Cálculo y evaluación del riesgo operativo en entidades de salud a partir del enfoque de redes bayesianas

Vaca-González, Paola Andrea; Vaca-González, Paola Andrea

doi:10.15446/ede.v29n55.78411

Services on Demand

Journal

Article

Indicators

Cited by SciELO
Access statistics

Ensayos de Economía

Print version ISSN 0121-117XOn-line version ISSN 2619-6573

Ens. Econ. vol.29 no.55 Medellín July/Dec. 2019 Epub Mar 14, 2020

https://doi.org/10.15446/ede.v29n55.78411

Artículos

Cálculo y evaluación del riesgo operativo en entidades de salud a partir del enfoque de redes bayesianas^{^*}

Calculation and Evaluation of Operational Risk in Health Care Providers Based on the Bayesian Networks Model

Paola Andrea Vaca-González^**

^{^**}Magíster en Ciencias Estadísticas por la Universidad Nacional de Colombia (Bogotá, Colombia). Correo electrónico: pavarag@unal.edu.co https://orcid.org/0000-0002-5240-2437

Resumen

El objetivo de este trabajo es cuantificar el riesgo operativo al que está expuesta una institución de salud en Colombia, para que pueda gestionar la exposición a este riesgo. Para ello, se utiliza el modelo de redes bayesianas que se basa en teoría de grafos y de la probabilidad, el cual es considerado adecuado para modelar las pérdidas operativas, dado que permite incorporar en la modelación, información adicional proporcionada por expertos en procesos operativos, para complementar la información histórica y así mejorar la estimación de este tipo de riesgo. Además, el modelo permite 1) identificar las relaciones de dependencia entre los factores que generan un riesgo operativo, y 2) visualizar estas relaciones mediante grafos. El método de redes bayesianas se evalúa mediante un ejercicio con datos simulados, a partir de la información proporcionada por expertos. Se encuentra que las redes bayesianas permiten identificar los factores de riesgo que inciden principalmente en la ocurrencia de una falla en un proceso operativo, lo cual ayuda a enfocar las medidas de intervención y a predecir los efectos de esas medidas, generando así, resultados más eficientes en la gestión de este tipo de riesgo.

JEL: G32; I15; C11; C45.

Palabras clave: riesgo operativo; redes bayesianas; teoría de grafos; entidades de salud; gestión del riesgo; medición del riesgo

Abstract

The aim of this work is to quantify the operational risk of a health care provider in Colombia, so that we can manage exposure to this risk. To this effect, we use the Bayesian Networks model, which is based on graphs and probability theories, and is suitable for modeling operational losses, since it allows us to incorporate additional information from experts in operational processes into the model, to complement historical information, and thus improve the calculation of this type of risk. In addition, this model allows us 1) to identify the dependency relationships between the factors that create an operational risk, and 2) to visualize these relationships by means of graphs. The Bayesian networks method is evaluated by means of a simulated exercise, based on the information given by experts about the internal operational process in a health care provider. Findings show that Bayesian Networks allow identification of the risk factors that mainly impact the occurrence of a failure in an operational process, which helps to focus the decision making process and to predict the effects of these measures, generating more efficient results in the management of this type of risk.

JEL: G32; I15; C11; C45.

Keywords: operational risk; Bayesian networks; graphs theory; health entities; risk management; risk computation

Introducción

En organizaciones de salud se pueden presentar eventos adversos por fallas en factores como el recurso humano, los procesos, la tecnología, la infraestructura y factores externos, entre otros, que pueden generar grandes implicaciones en la salud de los pacientes o en el adecuado funcionamiento de estas entidades. Es por esta razón que, dentro de estas organizaciones, la administración del riesgo toma cada vez más relevancia. Este tipo de eventos adversos puede ser administrados a través del riesgo operativo -RO-, que de acuerdo con ^{Panjer (2006)}, en los últimos años se ha identificado como una herramienta importante para las organizaciones, por lo cual debe ser medida y gestionada al interior de cada entidad para apoyar el cumplimiento sus objetivos y de sus distintas dependencias.

Dado que el RO gestiona el riesgo al que está expuesta una organización en los procesos, el recurso humano y la tecnología, y demás, que pueden afectar el funcionamiento diario de una empresa, su modelación y medición se convierten en un elemento importante para que los órganos de control puedan tomar medidas en procura de disminuir las pérdidas ocasionadas por la exposición a estas fallas operativas.

En Colombia, el Ministerio de Salud y de Protección Social -MSPS- ha liderado la implementación de un sistema de administración de riesgos de conformidad con lo establecido en el Decreto 574 de 2007 y la Resolución 1740 de 2008, instando e incentivando a las organizaciones del sector a propiciar una apropiada situación y capacidad financiera.

Debido a que la actividad de las empresas de salud está relacionada con la incertidumbre y el riesgo, el sistema de administración de riesgos busca que estas entidades mantengan una adecuada condición financiera y solvencia patrimonial para atender todas sus obligaciones, y así se pueda garantizar el cumplimiento de los objetivos del Sistema General de Seguridad Social acorde a lo establecido por MSPS (Decreto 574, 2007a). Por ejemplo, uno de los riesgos que las entidades promotoras de salud de Colombia deben administrar, es el RO, definido en la Resolución 1740 de 2008, artículo 5, como:

"(...) la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura, ya sea por causa endógena o por la ocurrencia de acontecimientos externos. La exposición a este riesgo puede resultar de una deficiencia o ruptura en los controles internos o procesos de control, fallas tecnológicas, errores humanos o deshonestidad, práctica insegura y catástrofes naturales, entre otros".

Esta definición también contempla la exposición al riesgo legal y reputacional.

Sin embargo, la revisión de literatura arroja como resultado un estudio limitado de la medición del RO en entidades de salud. Se destaca principalmente el trabajo de ^{Cornalba (2009)}, quien menciona que la gestión del riesgo es una herramienta importante para mejorar la prestación del servicio, aunque las organizaciones de salud aún no han comprendido esta importancia, siendo el RO uno de los menos gestionados en estas entidades. Pese a esto, ^{Cornalba (2009)} también resalta el interés de ciertos médicos en la evaluación del RO y el riesgo clínico, para poder predecir y administrar las pérdidas y realizar toma de decisiones. En el caso de Colombia, se resalta el trabajo de ^{Venegas-Martínez et al. (2015)} que proponen un método de distribución de pérdidas para medir el RO en una empresa del sector salud.

Debido a la importancia tanto normativa como financiera de promover una adecuada gestión del RO en las entidades de salud, el objetivo del artículo se centra en medir el riesgo operativo al que está expuesta una institución de salud, con lo cual los órganos de control puedan tomar las medidas pertinentes para fortalecer los procesos internos de la organización, además de atender oportuna y adecuadamente la exposición a riesgos de esta naturaleza, y cumpliendo así, con la capacidad financiera requerida por la normatividad vigente y la empresa.

Para ello, se propone utilizar el método de redes bayesianas -RBs-, el cual permite incorporar información adicional proporcionada por expertos -como complemento a la escasez de datos con que usualmente se cuenta para cuantificar este tipo de riesgo-, además de modelar las relaciones de dependencias entre los diferentes factores del RO. Aunque existen modelos econométricos, actuariales o de teoría del valor extremo, causales, etcétera, para modelar y medir del RO (^{Cornalba & Giudici, 2004}; ^{Cowell, Verrall & Yoon, 2007}), se propone el método de RBs, ya que tiene en cuenta características particulares del RO como 1) la escasez de datos para la modelación (Cowell, Verrall & Yoon, 2007; ^{Panjer, 2006}; ^{Sandstrõm, 2010}), a causa de que la legislación sobre la gestión del RO es muy reciente (^{Bolancé et al., 2012}) y 2) las interacciones complejas que se presentan entre las variables del RO, permitiendo encontrar las distribuciones marginales de las variables basados en la evidencia, simular escenarios, actualizar los parámetros del modelo a medida que haya información disponible, y generar predicciones que se pueden comparar con la data actualizada (^{Cowell, Verrall & Yoon, 2007}).

