ediciÓn: 01-2019 polÍtica del sistema de control cÓdigo: pol -cdg 001 1 … · 2019-08-29 ·...

POLÍTICA DEL SISTEMA DE CONTROL INTERNO

EDICIÓN: 01-2019

CÓDIGO: POL-CDG-001-1

PÁGINA 1 DE 14

FECHA 11/02/2019

Macroproceso ESTRATÉGICO

Proceso CONTROL DE LA GESTIÓN

Subproceso N/A

Participantes: Coordinador de Control Interno y Calidad

Revisó: Comité de Calidad

Aprobó: Junta Directiva

La versión vigente y controlada de este documento, podrá ser consultada a través de la red interna de MUTUAL SER EPS (Intramutual). La copia o impresión de los documentos será considerada como documento no controlado.

POLÍTICA DEL SISTEMA DE CONTROL INTERNO 1. INTRODUCCIÓN

El Sistema de Control Interno (SCI) busca garantizar el logro de los objetivos estratégicos, operacionales, el cumplimiento normativo (informes y/o reportes), mediante la gestión oportuna de sus riesgos y la efectividad de sus controles. Nuestro Sistema de Control Interno (SCI) está basado en una cultura de autocontrol, autogestión y autorregulación, enmarcado en la estrategia y a los procesos, trabajando de manera alineada con la gestión de los riesgos; todos los funcionarios deben garantizar la efectividad de los controles, el reporte de los incidentes y las deficiencias y, el mejoramiento continuo de los procesos. La estructura organizacional del Sistema de Control Interno (SCI) tiene asignadas responsabilidades y roles para la definición, implementación, monitoreo y mejora: tenemos a la Junta Directiva, al Comité de Contraloría Interna y al representante legal. Mutual SER EPS deberá contar con un Sistema de Control Interno (SCI) donde se establezcan acciones, métodos, procedimientos y mecanismos de prevención, de control, de evaluación, y de mejoramiento continuo de la organización que nos permita tener seguridad razonable acerca de la consecución de los objetivos estratégicos y la normatividad vigente. La presente política del Sistema de Control Interno (SCI) ha tomado como base las medidas establecidas por la Circular Externa 0007 de 2017 y el Decreto 0682 de 2018 de la Superintendencia Nacional de Salud para el diseño de la Guía Metodológica para el Programa de Auditoría para el Mejoramiento Continuo de la Calidad; documento explicativo de la metodología utilizada por Mutual SER EPS para el cumplimiento de los siguientes objetivos:

1. Mejorar la efectividad, seguridad y eficiencia de las operaciones. Para el efecto, se

entiende por efectividad la capacidad de alcanzar las metas y/o resultados propuestos;

eficiencia en la capacidad de producir el máximo de resultados con el mínimo de

recursos, energía y tiempo.

2. Verificar la confiabilidad y la transparencia de la información de salud y financiera.

3. Prevenir y mitigar la ocurrencia de fraudes, tanto internos como externos.

4. Realizar una gestión adecuada de los riesgos.


EDICIÓN: 01-2019


PÁGINA 2 DE 14

FECHA 11/02/2019



Subproceso N/A





5. Aumentar la confiabilidad y oportunidad en la información generada por la

organización.

6. Dar un adecuado cumplimiento de la normatividad y regulaciones aplicables a la

organización.

2. DESTINATARIOS DE LA POLÍTICA La presente política aplica a todos los funcionarios de Mutual SER EPS y sus partes interesadas, los miembros de Junta Directiva, comités, funcionarios y proveedores, entre otros. Son claves los siguientes roles: 2.1 Junta Directiva:

a. Participar en la planeación estratégica de la organización, aprobarla y hacerle

seguimiento.

b. Definir y aprobar estrategias y políticas relacionadas con el SCI.

c. Designar a los directivos de las áreas encargadas del SCI.

d. Adoptar las medidas necesarias para garantizar la independencia del auditor interno y

hacer seguimiento a su cumplimiento.

e. Conocer los informes relevantes respecto al SCI e impartir las ordenes necesarias para

que se adopten las recomendaciones y correctivos que haya lugar.

f. Aprobar los recursos suficientes para que el SCI cumpla sus objetivos.

g. Presentar al final de cada ejercicio al máximo órgano social un informe sobre el

resultado de la evaluación del SCI y sus actuaciones sobre el particular.

2.2. Comité de Contraloría Interna: se encarga de la vigilancia de la efectividad de la gestión del Sistema de Control Interno para la toma de decisiones en relación con el control y el mejoramiento de la calidad. 2.3. Gerentes/Directivos: son los responsables por la adecuada implementación y monitoreo del cumplimiento de los controles definidos. 2.4. Funcionarios: deben cumplir con la ejecución de los procesos y controles. 2.5. Auditores internos: se encargan de la evaluación independiente de la efectividad del Sistema de Control Interno.


EDICIÓN: 01-2019


PÁGINA 3 DE 14

FECHA 11/02/2019



Subproceso N/A





2.6. Representante legal:

a. Implementar las estrategias y políticas aprobadas por la Junta Directiva u órgano

equivalente en relación con el SCI.

b. Poner en funcionamiento la estructura, procedimientos y metodologías inherentes al

SCI, en desarrollo de las directrices impartidas por la Junta Directiva, garantizando una

adecuada segregación de funciones y asignación de responsabilidades.

c. Implementar los diferentes informes, protocolos de comunicación, sistemas de

información y demás determinaciones de las Junta Directiva relacionados con el SCI.

d. Fijar los lineamientos tendientes a crear la cultura organizacional de control, mediante

la definición y puesta en práctica de la políticas y controles suficientes, la divulgación

de las normas éticas y de integridad dentro de la organización, la definición y

aprobación de canales de comunicación, de tal forma que el personal de todos los

niveles comprenda la importancia del control interno e identifique su responsabilidad

frente al mismo.

e. Proporcionar los recursos que se requieran para el adecuado funcionamiento del SCI,

de conformidad con lo autorizado por Junta Directiva.

3. RESPONSABLE(S) El área de Control Interno y Calidad será responsable de actualización y seguimiento de la presente política. Todos los funcionarios serán responsables de su cumplimiento y ejecución. 4. NORMATIVIDAD 4.1 Circular Externa 007 de 30 de junio de 2017 4.2 Circular Externa 004 de 29 de junio de 2018 4.3 Circular Externa 0008 de septiembre de 2018


EDICIÓN: 01-2019


PÁGINA 4 DE 14

FECHA 11/02/2019



Subproceso N/A





5. DEFINICIONES

5.1 Sistema de Control Interno: como referencia la Circular 007, es el conjunto de principios, procedimientos y mecanismos de verificación y evaluación establecidos por Junta Directiva, la Alta Gerencia y demás funcionarios de la organización.

5.2 Ciclo general de gestión del riesgo: como referencia la Circular 004, son las etapas que incorpora un subsistema de administración del riesgo para cada uno de los tipos o categorías de riesgo identificadas.

5.3 Controles: como referencia la Circular 004, medidas prudenciales y correctivas que ayudan a contrarrestar la exposición a los diferentes riesgos. Entre estos están la implementación de políticas, procesos, prácticas o herramientas de gestión.

6. ALCANCE DE LA POLÍTICA

Cubre sin excepción a todos los procesos de la organización.

7. LINEAMIENTOS DE LA POLÍTICA. 7.1 Principios del Sistema de Control Interno

El Sistema de Control Interno de Mutual SER EPS, deberá desarrollarse siguiendo los principios de autocontrol, autorregulación y autogestión, en los términos que se definen a continuación según la Circular 007:

“Autocontrol: es la capacidad de todos y cada uno de los funcionarios de la

organización, independientemente de su nivel jerárquico para evaluar y controlar su

trabajo, orientarlo a la satisfacción del derecho a la salud de los afiliados, detectar

desviaciones y efectuar correctivos en el ejercicio y cumplimiento de sus funciones, así

como mejorar sus tareas y responsabilidades.

Autorregulación: se refiere a la capacidad de la organización para desarrollar y aplicar

métodos, normas y procedimientos que permitan el desarrollo, implementación y

mejoramiento del SCI.

Autogestión: apunta a la capacidad de la entidad para interpretar, coordinar, ejecutar

y evaluar de manera efectiva, eficiente y eficaz su funcionamiento.”


EDICIÓN: 01-2019


PÁGINA 5 DE 14

FECHA 11/02/2019



Subproceso N/A





7.2 Componentes del Sistema de Control Interno1 Mutual SER EPS deberá contar con un SCI que tenga como mínimo los siguientes elementos:

1. Ambiente de control.

2. Gestión de riesgos.

3. Actividades de control.

4. Información y comunicación.

5. Monitoreo.

6. Evaluaciones independientes.

7.2.1. Ambiente de control

“Implementación de una cultura organizacional que fomenta los principios de la organización, orientados hacia el control, procurando el acceso al aseguramiento en salud de manera oportuna, eficaz y con calidad para la preservación, el mejoramiento y la promoción de la salud.”2 7.2.1.1 Funciones Principios básicos que rigen la entidad, que se encuentran documentados y se divulgan por toda la entidad:

Establecer lineamientos de conducta.

Adoptar los procedimientos que propicien que los empleados en todos los niveles de

la organización cuenten con los conocimientos, habilidades y conductas necesarios.

Establecer unos objetivos coherentes y realistas, que deben estar alineados con la

misión, visión y objetivos estratégicos.

Se determinen los objetivos operativos, de reporte y cumplimiento para la organización.

Deben ser difundidos por la alta gerencia a toda la entidad.

Identificar las amenazas de la entidad y las fuentes de esta.

1 Circular 007, numeral 3.3.3.2.

2 Circular 007, numeral 3.3.3.2.1.


EDICIÓN: 01-2019


PÁGINA 6 DE 14

FECHA 11/02/2019



Subproceso N/A





Evaluar los riesgos existentes en sus procesos, identificándolos, clasificándolos y

priorizándolos a través de un ejercicio de valoración.

Medir la probabilidad de ocurrencia de los riesgos y su impacto sobre los recursos de

la entidad. (Medición cuantitativa)

Identificar y evaluar con criterio conservador, los controles existentes y su efectividad.

Construir los mapas de riesgos.

Implementar, probar y mantener un proceso para administrar la continuidad de la

operación: prevención y atención de emergencias, administración de crisis, planes de

contingencia.


EDICIÓN: 01-2019


PÁGINA 7 DE 14

FECHA 11/02/2019



Subproceso N/A





7.2.1.2 Estructura de Administración del Sistema de Control Interno. Gráfico 1: Estructura de Administración del Sistema de Control Interno.


EDICIÓN: 01-2019


PÁGINA 8 DE 14

FECHA 11/02/2019



Subproceso N/A





7.2.1.3 Definición de líneas de defensa3 Primera línea: gerentes de área, regionales y líderes de procesos. Serán responsables de las siguientes actividades:

Identificar los riesgos en las operaciones diarias de las Unidades de Negocio.

Implementar las medidas necesarias para evitar, mitigar y autocontrolar los riesgos.

Asumir las consecuencias de las pérdidas económicas o daños a la reputación que se pudieran generar.

Segunda línea: funcionarios responsables de monitoreo y evaluación de controles y gestión del riesgo SAR. Serán responsables de las siguientes actividades:

Brindar herramientas de apoyo (metodologías) a los dueños de los procesos y/o activos tecnológicos, a efectos facilitar la identificación y evaluación de sus riesgos.

Asesorar a la primera línea de defensa en la gestión de sus riesgos operacionales y tecnológicos.

Monitorear el cumplimiento de las políticas de gestión de riesgo operacional y tecnológico.

Reportar a la administración y partes interesadas, el perfil de riesgo de cada unidad de negocio.

Informar a la administración sobre aquellos riesgos de nivel crítico / alto, identificados en los procesos y/o activos tecnológicos relacionados.

Apoyar en la interpretación de las políticas de riesgo operacional y tecnológico; así como establecer los lineamientos no cubiertos por las políticas (casos particulares).

Tercera línea: área de Control Interno y Calidad. Serán responsable de las siguientes actividades:

Proporcionar una evaluación independiente y objetiva sobre el diseño y la efectividad de los controles implementados para la mitigación de los riesgos identificados.

3 Tomando como referencia la IIA Declaración de Posición: las tres líneas de defensa para una efectiva

gestión de riesgos y control.


EDICIÓN: 01-2019


PÁGINA 9 DE 14

FECHA 11/02/2019



Subproceso N/A





Emitir observaciones y recomendaciones asociadas al Sistema de Control Interno (SCI), a efectos de reducir y mitigar riesgos identificados.

7.2.2 Gestión del Riesgo

Gráfico 2. Marco para implementación del Sistema Integrado de Gestión del Riesgo.

El SAR contará como mínimo con los siguientes procedimientos y/o actividades:

Divulgar entre los funcionarios que intervienen en los procesos respectivos, los mapas

de riesgos y las políticas definidas para su administración.

Gestionar los riesgos en forma integral, aplicando diferentes estrategias permitan

llevarlos a niveles tolerables.

Registrar, medir y reportar los riesgos.

Hacer seguimiento a través de los órganos competentes, estableciendo los reportes o

acciones de verificación.

Definir acciones correctivas y preventivas derivadas del proceso en seguimiento y

evaluación de los riesgos.

Cumplir las instrucciones especiales que impartidas por la Circular 0004/2018.

4. Tratamiento de riesgos

1. Gobierno de riesgos

2. Identificación de riesgos

3. Evaluación y medición de riesgos

5. S

eguim

iento

y

monito

reo

6.

Info

rmació

n y

com

unic

ació

n

4. Tratamiento de riesgos


EDICIÓN: 01-2019


PÁGINA 10 DE 14

FECHA 11/02/2019



Subproceso N/A





7.2.3 Actividades de control: son el desarrollo de las políticas y los procedimientos que

deben seguirse para lograr que las instrucciones de la administración se cumplan.

Entre las actividades obligatorias para todas las áreas, tenemos:

Revisiones de alto nivel solicitadas desde Junta Directiva a altos directivos para

analizar y monitorear los resultados o progreso en el logro de objetivos.

Controles generales para todas las aplicaciones de sistemas y ayudan a asegurar su

continuidad y operación adecuada: administración, infraestructura, administrar de

seguridad y la adquisición, desarrollo y mantenimiento del software.

Controles de aplicación centrados en la suficiencia, exactitud, autorización y validez de

la captura y procesamiento de datos.

Limitaciones de acceso físico a las distintas áreas de la organización y controles de

acceso a los sistemas de información, segregación de funciones, acuerdos de

confidencialidad, procedimientos de control aleatorios, difusión de las actividades de

control.

7.2.4. Información

El Sistema de Información de Mutual SER EPS debe ser funcional y soporta la base para identificar, capturar e intercambiar información en una forma y período de tiempo que permita al personal cumplir con sus responsabilidades. La comunicación debe de fluir hacia abajo, hacia arriba y a través de la organización. Se debe garantizar que la información cumpla con los criterios de seguridad (confidencialidad, integridad y disponibilidad), calidad (completitud, validez y confiabilidad) y cumplimiento, para lo cual se establecen controles de entrada, el procesamiento y salida de la información, atendiendo su importancia y nivel de riesgo. Se debe cumplir como mínimo lo siguiente según la Circular 007:

“Identificar la información que se recibe y su fuente.

Asignar el responsable de cada información y las personas que pueden tener acceso

a la misma.

Diseñar formularios y/o mecanismos que ayuden a minimizar errores y elaboración de

informes.


EDICIÓN: 01-2019


PÁGINA 11 DE 14

FECHA 11/02/2019



Subproceso N/A





Diseñar procedimientos para detectar, reportar y corregir errores y las irregularidades

que puedan presentarse.

Establecer procedimientos que permitan a la entidad retener o reproducir los

documentos fuentes originales.

Definir controles para garantizar que los datos y documentos sean preparados por

personal autorizado para hacerlo.

Implementar controles para proteger adecuadamente la información sensible contra

acceso o modificación no autorizada.

Diseñar procedimientos para administración del almacenamiento de información y sus

copias de respaldo.

Establecer parámetros para la entrega de copias, a través de cualquier modalidad

Clasificar la información en pública, clasificada o reservada.

Verificar la existencia o no de procedimientos de custodia de la información cuando

sea el caso y su eficacia.

Implementar mecanismos para evitar el uso de información privilegiada, en beneficio

propio o de terceros.

Cumplir con los requerimientos legales y reglamentarios.”

7.2.5 Comunicación

Mutual SER debe disponer de los medios para comunicar la información significativa, tanto al interior como al exterior de la organización. Para una adecuada administración de la comunicación debe contar con los siguientes lineamientos según la Circular 007:

“Canales de comunicación.

Responsables de su manejo.

Requisitos de la información que se divulga.

Frecuencia de la comunicación.

Responsables.

Destinatarios.

Controles al proceso de comunicación.

Credibilidad y utilidad de la información que la información revela al público.”


EDICIÓN: 01-2019


PÁGINA 12 DE 14

FECHA 11/02/2019



Subproceso N/A





7.2.6 Monitoreo

“Es el proceso para verificar la calidad de desempeño del control interno a través del tiempo.”4 Se realiza a través de actividades de monitoreo continuo, es decir, actividades de dirección y supervisión. También a través de evaluaciones separadas para monitoreo de riesgos y eficacia de los procedimientos.

7.2.7 Áreas especiales en el Sistema de Control Interno

Gerencia General: responsable ante la Junta Directiva ante el funcionamiento y cumplimiento del Sistema de Control Interno. Gerencia Financiera: es la gerencia responsable del establecimiento y mantenimiento de adecuados sistemas de revelación y control de la información financiera y contable. Gerencia Administrativa y de Gestión Humana: gerencia responsable de la Gestión del Talento Humano, a través de las siguientes actividades de Control:

Gestionar el ingreso.

Administrar la inducción y el entrenamiento de los funcionarios

Administrar la Gestión del Desempeño.

Administrar el Sistema de compensaciones. Gerencia de Gestión del Riesgo en Salud: responsable de la gestión integral de los riesgos en salud (en los tópicos de accesibilidad, oportunidad, seguridad, pertinencia y continuidad) a través de los procesos de seguimiento, evaluación, identificación de problemas y solución de estos, mediante técnicas de auditoria o de autoevaluación para la calificación y mejoramiento de la calidad en la atención en salud. Gerencia de Tecnología: responsable del cumplimiento del plan de infraestructura del área de tecnología y de las políticas que garanticen el buen funcionamiento del sistema de información.

4 Circular 007, numeral 3.3.3.2.5


EDICIÓN: 01-2019


PÁGINA 13 DE 14

FECHA 11/02/2019



Subproceso N/A





Área Jurídica: responsable de la asesoría y verificación de cumplimiento de las leyes y regulaciones. Área de Control Interno y Calidad: área responsable de realizar una evaluación objetiva e independiente de la efectividad del Sistema de Control Interno. Auditoría Externa: es responsable de realizar un examen crítico, sistemático y detallado del Sistema de Control Interno, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente, sobre la razonabilidad de los Estados Financieros y sobre la forma en que opera el Sistema de Control Interno y formular sugerencias para su mejoramiento. 7.3. Gobernabilidad

La presente política, así como sus modificaciones y actualizaciones, será presentada y aprobada por el área de control interno y calidad a la junta directiva de Mutual SER EPS.

7.4. Divulgación

Las áreas de riesgos, Comunicaciones y Control Interno y Calidad velarán por la adecuada divulgación de la presente política.

8. DOCUMENTOS DE REFERENCIA

GUIA-CDG-001-1 GUIA DE FUNCIONAMIENTO DE CONTROL INTERNO

Circular Externa 007 de 30 de junio de 2017.

Circular Externa 004 de 29 de junio de 2018.

Circular Externa 0008 de septiembre de 2018.

9. VIGENCIA

La presente política rige a partir del 12 de abril del 2019, fecha en la que fue aprobada por acta de Junta Directiva nro. 158 de 2019; siendo vigente hasta la modificación o sustitución de los lineamientos a que sea sujeto el presente documento.


EDICIÓN: 01-2019


PÁGINA 14 DE 14

FECHA 11/02/2019



Subproceso N/A





10. CONTROL DE CAMBIOS

EDICIÓN ANTERIOR

FECHA DE CAMBIO

EDICIÓN ACTUAL DESCRIPCIÓN DEL CAMBIO

N/A 11/02/2019 01-2019 Creación del documento

ediciÓn: 01-2019 polÍtica del sistema de control cÓdigo: pol -cdg 001 1 … · 2019-08-29 ·...

Documents