Unidad Funcional: GERENCIA GENERAL DIRECCIÓN NACIONAL DE CALIDAD MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS SOLSALUD EPS S.A.

Transcripción

1 Unidad Funcional: GERENCIA GENERAL DIRECCIÓN NACIONAL DE CALIDAD MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS SOLSALUD EPS S.A. Enero de de

2 Tabla de Contenido 1. Introducción Definición de Términos Objetivos del Manual Alcance del Manual Objetivos Objetivo General del Sistema de Administración de Riesgos (S.A.R.) Objetivos Específicos del S.A.R Factores que Motivan la Administración del Riesgo Riesgos Críticos para la Implementación del S.A.R Enfoque para la Implementación del S.A.R Definición Estratégica del SAR Despliegue Metodológico del SAR Esquema de Autocontrol Pilar Estratégico para la Implementación del S.A.R Objetivos y Políticas Políticas de Direccionamiento Políticas de Administración y Ejecución Estructura Organizacional Estructura Organizacional del S.A.R Junta Directiva Gerencia General Representante Legal Gerentes Nacionales de Area, Gerentes Regionales, Departamentales y Directores Nacionales de Staff Líderes de Proceso Oficina de Control Interno Direcciones Nacionales de Calidad y Planeación Organismos Colegiados para la administración estratégica del Sistema de Administración de Riesgos Estructura Documental Pasos para detectar cambios en el SAR que generan la actualización de la Estructura Documental Estructura de Comunicaciones Función de los Reportes Internos y Externos Flujo de Información y Protocolos de Comunicación Desarrollo de la Cultura de Administración de Riesgos Objetivos del Ciclo de Cultura y Orientación al Riesgo A quiénes debe ir dirigido? Qué temas? Cómo y Cuándo? Actividades de Capacitación y Concientización Medidas por Incumplimiento del SAR Herramientas y Técnicas que Ayudan a Identificar el Incumplimiento del SAR Pilar Metodológico para la Implementación de SAR Cadena de Valor como base del Sistema de Administración de Riesgos Pasos para la Definición de Criterios de Calificación de Riesgos de

3 Criterios Generales Criterios asociados a Riesgo Pasos para la identificación de Riesgos Objetivo Actividades a desarrollar para la identificación de Riesgos Herramientas y Técnicas usadas por el Equipo de Trabajo Aportes clave Productos Responsables (Quién ejecuta las actividades) Participantes (Áreas de apoyo al SAR) Pasos para la Medición del Riesgo Inherente Objetivo Actividades a Desarrollar Herramientas y Técnicas que pueden ser usadas por el equipo de trabajo Aportes clave Productos: Responsables (quién ejecuta las actividades): Participantes (Áreas de apoyo al SAR) Calificación de Riesgos con Controles Objetivos Actividades a Desarrollar Herramientas y Técnicas Aportes Clave Productos: Responsables (quién ejecuta las actividades): Participantes (Áreas de apoyo al SAR) Pasos para el Registro de Eventos de Pérdidas Pasos para el Tratamiento de los Riesgos Objetivo Actividades a Desarrollar Evitar el Riesgo Reducir o Controlar la Probabilidad de la Ocurrencia Reducir o Controlar el Impacto Transferir los Riesgos Retener los Riesgos Herramientas y Técnicas Aportes clave Productos: Participantes (Áreas de apoyo al SAR) Pasos para el Monitoreo del Riesgo Objetivo Actividades a Desarrollar Herramientas y Técnicas que Pueden ser Usadas por el Equipo de Trabajo Aportes clave: Productos: Responsables (quién ejecuta las actividades): Desarrollo y Fortalecimiento del Esquema de Autocontrol Esquema de Autocontrol dentro del SAR Concepto de Auto Evaluación Objetivo de

4 Participantes en el Esquema de Autocontrol Ciclo del Esquema de Autocontrol Listado de Gráficos GRÁFICO 1 : FACTORES INTERNOS QUE MOTIVAN LA ADMINISTRACIÓN DE RIESGOS GRÁFICO 2: FACTORES EXTERNOS QUE MOTIVAN LA ADMINISTRACIÓN DE RIESGOS GRÁFICO 3 : ENFOQUE PARA LA IMPLEMENTACIÓN DEL S.A.R GRÁFICO 4 : CLASES DE POLÍTICAS GRÁFICO 5 : ESTRUCTURA NACIONAL Y DESCENTRALIZADA... GRÁFICO 6 : GERENCIA NACIONAL COMERCIAL... GRÁFICO 7: GERENCIA NACIONAL OPERATIVA... GRÁFICO 8: GERENCIA NACIONAL DE SERVICIOS DE SALUD... GRÁFICO 9 : GERENCIA NACIONAL FINANCIERA... GRÁFICO 10: GERENCIA NACIONAL ADMINISTRATIVA... GRÁFICO 11 : ACTIVIDADES DE INTEGRACIÓN CON EL S.A.R GRÁFICO 12: ESTRUCTURA ORGANIZACIONAL VS. ETAPAS DEL SARO GRÁFICO 13 : PASOS PARA LA DIVULGACIÓN DE INFORMACIÓN CON LOS REPORTES INTERNOS Y EXTERNOS GRÁFICO 14 : FLUJO DE INFORMACIÓN Y PROTOCOLOS DE COMUNICACIÓN N GRÁFICO 15 : INFORMES / INFORMACIÓN RESULTADO DEL FLUJO DE INFORMACIÓN NO GRÁFICO 16 : FLUJOS DE INFORMACIÓN Y PROTOCOLOS DE COMUNICACIÓN NO GRÁFICO 17: INFORMES / INFORMACIÓN PRODUCTO DEL FLUJO DE INFORMACIÓN NO GRÁFICO 18 : FLUJO DE INFORMACIÓN Y PROTOCOLO DE COMUNICACIÓN NO GRÁFICO 19 : INFORMES / INFORMACIÓN PRODUCTO DEL FLUJO DE INFORMACIÓN NO GRÁFICO 20 : FLUJO DE INFORMACIÓN Y PROTOCOLO DE COMUNICACIÓN NO GRÁFICO 21 : CICLO DE CULTURA Y ORIENTACIÓN AL RIESGO GRÁFICO 22 : ORDEN DEL PROCESO DE CAPACITACIÓN GRÁFICO 23 : CADENA DE VALOR DE SOLSALUD EPS GRÁFICO 24 : ESQUEMA DE MAPA DE RIESGOS GRÁFICO 25 : SEVERIDAD DEL RIESGO GRÁFICO 26 : PROBABILIDAD VS. IMPACTO GRÁFICO 27: EJE DE PROBABILIDAD DE IMPACTO GRÁFICO 28 : IMPACTO GRÁFICO 29: FACTORES DE RIESGO GRÁFICO 30 : TRATAMIENTO DE LOS RIESGOS GRÁFICO 31: PASOS PARA LA IDENTIFICACIÓN DE RIESGOS Y FALLAS GRÁFICO 32 : FORMATO PARA DOCUMENTAR LA CARACTERIZACIÓN DE LOS PROCESOS GRÁFICO 33 : FACTORES DE RIESGO... GRÁFICO 34 : MATRIZ DE IDENTIFICACIÓN DE RIESGOS... GRÁFICO 35 : PASOS PARA LA MEDICIÓN DE RIESGO INHERENTE GRÁFICO 36 : CONSTRUCCIÓN DEL PERFIL DE RIESGOS INHERENTES GRÁFICO 37: PASOS PARA LA CALIFICACIÓN DE CONTROLES GRÁFICO 38 : EVALUACIÓN DE LA SOLIDEZ DEL CONTROL GRÁFICO 39 : CONTROL DE LA CALIFICACIÓN DE LA SOLIDEZ INDIVIDUAL DEL CONTROL GRÁFICO 40 : PERFIL DE RIESGOS RESIDUALES GRÁFICO 41 : PRIORIZACIÓN DE LOS RIESGOS GRÁFICO 42 : ACCIONES A SEGUIR GRÁFICO 43 : COSTO DE LAS MEDIDAS DE MITIGACIÓN DE RIESGOS de

5 GRÁFICO 44 : RELACIÓN DE LOS PLANES DE ACCIÓN GRÁFICO 45 : CANTIDAD DE RIESGOS SEGÚN SU CALIFICACIÓN GRÁFICO 46 : CANTIDAD DE RIESGOS SEGÚN CALIFICACIÓN GRÁFICO 47 : PORCENTAJE DE RIESGOS SEGÚN CALIFICACIÓN GRÁFICO 48 : FORMATO PLAN DE ACCIÓN VS PROCESO ASOCIADO GRÁFICO 49 : FORMATO INDICADORES DE RIESGO GRÁFICO 50 : EJEMPLO DE INDICADORES DE DESEMPEÑO, CONTROL Y RIESGO GRÁFICO 51 : ALERTA TIPO SEMÁFORO GRÁFICO 52 : ESQUEMA DE AUTOCONTROL GRÁFICO 53 : CONCEPTO DE AUTO EVALUACIÓN GRÁFICO 54 : RELACIÓN SISTEMA DE ADMINISTRACIÓN DE RIESGOS Y ESQUEMA DE AUTOCONTROL GRÁFICO 56: ACTIVIDADES A DESARROLLAR EN AUTOCONTROL GRÁFICO 57: CICLO DEL ESQUEMA DE AUTOCONTROL Listado de Tablas TABLA 1 : ESTRUCTURA DOCUMENTAL TABLA 2 : CATEGORÍAS DE LOS RIESGOS... ERROR! MARCADOR NO DEFINIDO. TABLA 3 : NIVEL 1 Y NIVEL 2 DE LAS CATEGORÍAS DE RIESGOS... TABLA 4 : DESCRIPCIÓN DE LOS CAMPOS DE LA MATRIZ (CALIFICACIÓN DE RIESGOS) TABLA 5 : DESCRIPCIÓN DE LOS CAMPOS DE LA MATRIZ (IDENTIFICACIÓN DE CONTROLES) TABLA 6 : MATRIZ DE CONTROLES TABLA 7 : DESCRIPCIÓN DE LOS CAMPOS DE LA MATRIZ (CALIFICACIÓN DEL DISEÑO DEL CONTROL).. 62 TABLA 8: DESCRIPCIÓN DE LOS CAMPOS DE LA MATRIZ (EJECUCIÓN DEL CONTROL) TABLA 9 : IMPORTANCIA DEL CONTROL EN FUNCIÓN DEL RIESGO QUE MITIGA TABLA 10 : DESCRIPCIÓN DE LOS CAMPOS DE LA MATRIZ (SOLIDEZ DEL CONJUNTO DE CONTROLES de

6 1. Introducción Ninguna organización es inmune al riesgo. Es más, los riesgos de negocios de cada organización cambian constantemente. La naturaleza de los riesgos y las consecuencias potenciales de los mismos, que enfrentan las organizaciones son cada vez más complejas y sustanciales. La rapidez del cambio, la creciente complejidad de la economía mundial, las expectativas más exigentes de los clientes, la intensidad de los competidores, el impacto dramático de una falla en los controles, los rápidos cambios en las tecnologías y un sinnúmero de otros factores, afectan a las organizaciones de manera tal que en muchas ocasiones su capacidad de reacción no es la más oportuna y su estructura organizacional no se encuentra preparada. Ninguna organización puede eliminar completamente los riesgos de negocios. Esto es un hecho inherente a la realidad de las empresas. La Alta Dirección de Solsalud E. P. S. decide qué nivel de riesgo es aceptable y crea una estructura de control que lo mantenga dentro de los límites apropiados. En la administración de riesgos de los negocios, la clave es el equilibrio eficaz entre el riesgo y el control. Teniendo en cuenta la descripción anterior, es indispensable la creación e implementación de un Sistema de Administración de Riesgo (SAR) que le permita a la Entidad gestionar sus procesos, identificando y administrando sus riesgos y así mismo, fortaleciendo el Sistema de Control Interno. La Administración de Riesgos es un proceso sistemático, que hace parte integral de las buenas prácticas gerenciales y posibilita una mejora continua en el proceso de toma de decisiones. SOLSALUD EPS S.A., como estrategia corporativa y acatando lo establecido por la norma vigente, Resolución 1740/08 del Ministerio de la Protección Social, presenta a continuación el Manual del Sistema de Administración de Riesgos. 6 de

7 2. Definición de Términos - Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado. - Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo. - Factores de Riesgo: Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas por riesgo. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. - Fraude Externo: Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes. - Fraude Interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad. - Mapa de Riesgos: Matriz de dos ejes donde se representan los riesgos a los que se encuentra expuesta la organización. En el eje Y se muestra la probabilidad de ocurrencia del riesgo y en el eje X el impacto que este generaría en caso de materializarse. - Pérdida: Cuantificación económica de la ocurrencia de un evento de riesgo, así como los gastos derivados de su atención. - Perfil de Riesgo: Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad. - Plan de Contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. - Plan de Continuidad del Negocio: Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción. - Políticas de Administración de Riesgos: Son los lineamientos generales organizacionales de la administración de riesgos que permite estructurar los criterios orientadores en la toma de decisiones respecto al tratamiento de los riesgos y sus efectos, al interior de la entidad. 7 de

8 - Riesgo Inherente: Nivel de riesgo propio de la actividad de la entidad, sin tener en cuenta el efecto de los controles. - Riesgo: Se entiende por Riesgo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores. - Riesgo Legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones. - Riesgo Reputacional: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. - Riesgo residual: Nivel resultante del riesgo después de aplicar los controles. 3. Objetivos del Manual El presente Manual tiene por objeto describir los elementos que conforman el Sistema de Administración de Riesgos (SAR) de SOLSALUD EPS S.A. frente a: - Las directrices sobre las cuales se fundamenta el Sistema de Administración de Riesgos (SAR) de SOLSALUD EPS S.A. - Los elementos que componen el SAR. - Los criterios requeridos para desarrollar el SAR. - Las áreas de análisis y los riesgos a considerar en la aplicación del Sistema - Los roles y responsabilidades de las diferentes áreas y asociados de SOLSALUD EPS S.A. frente al SAR. - La metodología de identificación, medición, control de los riesgos a los que se encuentra expuesta la Entidad en las diferentes áreas de análisis. - El monitoreo del perfil de riesgos en Salud y demás riesgos a los que SOLSALUD EPS S.A. se encuentra expuesto. 8 de