El documento se estructura de la siguiente manera. Luego de esta introducción, se presenta el marco regulatorio sobre la gestión del riesgo en las entidades de salud en Colombia. Seguido al marco regulatorio, se muestra la revisión de literatura acerca del uso de RBs en la evaluación y medición del RO en empresas de distinta actividad económica. Posteriormente, se presenta la metodología de RBs, y los datos utilizados para la aplicación de esta metodología. Finalmente se presentan los resultados de la metodología y las conclusiones.

Marco regulatorio sobre gestión del riesgo en las entidades de salud en Colombia

La Ley 100 de 1993 del Congreso de la República de Colombia crea el Sistema de Seguridad Social Integral en el país. Esta Ley establece, como uno de los principios del sistema general de seguridad social en salud, la prevención entendida como el enfoque de precaución que se aplica a la gestión del riesgo, la evaluación de los procedimientos y la prestación de los servicios de salud.

Posteriormente, se aprueba el Decreto 574 de 2007a del Ministerio de la Protección Social, para definir las condiciones financieras y de solvencia en las entidades promotoras de salud en el régimen contributivo y entidades adaptadas, considerando que la actividad de las entidades administradoras del sistema general de seguridad social en salud está relacionada con la incertidumbre y el riesgo y por tanto, se hace relevante la gestión de los riesgos para promover una adecuada situación financiera en estas instituciones.

Este Decreto es posteriormente modificado por el Decreto 1698 de 2007b del Ministerio de la Protección Social, el cual introduce la posibilidad de acceder a un descuento en el monto del patrimonio mínimo exigido a las entidades promotoras de salud del régimen contributivo y entidades adaptadas para garantizar su solvencia mediante la implementación de un SAR. En su artículo 1, este Decreto establece que las entidades promotoras de salud y entidades adaptadas pueden garantizar su solvencia mediante la implementación de un Sistema de Administración de Riesgos -SAR-, bajo las condiciones que para el efecto establezca el Ministerio de la protección Social. Este artículo es luego modificado por el Decreto 4789 de 2009 del Ministerio de la Protección Social y el Decreto 1921 de 2013 del MSPS, pero mantienen señalado que estas entidades pueden garantizar su solvencia a través de la implementación de un SAR.

Adicionalmente, el artículo 7 del Decreto 1698 de 2007b define el SAR para estas entidades como la identificación, medición, evaluación, cuantificación y control de los riesgos particulares de la actividad de aseguramiento en salud, que permita a las entidades ejercer una adecuada gestión del riesgo y garantizar la solvencia. Dentro de este sistema se incluye la gestión de todos los riesgos inherentes al aseguramiento en salud, el riesgo operativo y el riesgo de mercado de las inversiones.

Para dar cumplimiento a la adecuada implementación del SAR para las entidades promotoras de salud y entidades adaptadas y las condiciones financieras y de suficiencia patrimonial, se expide la Resolución 1740 de 2008 del Ministerio de la Protección Social. Bajo esta Resolución se adoptan las siguientes definiciones:

Incertidumbre: situación que no se conoce que ocurrirá, y si ocurre, se desconoce cómo se comportará en el futuro.
Riesgo: aquella posibilidad de generarse una pérdida económica por la ocurrencia de un evento adverso.
Sistema de Administración de Riesgos: procesos, procedimientos y actividades de planear, hacer, verificar y actuar frente al riesgo.

De acuerdo con estas definiciones, en el artículo 3 de la mencionada Resolución, se señala que las entidades de salud deben establecer acciones para la identificación del riesgo, evaluación y medición del riesgo, selección de métodos para la administración del riesgo, implementación de mecanismos para mitigación y gestión del riesgo y retroalimentación.

Dentro de los riesgos a analizar en el marco general del SAR, la Resolución 1740 de 2008 señala el riesgo operativo -RO-, definido en su artículo 5 como la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura, por ocurrencia de acontecimientos internos o externos.

El RO también contempla en esta definición, el riesgo legal y regulatorio y el riesgo reputacional. El riesgo legal hace referencia a la posibilidad de incurrir en pérdidas por causa del incumplimiento de las normas legales, errores u omisiones en la contratación, inobservancia de disposiciones reglamentarias, de códigos de conducta o normas éticas, así como situaciones de orden jurídico que afecten negativamente la titularidad o disponibilidad de los activos, mientras que el riesgo regulatorio se asocia a cambios en las normas que rigen la actividad de salud. El riesgo reputacional se refiere a la probabilidad de pérdidas por fallas en la prestación del servicio, noticias adversas como consecuencia de acciones de mercado o sanciones impuestas por la autoridad, problemas financieros que incidan en la confianza de los clientes de estas entidades, entre otros.

Posteriormente, la Circular Externa 082 de 2010 del Ministerio de la Protección Social establece la implementación del SAR mediante las fases anuales de planeación, despliegue, ampliación y consolidación del sistema, entre 2008 y 2011. La tercera fase contempla los riesgos en el área de salud, el área operativa y el área de riesgos generales del negocio de mercadeo y de crédito. Con respecto a los riesgos en el área operativa, se menciona que la gestión del riesgo existente en la organización debe estar documentada e identificada con un alcance general, debe estar enfocada a los riesgos asociados al recurso humano, los procesos y la tecnología y en la adecuación del sistema de información, incluyendo un mapa de procesos críticos clasificados según su riesgo inherente.

En esta tercera fase también se precisa que en la gestión del riesgo operativo se deben incluir los riesgos, relacionados con la seguridad del paciente, que se refieran a la prestación de servicios y, especificar la relación de las estrategias y acciones con la frecuencia y gravedad de los riesgos asociados a la seguridad del paciente. Mediante la cuarta fase, se completa la implementación del SAR.

Luego, en 2011 se expide la Circular Externa 045 del Ministerio de la Protección Social, para dar lineamientos técnicos de la cuarta fase de implementación del SAR para las entidades promotoras de salud del régimen contributivo y entidades adaptadas, precisando que, para la evaluación y medición del riesgo en el área operativa, se debe contar con un mapa de procesos clasificados según el riesgo inherente, estrategias y acciones diseñadas e implementadas, análisis de riesgos, entre otras consideraciones.

El Decreto 574 de 2007a del Ministerio de la Protección Social es finalmente derogado por el Decreto 2702 de 2014, el cual hace referencia a la Ley 1122 de 2007 del Congreso de la República de Colombia, que en su artículo 14 incluye dentro del aseguramiento en salud, la administración del riesgo financiero, la gestión del riesgo en salud, la articulación de los servicios que garantice el acceso efectivo, la garantía de la calidad en la prestación de los servicios de salud y la representación del afiliado ante el prestador y los demás actores sin perjuicio de la autonomía del usuario.

Más adelante, el Ministerio de la Protección Social expide la Resolución 1441 de 2013 y luego la Resolución 2003 de 2014 en donde, a través del Sistema Único de Habilitación, se busca controlar el riesgo asociado a la prestación de servicios de salud y a las condiciones en que estos se ofrecen, y define los procedimientos y condiciones que deben cumplir los prestadores de servicios de salud como las instituciones promotoras de salud, los profesionales independientes de salud, los servicios de transporte especial de pacientes, entre otras instituciones.

En 2016, este Ministerio expide la Resolución 429 donde, en el artículo 5, se incluye la Implementación de la Gestión Integral del Riesgo en Salud como componente del Modelo integral de Atención en Salud -MIAS- que debe ser aplicado e implementado por las Entidades Territoriales, Instituciones Prestadoras de Servicios de Salud, entre otras entidades del sector salud. En 2018, la Superintendencia Nacional de Salud expide la Resolución 4559 para adoptar el modelo de Inspección, Vigilancia y Control para la supervisión de los riesgos inherentes al sistema general de seguridad social en salud. Esta Superintendencia, mediante Circular Externa No. 004 de 2018 establece el Sistema Integrado de Gestión de Riesgos que deben ser adoptados por las entidades promotoras de salud.

Estos documentos se han convertido en una herramienta para la adecuada gestión del riesgo en entidades de salud, las cuales realizan generalmente un análisis cualitativo del riesgo, mediante el uso de métodos como el mapa de riesgos. Este método permite identificar y listar los riesgos de manera ordenada y sistemática, y como menciona ^{Reina et al. (2010)}, realizar una descripción de estos riesgos, y asignar el impacto, la frecuencia, el control, las causas y consecuencias de cada riesgo. Sin embargo, existen otros métodos que pueden completar o hacer un análisis más detallado del RO en las entidades de salud, como el de redes bayesianas, el cual se encuentra bien establecido en el campo de gestión del riesgo en grandes corporaciones (^{Alexander, 2003}).

El uso de RBs ha tomado gran interés principalmente en el sector bancario y financiero, con el propósito de disminuir las pérdidas a causa del RO (^{Aquaro et al., 2010}; ^{Sanford & Moosa, 2012}), aunque han sido implementadas exitosamente en diferentes áreas como la industria y la medicina, además de las finanzas (^{Holmes & Jain, 2008}), debido a las ventajas que posee este modelo en el análisis de datos como: 1) la identificación de dependencias entre variables y de relaciones causales entre distintos factores de riesgo, lo cual permite detectar los principales problemas y predecir las consecuencias de una intervención (^{Heckerman, 2008}), y 2) la utilización del conocimiento previo de expertos para complementar la información histórica, principalmente cuando se trabaja bajo incertidumbre al no contar con una amplia base de datos, entre otros.

Para la gestión del RO, ^{Dávila-Aragón et al. (2015)} mencionan que las probabilidades y la representación gráfica de las RBs permiten identificar la estructura causal y el grado de riesgo que la empresa puede asumir. Es por estas ventajas que las RBs se han vuelto adecuadas para modelar las pérdidas operativas y la efectividad de desempeño operativo de la empresa (^{Neil, Fenton & Tailor, 2005}).

Revisión de literatura

Esta revisión de literatura arroja como resultado la existencia de una amplia literatura dirigida a la evaluación y cálculo del RO. El interés sobre la medición y gestión de este tipo de riesgo se ha incrementado desde mediados de la década de los noventa, a través del Comité de Basilea II en donde se define formalmente el RO y se proponen distintas metodologías para su estimación (^{Power, 2005}), debido a crisis que afectaron al sector bancario en esa época, las cuales fueron ocasionadas principalmente por situaciones de fraude y error humano (^{Cruz, 2002}; ^{Mora, 2010}). No obstante, las metodologías para la cuantificación del riesgo han surgido en campos distintos al de la salud, por ejemplo, en el sector financiero y de seguros, y en el sector nuclear (^{Cornalba, 2009}), siendo muy escasa la literatura relacionada con entidades de salud.

En el campo de la salud, tan solo se destaca el trabajo de ^{Cornalba (2009)}, quien también menciona los pocos estudios investigativos sobre el cálculo del RO y el riesgo clínico en organizaciones de salud y propone el uso de modelos de redes bayesianas para computar estos tipos de riesgos. De igual manera, ^{Da Silva-Etges et al. (2019)} mencionan la falta de atención del sector salud en la gestión del riesgo con la finalidad de mejorar el desempeño de la organización. Pese a esto, estos autores resaltan los avances realizados en el campo por parte de organismos internacionales como la Organización Mundial de la Salud -OMS- y organizaciones reguladoras en el mundo para fortalecer las prácticas de gestión del riesgo en este sector.

Con relación a las instituciones financieras, en la revisión de literatura se encuentran extensos estudios dirigidos a la gestión del RO, promovidos principalmente por los nuevos acuerdos de Basilea de 2005 -Basilea II- que dan mayor consideración a este tipo de riesgo. En este campo económico, se menciona el estudio de ^{Alexander (2003)} quien modela el RO con RBs aplicado en el sector bancario. ^{Cornalba & Giudici (2004)} presentan distintos métodos junto con las RBs para medir el RO. Giudici & Bilotta (2004) presentan las RBs como mecanismo para estimar una medida interna del RO en una firma bancaria italiana. ^{Neil, Fenton & Tailor (2005)} son algunos de varios autores que estudian de formal general el uso de RBs para la gestión del RO. ^{Cowell, Verrall & Yoon (2007)} y ^{Dávila-Aragón, Ortiz-Arango & Cruz-Aranda (2016)} evalúan el modelo de RBs, simulando distintos escenarios.

^{Aquaro et al. (2010)}, quienes utilizan RB para evaluar el RO, argumentan que mediante esta metodología se pueden capturar las relaciones entre diferentes procesos de la organización. ^{Cruz (2002)}, así como ^{Corrigan, Luraschi & Cantle (2013)} estudian el método de RBs junto otros métodos que se utilizan a nivel mundial, para la medición del RO. ^{Dávila-Aragón et al. (2015)} aplican las RBs para analizar la productividad en una pequeña y mediana empresa -PYME- en México, e indican que las RBs son una herramienta novedosa en la gestión de riesgos, en particular, del RO, siendo útil para mejorar la gestión interna de los procesos operativos.

^{Andersen, Häger & Vormeland (2016)} utilizan las RBs para identificar y evaluar los indicadores de RO en instituciones financieras, argumentando que estas permiten el análisis cuantitativo y cualitativo de fenómenos complejos, así como una gran visualización de las relaciones de causa-efecto. ^{Dávila-Aragón, Ortiz-Arango & Cruz-Aranda (2016)} utilizan las RBs para identificar y medir los factores de RO que presentados en las transacciones financieras por medios electrónicos. ^{Martínez-Sánchez, Martínez-Palacios & Venegas-Martínez (2016)}, aplican las RBs para identificar y cuantificar el RO en distintas líneas de negocio de un banco comercial.

Por otra parte, de la revisión literatura acerca de la evaluación del RO para otro tipo de organizaciones, utilizando RBs, se menciona el estudio de ^{Bonafede & Guidici (2007)} en el campo de la construcción y ^{Barua et al. (2016)} en el campo de la seguridad en el desarrollo de procesos químicos.

Con respecto a casos en Colombia, esta literatura se hace aún más limitada. Se destacan los trabajos de ^{Castillo & Mendoza (2004)} que aplican las RBs para medir el RO en instituciones financieras. ^{Pinto & Leyva (2008)}, quienes evalúan el proceso de implementación del sistema de administración del riesgo operacional en el sector bancario de Colombia. ^{Mora (2010)} estudia la medición del riesgo operativo en entidades financieras, utilizando modelos con enfoque de distribución de pérdida propuestos por el Comité de Basilea.

Por su parte, ^{Reina et al. (2010)} hacen una revisión de los conceptos de la gestión de riesgos en entidades promotoras de salud del régimen contributivo en Colombia y de metodologías para la administración de este riesgo, y ^{Álvarez et al. (2012)} realizan una revisión de la normatividad en Colombia relacionada con la implementación del SAR por parte de las entidades promotoras de salud. ^{Venegas-Martínez et al. (2015)} se basan en los fundamentos de los acuerdos de Basilea y normativa de los órganos de control del sector de la salud, para proponer el método de distribución de pérdidas para cuantificar el RO de la seguridad social en Colombia en 2013. Sin embargo, no se encuentra literatura concerniente al cálculo y evaluación del RO en entidades de salud utilizando un modelo de RBs en Colombia, lo que hace esta investigación sea relevante para la literatura y su aplicación en entidades de salud.

A continuación, se presenta la metodología de RBs para evaluar el RO y, de esta manera, propiciar la mejora en la gestión interna de los procesos operativos en las entidades.

Metodología de redes bayaesianas

La modelación gráfica es una técnica estadística que se fundamenta en la teoría de la probabilidad y la teoría de grafos, con la finalidad de representar y medir información causal (^{Pearl, 1993}). Dentro de este campo de la estadística, se encuentran los modelos de redes bayesianas -RBs-, los cuales han empezado a ser utilizados para analizar la administración de distintos riesgos (^{Cowell, Verrall, & Yoon, 2007}; ^{Dávila-Aragón et al., 2015}). En estos modelos, el método bayesiano permite generar información adicional, mediante la inclusión de conocimiento previo en la modelación, correspondiente a la información proporcionada por expertos en el tema de estudio. De esta manera, se mejora la exactitud de la estimación.

Las RBs se basan en una estructura gráfica llamada grafo dirigido, la cual consta de una serie de variables aleatorias denominadas nodos, y de arcos o enlaces directos entre variables. Formalmente, G = (V,E) representa un grafo acíclico dirigido, donde V = {X ₁ ...,X _n } es un conjunto de variables aleatorias -llamadas nodos- de G, y E es un subconjunto del conjunto V X Vde pares ordenados de nodos diferentes, que contiene los arcos dirigidos entre los pares de nodos de G. Estos arcos entre variables, que se representan como flechas, se clasifican de manera jerárquica tal que, si existe una relación de dependencia desde una variable A hacia otra variable B, es decir, si A tiene una influencia sobre B, entonces se dice que B es hijo de A y A es padre de B.

Esta relación causal existente entre nodos se puede modelar mediante el uso de probabilidades condicionales. Utilizando el teorema de Bayes, se determina la fuerza de estas relaciones mediante las probabilidades de los nodos iniciales y las probabilidades condicionales para los demás nodos. Formalmente, el teorema de Bayes establece que:

donde P(A) es la probabilidad a priori de A, P(A|B) es la probabilidad a posteriori de A dado fi, B,P(B|A)es la verosimilitud de A dado By P(B) ≠ 0. Entonces, este teorema permite actualizar las creencias sobre un evento A, dado que se tiene información sobre otro evento B.

Por lo tanto, bajo estos conceptos, una red bayesiana, representada en la figura 1, consta de (^{Jensen & Nielsen, 2007}):

Fuente:^{Jensen & Nielsen (2007)}, p. 34).

Figura 1 Grafo acíclico directo

Un conjunto de variables aleatorias, denominadas nodos, y de enlaces o arcos dirigidos entre variables.
Cada variable tiene un conjunto finito de estados mutuamente exclusivos.
Todas las variables junto con sus arcos dirigidos forman un grafo acíclico dirigido, donde un grafo es acíclico dirigido si no hay un camino A ₁ → … → A _n tal que A ₁ = A _n .
Cada variable A con padres pa(A) ={ B ₁ ,..., B _n } tiene una probabilidad condicional P(A|B ₁ ,..., B _n ). Si A no tiene padres, su probabilidad incondicional esP(A). Por lo tanto, si existe una relación causal entre las variables A y B, se tiene que, cambios en lo que se conoce sobre B causa cambios en lo que se conoce sobre A, siendo este cambio resultado de nueva información (denominada formalmente evidencia) que llega acerca de B (^{Cowell, Verrall & Yoon, 2007}).

Dada la estructura de las RBs, en donde cada nodo de la red posee una distribución de probabilidad del nodo respecto a sus padres, se puede factorizar la distribución de probabilidad conjunta, expresándose como el producto de probabilidades condicionales independientes. Por lo tanto, la probabilidad conjunta P(X ₁ ,…,X _n ) se define como:

donde pa(X _i ) es el conjunto de padres de la variable hija X _¡ .

En este sentido, la construcción del modelo requiere de la especificación de las distribuciones a priori de los nodos que no tienen padre, así como de las distribuciones condicionales de los nodos que tienen padre. Por ejemplo, la figura 1 muestra una RB, donde las probabilidades a priori P(A) y P(B) deben ser especificadas. Las otras probabilidades que se deben especificar son P(C\A,B), P(E\C), P(D|C), P(F\E), y P(G\D,E,F) donde P(C\A,B) indica la probabilidad de C condicionada a los eventos A y B, y asísucesivamente^¹.

A continuación, se presentan la estimación y los resultados del modelo de RBs aplicado en una entidad de salud de Colombia.

Estimación y resultados

Para la construcción del modelo de RBs se realiza el siguiente procedimiento:

Definir el problema a analizar.
Identificar las variables que permiten abordar esta problemática.
Identificar la relación de causalidad entre estas variables.
Establecer los posibles estados o resultados de cada variable.
Definir la distribución a priori para cada nodo.
Estimar la RB y obtener las distribuciones a posteriori, con las cuales se realiza la inferencia.

En este sentido, para evaluar la medición del RO mediante la aplicación de RBs, se establece como problema a analizar el proceso de facturación correspondiente al no cumplimiento de la meta de radicación del 100% de las facturas generadas en un periodo determinado, en una entidad de salud en Colombia. Se utilizan datos simulados en un periodo de tiempo de 5 años^², conforme la información proporcionada por expertos en gestión de riesgos en el sector salud. A partir de esta información, se utiliza el modelo de RBs para la medición del RO, con lo cual se espera que:

Los órganos de control de estas empresas puedan emprender una gestión del riesgo eficiente que promueva mejores condiciones financieras acorde con los fines de la empresa y la normatividad vigente en el país.
Los organismos de control realicen una supervisión basada en riesgos con información más fiable y promuevan políticas de salud para el control y manejo eficiente de los recursos financieros de estas entidades.
Se consolide el método de RBs y los instrumentos propuestos como adecuados para el cálculo del RO en las organizaciones.

Ahora bien, teniendo en cuenta que la avaluación del riesgo operacional depende, tanto de la probabilidad de la frecuencia en la que el evento puede llegar a suceder, como de la probabilidad de la severidad de las consecuencias de este evento (^{Cornalba, 2009}; ^{Dávila-Aragón, Ortiz-Arango & Cruz-Aranda, 2016}), para este estudio se estiman dos RBs, donde un modelo busca analizar la probabilidad de ocurrencia de un factor de riesgo que incida en el proceso de facturación de una entidad de salud, y el otro modelo analiza la severidad de las consecuencias de que sucedan estos eventos de riesgo para la institución.

Definición de variables, relaciones causales y estados

Una vez definido el objeto de estudio a analizar, se establecen las variables, tanto para la RB de la frecuencia como de la severidad, que se utilizan para explicar el problema de facturación en esta entidad de salud, los cuales son:

Personal no competente -PNC-: este factor de riesgo del recurso humano hace referencia al personal que no se encuentra calificado para el cargo, al no cumplir con los requisitos mínimos exigidos por la entidad.
Equipos sin mantenimiento -ESM-: factor tecnológico, en el que los equipos de cómputo se encuentran sin el adecuado mantenimiento, debido a empleados encargados de esta actividad que no cuentan con la capacitación requerida o no cumplen con los requisitos mínimos para ejercer este cargo.
Sistemas de información desactualizados -SID-: factor tecnológico, donde los sistemas de información están desactualizados con respecto a una nueva normatividad que requiera de actualizaciones en el sistema, debido a falta de contratación de personal encargado del mantenimiento del software y hardware.
Falla en servicios informáticos -FSI-: interrupción en los servicios informáticos por factores externos como fallas en la energía eléctrica, o internos como falta de mantenimiento de los equipos informáticos.
Pérdida de información -PI-: este factor de riesgo surge por caídas del sistema, fallas en la energía eléctrica, ingreso incompleto de la información al sistema, demoras en el mantenimiento de los sistemas de información de la institución, entre otros.
Errores de facturación -EF-: factor interno donde se puede presentar un registro incompleto de los servicios prestados por fallas en los sistemas, desactualización de programas y formatos, errores de diligenciamiento, falla de revisión en la documentación, etcétera.
No cumplimiento en la meta de radicación -NMR-: no cumplimiento de la meta de radicación del 100% de la facturación que se ha realizado en un tiempo determinado, por inconsistencias en la facturación.

Este tipo de fallas durante el proceso de facturación en esta entidad de salud conllevan a generar información inconsistente y e incompleta, que ocasionan una demora en el pago a la entidad, por la prestación de sus servicios, y una disminución en los ingresos.

Desde la información proporcionada por los expertos y la revisión de literatura, se estiman dos RBs para la medición del RO, una para la frecuencia de ocurrencia de estos factores de riesgo, y otra para la severidad en cuanto a la pérdida financiera que se deriva por el grado de riesgo al que se está expuesto. Para la estimación de las RBs, se definen las relaciones de causalidad entre estas variables, las cuales se muestran en la tabla 1.

Tabla 1 Relaciones de causalidad entre nodos

Desde	Hacia	Fuerza relación (frecuencia)	Fuerza relación (severidad)
Personal no competente	Sistemas de información desactualizados	0.0606	0.0349
Equipos sin mantenimiento	Sistemas de información desactualizados	0.2173	0.0122
Sistemas de información desactualizados	Errores de facturación	0.2005	0.7131
Sistemas de información desactualizados	Falla servicios informáticos	0.2205	0.7644
Falla en servicios informáticos	Pérdida de información	0.4583	0.6636
Pérdida de información	No meta radicación	0.4349	0.3244
Errores de facturación	No meta radicación	0.4019	0.2168

Fuente: elaboración propia.

Estas relaciones de dependencia condicional permiten establecer las distribuciones condicionales requeridas para la codificación del grafo acíclico dirigido utilizado en la construcción de la RB, las cuales se exponen en la siguiente ecuación:

La tercera y cuarta columna de la tabla 1 presentan el p-valor de la prueba de independencia condicional, donde se evalúa si la dependencia probabilística es soportada por la data mediante la hipótesis nula de independencia condicional. Si esta hipótesis nula es rechazada, se puede considerar la inclusión del arco en la RB. Para este test, se adopta el test de independencia de Pearson^³.

En este sentido, estas últimas columnas muestran que tan solo tres arcos dirigidos entre nodos rechazan la hipótesis nula de independencia condicional. Esto puede obedecer a la simulación de los datos, sin embargo, debido a que las relaciones causales definidas se fundamentan en la información proporcionada por los expertos, se mantienen los demás arcos entre nodos para la estimación de la RB para la frecuencia y la severidad del RO presentado en el proceso de radicación de facturas en una entidad de salud.

Adicionalmente, se evalúa este modelo de RB propuesto, mediante el uso de criterios de información como el criterio de información bayesiano -BIC^⁴-, y el método equivalente Dirichlet bayesiano con prioridad uniforme -BDeu-^⁵, ampliamente utilizados en la literatura, para evaluar la bondad de ajuste del modelo, en términos de que tan bien el grafo acíclico dirigido refleja la estructura de dependencia de la data (^{Scutari & Denis, 2014}). Tanto el BIC como el BDeu asignan valores altos a los grafos acíclicos dirigidos que ajustan mejor la data.

Con estos criterios se comparan diferentes grafos acíclicos dirigidos, para identificar el que mejor ajuste la data. En la tabla 2, se presentan varios modelos construidos según la data proporcionada por los expertos, junto con los resultados del criterio BIC y BDeu. Se encuentra que el primer modelo, que es la ecuación [1] que se utiliza en este estudio, es el modelo que mejor ajusta los datos, superando al segundo y tercer modelo donde se adiciona una relación de dependencia entre las variables analizadas. Esto indica que la adición de estos arcos en el modelo no es beneficiosa. Asimismo, como es de esperar, los modelos generados aleatoriamente poseen el peor ajuste.

Tabla 2 Evaluación de modelos con base en criterios BIC y BDeu

Fuente: elaboración propia.

Una vez definidos los nodos y las relaciones causales entre estos, estableciendo así la estructura de la RB, se determinan los posibles estados o resultados de cada variable, los cuales se muestran en la tabla 3. En esta tabla se observa, por ejemplo, que la frecuencia con que la entidad de salud pueda contar con personal no competente puede ser baja o alta, y su severidad se ve representada en pérdidas entre 0 a 1000 salarios mínimos mensuales legales vigentes -SMMLV- o más de 1000 SMMLV, respectivamente.

Tabla 3 Definición de estados de nodos

Nodo	Estados frecuencia	Estados severidad (Salarios mínimos)
Personal no competente	Bajo - Alto	[0, 1000] - Más de 1000
Sistemas de información desactualizados	Bajo - Medio - Alto	[0, 1000] - [1001, 1500] - Más de 1500
Equipos sin mantenimiento	Bajo - Alto	[0, 1000] - Más de 1000
Errores de facturación	Bajo - Alto	[0, 1000] - Más de 1000
Falla en servicios informáticos	Bajo - Medio - Alto	[0, 1000] - [1001, 1500] - Más de 1500
Pérdida de información	Bajo - Alto	[0, 1000] - Más de 1000
No meta radicación	Bajo - Alto	[0, 1000] - Más de 1000

Fuente: elaboración propia.

Distribuciones marginales a priori

Luego de establecer los nodos, las relaciones entre nodos y los estados que toma cada nodo, se definen las probabilidades a priori. Para establecer las distribuciones a priori para la RB de frecuencias, ^{Cruz (2002)}; ^{Dávila-Aragón et al. (2015)}; ^{Marshall (2001)}; ^{González (2004)}; ^{Venegas-Martínez et al. (2015)}, mencionan que la distribución de Poisson, la binomial y la binomial negativa se utilizan para ajustar variables de frecuencia, siendo la primera, las más utilizada. A través de la información proporcionada por los expertos, la distribución que más se ajusta a los datos es la distribución binomial, por lo cual es la que se utiliza en este estudio.

Para el caso de la severidad de la pérdida, generalmente se utiliza la distribución lognormal, gamma, beta y Weibull (^{González, 2004}), siendo la distribución lognormal la que más se emplea en la literatura (^{Dávila-Aragón, Ortiz-Arango & Cruz-Aranda, 2016}). No obstante, dada la información proporcionada por los expertos, la cual se explica de manera categórica, se utiliza una distribución binomial para la RB de la severidad. Con base en lo anterior, en la tabla 4 y tabla 5 se muestran las probabilidades condicionales a priori definidas para cada nodo de la RB de frecuencia y de severidad, respectivamente.

Tabla 4 Probabilidades a priori para la frecuencia

Fuente: elaboración propia.

Tabla 5. Probabilidades a priori para la severidad

a) Personal no competente

[0, 1000]	Más de 1000
0.13	0.87

b) Equipos sin mantenimiento

[0,1000]	Más de 1000
0.17	0.83

c) Falla en servicios informáticos

	Sistemas de información desactualizados
Falla en servicios informáticos	[0, 1000]	[1001, 1500]	Más de 1500
[0, 1000]	0.11	0.22	0.11
[1001, 1500]	0.26	0.16	0.22
Más de 1500	0.63	0.63	0.67

d) Pérdida de información

	Falla en servicios informáticos
Pérdida de información	[0, 1000]	[1001, 1500]	Más de 1500
[0, 1000]	0.10	0.25	0.18
Más de 1000	0.90	0.75	0.82

e) Errores de facturación

	Sistemas de información desactualizados
Errores de facturación	[0, 1000]	[1001, 1500]	Más de 1500
[0, 1000]	0.11	0.16	0.22
Más de 1000	0.89	0.84	0.78

f) Sistema de información desactualizados

	Personal no competente
Equipos sin mantenimiento	[0, 1000]		Más de 1000
Sistemas de información desactualizados	[0, 1000]	Más de 1000	[0, 1000]	Más de 1000
[0, 1000]	1.00	0.00	0.33	0.34
[1001, 1500]	0.00	0.50	0.50	0.57
Más de 1500	0.00	0.50	0.17	0.09

g) No cumplimiento en la meta de radicación

	Pérdida de información
Errores de facturación	[0, 1000]		Más de 1000
No cumplimiento en la meta de radicación	[0, 1000]	Más de 1000	[0, 1000]	Más de 1000
[0, 1000]	1.00	0.25	0.20	0.20
Más de 1000	0.00	0.75	0.80	0.80

Fuente: elaboración propia.

Se puede observar en la tabla 4, que existe una alta probabilidad de contratar un volumen alto de personal sin la adecuada competencia y suficiencia para el cargo al que ha sido asignado, así como una baja detección de un número alto de equipos sin mantenimiento. Cuando se cuenta con sistemas de información altamente desactualizados, existe una probabilidad del 55% de que se presenten grandes fallas en los servicios de información y del 91% de que se encuentre un alto volumen de errores en la facturación.

Si las fallas en los servicios informáticos son muy altas o frecuentes, hay una probabilidad del 84% de que se pierdan altos volúmenes de información. Frente a un alto grado de personal que no sea competente y que cuentan con un equipo sin mantenimiento, la probabilidad de que los sistemas de información permanezcan altamente desactualizados es del 11%. Finalmente, la meta de radicación de la totalidad de las facturas generadas puede no cumplirse en un alto grado, con una probabilidad del 13%, debido a un alto volumen de errores en la facturación y pérdida en la información necesaria para el diligenciamiento de las facturas. Esta meta puede no cumplirse en un porcentaje bajo, con una probabilidad del 88%, a razón de un alto número de errores en la facturación y pérdida de información.

Con respecto a la RB de severidad de la tabla 5, se observa que el contar con personal no competente para el cargo y un inadecuado mantenimiento de los equipos, puede generar pérdidas de más de 1000 salarios mínimos mensuales legales vigentes -SMMLV- para la entidad de salud, con probabilidad superior al 80%. Tener sistemas de información desactualizados que generan pérdidas por más de 1500 SMMLV, pueden ocasionar fallas en servicios informáticos y errores de facturación que ocasionan pérdidas por más de 1500 SMMLV con una probabilidad del 67% y más de 1000 SMMLV con una probabilidad del 78%, respectivamente.

Fallas en servicios informáticos que generan pérdidas por más de 1500 SMMLV, pueden ocasionar pérdida de información que, con una probabilidad de 82%, generan pérdidas por más de 1000 SMMLV. Por otro lado, personal no competente y falta de mantenimiento en equipos que ocasionan pérdidas por más de 1000 SMMLV, pueden derivarse en sistemas de información altamente desactualizados, los cuales, con una probabilidad del 9%, representan pérdidas para la entidad de salud por más de 1500 SMMLV, y con una probabilidad del 57%, representan pérdidas entre los 1001 y 1500 SMMLV.

Finalmente, la presencia de errores de facturación y pérdida de información que generan pérdidas por más de 1000 SMMLV, pueden ocasionar el no cumplimiento en la meta de radicación del total de las facturas durante un periodo de tiempo determinado, que implican, para la entidad de salud, pérdidas por más de 1000 SMMLV, con una probabilidad del 80%.

Distribución a posteriori

Una vez definidos los nodos, se construyen los grafos que visualizan las relaciones de causalidad entre estos nodos, lo cual permite hacer inferencia acerca de las distribuciones a posteriori. Para ello, se utiliza el programa estadístico R.

Para hacer inferencia del modelo de RBs, se utiliza el modelo de inferencia gráfica, en el cual se transforma la RB en un árbol de derivaciones, junction tree, que acelera el cómputo de las probabilidades (^{Scutari & Denis, 2014}).

En la figura 2 y 3 se muestran respectivamente las distribuciones a posteriori para la RB para la frecuencia y la severidad en la ocurrencia de factores de riesgo que inciden en el proceso de facturación y en esta medida, en el cumplimiento del 100% de la radicación de las facturas generadas en la entidad de salud.

Fuente: elaboración propia

Figura 2 RB para la frecuencia

Fuente: elaboración propia.

Figura 3 RB para la severidad

La figura 2 permite observar que la entidad de salud posee una probabilidad del 82% de contratar un alto volumen de personal que no cuenta con el nivel de competencia y suficiencia para el cargo al que ha sido asignado y un 18% de contratar un bajo volumen de personal no competente para la posición. Con relación al mantenimiento de los equipos, hay una probabilidad del 20% de detectar un alto número de equipos sin mantenimiento, y un 80% de detectar un bajo volumen de equipos en ese estado. Los sistemas de información pueden estar medianamente desactualizados con una probabilidad de 35%, altamente desactualizados con una probabilidad de 18%, y levemente desactualizados con una probabilidad de 47%.

Con respecto a fallas en los servicios de información y errores en la facturación, existe respectivamente, una probabilidad del 52% y 82% de que se presenten en un alto grado, una probabilidad del 22% y 18% de que se presenten en un bajo grado, y para el caso fallas en los servicios de información, una probabilidad del 26% de que se presenten en un grado moderado.

Por otro lado, hay una probabilidad del 83% de que haya una alta pérdida de información, y un 17% de poca o baja pérdida de información. Finalmente, existe una probabilidad del 87% que no se cumpla, en una baja medida, con la radicación del total de facturas generadas en un tiempo determinado, y una probabilidad del 13% de que la meta no se cumpla en un alto porcentaje.

Al analizar la figura 3, se encuentra que la entidad de salud posee una probabilidad del 87% de generar pérdidas por más de 1000 SMMLV, y una probabilidad del 13% de no tener pérdidas o solamente hasta 1000 SMMLV, debido a la contratación de personal sin la adecuada competencia para el cargo al que ha sido asignado. Cuando los equipos se encuentran sin mantenimiento, esto puede conducir a unas pérdidas de más de 1000 SMMLV con una probabilidad del 83%, y no tener pérdidas o hasta 1000 SMMLV, con una probabilidad del 17%.

Las pérdidas generadas por sistemas de información desactualizados pueden ascender hasta 1000 SMMLV con una probabilidad del 30%, ubicarse entre los 1001 y 1500 SMMLV con una probabilidad del 54%, o ser superiores a los 1500 SMMLV con una probabilidad del 16%. Las pérdidas ocasionadas por fallas en los servicios informáticos y errores de facturación pueden alcanzar los 1000 SMMLV con una probabilidad menor al 18%.

Las fallas en servicios informáticos también pueden generar pérdidas entre los 1001 y 1500 SMMLV con una probabilidad del 20%, y principalmente, pérdidas por más de 1500 SMMLV con probabilidad del 63%. En cuanto a los errores de facturación, estos ocasionan principalmente, pérdidas por más de 1000 SMMLV con una probabilidad superior al 80%.

Adicionalmente, hay una probabilidad del 82% de que pérdida de información relevante en el proceso de facturación desemboque en una pérdida de más de 1000 SMMLV, y una probabilidad del 18% de que esta pérdida no supere los 1000 SMMLV. Finalmente, el no cumplir con la meta de radicación del total de facturas generadas en un periodo determinado, implica que la entidad puede dejar de percibir ingresos de hasta 1000 SMMLV con una probabilidad del 23%, y principalmente, más de esta cantidad de SMMLV con una probabilidad del 77%.

Por otro lado, la construcción del junction tree y de sus tablas de probabilidad, permiten analizar nuevas interrogantes sobre probabilidades condicionales, donde se pueden identificar cambios en las distribuciones de probabilidad a causa del establecimiento de nuevas condiciones. De manera que, las variables que se condicionan se establecen como nueva evidencia, la cual se propaga a través del árbol de derivación y ocasiona que la probabilidad de un evento de interés se actualice.

Por ejemplo, en la red de frecuencia se puede analizar el impacto de tener personal no competente en la entidad sobre el cumplimiento de la meta de radicación de facturas en un periodo determinado, esto es, P(NMR|PNC). Se encuentra bajo esta condición, que el contar con un alto o bajo número de personas sin la adecuada competencia para el cargo, no genera cambios considerables en no cumplir la meta de radicación en un alto o bajo porcentaje, esto es P(NMR), ya que estas dos probabilidades no presentan diferencias marcadas.

Este comportamiento se evidencia en otras variables a excepción de la disminución en la pérdida de información, lo cual generan un incremento en la probabilidad de no cumplir la meta de radicación de facturas en una baja proporción, dado que P(NMR - Bajo) - 87%. mientras que P(NMR = Bajo|PI = Bajo) = 100%. Esto implica que el controlar y disminuir la pérdida de información, puede incidir en una disminución en el grado de incumplimiento de la meta de radicación. De igual forma, un incremento en la pérdida de información ocasiona un aumento en la probabilidad de no cumplir la meta de radicación en un alto grado, ya que P(NMR = Alto) = 13%, mientras que P(NMR = Alto|PI = Alto) = 17%.

Al realizar el mismo análisis en la red de severidad, se encuentra que un adecuado control en los errores de facturación y pérdida de la información, ocasionan un mejor cumplimiento de la meta de radicación de facturas, porque a menores pérdidas en términos monetarios, generadas por error en facturación y pérdida de la información, ocasionan menores pérdidas por incumplimiento de la meta de radicación, puesto que P(NMR ≤ 1000SMLV ) = 23%, mientras que P(NMR ≤ 1000SMLV|EF ≤ 1000SMLV = 38% y P(NMR < 1000SMLV|PI ≤ 1000SMLV) = 32%. Asimismo, mayores pérdidas causadas por pérdida de información y error en facturación generan mayores pérdidas por incumplimiento en la meta de radicación, esto es, P(NMR > 1000SMLV) = 77%, mientras que P(NMR>1000SMLV|EF > 1000SMLV) = 80% y P(NMR > 10005MLi7|PI > 1000SMLV) = 80%.

Como se puede observar, la RB para la frecuencia y la severidad permiten identificar los factores de riesgo que inciden principalmente en la ocurrencia de una falla en un proceso operativo, que puede conllevar a consecuencias negativas a nivel financiero, reputacional, legal, y que afectan al adecuado funcionamiento de una organización.

Valor en riesgo operacional

Se sigue a ^{Dávila-Aragón, Ortiz-Arango y Cruz-Aranda (2016)} y a ^{Aquaro et al. (2010)}, para calcular las pérdidas ocasionadas por el no cumplimiento de la meta de radicación de facturas en un periodo determinado, a través del cómputo del valor en riesgo. De acuerdo con estos autores, el valor en riesgo operacional -VaRop- para el no cumplimiento de la meta de radicación de facturas, corresponde al producto entre la frecuencia esperada de que no se cumpla la meta y la severidad de la pérdida esperada por esta misma causa, asumiendo independencia las variables de frecuencia y severidad.

Con la información proporcionada por los expertos y la RB, se asume que la frecuencia esperada con la que se puede incumplir la meta de radicación de facturas es de 1 vez en los últimos 5 años y, la severidad de la pérdida esperada es en promedio de 1250 SMMLV. Luego, se tiene que la pérdida esperada corresponde a 1250 SMMLV, bajo independencia de las variables.

Para calcular la distribución de pérdidas, se utiliza el método de simulación Monte Carlo, y según lo mencionado con anterioridad, se simulan 10 000 eventos para la distribución de frecuencia, la cual se asume poisson con ʎ= 1, y se simulan 10 000 valores aleatorios para la distribución de severidad, la cual se asume lognormal con µ. = 1250 SMMLV y σ = 167 SMMLV. Se realizan 10 000 simulaciones con las que se construye una muestra para la distribución de las pérdidas.

Finalmente, se organiza esta muestra de manera ascendente para calcular el valor de la pérdida en determinado cuantil de la distribución. La figura 4 presenta las pérdidas computadas utilizando la simulación Monte Carlo. Se encuentra, con un nivel de confianza del 95% -es decir, el cuantil 95%-, que el VaRop para el proceso de facturación de incumplimiento en la meta de radicación es de 3707 SMMLV. Con un 99% de confianza, el VaRop se ubica en 5099 SMMLV. La pérdida esperada es de 1249 SMMLV.

Fuente: elaboración propia.

Figura 4 Pérdidas computadas utilizando simulación Monte Carlo

Estos resultados son de gran utilidad para la toma de decisiones con respecto a la gestión del riesgo, pues permite identificar las posibles pérdidas en las que se puede incurrir, por falla en los procesos operativos.

Conclusiones

La gestión del RO ha ganado importancia en los últimos años, especialmente en el sector financiero, pero ha empezado a expandirse a otras actividades económicas, con la finalidad de disminuir este tipo de riesgo, el cual puede tener considerables incidencias en el desempeño de la empresa, así como en su situación financiera. En Colombia, la gestión del RO en entidades de salud ha tomado también importancia, lo que ha generado la creación de distintos documentos normativos y de guía por parte de los organismos de control. No obstante, aún no se ha profundizado en este tema en el país y la literatura al respecto es bastante escasa, por lo que este estudio se convierte en una propuesta innovadora para poder medir el riesgo en estas instituciones utilizando técnicas ampliamente utilizadas para la gestión de este riesgo en otros sectores económicos.

En este estudio, se propone el modelo de redes bayesianas, para la gestión del riesgo operativo en las entidades, el cual permite incorporar información adicional proporcionada por expertos para completar la información histórica y, además, identificar relaciones de causalidad entre distintos factores que inciden sobre el riesgo operativo.

Al realizar un ejercicio ilustrativo con datos simulados a partir de la información proporcionada por expertos de una entidad de salud, se observa que las redes bayesianas permiten identificar los factores de riesgo que inciden principalmente en la ocurrencia de fallas en un proceso operativo, lo que ayuda a enfocar las medidas de intervención hacia estos factores de riesgo, y predecir además, los efectos de estas intervenciones, los cuales se transfieren a los demás factores de la red a través de las relaciones de dependencia, haciendo más eficiente la gestión del riesgo en la entidad de salud.

Adicionalmente, la red se puede ir actualizando a medida que nueva información sea disponible, identificando los cambios en las relaciones entre variables, y en esta medida, detectando el problema de origen, es decir, los factores de riesgo a los que se pueden focalizar las intervenciones.

Por lo tanto, el modelo de redes bayesianas que se basa en la teoría de grafos y de la probabilidad para identificar y medir las relaciones de causa-efecto, y ha sido utilizado exitosamente en distintos sectores de la economía, se propone como una herramienta adecuada para complementar las metodologías utilizadas para la evaluación del riesgo operativo en Colombia por entidades de salud, al proporcionar información más precisa para la toma de decisiones en la gestión del RO, promover el diseño, la implementación y el correcto funcionamiento de Sistema de Administración de Riesgos y, aportar a una mejor prestación del servicio de salud en Colombia.

Referencias

[1] Alexander, C. (2003). Operational Risk: Regulation, Analysis, and Management. Harlow: Prentice Hall. [ Links ]

[2] Álvarez, G., Roca, S., Chaux, M. & Pineda, F. (2012). Implementación del Sistema de Administración de Riesgos (SAR) por Entidades Promotoras de Salud del Régimen Contributivo en Colombia 2008-2011. Monitor estratégico, 1, 6-14. Recuperado de https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/IA/SSA/Implementacion-Sistema-SAR.pdf [ Links ]

[3] Andersen, L., Hager, D. & Vormeland, H. (2016). Causal Analysis of Operational Risk for Deriving Effective Key Risk Indicator. Journal of Risk Management in Financial Institutions, 9(3), 289-304. [ Links ]

[4] Aquaro, V., Bardoscia, M., Belloti, R., Consiglio, A., De Carlo, F. & Ferri, G. (2010). A Bayesian Networks Approach to Operational Risk. Physica A: Statistical Mechanics and its Applications, 389(8), 1721-1728. https://doi.org/10.1016/j.physa.2009.12.043 [ Links ]

[5] Barua, S., Gao, X., Pasman, H. & Mannan, M. S. (2016). Bayesian Network Based Dynamic Operational Risk Assessment. Journal of Loss Prevention in the Process Industries, 41, 399-410. https://doi.org/10.1016/j.jlp.2015.11.024 [ Links ]

[6] Bolancé, C., Guillén, M., Gustafsson, J. & Nielsen, J. P. (2012). Quantitative Operational Risk Models. Boca Ratón: CRC Press Taylor Francis Group. [ Links ]

[7] Bonafede, C. & Guidici, P. (2007). Bayesian Networks for Enterprise Risk Assessment. Physica A: Statistical Mechanics and its Applications, 382(1), 22-28. https://doi.org/10.1016/j.physa.2007.02.065 [ Links ]

[8] Castillo, M. & Mendoza, A. (2004). Diseño de una metodología para la identificación y la medición del riesgo operativo en instituciones financieras. Revista de Ingeniería, 19, 45-52. Recuperado de https://ojsrevistaing.uniandes.edu.co/ojs/index.php/revista/article/view/438 [ Links ]

[9] Congreso de la República. (23 de diciembre de 1993). Por la cual se crea el sistema de seguridad social integral y se dictan otras disposiciones. [Ley 100 de 1993]. Recuperado de https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i = 5248 [ Links ]

[10] Congreso de la República. (9 de enero de 2007). Por la cual se hacen algunas modificaciones en el Sistema General de Seguridad Social en Salud y se dictan otras disposiciones. [Ley 1122 de 2007]. Recuperado de https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/DIJ/ley-1122-de-2007.pdf [ Links ]

[11] Cornalba, C. (2009). Clinical and Operational Risk: A Bayesian Approach. Methodology and Computing in Applied Probability, 11(1), 47-63. https://doi.org/10.1007/s11009-007-9068-9 [ Links ]

[12] Cornalba, C. & Giudici, P. (2004). Statistical Models for Operational Risk Management. Physica A:Statistical Mechanics and its Applications, 338(1/2), 166-172. https://doi.org/10.1016/j.physa.2004.02.039 [ Links ]

[13] Corrigan, J., Luraschi, P. & Cantle, N. (2013). Operational Risk Modelling Framework. Milliman Research Report. Recuperado de http://www.milliman.com/uploadedFiles/insight/life-published/operational-risk-modelling-framework.pdf [ Links ]

[14] Cowell, R., Verrall, R. & Yoon, Y. K. (2007). Modelling Operational Risk with Bayesian Networks. Journal of Risk and Insurance, 74(4), 795-827. https://doi.org/10.1111/j.1539-6975.2007.00235.x [ Links ]

[15] Cruz, M. (2002). Modeling, Measuring and Hedging Operational Risk. Nueva York: John Wiley & Sons. [ Links ]

[16] Dávila-Aragón, G., Cruz-Aranda, F., Cabrera-Llanos, A. & Ortiz-Arango, F. (2015). Análisis de la productividad mediante redes bayesianas en una pyme desarrolladora de tecnología. Revista mexicana de economía y finanzas, 10(1), 61-71. Recuperado de http://www.scielo.org.mx/pdf/rmef/v10n1/1665-5346-rmef-10-01-00061.pdf [ Links ]

[17] Dávila-Aragón, G., Ortiz-Arango, F. & Cruz-Aranda, F. (2016). Cálculo del valor en riesgo operacional mediante redes bayesianas para una empresa financiera. Contaduría y Administración, 61(1), 176-201. https://doi.org/10.1016/jxya.2015.09.009 [ Links ]

[18] Da Silva-Etges, A., De Souza, J. S., Kliemann, F. & Felix, E. (2019). A Proposed Enterprise Risk Management Model for Health Organizations. Journal of Risk Research, 22(4), 513-531. https://doi.org/10.1080/13669877.2017.1422780 [ Links ]

[19] Giudici, P. & Bilotta, A. (2004). Modelling Operational Losses: A Bayesian Approach. Quality and Reliability Engineering International, 20(5), 407-417. https://doi.org/10.1002/qre.655 [ Links ]

[20] González, M. (2004). Análisis del nuevo acuerdo de capitales de Basilea (BIS-II): Pyme- Risk, Country-Risk y Operational-Risk. Recuperado de https://core.ac.uk/download/pdf/7074841.pdf [ Links ]

[21] Heckerman, D. (2008). A Tutorial on Learning with Bayesian Networks. En D. E. Holmes & L. C. Jain (Eds.), Innovations in Bayesian Networks. Theory and Applications (pp. 33-82). Berlín-Heidelberg: Springer. [ Links ]

[22] Heckerman, D., Geiger, D. & Chickering, D. (1995). Learning Bayesian Networks: the Combination of Knowledge and Statistical Data. Machine Learning, 20(3), 197-243. Recuperado de http://www.cs.technion.ac.il/~dang/journal_papers/heckerman1995learning.pdf [ Links ]

[23] Holmes, D. E. & Jain, L. C. (2008). Introduction to Bayesian Networks En D. E. Holmes & L. C. Jain (Eds.), Innovations in Bayesian Networks. Theory and Applications (pp. 1-5). Berlín-Heidelberg: Springer . [ Links ]

[24] Jensen, F. V. & Nielsen, T. D. (2007). Bayesian Networks and Decision Graphs (2 ed.). Nueva York: Springer. [ Links ]

[25] Marshall, C. (2001). Measuring and Managing Operational Risk in Financial Institutions. Singapur: John Wiley Sons. [ Links ]

[26] Martínez-Sánchez, J., Martínez-Palacios, M. & Venegas-Martínez, F. (2016). An Analysis on Operational Risk in International Banking: A Bayesian Approach (2007-2011). Estudios Gerenciales, 32(140), 208-220. https://doi.org/10.1016/j.estger.2016.06.004 [ Links ]

[27] Ministerio de la Protección Social. (2 de marzo de 2007a). Por el cual se definen y adoptan las condiciones financieras y de solvencia del Sistema Único de Habilitación de Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas. [Decreto 574 de 2007]. DO: 46558. Recuperado de http://www.defensoria.gov.co/public/Normograma%202013_html/Normas/Decreto_574_2007.pdf [ Links ]

[28] Ministerio de la Protección Social. (16 de mayo de 2007b). Por el cual se modifica el Decreto 574 de 2007 que define las condiciones financieras y de solvencia del Sistema Único de Habilitación de Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas. [Decreto 1698 de 2007] . DO: 46630. Recuperado de http://www.suin.gov.co/viewDocument.asp?id=1865285 [ Links ]

[29] Ministerio de la Protección Social. (20 de mayo de 2008). Por la cual se dictan disposiciones relacionadas con el Sistema de Administración de Riesgos para las Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas previstas en el Sistema de Habilitación - Condiciones financieras y de suficiencia patrimonial, se definen las fases para su implementación y se dictan otras disposiciones. [Resolución 1740 de 2008]. Recuperado de https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/DIJ/Resoluci%C3%B3n_1740_de_2008.pdf [ Links ]

[30] Ministerio de la Protección Social. (4 de diciembre de 2009). Por medio del cual se modifican los Decretos 574 de 2007, 1698 de 2007y 2353 de 2008. [Decreto 4789 de 2009]. DO: 47553. Recuperdo de http://www.suin-juriscol.gov.co/viewDocument.asp?id=1550934 [ Links ]

[31] Ministerio de la Protección Social. (10 de diciembre de 2010). Aplicación de la Resolución 1740 de 2008 por la cual se dictan disposiciones relacionadas con el Sistema de Administración de Riesgos (SAR) para las Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas. [Circular Externa 082 de 2010]. Recuperado de https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/DIJ/Circular%20082%20de%202010.pdf [ Links ]

[32] Ministerio de la Protección Social. (17 de agosto de 2011). Lineamientos técnicos Fase IV para la Aplicación de la Resolución 1740 de 2008 por la cual se dictan disposiciones relacionadas con el Sistema de Administración de Riesgos para las Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas. [Circular Externa 045 de 2011]. Recuperado de https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/DIJ/CIRCULAR%20EXTERNA%200045%20DE%202011.pdf [ Links ]

[33] Ministerio de Salud y Protección Social. (6 de mayo de 2013). Por la cual se definen los procedimientos y condiciones que deben cumplir los Prestadores de Servicios de Salud para habilitar los servicios y se dictan otras disposiciones. [Resolución 1441 de 2013]. Recuperado de https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/DIJ/resolucion-1441-de-2013.pdf [ Links ]

[34] Ministerio de Salud y Protección Social. (6 de septiembre de 2013). Por el cual se modifica el artículo 5° del Decreto 574 de 2007, modificado por los artículos 1°y 3° de los Decretos 1698 de 2007y 4789 de 2009, respectivamente. [Decreto 1921 de 2013]. Recuperado de https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/DIJ/decreto-1921-de-2013.pdf [ Links ]

[35] Ministerio de Salud y Protección Social. (28 de mayo de 2014). Por la cual se definen los procedimientos y condiciones de inscripción de los Prestadores de Servicios de Salud y de habilitación de servicios de salud. [Resolución 2003 de 2014]. Recuperado de https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/DIJ/Resolucion-2003-de-2014.pdf [ Links ]

[36] Ministerio de Salud y Protección Social. (23 de diciembre de 2014). