MODELO DE IMPLEMENTACIÒN DE SISTEMA DE ADMINISTRACIÒN DE RIESGO EPS SOS S.A. La metodología para la implementación será la establecida según el modelo de la Norma Técnica Colombiana (NTC5254), la cual consta de las correspondientes fases: identificación, análisis, evaluación y tratamiento. Para llevar a cabo el desarrollo del mismo, se requiere: - Por lo menos un participante de los procesos cliente Por lo menos un participante de los procesos proveedores Por lo menos un participante del proceso operativo Es necesario que por líder de proceso, se cuente con una licencia de Office 2007 Revisión de los objetivos de los procesos a desarrollar. Los pasos para la implementación del SAR, son los siguientes: 1. Seleccione el proceso a desarrollar según se contemple en el mapa genérico de proceso en la EPS SOS. 2. Teniendo en cuenta el objetivo del proceso seleccionado, identifique los riesgos inherentes dentro de su proceso, clasifique el riesgo y el tipo de evento del mismo. 3. Identifique qué Causas (fallas) y su clasificación respectiva, se encuentran asociadas a la presencia de este riesgo. 4. Establezca la evaluación según la probabilidad de ocurrencia y nivel de impacto. 5. Enuncie los posibles controles presentes en su organización, teniendo en cuenta la Causa (falla) identificada. 6. Establezca la evaluación de controles en diseño y ejecución, identifique el riesgo residual. 7. Según el resultado en la matriz de evaluación, establezca el tratamiento respectivo. SISTEMA ADMINISTRACION DE RIESGOS SAR 1. Fases metodológicas para estructurar el SAR 1.1. Definición de criterios: Considera el establecimiento de parámetros sobre los cuáles la dirección de la entidad definirá la evaluación y tratamiento de sus riesgos y controles. 1.2. Identificación de los Riesgos: Identificar Qué, Por qué y Cómo, pueden surgir los riesgos con el fin de establecer los criterios necesarios para su administración. 1.3. Medición de los riesgos: Establecer el nivel de los riesgos inherentes al cuál está expuesto el proceso de evaluación, teniendo en cuenta los criterios de probabilidad de ocurrencia y magnitud del impacto. 1.4. Controlar los riesgos: Establecer y evaluar las medidas de control requeridas para administrar los riesgos. Establecer el nivel de riesgo residual al cuál está expuesto el proceso. 1.5. Identificar medidas de tratamiento: Identificar opciones para tratar los riesgos de acuerdo con el nivel de riesgo residual obtenido. Realizar la evaluación de dichas opciones. Preparar los planes de mitigación / tratamiento de riesgos y su implementación. A continuación se ampliaran los conceptos anteriores. 1.1. Definición de criterios Caracterización de Procesos: Es el conjunto de variables que ayudan a un mayor entendimiento del proceso, y considera los elementos descritos a continuación: Objetivo del proceso: Es el resultado que una organización espera alcanzar en el desarrollo y operacionalización concreta de su misión y visión. Los objetivos se redactan comenzando con un verbo en infinitivo y deben ser mesurables, es decir, deben permitir la comprobación del resultado. Alcance del proceso: Es la frontera del proceso; dónde comienza y dónde termina. El alcance permite establecer los procesos cómo interactúan entre sí, en este caso también se contempla las entradas y salidas. Comienzo o inicio: actividades con la cuales se da inicio al proceso Fin / Final / Terminación : actividades con las cuales finaliza el proceso Entradas del Proceso: Son los insumos que ingresan al proceso para poder desarrollar una y/o varias actividades específicas. Salidas del proceso: Son los resultados del desarrollo de las actividades del proceso, que en algunas oportunidades son las entradas de otros procesos. Las salidas no necesariamente se dan al finalizar el proceso. Responsables y participantes dentro del proceso: Se refiere al proceso involucrado y los roles y responsabilidades de las personas participantes dentro de éste. Actividades del proceso: Es la descripción de las actividades realizadas dentro del proceso las cuales se presentan en orden secuencial. Documentos relacionados: Normatividad aplicable, procedimientos o reportes que soportan el desarrollo de las distintas actividades del proceso. Factores críticos de éxito (FCE): Un Factor de Éxito es algo que debe ocurrir (o debe no ocurrir) para conseguir un objetivo. Este Factor de Éxito se define como crítico si su cumplimiento es absolutamente necesario para cumplir los objetivos de la Organización, por lo cual requiere una especial atención por parte de los órganos gestores, con el fin de asegurar que se dedican los mejores recursos a la ejecución o realización de dicho Factor de Éxito. Indicadores del Proceso: Son medidas cuantitativas financieras y no financieras que la organización recopila continúa o periódicamente y los directivos utilizan para evaluar el progreso hacia el logro de los objetivos definidos. Diagrama de Flujo: Es la agrupación de actividades, ordenadas de acuerdo con una secuencia lógica establecida. Simbología para realizar el flujograma de procesos Inicio - Fin Proceso Decisión Documento Físico Proceso definido Documento Electrónico Referencia En misma página Conector entre páginas Sistema Documento con múltiples copias 1.2. Identificación de Riesgos Qué debemos tener en cuenta para identificar los riesgos? Entender el proceso. Identificar los objetivos de los procesos. Buscar los puntos claves de decisión en el proceso. Identificar “qué puede fallar” para cada proceso / actividad clave. (Gráfico No 2 y 3). Nuestra experiencia. Mucho sentido común. Tener en cuenta El riesgo continúa incluso con los controles. Es importante saber que la ausencia de control no es un riesgo. Los controles pueden reducir el impacto y/o probabilidad de ocurrencia del riesgo. Definición de Riesgo: Riesgo se refiere a un hecho, una acción u omisión que podría afectar la capacidad de una Entidad para lograr sus objetivos de proceso, de negocio, o estrategias, desencadenando la presencia de eventos adversos o amenazas en la población. Considera la ocurrencia latente o potencial de acontecimientos negativos o inesperados así como la ausencia o sub-aprovechamiento de oportunidades. Riesgo Inherente: Es la evaluación preliminar del riesgo, con la cual la Entidad quiere conocer el nivel de exposición al mismo. Clasificación del tipo de evento: Corresponde a la clasificación del riesgo teniendo en cuenta su origen. (Ejemplo: fraude interno). Determinación de la Causa (falla): Falla es la causa directa o subyacente asociada a la presencia del riesgo. (Es el QUE y el POR QUE se presenta el riesgo). Control: Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar las probabilidad que el negocio o proceso logre sus metas y objetivos. Riesgo Residual: Es el nivel de riesgo al cual está expuesta la Entidad de acuerdo con los controles existentes. El riesgo residual es el resultado de combinar la calificación del riesgo inherente ó bruto y la evaluación de los controles considerando el diseño y la efectividad operacional de los mismos. El resultado de la combinación de la probabilidad y el impacto genera el perfil de riesgos (Magnitud del Riesgo) Qué se debe tener en cuenta al redactar un Riesgo? 1. El riesgo debe estar escrito en un lenguaje común y comprensible para toda la Compañía. 2. Responde fácilmente a la pregunta si ocurre el riesgo ¿Qué pérdida es generada? Es decir, permite identificar la pérdida potencial: fraude, multa, demanda, reproceso, robo, sanción, etc. 3. Permite establecer la probabilidad e impacto, obteniendo así la calificación del mismo. 4. Evitar las negaciones para expresar el Riesgo. 5. La ausencia de control no es un riesgo. Ejemplo: No afiliar adecuadamente Realizar afiliaciones inadecuadamente Qué se debe tener en cuenta para determinar una Causa (falla)? Las fallas se clasifican en: Falla de Tecnología de Información: Se refiere al uso de software y hardware de la organización. Fallas de Recurso Humano: La formación y promoción de competencias de los trabajadores, con el fin de mejorar sus capacidades, habilidades y aptitudes para ejecutar los procesos alineados a la estrategia y evitar las desviaciones que demoren o eviten alcanzar los objetivos. Además involucra el promover comportamientos seguros en la toma de decisiones. Identificación y política para el manejo de fraudes. Falla por eventos externos: son eventos asociados a la naturaleza o externos se escapan a la organización Falla de Procesos: Se entiende por falla de procesos lo referente