PALABRAS CLAVES

Riesgo, Administración de servicios de salud, Control de riesgo, Probabilidad, Gerencia

ABSTRACT

Risk is defined as an event that is unknown, undesirable, sudden, and beyond our control that when present could carry negative consequences for the parties at isk. As a result, the risk management program is created providing a sequence of clearly defined steps that help the individual in making decisions during the evaluation of risk impact in an enterprise. A planned approach is an efficient way of identifying opportunities and losses resulting from an action at risk, and help improving performance, quality, and safety of any type of businesses, whether they are public or privately owened. A risk management program consists of basic elements such as background definition and risk identification, evaluation, management, monitoring, and renewal. Risk management usually starts with the identification of the level of risk that an entity faces, which results from a probabilistic analysis. Once the risk level is identified, an action plan is prepared for the mitigation of risk. The success of a risk management program is determined by the identification of clear and specific objectives as well as by how accurate is the identification of the level of risk that an organization may face. The program implementation for the public health sector will require a planning phase that starts with a detailed study of the business conditions such the marketing enviroment, sales, and number and type of the subscribers; and ends with an estimation of the impact to the health levels of the subscribers. The risk management program allows the organization to classify its activities in tree main areas: health risks, management risks, and others. Because this system, applied to the health sector is still in legislative settings, change the scope of that to the extent that the definition of new guidelines from the Ministerio de la Protección Social and the Superintendencia Nacional de Salud.

KEY WORDS

Risk, Health Services Administration, Risk Management, Probability, Management

Análisis de los riesgos: busca identificar y evaluar los controles existentes y determinar las consecuencias y el nivel del riesgo. Establece una valoración y priorización de los riesgos y dependerá de la información del mismo, de su causa y de la disponibilidad de datos.

El equipo de trabajo puede construir sus propias escalas de análisis, de acuerdo a la naturaleza de la entidad y a las características de los procesos, las cuales pueden ser cuantitativas o cualitativas. El análisis cualitativo, se puede utilizar cuando el nivel de riesgo no justifica el tiempo y los recursos necesarios para un análisis con datos numéricos, o cuando se quiere realizar una observación general inicial de los riesgos (13).

Una parte fundamental del proceso de gestión, consiste en la evaluación del esquema de administración de riesgo que posee la entidad, indispensable para determinar las áreas que requieran mayor atención y permite medir la fortaleza o vulnerabilidad de cada institución (12).

Evaluación de los riesgos: Este elemento compara los niveles estimados de riesgo frente a los criterios preestablecidos y considera el equilibrio entre beneficios potenciales y resultados adversos. Permite tomar decisiones sobre el grado y la naturaleza de los tratamientos requeridos y sobre las prioridades.

Tratamiento de los riesgos: desarrolla e implementa estrategias específicas y eficaces en términos de costos y planes de acción para incrementar los beneficios potenciales y reducir las pérdidas. Se debe analizar la reducción de la probabilidad y la intensidad de los riesgos y el costo de las medidas de protección. La primera, busca que las consecuencias en caso de ocurrir el siniestro sean menores y la segunda, introduce el costo como un elemento decisorio para llevar a la práctica las acciones de protección.

Monitoreo y revisión: permite monitorear la eficacia de todas las etapas del proceso de gestión del riesgo, con el fin de mantener un proceso de mejoramiento contínuo y garantizar que un cambio en las circunstancias internas y externas no alteren las prioridades establecidas ni modifiquen las probabilidades de los riesgos, porque estos no permanecen estáticos (13, 14,16).. Es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia de su implementación.

La determinación del nivel de riesgo resulta de confrontar el impacto y la probabilidad, con los controles existentes al interior de los procesos. Estos niveles de riesgo pueden ser: altos, cuando el riesgo hace muy vulnerable a la empresa y se deben tomar medidas para bajar la severidad del riesgo y fortalecer o mejorar controles; medios cuando presenta una vulnerabilidad media y requiere medidas para bajar la severidad así como conservar y mejorar controles; y bajos cuando presenta una vulnerabilidad baja, la compañía debe asumir el riesgo sin necesidad de tomar medidas de control diferentes (4,14).

Con base en la revisión anterior, para evaluar la probabilidad y la intensidad o impacto, se propone utilizar la siguiente escala (Tablas 1y 2)

Una vez determinado el nivel de riesgo, se deben analizar las posibles acciones a emprender, las cuales deben ser factibles, efectivas y de acuerdo con la significancia del riesgo. Las opciones para el manejo del riesgo son (13,14):

Evitar el riesgo, se logra cuando al interior de los procesos se generan cambios de mejoramiento, rediseño o eliminación de proyectos o actividades en las que se incurriría en el riesgo. Puede implicar descartar la comercialización de un producto, frenar la expansión de un nuevo mercado o vender alguna unidad de negocio (16).

Reducir el riesgo, se consigue mediante la optimización de procesos, implementación de controles, capacitación, supervisión, investigación y desarrollo.

Dispersión del riesgo, se logra mediante la distribución o localización del riesgo en diversos lugares eliminando la interactividad de los mismos.

Transferir el riesgo, busca respaldo y compartir con otro la responsabilidad de un riesgo, para lograr disminuir la probabilidad o el impacto del éste para la compañía, sin tener que eliminar la actividad riesgosa que la genera.

Asumir el riesgo, cuando un riesgo ha sido asumido o transferido, puede quedar un riesgo residual, donde tanto la probabilidad, como el impacto son bajos y deben ser monitoreados para descubrir las perdidas, si estas ocurren.

El último paso del manejo del riesgo, consiste en determinar el impacto total de los riesgos y el costo de administrar o manejar estos riesgos (relación costo-beneficio). Las decisiones sobre la aceptabilidad del riesgo, son dependientes de otros factores que incluyen preocupaciones sociales, económicas, políticas y legislativas (17). Se debe elaborar un mapa de riesgos que permita visualizar todo el proceso y consolidar información pertinente como: riesgo, impacto, probabilidad, control existente, nivel de riesgo, causas, acciones, responsable, cronograma e indicadores.

La administración de los riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso interactivo que consta de varios pasos, los cuales, ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones. A continuación se presenta de manera gráfica una secuencia de pasos sugerida:

El estándar australiano (18) provee una guía genérica para el establecimiento e implementación del proceso de administración de riesgos, involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y monitoreo de los riesgos. Puede ser aplicado a todas las etapas de una actividad, función, proyecto, producto o activo y permite la definición de objetivos específicos de acuerdo con las necesidades de cada implementación.

Las organizaciones deben identificar los requerimientos de recursos y proveerlos de manera adecuada, incluyendo la asignación de personal entrenado para las actividades de administración, desempeño del trabajo, y verificación incluyendo la revisión interna.

Manejo del riesgo empresarial

Desde hace algún tiempo, los responsables de la gestión de riesgos en las empresas, reconocen la importancia estratégica de una apreciación integral de los riesgos. Los requisitos regulatorios, la creciente complejidad y la diversificación de las instituciones, además de la presión en los márgenes, impulsan a las empresas a adoptar una disciplina de gestión de riesgos a nivel empresarial, conocida como "manejo empresarial del riesgo" (Enterprise Risk Management, ERM), (19) y aunque esta práctica no se realiza de manera uniforme en todas las industrias, se podría afirmar que existe un elemento común: el reconocimiento de la variedad en número e interacción de los riesgos. La ERM fue diseñada para mejorar el desempeño de las empresas. Es un enfoque para el manejo de los riesgos de manera coordinada e integrada a través de toda la organización. Pretende establecer una metodología para el crecimiento continuo con un tratamiento maduro, estructurado y disciplinado hacia los riesgos (20).

El resultado de una dirección estratégica exitosa, es la capacidad de asumir riesgos más grandes; pero es esencial que los riesgos tomados sean los correctos; la empresa debe ser capaz de elegir entre los riesgos y las oportunidades de acción, en lugar de sumergirse en incertidumbre, rumores o experiencias. Tomar y administrar el riesgo es la esencia de la supervivencia y el crecimiento de los negocios. El desarrollo de una política de riesgo debe ser una iniciativa creativa, exponiendo las oportunidades para el manejo innovador del riesgo (21).

La cultura del riesgo se define como el conjunto de actitudes compartidas, valores y prácticas que caracterizan la forma como la empresa enfrenta el riesgo e implica la manera de percibir los controles para mitigarlos. La falta de interés por parte de la dirección en promover valores corporativos y el entendimiento del proceso, puede llevar a un deterioro en la creación de

cambios culturales necesarios para cumplir los objetivos propuestos. Las empresas deben ofrecer capacitación y establecer incentivos; reconocer y premiar la conducta positiva del riesgo e imponer sanciones a quienes no cumplan las políticas de riesgo.

Durante el proceso de manejo del riesgo, la primera etapa debe ser establecer el contexto en el que opera la organización así como identificar los riesgos que son comunes para las áreas funcionales de la misma (21). Para cada modelo de negocio es necesario establecer (22): objetivos, riesgos que puedan comprometer el cumplimiento de los mismos, cuantificación de riesgos inherentes, controles vigentes, cuantificación del riesgo residual y decisión del riesgo residual, que puede ser de cuatro tipos: terminar, reducir, aceptar o transferir.

Ningún sistema de administración de riesgo, puede crear un ambiente libre de riesgo, lo que se busca es que se opere de manera más efectiva en un ambiente lleno de riesgos fluctuantes. Dentro de los beneficios de este proceso están (10): mejorar el funcionamiento del negocio, incrementar la efectividad organizacional y lograr mejores reportes de riesgo.

El equipo encargado del proyecto de implantación del proceso de gerencia de riesgos realizará reuniones para desarrollar el plan del proceso. Este equipo estará formado por un director del proyecto y los responsables de las diferentes áreas de la empresa o componente de la organización que tenga responsabilidades sobre la gerencia de riesgos.

La planificación es un proceso en el que se decide cómo se abordarán y se planificarán las distintas actividades. Una manera de explorar los mecanismos para implementar un proceso de gestión de riesgos, es descomponerlo en todas sus partes y examinar qué tanto debería contribuir cada parte a todo el conjunto; para ello se ha propuesto un proceso que lo divide en seis pasos: análisis, identificación, clasificación, evaluación, planeación y administración.

Los elementos de partida para la planificación de la gerencia de riesgos (inputs) son (19):

• Niveles de tolerancia al riesgo de los grupos de interés, que deben estar fijados dentro de los estatutos de la política de la empresa por el consejo de administración.

• Responsabilidades y roles definidos: es muy importante tener en cuenta el papel que desempeña cada miembro de la organización, así como sus niveles de autoridad para la toma de decisiones, ya que será un elemento crucial a la hora de establecer sus funciones y responsabilidades dentro del proceso de gerencia de riesgos.

• Desglose de la estructura de trabajo en la empresa: agrupación de los principales procesos que conforman las actividades de la empresa y la define en todo su ámbito

Los resultados de la planificación de la gerencia de riesgos (outputs) son:

• Plan de gerencia de riesgos: documento en el que se recogen y se describen las pautas que se deben seguir para estructurar y llevar a cabo el proceso de gerencia de riesgos según los estándares. Debe describir claramente como se llevará a cabo, definiendo los roles y responsabilidades de los participantes, las actividades, la programación y el presupuesto con el que se cuenta para realizar estas actividades y las herramientas y técnicas que serán empleadas.

• Estrategia general: describe un enfoque de alto nivel de la gerencia de riesgos, resumiendo como se abordarán colectivamente las actividades claves

• Roles y responsabilidades: se determinan los miembros que conformarán el equipo de gerencia de riesgos y en quien recaerá el liderazgo, la responsabilidad y autoridad para llevar a cabo cada una de las actividades del proceso

• Umbrales de riesgo: determina el objetivo, con el que posteriormente se evaluará la efectividad del plan de respuesta y tratamiento del riesgo.

• Programación y presupuesto

• Seguimiento y control: documentar, analizar y comunicarlos resultados del proceso de gerencia de riesgos

Uno de los elementos que se consideran mas importantes de la gerencia de riesgo es la transferencia de la información (o comunicación de riesgo) entre quienes miden el riesgo y los que toman las decisiones sobre el mismo. Las diversas etapas del proceso de la gerencia de riesgo implican diferentes formas, niveles, y objetivos de la comunicación. Por ejemplo, durante la etapa de la identificación el propósito es asegurar la comprensión del proceso y el intercambio analítico de los juicios y las opiniones de expertos. En cambio, durante la fase de la reducción del riesgo, el objetivo de la comunicación es tranquilizar a los decisores acerca de la validez de los datos usados, la seguridad del proyecto e incrementar el entendimiento del mismo (17). La divulgación de la información está orientada a tres elementos básicos: la transmisión de políticas, sensibilización constante y actualización de modificaciones. Debe realizarse en todos los niveles de la compañía de manera periódica, tanto interna como externa e incluyendo proveedores, aliados estratégicos, promotores y asesores (16).

El manejo de riesgo empresarial (ERM) busca la identificación y análisis de los riesgos en una perspectiva integrada por toda la compañía y por un proceso de auditoria interna, donde cada uno tiene funciones específicas. El consejo de la administración debe actuar como coordinador y facilitador y realizar seguimiento permanente (23,24). El proceso afecta varias de sus funciones, como la formulación de políticas, el pensamiento estratégico y la supervisión administrativa. Debe tener en cuenta la naturaleza y extensión de los riesgos negativos aceptables por la compañía, la probabilidad de que esos riesgos se conviertan en realidad, la habilidad de la compañía para minimizar la probabilidad y el impacto en el negocio y la efectividad del proceso de gestión de riesgos (16,23).

Las unidades de negocio, deben ser conscientes de los riesgos que comprenden sus actividades y las consecuencias que otras áreas pueden provocar en ella, por lo tanto, requieren de indicadores de rendimiento que les permitan supervisar las actividades de negocio, disponer de sistemas que adviertan de las variaciones en las previsiones y en los presupuestos e informar rápida y sistemáticamente a la alta dirección de cualquier nuevo riesgo o cualquier fallo en las medidas de control existentes que perciban. Tienen la responsabilidad primaria de gestionar los riesgos en el día a día y promover la conciencia del riesgo en sus operaciones (14,21).

El éxito de la gestión de riesgos está determinado por algunos factores como el reconocimiento de los objetivos, que puede ayudar a los empleados a identificar de que manera sus acciones diarias pueden obstaculizar o impulsar el cumplimiento de los mismos y el establecimiento del rango de riesgo que enfrenta la organización, ejecutando un proceso en el que se incluya: la recopilación de la información, establecimiento de medidas de control, revisión de procesos y realización de auditorías internas. Cuando la compañía alcanza este ultimo nivel, tiene la confianza para ver cada riesgo como una oportunidad (25).

La gestión del riesgo y la auditoría interna. Modelo COSO

Si se analiza el interés de las organizaciones por mejorar la administración del riesgo y su ámbito de control, es necesario considerar el estudio "control interno- marco conceptual integrado", realizado por el comité de organizaciones participantes de la comisión Treadway: COSO publicado en 1992 y el cual redefine el control interno, desarrolla un marco conceptual y ofrece herramientas para evaluar y mejorar los controles. En septiembre de 2004, se publicó un nuevo marco conceptual que constituye una guía para la gestión de riesgo, conformado por ocho componentes: Ambiente de control, establecimiento de objetivos, identificación de eventos, evaluación de riesgo, respuesta al riesgo, actividades de control, información- comunicación y monitoreo (12).

El modelo COSO permite dirigir los esfuerzos de la compañía hacia el manejo del riesgo. Incluye actividades que permitan el conocimiento de los objetivos estratégicos operacionales y se enfoca en la necesidad de crear conciencia de los riesgos y la importancia de considerarlos durante la formulación de estrategias. Busca identificar eventos potenciales que puedan afectar la organización, para proporcionar una seguridad razonable sobre el logro de los objetivos de la entidad. Provee criterios para evaluar los controles internos con tres objetivos: efectividad y eficiencia de operaciones, confiabilidad de la información y cumplimiento de las leyes y regulaciones aplicables (12,24). El control interno representa el corazón de una organización, la cultura, las normas sociales y ambientales que la gobiernan. La infraestructura, la tecnología de la información, las actividades, las políticas y los procedimientos.

Riesgo y efecto financiero

La teoría académica del manejo del riesgo, ha sugerido tradicionalmente que las compañías deben concentrar su análisis en tasas de interés, tarifas, precios y productos para aumentar sus valores de mercados y reducir su exposición al riesgo. Esta teoría enfatiza en la reducción de costos para evitar problemas financieros. Sin embargo, el comportamiento corporativo de la gerencia del riesgo va más allá de la simple disminución de la variación, lo que propone como meta es la "eliminación de los altos costos originados por los bajos resultados"; esto significa reducir los costos ocasionados por problemas financieros mientras se mantiene la habilidad de la compañía para explotar sus ventajas competitivas. (25, 26) Al reducir la probabilidad de que ocurran problemas financieros, la empresa tendrá el potencial de incrementar su capacidad de endeudamiento y facilitar el manejo del capital, llevándola a un desarrollo óptimo de su estructura y permitiéndole realizar inversiones estratégicas (27). Ya que los riesgos operacionales dependen de factores específicos de la compañía, requieren de un sistema de información adecuado y un plan de contingencia para que sean efectivos, lo que puede requerir altas inversiones en software y tecnología informática (28).

El mercado asegurador presenta circunstancias que le dan una consideración especial, como el surgimiento de corporaciones cada vez mayores, la capacidad de retención y la lucha por sectores de mercados altamente competitivos. El continuo incremento de las interrelaciones económicas, políticas, sociales y culturales, denominado globalización, ha tenido una influencia en las instituciones financieras. Las autoridades reguladoras del sector asegurador enfrentan el reto de armonizar la regulación con la capacidad de acción, su eficiencia y su crecimiento al mismo tiempo que garantizan la viabilidad financiera dentro de ciertos parámetros de riesgo. Las empresas de seguros tienen particularmente mayor variabilidad, ya que los pasivos del negocio de seguros nunca se conocen completamente y pueden extenderse a muchos años en el futuro; continuamente se aceptan nuevos negocios, por lo que el tratamiento del riesgo es heterogéneo y fluctuante, haciendo que su solvencia sea un concepto probabilístico y dependa de la percepción del futuro.

Las aseguradoras operan en un medio dinámico y se adaptan mediante la toma de decisiones. Al establecer un margen de solvencia, realmente se plantea la hipótesis de que la suficiencia depende únicamente de esta decisión, lo cual es poco factible. En contraste con esto, los modelos contables no reconocen correctamente el tiempo en que se ejercen las obligaciones ni el grado de variabilidad implícito o la naturaleza de los riesgos cubiertos; por esto la clasificación que se otorga a las empresas de acuerdo con estándares contables proporciona información sobre el grado de solidez institucional, pero ésta solo tiene sentido al referirlo al nivel de riesgo captado por la empresa. Esta clasificación es relevante para los accionistas, ya que se basan en los rendimientos esperados para la toma de decisiones, pero deja a las autoridades reguladoras y a los administradores de las empresas aseguradoras en un nivel de incertidumbre que dificulta la toma de decisiones efectivas sobre el negocio. Es por esto que se requiere del desarrollo y aplicación de una teoría de riesgos que origine modelos y técnicas que complementen el cálculo actuarial tradicional, mediante el reconocimiento de fenómenos aleatorios y permitan un tratamiento de los problemas particulares de las empresas de seguros, en especial su solvencia (29, 10).

En el sistema de salud colombiano, las empresas promotoras de salud cuentan con un valor único (UPC) para cubrir el plan de beneficios de cada uno de sus afiliados. El riesgo surge cuando el costo medio por asegurado se aumenta como resultado de la ocurrencia de enfermedades costosas. La solidez de las EPS del régimen contributivo, puede lograrse entonces mediante el fortalecimiento patrimonial que permita hacer frente a fluctuaciones inesperadas de las reclamaciones, así como mejorar la gestión de los riesgos de tal manera que se garantice la suficiencia de dicha UPC (15). Aunque el mecanismo utilizado para protegerse frente al riesgo de tener afiliados con enfermedades costosas es el reaseguro (31), éste no es suficiente para cubrir el déficit de la UPC originado por enfermedades de alto costo, por lo que se hace indispensable contar con un sistema de administración de riesgos en salud que cuente con una visión integral del negocio y donde el riesgo sea tratado desde la salud pública y no desde el asistencialismo como ocurre hoy en día.

Ciclo PHVA

Similar al funcionamiento de la maquinaria de un reloj, el sistema de administración de riesgos debe estar totalmente articulado, de tal manera que cada vez sea más eficiente y efectivo al focalizar la gestión y optimizar los recursos a través de la detección y tratamiento de los riesgos. A continuación se definen algunos aspectos a tener en cuenta para el adecuado desarrollo del sistema de administración de riesgos en las EPS del régimen contributivo, enmarcados en el ciclo PHVA: Planear (P), Hacer (H), Verificar (V) y Actuar (A). 

Planear (P):

Se requiere el análisis de la información para construir el perfil epidemiológico del país y de la población afiliada, e identificar el principal riesgo de enfermar. Una vez realizado este análisis se evalúa cuales de las actividades que se desarrollan en la EPS, van dirigidas a la detección y atención temprana de dicho riesgo, con el fin de intervenirlo oportunamente y evitar que la enfermedad se presente. Validar si la organización cuenta con mecanismos para identificar los usuarios con enfermedades de alto costo o de interés epidemiológico y adicionalmente, desde la salud pública, establecer si los programas cubren los riesgos epidemiológicos detectados para fortalecer la prevención en salud. Es clave el desarrollo de actividades de educación para los usuarios de los factores protectores que prevengan la enfermedad.

Hacer (H):

Se debe revisar el modelo de atención en salud, de tal manera que se realicen los ajustes correspondientes y su aplicación intervenga eficientemente los riesgos que presentan los usuarios. Realizar un análisis de frecuencia, evento y costo para detectar cuales son los diagnósticos que por su severidad y costo se convierten en prioritarios para la gestión y monitoreo. Como parte de las actividades que soportan el modelo de atención, las organizaciones pueden apoyarse en programas de medicina familiar o de intervención integral de diagnósticos de riesgo soportados por guías clínicas basadas en evidencia, proyectos de investigación, análisis de determinantes en salud, actividades especificas de medicina laboral como el reintegro etc. Lo más importante es que se logre integrar estas actividades de tal manera que se impacte en la disminución de los riesgos en salud. Adicionalmente, se requiere un análisis de la suficiencia de la red de manera que su capacidad permita la aplicación adecuada del modelo de atención, así como validar y definir el acceso de los usuarios a los diferentes niveles de atención con el fin de minimizar o eliminar las barreras de acceso. Lo anterior, para disminuir las complicaciones en salud y por ende el crecimiento en los costos.

La auditoría médica debe ser entonces, quien evalué la eficiencia de los procesos en salud de la aseguradora ya que estando en contacto con el usuario puede establecer si los programas de salud publica están funcionando adecuadamente, si el modelo de atención esta implementado y si la intervención en salud por parte del prestador es apropiada. El reto es que auditoria medica focalice sus esfuerzos hacia las patologías de riesgo y retroalimente a los líderes de los diferentes procesos para que se generen las adecuaciones respectivas. La clave de la atención en salud es ser eficientes en la prestación, de tal manera que la enfermedad sea diagnosticada, tratada y con las menores secuelas posibles.

Verificar (V):

El equipo que conforma el sistema de administración de riesgos, debe de evaluar el comportamiento de la organización de tal manera que detecte oportunamente los riesgos y debe establecer mecanismos de monitoreo integral a los planes de mejora o acciones implementadas para el tratamiento de los riesgos. Su reto es lograr que la organización sea autogestionable, es decir, que detecte y gestione proactivamente sus riesgos.

Actuar (A):

Se deben establecer acciones para implementar o ajustar políticas y actividades de procesos que propendan por la gestión integral del riesgo.

Todo este proceso impacta positivamente en la salud de los afiliados. Para que el engranaje sea completo, se requiere que el ente regulador integre sus políticas y normas de tal manera que le evite reprocesos a los actores.

CONCLUSIÓN

El desarrollo de un sistema de gestión de riesgos dentro del sector salud requiere una mirada integral, que involucre a los prestadores, no solo desde el punto de vista de riesgos compartidos entre EPS e IPS, sino también en el diseño de un sistema de administración de riesgos dirigido a estos últimos y controlado por el ente regulador; de manera que se desarrolle el esquema de modulación en salud y que permita el cierre de brechas por parte del prestador al gestionar sus propios riesgos: riesgos financieros, riesgos operativos, riesgos estratégicos, etc. Dentro de los riesgos compartidos, es importante identificar los de mayor impacto para los pacientes y los de mayor costo para la compañía, de manera que la gestión minimice el riesgo y mejore la calidad en la atención. El sistema tiene tres pilares fundamentales en la identificación de los riesgos, los cuales se integran entre sí; estos pilares son: riesgos en salud, riesgos operativos y riesgos generales del negocio.

Para una adecuada implementación del sistema de administración de riesgos, se requiere de un líder con pensamiento sistémico que estructure los procesos de la organización y logre el tratamiento de los riesgos de manera integral. El enfoque hacia el tratamiento de los riesgos con el fin de mitigarlos es clave del éxito para lograr una mejor calidad de vida en los usuarios y ahorros en costos al mejorar la eficiencia operativa. Las herramientas utilizadas, pueden llegar a tener el alcance que la organización quiera darle incluso en temas tan polémicos como la referencia y contrarreferencia, actividades de promoción y prevención, planes de atención, etc.

Lo anterior pone de manifiesto la necesidad de generar mecanismos, que permitan la implementación del sistema, el cual se encuentra reglamentado en nuestro país por la Resolución 1740 del año 2008. En la actualidad las entidades deben estar en plena operación de las fases 1 y 2 del sistema.

La Fase I corresponde al plan de implementación en el que se definen los objetivos generales, específicos y el alcance de la gestión de los riesgos dentro de la organización. Incluye la fijación de metas, definición de metodologías y herramientas necesarias, identificación de los riesgos críticos y el cronograma de implementación; así como el proceso para informar a la organización acerca del plan. El área de salud se debe documentar la gestión del riesgo existente en la organización, realizar pruebas de implementación con un alcance general enfocado al riesgo poblacional (o grupo de riesgo), con énfasis en el mejoramiento de las herramientas del sistema y en la adecuación del sistema de información. Debe incluir un análisis de la situación en salud, capacidad instalada de la red contratada y la descripción de las rutas de acceso a los servicios con un enfoque de riesgos.

Fase II. Despliegue del sistema: énfasis en el seguimiento a la implementación y despliegue del sistema a toda la organización y organizaciones con las que se relaciona. Medición de los avances del Modelo de Administración de Riesgos. En esta fase debe diseñarse la identificación de riesgos en salud desde la afiliación. El área de salud debe ampliar actividades a grupos priorizados de riesgos, para lo cual se debe llegar a la gestión individualizada del riesgo. Lo anterior debe incluir un análisis de la situación de salud, capacidad de la red contratada y descripción de las rutas de acceso a los servicios con un enfoque de riesgos por regiones. Se deberán iniciar esquemas cualitativos de medición del impacto.

Dichas fases ya han sido evaluadas por la Superintendencia Nacional de Salud (34).

El desarrollo de la fase 3, corresponde a la ampliación del sistema e involucra la medición cuantitativa de los efectos de los principales riesgos priorizados y la medición del impacto de las intervenciones.

Es importante tener en cuenta que el sistema de administración de riesgos aplicado al sector salud, aún se encuentra en ajustes legislativos. En la medida que se definan desde el Ministerio de la Protección Social y la Superintendencia Nacional de Salud nuevos lineamientos, puede cambiar el alcance del mismo.

REFERENCIAS

1. Colombia. Ministerio de la Protección Social. Resolución 1740 de 2008. Por el cual se establecen la gradualidad, los contenidos y los mecanismos de control de cumplimiento del Sistema de Administración de Riesgos aplicable a las Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas. Bogotá. Diario Oficial. Mayo 2008        [ Links ]

2. Rivas MV, Ricote F. Valoración de las responsabilidades para la minimización de los riesgos y el equilibrio empresarial. Cuadernos de estudios empresariales.2002. Vol. 12. 215- 250        [ Links ]

3. Colombia. Ministerio de la Protección Social. Decreto 574. Por el cual se definen y adoptan las condiciones financieras y de solvencia de Sistema único de Habilitación de Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas. Bogotá. Diario Oficial. Marzo 2007.        [ Links ]

4. Colombia. Ministerio de la Protección Social. Decreto 1698. Por el cual se modifica el Decreto 574 de 2007 que define las condiciones financieras y de solvencia del Sistema único de Habilitación de Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas. Bogotá. Diario Oficial. Mayo 2007.         [ Links ]

5. Colombia. Superintendencia de Salud. Resolución 0814 de 2008. Por la cual se establecen los criterios y condiciones mínimas que deben cumplir las firmas consultoras o auditoras que adelantarán el estudio de los sistemas de administración de riesgo de las Entidades Promotoras de Salud del régimen contributivo y entidades adaptadas. Bogotá, Diario Oficial. Junio 2008.        [ Links ]

6. Banco Interamericano de Desarrollo, Oficina del economista jefe. (1997). Pluralismo estructurado: hacia un modelo innovador para la reforma de los sistemas de salud en América Latina. México: Londoño JL. Frenk J.         [ Links ]

7. Colombia. Ministerio de la Protección Social. Decreto 3039 de 2009. Por el cual se adopta el Plan Nacional de Salud Publica. Bogotá. Diario Oficial. Agosto 2007        [ Links ]

8. Colombia. Ministerio de Salud. Resolución 412 de 2000. Por el cual se establece las actividades, procedimientos e intervenciones de demanda inducida y obligatorio cumplimiento y se adoptan las normas técnicas y guías de atención para el desarrollo de las acciones de protección específica y detección temprana y la atención de enfermedades de interés en salud pública. Bogotá. Diario Oficial. Agosto 2000.        [ Links ]

9. Álvarez G. Plan Nacional de Salud Publica: Avances y retos en el fortalecimiento de la Salud Pública en Colombia. En: Foro Debates en Salud Pública. Bogotá 29 de Febrero de 2008.Ministerio de la protección social, 2008.         [ Links ]

10. Arroyave I. Propuestas para el Plan Nacional de Salud Pública. El pulso. Diciembre de 2007. Sección: Monitoreo.         [ Links ]

11. Colombia. Icontec. Norma Técnica Colombiana NTC-5254. Gestión de riesgo. Bogotá. Septiembre de 2006.         [ Links ]

12. Roisenzvit B A, Zarate M. Hacia una cultura de risk management. El próximo desafío para la región y como esto afecta los procesos de evaluación. Superintendencia de Entidades Financieras y cambiarias. Banco Central de la Republica de Argentina. Argentina 2006. P. 1- 11.         [ Links ]

13. Servicio Nacional de Aduanas, Gobierno de Chile. El proceso de gestión del riesgo [Sitio en Internet]. Disponible en: http://www.aduana.cl/site/artc/20070228/ asocf i l e /20070228130834/asocf i - le12005091616182.pdf: Consulta: 28 octubre de 2008.         [ Links ]

14. Colombia. Departamento Administrativo de la Función Pública. Guía de Administración del Riesgo. Bogotá Junio de 2004.         [ Links ]

15. Castaño RA. Modelos de gestión de riesgo en salud: revisión de conceptos y recomendaciones para el régimen contributivo de la seguridad social en Colombia. Bogota: Universidad del Rosario Grupo de Investigación de la Facultad de Economía Junio 13 de 2008.         [ Links ] 16. Administradora de riesgos profesionales Suramericana S.A- Suratep. Manual de gestión integral de riesgos. Bogotá. 2007. 19- 59.         [ Links ]

17. Cox S, Tait R. Safety, reliability and risk management: an integrated approach. 2nd ed. Oxford: Butterworth- Heinemann; 1998.         [ Links ]

18. Estándar de Administración de Riesgos Australiano/ Neo Zelandés AS/NZS 4360.1999.         [ Links ]

19. Alonso FG. Modelo de gerencia de riesgos basado en el estándar europeo. Planificación del proceso. Anales de mecánica y electricidad. 2006. 83 (3): 36- 39.         [ Links ]

20. González A, Franco MP. La administración de riesgos empresariales en el contexto actual del control interno. Cuba Siglo XXI. Enero 2007. (73)         [ Links ]

21. Casualty actuarial society. Overview of enterprise risk management. Casualty actuarial society. 2003. (6): 99- 163         [ Links ]

22. Fundim P, Auditoria en riesgos_ ERM Enterprise Risk Management. [Sitio en Internet]. Disponible en: www.theiia.org/chapters Consulta: 24 Marzo de 2009.         [ Links ]

23. Alonso FG. Modelo de gerencia de riesgos basado en el estándar europeo. Desarrollo e implementación. Anales de mecánica y electricidad. 2006. 83 (6): 16- 19.         [ Links ]

24. Institute of Internal Auditors. Managing Risk From the Mailroom to the Boardroom. Tone at the Top. June 2003. 18: 1- 4.         [ Links ]

25. Bowling D, Rieger L. Success factors for implementing enterprise risk management. Bank accounting and finance. 2005.         [ Links ]

26. Beck U, La sociedad del riesgo global.[Sitio en Internet]. Disponible en: http://www.nodo50.org/ Consulta: 25 Febrero de 2009.        [ Links ]

27. Chicaìza LA, Cabedo J D. Las opciones financieras como mecanismo para estimar las primas de seguro y reaseguro en el sistema de salud Colombiano. Cuaderno de admón. 2007. 20 (34): 221-236         [ Links ]

28. Hernández D (1996). Modelos de la teoría de riesgo para el sector asegurador. [Sitio en Internet]. Disponible en:http://www.cnsf.gob.mx/Eventos/Premios/1997/1997%20segundo%20lugar%20vf.pdf Consulta: 18 Junio de 2009.        [ Links ]

29. Effective health care Risk management programs: components for success. [Sitio en Internet]. Disponible en: http://www.chubb.com/businesses/csi/chubb1148.pdf : Consulta: 23 Febrero de 2009.         [ Links ]

30. Stulz R M, Rethinking Risk Management. Journal of applied corporate finance. 1996. 9 (3): 8- 24.         [ Links ]

31. López JA (2002). What is operational risk? FRBSF Economic Letter. 2003 (03):1- 4         [ Links ]

32. Centro de Estudios Monetarios Latinoamericanos. Mejores prácticas en la auditoría interna. En: V Reunión de auditores internos de banca central. Lima, Peru 8- 11 de noviembre de 1999. p. 3- 18.         [ Links ]

33. Casas G. Evaluación de riesgos. En: IV Reunión de auditores internos banca central. Cartagena de Indias, Colombia 6- 10 de junio de 1998. P. 1-7.         [ Links ]

34. Colombia. Superintendencia de Salud. Instructivo de control para verificar el cumplimiento de la implementación del Sistema de Administración de Riesgo SAR, según lo dispuesto en la resolución 1740 de Mayo de 2008 del Ministerio de la Protección Social. Bogotá. Noviembre 2008.        [ Links ]

Recibido: febrero de 2010. Revisado: mayo de 2010. Aceptado: junio 29 de 2010.

Forma de citar: Reina M, Angulo SI, Segura AM, Trujillo A. Elementos para la gestion de riesgos en las entidades promotoras de salud del regimen contributivo en Colombia. Rev CES Med 2010;24(1):19-35