9 4. Alcance del Manual Las políticas, normas y procedimientos descritos en este manual serán conocidos y aplicados por todas las oficinas o sedes de la Entidad y para todas las áreas de la salud, operativas, generales del negocio y financieras de SOLSALUD EPS S.A. 5. Objetivos 5.1. Objetivo General del Sistema de Administración de Riesgos (SAR) El Sistema de Administración de Riesgos tiene como objetivo la identificación, evaluación, medición y aplicación de mecanismos de mitigación y monitoreo de los riesgos que puedan afectar de manera negativa los objetivos de SOLSALUD EPS, que puedan generar perdidas económicas a la Organización o que afecten el bienestar de los agentes económicos relacionados con: - Garantizar el mejor manejo de los recursos. - Identificar y monitorear los riesgos significativos. - Establecer los límites de riesgo para cada riesgo, con el fin de reflejar el nivel aceptable de riesgo, las competencias y los recursos necesarios. - Limitar las pérdidas en la empresa, a los niveles aceptables de riesgo. - Conocer las obligaciones contractuales y legales Objetivos Específicos del SAR - Lograr un sistema de administración de riesgos sostenible a través de la autogestión (compromiso y participación de cada uno de los asociados de la compañía). - Fortalecer el entendimiento y control de los riesgos en las áreas de la salud, operativas, generales del negocio y financiera, para garantizar el cumplimiento de los objetivos planteados desde la misión, visión y estrategia de la compañía. - Integrar la administración de riesgos como base para la gestión de todos los procesos y proyectos de la compañía y administrar efectivamente los riesgos derivados de la operación del Sistema de Calidad de SOLSALUD EPS, que permita permanentemente monitorear deficiencias, fallas o inadecuaciones en el talento humano, procesos, tecnología, infraestructura; incumplimientos legales, regulatorios y reputacionales; evitando la probabilidad de pérdida por la no administración de los mismos. - Alinearse con los requerimientos de la normatividad vigente, del Plan Nacional de Salud y los planes territoriales. 9 de

10 - Reducir errores y optimizar procesos de acuerdo con la evaluación de los riesgos y la identificación de oportunidades de mejoramiento. - Desarrollar un lenguaje uniforme y una cultura de gestión para la identificación y manejo de riesgos Factores que Motivan la Administración del Riesgo En la siguiente gráfica se describen los factores por los cuales se requiere administrar el riesgo. Estos factores pueden ser internos o externos a la entidad: Internos Permite la mejora constante de los Procesos Optimiza la asignación de recursos Mejor preparación para eventos catastróficos Reducción de las pérdidas Incremento del valor del accionista Aumenta la eficiencia operativa: Reducción (Control) del costo de operaciones Aumento de la rentabilidad a través de la reducción de los eventos de pérdida Optimización del sistema de controles Gráfico 1 : Factores internos que motivan la administración de riesgos Externos Marco regulatorio sobre administración de Riesgos La cultura de administración de riesgos mejora la imagen y soporta la gestión de calidad total en el servicio Relaciones con proveedores más productivas Valoración de la gestión de riesgos por parte de los clientes Presión competitiva Capacidad de adaptación ante la introducción de nuevos productos y/o servicios en mercados más competitivos. Gráfico 2: Factores externos que motivan la administración de riesgos 10 de

11 6. Enfoque para la Implementación del SAR El Sistema de Administración de Riesgos (SAR) en SOLSALUD EPS se fundamenta en los siguientes tres pilares: 6.1. Definición Estratégica del SAR: Elementos que componen el sistema Despliegue Metodológico del SAR: Corresponde a los pasos requeridos para la Identificación, Evaluación, Medición, Administración y monitoreo de los riesgos; y 6.3. Esquema de Autocontrol: Corresponde a los pasos requeridos para asegurar que los riesgos están siendo controlados. Pilar Estratégico Objetivos y Políticas Mapa de Procesos e integración terceros Estructura Organizacional Órganos de Control Difusión y Divulgación de Información Registro de eventos Plataforma tecnológica Capacitación Factores de Riesgo Metodología Pilar Metodológicos Procesos Recurso Humano Tecnología Eventos Externos Infraestructura Comunicar y Consultar Definir criterios Identificar riesgos Analizar riesgos Evaluar riesgos Mitigar riesgos Monitorear y Revisar Control y Autocontrol Documentación soporte para la operación efectiva del Sistema Modelo de Sostenibilidad Esquema de Autocontrol Procedimientos para adoptar medidas por el incumplimiento del Sistema Gráfico 3 : Enfoque para la Implementación del SAR. 7. Pilar Estratégico para la Implementación del SAR La definición estratégica del SAR profundiza en cada uno de los elementos que componen el Sistema de Administración de Riesgos, los cuales relacionamos a continuación: Pilar Estratégico Objetivos y Políticas Mapa de Procesos e integración terceros Estructura Organizacional Órganos de Control Difusión y Divulgación de Información Registro de eventos Plataforma tecnológica Capacitación 11 de

12 7.1. Objetivos y Políticas Las políticas son las directrices y guías al interior de SOLSALUD EPS, necesarias para garantizar la adecuada administración y desarrollo del Sistema de Administración de Riesgos SAR. Las políticas son de dos clases: CLASES DE POLÍTICAS DE DIRECCIÓN ADMINISTRACIÓN Y EJECUCIÓN Gráfico 4 : Clases de Políticas Políticas de Direccionamiento Son la declaración de la importancia general de la administración del riesgo al interior de SOLSALUD EPS, roles y responsabilidades relacionados con el SAR, y cuál es el ámbito de aplicación y las restricciones. a. Todos los funcionarios de SOLSALUD EPS son responsables de la aplicación de Sistema de Administración del Riesgos, como parte integral de las actividades que desempeñan. b. La Junta Directiva y la Gerencia General están comprometidos y reconocen en la administración de los riesgos una herramienta para fortalecer la gestión de nuestros procesos, personas, infraestructura, tecnología y eventos externos. c. La Junta Directiva y la Gerencia General, son los encargados de velar por el cumplimiento de la metodología de Administración de Riesgos. d. La Gerencia General es la responsable de priorizar los riesgos que, de acuerdo con su probabilidad de ocurrencia e impacto, tengan mayor incidencia en el logro de los objetivos corporativos. e. La Gerencia General es la encargada de implementar y administrar el Sistema de Administración de Riesgos SAR. f. La administración de los procesos de SOLSALUD EPS debe estar enfocada en la administración de riesgos; su tratamiento y mitigación para lograr los objetivos corporativos. 12 de

13 g. La Administración de Riesgos se enfoca en cada uno de los procesos que componen la cadena de valor de SOLSALUD EPS. h. La Información originada en la identificación de riesgos y estrategias de mitigación es de carácter confidencial SOLSALUD EPS i. Cada uno de los Líderes de Proceso debe identificar los riesgos y fallas que afectan la continuidad de su proceso y generar los planes de contingencia requeridos que incluyan prevención y atención de emergencias, administración de la crisis y capacidad de retorno a la operación normal Políticas de Administración y Ejecución Estas políticas se constituyen como la declaración detallada al interior de SOLSALUD EPS de la manera en que debe ser implementado el SAR. y cómo se distribuyen las responsabilidades en cada uno de los funcionarios de la EPS. a. SOLSALUD EPS cuenta con una estructura para la administración de riesgos, con roles y responsabilidades definidas, que permiten mantener la independencia entre las diferentes áreas involucradas. b. Los criterios de evaluación de riesgos están definidos de acuerdo con el nivel de tolerancia al riesgo de SOLSALUD EPS y son aprobados por la Gerencia General y la Junta Directiva. c. Los riesgos inherentes (sin controles) y residuales (con controles) se califican de acuerdo con los criterios de evaluación validados con la Gerencia General y aprobados por la Junta Directiva. d. Los riesgos identificados son medidos en términos económicos, dependiendo de su valoración financiera y/o de forma cualitativa, y conforme a esta evaluación se determinan medidas de tratamiento y mitigación. e. La metodología del Sistema de Administración de Riesgos SAR que debe ser seguida por todos los funcionarios de SOLSALUD EPS está debidamente documentada y disponible para la consulta de todos los funcionarios. f. SOLSALUD EPS cuenta con los canales de comunicación para reportar los riesgos y facilitar la toma de decisiones de forma oportuna Estructura Organizacional El Sistema de Administración de Riesgos se encuentra soportado por una estructura organizacional sólida, con roles y responsabilidades claramente definidos, documentados, divulgados y comprendidos al interior de SOLSALUD EPS. Está estructura se ha definido teniendo en cuenta los siguientes aspectos: - Liderazgo de la Junta Directiva y la Gerencia General de SOLSALUD EPS: Su rol es fundamental ya que son los aprobadores de los criterios de calificación de los riesgos, políticas y directrices en las que debe ser construido el SAR. 13 de

14 - Independencia entre áreas: Las Gerencias y diferentes áreas que generan riesgos, son independientes del área que administra, controla y monitorea el Sistema de Administración de Riesgos - Compromiso de todos los funcionarios de SOLSALUD EPS: A través de los líderes de proceso, SOLSALUD EPS cuenta con personas en las diferentes áreas de la Compañía como responsables por mantener un conocimiento actualizado del(os) proceso(s) a su cargo, actualización de los mapas de riesgos, apoyo en la capacitación de riesgos y registro de los eventos de pérdida presentados Estructura Organizacional del SAR. La descripción de la estructura organizacional se desarrolla de la siguiente forma: - Estructura y ubicación de las funciones inherentes al Sistema de Administración de Riesgos al interior de SOLSALUD EPS. - Definición de las actividades relacionadas con la Dirección Nacional de Calidad, la Dirección de Planeación y la Oficina de Control Interno - Definición de las actividades de los Organismos Colegiados para la administración estratégica del SAR. - Definición de los Líderes de Proceso. Sin perjuicio de la Estructura Organizacional definida a continuación, toda la organización es responsable del Sistema de Administración del Riesgos SAR. SOLSALUD EPS ha definido la siguiente estructura para la administración del riesgo: ASAMBLEA GENERAL Revisoría Fiscal JUNTA DIRECTIVA GERENCIA GENERAL Órganos de Dirección DIRECCIÓN NACIONAL DE PLANEACIÓN Y DESARROLLO ORGANIZACIONAL SECRETARIA GENERAL Y JURIDICA Órgano de Administración DIRECCIÓN NACIONAL DE CALIDAD CONTROL INTERNO Órgano de Control DIRECCIÓN NACIONAL DEL SIAU DIRECCIÓN NACIONAL DE INFORMÁTICA GERENCIA NACIONAL COMERCIAL GERENCIA NACIONAL OPERATIVA GERENCIA NACIONAL DE SERVICIOS DE SALUD GERENCIA NACIONAL ADMINISTRATVA GERENCIA NACIONAL FINANCIERA GERENCIAS REGIONALES Y/O DEPARTAMENTALES 14 de COORDINACIONES MUNICIPALES Gráfico 5 : Estructura del SAR

15 Gráfico 6 : Actividades de Integración con el SAR. 15 de

16 Gráfico 7: Estructura Organizacional vs. Etapas del SAR A continuación se relacionan las funciones y responsabilidades de los participantes de la estructura organizacional: Junta Directiva Son responsabilidades de la Junta Directiva de SOLSALUD EPS: - Aprobar el sistema de administración de riesgos del Sistema General de Seguridad Social en Salud. - Establecer las políticas generales del Sistema de Administración de Riesgos. - Hacer seguimiento y pronunciarse sobre el perfil de riesgo de la organización. - Aprobar el diseño, plan de implementación y manual del Sistema de Administración de Riesgos y sus actualizaciones. - Aprobar los planes de contingencia y de continuidad del negocio presentados por el representante legal de la entidad. - Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente, el Sistema de Administración de Riesgos Gerente General Representante Legal Sin perjuicio de las funciones asignadas en otras instancias, para la administración del SAR, se definen las siguientes funciones a cargo de la Gerencia General de SOLSALUD EPS: - Diseñar y someter a aprobación de la Junta Directiva el Sistema de Administración de Riesgos y sus actualizaciones. - Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva en relación con el Sistema de Administración de Riesgos. - Adelantar un seguimiento permanente de la aplicación del Sistema de Administración de Riesgos, incluyendo los aspectos de cultura organizacional requeridos para su buen desarrollo. - Designar el área, cargo o comité que actuará como responsable de la implementación y seguimiento del SAR, asegurando la idoneidad técnica del recurso humano asignado. - Adoptar las medidas relativas al perfil de riesgo, en concordancia con las políticas y lineamientos definidos por la Junta Directiva. - Velar por la correcta aplicación de los controles del riesgo, identificado y medido. - Presentar un informe periódico, como mínimo de forma semestral, a la Junta Directiva sobre la evolución y aspectos relevantes del SAR, incluyendo, entre otros, el nivel de riesgos de la entidad, las acciones preventivas y correctivas implementadas o por implementar y el área responsable. - Establecer un procedimiento para construir las bases de datos necesarios para la gestión de riesgos en los términos previstos en la Resolución 1740 de de

17 - Diseñar e implementar programas de capacitación y actualización sobre el Sistema de Administración de Riesgos para su aplicación en toda la Organización, garantizando que los funcionarios desarrollen las competencias necesarias para administrar los riesgos de su operación. - Establecer la estructura organizacional de los Líderes de Proceso a fin de apoyar el trabajo del SAR - Definir los instrumentos, metodologías y procedimientos que permitan a la entidad administrar efectivamente sus riesgos Gerentes Nacionales de Área, Gerentes Regionales, Departamentales y Directores Nacionales de Staff Los Gerentes Nacionales de Área, Gerentes Regionales/Departamentales, Secretaria General y Jurídica, Director Nacional de Informática, Director Nacional del SIAU y Director Nacional de Cartera de SOLSALUD EPS S.A., serán los responsables de implementar y operar con el talento humano de su área, el Sistema de Administración de Riesgos. Las funciones establecidas son: - Definir los instrumentos, metodologías y procedimientos tendientes a que la entidad administre efectivamente sus riesgos. - Desarrollar e implementar el sistema de reportes, internos y externos, de los riesgos de la entidad. - Diseñar, construir y mantener las bases de datos relacionadas con la medición y evaluación del SAR - Evaluar la efectividad de las medidas de control potenciales y ejecutadas para los riesgos identificados - Establecer y monitorear el perfil de riesgo de la entidad e informarlo al representante legal. - Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con el SAR y proponer sus correspondientes actualizaciones y modificaciones. - Desarrollar los modelos de medición de riesgos de la entidad - Diseñar e implementar los programas de capacitación de la entidad relacionados con el SAR - Realizar el seguimiento a las medidas adoptadas para mitigar el riesgo, con el propósito de evaluar la eficacia y la efectividad - Liderar el desarrollo, implementación, actualización y seguimiento permanente de las etapas y elementos constitutivos del Sistema de Administración del Riesgos. - Reportar trimestralmente al Representante Legal Gerencia General- y Dirección Nacional de Calidad, la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos establecidos por la Gerencia General. - Velar porque se implementen los procedimientos para la adecuada administración de los riesgos a los que se ve expuesto SOLSALUD EPS en el desarrollo de su actividad. 17 de

18 Líderes de Proceso Es de anotar que todos los funcionarios son responsables de implementar las medidas de control definidas por SOLSALUD EPS para mitigar o evitar la ocurrencia de pérdidas derivados de los riesgos identificados en los procesos en los cuales participan. Dentro de las funciones a cargo de los Líderes de proceso se encuentran: - Participar en el proceso de identificación, medición y control de riesgos relacionados con los procesos que lideran. - Evaluar la ejecución del control en su proceso y retroalimentar al área de Calidad para que sea actualizado el inventario de controles. - Aplicación de la metodología del SAR cuando un nuevo proyecto, producto o servicio se elabore se modifiquen los procesos o se cambien los controles. - Administrar los mapas de riesgos y las matrices de riesgos y controles perfil de riesgo residual de los procesos a su cargo y riesgos consolidados en los procesos. - Realizar seguimiento periódico a los riesgos identificados en el mapa de riesgos, identificando si estos corresponden a la situación real de SOLSALUD EPS y los eventos que generen su actualización. - Velar por la correcta aplicación de los controles asociados al riesgo inherente, identificado y medido. - Conocer y monitorear los indicadores de riesgo asociados a los Procesos. - Verificar la ejecución de los planes de tratamiento de riesgos y la identificación de oportunidades de mejoramiento de los controles existentes. - Brindar asesoría y servir de capacitador al área a la que pertenece con respecto a la metodología del SAR - Retroalimentar a la Dirección Nacional de Calidad en cuanto al mejoramiento continuo de la administración de los riesgos en cada uno de sus procesos. - Coordinar y realizar la recolección de la información para alimentar el registro de eventos de riesgos. - Custodiar la documentación soporte del SAR a su cargo. - Revisar periódicamente la caracterización de los procesos y solicitar las actualizaciones requeridas Oficina de Control Interno - Efectuar de forma periódica la evaluación del SAR con el fin de determinar sus debilidades e informarlas a los órganos competentes. - Ser independiente de la función de administración de riesgos. - Evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas de SAR para determinar las deficiencias y sus posibles soluciones. 18 de

19 Direcciones Nacionales de Calidad y Planeación Las Direcciones Nacionales de Calidad y Planeación son las responsables del Control Estratégico del Sistema de Administración de Riesgos, son responsabilidades de estas direcciones: - Efectuar periódicamente una evaluación del Sistema de Administración de Riesgos, con el fin de determinar sus debilidades e informarlas a los órganos competentes. - No serán responsables de la administración y operación de los riesgos de la entidad. * Para desarrollar las funciones anteriores, específicamente cada área realizará las siguientes funciones: Dirección Nacional de Planeación: Efectuar periódicamente una evaluación de los riesgos generales del negocio, de mercado y de crédito: riesgo estratégico, riesgo de crédito, riesgo de mercado, riesgo de liquidez; para lo cual coordinará con las áreas responsables de implementar y operar la administración de los riesgos, los mecanismos, metodología y/o instrumentos de reporte. Dirección Nacional de Calidad: Efectuar periódicamente una evaluación de los riesgos en salud: riesgo de concentración y hechos catastróficos, riesgos de incrementos inesperados en los índices de morbilidad y de los costos de atención, riesgos de cambios permanentes en las condiciones de salud o cambios tecnológicos, riesgo de insuficiencia de reservas técnicas, riesgo de comportamiento; Así mismo evaluará periódicamente los riesgos: riesgo operativo, riesgo legal y regulatorio, riesgo reputacional; para lo cual coordinará con las áreas responsables de implementar y operar la administración de los riesgos, los mecanismos, metodología y/o instrumentos de reporte. * Realizarán conjuntamente las siguientes funciones: - Analizar integralmente de forma periódica la totalidad de los riesgos que hacen parte del Sistema de Administración de Riesgos de la Organización, consolidando Informe Ejecutivo para Gerencia General. - Servir como catalizadoras para la coordinación y armonización de las decisiones relacionadas con la gestión de riesgos, esto bajo el liderazgo directo de la Gerencia General. 19 de

20 Organismos Colegiados para la administración estratégica del Sistema de Administración de Riesgos SOLSALUD EPS S.A., cuenta con el Comité de Riesgo de Salud (CRS) y el Grupo Primario de Gerencia General, a través de los cuales se analizan los resultados de la gestión de riesgos asociados a los riesgos en salud, de negocio, operativos y financieros, respectivamente. Estos Comités tienen las siguientes funciones: Validar la evolución del Sistema de Administración de Riesgos madurez del sistemay cumplimiento de las políticas y procedimientos del sistema. Recomendar a la Gerencia General el nivel de tolerancia al riesgo que están dispuestos a asumir. Conocer el perfil de riesgo por proceso de la Entidad y determinar nuevas medidas de tratamiento o mitigación de los riesgos. Evaluar la efectividad de las medidas de control utilizadas para mitigar los riesgos residuales. Evaluar y validar los planes de contingencia y plan de continuidad del negocio. Evaluar la efectividad de los planes de contingencia y el Plan de Continuidad del Negocio Estructura Documental A continuación se describe la estructura documental que soporta el Sistema de Administración de Riesgos SAR-: - Documento: Nombre del documento que ayuda a soportar el sistema de administración de riesgos. - Objetivo: Descripción de documento con la razón de ser e importancia. - Elaboración: Área o nombre del cargo con la responsabilidad de elaborar o actualizar el documento. - Aprobación: Área al interior de SOLSALUD EPS que debe revisar, validar y aprobar el documento antes de su divulgación. - Destino: Áreas y talento humano interesados en recibir, conocer y custodiar el documento. Documento Manual del Sistema de Administración de Riesgos Objetivo del documento - Establecer la estructura Organizacional, lineamientos (políticas) y metodologías para gestionar los riesgos a los que se encuentra expuesta la Organización. Elaboració n Dirección Nacional de Calidad Aprobación Gerencia General / Junta Directiva Destino Organismos Colegiados/ Oficina de Control Interno / Gerencias Nacionales, Regionales, Departamentales, Direcciones Staff / 20 de

21 Documento Objetivo del documento Elaboració n Aprobación Destino Líderes de Procesos Caracterización de macroprocesos y procesos - Asegurar el entendimiento del proceso a un nivel de detalle razonable para realizar el ejercicio de identificación y evaluación de riesgos y controles. Gerencias, Directores Staff / Líderes de Proceso Gerencia General/Dirección Nacional de Calidad Oficina de Control Interno / Dirección Nacional de Calidad / Líderes de Procesos Documento Objetivo del documento Elaboración Aprobación Destino Matriz de Riesgos y Controles - Evaluación de los riesgos brutos/inherentes Mapa de riesgos inherentes Matriz de Riesgos y Controles - Inventario y calificación de controles Mapa de Riesgos Residuales Matriz de Riesgos y Controles - Estrategias de mitigación - Documentar las fallas y riesgos que pueden afectar el cumplimiento del objetivo del proceso. - Calificar la probabilidad y el impacto de materializarse el riesgo sin controles. - Presentar gráficamente en el proceso analizado, la magnitud del impacto y probabilidad de ocurrencia de los riesgos sin controles asociados. - Documentar el objetivo y componentes de los controles existentes al interior de SOLSALUD EPS - Calificar la probabilidad y el impacto de materializarse el riesgo después de controles - Presentar gráficamente en el proceso analizado, la magnitud del impacto y probabilidad de ocurrencia de los riesgos después de controles. - Definir y priorizar el plan de acción que permita mitigar el riesgo. Los planes de acción son: Reducir la probabilidad, reducir el impacto, transferir, aceptar o evitar el riesgo. Gerencias, Direcciones Staff / Líderes de Procesos Gerencias, Direcciones Staff / Líderes de Procesos Gerencias, Direcciones Staff / Líderes de Procesos Gerencias, Direcciones Staff / Líderes de Procesos Gerencias, Direcciones Staff / Líderes de Procesos Gerencia General/Dirección Nacional de Calidad Gerencia General/Dirección Nacional de Calidad Gerencia General/Dirección Nacional de Calidad Gerencia General/Dirección Nacional de Calidad Gerencia General/Dirección Nacional de Calidad Organismos Colegiados / Oficina de Control Interno / Gerencias, Direcciones Staff / Líderes de Procesos Organismos Colegiados / Oficina de Control Interno / Gerencias, Direcciones Staff / Líderes de Procesos Organismos Colegiados / Oficina de Control Interno / Gerencias, Direcciones Staff / Líderes de Procesos Organismos Colegiados / Oficina de Control Interno / Gerencias, Direcciones Staff / Líderes de Procesos Organismos Colegiados / Oficina de Control Interno / Gerencias, Direcciones Staff / Líderes de Procesos 21 de

22 Documento Objetivo del documento Elaboración Aprobación Destino Reporte de novedades del SAR * Conocer las situaciones identificadas por los líderes de proceso / gestores de riesgo en las cuales se pueda presentar: - Inaplicabilidad de los criterios de evaluación. - Incumplimientos frente a compromisos establecidos. - Materialización de riesgos. - Cambios en la exposición a riesgos identificados y/o en los perfiles de riesgo de los procesos. Líderes de Procesos Gerencias Nacionales, Regionales, Departamentales/ Direcciones Staff Gerencia General/ Oficina Control Interno / Dirección Nacional de Calidad Documento Objetivo del documento Elaboración Aprobación Destino Actas de Junta Directiva Informes de Control Interno Reporte de eventos de pérdida. Reporte de registros en la base datos de eventos de pérdida. Registro de cambios y actualizaciones al SAR -Formalizar las determinaciones del Comité Ejecutivo en asuntos referentes al SAR - Reportar el resultado de las investigaciones y trabajos específicos solicitados por la Gerencia General inherentes al SAR - Alimentar la base de datos de eventos de pérdida. - Identificar los riesgos materializados y proponer controles. - Analizar mes a mes la ocurrencia y valor de los diferentes tipos de eventos de pérdida, esto con el fin de generar acciones encaminadas a fortalecer la administración del SAR. - Mantener un control adecuado sobre las condiciones que han generado cambios en la estructura de riesgos de SOLSALUD EPS Junta Directiva Control Interno Líderes de Proceso / Gerencias y Direcciones Staff Dirección Nacional de Calidad Dirección Nacional de Calidad Tabla 1 : Estructura Documental Junta Directiva Gerencia General Gerencia General Gerencia General Gerencia General / Junta Directiva Secretaría General y Jurídica Junta Directiva Gerencia General / Oficina Control Interno/ Dirección de Calidad Gerencia General / Oficina de Control Interno / Junta Directiva Gerencia General / Junta Directiva / Oficina de Control Interno 22 de

23 Pasos para detectar cambios en el SAR que generan la actualización de la Estructura Documental A continuación se describen los pasos a seguir para la detección de cambios y realizar la actualización de los diferentes documentos que componen la estructura documental del Sistema de Administración de Riesgos Identificar posibles actualizaciones al SAR Reportar cambios a las diferentes áreas involucradas Establecer el impacto y la probabilidad de ocurrencia Comunicar a Control Interno los cambios presentados en los controles Documentar el registro de actualizaciones Establecer el nuevo perfil de riesgo Identificar Posibles Actualizaciones al SAR Los Líderes asignados a cada Proceso deben estar alerta sobre las posibles modificaciones que se presenten dentro del proceso del cual son responsables, con el fin de identificar como mínimo los siguientes eventos generadores de actividades de actualización: - Cambios en las operaciones que soportan el proceso. - Nuevos riesgos generados por cambios en las operaciones. - Necesidad de incorporar un nuevo control. - Modificación del diseño de un control establecido. - Disminución o fortalecimiento de la eficacia operativa de un control. - Nuevos productos o servicios que generen cambios en el proceso. - Definición de nuevos procesos, proyectos, productos y/o servicios. - De acuerdo al Cronograma de Actividades establecido para efectuar el monitoreo de los mapas de riesgo de los diferentes procesos, la Oficina de Control Interno valida si el perfil de riesgo se mantiene o se deben reportar variaciones existentes Reportar Cambios a las Diferentes Áreas Involucradas Si se presenta la creación o modificación de un proceso, modificaciones o nuevos productos y/o servicios, la Dirección Nacional de Calidad recibe la información para proceder a la actualización de los procedimientos internos y a su divulgación. Si la información está relacionada con controles, se notifica a la Oficina Control Interno para que incorpore una nueva evaluación en su plan de auditoría y recomiende los controles compensatorios y/o nuevos controles. 23 de

