MODELO DE IMPLEMENTACIN DE SISTEMA DE ADMINISTRACIN DE

RIESGO EPS SOS S.A.

La metodologa para la implementacin ser la establecida segn el modelo de la Norma
Tcnica Colombiana (NTC5254), la cual consta de las correspondientes fases:
identificacin, anlisis, evaluacin y tratamiento.
Para llevar a cabo el desarrollo del mismo, se requiere:
-

Por lo menos un participante de los procesos cliente

Por lo menos un participante de los procesos proveedores
Por lo menos un participante del proceso operativo
Es necesario que por lder de proceso, se cuente con una licencia de Office 2007
Revisin de los objetivos de los procesos a desarrollar.

Los pasos para la implementacin del SAR, son los siguientes:

1. Seleccione el proceso a desarrollar segn se contemple en el mapa genrico

de proceso en la EPS SOS.

2. Teniendo en cuenta el objetivo del proceso seleccionado, identifique los

riesgos inherentes dentro de su proceso, clasifique el riesgo y el tipo de evento
del mismo.

3. Identifique qu Causas (fallas) y su clasificacin respectiva, se encuentran

asociadas a la presencia de este riesgo.

4. Establezca la evaluacin segn la probabilidad de ocurrencia y nivel de

impacto.

5. Enuncie los posibles controles presentes en su organizacin, teniendo en

cuenta la Causa (falla) identificada.

6. Establezca la evaluacin de controles en diseo y ejecucin, identifique el

riesgo residual.

7. Segn el resultado en la matriz de evaluacin, establezca el tratamiento

respectivo.

SISTEMA ADMINISTRACION DE RIESGOS SAR

1.

Fases metodolgicas para estructurar el SAR

1.1.

Definicin de criterios: Considera el establecimiento de parmetros sobre los

cules la direccin de la entidad definir la evaluacin y tratamiento de sus riesgos
y controles.

1.2.

Identificacin de los Riesgos: Identificar Qu, Por qu y Cmo, pueden surgir los
riesgos con el fin de establecer los criterios necesarios para su administracin.

1.3.

Medicin de los riesgos: Establecer el nivel de los riesgos inherentes al cul est
expuesto el proceso de evaluacin, teniendo en cuenta los criterios de
probabilidad de ocurrencia y magnitud del impacto.

1.4.

Controlar los riesgos: Establecer y evaluar las medidas de control requeridas para
administrar los riesgos. Establecer el nivel de riesgo residual al cul est expuesto
el proceso.

1.5.

Identificar medidas de tratamiento: Identificar opciones para tratar los riesgos de

acuerdo con el nivel de riesgo residual obtenido. Realizar la evaluacin de dichas
opciones. Preparar los planes de mitigacin / tratamiento de riesgos y su
implementacin.

A continuacin se ampliaran los conceptos anteriores.

1.1.

Definicin de criterios

Caracterizacin de Procesos: Es el conjunto de variables que ayudan a un mayor

entendimiento del proceso, y considera los elementos descritos a continuacin:
Objetivo del proceso: Es el resultado que una organizacin espera alcanzar en el
desarrollo y operacionalizacin concreta de su misin y visin. Los objetivos se
redactan comenzando con un verbo en infinitivo y deben ser mesurables, es decir,
deben permitir la comprobacin del resultado.
Alcance del proceso: Es la frontera del proceso; dnde comienza y dnde
termina. El alcance permite establecer los procesos cmo interactan entre s, en
este caso tambin se contempla las entradas y salidas.

Comienzo o inicio: actividades con la cuales se da inicio al proceso

Fin / Final / Terminacin : actividades con las cuales finaliza el proceso



Entradas del Proceso: Son los insumos que ingresan al proceso para poder
desarrollar una y/o varias actividades especficas.
Salidas del proceso: Son los resultados del desarrollo de las actividades
del proceso, que en algunas oportunidades son las entradas de otros
procesos. Las salidas no necesariamente se dan al finalizar el proceso.