a: POLITICA: Es el compromiso de la organización para establecer sus parámetros de ejecución y desarrollo en el negocio de aseguramiento en salud, y exprese formalmente los objetivos, así como los principios y directrices a seguir en materia de los lineamientos estratégicos, estructurales, de comunicación, y de infraestructura. PLANIFICACION Y EJECUCION: La Planificación de las tareas a emprender, distinguiendo entre planificación en las condiciones normales del negocio y planificación de emergencia. La primera pretende desarrollar un método ordenado de puesta en práctica de las políticas y acciones necesarias para evitar la materialización de eventos no deseados. Paralelamente, el plan de emergencia pretende planificar con serenidad las acciones a emprender para responder con rapidez y eficacia ante cualquier incidencia, reduciendo al máximo sus posibles consecuencias. COMUNICACIÓN: La Comunicación y transferencia de información sobre el medio de trabajo hasta su operatividad, sus posibles riesgos y la forma correcta de combatirlos. Tener en cuenta tecnología. RUTAS DE ACCESO: Puntos de encuentro o de conexión entre la EPS y el usuario en todos los ámbitos que refiere el aseguramiento en salud contemplando en la ley. (BARRERAS DE ACCESO). DOCUMENTO DE PROCESOS: Conocimiento y documentación de los procesos, correcta ejecución de los mismos, trazabilidad y conectividad de los procesos, claridad de los roles y estandarización en la ejecución. Falla de Infraestructura: Son las fallas relacionadas a edificaciones, elementos de apoyo para las operaciones, almacenamiento y transporte, espacios de trabajo entre otros. Falla de Medición de resultados: Revisión de las actuaciones realizadas en la organización, permitiendo, así, alcanzar la mejora continua. Este control se ejecuta a través del análisis de las condiciones de trabajo, responsabilidades, desempeño y sucesos ocurridos en el interior de la empresa. 1.3. Medición (evaluación) de riesgos: La dimensión del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en la determinación de riesgos intermedios. De igual forma utilizar un mapa con una estructura no lineal, para establecer un mayor peso a aquellos eventos en los cuales aunque la probabilidad es baja su impacto al interior de la EPS es superior. Establezca, de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivel de impacto. 1.4. Controlar los riesgos Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar la probabilidad de que el negocio / proceso logre sus metas y objetivos. La definición de los controles debe incluir: Qué busca hacer el control (objetivo) Cómo se lleva a cabo el control (procedimiento) Naturaleza del control: Preventivo ó Detectivo Tipo de control: Manual, Automático, ó Dependiente de IT Quién lleva a cabo el control (Responsable) Cuándo se realiza el control (Periodicidad) Teniendo en cuenta la evaluación de los controles (según diseño y eficacia), calcule el riesgo residual. El resultado del riesgo residual determina las medidas de tratamiento a ejecutar. 1.5. Identificación de Medidas de Tratamiento de Riesgo Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgos identificados son: Para los riesgos calificados como Extremos y Superiores, se establecerán planes de acción a corto plazo. Para los riesgos calificados como Moderados y Bajos, se establecerán planes de acción a mediano y/o largo plazo, y/o se diseñarán actividades para su monitoreo. El Monitoreo de Riesgos, son las medidas utilizadas para monitorear el nivel de exposición al riesgo en la EPS. Para la realización de este monitoreo se sugiere establecer: Indicadores de Desempeño: Son las medidas que muestran los cambios en la probabilidad de ocurrencia de un riesgo. Ejemplo: Total formularios Recibidos / Total formularios de afiliación Radicados. Indicadores de control: Son las medidas que muestra los cambios en la efectividad de controles. Ejemplo: Total formularios grabados correctamente/Total formularios grabados. Alertas: Son la combinación de los resultados de los indicadores de desempeño y de control, a través de la cual se generan alertas para definir planes de acción con respecto al nivel de exposición a un riesgo determinado. RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS Ejemplo guía: