZ4%3D&reserved=0 https://nam10.safelinks.protection.outlook.com/ap/t-59584e83/?url=https%3A%2F%2Fteams.microsoft.com%2Fl%2Fmeetup-join%2F19%253ameeting_NjI4ZDRhOGUtZWJmZi00MWY3LWJlMWItMDA2ZWJhYTI0OTgz%2540thread.v2%2F0%3Fcontext%3D%257b%2522Tid%2522%253a%2522806240d0-3ba3-4102-984c-4f5d6f1b3bc4%2522%252c%2522Oid%2522%253a%2522f7a8dfdf-b92d-4541-813a-5f3d1800e8fc%2522%257d&data=05%7C01%7C%7C9d2cb686a02240b6822008da77194f9b%7C806240d03ba34102984c4f5d6f1b3bc4%7C0%7C0%7C637953247873739685%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=HbMld6RkBBUMgbgACUxf6oyJAv%2FwRj0z55YDuNZir7k%3D&reserved=0 https://nam10.safelinks.protection.outlook.com/ap/t-59584e83/?url=https%3A%2F%2Fteams.microsoft.com%2Fl%2Fmeetup-join%2F19%253ameeting_NjI4ZDRhOGUtZWJmZi00MWY3LWJlMWItMDA2ZWJhYTI0OTgz%2540thread.v2%2F0%3Fcontext%3D%257b%2522Tid%2522%253a%2522806240d0-3ba3-4102-984c-4f5d6f1b3bc4%2522%252c%2522Oid%2522%253a%2522f7a8dfdf-b92d-4541-813a-5f3d1800e8fc%2522%257d&data=05%7C01%7C%7C9d2cb686a02240b6822008da77194f9b%7C806240d03ba34102984c4f5d6f1b3bc4%7C0%7C0%7C637953247873739685%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=HbMld6RkBBUMgbgACUxf6oyJAv%2FwRj0z55YDuNZir7k%3D&reserved=0https://nam10.safelinks.protection.outlook.com/ap/t-59584e83/?url=https%3A%2F%2Fteams.microsoft.com%2Fl%2Fmeetup-join%2F19%253ameeting_NjI4ZDRhOGUtZWJmZi00MWY3LWJlMWItMDA2ZWJhYTI0OTgz%2540thread.v2%2F0%3Fcontext%3D%257b%2522Tid%2522%253a%2522806240d0-3ba3-4102-984c-4f5d6f1b3bc4%2522%252c%2522Oid%2522%253a%2522f7a8dfdf-b92d-4541-813a-5f3d1800e8fc%2522%257d&data=05%7C01%7C%7C9d2cb686a02240b6822008da77194f9b%7C806240d03ba34102984c4f5d6f1b3bc4%7C0%7C0%7C637953247873739685%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=HbMld6RkBBUMgbgACUxf6oyJAv%2FwRj0z55YDuNZir7k%3D&reserved=0 https://nam10.safelinks.protection.outlook.com/ap/t-59584e83/?url=https%3A%2F%2Fteams.microsoft.com%2Fl%2Fmeetup-join%2F19%253ameeting_NjI4ZDRhOGUtZWJmZi00MWY3LWJlMWItMDA2ZWJhYTI0OTgz%2540thread.v2%2F0%3Fcontext%3D%257b%2522Tid%2522%253a%2522806240d0-3ba3-4102-984c-4f5d6f1b3bc4%2522%252c%2522Oid%2522%253a%2522f7a8dfdf-b92d-4541-813a-5f3d1800e8fc%2522%257d&data=05%7C01%7C%7C9d2cb686a02240b6822008da77194f9b%7C806240d03ba34102984c4f5d6f1b3bc4%7C0%7C0%7C637953247873739685%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=HbMld6RkBBUMgbgACUxf6oyJAv%2FwRj0z55YDuNZir7k%3D&reserved=0 https://nam10.safelinks.protection.outlook.com/ap/t-59584e83/?url=https%3A%2F%2Fteams.microsoft.com%2Fl%2Fmeetup-join%2F19%253ameeting_NjI4ZDRhOGUtZWJmZi00MWY3LWJlMWItMDA2ZWJhYTI0OTgz%2540thread.v2%2F0%3Fcontext%3D%257b%2522Tid%2522%253a%2522806240d0-3ba3-4102-984c-4f5d6f1b3bc4%2522%252c%2522Oid%2522%253a%2522f7a8dfdf-b92d-4541-813a-5f3d1800e8fc%2522%257d&data=05%7C01%7C%7C9d2cb686a02240b6822008da77194f9b%7C806240d03ba34102984c4f5d6f1b3bc4%7C0%7C0%7C637953247873739685%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=HbMld6RkBBUMgbgACUxf6oyJAv%2FwRj0z55YDuNZir7k%3D&reserved=0 14 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 corte de agosto 25 de 2022, se observó que el sistema tiene almacenado la información y soportes correspondientes a las etapas de (identificación, análisis, valoración, manejo y monitoreo de los riesgos y controles de corrupción y LA/FT de los procesos talento humano y contratación así: Código del Identificador Descripción Áreas organizativas Procesos GCON-RC01 Posibilidad de pérdida económica y reputacional por decisiones ajustadas a intereses propios o de terceros mediante el direccionamiento de requisitos de participación contenidos en los términos de la invitación o pliegos de condiciones en favor de un tercero ó por intereses particulares. Se refiere a que por acción u omisión de un servidor público y/o contratista se direccione la contratación diferente a la selección de contratistas que presten servicios profesionales y/o de apoyo a la gestión, favoreciendo a un tercero desde la elaboración de los documentos previos, tales como los estudios previos, análisis del sector, estudio de mercado, fichas técnicas y pliegos de condiciones hasta el perfeccionamiento del contrato, motivado por intereses particulares o a cambio de dádivas; es decir para obtener beneficios económicos o favores personales o hacia terceros con recursos * Dirección Administrativa y Financiera * Gestión de Contratación GETH-RC01 Posibilidad de pérdida Económica y reputacional por Decisiones ajustadas a intereses propios o de terceros en proveer un empleo de planta que no cumple con los requisitos legales aplicables El evento de riesgo se presenta cuando no se evidencia meritocracia y cumplimiento de las políticas de la función pública * Dirección Administrativa y Financiera * Gestión Estratégica de Talento Humano 15 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 De lo expuesto, se verificó mediante el reporte de todos los riesgos de Eureka, en los procesos y subsistema de administración de riesgos LA/FT y Corrupción que tienen 24 riesgos, asociado a la política y manual de Administración de riesgos, así: De la revisión efectuada al subsistema de administración de riesgos de corrupción y LA/FT, se observó que el mapa de riesgos y controles de los procesos está definido de acuerdo con la metodología del DAFP, así mismo, se evidenció que la entidad está aplicando lo establecido en los manuales de administración de riesgos de la entidad y los lineamientos del ciclo general de gestión de riesgos señalados en la CE006 de la SNS. Procesos Código del riesgo Subsistema del riesgo Fecha de último monitoreo * Control y Evaluación de la Gestión CEGE-RC01 LA FT y Corrupción (en blanco) * Direccionamiento Estratégico DIES-RC01 LA FT y Corrupción 28/Abr/2022 10:56 * Gestión Administrativa GEAD-RC01 LA FT y Corrupción 26/Abr/2022 10:55 * Gestión de Contratación GCON-RC01 LA FT y Corrupción 25/Abr/2022 08:40 * Gestión Documental GDOC-RC01 LA FT y Corrupción (en blanco) * Gestión Estratégica de Talento Humano GETH-RC01 LA FT y Corrupción 28/Abr/2022 11:49 GETH-RC02 LA FT y Corrupción 28/Abr/2022 17:19 * Gestión Financiera de Recursos GFIR-RC01 LA FT y Corrupción (en blanco) * Gestión Jurídica GJUR-RC01 LA FT y Corrupción 30/Abr/2022 11:09 GJUR-RC02 LA FT y Corrupción 29/Abr/2022 09:47 GJUR-RC03 LA FT y Corrupción 08/Jun/2022 09:37 * Gestión Servicio al Ciudadano GSCI-RC01 LA FT y Corrupción 17/Ago/2022 08:31 * Gestión y Pago de Recursos GEPR-RC01 LA FT y Corrupción 29/Abr/2022 15:28 GEPR-RC02 LA FT y Corrupción 29/Abr/2022 15:33 GEPR-RC03 LA FT y Corrupción 28/Abr/2022 09:30 * Gestión y Prevención de Asuntos Disciplinarios GPAD-RC01 LA FT y Corrupción 29/Abr/2022 14:11 * Operación y Soporte a las Tecnologías de Información y las ComunicacionesOSTI-RC01 LA FT y Corrupción 27/Abr/2022 09:31 * Operaciones de fortalecimiento financiero para actores del Sistema de SaludOFAS-RC01 LA FT y Corrupción (en blanco) * Recaudo e identificación de fuentes RIFU-RC01 LA FT y Corrupción 29/Abr/2022 10:43 * Validación, liquidación y Reconocimiento VALR-RC01 LA FT y Corrupción 30/Abr/2022 22:47 VALR-RC02 LA FT y Corrupción (en blanco) VALR-RC03 LA FT y Corrupción (en blanco) * Verificaciones al reconocimiento de recursos del Sistema de SaludVERS-RC01 LA FT y Corrupción 30/Abr/2022 10:07 VERS-RC02 LA FT y Corrupción (en blanco) 16 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 • CONCLUSION DEL SUBSISTEMA DEL SUBSISTEMA DE LA/FT. De la revisión efectuada al subsistema de administración de riesgo de lavado de activos y financiación del terrorismo, se observó que la entidad está aplicando las políticas de administración de riesgos, manual de administración de riesgos definidos para el ciclo de gestión de riesgos, dando cumplimiento con lo establecido en la CE 006 de 2018 de la SNS. 1.3. SUBSISTEMA DE ADMINISTRACION DE RIESGO DE CREDITO • POLITICA. La Política asociada al subsistema de Administración de Riesgo de Crédito se encuentra documentada en la política de administración de riesgos, DIES-PL01, versión No.5 del 29/07/2022. La responsabilidad de la aplicación de la metodología para determinar los niveles de riesgo de las entidades bancarias con las que opera la ADRES, es de la Dirección de Gestión de los Recursos Financieros de Salud. Los criterios y definiciones de la metodología utilizada serán revisados anualmente y aprobados por el Comité Institucional de Gestión y Desempeño de la ADRES. La política de deterioro se define dentro del documento GEPR-MA04 v.2 del 28-12-2020 Manual de Políticas Contables de la Unidad de recursos administrados (URA). Dado lo anterior, la política de administraciónde riesgos se encuentra alineada con los temas definidos por la CE006 de 2018 y se aplica al subsistema de administración de riesgo de crédito, de acuerdo con los manuales, procedimientos y mapa de riesgos de la entidad. • PROCEDIMIENTO. La entidad elaboró el procedimiento de riesgo de crédito denominado GEPR-MA02_V4 del 28/06/2022, del cual al mes de junio de 2022 se actualizó el procedimiento en el marco del Decreto 1437 de 2021 y Resolución 165 de 2022 con la inclusión del criterio para la selección de contrapartes para cuentas maestras de recaudo de cotizaciones del SGSSS y la actualización de otros criterios como de retorno de efectivo, de diversificación y asignación de cupos de contraparte, al igual se actualizan los formatos de acuerdo con la actual codificación, y las etapas de riesgo establecidas en la metodología del Departamento Administrativo de la Función Pública - DAFP y los lineamientos de la CE006 de la Superintendencia Nacional de Salud – SNS. Este documento define los lineamientos y metodología para la gestión del riesgo de crédito, con el objetivo de acotar el riesgo de contraparte, la presente metodología delimita el conjunto de entidades con que la DGRFS puede operar, el límite de los recursos que se deberán tener en cada entidad bancaria, y algunas consideraciones en caso de presentarse sobrepasos a estos límites. La cuantificación del riesgo de crédito se realiza mediante la metodología CAMEL, esta herramienta integra rentabilidad-riesgo en la toma de decisiones, y analiza los criterios de la probabilidad de incumplimiento, la severidad y la exposición, en el momento del incumplimiento de la contraparte. Este análisis se obtiene de la clasificación de la información financiera reportada por la SFC, los puntajes asignados por las calificadoras y demás información que se emplea en los https://www.adres.gov.co/nuestra-entidad/informacion-financiera/unidad-de-recursos-administrados-ura 17 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 escenarios aleatorios para la determinación del riesgo. Este subsistema aplica para el proceso de gestión y pago de recursos en los procedimientos de generación de boletín diario GEPR-PR30 y gestión y uso de cuentas bancarias GEPR-PR23. De la verificación realizada al procedimiento de generación de boletín diario, se estableció que este manual contiene las actividades para “…ejecutar la macro de proyecto de Boletín diario con el fin de llevar un historial de los ingresos egresos y rendimientos generados al final del día…” y a su vez analizar y aplicar la metodología para cálculo de cupos de contraparte, evidenciándose a través de la aplicación del formato GEPR-FR22 en los días de junio 30 y julio 31 de 2022 para las cuentas de recaudo, tasas, límites y del documento GEPP-FR04 de rentas cedidas y cuentas pagadoras, como se indica a continuación: De la revisión efectuada al subsistema de administración de riesgo de crédito, se observó que la entidad está aplicando las políticas de administración de riesgos, manual de riesgos y procedimientos definidos para los riesgos y controles de crédito, dando cumplimiento con lo establecido en la CE 006 de 2018 de la SNS. Sin embargo, se observó que el manual de riesgo de crédito no tiene los formatos actualizados de Puntaje Final Entidades Financieras GGPP-FR11, y el de Resultado Aplicación Modelo GGPP-FR12, frente a los formatos documentados y utilizados según lo definido en el procedimiento generación de boletín diario. 18 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 Respuesta del Auditado: Al revisar el Manual de Riesgo de Crédito GEPR-MA02V4 publicada el 28 de junio de 2022 y el procedimiento de generación del boletín diario GEPR-PR30 VERSIÓN 3 del 31 de marzo de 2020, los dos están mencionando los formatos actualizados, se identificó que efectivamente en el Manual de Riesgo de Crédito en el numeral de Criterio de calificación interna se registraron los códigos anteriores, por lo que se gestionó con el proceso el respectivo ajuste del documento y ya se encuentra ajustado. Comentario Final de la OCI: Según lo indicado por la Oficina Asesora de Planeación y Control de Riesgos se aceptan las explicaciones y no se establece observación. • MAPA DE RIESGOS. La entidad a través del mapa de riesgos tiene incorporado el subsistema de administración de riesgo de crédito, para el proceso de Gestión y Pago de Recursos de la DGRFS con las respectivas etapas de riesgos y controles de acuerdo con la guía para la administración del riesgo y el diseño de controles en entidades públicas del DAFP. De la revisión efectuada al mapa de riesgos de la ADRES, a través de la herramienta EUREKA al corte de agosto 26 de 2022, se observó que el sistema tiene almacenado la información y soportes correspondientes a las etapas de (identificación, análisis, valoración, manejo y monitoreo de los riesgos y controles de crédito del proceso así: Código del riesgo Identificador Descripción Causas Procesos Áreas organizativas Responsable Gestor Subsistema del riesgo GEPR-RG04 Posibilidad de afectación económica por posibles sanciones y/o Inadecuada asignación de recursos en cuentas de ahorro de entidades financieras habilitadas para la operación con la ADRES, dado las inconsistencias en la aplicación y análisis de la metodología, dependencia de terceros en precision oportunidad y calidad de la información y cambios a nivel de condiciones de mercado y/o politica monetaria. El riesgo se presenta cuando hay inadecuada asignación de cupos en las entidades financieras, al no contar con métodos adecuados o no contar con un método para el calculo de riesgos de contraparte, depositando recursos en cuentas de ahorro de establecimientos bancarios, compañías de financiamiento, corporaciones financieras o bancas de segundo piso las cuales representan riesgo de liquidez o rentabilidad para la Entidad, generando así una alta exposición de recursos depositados en dichos establecimientos de crédito, ocasionando perdida de liquidez o recursos * Evento Externo - 7. Dependencia de Terceros en precisión oportunidad y calidad de la información * Evento Externo - 6. Situaciones de emergencia declaradas a nivel nacional o mundial * Evento Externo - 5.Cambios normativos que afecten la funcionalidad de la Entidades Financieras * Evento Externo - 10. Cambios inesperados en el contexto externo nacional o internacional que afecten los mercados, (Ambientales, sociales, políticos, económicos). * Evento Externo - 9. Cambios en política monetaria y/o cambios en política cambiaria * Evento Externo - 8. Cambios en precio (oferta y demanda), cambios mercantiles(resultados de las compañías) * Procesos - 4. Inconsistencias en la aplicación y análisis de la metodología * Procesos - 3. Debilidad en capacitación especializada de acuerdo con las funciones que desarrolla ADRES. * Procesos - 2. Errores u omisiones en los insumos considerados aspectos * Gestión y Pago de Recursos * Dirección de Gestión de Recursos Financieros de la Salud Carmen Rocio Rangel Quintero Sergio Felipe Clavijo Gómez Crédito 19 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 De la revisión efectuada al subsistema de administración de riesgo de crédito, se observó que el mapa de riesgos y controles del proceso de gestión y pago de recursos está definido de acuerdo con la metodología del DAFP, así mismo, se evidenció que la entidad está aplicando lo establecido en los manualesde administración de riesgos de la entidad y los lineamientos del ciclo general de gestión de riesgos señalados en la CE006 de la SNS. • CONCLUSION DEL SUBSISTEMA DE RIESGO DE CREDITO. De la revisión efectuada al subsistema de administración de riesgo operacional, se observó que la entidad está aplicando las políticas de administración de riesgos, manual de riesgos y procedimientos definidos para el ciclo de gestión de riesgos y controles, dando cumplimiento con lo establecido en la CE 006 de 2018 de la SNS. 1.4. SUBSISTEMA DE ADMINISTRACION DE RIESGO DE LIQUIDEZ: • POLITICA. La Política asociada al subsistema de Administración de Riesgo de Liquidez se encuentra documentada en la política de administración de riesgos, denominado DIES-PL01, versión No.5 del 29/07/2022 y las principales políticas son: CICLO DE GESTIÓN DE RIESGOS SARC Manuales o Documentación de las metodologías y técnicas util izadas para la identificación, medición, evaluación, tratamiento, control de cada una de las categorías de riesgo priorizadas en este requerimiento. Así como el establecimiento de los niveles de aceptación y límites de exposición al riesgo. X En el Manual de Administración de Riesgos de la entidad se define la metodología para la administración de riesgos de liquidez, crédito y mercado, de acuerdo con el ciclo de gestión del riesgo. No obstante, en cada uno de los manuales (Riesgo, crédito y mercado) se definen 11. Manual de Riesgo de Crédito 12. Manual de Riesto de Mercado 1. Manual de Riesgo de Liquidez Matriz de Identificación de riesgos, que incluya como mínimo: a) Descripción de los Riesgos, b) Límites de pérdida o niveles máximos de exposición, c) Cálculo de la probabilidad del riesgo, d) Cálculo del impacto y, e) Tratamiento del riesgo (si lo acepta, lo evita, lo comparte o lo reduce). X La matriz, así como la caracterización de riesgos se adjunta a esta respuesta. Es importante tener en cuenta que los límites o niveles de aceptación de estos riesgos se definen en las política de riesgo de liqudez y riesgo de crédito. 13. Matriz de riesgos financieros Matriz de Controles que ejerce a los niveles de exposición de los diferentes factores de los riesgos identificados, valoración y explicación del control, periodicidad del control, tipo de ejecución del control (manual, automática, o semiautomática), instrucción, calificación del control. X La matriz, así como la caracterización de riesgos se adjunta a esta respuesta. Es importante tener en cuenta que los límites o niveles de aceptación de estos riesgos se definen en las política de riesgo de liqudez y riesgo de crédito. 13. Matriz de riesgos financieros Mapa de Calor que muestra el perfil del riesgo Inherente y Residual X La matriz, así como la caracterización de riesgos se adjunta a esta respuesta. Es importante tener en cuenta que los límites o niveles de 13. Matriz de riesgos financieros Indicadores de medición de riesgo residual y neto, y que estos a su vez se encuentren y se mantengan en los niveles de aceptación previamente establecidos por la entidad, en diferentes horizontes de tiempo, tanto en un escenario en condiciones normales como en un escenario de crisis bajo hipótesis razonables (stress testing y back testing). X La medición de riesgos residuales se realiza con base en la metodología del DAFP de la guía referida anteriormente, y se parametrizó en la herramienta Eureka, ver numeral 7.3 del manual de administración de riesgos de la entidad. La calificación de este riesgo residual se observa en el anexo 13. En la política de administración de riesgos de la entidad se ha definido que 13. Matriz de riesgos financieros 14. Manual de Administración de Riesgos 15. Política de Administración de Riesgos Participación de cada categoría de riesgo en el riesgo neto global X La entidad no tiene identificado un nivel de riesgo neto global. No aplica Base de registro de eventos materializados de riesgo, de los últimos 12 meses ( contados desde la radicacion de esta solicitud), que cumpla con los siguientes datos: persona que reportó el evento con nombre y cargo, fecha, procesos del eventos, fecha de detección, fecha en que inició y finalizó el evento, descripción, impactos del evento, riesgo que se materializó, cuantía de pérdida económica, fecha de contabilización de la pérdida, plan implementado, acciones y tratamiento ante la materialización del riesgo X No se han materializado riesgos financieros de este tipo en la entidad. No aplica Alertas generadas en los últimos 12 meses ( contados desde la radicacion de esta solicitud), e informar su causa y las acciones que se adelantaron para su superación, corrección y/o ajuste de deficiencias. X La ADRES, como parte de sus medidas para gestionar el riesgo de liquidez y mitigarlo, presenta a la alta Dirección y a la Junta Directiva de manera periódica, los escenarios de balance y cierre presupuestal para cada vigencia, esto con la intención de generar las alertas de manera oportuna, y en caso de ser necesario, aplicar soluciones que mantengan la garantía de liquidez en el flujo de recursos del Sistema General de Seguridad Social en Salud. Se adjuntan las presentaciones donde se presentan los escenarios a lo largo del año, así como la certificación que se trataron estos temas en las Juntas Directivas en mención y los documentos soportes de una solicitud 8. Certificación Actas Junta Directiva (presentación resultados). Incluye presentaciones realizadas, de 8.1 a 8.6 Planes de Acción y/o de mejora inmediata previstos y/o aplicados para riesgos con severidad residual por fuera de los límites aprobados, y eventos de materialización del riesgo, con sus respectivos soportes de seguimiento (responsables, plazos, forma de ejecución). X Para los riesgos solicitados no se han identificado materializaciones y por tanto no se han formulado planes de mejora, de acuerdo con el procedimiento definido para la entidad. No aplica Informe de hallazgos relacionados con los SAR de riesgo priorizados en este requerimiento, por parte de los Entes de Control internos y externos de los últimos 12 meses ( contados desde la radicacion de esta solicitud). X En el último año no se han generado hallazgos relacionados con estos riesgos. No aplica Planes de contingencia previstos y/o implementados, para intervenir, tratar los riesgos y ajustar las desviaciones lo más pronto posible, en caso que se superen los límites establecidos: acciones, plazos, periodicidad, estándares de seguimiento y monitoreo, responsables. X En la matriz de riesgos adjunta se identifica como acción de contingencia para el riesgo de crédito se deberá presentar resultados ante el Comité Institucional de Gestión y Desempeño para evaluar causas de la materialización. 13. Matriz de riesgos financieros Informes o reportes gerenciales de avance o evaluaciones periódicas, sobre resultados e indicadores, de la gestión de los riesgos aquí priorizados. X En la matriz de riesgos financieros que se adjunta, al dar click sobre el nombre del riesgo (letra azul) puede acceder a la plataforma para consultar los monitoreos que ha efectuado el responsable. Así mismo, se en el archivo 13. Matriz de riesgos financieros RESPUESTA ADRES 20 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 La responsabilidad de aplicación de las metodologías para monitorear el riesgo de liquidez es de la Dirección de Gestión de Recursos Financieros de Salud. Cuando los resultados de la metodología indican que la entidad está ante una posible materialización del riesgo de liquidez, se seguirán los lineamientos establecidos en el manual de gestión de riesgo de liquidez. Los resultados de los indicadores de monitoreo del riesgo de liquidez se llevan ante la Junta Directiva cada vez que se reúnen. Loscriterios y definiciones de la metodología utilizada serán revisados anualmente y aprobados por el Comité Institucional de Gestión y Desempeño de la ADRES. Dado lo anterior, la política de administración de riesgos se encuentra alineada con los temas definidos por la CE006 de 2018 y se aplica al subsistema de administración de riesgo de liquidez, de acuerdo con los manuales, procedimientos y mapa de riesgos de la entidad. • PROCEDIMIENTO. La entidad elaboró el procedimiento de riesgo de liquidez denominado GPRE-MA01 v3. del 28/12/2021, de acuerdo con las políticas definidas para el subsistema de administración de riesgo de liquidez y las etapas de riesgo establecidas en la metodología del Departamento Administrativo de la Función Pública - DAFP y los lineamientos de la CE006 de la Superintendencia Nacional de Salud – SNS. Este subsistema aplica para el proceso de gestión y pago de recursos en el procedimiento de planeación presupuestal GEPR-PR01. Por lo anterior y a partir de 2018 la ADRES diseñó un modelo de sostenibilidad financiera para proyectar las necesidades de recursos y los gastos estimados para las vigencias posteriores. Dicho modelo incorpora todos los recursos administrados por la ADRES. A partir de la proyección, para cada uno de los meses de la vigencia, y el seguimiento mensual del mismo, la ADRES determina el riesgo de liquidez, las necesidades de recursos para el adecuado flujo del Sistema de Seguridad Social en Salud y comunica en Junta Directiva el comportamiento de estos de manera periódica. • MAPA DE RIESGOS. La entidad a través del mapa de riesgos tiene incorporado el subsistema de administración de riesgo de liquidez, para el proceso de Gestión y Pago de Recursos de la DGRFS con las respectivas etapas de riesgos y controles de acuerdo con la guía para la administración del riesgo y el diseño de controles en entidades públicas del DAFP. De la revisión efectuada al mapa de riesgos de la ADRES, a través de la herramienta EUREKA al corte de agosto 25 de 2022, se observó que el sistema tiene almacenado la información y soportes correspondientes a las etapas de (identificación, análisis, valoración, manejo y monitoreo de los riesgos y controles de liquidez del proceso, así: 21 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 Código del riesgo Identificador Descripción Causas Procesos Áreas organizativas Responsable Gestor Subsistema del riesgo GEPR-RG03 Posibilidad de afectación económica y reputacional por sanciones y/o insuficiencia de flujo de caja necesario para cumplir con las obligaciones y compromisos de la ADRES, debido a Inconsistencias en la aplicación, análisis y calculo de las proyecciones, Factores que hagan que la Nación no suministre los recursos, Crisis económicas que impacten los niveles de recaudo de fuentes de los recursos del SGSSS. El riesgo se presenta al no contar con el suficiente y oportuno flujo de caja necesario para cumplir con las obligaciones y compromisos de la ADRES oportunamente, que las necesidades y fuentes de recursos cambien y por ende cambie la proyección inicial de ingresos y gastos. Se presenta en el desarrollo del proceso de Gestión y Pago de Recursos y subdirección de riesgos e inteligencia financiera, ocasionando el incumplimiento de metas institucionales y de gobierno. * Evento Externo - 9. Factores que hagan que la Nación no suministre los recursos * Evento Externo - 8. Crisis económicas que impacten los niveles de recaudo de fuentes de los recursos del SGSSS * Evento Externo - 7. Decisiones normativas que reduzcan el recaudo * Evento Externo - 6.Situaciones de emergencia declaradas a nivel nacional o mundial * Evento Externo - 1. Decisiones judiciales que retengan y comprometan los recursos * Procesos - 5. Inconsistencias en la aplicación, análisis y calculo de las proyecciones * Procesos - 4. Cambios internos en los procesos misionales que ocasionen costos inesperados * Procesos - 3.No tener en cuenta las tolerancias de perdida o de no ganancia establecidas en la gestión del riesgo de mercado * Procesos - 2. No contar con metodologías actualizadas para * Gestión y Pago de Recursos * Dirección de Gestión de Recursos Financieros de la Salud Carmen Rocio Rangel Quintero Sergio Felipe Clavijo Gómez Liquidez 22 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 De la revisión efectuada al subsistema de administración de riesgo de liquidez, se observó que el mapa de riesgos y controles del proceso de gestión y pago de recursos está definido de acuerdo con la metodología del DAFP, así mismo, se evidenció que la entidad está aplicando lo establecido en los manuales de administración de riesgos de la entidad y los lineamientos del ciclo general de gestión de riesgos señalados en la CE006 de la SNS. • CONCLUSION DEL SUBSISTEMA DE RIESGO DE LIQUIDEZ. De la revisión efectuada al subsistema de administración de riesgo de liquidez, se observó que la entidad está aplicando las políticas de administración de riesgos, manual de riesgos y procedimientos definidos para el ciclo de gestión de riesgos y controles, dando cumplimiento con lo establecido en la CE 006 de 2018 de la SNS. 1.5. SUBSISTEMA DE ADMINISTRACION DE RIESGO DE MERCADO DE CAPITALES • POLITICA. La Política asociada al subsistema de Administración de Riesgo de Mercado se encuentra documentada en la política de administración de riesgos, denominado DIES-PL01, versión No.5 del 29/07/2022 y las principales políticas son: SOLICITUDES ESPECÍFICAS POR CADA SAR SAR Liquidez CICLO DE GESTIÓN DE RIESGOS SARL Manuales o Documentación de las metodologías y técnicas util izadas para la identificación, medición, evaluación, tratamiento, control de cada una de las categorías de riesgo priorizadas en este requerimiento. Así como el establecimiento de los niveles de aceptación y límites de exposición al riesgo. X En el Manual de Administración de Riesgos de la entidad se define la metodología para la administración de riesgos de liquidez, crédito y mercado, de acuerdo con el ciclo de gestión del riesgo. No obstante, en cada uno de los manuales (Riesgo, crédito y mercado) se definen 11. Manual de Riesgo de Crédito 12. Manual de Riesto de Mercado 1. Manual de Riesgo de Liquidez Matriz de Identificación de riesgos, que incluya como mínimo: a) Descripción de los Riesgos, b) Límites de pérdida o niveles máximos de exposición, c) Cálculo de la probabilidad del riesgo, d) Cálculo del impacto y, e) Tratamiento del riesgo (si lo acepta, lo evita, lo comparte o lo reduce). X La matriz, así como la caracterización de riesgos se adjunta a esta respuesta. Es importante tener en cuenta que los límites o niveles de aceptación de estos riesgos se definen en las política de riesgo de liqudez y riesgo de crédito. 13. Matriz de riesgos financieros Matriz de Controles que ejerce a los niveles de exposición de los diferentes factores de los riesgos identificados, valoración y explicación del control, periodicidad del control, tipo de ejecución del control (manual, automática, o semiautomática), instrucción, calificación del control. X La matriz, así como la caracterización de riesgos se adjunta a esta respuesta. Es importante tener en cuenta que los límites o niveles de aceptación de estos riesgos se definen en las política de riesgo de liqudez y riesgo de crédito. 13. Matriz de riesgos financieros Mapa de Calor que muestra el perfi l del riesgo Inherente y Residual X La matriz, así como la caracterización de riesgos se adjunta a esta respuesta. Es importante tener en cuenta que los límites o niveles de 13.Matriz de riesgos financieros Indicadores de medición de riesgo residual y neto, y que estos a su vez se encuentren y se mantengan en los niveles de aceptación previamente establecidos por la entidad, en diferentes horizontes de tiempo, tanto en un escenario en condiciones normales como en un escenario de crisis bajo hipótesis razonables (stress testing y back testing). X La medición de riesgos residuales se realiza con base en la metodología del DAFP de la guía referida anteriormente, y se parametrizó en la herramienta Eureka, ver numeral 7.3 del manual de administración de riesgos de la entidad. La calificación de este riesgo residual se observa en el anexo 13. En la política de administración de riesgos de la entidad se ha definido que 13. Matriz de riesgos financieros 14. Manual de Administración de Riesgos 15. Política de Administración de Riesgos Participación de cada categoría de riesgo en el riesgo neto global X La entidad no tiene identificado un nivel de riesgo neto global. No aplica Base de registro de eventos materializados de riesgo, de los últimos 12 meses ( contados desde la radicacion de esta solicitud), que cumpla con los siguientes datos: persona que reportó el evento con nombre y cargo, fecha, procesos del eventos, fecha de detección, fecha en que inició y finalizó el evento, descripción, impactos del evento, riesgo que se materializó, cuantía de pérdida económica, fecha de contabilización de la pérdida, plan implementado, acciones y tratamiento ante la materialización del riesgo X No se han materializado riesgos financieros de este tipo en la entidad. No aplica Alertas generadas en los últimos 12 meses ( contados desde la radicacion de esta solicitud), e informar su causa y las acciones que se adelantaron para su superación, corrección y/o ajuste de deficiencias. X La ADRES, como parte de sus medidas para gestionar el riesgo de liquidez y mitigarlo, presenta a la alta Dirección y a la Junta Directiva de manera periódica, los escenarios de balance y cierre presupuestal para cada vigencia, esto con la intención de generar las alertas de manera oportuna, y en caso de ser necesario, aplicar soluciones que mantengan la garantía de liquidez en el flujo de recursos del Sistema General de Seguridad Social en Salud. Se adjuntan las presentaciones donde se presentan los escenarios a lo largo del año, así como la certificación que se trataron estos temas en las Juntas Directivas en mención y los documentos soportes de una solicitud 8. Certificación Actas Junta Directiva (presentación resultados). Incluye presentaciones realizadas, de 8.1 a 8.6 Planes de Acción y/o de mejora inmediata previstos y/o aplicados para riesgos con severidad residual por fuera de los límites aprobados, y eventos de materialización del riesgo, con sus respectivos soportes de seguimiento (responsables, plazos, forma de ejecución). X Para los riesgos solicitados no se han identificado materializaciones y por tanto no se han formulado planes de mejora, de acuerdo con el procedimiento definido para la entidad. No aplica Informe de hallazgos relacionados con los SAR de riesgo priorizados en este requerimiento, por parte de los Entes de Control internos y externos de los últimos 12 meses ( contados desde la radicacion de esta solicitud). X En el último año no se han generado hallazgos relacionados con estos riesgos. No aplica Planes de contingencia previstos y/o implementados, para intervenir, tratar los riesgos y ajustar las desviaciones lo más pronto posible, en caso que se superen los límites establecidos: acciones, plazos, periodicidad, estándares de seguimiento y monitoreo, responsables. X En la matriz de riesgos adjunta se identifica como acción de contingencia para el riesgo de crédito se deberá presentar resultados ante el Comité Institucional de Gestión y Desempeño para evaluar causas de la materialización. 13. Matriz de riesgos financieros Informes o reportes gerenciales de avance o evaluaciones periódicas, sobre resultados e indicadores, de la gestión de los riesgos aquí priorizados. X En la matriz de riesgos financieros que se adjunta, al dar click sobre el nombre del riesgo (letra azul) puede acceder a la plataforma para consultar los monitoreos que ha efectuado el responsable. Así mismo, se en el archivo 13. Matriz de riesgos financieros POLITICAS DE GESTIÓN DE RIESGOS SARL Documentos (manuales) adoptados por la ADRES para definir las políticas o lineamentos generales que permitan el desarrollo de las etapas del ciclo de la gestión para cada una de las categorías de riesgo priorizadas en este requerimiento. Actas de aprobación y/o actualización. X La ADRES cuenta con la Política de Administración de Riesgos, el Manual para la Administración de Riesgos y el procedimiento para la gestión de riesgos de la entidad. Así mismo con los manuales de riesgos de liquidez, de mercado y de crédito. 15. Política de Administración de Riesgos 13. Manual para la Administración de riesgsos 11. Manual de Riesgo de Crédito 12. Manual de Riesto de Mercado 1. Manual de Riesgo de Liquidez RESPUESTA ADRES RESPUESTA ADRES RESPUESTA ADRES 23 PROCESO CONTROL Y EVALUACIÓN DE LA GESTIÓN Código: CEGE-FR12 Versión: 3 FORMATO INFORME DE EVALUACIÓN Fecha: 20/05/2022 La responsabilidad de aplicar la metodología para establecer escenarios de riesgos en el mercado de capitales es de la Dirección de Gestión de Recursos Financieros de Salud. Las decisiones de colocación de excesos de liquidez en mercados de capitales, cuando el riesgo supere las tolerancias definidas, se tomarán los lineamientos establecidos en el manual de mercado y se aprobaran por el Comité Institucional de Gestión y Desempeño. Los criterios y definiciones de la metodología utilizada serán revisados y aprobados, cuando se requiera, por el Comité Institucional de Gestión y Desempeño de la ADRES. Dado lo anterior, la política de administración de riesgos se encuentra alineada con los temas definidos por la CE006 de 2018 y se aplica al subsistema de administración de riesgo de mercado, • PROCEDIMIENTO. La entidad elaboró el procedimiento de riesgo de mercado denominado GEPR-MA03. v2 4/05/2020, de acuerdo con las políticas definidas para el subsistema de administración de riesgo de mercado y los lineamientos de la CE006 de la Superintendencia Nacional de Salud – SNS., sin embargo, por el tiempo transcurrido desde la última actualización más de 2 años y debido a que se actualizó la política, se recomienda efectuar actualización al procedimiento. La Dirección de Gestión de los Recursos Financieros de Salud (DGRFS), en su labor de administrar los excesos de liquidez sobrantes de la operación de ADRES, podrá optar en un futuro por la asignación de recursos al mercado de capitales con miras de generar unos rendimientos más altos para elevar su solvencia. Estos podrían ser, entre otros: TES Acciones-Bonos/Activos Bienes Comerciales Divisas Dado lo anterior, la entidad no requiere de la utilización de este subsistema de riesgo de mercado, debido a que actualmente no desarrolla ni ejecuta operaciones de mercado de capitales, por lo cual no requiere de la aplicación de este. • MAPA DE RIESGOS. La entidad a través del mapa de riesgos tiene incorporado el subsistema de administración de riesgo de mercado, para el proceso de Gestión y Pago de Recursos de la DGRFS con las respectivas etapas de riesgos y controles de acuerdo con la guía para la administración del riesgo y el diseño de controles en entidades públicas del DAFP. De la revisión efectuada al mapa de riesgos de la ADRES, a través de la herramienta EUREKA al corte de agosto 25 de 2022, se observó que el sistema tiene identificadas las etapas del riesgo (identificación, análisis, valoración, manejo y monitoreo de los riesgos y controles de mercado del proceso así: 24
Compartir