7 cartilla metodológica sar

7232019 7 Cartilla Metodoloacutegica SAR

httpslidepdfcomreaderfull7-cartilla-metodologica-sar 112

MODELO DE IMPLEMENTACIOgraveN DE SISTEMA DE ADMINISTRACIOgraveN DERIESGO EPS SOS SA

La metodologiacutea para la implementacioacuten seraacute la establecida seguacuten el modelo de la NormaTeacutecnica Colombiana (NTC5254) la cual consta de las correspondientes fasesidentificacioacuten anaacutelisis evaluacioacuten y tratamiento

Para llevar a cabo el desarrollo del mismo se requiere

983085 Por lo menos un participante de los procesos cliente983085 Por lo menos un participante de los procesos proveedores983085 Por lo menos un participante del proceso operativo983085 Es necesario que por liacuteder de proceso se cuente con una licencia de Office 2007983085 Revisioacuten de los objetivos de los procesos a desarrollar

Los pasos para la implementacioacuten del SAR son los siguientes

1 Seleccione el proceso a desarrollar seguacuten se contemple en el mapa geneacutericode proceso en la EPS SOS

2 Teniendo en cuenta el objetivo del proceso seleccionado identifique losriesgos inherentes dentro de su proceso clasifique el riesgo y el tipo de eventodel mismo

3 Identifique queacute Causas (fallas) y su clasificacioacuten respectiva se encuentranasociadas a la presencia de este riesgo

4 Establezca la evaluacioacuten seguacuten la probabilidad de ocurrencia y nivel deimpacto

5 Enuncie los posibles controles presentes en su organizacioacuten teniendo encuenta la Causa (falla) identificada

6 Establezca la evaluacioacuten de controles en disentildeo y ejecucioacuten identifique elriesgo residual



7 Seguacuten el resultado en la matriz de evaluacioacuten establezca el tratamientorespectivo



SISTEMA ADMINISTRACION DE RIESGOS SAR

1 Fases metodoloacutegicas para estructurar el SAR

11 Definicioacuten de criterios Considera el establecimiento de paraacutemetros sobre loscuaacuteles la direccioacuten de la entidad definiraacute la evaluacioacuten y tratamiento de sus riesgosy controles

12 Identificacioacuten de los Riesgos Identificar Queacute Por queacute y Coacutemo pueden surgir losriesgos con el fin de establecer los criterios necesarios para su administracioacuten

13 Medicioacuten de los riesgos Establecer el nivel de los riesgos inherentes al cuaacutel estaacuteexpuesto el proceso de evaluacioacuten teniendo en cuenta los criterios deprobabilidad de ocurrencia y magnitud del impacto

14 Controlar los riesgos Establecer y evaluar las medidas de control requeridas paraadministrar los riesgos Establecer el nivel de riesgo residual al cuaacutel estaacute expuestoel proceso

15 Identificar medidas de tratamiento Identificar opciones para tratar los riesgos deacuerdo con el nivel de riesgo residual obtenido Realizar la evaluacioacuten de dichasopciones Preparar los planes de mitigacioacuten tratamiento de riesgos y suimplementacioacuten

A continuacioacuten se ampliaran los conceptos anteriores

11 Definicioacuten de criterios

Caracterizacioacuten de Procesos Es el conjunto de variables que ayudan a un mayorentendimiento del proceso y considera los elementos descritos a continuacioacuten

Objetivo del proceso Es el resultado que una organizacioacuten espera alcanzar en eldesarrollo y operacionalizacioacuten concreta de su misioacuten y visioacuten Los objetivos seredactan comenzando con un verbo en infinitivo y deben ser mesurables es decirdeben permitir la comprobacioacuten del resultado

Alcance del proceso Es la frontera del proceso doacutende comienza y doacutendetermina El alcance permite establecer los procesos coacutemo interactuacutean entre siacute eneste caso tambieacuten se contempla las entradas y salidas

Comienzo o inicio actividades con la cuales se da inicio al proceso Fin Final Terminacioacuten actividades con las cuales finaliza el proceso



Entradas del Proceso Son los insumos que ingresan al proceso para poderdesarrollar una yo varias actividades especiacuteficas

Salidas del proceso Son los resultados del desarrollo de las actividadesdel proceso que en algunas oportunidades son las entradas de otrosprocesos Las salidas no necesariamente se dan al finalizar el proceso

Responsables y participantes dentro del proceso Se refiere al procesoinvolucrado y los roles y responsabilidades de las personas participantes dentro deeacuteste

Actividades del proceso Es la descripcioacuten de las actividades realizadas dentrodel proceso las cuales se presentan en orden secuencial

Documentos relacionados Normatividad aplicable procedimientos o reportesque soportan el desarrollo de las distintas actividades del proceso

Factores criacuteticos de eacutexito (FCE) Un Factor de Eacutexito es algo que debe ocurrir (odebe no ocurrir) para conseguir un objetivo Este Factor de Eacutexito se define comocriacutetico si su cumplimiento es absolutamente necesario para cumplir los objetivosde la Organizacioacuten por lo cual requiere una especial atencioacuten por parte de losoacuterganos gestores con el fin de asegurar que se dedican los mejores recursos a laejecucioacuten o realizacioacuten de dicho Factor de Eacutexito

Indicadores del Proceso Son medidas cuantitativas financieras y no financierasque la organizacioacuten recopila continuacutea o perioacutedicamente y los directivos utilizanpara evaluar el progreso hacia el logro de los objetivos definidos

Diagrama de Flujo Es la agrupacioacuten de actividades ordenadas de acuerdo conuna secuencia loacutegica establecida

Simbologiacutea para realizar el flujograma de procesos



Inicio - Fin

Proceso

Decisioacuten

DocumentoFiacutesico

Procesodefinido

DocumentoElectroacutenico

ReferenciaEn mismapaacutegina

Conectorentre

paacuteginas

Sistema

Documento

con muacuteltiples

copias



12 Identificacioacuten de Riesgos

Queacute debemos tener en cuenta para identificar los riesgos

Entender el proceso Identificar los objetivos de los procesos Buscar los puntos claves de decisioacuten en el proceso Identificar ldquoqueacute puede fallarrdquo para cada proceso actividad clave (Graacutefico No 2 y

3) Nuestra experiencia Mucho sentido comuacuten

Tener en cuenta

El riesgo continuacutea incluso con los controles Es importante saber que la ausencia de control no es un riesgo Los controles pueden reducir el impacto yo probabilidad de ocurrencia del riesgo

Definicioacuten de Riesgo Riesgo se refiere a un hecho una accioacuten u omisioacuten que podriacuteaafectar la capacidad de una Entidad para lograr sus objetivos de proceso de negocio oestrategias desencadenando la presencia de eventos adversos o amenazas en lapoblacioacuten Considera la ocurrencia latente o potencial de acontecimientos negativos oinesperados asiacute como la ausencia o sub-aprovechamiento de oportunidades

Riesgo Inherente Es la evaluacioacuten preliminar del riesgo con la cual la Entidad quiereconocer el nivel de exposicioacuten al mismo

Clasificacioacuten del tipo de evento Corresponde a la clasificacioacuten del riesgo teniendo encuenta su origen (Ejemplo fraude interno)

Determinacioacuten de la Causa (falla) Falla es la causa directa o subyacente asociada a lapresencia del riesgo (Es el QUE y el POR QUE se presenta el riesgo)

Control Son las medidas tomadas para administrar o gestionar el riesgo y paraincrementar las probabilidad que el negocio o proceso logre sus metas y objetivos

Riesgo Residual Es el nivel de riesgo al cual estaacute expuesta la Entidad de acuerdo conlos controles existentes El riesgo residual es el resultado de combinar la calificacioacuten delriesgo inherente oacute bruto y la evaluacioacuten de los controles considerando el disentildeo y laefectividad operacional de los mismos



El resultado de la combinacioacuten de la probabilidad y el impacto genera el perfil de riesgos(Magnitud del Riesgo)

Queacute se debe tener en cuenta al redactar un Riesgo

1 El riesgo debe estar escrito en un lenguaje comuacuten y comprensible para todala Compantildeiacutea

2 Responde faacutecilmente a la pregunta si ocurre el riesgo iquestQueacute peacuterdida esgenerada Es decir permite identificar la peacuterdida potencial fraude multademanda reproceso robo sancioacuten etc

3 Permite establecer la probabilidad e impacto obteniendo asiacute la calificacioacutendel mismo

4 Evitar las negaciones para expresar el Riesgo5 La ausencia de control no es un riesgo

983109983146983141983149983152983148983151983098

No afiliar adecuadamente

Realizar afiliaciones inadecuadamente

Queacute se debe tener en cuenta para determinar una Causa (falla)

Las fallas se clasifican en

Falla de Tecnologiacutea de Informacioacuten Se refiere al uso de software y hardware de laorganizacioacuten

Fallas de Recurso Humano La formacioacuten y promocioacuten de competencias de lostrabajadores con el fin de mejorar sus capacidades habilidades y aptitudes para ejecutarlos procesos alineados a la estrategia y evitar las desviaciones que demoren o evitenalcanzar los objetivos Ademaacutes involucra el promover comportamientos seguros en latoma de decisiones Identificacioacuten y poliacutetica para el manejo de fraudes

Falla por eventos externos son eventos asociados a la naturaleza o externos se escapana la organizacioacuten

Falla de Procesos Se entiende por falla de procesos lo referente a

POLITICA Es el compromiso de la organizacioacuten para establecer sus paraacutemetrosde ejecucioacuten y desarrollo en el negocio de aseguramiento en salud y expreseformalmente los objetivos asiacute como los principios y directrices a seguir en materiade los lineamientos estrateacutegicos estructurales de comunicacioacuten y deinfraestructura



PLANIFICACION Y EJECUCION La Planificacioacuten de las tareas a emprenderdistinguiendo entre planificacioacuten en las condiciones normales del negocio yplanificacioacuten de emergencia La primera pretende desarrollar un meacutetodo ordenadode puesta en praacutectica de las poliacuteticas y acciones necesarias para evitar lamaterializacioacuten de eventos no deseados Paralelamente el plan de emergenciapretende planificar con serenidad las acciones a emprender para responder con

rapidez y eficacia ante cualquier incidencia reduciendo al maacuteximo sus posiblesconsecuencias

COMUNICACIOacuteN La Comunicacioacuten y transferencia de informacioacuten sobre el mediode trabajo hasta su operatividad sus posibles riesgos y la forma correcta decombatirlos Tener en cuenta tecnologiacutea

RUTAS DE ACCESO Puntos de encuentro o de conexioacuten entre la EPS y elusuario en todos los aacutembitos que refiere el aseguramiento en salud contemplandoen la ley (BARRERAS DE ACCESO)

DOCUMENTO DE PROCESOS Conocimiento y documentacioacuten de los procesoscorrecta ejecucioacuten de los mismos trazabilidad y conectividad de los procesosclaridad de los roles y estandarizacioacuten en la ejecucioacuten

Falla de Infraestructura Son las fallas relacionadas a edificaciones elementos de apoyopara las operaciones almacenamiento y transporte espacios de trabajo entre otros

Falla de Medicioacuten de resultados Revisioacuten de las actuaciones realizadas en laorganizacioacuten permitiendo asiacute alcanzar la mejora continua Este control se ejecuta atraveacutes del anaacutelisis de las condiciones de trabajo responsabilidades desempentildeo ysucesos ocurridos en el interior de la empresa

13 Medicioacuten (evaluacioacuten) de riesgos

La dimensioacuten del mapa contiene niveles de 5 x 5 para brindar mayor flexibilidad en ladeterminacioacuten de riesgos intermedios De igual forma utilizar un mapa con una estructurano lineal para establecer un mayor peso a aquellos eventos en los cuales aunque laprobabilidad es baja su impacto al interior de la EPS es superior



Establezca de acuerdo a lo definido en las escalas de probabilidad de ocurrencia y nivelde impacto

14 Controlar los riesgos

Son las medidas tomadas para administrar o gestionar el riesgo y para incrementar laprobabilidad de que el negocio proceso logre sus metas y objetivos

La definicioacuten de los controles debe incluir

Queacute busca hacer el control (objetivo) Coacutemo se lleva a cabo el control (procedimiento) Naturaleza del control Preventivo oacute Detectivo Tipo de control Manual Automaacutetico oacute Dependiente de IT Quieacuten lleva a cabo el control (Responsable)

Cuaacutendo se realiza el control

(Periodicidad)



Teniendo en cuenta la evaluacioacuten de los controles (seguacuten disentildeo y eficacia) calcule elriesgo residual

El resultado del riesgo residual determina las medidas de tratamiento a ejecutar

15 Identificacioacuten de Medidas de Tratamiento de Riesgo

Los criterios sugeridos para tomar decisiones sobre el tratamiento a los riesgosidentificados son

Para los riesgos calificados como Extremos y Superiores se estableceraacuten planesde accioacuten a corto plazo

Para los riesgos calificados como Moderados y Bajos se estableceraacuten planes deaccioacuten a mediano yo largo plazo yo se disentildearaacuten actividades para su monitoreo

El Monitoreo de Riesgos son las medidas utilizadas para monitorear el nivel deexposicioacuten al riesgo en la EPS Para la realizacioacuten de este monitoreo se sugiere

establecerIndicadores de Desempentildeo Son las medidas que muestran los cambios en laprobabilidad de ocurrencia de un riesgo Ejemplo Total formularios Recibidos Totalformularios de afiliacioacuten Radicados

Indicadores de control Son las medidas que muestra los cambios en la efectividad decontroles Ejemplo Total formularios grabados correctamenteTotal formularios grabados

Alertas Son la combinacioacuten de los resultados de los indicadores de desempentildeo y decontrol a traveacutes de la cual se generan alertas para definir planes de accioacuten con respectoal nivel de exposicioacuten a un riesgo determinado

RESUMEN VISUAL DEL RESULTADO DE IDENTIFICAR Y EVALUAR LOS RIESGOS

Ejemplo guiacutea







7 Seguacuten el resultado en la matriz de evaluacioacuten establezca el tratamientorespectivo





























Inicio - Fin

Proceso

Decisioacuten


Procesodefinido



Conectorentre

paacuteginas

Sistema

Documento

con muacuteltiples

copias







Tener en cuenta
















983109983146983141983149983152983148983151983098





























(Periodicidad)














Ejemplo guiacutea

































Inicio - Fin

Proceso

Decisioacuten


Procesodefinido



Conectorentre

paacuteginas

Sistema

Documento

con muacuteltiples

copias







Tener en cuenta
















983109983146983141983149983152983148983151983098





























(Periodicidad)














Ejemplo guiacutea











Tener en cuenta
















983109983146983141983149983152983148983151983098





























(Periodicidad)














Ejemplo guiacutea













983109983146983141983149983152983148983151983098





























(Periodicidad)














Ejemplo guiacutea
























(Periodicidad)














Ejemplo guiacutea


















Ejemplo guiacutea





7 cartilla metodológica sar

Documents