Responsables y participantes dentro del proceso: Se refiere al proceso

involucrado y los roles y responsabilidades de las personas participantes dentro de
ste.
Actividades del proceso: Es la descripcin de las actividades realizadas dentro
del proceso las cuales se presentan en orden secuencial.
Documentos relacionados: Normatividad aplicable, procedimientos o reportes
que soportan el desarrollo de las distintas actividades del proceso.
Factores crticos de xito (FCE): Un Factor de xito es algo que debe ocurrir (o
debe no ocurrir) para conseguir un objetivo. Este Factor de xito se define como
crtico si su cumplimiento es absolutamente necesario para cumplir los objetivos
de la Organizacin, por lo cual requiere una especial atencin por parte de los
rganos gestores, con el fin de asegurar que se dedican los mejores recursos a la
ejecucin o realizacin de dicho Factor de xito.
Indicadores del Proceso: Son medidas cuantitativas financieras y no financieras
que la organizacin recopila contina o peridicamente y los directivos utilizan
para evaluar el progreso hacia el logro de los objetivos definidos.
Diagrama de Flujo: Es la agrupacin de actividades, ordenadas de acuerdo con
una secuencia lgica establecida.

Simbologa para realizar el flujograma de procesos

Inicio - Fin

Proceso

Decisin

Documento
Fsico

Proceso
definido

Documento
Electrnico

Referencia
En misma
pgina

Conector
entre
pginas

Sistema

Documento
con mltiples
copias

1.2.

Identificacin de Riesgos

Qu debemos tener en cuenta para identificar los riesgos?






Entender el proceso.
Identificar los objetivos de los procesos.
Buscar los puntos claves de decisin en el proceso.
Identificar qu puede fallar para cada proceso / actividad clave. (Grfico No 2 y
3).
 Nuestra experiencia.
 Mucho sentido comn.

Tener en cuenta

El riesgo contina incluso con los controles.

Es importante saber que la ausencia de control no es un riesgo.
Los controles pueden reducir el impacto y/o probabilidad de ocurrencia del riesgo.

Definicin de Riesgo: Riesgo se refiere a un hecho, una accin u omisin que podra
afectar la capacidad de una Entidad para lograr sus objetivos de proceso, de negocio, o
estrategias, desencadenando la presencia de eventos adversos o amenazas en la
poblacin. Considera la ocurrencia latente o potencial de acontecimientos negativos o
inesperados as como la ausencia o sub-aprovechamiento de oportunidades.
Riesgo Inherente: Es la evaluacin preliminar del riesgo, con la cual la Entidad quiere
conocer el nivel de exposicin al mismo.
Clasificacin del tipo de evento: Corresponde a la clasificacin del riesgo teniendo en
cuenta su origen. (Ejemplo: fraude interno).
Determinacin de la Causa (falla): Falla es la causa directa o subyacente asociada a la
presencia del riesgo. (Es el QUE y el POR QUE se presenta el riesgo).
Control: Son las medidas tomadas para administrar o gestionar el riesgo y para
incrementar las probabilidad que el negocio o proceso logre sus metas y objetivos.
Riesgo Residual: Es el nivel de riesgo al cual est expuesta la Entidad de acuerdo con
los controles existentes. El riesgo residual es el resultado de combinar la calificacin del
riesgo inherente bruto y la evaluacin de los controles considerando el diseo y la
efectividad operacional de los mismos.

El resultado de la combinacin de la probabilidad y el impacto genera el perfil de riesgos

(Magnitud del Riesgo)

Qu se debe tener en cuenta al redactar un Riesgo?

1. El riesgo debe estar escrito en un lenguaje comn y comprensible para toda
la Compaa.
2. Responde fcilmente a la pregunta si ocurre el riesgo Qu prdida es
generada? Es decir, permite identificar la prdida potencial: fraude, multa,
demanda, reproceso, robo, sancin, etc.
3. Permite establecer la probabilidad e impacto, obteniendo as la calificacin
del mismo.
4. Evitar las negaciones para expresar el Riesgo.
5. La ausencia de control no es un riesgo.
Ejemplo:

No afiliar adecuadamente

Realizar afiliaciones inadecuadamente

Qu se debe tener en cuenta para determinar una Causa (falla)?
Las fallas se clasifican en:
Falla de Tecnologa de Informacin: Se refiere al uso de software y hardware de la
organizacin.
Fallas de Recurso Humano: La formacin y promocin de competencias de los
trabajadores, con el fin de mejorar sus capacidades, habilidades y aptitudes para ejecutar
los procesos alineados a la estrategia y evitar las desviaciones que demoren o eviten
alcanzar los objetivos. Adems involucra el promover comportamientos seguros en la
toma de decisiones. Identificacin y poltica para el manejo de fraudes.
Falla por eventos externos: son eventos asociados a la naturaleza o externos se escapan
a la organizacin
Falla de Procesos: Se entiende por falla de procesos lo referente a:
POLITICA: Es el compromiso de la organizacin para establecer sus parmetros
de ejecucin y desarrollo en el negocio de aseguramiento en salud, y exprese
formalmente los objetivos, as como los principios y directrices a seguir en materia
de los lineamientos estratgicos, estructurales, de comunicacin, y de
infraestructura.

PLANIFICACION Y EJECUCION: La Planificacin de las tareas a emprender,

distinguiendo entre planificacin en las condiciones normales del negocio y
planificacin de emergencia. La primera pretende desarrollar un mtodo ordenado
de puesta en prctica de las polticas y acciones necesarias para evitar la
materializacin de eventos no deseados. Paralelamente, el plan de emergencia
pretende planificar con serenidad las acciones a emprender para responder con
rapidez y eficacia ante cualquier incidencia, reduciendo al mximo sus posibles
consecuencias.
COMUNICACIN: La Comunicacin y transferencia de informacin sobre el medio
de trabajo hasta su operatividad, sus posibles riesgos y la forma correcta de
combatirlos. Tener en cuenta tecnologa.
RUTAS DE ACCESO: Puntos de encuentro o de conexin entre la EPS y el
usuario en todos los mbitos que refiere el aseguramiento en salud contemplando
en la ley. (BARRERAS DE ACCESO).
DOCUMENTO DE PROCESOS: Conocimiento y documentacin de los procesos,
correcta ejecucin de los mismos, trazabilidad y conectividad de los procesos,
claridad de los roles y estandarizacin en la ejecucin.
Falla de Infraestructura: Son las fallas relacionadas a edificaciones, elementos de apoyo
para las operaciones, almacenamiento y transporte, espacios de trabajo entre otros.
Falla de Medicin de resultados: Revisin de las actuaciones realizadas en la
organizacin, permitiendo, as, alcanzar la mejora continua. Este control se ejecuta a
travs del anlisis de las condiciones de trabajo, responsabilidades, desempeo y
sucesos ocurridos en el interior de la empresa.
1.3.

Medicin (evaluacin) de riesgos:

La dimensin del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en la

determinacin de riesgos intermedios. De igual forma utilizar un mapa con una estructura
no lineal, para establecer un mayor peso a aquellos eventos en los cuales aunque la
probabilidad es baja su impacto al interior de la EPS es superior.

Establezca, de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivel

de impacto.
1.4.

Controlar los riesgos

Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar la
probabilidad de que el negocio / proceso logre sus metas y objetivos.
La definicin de los controles debe incluir:

Qu busca hacer el control (objetivo)

Cmo se lleva a cabo el control (procedimiento)
Naturaleza del control: Preventivo Detectivo
Tipo de control: Manual, Automtico, Dependiente de IT
Quin lleva a cabo el control (Responsable)

Cundo se realiza el control

(Periodicidad)

Teniendo en cuenta la evaluacin de los controles (segn diseo y eficacia), calcule el

riesgo residual.
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar.

1.5.

Identificacin de Medidas de Tratamiento de Riesgo

Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgos
identificados son:
 Para los riesgos calificados como Extremos y Superiores, se establecern planes
de accin a corto plazo.
 Para los riesgos calificados como Moderados y Bajos, se establecern planes de
accin a mediano y/o largo plazo, y/o se disearn actividades para su monitoreo.
El Monitoreo de Riesgos, son las medidas utilizadas para monitorear el nivel de
exposicin al riesgo en la EPS. Para la realizacin de este monitoreo se sugiere
establecer:
Indicadores de Desempeo: Son las medidas que muestran los cambios en la
probabilidad de ocurrencia de un riesgo. Ejemplo: Total formularios Recibidos / Total
formularios de afiliacin Radicados.
Indicadores de control: Son las medidas que muestra los cambios en la efectividad de
controles. Ejemplo: Total formularios grabados correctamente/Total formularios grabados.
Alertas: Son la combinacin de los resultados de los indicadores de desempeo y de
control, a travs de la cual se generan alertas para definir planes de accin con respecto
al nivel de exposicin a un riesgo determinado.
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo gua: