Está en la página 1de 33

RIESGOS POR INDUSTRIA - SECTOR SALUD

Auditoría comprendida entre el período


Preparado por:
Revisado por:
Aprobado por:

OBJETIVO

Identificar los riesgos que pueden estar presentes dentro del sector salud, enfocado a las Instituciones Prestadoras de Salud
los auditores internos tener herramientas y fortalecer su sistema de control interno para la alta dirección de estas organiza

USUARIOS

El DEA y la segunda línea (área de gestión de riesgos) deben identificar y actualizar los riesgos de las Instituciones Prestador
para que la organización identifique, actualice y fortalezca los controles de cada uno de los procesos, apoyando a la alta dir
se identifican en la etapa de planeación para definir el plan anual de auditoría.

SUGERENCIA

** Los ejemplos de riesgo aquí enunciados no pretenden abarcar todas las situaciones, por lo que resulta necesario realizar
exposición de la organización en los diferentes procesos, de acuerdo con la naturaleza del negocio.

No. PROCESO

3
Talento humano

4
Talento humano

10

11

12

13

Contratación de servicios técnicos


14 o especializados

15

16

17

18

19
20

21

22

23

24

25
Red de prestadores de servicio
aliados
26

27

28

29

30

31

32

33

34

35

Gestión comercial
36
Gestión comercial

37

38

39

40

41

42

43

44 Costo médico

45

46

47

48

49

50

51
52

53

54

55

56

57 Procesos prioritarios

58

59

60

61

62

63

64

65

66

67
68

69

70

71

Agendamientos y atención a usuarios


72

73

74

75

76

77

78

79

Cuentas médicas
80

81

82
83

84

85

86

87

88

Tesorería
89

90

91

92

93

94

Gestión de servicio al cliente /


95
administración de quejas y reclamos

96

97
98

99

100

Manejo de residuos peligrosos y


101 bioseguridad

102

103

104

Registros sanitarios

105

106

107

108

109
Dispositivos e insumos

110

111
112

113

114
Historia clínica
115

116

117

118

119

120

121

122 Gestión del riesgo

123

124

125

126
127

128

129
Tecnología y datos

130

131

132

133

134

135
Gestión financiera

136

137

138

139

140

141
142

143

144

145 Gobierno corporativo

146

147

148

149

150

NIVEL DE RIESGO INHERENTE DEL SECTOR DE LA SALUD

OBSERVACIONES Y/O COMENTARIOS


S POR INDUSTRIA - SECTOR SALUD

Fecha:
Fecha:
Fecha:

OBJETIVO

presentes dentro del sector salud, enfocado a las Instituciones Prestadoras de Salud - IPS de sus procesos Core. La identificación de riesgos
s y fortalecer su sistema de control interno para la alta dirección de estas organizaciones.

USUARIOS

n de riesgos) deben identificar y actualizar los riesgos de las Instituciones Prestadoras de salud - IPS, mínimo anualmente,
ualice y fortalezca los controles de cada uno de los procesos, apoyando a la alta dirección en el cumplimiento de los objetivos estratégicos.
para definir el plan anual de auditoría.

SUGERENCIA

os no pretenden abarcar todas las situaciones, por lo que resulta necesario realizar un análisis específico en cada caso particular y determi
entes procesos, de acuerdo con la naturaleza del negocio.

CALIFICACIÓN DEL RIESGO


RIESGOS
PROBABILIDAD

Contratación del personal de la salud sin el cumplimiento de los


requisitos normativos para el desarrollo de las funciones y sin Alta
registro en las entidades de control de acuerdo con su especialidad

Contratación de personal de la salud desactualizado en temas


relacionados con la prestación técnica de servicio y sin Remota
capacitaciones permanentes

Inoportunidad en el provisionamiento de personal requerido para la


Moderada
prestación de servicio y/o alta rotación

Falta de alineación de los procesos de contratación vs la prestación


de servicios y sus requerimientos
Debilidad en la contratación de personal de salud especializado

Contratación de profesionales de la salud con sobrecostos por falta


de definición de escalas salariales

Contratación de profesionales de la salud sin el cumplimiento de la


entrega de elementos de protección normativos

Prestación de servicios sin el cumplimiento de calidad, oportunidad y


cobertura

Interrupción del servicio por incumplimiento en los pagos a


prestadores de servicios

Sobrecostos por inadecuado análisis de necesidades de servicios


especializados

Debilidades en los procesos de articulación con los municipios

Contratación de la red de servicios no alineada al modelo de


atención

Modelos de contratación no alineados al modelo de servicio (cápita,


evento, resultados, otro)

Contratos con la red de prestadores sin formalización y/o


actualización de cobertura y tarifas

Contratación con terceros, con antecedentes legales y/o


reputacionales

Contratación con prestadores que no cumplen los requisitos


normativos para la prestación del servicio

Incumplimientos de los acuerdos de servicio definidos con los


prestadores de servicio

Ausencia de un análisis de contratación de montos fijos, revisión de


cápita y PGPS (pago global prospectivo), seguimiento de frecuencias
y costos

Inadecuado análisis y seguimiento de la contratación de servicios


especializados
Pérdida de la habilitación por incumplimiento normativo y por
afectación de terceros (prestadores aliados)

Sanciones por parte de entidades de vigilancia y control a


prestadores aliados

Cierre de servicios de salud de los prestadores aliados

Inadecuada planeación de la prestación del servicio

Cobro y pago de procedimientos no realizados y/o fraudulentos

Inadecuada gestión, control y trazabilidad de las fórmulas médicas

Fraude por emisión de fórmulas médicas no autorizadas, por


inadecuado acceso a los sistemas de información

Inadecuado control y registro de los prestadores de servicios y


distribuidores de medicamentos en los sistemas de información

Pago de servicios sin soporte de ejecución y/o atención a pacientes

Pérdida reputacional y/o sanciones económicas por errores en los


procedimientos médicos o incumplimientos en la regulación

Pérdida de credibilidad en la prestación de servicio por falta de


capacidad y deficiencias del prestador aliado

Afiliaciones fraudulentas, compañías ficticias y cobro no autorizado a


usuarios

Creación de usuarios ficticios

Parametrización errada de la información básica del paciente

Pérdida o disminución de usuarios por incumplimiento de promesas


comerciales

Falta de definición del modelo comercial para la vinculación de


nuevos usuarios

Fraude por actividades comerciales no autorizadas y sin


cumplimiento de las políticas internas de la IPS
Desequilibrio de la oferta de servicios frente a la demanda evaluada
por la IPS

Pago excesivo de incentivos sin políticas internas claras

Pérdida de usuarios y bajo crecimiento por inadecuada gestión de


afiliaciones

Inadecuada e inoportuna gestión de recaudo

Desviación de la nota técnica de salud de los pacientes

Aumento de costos por inadecuada gestión del riesgo para pacientes


de acuerdo con la nota técnica de salud

Desviación o aumento de costos por resultados en el CMP (Panel


Metabólico Ampliado)

Riesgo reputacional por inadecuada administración de recursos para


el programa de promoción y prevención

Inadecuado control del uso de ambulancias e incumplimiento de las


políticas internas para la asignación de servicios (servicio vs tipo de
ambulancia)

Uso de servicios y materiales internos (ecografía, rayos X, biopsias,


etc.) sin un documento soporte o sin relación de orden médica

Prestar servicios de salud sin contar con la renovación de la


habilitación anual otorgada por la Secretaría de Salud
Correspondiente

Inadecuada definición y gestión de cohortes de riesgo

Falta de seguimiento e inadecuada clasificación de los pacientes que


forman parte de la población de cohortes de riesgo prioritarias

Prestar servicios de salud sin estar inscritos en el REPS (Registro


especial de prestadores de servicio de salud)

Baja capacidad resolutiva en atención de usuarios


Ausencia de guías técnicas que permita la utilización de las buenas
prácticas para la seguridad del paciente

Demandas por inadecuada atención o afectación del paciente

Deficiencias en la definición de los procesos y protocolos de


referencia y contrarreferencia

Demandas o quejas por prescripciones médicas erradas

Prescripciones médicas erradas por falta de identificación adecuada


del paciente

Quejas o demandas por detección de infecciones en sitios de


punción o de alto riesgo de contagio

Administración de medicamentos vencidos a los pacientes

Falta de protocolos de salud para la atención de pacientes

Demandas por intervenciones quirúrgicas deficientes

Atención inadecuada de pacientes y falta de monitoreo


especializado, que terminen en hospitalización y/o muerte del
paciente

Interrupción del plan de tratamiento del paciente a causa de huelgas


de los profesionales de la salud

Fallecimiento del paciente por deficiencias en la aplicación de


procesos o protocolos establecidos en la entidad

Debilidades en el desarrollo de los procesos de seguridad del


paciente

Aplicación de procedimientos a pacientes sin evidencia de


autorización por parte del paciente o familiares

Ausencia de auditorías periódicas para la prestación del servicio

Deficiencia en la implantación de programas de tecnovigilancia,


radiovigilancia, farmacovigilancia, entre otros normativos
Inadecuada parametrización o desactualización de servicios, criterios
de agrupación de eventos

Acceso de personal no autorizado para la generación, modificación


de citas médicas y autorización de procedimientos

Errores e inoportunidad para la autorización de servicios,


procedimientos y entrega de medicamentos para pacientes

Desactualización e inconsistencia de la información de los RIPS


(Registros individuales de prestación de servicios de salud)

Falta de implementación de PAMEC (programa de auditoría para el


mejoramiento de la calidad de la atención en salud)

Afectación de la liquidación, verificación y aprobación de cuentas


médicas por desactualización del CUM (Código Único de
medicamentos) y CUPS (Clasificación Única de procedimientos en
salud) en las bases de datos

Falta actualización de usuarios y su estado frente al pago de aportes

Cuentas médicas no alineadas a la contratación y tarifas negociadas


con la Entidad prestadora de salud (EPS)

Prestación de servicios sin verificación o comprobación de derechos


en bases de datos, o con datos equivocados, prestación de servicios
sin reporte o sin autorización

Generación de subfacturación o sobrefacturación, por deficiencia de


control de tarifas

Emisión de facturas sin soportes de procedimientos realizados y/o


sin documentación soporte/fraudulenta

Servicios prestados no facturados

Errores en la información reportada en RIPS (Registros individuales


de la prestación del servicio)

Aprobación de servicios especializados no autorizados para


pacientes

Pérdidas financieras por glosas no contestadas y cartera no


gestionada
Inadecuada gestión de cartera con clientes (glosas, anticipos, notas
débito, notas crédito) y/o usuarios

Inadecuado proceso de admisión y de auditoría de cuentas médicas

Procedimientos a usuarios sin relación con el diagnóstico

Incumplimiento de pagos de los clientes o usuarios, y fraude por


inadecuada administración de cajas

Inadecuada administración de copagos y conciliación de cuentas

Pagos dobles o errados a profesionales de la salud

Afectación de la prestación de servicio por inoportunidad en los


pagos a los profesionales de la salud

Emisión de pagos no autorizados o sin soportes de la prestación de


servicio

Fraude por favorecimiento a terceros, sin el cumplimiento de las


políticas de la IPS (Institución Prestadora de Salud) o por ausencia de
un comité de pagos

Riesgo reputacional por reclamaciones de usuarios no gestionadas,


sin seguimiento y sin respuesta

Incumplimiento de indicadores de atención y calidad por prestación


del servicio

Riesgo reputacional por reclamaciones de usuarios por


incumplimientos normativos

Falta de monitoreo e incumplimiento del indicador de oportunidad


de respuesta

Ausencia de seguimiento y monitoreo sobre el cumplimiento del


servicio e indicadores de procesos tercerizados

Inadecuado cálculo de siniestralidad por inconsistencia en la


información
Falta de protocolos para dar respuesta a quejas y reclamos de los
usuarios

Sanciones por incumplimiento en el manejo de residuos peligrosos

Deficiencia en la identificación, mantenimiento y limpieza de los


espacios con manejo de residuos

Desactualización de los procesos de gestión integral de los residuos y


bioseguridad

Deficiencias en el plan para gestión integral de los residuos


generados en la atención de salud y otras actividades PGIRASA (Plan
para la Gestión Integral de los Residuos Generados en la Atención en
Salud y otras Actividades)

Utilizar dispositivos médicos que no presenten los registros


sanitarios

Pérdida de la habilitación por incumplimiento normativo y por


afectación de terceros (prestadores aliados)

Ineficiencia en los procesos de esterilización de elementos médicos

Incumplimiento o desactualización de registros sanitarios que


habiliten la prestación del servicio

Deficiente plan de mantenimiento de los equipos biomédicos

Falta de calibración de los dispositivos médicos

Dispensación de medicamentos no autorizados y sin documentos


soportes (fórmulas médicas, autorizaciones, entre otras)

Inadecuada administración y conservación de medicamentos e


insumos médicos, cadenas de frío y vencimientos

Ausencia de protocolos para el manejo de insumos y dispositivos


Acceso de personal no autorizado a las historias clínicas de los
pacientes y fuga de información

Inadecuado control de bases de datos y accesos no autorizados

Pérdida de historias clínicas de pacientes e inadecuado proceso de


actualización

Errores en los procesos de interfaces de información

Error en el diligenciamiento de la historia clínica del usuario

Ausencia de políticas que establezcan tiempo de retención,


conservación y disposición final de los expedientes de las historias
clínicas

Inadecuado análisis de los riesgos que permitan la materialización de


eventos adversos, en atención de usuarios

Pacientes no adherentes a programas o tratamientos, debilidad e


inoportunidad en la dispensación de medicamentos y atención de
especialistas

Debilidad en el seguimiento de los procesos prioritarios

La organización no cuenta con un programa automatizado de gestión


de riesgos en salud, afectando la trazabilidad, seguimiento y servicio

Ausencia de un procedimiento de elaboración de estimaciones de


detección temprana y protección específica

Debilidad y ausencia de una evaluación a la efectividad clínica del


modelo de atención en grupos de riesgo intermedio y avanzado

Ausencia de una clasificación de riesgos por paciente (Severidad)

Inconsistencia de la información de notas técnicas para el control y


gestión de las cohortes, priorización de cohortes

Ausencia de un monitoreo del indicador de morbilidad y mortalidad


por falta de seguimiento y control del paciente
Inadecuado control de bases de datos y errores en las interfaces de
información

Ausencia de mecanismos de evaluación e incorporación de


tecnología en los procesos prioritarios de la IPS

Afectación del servicio por interrupciones del sistemas de


información

Deficiencia de controles para evitar los ataques de intrusos


tecnológicos

Deficiencia en los procedimientos de copias de seguridad

Inadecuada gestión de accesos y segregación de funciones

Deficiencia de herramientas financieras como presupuestos y flujo


de caja

Ausencia de comité financiero que permita un análisis especializado


de la situación financiera

Desactualización de información financiera para toma de decisiones

Deficiencia en el análisis de indicadores financieros

Falta de definición del presupuesto basado en la herramienta POAI


(Plan Operativo Anual de Inversiones)

Afectación de la continuidad del negocio por falta de liquidez e


incumplimiento de indicadores operativos

Inadecuada definición del gobierno corporativo de la IPS

Incumplimiento de la normatividad vigente frente a la conformación


del gobierno corporativo

Falta de definición de políticas anticorrupción y de atención al


usuario desde el alto nivel de la IPS (Institución Prestadora de Salud)
Ausencia de un adecuado monitoreo y definición de acciones que
fortalezcan el sistema de control interno de la IPS (Institución
Prestadora de Salud)

Desactualización de la normatividad legal vigente en materia de


seguridad social en salud

Ausencia o bajas estrategias para enfrentar los cambios normativos

Eventos materializados por ausencia de un área de gestión de riesgos


y cumplimiento que identifique, actualice, evalúe, mida y gestione
los riesgos

Los comités de gobierno definidos en la normatividad vigente no se


encuentran operando y/o no cumplen sus funciones de monitoreo y
control

Ausencia de la documentación de manuales de riesgo SARLAFT


(Sistema de administración del riesgo de lavado de activos y de la
financiación del terrorismo), operativo, financiero y de salud

Actividades no autorizadas, sin monitoreo e investigación frente al


incumplimiento del código de conducta y buen gobierno

Sistema de control interno no confiable por ausencia de un


monitoreo, auditorías y evaluación de su madurez, notificando
informes desactualizados y no sustentados a entes de control

Ausencia de un plan de contingencia y de continuidad de negocio


operativo y tecnológico

RIESGO INHERENTE DEL SECTOR DE LA SALUD Tolerable

OBSERVACIONES Y/O COMENTARIOS


Referencia P.T.
Versión: 1
C-RPI 01

procesos Core. La identificación de riesgos le permite a

PS, mínimo anualmente,


umplimiento de los objetivos estratégicos. Estos riesgos

pecífico en cada caso particular y determinar el nivel de

CALIFICACIÓN DEL RIESGO

IMPACTO NIVEL DE RIESGO

Moderado Alto

Inaceptable Medio

Bajo Bajo
Tolerable

También podría gustarte