24 Establecer el Impacto y la Probabilidad de Ocurrencia Cuando se realice un cambio en el macroproceso o proceso se deben tener en cuenta los siguientes puntos para establecer el impacto o probabilidad de ocurrencia que el cambio generará en el perfil de riesgo establecido: - Si se debe redefinir el impacto o probabilidad de ocurrencia de un riesgo. - Si para los controles modificados se afecta la solidez del control. - Si se modifica el indicador de riesgo resultante. - Si es necesario realizar una nueva caracterización del proceso. Estos factores inciden directamente sobre el mapa de riesgos del proceso y por ende en su perfil de riesgo Comunicar a la Oficina de Control Interno los cambios presentados en los controles Es responsabilidad de la Dirección Nacional de Calidad comunicar a la Oficina de Control Interno los cambios generados en los diferentes macroprocesos y procesos, con el fin de que la revisión de la eficacia de los nuevos controles sean incluidos en el plan de auditoria y se obtenga la retroalimentación necesaria para actualizar la matriz de riesgos y controles Documentar el Registro de Actualizaciones Es responsabilidad de la Dirección Nacional de Calidad actualizar el formato de registro de cambios y actualizaciones al Sistema de Administración de Riesgos, de los cambios presentados, los responsables y las acciones establecidas con el fin de mantener un control adecuado sobre las condiciones que han generado cambios en la estructura de riesgos de SOLSALUD EPS Establecer el Nuevo Perfil de Riesgos De acuerdo con los cambios identificados se establece el nuevo perfil de riesgo según la probabilidad de ocurrencia y la magnitud del impacto definidos. Así mismo, se actualiza el inventario de controles y el mapa de riesgos residuales Estructura de Comunicaciones Con el fin de apoyar el Sistema de Administración de Riesgos, a continuación se describe el esquema para la difusión y divulgación de los resultados en las distintas etapas del desarrollo de la metodología de administración de riesgos. 24 de

25 El objetivo de la estructura de comunicaciones es describir el proceso continuo del flujo de la información a través de las diferentes áreas de SOLSALUD EPS que contribuye a identificar, medir, evaluar, controlar y monitorear los riesgos. Así mismo, las actividades relacionadas con la actualización y divulgación de la documentación que contiene los elementos del SAR. A continuación se describe: Función de los reportes internos y externos Reportes Internos Reportes Externos Divulgación de información con los reportes internos y externos Flujo de información para identificación, medición, control y monitoreo de riesgos para la evaluación de un proceso que se determina por primera vez (Número 1) Flujo de información para la consolidación de la información de riesgos agrupados por proceso (Número 2) Flujo de información actualización de los perfiles de riesgo Flujo de información para la definición de los criterios de evaluación de riesgos y el Manual de administración de riesgos. (Número 4) Función de los Reportes Internos y Externos Abrir los canales de comunicación al interior de SOLSALUD EPS con la generación de reportes internos y externos permite: - Generar la emisión de reportes que evidencian una gestión activa en la función de administración del riesgo. - Mejorar el funcionamiento de los procesos y procedimientos de SOLSALUD EPS a través del análisis de los reportes relacionados con la gestión en la administración del riesgo. - Contar con información disponible y de manera periódica en el momento que sea requerida Reportes Internos - En ellos se establece de forma individual y consolidada el perfil de riesgo residual de SOLSALUD EPS (periodicidad semestral). - Semestralmente la Dirección Nacional de Calidad elaborará un informe sobre la gestión adelantada en materia de administración de riesgos, que permita conocer el perfil de riesgo de SOLSALUD EPS, el cual debe incluirse en el informe de gestión anual que elabora la Gerencia General. - Divulgación de controles que evidencien la recepción y aceptación oportuna de los informes que deben elaborar los Órganos de Control y presentar ante Comité Ejecutivo. 25 de

26 Reportes Externos: Corresponden a información pública que permita a los clientes, mercado, entes de vigilancia y control, evaluar las estrategias de gestión de riesgos adoptadas por SOLSALUD EPS Divulgación de información con los reportes internos y externos A continuación se describen las actividades llevadas a cabo para realizar una adecuada divulgación de información: 1 Definición, aprobación, formalización y documentación de las políticas y procedimientos relacionados con la emisión y divulgación de información la cual contemple: Responsables (elaborar, revisar y aprobar), periodicidad, información base para elaboración de cada reporte y mantenimiento de evidencia 2 Establecer los niveles de atención a consultas internas y externas que se generen sobre la elaboración de informes y evaluación de resultados 3 Mantener un adecuado registro de las consultas generadas y atendidas, teniendo como base: Fecha, persona y/u Organización, categoría de la consulta, fecha de respuesta y persona que responde 4 Establecer un control que evidencie la entrega oportuna de los informes definidos por cada responsable, al área o persona correspondiente 5 Definir que clase de análisis se realizará a los resultados de cada reporte emitido 6 Definir cuando sea necesario los planes de acción que se deriven del análisis de resultados de los informes emitidos, teniendo en cuenta: resultado del análisis del informe, plan de acción, responsable de la ejecución del plan de acción, fecha de ejecución y seguimiento a la ejecución 7 Comparar cada informe emitido con el informe anterior o anteriores (cuando aplique) y determinar la evolución en cuanto a la gestión efectiva de SOLSALUD EPS y de cada responsable en la administración de riesgos. Gráfico 8 : Pasos para la divulgación de información con los reportes internos y externos Flujo de Información y Protocolos de Comunicación El siguiente esquema representa el flujo de información cuando se evalúa un proceso por primera vez, en este esquema se muestran los responsables, los participantes y la información que se genera: 26 de

27 Control Interno y Calidad Líderes de Proceso Participantes Establecen el el proceso a evaluar Retroalimentación Validación por parte de los lideres del proceso y/o Gerente del área. Plan de trabajo acordado con los Líderes de Procesos (incluye apoyo Metodológico) Caracterización del proceso, identificación y calificación de riesgos, evaluación de controles y determinación del riesgo residual Establecer las oportunidades de mejoramiento, planes de tratamiento e indicadores de riesgos Establecer el el plan de autoevaluación para monitorear el el perfil de riesgo y proceder actualizarlo si si se requiere Retroalimentación Apoyo y validación por parte de la la Dirección Nacional de Calidad. Simultáneamente puede establecer nuevos requerimientos de documentación a nivel de procedimientos y/o definir su plan de trabajo paralelo. La Oficina de Control Interno ejecuta: Definición de nuevos controles y/o controles complementarios. Pruebas de auditoría para los controles requeridos e identificación de oportunidades de mejoramiento a los mismos. Gráfico 9 : Flujo de Información y Protocolos de Comunicación N 1 A continuación se describen los informes / información producto del flujo de información y los participantes del mismo: Líderes de Procesos Calidad y Control Interno Caracterización de procesos Flujos de Procesos Procedimientos de procesos Inventario de riesgos Matriz de Riesgos Mapas de Riesgo Inventario de controles Registro de eventos de pérdida Dirección Nacional de Calidad: Documentación de los requerimientos para nuevos procedimientos fortalecer la la gestión de procesos al al interior de SOLSALUD EPS Plan de trabajo con los Líderes de Proceso Documentación con la la identificación de oportunidades de mejoramiento para las actividades de los procesos, requerimientos tecnológicos y de capacitación en la la metodología de administración de riesgos. Documento con la la recopilación de las causas por las cuales se dieron los eventos de riesgo y definición de planes de acción para actualizar el el perfil de riesgo. Oficina de Control Interno: Documentación de pruebas de controles Oportunidades de mejoramiento de los controles Seguimiento a registro de eventos (evaluar nuevas medidas de tratamiento) Plan de trabajo con los Líderes de Proceso Gráfico 10 : Informes / Información resultado del Flujo de Información No. 1 El siguiente esquema representa el flujo de información cuando se consolida la información procedente de los responsables de la administración del SAR y otros participantes asociados al SAR: 27 de

28 Dirección Nacional de Calidad y Oficina de Control Interno Control Estratégico del S.A.R. Organismos Colegiados Recepción de las matrices de riesgos, inventario de controles y mapas de riesgos inherentes y residuales Consolida los mapas de riesgo por Recepción y validación de los planes de procesos tratamiento e indicadores de riesgo estratégicos, establecidos misionales y de Apoyo Informa mediante resúmenes ejecutivos las actividades realizadas y Recepción de los resultados de las auto los resultados obtenidos a: evaluaciones realizadas por los Gestores de Organismos Colegiados Riesgo Representante Legal Establece las Junta Directiva oportunidades de mejoramiento y Recepción de la la información generada por la la planes de acción Oficina de Control Interno durante sus auditorias a los procesos y a los componentes del SAR Gráfico 11 : Flujos de Información y Protocolos de Comunicación No. 2 A continuación se describen los informes / información producto del flujo de información y los participantes del mismo: Dirección Nal. de Calidad Organismos Colegiados/ Gerencia General Mapas de riesgos consolidados Planes de acción para abordar nuevos productos / servicios / procesos / proyectos que se presentan en SOLSALUD EPS Planes de acción para mejorar el desempeño del SAR Informe ejecutivo para Organismos Colegiados y Gerencia General de acuerdo con los informes descritos anteriormente Validación de los planes de acción presentados por las Direcciones Nacionales de Planeación y Calidad Informe ejecutivo para la Junta Directiva Gráfico 12: Informes / Información producto del Flujo de Información No. 2 El siguiente esquema representa el flujo de información cuando se requiere actualizar el perfil de riesgo de un proceso: 28 de

29 Líderes de Proceso Líderes de Proceso Dirección Nacional de Calidad / Control Interno Informar cambios en los procesos, nuevos proyectos, productos y/o servicios Recepción de información relacionada con cambios en los procesos y generación de nuevos proyectos, productos y/o servicios Conocimiento de los cambios presentados y del plan de trabajo establecido por los Líderes de Proceso Participar en el análisis del impacto de los cambios en el el perfil de riesgo Análisis del impacto de los cambios en el el perfil de riesgo Aplicación de la metodología para los procesos asociados a nuevos productos/servicios Recepción, validación y aprobación de la la información generada: Perfil de Riesgo Matrices de riesgos y controles Mapas de riesgos inherentes y residuales Modificación del perfil de riesgo Resultados de la la aplicación de la la metodología al al nuevo producto Generación de informes de actualización a los Organismos Colegiados Gráfico 13 : Flujo de Información y Protocolo de Comunicación No. 3 Líderes de Procesos Líderes de Proceso Dirección Nacional de Calidad Informes con los cambios en proceso (formalización de los cambios presentados) Para el el caso de un nuevo proyectos, producto y/o servicio y las actualizaciones son: Caracterización de procesos Inventario de Riesgos Inventario de controles Matriz de Riesgos Mapas de Riesgo Para el el caso de actualizaciones por cambios: Matriz de riesgos y controles Mapa de riesgo residual Planes de tratamiento Indicadores de riesgo si si es el el caso Informe con los cambios efectuados y las aprobaciones respectivas. Gráfico 14 : Informes / Información producto del flujo de Información No. 3 El siguiente esquema representa el flujo de información cuando se requiere aprobar los criterios de evaluación de riesgos y la documentación de administración de riesgos: 29 de

30 Direcciones Nacionales de Planeación y Calidad Gerencia General Construcción de los criterios de evaluación de los riesgos Construcción y actualización de documentación del SAR Aprobación de los criterios de evaluación de los riesgos Revisión, validación y aprobación de la la documentación del SAR y sus actualizaciones Documento de criterios de evaluación de riesgos del SAR Actas donde conste la la evidencia de la la aprobación de los documentos Gráfico 15 : Flujo de Información y Protocolo de Comunicación No Desarrollo de la Cultura de Administración de Riesgos El desarrollo de la cultura de administración de riesgos esta relacionada con la continua capacitación a los funcionarios de SOLSALUD EPS, buscando fortalecer y orientar al interior de la compañía de un enfoque en administración de riesgos. 30 de

31 Inicio Retroalimentación y compromiso organizacional Evaluación del desempeño En SAR de los asociados y Reporte a la Gerencia sobre el desempeño organizacional Definición de las políticas de riesgo Cultura Orientación al Riesgo Interiorización de roles y responsabilidades que involucra a toda la compañía Definición de canales y estrategias de comunicación Seguimiento a la interiorización del riesgo Capacitación y concientización Identificación de necesidades de aprendizaje Gráfico 16 : Ciclo de Cultura y Orientación al Riesgo Con el fin de promover la cultura de riesgo, se establece para todos los funcionarios la obligatoriedad de asistencia a las capacitaciones que se realicen sobre el tema Objetivos del Ciclo de Cultura y Orientación al Riesgo Dar a conocer los siguientes aspectos: - La importancia de la administración de riesgos. - Los beneficios de administrar el riesgos en cada uno de los roles desempeñados al interior de SOLSALUD EPS - La responsabilidad de cada miembro de SOLSALUD EPS para lograr el éxito de la puesta en marcha del proceso. - El dinamismo del mercado y la competencia, y su relación con el proceso de administración del riesgo. - El autocontrol y la calidad en la ejecución de los procesos dependen de cada participante de SOLSALUD EPS y no de áreas específicas. 31 de

32 A quiénes debe ir dirigido? Las capacitaciones están dirigidas en primera instancia a los Líderes de Proceso, sin embargo es importante que todos los funcionarios de SOLSALUD EPS se encuentren sensibilizados y capacitados en el Sistema de Administración de Riesgos Qué temas? Principalmente se hará una sensibilización de temas relacionados con riesgos, además de mostrar la cadena de valor en caso de cambios, metodología adoptada para cada uno de los procedimientos relacionados con el SAR y los temas de divulgación de la información, control, autocontrol y registro de eventos Cómo y Cuándo? Las Dirección Nacional de Calidad realizarán una capacitación anual dirigida a todas las áreas y funcionarios de la Compañía. 1 Generadores de la Cultura de Riesgo Orden del Proceso de Capacitación Junta Directiva / Gerente General/ Gerentes Nacionales, Regionales, Departamentales y Directores Staff 2 Motivar a los integrantes de sus áreas en la adopción del SAR y retroalimentar el desarrollo del mismo Líderes de Procesos 3 Lideres y participantes de los procesos y procedimientos Vivir el riesgo día a día, a través de la ejecución de las actividades que permiten desarrollar el Sistema de Administración de Riesgos Gráfico 17 : Orden del Proceso de Capacitación Actividades de Capacitación y Concientización Las siguientes son las actividades a continuar realizando como proceso de capacitación dentro de SOLSALUD EPS: 32 de

33 - Diseñar, programar y coordinar planes de capacitación sobre el SAR., dirigidos a todas las áreas y funcionarios de SOLSALUD EPS, teniendo en cuenta el nivel de interrelación con la función del riesgo. - Aplicar los mecanismos de control que permitan garantizar las siguientes actividades en relación con la capacitación en SAR: - Capacitaciones periódicas a todo el personal, mínimo una vez al año. - Capacitación al personal nuevo que se vincula a SOLSALUD EPS. - Capacitación a los terceros que tienen o generan un vínculo contractual. - Revisión y actualización periódica de la información contenidas en las capacitaciones, mínimo una vez al año. - Aplicar el esquema de evaluación para verificar la efectividad de los programas de capacitación implementados. Estas evaluaciones no constituyen factor de medición del desempeño de las funciones de los asociados. - Aplicar las políticas, su correspondiente procedimiento y responsables en relación con la planeación, ejecución, control y monitoreo de la capacitación en SAR definida para SOLSALUD EPS. - Realizar talleres de capacitación en los cuales se combine la práctica y la teoría. - En las capacitaciones evaluar a los instructores y asistentes para determinar oportunidades de mejora y fortalezas (ver anexo 10.2 Ejemplo de un cuestionario SAR) Medidas por Incumplimiento del SAR En este punto se definen las acciones disciplinarias a seguir en el caso en que se observe incumplimiento por parte de los funcionarios de SOLSALUD EPS en relación con las políticas y procedimientos definidos por la Junta Directiva y la Gerencia General y descritos en el presente Manual Herramientas y Técnicas que Ayudan a Identificar el Incumplimiento del SAR A continuación se describen algunos puntos en los cuales se puede identificar incumplimientos en el SAR: - Incumplimiento en la actualización de la documentación asociada con el sistema de administración de riesgos SAR (mapas de riesgos, matrices de riesgo, inventario de controles, planes de mitigación e indicadores de riesgo). - Fallas en el monitoreo realizado de manera permanente por el Área de Control Interno. - Demora en la oportunidad de realizar las revisiones por parte de la Dirección Nacional de Planeación o Dirección Nacional de Calidad. - Incumplimiento en los compromisos adquiridos para desarrollar los planes de acción para el SAR. - Durante la ejecución del plan de auditoria se pueden evidenciar situaciones de incumplimiento a los compromisos al interior del SAR, así como situaciones de riesgo materializado. Estas situaciones deben ser comunicadas de forma 33 de

34 inmediata al Gerente Nacional, Regional, Departamental, Director Staff, responsable del proceso, y a la Dirección Nacional de Calidad, para determinar las acciones a seguir. Si la situación lo requiere, esta debe ser reportada a la Gerencia General y a la Junta Directiva. - Toda información relacionada con incumplimientos a los compromisos del SAR y la materialización del riesgo es de carácter confidencial. - Cualquier comunicación sobre el SAR deberá ser realizada de acuerdo con los flujos establecidos para divulgación de información al interior del SAR - Todos los funcionarios deben cumplir con las políticas, procedimientos y controles establecidos por SOLSALUD EPS para el desarrollo y ejecución del SAR. - El incumplimiento de las normas, políticas y procedimientos relacionados con SAR será sancionado de acuerdo a lo establecido en el Reglamento Interno de Trabajo. 8. Pilar Metodológico para la Implementación del SAR El despliegue metodológico del Sistema de Administración de Riesgos se realiza a partir de los macroprocesos y/o procesos y procedimientos que componen la cadena de valor de SOLSALUD EPS y finaliza con las actividades de monitoreo de los riesgos identificados. En este capítulo se describen cada uno de los procedimientos para poder identificar, medir, controlar, tratar y monitorear los riesgos a los que SOLSALUD EPS se encuentra expuesto en las áreas de la salud, operativas, generales del negocio y financieras El Sistema de Administración de Riesgos es reconocido como una parte integral de las prácticas líderes de administración gerencial. Es un proceso cíclico compuesto por una serie de pasos que, si se ejecutan en secuencia, permiten la mejora continua en la toma de decisiones. El despliegue metodológico del Sistema de Administración de Riesgos se realiza basado en los siguientes pasos: 8.1. Definición de la Cadena de Valor 8.2. Definición de Criterios de Calificación de Riesgos 8.3. Identificación de Riesgos relacionados con las áreas de salud, operativas, generales del negocio y financieras 8.4. Medición del Riesgos Inherente 8.5. Calificación del Riesgo con controles 8.6. Registro de Eventos de Riesgos 8.7. Identificación de medidas de tratamiento de los riesgos 8.8. Monitoreo de los Riesgos 34 de

35 8.1. Cadena de Valor como base del Sistema de Administración de Riesgos La base de implementación del Sistema de Administración de Riesgos de SOLSALUD EPS, es la estructura de procesos determinada en las Cadenas de Valor de la Compañía, para el régimen contributivo y régimen subsidiado, así: Cadena de Valor Régimen Contributivo: Gráfico 18 : Cadena de Valor de SOLSALUD EPS 35 de

36 Cadena de Valor Régimen Subsidiado: MAPA DE PROCESOS SOLSALUD EPS-S PG. PROCESOS GERENCIALES PLANEACIÓN ESTRATEGICA GESTIÓN DE LA CALIDAD MEJORA CONTINUA PROCESOS DE ASEGURAMIENTO DEL SERVICIO DE SALUD CLIENTE Usuarios, Colaboradores, Accionistas, Organismos de Vigilancia y Control, otros NECESIDADES DE SERVICIOS EN SALUD U S I A U ADMINISTRACIÓN CONTRATACIÓN ENTES TERRITORIALES LIQUIDACIÓN DE CONTRATOS ENTES TERRITORIALES ENTE PLANEACIÓN DE LA PROMOCIÓN DE LA AFILIACIÓN AFILIACIÓN ADMINISTRACIÓN DEL RIESGO Y COSTOS SERVICIOS DE SALUD ADMINISTRACIÓN CONTRATACIÓN RED DE SERVICIOS PLANEACIÓN DE LA PRESTACIÓN SERVICIOS DE SALUD LIQUIDACIÓN CONTRATOS RED DE SERVICIOS ADMINISTRACIÓN DE LA AFILIACIÓN Y REGISTRO 1 CAPACITACIÓN Y DEFENSA DEL USUARIO POSTVENTA 1 AUTORIZACIONES IPS RECAUDO GESTIÓN DE (Facturación) CARTERA ENTE U AUDITORIA CONCURRENTE Y CONCILIACIONES SERVICIOS DE SALUD REVISORIA CUENTAS SERVICIOS DE SALUD Y RECOBROS AUDITORIA CALIDAD SERVICIOS DE SALUD ASEGURAMIENT O DE LOS SERVICIOS EN SALUD IPS PROCESOS SUBCONTRATADOS CLIENTE: Usuarios, Colaboradores, Accionistas, Organismos de Vigilancia y Control, otros PA: PROCESOS DE APOYO GESTIÓN DE PRESUPUESTO GESTIÓN DE TESORERIA GESTIÓN ADMINISTRATIVA GESTIÓN INFORMÁTICA GESTIÓN JURÍDICA GESTIÓN TRANSFERENCIA TECNOLÓGICA GESTIÓN CONTABLE GESTIÓN TALENTO HUMANO GESTIÓN COMUNICACIONES AUDITORIA DE CONTROL INTERNO VERSIÓN: 6 ENERO 2008 U: Usuario IPS: Red de Servicios Contratada Ente: Ente Territorial Los mapas están constituidos por la integración de Procesos Gerenciales, Procesos de Aseguramiento del Servicio de Salud y los Procesos de Apoyo. Procesos Gerenciales: Se refiere a aquellos procesos que proporcionan directrices a los niveles de Procesos de Aseguramiento del Servicio de Salud y de Apoyo, los cuales son ejecutados por la Alta Dirección de la Compañía, para poder cumplir con los objetivos y políticas institucionales. Los procesos gerenciales son Planeación Estratégica, Gestión de la Calidad y mejora Continua, en los cuales se define el Direccionamiento Estratégico, la Generación de Políticas, la Planeación Financiera, la Gestión de Riesgos y la Calidad. 36 de

37 Procesos de Aseguramiento del Servicio de Salud: Son los procesos misionales y/o esenciales para la gestión de SOLSALUD EPS, destinados al aseguramiento de los servicios de salud a la población afiliada al régimen contributivo y régimen subsidiado. Los procesos de aseguramiento del Servicio de Salud para el régimen contributivo y subsidiado, son: Sistema de Información y Atención al Usuario SIAU-, Planeación de la Afiliación, Promoción de la Afiliación, Administración de la afiliación y Registro, Aportes (contributivo), Compensación (contributivo), Liquidación de Contratos Entes Territoriales (subsidiado), Recaudo Facturación- (subsidiado), Gestión de Cartera, Capacitación y Defensa al Usuario, Postventa, Administración del Riesgo y Costos Servicio de Salud, Planeación de la Prestación Servicios en Salud, Administración Contratación Red de Servicios, Liquidación Contratos Red de Servicios, Autorizaciones, Liquidación Prestaciones Económicas (contributivo), Auditoria Concurrente y Conciliaciones Servicios de Salud, Revisoría Cuentas de Servicios de Salud y Recobros; y Auditoria de Calidad Servicios de Salud Procesos de Apoyo: Son aquellos procesos que apoyan a los Procesos Gerenciales y Procesos de Aseguramiento del Servicio de Salud, dando soporte físico, logístico y tecnológico a través de la coordinación y el control de las condiciones de operatividad y funcionamiento de SOLSALUD EPS, la optimización de los recursos y la prestación de servicios legales, contables y financieros a la Organización. Los procesos de apoyo son : Gestión del Presupuesto, Gestión Contable, Gestión de Tesorería, Gestión Talento Humano, Gestión Administrativa, Gestión Comunicaciones, Gestión Informática, Gestión Jurídica, Gestión Transferencia Tecnológica y Auditoría de Control Interno Pasos para la Definición de Criterios de Calificación de Riesgos Para lograr una adecuada aplicación de la metodología de administración de riesgos, es necesario establecer el apetito de riesgo de SOLSALUD EPS a través de la definición de los criterios para la calificación de los riesgos identificados. Los pasos a seguir para la definición de los criterios son los siguientes Criterios Generales Esquema del mapa de riesgos Severidad del riesgo Criterios de probabilidad de ocurrencia y magnitud del impacto Criterios asociados a la calificación de Riesgos Probabilidad de ocurrencia Magnitud de impacto Categorías de Riesgos Categorías de fallas Evaluación de controles (diseño y ejecución) Tratamiento de los riesgos. 37 de

38 Indicadores de riesgo Criterios Generales Esquema del Mapa de Riesgos MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS A continuación se presenta para el esquema del mapa de riesgos los niveles de probabilidad de ocurrencia y magnitud del impacto. - La dimensión del mapa corresponde a niveles de 5 filas por 5 columnas que brindan mayor flexibilidad en la determinación de los riesgos intermedios. - El mapa de riesgos corresponde a una estructura no lineal, para establecer un mayor peso a aquellos eventos en los cuales aunque la probabilidad es baja su impacto al interior para SOLSALUD EPS es crítico. PROBABILIDAD DE OCURRENCIA Muy Alta Alta Moderada Baja Muy Baja Inferior Menor Importante Mayor Crítico IMPACTO Gráfico 19 : Esquema del Mapa de Riesgos Severidad del Riesgo La combinación de la probabilidad de ocurrencia y magnitud del impacto del riesgo, permiten determinar el nivel de riesgo en el proceso conocido como perfil de riesgo: Gráfico 20 : Severidad del Riesgo 38 de

39 Gráfico 21 : Probabilidad vs. Impacto Criterios de Probabilidad de Ocurrencia y Magnitud del Impacto El objetivo es establecer la composición de los criterios de calificación de riesgos en términos de probabilidad de ocurrencia y magnitud del impacto, los cuales serán la guía para la medición de los riesgos identificados y su ubicación dentro del mapa de riesgo de SOLSALUD EPS. Gráfico 22: Eje de Probabilidad de Impacto Los criterios de probabilidad e impacto son las reglas generales que deben ser útiles para la medición y priorización de aquellos riesgos que se puedan presentar en SOLSALUD EPS. Estos criterios permiten delimitar el grado de aversión al riesgo que está dispuesto a asumir la Gerencia General para lograr los objetivos trazados al interior de la Compañía. 39 de

40 Los propósitos de los criterios de probabilidad e impacto son: - Permitir la calificación de los riesgos usando dos variables: la probabilidad de ocurrencia y el impacto que puede generarse si se materializa un riesgo. - Disponer de reglas que permitan la clasificación de los riesgos dentro del mapa de riesgos de forma priorizada, permitiendo así, una planificación de acciones y asignación de recursos de forma orientada y ordenada Criterios asociados al Riesgo Probabilidad de Ocurrencia Es la variable que mide la posibilidad de que un riesgo se materialice. Dado que no en todos los casos se tiene información histórica para su cálculo, se deben establecer las siguientes tres opciones de escala: - Casuística: Escala que determina la probabilidad de ocurrencia de un riesgo basada en datos históricos. (Ej. 3 de 50 casos, 5% de los casos). - Periodicidad: Escala relacionada con la frecuencia con la que un riesgo se materializa en un periodo determinado de tiempo. (Ej.: una vez al mes, una vez cada año) - Probabilidad: Escala asociada a la apreciación sobre la posibilidad de ocurrencia de un riesgo. (Ej.: con certeza, significativamente posible, medianamente posible, ocasionalmente, esporádicamente, remotamente, raramente). Los cinco niveles de probabilidad de ocurrencia ubicados en el mapa de riesgos son: Muy Alta, Alta, Moderada, Baja, Muy Baja. Una vez se han determinado los rangos para cada uno de los niveles, la utilización de las escalas está sujeta a los siguientes puntos: El uso de las escalas es excluyente, esto es, se debe identificar si el riesgo a evaluar tiene datos históricos de ocurrencia (casuística), de no ser así, si se puede determinar su ocurrencia en un periodo de tiempo (periodicidad) o de lo contrario recurrir a la apreciación de la posibilidad de materialización del riesgo (probabilidad). Es necesario precisar que los rangos establecidos para cada una de las escalas no guardan una relación directa, por lo que se sugiere evitar las equivalencias entre ellas. 40 de

41 Magnitud de Impacto MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS Corresponde a la evaluación del efecto y la consecuencia producida al materializarse un riesgo al interior de SOLSALUD EPS. Las variables que son tenidas en cuenta para definir el impacto se encuentran divididas en dos grupos: - Cuantitativos: Aquellos criterios que miden el impacto de los riesgos desde el punto de vista financiero. - Cualitativos: Aquellos criterios que miden el impacto de los riesgos intangibles, que generalmente no son fáciles de medir desde el punto de vista financiero (Ej. La reputación (imagen), temas legales, pérdida de clientes, actividad de la compañía que no permita alcanzar el logro de los objetivos, factores humanos, entre otros.) - Los cinco niveles de impacto cualitativo ubicados en el mapa de riesgos son: Crítico, Mayor, Importante, Menor e Inferior. Tipo de Consecuencia Fallas / Insuficiencias Generan Riesgos Ocasionan Consecuencias / Impacto al interior de SOLSALUD Financiero Operación Reputacional Legal Generadas por: Personas Procesos Tecnología Infraestructura Eventos externos Los impactos se dividen en dos grupos cuantitativos (financieros) y los cualitativos (relativos a las operaciones, reputación, legal, y humano). Los riesgos se evalúan revisando todos los criterios de impacto y seleccionando el de mayor nivel Humano Gráfico 23 : Impacto Criterios de Impacto Cuantitativo. El criterio de impacto financiero es una forma de medir la pérdida por la materialización de un riesgo desde el punto de vista monetario (Ejemplo: Impacto en el patrimonio, pérdida de ingresos, entre otros). * La escala de criterio financiero es definida por la Gerencia General de SOLSALUD EPS quien limita el valor máximo, que está dispuesto a asumir la Organización, si se materializa un riesgo, esto es el apetito de riesgo. 41 de

42 Criterios de Impacto Cualitativo MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS A través de estas escalas cualitativas se busca clasificar el impacto de los riesgos que no es fácil de calcular en términos monetarios o que, a pesar de ser posible hacerlo, requieren para su calificación otros factores diferentes al financiero. Además pueden servir para calificar el impacto de riesgos hacia el largo plazo. Este criterio se utiliza cuando no es fácil medir un riesgo desde el punto de vista financiero. En este punto se deben seleccionar las variables sensibles para la Gerencia General de SOLSALUD EPS y las cuales pueden ser impactadas si se materializa un riesgo independiente del proceso, área, sistema o persona que lo genera. Dentro de las variables que SOLSALUD EPS debe considerar importantes a ser impactadas, se encuentran sus objetivos y metas estratégicas, entre otros: - Clientes y Mercado - Excelencia Operacional - Capital intelectual - Tecnología - Relación entorno Gobierno y Entes Reguladores Con el fin de garantizar un adecuado número de criterios cualitativos se deben contemplar los siguientes aspectos: - Cubrir la preocupación de la Alta Gerencia. - Ser medibles. - Ser generales, lo cual permite que el criterio no se encasille en un proceso específico y se pueda aplicar a cualquier riesgo independiente donde se presente y el factor que lo genere. - No ser una lista extensa. - No se deben repetir. - Un criterio no debe contener otro. - Deben ser redactados de forma sencilla para que con el conocimiento que tienen los líderes de procesos pueda calificar fácilmente un riesgo Categorías de Riesgos Las categorías de riesgos incluidos en este Manual concuerdan con la relación de riesgos descritos en la Resolución 1740 de 2008 del Ministerio de la Protección Social y se agrupan de acuerdo con su naturaleza en las siguientes categorías: 42 de

43 Categoría Riesgos Descripción Administración de Riesgos en Salud Riesgos de Concentración de hechos catastróficos Riesgos de incrementos inesperados de los índices de morbilidad y de los costos de atención Corresponde a la posibilidad de pérdida en que puede incurrir una entidad como consecuencia de una concentración de los riesgos, bien sea por género, franjas de edades, de regiones, de patologías, por la ocurrencia de hechos catastróficos o situaciones similares que afecten un número elevado de afiliados Corresponde a la probabilidad de pérdida en un período contable que se genera como consecuencia de diferencias apreciables entre las condiciones de morbilidad asumidas y las actuales, así como pérdidas derivadas de incrementos inesperados en los costos de atención Administración de Riesgos en Salud Administración del Riesgo Operativo Riesgos de cambios permanentes en las condiciones de salud o cambios tecnológicos Riesgos de Insuficiencia de reservas técnicas Riesgo de Comportamiento Riesgo Operativo Corresponde a la probabilidad de que ocurran cambios permanentes en las condiciones de salud de la población objeto o derivados de la disponibilidad e incorporación al plan de beneficios de nuevas tecnologías, que requieren ajustes en la financiación de este plan de beneficios. Corresponde a la probabilidad de pérdida como consecuencia de una subestimación en el cálculo de las reservas técnicas y otras obligaciones contractuales (servicios autorizados y servicios facturados) Corresponde a los posibles conflictos de interés de individuos o instituciones respecto de los objetivos generales del Sistema General de Seguridad Social en Salud Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura, ya sea por causa endógena o por la ocurrencia de acontecimientos externos. La exposición a este riesgo puede resultar de una deficiencia o ruptura en los controles internos o procesos de control, fallas tecnológicas, errores humanos o deshonestidad, práctica insegura y catástrofes naturales, entre otras causas. 43 de

44 Riesgo Legal y Regulatorio Riesgo Reputacional Contempla la posibilidad de incurrir en pérdidas derivadas del incumplimiento de normas legales, errores u omisiones en la contratación, de la inobservancia de disposiciones reglamentarias, de códigos de conducta o normas éticas. Así mismo, el riesgo legal puede derivarse de situaciones de orden jurídico que afecten la titularidad o disponibilidad de los activos, en detrimento de su valor. El riesgo regulatorio se refiere a los riesgos derivados de los cambios en las normas que rigen la actividad Asociado a la ocurrencia de otros riesgos, éste se refiere a la probabilidad de pérdidas por la disminución de ingreso o aumento de los costos como consecuencia de fallas en la prestación del servicio, noticias adversas derivadas de acciones de mercado o sanciones impuestas por la autoridad, debilidades financieras que minen la confianza de afiliados, clientes o acreedores, entre otros. Categoría Riesgos Descripción Administración de Riesgos Generales del Negocio Riesgo estratégico Riesgo de crédito Riesgo de mercado Riesgo de liquidez Corresponde a la probabilidad de pérdida como consecuencia de la imposibilidad de implementar apropiadamente los planes de negocio, las estrategias, las decisiones de mercado, la asignación de recursos y su incapacidad para adaptarse a los cambios en el entorno de los negocios. Así mismo, se debe analizar el riesgo que emerge de la pérdida de participación en el mercado y/o disminuciones en los ingresos que puedan afectar la situación financiera de la entidad. Es la posibilidad de incurrir en pérdidas por el no pago o pago inoportuno de las obligaciones a cargo de (i) sus aseguradoras (particularmente el caso de enfermedades de alto costo), (ii) de sus afiliados y aportantes, (iii) Anticipos otorgados a prestadores de servicios (contratos por capitación), (iv) riesgo de contraparte de las inversiones, y (v) de retraso en el flujo oportuno de los recursos del sistema, vi) cualquier otra operación que determine una deuda a favor de la entidad. Corresponde a la posibilidad de incurrir en pérdidas derivadas del incremento no esperado en el monto de sus obligaciones con acreedores externos o pérdidas en el valor de los activos a causa de variaciones en las tasas de interés, en la tasa de devaluación, o cualquier otro parámetro de referencia. Está dado por la imposibilidad de adquirir u obtener los fondos necesarios para atender el pago de obligaciones tanto a corto plazo (riesgo inminente) como en el mediano y largo plazo (riesgo latente), bien sea para el pago de los gastos en salud o para el ajuste de reservas y sus inversiones. 44 de

45 Categorías de fallas Los factores de riesgos corresponden a las fuentes generadoras de eventos de riesgo. Cada factor de riesgo tiene numerosos componentes, cualquiera de los cuales puede dar origen a un riesgo. Algunos componentes estarán bajo el control de SOLSALUD EPS, mientras que otros pueden estar fuera de su control. Los factores de riesgo se seleccionan de acuerdo con su pertinencia en el contexto de SOLSALUD EPS. Gráfico 24: Factores de Riesgo Los factores de riesgo se clasifican en internos o externos: * Internos: Los procesos: Actividades para la transformación de elementos de entrada, en productos o servicios para satisfacer una necesidad. Existen factores de riesgo en los procesos cuando hay fallas en: - Definición de políticas y procedimientos. - Estandarización, formalización, actualización y divulgación de procesos. - Definición de objetivos, límite y alcance de los procesos. - Segregación de funciones. - Definición de indicadores de gestión. - Actividades de mejoramiento y su seguimiento. 45 de

46 Las personas: Es el conjunto de personas vinculadas directa o indirectamente (incluye proveedores) con la ejecución de los procesos de SOLSALUD EPS. Existen factores de riesgo en el recurso humano cuando hay fallas tales como: - Falta de personal adecuado. - Negligencia. - Error humano. - Inapropiadas relaciones interpersonales y ambiente laboral desfavorable. - Falta de especificaciones claras en los términos de contratación de personal. La tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de SOLSALUD EPS. Incluye: hardware, software y comunicaciones. Existen factores de riesgo en la tecnología cuando hay fallas relacionadas con: - Operaciones de Tecnología de Información. - Servicios y recursos provistos por terceros. - Administración de la seguridad de información. - Continuidad de las operaciones. - Adquisición, desarrollo e implementación de las aplicaciones. - Infraestructura tecnológica. La infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de SOLSALUD EPS. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. * Externos: Los eventos externos son aquellos asociados a la fuerza de la naturaleza u ocasionados por terceros, que se escapan en cuanto a su causa y origen al control de SOLSALUD EPS. Existen factores de riesgo en eventos externos cuando hay fallas relacionadas entre otras con: - Fallas en los servicios públicos. - Ocurrencia de desastres naturales. - Atentados. - Epidemias. - Otros actos delictivos Evaluación de los Controles En la evaluación de los controles se tienen en cuentan dos criterios: El diseño de los controles y la ejecución de los mismos. Como resultado de la combinación de estos criterios se determina la solidez de control. 46 de

47 Tratamiento de Riesgos MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS Una vez analizados los controles y desarrollado el mapa de riesgos residuales, los criterios para tomar decisiones sobre los planes de tratamiento de los riesgos son: - Los riesgos calificados como Crítico y Altos dentro del cuadrante No.1, serán incluidos dentro de los planes de mitigación. - Los riesgos calificados como Críticos y Altos dentro del cuadrante No.2, serán monitoreados a través de indicadores de riesgo Indicadores de Riesgo Gráfico 25 : Tratamiento de los Riesgos Los indicadores de riesgo son las medidas que permiten al líder del proceso, y al Área de Control Interno monitorear el perfil del proceso. Los indicadores de riesgos se realizan para aquellos riesgos ubicados en el cuadrante No.2 del Mapa de Riesgos Residuales Críticos y Altos Pasos para la identificación de Riesgos Objetivo La metodología empleada para la identificación de riesgos en SOLSALUD EPS incluye: Análisis de la situación de salud (riesgos generales e individuales en salud) Identificación de riesgos operativos, de negocio y financieros en cada uno de los procesos El levantamiento de esta información se resume en las matrices de riesgos. Toda la información para determinar los riesgos (potenciales y ocurridos) se genera en reuniones de trabajo. 47 de

48 Metodología para la realización del análisis de situación de salud Con el propósito de realizar el diagnóstico de salud de la población afiliada, SOLSALUD EPS realiza un análisis de tipo descriptivo que aborda características demográficas, socioeconómicas, indicadores de morbi mortalidad y presencia de factores de riesgo de la población afiliada. Para la realización de este análisis, la compañía ha implementado un proceso de mejoramiento continuo de la calidad de la información que captura a través de las siguientes fuentes primarias: Módulo Declaración de Salud Módulo Gestión de RIPS Modulo de Autorizaciones Formatos de registro según procesos y procedimientos estandarizados para el Sistema de Vigilancia en Salud de la Organización. A su vez, utiliza como fuente secundaria el Sistema de Información que suministra el Instituto Nacional de Salud -SIVIGILA-, con el fin de obtener el registro de los eventos de notificación obligatoria por parte de las Instituciones Prestadoras de Servicios de Salud IPS-. * El procesamiento y análisis de la información se realiza de la siguiente manera: Modulo Declaración de Salud: Consolida información obtenida de los formularios de declaración de salud familiar diligenciados en la afiliación, de los formatos de caracterización territorial (datos obtenidos del DANE) y base de datos de la población afiliada. A través de los formatos de declaración de salud y el módulo que integra toda la información de la población afiliada, se generan reportes referentes a: Distribución por género, por grupos etáreos, por zona y estrato socioeconómico y permite obtener información acerca de factores de riesgo de la población afiliada con el propósito de conocer su estado de salud y canalizarlo a los programas preventivos y de control. Así mismo, a través de los formatos de caracterización territorial que contemplan características básicas de operación de los municipios donde tiene afiliados la Organización, permiten procesar información según los 5 factores que tienen definidos, así: El primer factor corresponde a la información socioeconómica de la población general del municipio. El segundo factor indaga sobre servicios públicos, extensión del territorio y características geográficas. El tercer factor corresponde a las vías de comunicación del 48 de

49 municipio y la disponibilidad de instituciones prestadoras de servicios de salud y los niveles de complejidad que ofertan. El cuarto factor indaga aspectos referentes a la morbi- mortalidad del municipio en el último año y finalmente, el factor No 5 corresponde al riesgo de Solsalud Eps definido por la proporción de personas afiliadas entre 40 y 60 años de edad, y mayores de 60 años, los cuales se consideran grupo de riesgo epidemiológico. Adicionalmente, se tiene en cuenta la población con eventos de siniestralidad como SIDA, cáncer e insuficiencia renal crónica e indicadores básicos como tasa de mortalidad infantil, tasa de natalidad y razón de mortalidad materna. Así mismo se indagan otros aspectos relevantes que permiten identificar el riesgo de operación de la compañía, como el porcentaje de contratación con la red prestadora para la atención de los usuarios en el primer nivel de complejidad, en donde se concentra la mayor frecuencia de uso de los servicios. Lo anterior, con el propósito de integrar los hallazgos a las condiciones de salud de los afiliados e identificar riesgos por municipio de operación e implementar estrategias que permitan realizar ajustes al modelo de atención de los usuarios, para modificar factores que deterioran la calidad de vida de la población. Modulo de Gestión de Registros Individuales de Prestación de Servicios (RIPS) Este modulo carga, valida y procesa la información reportada por la red prestadora de servicios de salud. Consolida los registros de atención de cada afiliado por tipo de servicio independientemente de la modalidad de contratación. El análisis de esta información también se realiza de tipo descriptivo para integrarlo con las características socio demográfico y socioeconómico de los afiliados. El análisis de morbilidad y mortalidad está basado en los Registros Individuales de Prestación de Servicios (RIPS) generados en los procesos de atención a usuarios y cuyo registro electrónico es consolidado por la Dirección Nacional de Epidemiología, de acuerdo con los lineamientos de la Resolución 3374 de Para el análisis de la morbilidad se analizan los registros consolidados correspondientes a los servicios de CONSULTA, HOSPITALIZACION, URGENCIAS Y RECIEN NACIDOS. De cada uno de los servicios se analiza la distribución por grupos de edad, sexo, mes de ocurrencia y departamento, de acuerdo con la Clasificación Internacional de Enfermedades Décima Revisión CIE-X- agrupada según la Clasificación 6/67 propuesta por la Organización Panamericana de la Salud (OPS). Para el análisis de la mortalidad se utiliza los mismos parámetros en los registros de los servicios de HOSPITALIZACION, URGENCIAS Y RECIEN NACIDOS. Modulo de Autorizaciones La información de este módulo se basa en las autorizaciones de servicios de salud expedidas a la red prestadora para la atención de los usuarios en la modalidad de evento. Esta información se revisa y depura con el fin de determinar eventos que no son registrados en los RIPS y hacen parte de la atención de los usuarios. 49 de

50 Sistema de Vigilancia en Salud -SIVIGILA- Esta fuente de información es suministrada por el sistema de información de vigilancia en salud establecido por el Instituto Nacional de Salud, quien retroalimenta a la Dirección Nacional de Epidemiología de SOLSALUD EPS, con periodicidad mensual para identificar los eventos de notificación obligatoria que registra la red prestadora o unidad primaria generadora de datos. Una vez se recepciona la información, se valida con la tabla de usuarios de la compañía, y se depuran los registros. Posteriormente, se compara con la base de datos de los comité de vigilancia en salud pública, en donde se registran los eventos identificados por el equipo de salud de las regionales en visitas de campo a la red de prestadores o notificaciones de estas instituciones, con el fin de obtener una única base de datos de eventos de notificación obligatoria que permite el monitoreo a la red de servicios e implementar medidas correctivas en beneficio de la calidad de atención de los afiliados. Estos hallazgos se integran al análisis de situación de salud de los afiliados. Formatos de registro Sistema de vigilancia en salud De acuerdo con los procesos y procedimientos estandarizados en la Gerencia Nacional de Servicios de Salud, se diseñaron formatos de captura de información que diligencia el equipo de salud de las regionales en visitas de campo a la red de servicios contratada, con el fin de obtener información de la situación de salud de los afiliados, de acuerdo con las atenciones realizadas en los programas preventivos y de control, matrices de programación, consulta externa, urgencias y hospitalización. Teniendo en cuenta las debilidades que se presentan en la calidad de la información obtenida a partir de las diferentes fuentes, la entidad ha implementando planes de acción para disminuir el impacto que esto genera en la elaboración del análisis de situación de salud, entre otros, mencionamos: Capacitación a los asesores comerciales con el propósito de sensibilizar a los afiliados en el reporte de información confiable referente a sus condiciones de salud para canalizarlos a los diferentes programas preventivos y fortalecer la demanda inducida. Diseño Módulo de Gestión de RIPS con dos componentes: capturador y validador de información, el cual fue entregado a la red de prestadores contratada para facilitar la construcción y oportuna presentación de los RIPS, de acuerdo con la estructura definida en las Resolución 3374/2000. Capacitación a los técnicos y profesionales de servicios de salud de acuerdo con los ajustes que se realizan a los formatos de registro que alimentan el Sistema de Información Institucional. 50 de

51 * Modelo de Atención El Modelo de Atención de SOLSALUD EPS, se basa en los lineamientos definidos por el Sistema General de Seguridad Social en Salud y las políticas de la compañía con el propósito principal de intervenir sobre los riesgos en salud de sus afiliados, mediante el trabajo coordinado de todas las áreas del nivel nacional, regionales y departamentales; desarrollando funciones de gestión del sistema de información, de auditoría médica, de garantía de calidad y de fomento de la salud. El modelo de atención se construye desde del proceso de afiliación de nuestros usuarios, en donde se orienta a los diferentes programas preventivos necesarios para tener conocimiento de los posibles niveles de utilización de servicios por parte de pacientes complicados, con pobre control médico de sus entidades de base o de sus riesgos propios, o de aquellos parcialmente atendidos, no tratados o diferidos de otras entidades. El diseño del modelo de atención se estructuró teniendo en cuenta dos componentes principales: Gestión de la Demanda y Gestión de la Oferta. Gestión de la Demanda: Caracteriza la situación de salud de la población afiliada por Regional y según los riesgos identificados se ajustan los programas de prevención y control y se evalúan los indicadores de calidad para reorientar los servicios de salud según necesidades de los afiliados. Gestión de la Oferta: En este componente se especifican, entre otros, la Definición y Selección de Prestadores; Operación de la Red de Prestadores de Servicios de Salud; Sistema de Referencia y Contrarreferencia, Perfiles de la Red de Servicios y Mecanismos de Participación Social. Con esta estructura del modelo de atención se pretende asegurar el control del riesgo en salud, no sólo como filosofía o presentación demagógica, sino como estrategia de control del costo a través de la disminución de la sobre-utilización de servicios por parte de los afiliados y el fomento del uso pertinente de los recursos disponibles por parte del personal de salud, sin detrimento de la calidad del servicio. * Conformación Red de Servicios SOLSALUD tiene incorporado dentro de sus objetivos principales, en la planeación de la prestación del servicio, garantizar una red de servicios suficiente y plural (servicios ambulatorios de acceso directo al usuario en los municipios donde la capacidad lo 51 de

52 permita) en cada una de las zonas geográficas de operación, asegurando una cobertura total de los planes de beneficios en todos los niveles de complejidad a la población afiliada. La red se conforma con base en los siguientes parámetros: Capacidad de oferta Demanda potencial Red de prestadores Suficiencia de red Para evaluar estos parámetros la Dirección Nacional Administración Red de Servicios realiza una fase precontractual en la cual elabora un censo de potenciales prestadores por municipio, define criterios de calidad con base en la normatividad vigente y las políticas de la organización, evalúa la capacidad de oferta de servicios, determina la demanda potencial de servicios con ayuda de la herramienta informática para realizar el análisis de suficiencia de red y finalmente elabora la base de datos de IPS potenciales para la contratación de servicios. Una vez conformada la base de datos de IPS potenciales, se envía el concepto a las Regionales / Departamentales y las directrices de contratación de acuerdo con la distribución de recursos definida en la nota técnica de la compañía, la modalidad de contratación conveniente según hallazgos de la situación de salud de la población específicamente en lo competente a patologías de alto costo. Una vez seleccionada la red, se establece en los acuerdos de voluntades el cumplimiento del objeto del contrato y demás políticas de la organización para brindar con calidad la atención a los afiliados, sin embargo no se realiza por grupos de diagnóstico sino por niveles de complejidad Actividades a desarrollar para la identificación de Riesgos Para la identificación de los riesgos generales e individuales en salud, operativos, de negocio y financieros se desarrollan las siguientes actividades: Gráfico 26: Pasos para la identificación de riesgos y fallas 52 de

53 a. Documentar el proceso a evaluar identificando los siguientes aspectos: - Objetivo del proceso. - Alcance del proceso. - Responsables del proceso. - Factores claves de éxito. - Actividades del Proceso. - Indicadores de Gestión. - Requisitos Legales. - Sistemas de Información de Soporte / Activos de Información. - Talento humano participante del proceso. - Documentación asociada / Normatividad Asociada. - Objetivos de calidad asociados. El conocimiento de los procesos se documenta en el siguiente formato de caracterización de procesos: Gráfico 27 : Formato para Documentar la Caracterización de los Procesos 53 de

54 La caracterización de procesos recopila información valiosa del proceso, que ayuda a delimitar la identificación de riesgos. Este documento es diligenciado/actualizado, cada vez que un proceso presente ajustes. b. Identificar problemas (eventos / riesgos) que pueden afectar/ser obstáculo para el cumplimiento del objetivo del proceso. Esta actividad se realiza tomando como base el objetivo establecido para cada proceso, a partir de allí se descompone en los componentes claves y se marcan las palabras o frases clave. Luego, se identifican las amenazas o problemas que pueden afectar el no cumplimiento del objetivo. c. Determinar las fallas o insuficiencias a los problemas o amenazas identificados. En esta actividad se relacionan todas las posibles fallas, causas o insuficiencias que pueden en un momento dado materializar el riesgo identificado. d. Clasificar los eventos de riesgos de acuerdo con las categorías establecidas en el capítulo e. Clasificar las Fallas o Insuficiencias de acuerdo con las categorías de fallas establecidas: - Recurso Humano. - Procesos. - Tecnología de Información. - Infraestructura Física. - Eventos externos. f. La información asociada a los puntos desarrollados anteriormente se relacionan en la matriz de Riesgos y Controles (clasificación de riesgos, fallas y factores de riesgos) Herramientas y Técnicas usadas por el Equipo de Trabajo - Talleres / Sesiones de trabajo. - Entrevistas con Líderes de Procesos. - Listas de chequeo. - Juicios basados en la experiencia y registros. - Flujos de alto nivel. - Caracterizaciones. - Lluvia de ideas. - Análisis de escenarios. 54 de

55 Aportes clave - Estructura con enfoque de procesos. - Experiencia de los Líderes de Procesos - Conocimiento en el sector asegurador MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS Productos - Cadena de Valor (si aplica). - Inventario de procesos - Caracterización de procesos - Perfil epidemiológico - Modelo de atención - Red de prestadores de servicio - Inventario de riesgos y fallas por proceso. - Relación de procesos, riesgos y activos críticos - Matriz de Riesgos y Controles diligenciada hasta la identificación de riesgos Responsables (Quién ejecuta las actividades) - Líderes de Proceso y/o Gestor de Riesgo Participantes (Áreas de apoyo al SAR) - Oficina de Control Interno y Dirección Nacional de Calidad 8.4. Pasos para la Medición del Riesgo Inherente Objetivo Establecer el nivel de riesgos inherentes al cual está expuesto el proceso en evaluación, teniendo en cuenta los criterios de probabilidad de ocurrencia y magnitud del impacto (esta medición puede ser cuantitativa o cualitativa). En esta etapa no se tiene en cuenta el diseño y la eficiencia operativa (ejecución) de los controles existentes. Inicialmente la medición de cada riesgo será cualitativa, utilizando la escala de criterios para valoración definida por SOLSALUD EPS en la cual se determinó los niveles de probabilidad e impacto Actividades a Desarrollar Las actividades a desarrollar son: 55 de

56 Gráfico 28 : Pasos para la Medición de Riesgo Inherente a. Determinar la probabilidad de ocurrencia del riesgo de acuerdo con los criterios de calificación descritos en la etapa definición de criterios. b. Determinar el impacto del riesgo al interior de SOLSALUD EPS teniendo en cuenta los criterios cuantitativos o cualitativos establecidos en la etapa de definición de criterios. Para realizar esta actividad es importante tener en cuenta que el riesgo se puede evaluar con cualquiera de las variables asociadas a estos criterios, no necesariamente existe una relación entre la calificación con criterios cuantitativos y cualitativos. c. En la Matriz de Riesgos y Controles se diligencian las columnas asociadas a la calificación de los riesgos inherentes. Encabezado Probabilidad del Riesgo Inherente Soporte Criterios Riesgo Inherente Probabilidad Soporte Criterios Riesgo Inherente Descripción de Probabilidad Impacto del Riesgo Inherente Descripción Seleccione de la lista despegable, la probabilidad de ocurrencia del riesgo sin tener en cuenta los controles asociados: Muy Alta Alta Moderada Baja Muy Baja En este punto se tiene en cuenta los criterios para calificación de riesgos definidos. Seleccione de la lista despegable, la probabilidad seleccionada en la columna J, las opciones son: 5. Muy Alta 4. Alta 3. Moderada 2. Baja 1. Muy Baja Seleccione de la lista desplegable, la opción seleccionada por los líderes de procesos participantes dentro del taller de riesgo y asociado a: Casuística Periodicidad Probabilidad Seleccione de la lista desplegable, el impacto del riesgo sin tener en cuenta los controles asociados y de acuerdo con los criterios cuantitativos o cualitativos definidos. 56 de

57 Encabezado Soporte Criterios Riesgo Inherente - Nivel de Impacto Soporte Criterios Riesgo Inherente Impacto Cuantitativo Soporte Criterios Riesgo Inherente Impacto Cualitativo Soporte Criterios Riesgo Inherente Observaciones MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS Descripción Seleccione de la lista desplegable, el nivel de impacto seleccionado en la columna K, las opciones son: 5. Muy Alta 4. Alta 3. Moderada 2. Baja 1. Muy Baja Seleccione de la lista desplegable, el criterio cuantitativo seleccionado por los líderes en el taller de riesgos. - Si este criterio no fue seleccionado, por que se seleccionó el criterio cualitativo, esta casilla se debe dejar en blanco. Seleccione de la lista desplegable, el criterio cualitativo seleccionado por los líderes en el taller de riesgos. -Si este criterio no fue seleccionado, por que se seleccionó el criterio cuantitativo, esta casilla se debe dejar en blanco. Esta casilla es para escribir las sustentaciones adicionales o las diferentes observaciones pertinentes a la calificación seleccionada. Tabla 2 : Descripción de los campos de la matriz (Calificación de Riesgos) d. Determinar el perfil de riesgos inherentes a través de la combinación de la probabilidad de ocurrencia y la magnitud del impacto e. Al finalizar el ejercicio de evaluación de cada proceso, construir el mapa consolidado de riesgos inherente por Proceso y al final el mapa de riesgos inherentes a nivel de la Entidad. Gráfico 29 : Construcción del Perfil de Riesgos Inherentes 57 de

58 * Importante: La calificación de probabilidad y el impacto del riesgo, es una evaluación subjetiva dada por el líder del proceso quien como experto conoce las amenazas a las cuales se encuentra expuesto en el desarrollo de su proceso. La clasificación inicial del riesgo en la matriz resultante corresponde al riesgo inherente de SOLSALUD EPS Herramientas y Técnicas que pueden ser usadas por el equipo de trabajo - Talleres con Líderes de Procesos, Control Interno y Dirección Nacional de Calidad. - Lluvia de ideas Aportes clave - Conocimiento de los procesos y sus objetivos en la empresa. - Experiencia de los Líderes de Procesos Productos: - Mapa de riesgos inherentes Responsables (quién ejecuta las actividades): - Líderes de Proceso Participantes (Áreas de apoyo al SAR) - Dirección Nacional de Calidad y Oficina de Control Interno Calificación de Riesgos con Controles La metodología utilizada para la definición de las medidas de control, se basa en la experiencia y conocimiento que tienen los Líderes de Proceso por ser el conocedor de los riesgos que pueden presentarse en cada proceso, determina y aplica una serie de controles preestablecidos o implementados por el (en algunos casos) Objetivos Dentro de los objetivos de la calificación de riesgos con los controles se encuentran: - Establecer y evaluar las medidas de control requeridas para administrar los riesgos. - Establecer el nivel de riesgo residual al cual esta expuesto el proceso. - Identificar opciones para tratar los riesgos de acuerdo con nivel de riesgo residual obtenido. - Realizar la evaluación de dichas opciones. - Preparar los planes de mitigación/ tratamiento de riesgos y su implementación. 58 de

59 Actividades a Desarrollar Las actividades a desarrollar son: Gráfico 30: Pasos para la calificación de controles a. Realizar la identificación de los controles existentes al interior de SOLSALUD EPS. Tener en cuenta que un control puede aplicar para más de una falla y una falla puede tener varios controles. b. En los talleres de evaluación de controles y con el apoyo de los Líderes de Procesos se realiza la validación de los controles pre-identificados. A partir de la validación inicial se realiza la complementación de la pre-población de controles. Encabezado Objetivo del control No. del Control Descripción del Control Descripción - Escribir el motivo por el cual el control ha sido creado y su finalidad frente al riesgo que busca mitigar. Escribir el número consecutivo del control desde C1 hasta C..n dependiendo del número de controles asociados para el riesgo. En este campo se detalla el objetivo del control en las actividades que lo componen (quién, qué, como, dónde, cuando). Incluye su documentación (manuales, circulares, procedimientos) y su importancia (teniendo en cuenta el grado de mitigación que tiene sobre el riesgo asociado). La selección de importancia se define siguiendo las siguientes características: Muy importante: Si el objetivo y descripción del control mitiga completamente la Falla / Riesgo. Importante: Si el control en conjunto con otros controles mitiga la Falla / Riesgo Poco Importante: No mitiga la Falla / Riesgo. * Para documentación se debe responder a la pregunta Se encuentra formalizado el control al interior de SOLSALUD EPS? Tabla 3 : Descripción de los campos de la matriz (Identificación de Controles) 59 de

60 c. Establecer para cada control la calificación de la solidez (diseño + ejecución): Durante los talleres de riesgos y controles se tiene en cuenta la experiencia del equipo de trabajo para determinar si los controles existentes están diseñados correctamente. De lo contrario, se podrán establecer planes de mejoramiento. Tabla 4 : Matriz de Controles En la Matriz de Riesgos y Controles se diligencian las columnas asociadas a la calificación de la solidez del control. Campo Descripción Responsabilidad del Control - Asignación Responsabilidad del Control Cargo Tipo del Control En este campos se selecciona en la lista desplegable si la asignación del Control es Adecuada ó Inadecuada Si el control se encuentra asignado escriba el cargo de la persona encargada de ejecutar el control, de lo contrario se debe dejar en blanco. Nota: La Oficina de Control Interno no debe quedar registrada como dueña o responsable en la aplicación de controles por cuanto es un Ente Interno de Control que no hace parte del proceso. En este campo se selecciona de la lista desplegable si el control es: Preventivo Detectivo Correctivo Preventivo: Control que se realiza en pro de evitar la materialización del riesgo. Detectivo: Control que busca minimizar el impacto del riesgo una vez éste se ha materializado. Correctivo: Control que busca corregir el riesgo una vez se haya materializado. 60 de

61 El Tipo de Control es? En este campo se califica si el tipo de control definido en la casilla anterior es: Adecuado Inadecuado Si el control puede ser más eficiente si se cambia el tipo de control seleccionado en la casilla anterior, entonces se selecciona que es inadecuado ó si el control es efectivo se debe calificar como adecuado. En este campo se selecciona de la lista desplegable si el control es: Manual Automático Dependiente de TI. Naturaleza del Control Periodicidad del control La frecuencia con la que se realiza el control es? Documentación del Control Actividades que componen el Control Diseño del Control Manual: Cuando se lleva a cabo sin ayuda de algún sistema de información o aplicativo. Automático: Cuando se realiza con la ayuda de un sistema de información o aplicativo. Dependiente de TI: Se realiza con el apoyo de un sistema o aplicativo, pero no es totalmente automático. En esta casilla se selecciona de la lista desplegable las opciones de frecuencia con la que se ejecuta el control: Diario Trimestral Semanal Semestral Bisemanal Anual Quincenal Permanente Mensual Esporádico/Sorpresivo Bimestral Cuando se requiera En este campo se selecciona de la lista desplegable si la periodicidad con la que se esta ejecutando el control es: Adecuado Inadecuado En esta casilla seleccione si el control se encuentra: Documentado No documentado Nos apoyamos en la información relacionada en la casilla de descripción del control, donde se encuentra digitado si el control se encuentra documentado y el lugar donde se encuentra registrado. En esta casilla se califica si las actividades que componen el control, descritas en la columna "Descripción del control Columna P", seleccionando de la lista desplegable: Adecuadas Inadecuadas Nota: Dentro de la calificación de las actividades que componen el control se debe incorporar el concepto de su importancia (relacionado en la columna Descripción del Control Columna P) Para calificar esta columna debe dar clic en el botón Evaluar Controles o ejecutar la macro "Evaluar Controles", por la opción "Macro" del menú "Tools". 61 de

62 Observaciones frente al diseño del control Ejecución del Control Solidez Individual del Control Esta casilla es para escribir las diferentes observaciones pertinentes frente al control que está calificando. En este campo se selecciona de la lista desplegable: Fuerte Moderado Débil Siguiendo las siguientes condiciones: Para Fuerte. Siempre se ejecuta según las condiciones definidas en el diseño del control? Para Moderado. El control se ejecuta cumpliendo parcialmente las condiciones definidas en el diseño del control? Para Débil. El control no se ejecuta? La columna "Solidez individual del Control" se calcula automáticamente Tabla 5 : Descripción de los Campos de la Matriz (Calificación del Diseño del Control) Posteriormente se debe evaluar la eficiencia operativa del control (ejecución) determinando si el control se esta realizando con la periodicidad definida en las variables del diseño del mismo. Encabezado Ejecución del Control Descripción En este campo se selecciona de la lista desplegable: Fuerte Moderado Débil Siguiendo las siguientes condiciones: Para Fuerte. Siempre se ejecuta según las condiciones definidas en el diseño del control? Para Moderado. El control se ejecuta cumpliendo parcialmente las condiciones definidas en el diseño del control? Para Débil. El control no se ejecuta? Solidez Individual La columna "Solidez individual del Control" se calcula automáticamente del Control Tabla 6: Descripción de los campos de la matriz (Ejecución del Control) Importante: - El Gestor de Riesgo y/o líder de proceso (cada seis meses) debe evaluar la ejecución del control en su proceso para retroalimentar al Área de Control Interno. - El Área de Control Interno como parte del desarrollo de su plan de auditoria debe incluir la evaluación de la ejecución de los controles para aquellos riesgos de nivel Crítico o Alto. 62 de

63 Calificar la solidez individual de los controles, corresponde a combinar la evaluación del diseño y la eficiencia del control, esta solidez se clasifica en la matriz de riesgos y controles de forma automática de la siguiente forma: Gráfico 31 : Evaluación de la solidez del control En la matriz de riesgos y controles se toman las siguientes columnas: Descripción del Control Diseño del Control Ejecución del Control Solidez Individual del Control Verificación del buen estado de Inadecuado las instalaciones Débil Débil Visitas de Inspección Adecuado Moderada Moderado Gráfico 32 : Control de la Calificación de la Solidez Individual del Control Determinar la importancia del control en función del riesgo que mitiga, bajo los siguientes parámetros: Encabezado Importancia del Control En esta casilla se selecciona de la lista desplegable si el control es: Muy Importante Importante Poco importante La importancia del control es tomada de la casilla de Descripción del Control - Columna P. Tabla 7 : Importancia del Control en Función del Riesgo que Mitiga a. Calificar la solidez del conjunto de controles que permita mitigar el riesgo evaluado, teniendo en cuenta el conocimiento experto del Líder de Procesos y con base en los siguientes criterios: 63 de

64 - Fuerte: Si el conjunto de controles que mitiga el riesgo están correctamente diseñados y funciona adecuadamente. - Moderado: El conjunto de controles mitiga el riesgo, pero sus parámetros tienen observaciones con respecto a su diseño y/o ejecución. - Débil: Si el conjunto de controles no permiten mitigar el riesgo. Esta calificación aplica en caso que un control mitigue más de un riesgo y la asigna el evaluador de riesgos teniendo en cuenta el nivel de importancia que cada control represente para mitigar el riesgo y la solidez obtenida. En los casos en los cuales no existe control, la solidez se califica como Débil ya que no existe ninguna actividad que ayude a mitigar el riesgo. Importante: 1. Para la identificación de controles que requieren pruebas, con el fin de evaluar su efectividad operativa, se debe tener en cuenta los siguientes aspectos: - Si el diseño del control es Inadecuado no se deben realizar pruebas. - Las pruebas deben ser parte de las actividades desarrolladas por el Área de Control Interno. - Es recomendable que para realizar las pruebas de controles se considere una muestra representativa basada en el tamaño de la población y el período a evaluar. 2. Para la determinación del perfil de Riesgos Residuales, se establece si el conjunto de controles disminuye la probabilidad y el nivel de impacto, seleccionando la opción correspondiente en la matriz de riesgos y controles. La matriz de riesgos y controles genera automáticamente la calificación del riesgo residual partiendo de la combinación del riesgo inherente y la solidez del conjunto de controles. Encabezado Descripción Solidez del Conjunto de Controles En esta casilla se califica el grado de mitigación conjunta que tiene la totalidad de controles asociados a un mismo riesgo. Disminuye la Probabilidad En esta casilla se califica si la "Solidez del Conjunto de Controles" reduce o no la probabilidad de ocurrencia del riesgo al cual están asociados. 64 de

65 Encabezado Descripción Explicación disminución Probabilidad Esta casilla es para escribir las sustentaciones/explicaciones de por que lo Lideres de Procesos consideran que si se disminuye la probabilidad. Disminuye el Impacto En esta casilla se califica si la "Solidez del Conjunto de Controles" reduce o no el impacto del riesgo al cual están asociados. Explicación disminución Impacto Esta casilla es para escribir las sustentaciones/explicaciones de por que lo Lideres de Procesos consideran que si se disminuye el impacto. Tabla 8 : Descripción de los campos de la matriz (Solidez del Conjunto de Controles El riesgo residual es el resultado del desplazamiento del riesgo inherente por la aplicación de los controles. Gráfico 33 : Perfil de Riesgos Residuales b. Definir las prioridades de los riesgos, elaborando una lista de riesgos ordenándolos de mayor a menor según la calificación del riesgo residual obtenida. 65 de