Subred Integrada de Servicios de Salud Norte AdministraciĂłn del Riesgo MetodologĂas
ES-GE-F-16-02
GESTIÓN INTEGRAL DEL RIESGO * ADMINISTRACIÓN DEL RIESGO** Metodologías
*En desarrollo de la Norma NTC ISO 31000 2011 **Atendiendo a lo establecido en los Decretos 1599 de 2005 y 943 de 2014 MECI
1.MetodologĂas.
POLÍTICA INSTITUCIONAL DE GESTIÓN Y ADMINISTRACIÓN DEL RIESGO “La Subred Integrada de Servicios de Salud Norte E.S.E, se compromete a adoptar mecanismos y acciones necesarias para la gestión integral de sus riesgos, de tal forma que se prevengan o minimice su impacto, para ello adoptará mecanismos que permitan identificar, analizar, valorar, priorizar y administrar los riesgos propios de la operación, acogiendo una autorregulación institucional.”
Metodologías
Enfoques metodológicos para Análisis y Gestión de Riesgos (1) En la literatura sobre metodologías asociadas al análisis de causas y gestión del riesgo, existen diversos enfoques cuantitativos y cualitativos relacionados. Los siguientes son algunos de ellos:
Análisis de Reclamaciones
Observación directa
Brainstorming (Lluvia de ideas)
Análisis de datos: GRD´S CMBD, Reingresos
Diagrama de Ishikawa
Protocolo de Londres
Análisis de Causa RaízACR
Metodologías
Enfoques metodológicos para Análisis y Gestión de Riesgos (2) En la literatura sobre metodologías asociadas al análisis de causas y gestión del riesgo, existen diversos enfoques cuantitativos y cualitativos relacionados Los siguientes son algunos de ellos:
Seguimiento clínico
Análisis Modal Causa Efecto -AMFE
Matriz de Riesgos
Análisis por procesos
Análisis de Barrera
Metodología Delphi
Hazzard -HACCP
Metodologías
El modelo de gestión integral -ICONTEC El objetivo principal de la transformación cultural de la acreditación en materia de Riesgo, concibe la consolidación de un único sistema de administración al interior de la entidad que se estructure en torno a los siguientes elementos:
Riesgos Riesgos Estratégicos Estratégicos
Riesgos de Prestación del Servicio (Gestión Integral del Riesgo Clínica
Riesgos Riesgos Financieros Financieros Modelo de Gestión Integral del Riesgo de la Instituciones Riesgos Riesgos Jurídicos Jurídicos Riesgos Riesgos de de Crédito Crédito
Riesgos Riesgos Reputacionales Reputacionales
Riesgos Riesgos Operacionales Operacionales
Riesgos Riesgos de de mercado mercado
2. Matriz de riesgos Subred Integrada de Servicios de Salud Norte E.S.E.
La Subred Integrada de Servicios de Salud Norte E.S.E. diseñó una matriz de riesgos contemplando la normatividad vigente a la fecha y bajo el enfoque metodológico de la Norma Técnica Colombiana NTC-ISO 31000 del 2011 sobre Gestión del Riesgo.
MATRIZ DE RIESGOS El primer paso realizado es determinar el Contexto Estratégico, que son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución.
MATRIZ DE RIESGOS
Identificación del Riesgo El segundo paso es generar la identificación del riesgo, que se realiza determinando las causas, con base en los factores internos y/o externos analizados para la entidad, y que pueden afectar el logro de los objetivos. El instrumento diseñado por la SUBRED NORTE, contempla una primera hoja electrónica denominada “Identificación y Descripción”, donde se relaciona: •Actividad del proceso: Que incluye la actividad del proceso asociada con el riesgo establecido, •Número del Riesgo: El cual se mantendrá a lo largo del diligenciamiento, •Falla potencial – Descripción: que registra la redacción sugerida del riesgo determinado, •Clasificación: El riesgo determinado se clasifica en términos de: seguridad de información, normativos, operativos , ambientales, seguridad en el trabajo, tecnológicos, de corrupción y otros.
Matriz de Riesgos Identificación del Riesgo. La siguiente es la estructura sugerida para la redacción de los riesgos y a manera de ejemplo se presentan algunas “situaciones no deseadas”, propias de las organizaciones:
1. SITUACIÓN NO DESEADA
2. PREPOSICIÓN
3. COMPLEMENTO
RIESGO (1+2+3)
SITUACIÓN NO DESEADA -La situación no deseada es aquella condición que en términos de gestión no queremos que se presente por ningún motivo o que conlleve impedir el logro de los objetivos en desarrollo de las funciones, planes, proyectos y/o procesos.
• • • • • • • • • • • • • • • • • • • • • • • •
Demoras Incrementos no previstos Incumplimiento (Legales, compromisos, técnicos, presupuestales, otros) Hurto Fraude Baja Cobertura Daño Atrasos Adulteración Falsificación Favorecimientos Uso Indebido Incendio Alteración Trafico de influencias Pérdida Falta de oportunidad Baja Cobertura Daño Atrasos Adulteración Falsificación Favorecimientos Uso Indebido
Matriz de Riesgos Pérdida de Confidencialidad •Divulgación de información de carácter privada y semi-privada (Información clasificada) •Acceso de personas no autorizadas a información (que se puede presentar por las situaciones: bloqueo de equipo en ausencia de personal, compartir contraseña, visualización de información que se encuentra en escritorio, contraseña fácil de adivinar) •Publicación de información clasificada •Visualización de información clasificada en hojas dejadas en impresoras desatendidas de la Entidad
Pérdida de disponibilidad
•Ataque informático •Fuga de información •Negación de acceso a la información •Eliminación de Información de forma voluntaria e involuntaria
Pérdida de Integridad •Visualización incompleta de la información •Hurto de dispositivo móvil que contenga información de la Entidad •Desaparición de información
Adquisición de bienes y servicios No incluidos en el Plan Anual de Adquisiciones de la SUBRED NORTE
Matriz de Riesgos Análisis del Riesgo El proceso continua con el “análisis del riesgo”, que busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias. Este último aspecto, puede orientar la clasificación del riesgo, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. En la hoja electrónica 2 denominada “Análisis”, se determinan las causas del riesgo y se clasifican de acuerdo a los criterios de: personal, proceso interno, terceros, insumos, instalaciones, normatividad, entorno y comités. A su vez, se detallan las consecuencias relacionadas con: perdidas económicas, perdidas de información, alteración del proceso , daño ambiental, eventos adversos, sanciones legales disciplinarias, requerimiento entidades de control, reprocesos.
Causas y efectos asociadas a los riesgos (marco lógico) Efectos
RIESGO
Causas
Se pueden presentar acciones administrativas y disciplinarias
Y entonces que?
Se presentan hallazgos por auditoría externa e interna
Y entonces que?
La programación del Plan Anual de Adquisiciones No corresponde con la ejecución del SIIF
Y entonces que?
ADQUISICIÓN DE BIENES Y/O SERVICIOS NO INCLUIDOS EN EL PLAN ANUAL DE ADQUISICIONES Autorización y ejecución del proceso contractual sin estar contemplados En el Plan Anual de Adquisiciones
Por qué?
Solicitudes de contratación de bienes y servicios No incluidos en el Plan Anual de Adquisiciones
Por qué?
Inadecuada programación del Plan Anual de Adquisiciones por parte de las dependencias
Por qué?
La dependencia No acato los lineamientos para la programación del Plan Anual de Adquisiciones
Por qué?
Matriz de Riesgos AGENTES GENERADORES: 1. Información primaria 2. Información Secundaria 3. Funcionarios Públicos 4. Contratistas 5. Tecnológico interno 6. Tecnológico externo 7. Procesos y/o procedimientos 8. Factores ambientales internos 9. Factores ambientales externos 10. Normatividad interna 11. Normatividad externa 12. Factores económicos 13. Factores políticos 14. Aspectos sociales 15. Infraestructura 16. Posibles actos de corrupción
Matriz de Riesgos Calificación y Evaluación En la calificación y evaluación del riesgo, los equipos establecidos por proceso deben calificar el riesgo definido atendiendo a los criterios de Severidad, Probabilidad de ocurrencia y de detección. La Hoja No. 3, denominada “Calificación y Evaluación”, permite calificar los criterios señalados en cada uno de los riesgos, clasificando de forma inmediata su nivel de criticidad y zona de riesgo asociada (menor, moderado, alto, extremo).
Tabla de probabilidad – Índice de frecuencia
Matriz de Riesgos
Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. La siguiente tabla presenta los rangos y la calificación asociada usada en la matriz de riesgos de la Subred Norte .
Matriz de Riesgos
10
7 5 3 1
Tabla de Impacto – Índice de severidad El impacto mide la consecuencia del riesgo en sus usuarios, colaboradores y grupos de interés relacionada con perdidas financieras, incapacidades temporales o permanentes y la vida misma. La siguiente es la clasificación establecida para la matriz de riesgos de la Subred Norte:
Matriz de Riesgos
ร ndice de probabilidad de detecciรณn Su clasificaciรณn tiene una relaciรณn inversa frente a la probabilidad de hallazgo. Es decir, a menor posibilidad de develamiento mayor calificaciรณn.
Matriz de Riesgos Valoración del riesgo La hoja 4 denominada “Valoración”, consolida la calificación de la hoja 3 asociando un porcentaje de participación del riesgo y una ponderación de criticidad.
Matriz de Riesgos Valoración de los controles La hoja 5 denominada “Controles”, permite inicialmente clasificarlos sin ser excluyente bajo las modalidades de: Preventivo, Detectivo y Correctivo. Luego se califican bajos los estados de DOCUMENTADO y los grados de: EFICIENTE: Económico, de fácil obtención y aplicable EFICAZ: Cumple con los objetivos propuestos EFECTIVO: El control logra mitigar o desaparecer el riesgo. Dichas calificaciones se consolidan en un porcentaje de control del riesgo
Matriz de Riesgos Riesgo Residual En la hoja 6 denominada “Riesgo Residual”, se encuentra el perfil del riesgo residual, que se define como aquella valoración del riesgo después de controles. que una vez implantadas las acciones para el control de los riesgos. Es decir, aquel que permanece después que se desarrollen las respuestas a los riesgos.
Matriz de Riesgos Mapa de riesgos En la hoja 8 denominada “MAPA“ se presenta el cuadro resumen que muestre cada uno de los pasos previos llevados a cabo en este proceso. En este resumen se detalla: Actividad, Riesgos, No. del riesgo, Causas, Efecto, Severidad, Probabilidad de ocurrencia, Probabilidad de detección, Criticidad o índice de priorización del riesgo, Zona riesgo, Controles existentes/medida de mitigación, Riesgo residual, Zona riesgo residual, tratamiento de los riesgos residuales, Acción de control/definición de la acción preventiva, Responsabilidad, Periodo de ejecución, Recursos, Indicador, Meta
Matriz de Riesgos Seguimiento y monitoreo del mapa de riesgos En la hoja No. 9 denominada “Seguimiento y Monitoreo“ , se registra el avance periódico de cada uno de los riesgos relacionados por proceso. Allí se puede observar: la línea base del indicador seleccionado, el análisis de los resultados y el responsable del seguimiento respectivo. El seguimiento hace énfasis en el detalle de actividades relacionadas con los controles.
Matriz de Riesgos Bajo el enfoque de “minería de datos“, se elabora un “mapa de calor” del mapa de riesgos por proceso, sobre el cual se realizan análisis de coeficiente de variación o distribución normal., que permiten establecer niveles de dispersión y participación de los diferentes riesgos .
Matriz de Riesgos Para el 2018, la distribución de riesgos por macroprocesos concentra el 49% de ellos en el grupo de Apoyo; le sigue el grupo de Estratégicos y Misionales con el 22% y 19% respectivamente. Por último el grupo de Evaluación participa con el 10%. El análisis también contempla la criticidad inicial y el comportamiento del riesgo residual una vez se aplican los controles respectivos.
Matriz de Riesgos Operativización de la Política de Gestión y Administración del Riesgo (CÓDIGO:ES-GC-F-41-02) La operativización de la Política de Riesgo, tiene como propósito general: “Promover la adopción de mecanismos que permitan identificar, analizar, priorizar, evaluar e intervenir los riesgos propios de su operación, fomentando y fortaleciendo la autorregulación de los procesos institucionales” El responsable de su seguimiento es la Oficina de Desarrollo Institucional de la Subred Norte, quien lo realiza de forma periódica (trimestral)
Matriz de Riesgos Indicadores de la política de Riesgo El primer indicador se denomina: “Porcentaje de procesos con riesgos identificados”, cuyo objetivo es medir la eficacia en la formulación del mapa de riesgos institucional. Aquí se evalúa la distribución de riesgos relacionados con los objetivos de los procesos y los objetivos institucionales. Es importante reiterar que el adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el fin de asegurar dicho manejo es importante que se establezca el entorno y ambiente organizacional de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos, así como su monitoreo y evaluación.
Matriz de Riesgos Indicadores de la política de Riesgo El segundo indicador se denomina: “porcentaje de cumplimiento actividades mapa de riesgos”, cuyo objetivo es medir la eficacia en el cumplimiento de las actividades establecidas para mitigar el riesgo institucional. La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijación de políticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.
Matriz de Riesgos Indicadores de la política de Riesgo El tercer indicador se denomina: “Indicador de Riesgos Significativos”, cuyo objetivo es evaluar el impacto asociado a riesgos significativos que generan perdidas en la entidad. Un incidente significativo es aquel que ha causado impacto negativo en los ciudadanos de manera masiva o que se ha provocado interrupción de uno o varios servicios de la entidad. El nivel de tolerancia a fin de calificar un incidente como significativo, para el caso dela Subred Integrada de Servicios de Salud Norte ESE, se estableció entre 0 y 1% como bajo
Matriz de Riesgos
¿Cuáles don las diferencias entre los planes de mitigación y los planes de riesgos?
Las acciones se definen antes de que ocurra o no ocurra el riesgo. Se asignan recursos por adelantado debido a la situación de riesgo identificada. Se mitigan los riesgos que están por encima del umbral establecido, aplicando planes de respuesta para reducir probabilidad e impacto Trabaja como un plan proactivo. Se planifican ciertas acciones que se ponen en marcha sólo si las señales de advertencia se disparan. No se gastan recursos por adelantado No tratamos de cambiar la probabilidad e impacto de un riesgo, pero planificamos como controlarlo en caso de que ocurra. Trabaja como un plan reactivo.