7 cartilla metodológica sar
TRANSCRIPT
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 112
MODELO DE IMPLEMENTACIOgraveN DE SISTEMA DE ADMINISTRACIOgraveN DERIESGO EPS SOS SA
La metodologiacutea para la implementacioacuten seraacute la establecida seguacuten el modelo de la NormaTeacutecnica Colombiana (NTC5254) la cual consta de las correspondientes fasesidentificacioacuten anaacutelisis evaluacioacuten y tratamiento
Para llevar a cabo el desarrollo del mismo se requiere
983085 Por lo menos un participante de los procesos cliente983085 Por lo menos un participante de los procesos proveedores983085 Por lo menos un participante del proceso operativo983085 Es necesario que por liacuteder de proceso se cuente con una licencia de Office 2007983085 Revisioacuten de los objetivos de los procesos a desarrollar
Los pasos para la implementacioacuten del SAR son los siguientes
1 Seleccione el proceso a desarrollar seguacuten se contemple en el mapa geneacutericode proceso en la EPS SOS
2 Teniendo en cuenta el objetivo del proceso seleccionado identifique losriesgos inherentes dentro de su proceso clasifique el riesgo y el tipo de eventodel mismo
3 Identifique queacute Causas (fallas) y su clasificacioacuten respectiva se encuentranasociadas a la presencia de este riesgo
4 Establezca la evaluacioacuten seguacuten la probabilidad de ocurrencia y nivel deimpacto
5 Enuncie los posibles controles presentes en su organizacioacuten teniendo encuenta la Causa (falla) identificada
6 Establezca la evaluacioacuten de controles en disentildeo y ejecucioacuten identifique elriesgo residual
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 212
7 Seguacuten el resultado en la matriz de evaluacioacuten establezca el tratamientorespectivo
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 312
SISTEMA ADMINISTRACION DE RIESGOS SAR
1 Fases metodoloacutegicas para estructurar el SAR
11 Definicioacuten de criterios Considera el establecimiento de paraacutemetros sobre loscuaacuteles la direccioacuten de la entidad definiraacute la evaluacioacuten y tratamiento de sus riesgosy controles
12 Identificacioacuten de los Riesgos Identificar Queacute Por queacute y Coacutemo pueden surgir losriesgos con el fin de establecer los criterios necesarios para su administracioacuten
13 Medicioacuten de los riesgos Establecer el nivel de los riesgos inherentes al cuaacutel estaacuteexpuesto el proceso de evaluacioacuten teniendo en cuenta los criterios deprobabilidad de ocurrencia y magnitud del impacto
14 Controlar los riesgos Establecer y evaluar las medidas de control requeridas paraadministrar los riesgos Establecer el nivel de riesgo residual al cuaacutel estaacute expuestoel proceso
15 Identificar medidas de tratamiento Identificar opciones para tratar los riesgos deacuerdo con el nivel de riesgo residual obtenido Realizar la evaluacioacuten de dichasopciones Preparar los planes de mitigacioacuten tratamiento de riesgos y suimplementacioacuten
A continuacioacuten se ampliaran los conceptos anteriores
11 Definicioacuten de criterios
Caracterizacioacuten de Procesos Es el conjunto de variables que ayudan a un mayorentendimiento del proceso y considera los elementos descritos a continuacioacuten
Objetivo del proceso Es el resultado que una organizacioacuten espera alcanzar en eldesarrollo y operacionalizacioacuten concreta de su misioacuten y visioacuten Los objetivos seredactan comenzando con un verbo en infinitivo y deben ser mesurables es decirdeben permitir la comprobacioacuten del resultado
Alcance del proceso Es la frontera del proceso doacutende comienza y doacutendetermina El alcance permite establecer los procesos coacutemo interactuacutean entre siacute eneste caso tambieacuten se contempla las entradas y salidas
Comienzo o inicio actividades con la cuales se da inicio al proceso Fin Final Terminacioacuten actividades con las cuales finaliza el proceso
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 412
Entradas del Proceso Son los insumos que ingresan al proceso para poderdesarrollar una yo varias actividades especiacuteficas
Salidas del proceso Son los resultados del desarrollo de las actividadesdel proceso que en algunas oportunidades son las entradas de otrosprocesos Las salidas no necesariamente se dan al finalizar el proceso
Responsables y participantes dentro del proceso Se refiere al procesoinvolucrado y los roles y responsabilidades de las personas participantes dentro deeacuteste
Actividades del proceso Es la descripcioacuten de las actividades realizadas dentrodel proceso las cuales se presentan en orden secuencial
Documentos relacionados Normatividad aplicable procedimientos o reportesque soportan el desarrollo de las distintas actividades del proceso
Factores criacuteticos de eacutexito (FCE) Un Factor de Eacutexito es algo que debe ocurrir (odebe no ocurrir) para conseguir un objetivo Este Factor de Eacutexito se define comocriacutetico si su cumplimiento es absolutamente necesario para cumplir los objetivosde la Organizacioacuten por lo cual requiere una especial atencioacuten por parte de losoacuterganos gestores con el fin de asegurar que se dedican los mejores recursos a laejecucioacuten o realizacioacuten de dicho Factor de Eacutexito
Indicadores del Proceso Son medidas cuantitativas financieras y no financierasque la organizacioacuten recopila continuacutea o perioacutedicamente y los directivos utilizanpara evaluar el progreso hacia el logro de los objetivos definidos
Diagrama de Flujo Es la agrupacioacuten de actividades ordenadas de acuerdo conuna secuencia loacutegica establecida
Simbologiacutea para realizar el flujograma de procesos
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 512
Inicio - Fin
Proceso
Decisioacuten
DocumentoFiacutesico
Procesodefinido
DocumentoElectroacutenico
ReferenciaEn mismapaacutegina
Conectorentre
paacuteginas
Sistema
Documento
con muacuteltiples
copias
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 612
12 Identificacioacuten de Riesgos
Queacute debemos tener en cuenta para identificar los riesgos
Entender el proceso Identificar los objetivos de los procesos Buscar los puntos claves de decisioacuten en el proceso Identificar ldquoqueacute puede fallarrdquo para cada proceso actividad clave (Graacutefico No 2 y
3) Nuestra experiencia Mucho sentido comuacuten
Tener en cuenta
El riesgo continuacutea incluso con los controles Es importante saber que la ausencia de control no es un riesgo Los controles pueden reducir el impacto yo probabilidad de ocurrencia del riesgo
Definicioacuten de Riesgo Riesgo se refiere a un hecho una accioacuten u omisioacuten que podriacuteaafectar la capacidad de una Entidad para lograr sus objetivos de proceso de negocio oestrategias desencadenando la presencia de eventos adversos o amenazas en lapoblacioacuten Considera la ocurrencia latente o potencial de acontecimientos negativos oinesperados asiacute como la ausencia o sub-aprovechamiento de oportunidades
Riesgo Inherente Es la evaluacioacuten preliminar del riesgo con la cual la Entidad quiereconocer el nivel de exposicioacuten al mismo
Clasificacioacuten del tipo de evento Corresponde a la clasificacioacuten del riesgo teniendo encuenta su origen (Ejemplo fraude interno)
Determinacioacuten de la Causa (falla) Falla es la causa directa o subyacente asociada a lapresencia del riesgo (Es el QUE y el POR QUE se presenta el riesgo)
Control Son las medidas tomadas para administrar o gestionar el riesgo y paraincrementar las probabilidad que el negocio o proceso logre sus metas y objetivos
Riesgo Residual Es el nivel de riesgo al cual estaacute expuesta la Entidad de acuerdo conlos controles existentes El riesgo residual es el resultado de combinar la calificacioacuten delriesgo inherente oacute bruto y la evaluacioacuten de los controles considerando el disentildeo y laefectividad operacional de los mismos
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 712
El resultado de la combinacioacuten de la probabilidad y el impacto genera el perfil de riesgos(Magnitud del Riesgo)
Queacute se debe tener en cuenta al redactar un Riesgo
1 El riesgo debe estar escrito en un lenguaje comuacuten y comprensible para todala Compantildeiacutea
2 Responde faacutecilmente a la pregunta si ocurre el riesgo iquestQueacute peacuterdida esgenerada Es decir permite identificar la peacuterdida potencial fraude multademanda reproceso robo sancioacuten etc
3 Permite establecer la probabilidad e impacto obteniendo asiacute la calificacioacutendel mismo
4 Evitar las negaciones para expresar el Riesgo5 La ausencia de control no es un riesgo
983109983146983141983149983152983148983151983098
No afiliar adecuadamente
Realizar afiliaciones inadecuadamente
Queacute se debe tener en cuenta para determinar una Causa (falla)
Las fallas se clasifican en
Falla de Tecnologiacutea de Informacioacuten Se refiere al uso de software y hardware de laorganizacioacuten
Fallas de Recurso Humano La formacioacuten y promocioacuten de competencias de lostrabajadores con el fin de mejorar sus capacidades habilidades y aptitudes para ejecutarlos procesos alineados a la estrategia y evitar las desviaciones que demoren o evitenalcanzar los objetivos Ademaacutes involucra el promover comportamientos seguros en latoma de decisiones Identificacioacuten y poliacutetica para el manejo de fraudes
Falla por eventos externos son eventos asociados a la naturaleza o externos se escapana la organizacioacuten
Falla de Procesos Se entiende por falla de procesos lo referente a
POLITICA Es el compromiso de la organizacioacuten para establecer sus paraacutemetrosde ejecucioacuten y desarrollo en el negocio de aseguramiento en salud y expreseformalmente los objetivos asiacute como los principios y directrices a seguir en materiade los lineamientos estrateacutegicos estructurales de comunicacioacuten y deinfraestructura
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 812
PLANIFICACION Y EJECUCION La Planificacioacuten de las tareas a emprenderdistinguiendo entre planificacioacuten en las condiciones normales del negocio yplanificacioacuten de emergencia La primera pretende desarrollar un meacutetodo ordenadode puesta en praacutectica de las poliacuteticas y acciones necesarias para evitar lamaterializacioacuten de eventos no deseados Paralelamente el plan de emergenciapretende planificar con serenidad las acciones a emprender para responder con
rapidez y eficacia ante cualquier incidencia reduciendo al maacuteximo sus posiblesconsecuencias
COMUNICACIOacuteN La Comunicacioacuten y transferencia de informacioacuten sobre el mediode trabajo hasta su operatividad sus posibles riesgos y la forma correcta decombatirlos Tener en cuenta tecnologiacutea
RUTAS DE ACCESO Puntos de encuentro o de conexioacuten entre la EPS y elusuario en todos los aacutembitos que refiere el aseguramiento en salud contemplandoen la ley (BARRERAS DE ACCESO)
DOCUMENTO DE PROCESOS Conocimiento y documentacioacuten de los procesoscorrecta ejecucioacuten de los mismos trazabilidad y conectividad de los procesosclaridad de los roles y estandarizacioacuten en la ejecucioacuten
Falla de Infraestructura Son las fallas relacionadas a edificaciones elementos de apoyopara las operaciones almacenamiento y transporte espacios de trabajo entre otros
Falla de Medicioacuten de resultados Revisioacuten de las actuaciones realizadas en laorganizacioacuten permitiendo asiacute alcanzar la mejora continua Este control se ejecuta atraveacutes del anaacutelisis de las condiciones de trabajo responsabilidades desempentildeo ysucesos ocurridos en el interior de la empresa
13 Medicioacuten (evaluacioacuten) de riesgos
La dimensioacuten del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en ladeterminacioacuten de riesgos intermedios De igual forma utilizar un mapa con una estructurano lineal para establecer un mayor peso a aquellos eventos en los cuales aunque laprobabilidad es baja su impacto al interior de la EPS es superior
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 912
Establezca de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivelde impacto
14 Controlar los riesgos
Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar laprobabilidad de que el negocio proceso logre sus metas y objetivos
La definicioacuten de los controles debe incluir
Queacute busca hacer el control (objetivo) Coacutemo se lleva a cabo el control (procedimiento) Naturaleza del control Preventivo oacute Detectivo Tipo de control Manual Automaacutetico oacute Dependiente de IT Quieacuten lleva a cabo el control (Responsable)
Cuaacutendo se realiza el control
(Periodicidad)
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1012
Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar
15 Identificacioacuten de Medidas de Tratamiento de Riesgo
Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son
Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo
Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo
El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere
establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados
Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados
Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo guiacutea
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 212
7 Seguacuten el resultado en la matriz de evaluacioacuten establezca el tratamientorespectivo
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 312
SISTEMA ADMINISTRACION DE RIESGOS SAR
1 Fases metodoloacutegicas para estructurar el SAR
11 Definicioacuten de criterios Considera el establecimiento de paraacutemetros sobre loscuaacuteles la direccioacuten de la entidad definiraacute la evaluacioacuten y tratamiento de sus riesgosy controles
12 Identificacioacuten de los Riesgos Identificar Queacute Por queacute y Coacutemo pueden surgir losriesgos con el fin de establecer los criterios necesarios para su administracioacuten
13 Medicioacuten de los riesgos Establecer el nivel de los riesgos inherentes al cuaacutel estaacuteexpuesto el proceso de evaluacioacuten teniendo en cuenta los criterios deprobabilidad de ocurrencia y magnitud del impacto
14 Controlar los riesgos Establecer y evaluar las medidas de control requeridas paraadministrar los riesgos Establecer el nivel de riesgo residual al cuaacutel estaacute expuestoel proceso
15 Identificar medidas de tratamiento Identificar opciones para tratar los riesgos deacuerdo con el nivel de riesgo residual obtenido Realizar la evaluacioacuten de dichasopciones Preparar los planes de mitigacioacuten tratamiento de riesgos y suimplementacioacuten
A continuacioacuten se ampliaran los conceptos anteriores
11 Definicioacuten de criterios
Caracterizacioacuten de Procesos Es el conjunto de variables que ayudan a un mayorentendimiento del proceso y considera los elementos descritos a continuacioacuten
Objetivo del proceso Es el resultado que una organizacioacuten espera alcanzar en eldesarrollo y operacionalizacioacuten concreta de su misioacuten y visioacuten Los objetivos seredactan comenzando con un verbo en infinitivo y deben ser mesurables es decirdeben permitir la comprobacioacuten del resultado
Alcance del proceso Es la frontera del proceso doacutende comienza y doacutendetermina El alcance permite establecer los procesos coacutemo interactuacutean entre siacute eneste caso tambieacuten se contempla las entradas y salidas
Comienzo o inicio actividades con la cuales se da inicio al proceso Fin Final Terminacioacuten actividades con las cuales finaliza el proceso
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 412
Entradas del Proceso Son los insumos que ingresan al proceso para poderdesarrollar una yo varias actividades especiacuteficas
Salidas del proceso Son los resultados del desarrollo de las actividadesdel proceso que en algunas oportunidades son las entradas de otrosprocesos Las salidas no necesariamente se dan al finalizar el proceso
Responsables y participantes dentro del proceso Se refiere al procesoinvolucrado y los roles y responsabilidades de las personas participantes dentro deeacuteste
Actividades del proceso Es la descripcioacuten de las actividades realizadas dentrodel proceso las cuales se presentan en orden secuencial
Documentos relacionados Normatividad aplicable procedimientos o reportesque soportan el desarrollo de las distintas actividades del proceso
Factores criacuteticos de eacutexito (FCE) Un Factor de Eacutexito es algo que debe ocurrir (odebe no ocurrir) para conseguir un objetivo Este Factor de Eacutexito se define comocriacutetico si su cumplimiento es absolutamente necesario para cumplir los objetivosde la Organizacioacuten por lo cual requiere una especial atencioacuten por parte de losoacuterganos gestores con el fin de asegurar que se dedican los mejores recursos a laejecucioacuten o realizacioacuten de dicho Factor de Eacutexito
Indicadores del Proceso Son medidas cuantitativas financieras y no financierasque la organizacioacuten recopila continuacutea o perioacutedicamente y los directivos utilizanpara evaluar el progreso hacia el logro de los objetivos definidos
Diagrama de Flujo Es la agrupacioacuten de actividades ordenadas de acuerdo conuna secuencia loacutegica establecida
Simbologiacutea para realizar el flujograma de procesos
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 512
Inicio - Fin
Proceso
Decisioacuten
DocumentoFiacutesico
Procesodefinido
DocumentoElectroacutenico
ReferenciaEn mismapaacutegina
Conectorentre
paacuteginas
Sistema
Documento
con muacuteltiples
copias
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 612
12 Identificacioacuten de Riesgos
Queacute debemos tener en cuenta para identificar los riesgos
Entender el proceso Identificar los objetivos de los procesos Buscar los puntos claves de decisioacuten en el proceso Identificar ldquoqueacute puede fallarrdquo para cada proceso actividad clave (Graacutefico No 2 y
3) Nuestra experiencia Mucho sentido comuacuten
Tener en cuenta
El riesgo continuacutea incluso con los controles Es importante saber que la ausencia de control no es un riesgo Los controles pueden reducir el impacto yo probabilidad de ocurrencia del riesgo
Definicioacuten de Riesgo Riesgo se refiere a un hecho una accioacuten u omisioacuten que podriacuteaafectar la capacidad de una Entidad para lograr sus objetivos de proceso de negocio oestrategias desencadenando la presencia de eventos adversos o amenazas en lapoblacioacuten Considera la ocurrencia latente o potencial de acontecimientos negativos oinesperados asiacute como la ausencia o sub-aprovechamiento de oportunidades
Riesgo Inherente Es la evaluacioacuten preliminar del riesgo con la cual la Entidad quiereconocer el nivel de exposicioacuten al mismo
Clasificacioacuten del tipo de evento Corresponde a la clasificacioacuten del riesgo teniendo encuenta su origen (Ejemplo fraude interno)
Determinacioacuten de la Causa (falla) Falla es la causa directa o subyacente asociada a lapresencia del riesgo (Es el QUE y el POR QUE se presenta el riesgo)
Control Son las medidas tomadas para administrar o gestionar el riesgo y paraincrementar las probabilidad que el negocio o proceso logre sus metas y objetivos
Riesgo Residual Es el nivel de riesgo al cual estaacute expuesta la Entidad de acuerdo conlos controles existentes El riesgo residual es el resultado de combinar la calificacioacuten delriesgo inherente oacute bruto y la evaluacioacuten de los controles considerando el disentildeo y laefectividad operacional de los mismos
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 712
El resultado de la combinacioacuten de la probabilidad y el impacto genera el perfil de riesgos(Magnitud del Riesgo)
Queacute se debe tener en cuenta al redactar un Riesgo
1 El riesgo debe estar escrito en un lenguaje comuacuten y comprensible para todala Compantildeiacutea
2 Responde faacutecilmente a la pregunta si ocurre el riesgo iquestQueacute peacuterdida esgenerada Es decir permite identificar la peacuterdida potencial fraude multademanda reproceso robo sancioacuten etc
3 Permite establecer la probabilidad e impacto obteniendo asiacute la calificacioacutendel mismo
4 Evitar las negaciones para expresar el Riesgo5 La ausencia de control no es un riesgo
983109983146983141983149983152983148983151983098
No afiliar adecuadamente
Realizar afiliaciones inadecuadamente
Queacute se debe tener en cuenta para determinar una Causa (falla)
Las fallas se clasifican en
Falla de Tecnologiacutea de Informacioacuten Se refiere al uso de software y hardware de laorganizacioacuten
Fallas de Recurso Humano La formacioacuten y promocioacuten de competencias de lostrabajadores con el fin de mejorar sus capacidades habilidades y aptitudes para ejecutarlos procesos alineados a la estrategia y evitar las desviaciones que demoren o evitenalcanzar los objetivos Ademaacutes involucra el promover comportamientos seguros en latoma de decisiones Identificacioacuten y poliacutetica para el manejo de fraudes
Falla por eventos externos son eventos asociados a la naturaleza o externos se escapana la organizacioacuten
Falla de Procesos Se entiende por falla de procesos lo referente a
POLITICA Es el compromiso de la organizacioacuten para establecer sus paraacutemetrosde ejecucioacuten y desarrollo en el negocio de aseguramiento en salud y expreseformalmente los objetivos asiacute como los principios y directrices a seguir en materiade los lineamientos estrateacutegicos estructurales de comunicacioacuten y deinfraestructura
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 812
PLANIFICACION Y EJECUCION La Planificacioacuten de las tareas a emprenderdistinguiendo entre planificacioacuten en las condiciones normales del negocio yplanificacioacuten de emergencia La primera pretende desarrollar un meacutetodo ordenadode puesta en praacutectica de las poliacuteticas y acciones necesarias para evitar lamaterializacioacuten de eventos no deseados Paralelamente el plan de emergenciapretende planificar con serenidad las acciones a emprender para responder con
rapidez y eficacia ante cualquier incidencia reduciendo al maacuteximo sus posiblesconsecuencias
COMUNICACIOacuteN La Comunicacioacuten y transferencia de informacioacuten sobre el mediode trabajo hasta su operatividad sus posibles riesgos y la forma correcta decombatirlos Tener en cuenta tecnologiacutea
RUTAS DE ACCESO Puntos de encuentro o de conexioacuten entre la EPS y elusuario en todos los aacutembitos que refiere el aseguramiento en salud contemplandoen la ley (BARRERAS DE ACCESO)
DOCUMENTO DE PROCESOS Conocimiento y documentacioacuten de los procesoscorrecta ejecucioacuten de los mismos trazabilidad y conectividad de los procesosclaridad de los roles y estandarizacioacuten en la ejecucioacuten
Falla de Infraestructura Son las fallas relacionadas a edificaciones elementos de apoyopara las operaciones almacenamiento y transporte espacios de trabajo entre otros
Falla de Medicioacuten de resultados Revisioacuten de las actuaciones realizadas en laorganizacioacuten permitiendo asiacute alcanzar la mejora continua Este control se ejecuta atraveacutes del anaacutelisis de las condiciones de trabajo responsabilidades desempentildeo ysucesos ocurridos en el interior de la empresa
13 Medicioacuten (evaluacioacuten) de riesgos
La dimensioacuten del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en ladeterminacioacuten de riesgos intermedios De igual forma utilizar un mapa con una estructurano lineal para establecer un mayor peso a aquellos eventos en los cuales aunque laprobabilidad es baja su impacto al interior de la EPS es superior
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 912
Establezca de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivelde impacto
14 Controlar los riesgos
Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar laprobabilidad de que el negocio proceso logre sus metas y objetivos
La definicioacuten de los controles debe incluir
Queacute busca hacer el control (objetivo) Coacutemo se lleva a cabo el control (procedimiento) Naturaleza del control Preventivo oacute Detectivo Tipo de control Manual Automaacutetico oacute Dependiente de IT Quieacuten lleva a cabo el control (Responsable)
Cuaacutendo se realiza el control
(Periodicidad)
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1012
Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar
15 Identificacioacuten de Medidas de Tratamiento de Riesgo
Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son
Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo
Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo
El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere
establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados
Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados
Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo guiacutea
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 312
SISTEMA ADMINISTRACION DE RIESGOS SAR
1 Fases metodoloacutegicas para estructurar el SAR
11 Definicioacuten de criterios Considera el establecimiento de paraacutemetros sobre loscuaacuteles la direccioacuten de la entidad definiraacute la evaluacioacuten y tratamiento de sus riesgosy controles
12 Identificacioacuten de los Riesgos Identificar Queacute Por queacute y Coacutemo pueden surgir losriesgos con el fin de establecer los criterios necesarios para su administracioacuten
13 Medicioacuten de los riesgos Establecer el nivel de los riesgos inherentes al cuaacutel estaacuteexpuesto el proceso de evaluacioacuten teniendo en cuenta los criterios deprobabilidad de ocurrencia y magnitud del impacto
14 Controlar los riesgos Establecer y evaluar las medidas de control requeridas paraadministrar los riesgos Establecer el nivel de riesgo residual al cuaacutel estaacute expuestoel proceso
15 Identificar medidas de tratamiento Identificar opciones para tratar los riesgos deacuerdo con el nivel de riesgo residual obtenido Realizar la evaluacioacuten de dichasopciones Preparar los planes de mitigacioacuten tratamiento de riesgos y suimplementacioacuten
A continuacioacuten se ampliaran los conceptos anteriores
11 Definicioacuten de criterios
Caracterizacioacuten de Procesos Es el conjunto de variables que ayudan a un mayorentendimiento del proceso y considera los elementos descritos a continuacioacuten
Objetivo del proceso Es el resultado que una organizacioacuten espera alcanzar en eldesarrollo y operacionalizacioacuten concreta de su misioacuten y visioacuten Los objetivos seredactan comenzando con un verbo en infinitivo y deben ser mesurables es decirdeben permitir la comprobacioacuten del resultado
Alcance del proceso Es la frontera del proceso doacutende comienza y doacutendetermina El alcance permite establecer los procesos coacutemo interactuacutean entre siacute eneste caso tambieacuten se contempla las entradas y salidas
Comienzo o inicio actividades con la cuales se da inicio al proceso Fin Final Terminacioacuten actividades con las cuales finaliza el proceso
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 412
Entradas del Proceso Son los insumos que ingresan al proceso para poderdesarrollar una yo varias actividades especiacuteficas
Salidas del proceso Son los resultados del desarrollo de las actividadesdel proceso que en algunas oportunidades son las entradas de otrosprocesos Las salidas no necesariamente se dan al finalizar el proceso
Responsables y participantes dentro del proceso Se refiere al procesoinvolucrado y los roles y responsabilidades de las personas participantes dentro deeacuteste
Actividades del proceso Es la descripcioacuten de las actividades realizadas dentrodel proceso las cuales se presentan en orden secuencial
Documentos relacionados Normatividad aplicable procedimientos o reportesque soportan el desarrollo de las distintas actividades del proceso
Factores criacuteticos de eacutexito (FCE) Un Factor de Eacutexito es algo que debe ocurrir (odebe no ocurrir) para conseguir un objetivo Este Factor de Eacutexito se define comocriacutetico si su cumplimiento es absolutamente necesario para cumplir los objetivosde la Organizacioacuten por lo cual requiere una especial atencioacuten por parte de losoacuterganos gestores con el fin de asegurar que se dedican los mejores recursos a laejecucioacuten o realizacioacuten de dicho Factor de Eacutexito
Indicadores del Proceso Son medidas cuantitativas financieras y no financierasque la organizacioacuten recopila continuacutea o perioacutedicamente y los directivos utilizanpara evaluar el progreso hacia el logro de los objetivos definidos
Diagrama de Flujo Es la agrupacioacuten de actividades ordenadas de acuerdo conuna secuencia loacutegica establecida
Simbologiacutea para realizar el flujograma de procesos
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 512
Inicio - Fin
Proceso
Decisioacuten
DocumentoFiacutesico
Procesodefinido
DocumentoElectroacutenico
ReferenciaEn mismapaacutegina
Conectorentre
paacuteginas
Sistema
Documento
con muacuteltiples
copias
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 612
12 Identificacioacuten de Riesgos
Queacute debemos tener en cuenta para identificar los riesgos
Entender el proceso Identificar los objetivos de los procesos Buscar los puntos claves de decisioacuten en el proceso Identificar ldquoqueacute puede fallarrdquo para cada proceso actividad clave (Graacutefico No 2 y
3) Nuestra experiencia Mucho sentido comuacuten
Tener en cuenta
El riesgo continuacutea incluso con los controles Es importante saber que la ausencia de control no es un riesgo Los controles pueden reducir el impacto yo probabilidad de ocurrencia del riesgo
Definicioacuten de Riesgo Riesgo se refiere a un hecho una accioacuten u omisioacuten que podriacuteaafectar la capacidad de una Entidad para lograr sus objetivos de proceso de negocio oestrategias desencadenando la presencia de eventos adversos o amenazas en lapoblacioacuten Considera la ocurrencia latente o potencial de acontecimientos negativos oinesperados asiacute como la ausencia o sub-aprovechamiento de oportunidades
Riesgo Inherente Es la evaluacioacuten preliminar del riesgo con la cual la Entidad quiereconocer el nivel de exposicioacuten al mismo
Clasificacioacuten del tipo de evento Corresponde a la clasificacioacuten del riesgo teniendo encuenta su origen (Ejemplo fraude interno)
Determinacioacuten de la Causa (falla) Falla es la causa directa o subyacente asociada a lapresencia del riesgo (Es el QUE y el POR QUE se presenta el riesgo)
Control Son las medidas tomadas para administrar o gestionar el riesgo y paraincrementar las probabilidad que el negocio o proceso logre sus metas y objetivos
Riesgo Residual Es el nivel de riesgo al cual estaacute expuesta la Entidad de acuerdo conlos controles existentes El riesgo residual es el resultado de combinar la calificacioacuten delriesgo inherente oacute bruto y la evaluacioacuten de los controles considerando el disentildeo y laefectividad operacional de los mismos
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 712
El resultado de la combinacioacuten de la probabilidad y el impacto genera el perfil de riesgos(Magnitud del Riesgo)
Queacute se debe tener en cuenta al redactar un Riesgo
1 El riesgo debe estar escrito en un lenguaje comuacuten y comprensible para todala Compantildeiacutea
2 Responde faacutecilmente a la pregunta si ocurre el riesgo iquestQueacute peacuterdida esgenerada Es decir permite identificar la peacuterdida potencial fraude multademanda reproceso robo sancioacuten etc
3 Permite establecer la probabilidad e impacto obteniendo asiacute la calificacioacutendel mismo
4 Evitar las negaciones para expresar el Riesgo5 La ausencia de control no es un riesgo
983109983146983141983149983152983148983151983098
No afiliar adecuadamente
Realizar afiliaciones inadecuadamente
Queacute se debe tener en cuenta para determinar una Causa (falla)
Las fallas se clasifican en
Falla de Tecnologiacutea de Informacioacuten Se refiere al uso de software y hardware de laorganizacioacuten
Fallas de Recurso Humano La formacioacuten y promocioacuten de competencias de lostrabajadores con el fin de mejorar sus capacidades habilidades y aptitudes para ejecutarlos procesos alineados a la estrategia y evitar las desviaciones que demoren o evitenalcanzar los objetivos Ademaacutes involucra el promover comportamientos seguros en latoma de decisiones Identificacioacuten y poliacutetica para el manejo de fraudes
Falla por eventos externos son eventos asociados a la naturaleza o externos se escapana la organizacioacuten
Falla de Procesos Se entiende por falla de procesos lo referente a
POLITICA Es el compromiso de la organizacioacuten para establecer sus paraacutemetrosde ejecucioacuten y desarrollo en el negocio de aseguramiento en salud y expreseformalmente los objetivos asiacute como los principios y directrices a seguir en materiade los lineamientos estrateacutegicos estructurales de comunicacioacuten y deinfraestructura
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 812
PLANIFICACION Y EJECUCION La Planificacioacuten de las tareas a emprenderdistinguiendo entre planificacioacuten en las condiciones normales del negocio yplanificacioacuten de emergencia La primera pretende desarrollar un meacutetodo ordenadode puesta en praacutectica de las poliacuteticas y acciones necesarias para evitar lamaterializacioacuten de eventos no deseados Paralelamente el plan de emergenciapretende planificar con serenidad las acciones a emprender para responder con
rapidez y eficacia ante cualquier incidencia reduciendo al maacuteximo sus posiblesconsecuencias
COMUNICACIOacuteN La Comunicacioacuten y transferencia de informacioacuten sobre el mediode trabajo hasta su operatividad sus posibles riesgos y la forma correcta decombatirlos Tener en cuenta tecnologiacutea
RUTAS DE ACCESO Puntos de encuentro o de conexioacuten entre la EPS y elusuario en todos los aacutembitos que refiere el aseguramiento en salud contemplandoen la ley (BARRERAS DE ACCESO)
DOCUMENTO DE PROCESOS Conocimiento y documentacioacuten de los procesoscorrecta ejecucioacuten de los mismos trazabilidad y conectividad de los procesosclaridad de los roles y estandarizacioacuten en la ejecucioacuten
Falla de Infraestructura Son las fallas relacionadas a edificaciones elementos de apoyopara las operaciones almacenamiento y transporte espacios de trabajo entre otros
Falla de Medicioacuten de resultados Revisioacuten de las actuaciones realizadas en laorganizacioacuten permitiendo asiacute alcanzar la mejora continua Este control se ejecuta atraveacutes del anaacutelisis de las condiciones de trabajo responsabilidades desempentildeo ysucesos ocurridos en el interior de la empresa
13 Medicioacuten (evaluacioacuten) de riesgos
La dimensioacuten del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en ladeterminacioacuten de riesgos intermedios De igual forma utilizar un mapa con una estructurano lineal para establecer un mayor peso a aquellos eventos en los cuales aunque laprobabilidad es baja su impacto al interior de la EPS es superior
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 912
Establezca de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivelde impacto
14 Controlar los riesgos
Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar laprobabilidad de que el negocio proceso logre sus metas y objetivos
La definicioacuten de los controles debe incluir
Queacute busca hacer el control (objetivo) Coacutemo se lleva a cabo el control (procedimiento) Naturaleza del control Preventivo oacute Detectivo Tipo de control Manual Automaacutetico oacute Dependiente de IT Quieacuten lleva a cabo el control (Responsable)
Cuaacutendo se realiza el control
(Periodicidad)
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1012
Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar
15 Identificacioacuten de Medidas de Tratamiento de Riesgo
Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son
Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo
Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo
El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere
establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados
Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados
Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo guiacutea
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 412
Entradas del Proceso Son los insumos que ingresan al proceso para poderdesarrollar una yo varias actividades especiacuteficas
Salidas del proceso Son los resultados del desarrollo de las actividadesdel proceso que en algunas oportunidades son las entradas de otrosprocesos Las salidas no necesariamente se dan al finalizar el proceso
Responsables y participantes dentro del proceso Se refiere al procesoinvolucrado y los roles y responsabilidades de las personas participantes dentro deeacuteste
Actividades del proceso Es la descripcioacuten de las actividades realizadas dentrodel proceso las cuales se presentan en orden secuencial
Documentos relacionados Normatividad aplicable procedimientos o reportesque soportan el desarrollo de las distintas actividades del proceso
Factores criacuteticos de eacutexito (FCE) Un Factor de Eacutexito es algo que debe ocurrir (odebe no ocurrir) para conseguir un objetivo Este Factor de Eacutexito se define comocriacutetico si su cumplimiento es absolutamente necesario para cumplir los objetivosde la Organizacioacuten por lo cual requiere una especial atencioacuten por parte de losoacuterganos gestores con el fin de asegurar que se dedican los mejores recursos a laejecucioacuten o realizacioacuten de dicho Factor de Eacutexito
Indicadores del Proceso Son medidas cuantitativas financieras y no financierasque la organizacioacuten recopila continuacutea o perioacutedicamente y los directivos utilizanpara evaluar el progreso hacia el logro de los objetivos definidos
Diagrama de Flujo Es la agrupacioacuten de actividades ordenadas de acuerdo conuna secuencia loacutegica establecida
Simbologiacutea para realizar el flujograma de procesos
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 512
Inicio - Fin
Proceso
Decisioacuten
DocumentoFiacutesico
Procesodefinido
DocumentoElectroacutenico
ReferenciaEn mismapaacutegina
Conectorentre
paacuteginas
Sistema
Documento
con muacuteltiples
copias
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 612
12 Identificacioacuten de Riesgos
Queacute debemos tener en cuenta para identificar los riesgos
Entender el proceso Identificar los objetivos de los procesos Buscar los puntos claves de decisioacuten en el proceso Identificar ldquoqueacute puede fallarrdquo para cada proceso actividad clave (Graacutefico No 2 y
3) Nuestra experiencia Mucho sentido comuacuten
Tener en cuenta
El riesgo continuacutea incluso con los controles Es importante saber que la ausencia de control no es un riesgo Los controles pueden reducir el impacto yo probabilidad de ocurrencia del riesgo
Definicioacuten de Riesgo Riesgo se refiere a un hecho una accioacuten u omisioacuten que podriacuteaafectar la capacidad de una Entidad para lograr sus objetivos de proceso de negocio oestrategias desencadenando la presencia de eventos adversos o amenazas en lapoblacioacuten Considera la ocurrencia latente o potencial de acontecimientos negativos oinesperados asiacute como la ausencia o sub-aprovechamiento de oportunidades
Riesgo Inherente Es la evaluacioacuten preliminar del riesgo con la cual la Entidad quiereconocer el nivel de exposicioacuten al mismo
Clasificacioacuten del tipo de evento Corresponde a la clasificacioacuten del riesgo teniendo encuenta su origen (Ejemplo fraude interno)
Determinacioacuten de la Causa (falla) Falla es la causa directa o subyacente asociada a lapresencia del riesgo (Es el QUE y el POR QUE se presenta el riesgo)
Control Son las medidas tomadas para administrar o gestionar el riesgo y paraincrementar las probabilidad que el negocio o proceso logre sus metas y objetivos
Riesgo Residual Es el nivel de riesgo al cual estaacute expuesta la Entidad de acuerdo conlos controles existentes El riesgo residual es el resultado de combinar la calificacioacuten delriesgo inherente oacute bruto y la evaluacioacuten de los controles considerando el disentildeo y laefectividad operacional de los mismos
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 712
El resultado de la combinacioacuten de la probabilidad y el impacto genera el perfil de riesgos(Magnitud del Riesgo)
Queacute se debe tener en cuenta al redactar un Riesgo
1 El riesgo debe estar escrito en un lenguaje comuacuten y comprensible para todala Compantildeiacutea
2 Responde faacutecilmente a la pregunta si ocurre el riesgo iquestQueacute peacuterdida esgenerada Es decir permite identificar la peacuterdida potencial fraude multademanda reproceso robo sancioacuten etc
3 Permite establecer la probabilidad e impacto obteniendo asiacute la calificacioacutendel mismo
4 Evitar las negaciones para expresar el Riesgo5 La ausencia de control no es un riesgo
983109983146983141983149983152983148983151983098
No afiliar adecuadamente
Realizar afiliaciones inadecuadamente
Queacute se debe tener en cuenta para determinar una Causa (falla)
Las fallas se clasifican en
Falla de Tecnologiacutea de Informacioacuten Se refiere al uso de software y hardware de laorganizacioacuten
Fallas de Recurso Humano La formacioacuten y promocioacuten de competencias de lostrabajadores con el fin de mejorar sus capacidades habilidades y aptitudes para ejecutarlos procesos alineados a la estrategia y evitar las desviaciones que demoren o evitenalcanzar los objetivos Ademaacutes involucra el promover comportamientos seguros en latoma de decisiones Identificacioacuten y poliacutetica para el manejo de fraudes
Falla por eventos externos son eventos asociados a la naturaleza o externos se escapana la organizacioacuten
Falla de Procesos Se entiende por falla de procesos lo referente a
POLITICA Es el compromiso de la organizacioacuten para establecer sus paraacutemetrosde ejecucioacuten y desarrollo en el negocio de aseguramiento en salud y expreseformalmente los objetivos asiacute como los principios y directrices a seguir en materiade los lineamientos estrateacutegicos estructurales de comunicacioacuten y deinfraestructura
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 812
PLANIFICACION Y EJECUCION La Planificacioacuten de las tareas a emprenderdistinguiendo entre planificacioacuten en las condiciones normales del negocio yplanificacioacuten de emergencia La primera pretende desarrollar un meacutetodo ordenadode puesta en praacutectica de las poliacuteticas y acciones necesarias para evitar lamaterializacioacuten de eventos no deseados Paralelamente el plan de emergenciapretende planificar con serenidad las acciones a emprender para responder con
rapidez y eficacia ante cualquier incidencia reduciendo al maacuteximo sus posiblesconsecuencias
COMUNICACIOacuteN La Comunicacioacuten y transferencia de informacioacuten sobre el mediode trabajo hasta su operatividad sus posibles riesgos y la forma correcta decombatirlos Tener en cuenta tecnologiacutea
RUTAS DE ACCESO Puntos de encuentro o de conexioacuten entre la EPS y elusuario en todos los aacutembitos que refiere el aseguramiento en salud contemplandoen la ley (BARRERAS DE ACCESO)
DOCUMENTO DE PROCESOS Conocimiento y documentacioacuten de los procesoscorrecta ejecucioacuten de los mismos trazabilidad y conectividad de los procesosclaridad de los roles y estandarizacioacuten en la ejecucioacuten
Falla de Infraestructura Son las fallas relacionadas a edificaciones elementos de apoyopara las operaciones almacenamiento y transporte espacios de trabajo entre otros
Falla de Medicioacuten de resultados Revisioacuten de las actuaciones realizadas en laorganizacioacuten permitiendo asiacute alcanzar la mejora continua Este control se ejecuta atraveacutes del anaacutelisis de las condiciones de trabajo responsabilidades desempentildeo ysucesos ocurridos en el interior de la empresa
13 Medicioacuten (evaluacioacuten) de riesgos
La dimensioacuten del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en ladeterminacioacuten de riesgos intermedios De igual forma utilizar un mapa con una estructurano lineal para establecer un mayor peso a aquellos eventos en los cuales aunque laprobabilidad es baja su impacto al interior de la EPS es superior
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 912
Establezca de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivelde impacto
14 Controlar los riesgos
Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar laprobabilidad de que el negocio proceso logre sus metas y objetivos
La definicioacuten de los controles debe incluir
Queacute busca hacer el control (objetivo) Coacutemo se lleva a cabo el control (procedimiento) Naturaleza del control Preventivo oacute Detectivo Tipo de control Manual Automaacutetico oacute Dependiente de IT Quieacuten lleva a cabo el control (Responsable)
Cuaacutendo se realiza el control
(Periodicidad)
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1012
Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar
15 Identificacioacuten de Medidas de Tratamiento de Riesgo
Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son
Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo
Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo
El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere
establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados
Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados
Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo guiacutea
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 512
Inicio - Fin
Proceso
Decisioacuten
DocumentoFiacutesico
Procesodefinido
DocumentoElectroacutenico
ReferenciaEn mismapaacutegina
Conectorentre
paacuteginas
Sistema
Documento
con muacuteltiples
copias
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 612
12 Identificacioacuten de Riesgos
Queacute debemos tener en cuenta para identificar los riesgos
Entender el proceso Identificar los objetivos de los procesos Buscar los puntos claves de decisioacuten en el proceso Identificar ldquoqueacute puede fallarrdquo para cada proceso actividad clave (Graacutefico No 2 y
3) Nuestra experiencia Mucho sentido comuacuten
Tener en cuenta
El riesgo continuacutea incluso con los controles Es importante saber que la ausencia de control no es un riesgo Los controles pueden reducir el impacto yo probabilidad de ocurrencia del riesgo
Definicioacuten de Riesgo Riesgo se refiere a un hecho una accioacuten u omisioacuten que podriacuteaafectar la capacidad de una Entidad para lograr sus objetivos de proceso de negocio oestrategias desencadenando la presencia de eventos adversos o amenazas en lapoblacioacuten Considera la ocurrencia latente o potencial de acontecimientos negativos oinesperados asiacute como la ausencia o sub-aprovechamiento de oportunidades
Riesgo Inherente Es la evaluacioacuten preliminar del riesgo con la cual la Entidad quiereconocer el nivel de exposicioacuten al mismo
Clasificacioacuten del tipo de evento Corresponde a la clasificacioacuten del riesgo teniendo encuenta su origen (Ejemplo fraude interno)
Determinacioacuten de la Causa (falla) Falla es la causa directa o subyacente asociada a lapresencia del riesgo (Es el QUE y el POR QUE se presenta el riesgo)
Control Son las medidas tomadas para administrar o gestionar el riesgo y paraincrementar las probabilidad que el negocio o proceso logre sus metas y objetivos
Riesgo Residual Es el nivel de riesgo al cual estaacute expuesta la Entidad de acuerdo conlos controles existentes El riesgo residual es el resultado de combinar la calificacioacuten delriesgo inherente oacute bruto y la evaluacioacuten de los controles considerando el disentildeo y laefectividad operacional de los mismos
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 712
El resultado de la combinacioacuten de la probabilidad y el impacto genera el perfil de riesgos(Magnitud del Riesgo)
Queacute se debe tener en cuenta al redactar un Riesgo
1 El riesgo debe estar escrito en un lenguaje comuacuten y comprensible para todala Compantildeiacutea
2 Responde faacutecilmente a la pregunta si ocurre el riesgo iquestQueacute peacuterdida esgenerada Es decir permite identificar la peacuterdida potencial fraude multademanda reproceso robo sancioacuten etc
3 Permite establecer la probabilidad e impacto obteniendo asiacute la calificacioacutendel mismo
4 Evitar las negaciones para expresar el Riesgo5 La ausencia de control no es un riesgo
983109983146983141983149983152983148983151983098
No afiliar adecuadamente
Realizar afiliaciones inadecuadamente
Queacute se debe tener en cuenta para determinar una Causa (falla)
Las fallas se clasifican en
Falla de Tecnologiacutea de Informacioacuten Se refiere al uso de software y hardware de laorganizacioacuten
Fallas de Recurso Humano La formacioacuten y promocioacuten de competencias de lostrabajadores con el fin de mejorar sus capacidades habilidades y aptitudes para ejecutarlos procesos alineados a la estrategia y evitar las desviaciones que demoren o evitenalcanzar los objetivos Ademaacutes involucra el promover comportamientos seguros en latoma de decisiones Identificacioacuten y poliacutetica para el manejo de fraudes
Falla por eventos externos son eventos asociados a la naturaleza o externos se escapana la organizacioacuten
Falla de Procesos Se entiende por falla de procesos lo referente a
POLITICA Es el compromiso de la organizacioacuten para establecer sus paraacutemetrosde ejecucioacuten y desarrollo en el negocio de aseguramiento en salud y expreseformalmente los objetivos asiacute como los principios y directrices a seguir en materiade los lineamientos estrateacutegicos estructurales de comunicacioacuten y deinfraestructura
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 812
PLANIFICACION Y EJECUCION La Planificacioacuten de las tareas a emprenderdistinguiendo entre planificacioacuten en las condiciones normales del negocio yplanificacioacuten de emergencia La primera pretende desarrollar un meacutetodo ordenadode puesta en praacutectica de las poliacuteticas y acciones necesarias para evitar lamaterializacioacuten de eventos no deseados Paralelamente el plan de emergenciapretende planificar con serenidad las acciones a emprender para responder con
rapidez y eficacia ante cualquier incidencia reduciendo al maacuteximo sus posiblesconsecuencias
COMUNICACIOacuteN La Comunicacioacuten y transferencia de informacioacuten sobre el mediode trabajo hasta su operatividad sus posibles riesgos y la forma correcta decombatirlos Tener en cuenta tecnologiacutea
RUTAS DE ACCESO Puntos de encuentro o de conexioacuten entre la EPS y elusuario en todos los aacutembitos que refiere el aseguramiento en salud contemplandoen la ley (BARRERAS DE ACCESO)
DOCUMENTO DE PROCESOS Conocimiento y documentacioacuten de los procesoscorrecta ejecucioacuten de los mismos trazabilidad y conectividad de los procesosclaridad de los roles y estandarizacioacuten en la ejecucioacuten
Falla de Infraestructura Son las fallas relacionadas a edificaciones elementos de apoyopara las operaciones almacenamiento y transporte espacios de trabajo entre otros
Falla de Medicioacuten de resultados Revisioacuten de las actuaciones realizadas en laorganizacioacuten permitiendo asiacute alcanzar la mejora continua Este control se ejecuta atraveacutes del anaacutelisis de las condiciones de trabajo responsabilidades desempentildeo ysucesos ocurridos en el interior de la empresa
13 Medicioacuten (evaluacioacuten) de riesgos
La dimensioacuten del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en ladeterminacioacuten de riesgos intermedios De igual forma utilizar un mapa con una estructurano lineal para establecer un mayor peso a aquellos eventos en los cuales aunque laprobabilidad es baja su impacto al interior de la EPS es superior
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 912
Establezca de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivelde impacto
14 Controlar los riesgos
Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar laprobabilidad de que el negocio proceso logre sus metas y objetivos
La definicioacuten de los controles debe incluir
Queacute busca hacer el control (objetivo) Coacutemo se lleva a cabo el control (procedimiento) Naturaleza del control Preventivo oacute Detectivo Tipo de control Manual Automaacutetico oacute Dependiente de IT Quieacuten lleva a cabo el control (Responsable)
Cuaacutendo se realiza el control
(Periodicidad)
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1012
Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar
15 Identificacioacuten de Medidas de Tratamiento de Riesgo
Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son
Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo
Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo
El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere
establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados
Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados
Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo guiacutea
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 612
12 Identificacioacuten de Riesgos
Queacute debemos tener en cuenta para identificar los riesgos
Entender el proceso Identificar los objetivos de los procesos Buscar los puntos claves de decisioacuten en el proceso Identificar ldquoqueacute puede fallarrdquo para cada proceso actividad clave (Graacutefico No 2 y
3) Nuestra experiencia Mucho sentido comuacuten
Tener en cuenta
El riesgo continuacutea incluso con los controles Es importante saber que la ausencia de control no es un riesgo Los controles pueden reducir el impacto yo probabilidad de ocurrencia del riesgo
Definicioacuten de Riesgo Riesgo se refiere a un hecho una accioacuten u omisioacuten que podriacuteaafectar la capacidad de una Entidad para lograr sus objetivos de proceso de negocio oestrategias desencadenando la presencia de eventos adversos o amenazas en lapoblacioacuten Considera la ocurrencia latente o potencial de acontecimientos negativos oinesperados asiacute como la ausencia o sub-aprovechamiento de oportunidades
Riesgo Inherente Es la evaluacioacuten preliminar del riesgo con la cual la Entidad quiereconocer el nivel de exposicioacuten al mismo
Clasificacioacuten del tipo de evento Corresponde a la clasificacioacuten del riesgo teniendo encuenta su origen (Ejemplo fraude interno)
Determinacioacuten de la Causa (falla) Falla es la causa directa o subyacente asociada a lapresencia del riesgo (Es el QUE y el POR QUE se presenta el riesgo)
Control Son las medidas tomadas para administrar o gestionar el riesgo y paraincrementar las probabilidad que el negocio o proceso logre sus metas y objetivos
Riesgo Residual Es el nivel de riesgo al cual estaacute expuesta la Entidad de acuerdo conlos controles existentes El riesgo residual es el resultado de combinar la calificacioacuten delriesgo inherente oacute bruto y la evaluacioacuten de los controles considerando el disentildeo y laefectividad operacional de los mismos
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 712
El resultado de la combinacioacuten de la probabilidad y el impacto genera el perfil de riesgos(Magnitud del Riesgo)
Queacute se debe tener en cuenta al redactar un Riesgo
1 El riesgo debe estar escrito en un lenguaje comuacuten y comprensible para todala Compantildeiacutea
2 Responde faacutecilmente a la pregunta si ocurre el riesgo iquestQueacute peacuterdida esgenerada Es decir permite identificar la peacuterdida potencial fraude multademanda reproceso robo sancioacuten etc
3 Permite establecer la probabilidad e impacto obteniendo asiacute la calificacioacutendel mismo
4 Evitar las negaciones para expresar el Riesgo5 La ausencia de control no es un riesgo
983109983146983141983149983152983148983151983098
No afiliar adecuadamente
Realizar afiliaciones inadecuadamente
Queacute se debe tener en cuenta para determinar una Causa (falla)
Las fallas se clasifican en
Falla de Tecnologiacutea de Informacioacuten Se refiere al uso de software y hardware de laorganizacioacuten
Fallas de Recurso Humano La formacioacuten y promocioacuten de competencias de lostrabajadores con el fin de mejorar sus capacidades habilidades y aptitudes para ejecutarlos procesos alineados a la estrategia y evitar las desviaciones que demoren o evitenalcanzar los objetivos Ademaacutes involucra el promover comportamientos seguros en latoma de decisiones Identificacioacuten y poliacutetica para el manejo de fraudes
Falla por eventos externos son eventos asociados a la naturaleza o externos se escapana la organizacioacuten
Falla de Procesos Se entiende por falla de procesos lo referente a
POLITICA Es el compromiso de la organizacioacuten para establecer sus paraacutemetrosde ejecucioacuten y desarrollo en el negocio de aseguramiento en salud y expreseformalmente los objetivos asiacute como los principios y directrices a seguir en materiade los lineamientos estrateacutegicos estructurales de comunicacioacuten y deinfraestructura
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 812
PLANIFICACION Y EJECUCION La Planificacioacuten de las tareas a emprenderdistinguiendo entre planificacioacuten en las condiciones normales del negocio yplanificacioacuten de emergencia La primera pretende desarrollar un meacutetodo ordenadode puesta en praacutectica de las poliacuteticas y acciones necesarias para evitar lamaterializacioacuten de eventos no deseados Paralelamente el plan de emergenciapretende planificar con serenidad las acciones a emprender para responder con
rapidez y eficacia ante cualquier incidencia reduciendo al maacuteximo sus posiblesconsecuencias
COMUNICACIOacuteN La Comunicacioacuten y transferencia de informacioacuten sobre el mediode trabajo hasta su operatividad sus posibles riesgos y la forma correcta decombatirlos Tener en cuenta tecnologiacutea
RUTAS DE ACCESO Puntos de encuentro o de conexioacuten entre la EPS y elusuario en todos los aacutembitos que refiere el aseguramiento en salud contemplandoen la ley (BARRERAS DE ACCESO)
DOCUMENTO DE PROCESOS Conocimiento y documentacioacuten de los procesoscorrecta ejecucioacuten de los mismos trazabilidad y conectividad de los procesosclaridad de los roles y estandarizacioacuten en la ejecucioacuten
Falla de Infraestructura Son las fallas relacionadas a edificaciones elementos de apoyopara las operaciones almacenamiento y transporte espacios de trabajo entre otros
Falla de Medicioacuten de resultados Revisioacuten de las actuaciones realizadas en laorganizacioacuten permitiendo asiacute alcanzar la mejora continua Este control se ejecuta atraveacutes del anaacutelisis de las condiciones de trabajo responsabilidades desempentildeo ysucesos ocurridos en el interior de la empresa
13 Medicioacuten (evaluacioacuten) de riesgos
La dimensioacuten del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en ladeterminacioacuten de riesgos intermedios De igual forma utilizar un mapa con una estructurano lineal para establecer un mayor peso a aquellos eventos en los cuales aunque laprobabilidad es baja su impacto al interior de la EPS es superior
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 912
Establezca de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivelde impacto
14 Controlar los riesgos
Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar laprobabilidad de que el negocio proceso logre sus metas y objetivos
La definicioacuten de los controles debe incluir
Queacute busca hacer el control (objetivo) Coacutemo se lleva a cabo el control (procedimiento) Naturaleza del control Preventivo oacute Detectivo Tipo de control Manual Automaacutetico oacute Dependiente de IT Quieacuten lleva a cabo el control (Responsable)
Cuaacutendo se realiza el control
(Periodicidad)
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1012
Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar
15 Identificacioacuten de Medidas de Tratamiento de Riesgo
Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son
Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo
Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo
El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere
establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados
Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados
Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo guiacutea
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 712
El resultado de la combinacioacuten de la probabilidad y el impacto genera el perfil de riesgos(Magnitud del Riesgo)
Queacute se debe tener en cuenta al redactar un Riesgo
1 El riesgo debe estar escrito en un lenguaje comuacuten y comprensible para todala Compantildeiacutea
2 Responde faacutecilmente a la pregunta si ocurre el riesgo iquestQueacute peacuterdida esgenerada Es decir permite identificar la peacuterdida potencial fraude multademanda reproceso robo sancioacuten etc
3 Permite establecer la probabilidad e impacto obteniendo asiacute la calificacioacutendel mismo
4 Evitar las negaciones para expresar el Riesgo5 La ausencia de control no es un riesgo
983109983146983141983149983152983148983151983098
No afiliar adecuadamente
Realizar afiliaciones inadecuadamente
Queacute se debe tener en cuenta para determinar una Causa (falla)
Las fallas se clasifican en
Falla de Tecnologiacutea de Informacioacuten Se refiere al uso de software y hardware de laorganizacioacuten
Fallas de Recurso Humano La formacioacuten y promocioacuten de competencias de lostrabajadores con el fin de mejorar sus capacidades habilidades y aptitudes para ejecutarlos procesos alineados a la estrategia y evitar las desviaciones que demoren o evitenalcanzar los objetivos Ademaacutes involucra el promover comportamientos seguros en latoma de decisiones Identificacioacuten y poliacutetica para el manejo de fraudes
Falla por eventos externos son eventos asociados a la naturaleza o externos se escapana la organizacioacuten
Falla de Procesos Se entiende por falla de procesos lo referente a
POLITICA Es el compromiso de la organizacioacuten para establecer sus paraacutemetrosde ejecucioacuten y desarrollo en el negocio de aseguramiento en salud y expreseformalmente los objetivos asiacute como los principios y directrices a seguir en materiade los lineamientos estrateacutegicos estructurales de comunicacioacuten y deinfraestructura
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 812
PLANIFICACION Y EJECUCION La Planificacioacuten de las tareas a emprenderdistinguiendo entre planificacioacuten en las condiciones normales del negocio yplanificacioacuten de emergencia La primera pretende desarrollar un meacutetodo ordenadode puesta en praacutectica de las poliacuteticas y acciones necesarias para evitar lamaterializacioacuten de eventos no deseados Paralelamente el plan de emergenciapretende planificar con serenidad las acciones a emprender para responder con
rapidez y eficacia ante cualquier incidencia reduciendo al maacuteximo sus posiblesconsecuencias
COMUNICACIOacuteN La Comunicacioacuten y transferencia de informacioacuten sobre el mediode trabajo hasta su operatividad sus posibles riesgos y la forma correcta decombatirlos Tener en cuenta tecnologiacutea
RUTAS DE ACCESO Puntos de encuentro o de conexioacuten entre la EPS y elusuario en todos los aacutembitos que refiere el aseguramiento en salud contemplandoen la ley (BARRERAS DE ACCESO)
DOCUMENTO DE PROCESOS Conocimiento y documentacioacuten de los procesoscorrecta ejecucioacuten de los mismos trazabilidad y conectividad de los procesosclaridad de los roles y estandarizacioacuten en la ejecucioacuten
Falla de Infraestructura Son las fallas relacionadas a edificaciones elementos de apoyopara las operaciones almacenamiento y transporte espacios de trabajo entre otros
Falla de Medicioacuten de resultados Revisioacuten de las actuaciones realizadas en laorganizacioacuten permitiendo asiacute alcanzar la mejora continua Este control se ejecuta atraveacutes del anaacutelisis de las condiciones de trabajo responsabilidades desempentildeo ysucesos ocurridos en el interior de la empresa
13 Medicioacuten (evaluacioacuten) de riesgos
La dimensioacuten del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en ladeterminacioacuten de riesgos intermedios De igual forma utilizar un mapa con una estructurano lineal para establecer un mayor peso a aquellos eventos en los cuales aunque laprobabilidad es baja su impacto al interior de la EPS es superior
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 912
Establezca de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivelde impacto
14 Controlar los riesgos
Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar laprobabilidad de que el negocio proceso logre sus metas y objetivos
La definicioacuten de los controles debe incluir
Queacute busca hacer el control (objetivo) Coacutemo se lleva a cabo el control (procedimiento) Naturaleza del control Preventivo oacute Detectivo Tipo de control Manual Automaacutetico oacute Dependiente de IT Quieacuten lleva a cabo el control (Responsable)
Cuaacutendo se realiza el control
(Periodicidad)
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1012
Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar
15 Identificacioacuten de Medidas de Tratamiento de Riesgo
Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son
Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo
Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo
El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere
establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados
Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados
Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo guiacutea
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 812
PLANIFICACION Y EJECUCION La Planificacioacuten de las tareas a emprenderdistinguiendo entre planificacioacuten en las condiciones normales del negocio yplanificacioacuten de emergencia La primera pretende desarrollar un meacutetodo ordenadode puesta en praacutectica de las poliacuteticas y acciones necesarias para evitar lamaterializacioacuten de eventos no deseados Paralelamente el plan de emergenciapretende planificar con serenidad las acciones a emprender para responder con
rapidez y eficacia ante cualquier incidencia reduciendo al maacuteximo sus posiblesconsecuencias
COMUNICACIOacuteN La Comunicacioacuten y transferencia de informacioacuten sobre el mediode trabajo hasta su operatividad sus posibles riesgos y la forma correcta decombatirlos Tener en cuenta tecnologiacutea
RUTAS DE ACCESO Puntos de encuentro o de conexioacuten entre la EPS y elusuario en todos los aacutembitos que refiere el aseguramiento en salud contemplandoen la ley (BARRERAS DE ACCESO)
DOCUMENTO DE PROCESOS Conocimiento y documentacioacuten de los procesoscorrecta ejecucioacuten de los mismos trazabilidad y conectividad de los procesosclaridad de los roles y estandarizacioacuten en la ejecucioacuten
Falla de Infraestructura Son las fallas relacionadas a edificaciones elementos de apoyopara las operaciones almacenamiento y transporte espacios de trabajo entre otros
Falla de Medicioacuten de resultados Revisioacuten de las actuaciones realizadas en laorganizacioacuten permitiendo asiacute alcanzar la mejora continua Este control se ejecuta atraveacutes del anaacutelisis de las condiciones de trabajo responsabilidades desempentildeo ysucesos ocurridos en el interior de la empresa
13 Medicioacuten (evaluacioacuten) de riesgos
La dimensioacuten del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en ladeterminacioacuten de riesgos intermedios De igual forma utilizar un mapa con una estructurano lineal para establecer un mayor peso a aquellos eventos en los cuales aunque laprobabilidad es baja su impacto al interior de la EPS es superior
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 912
Establezca de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivelde impacto
14 Controlar los riesgos
Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar laprobabilidad de que el negocio proceso logre sus metas y objetivos
La definicioacuten de los controles debe incluir
Queacute busca hacer el control (objetivo) Coacutemo se lleva a cabo el control (procedimiento) Naturaleza del control Preventivo oacute Detectivo Tipo de control Manual Automaacutetico oacute Dependiente de IT Quieacuten lleva a cabo el control (Responsable)
Cuaacutendo se realiza el control
(Periodicidad)
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1012
Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar
15 Identificacioacuten de Medidas de Tratamiento de Riesgo
Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son
Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo
Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo
El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere
establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados
Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados
Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo guiacutea
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 912
Establezca de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivelde impacto
14 Controlar los riesgos
Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar laprobabilidad de que el negocio proceso logre sus metas y objetivos
La definicioacuten de los controles debe incluir
Queacute busca hacer el control (objetivo) Coacutemo se lleva a cabo el control (procedimiento) Naturaleza del control Preventivo oacute Detectivo Tipo de control Manual Automaacutetico oacute Dependiente de IT Quieacuten lleva a cabo el control (Responsable)
Cuaacutendo se realiza el control
(Periodicidad)
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1012
Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar
15 Identificacioacuten de Medidas de Tratamiento de Riesgo
Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son
Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo
Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo
El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere
establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados
Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados
Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo guiacutea
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1012
Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual
El resultado del riesgo residual determina las medidas de tratamiento a ejecutar
15 Identificacioacuten de Medidas de Tratamiento de Riesgo
Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son
Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo
Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo
El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere
establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados
Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados
Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado
RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS
Ejemplo guiacutea
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1112
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212
7232019 7 Cartilla Metodoloacutegica SAR
httpslidepdfcomreaderfull7-cartilla-metodologica-sar 1212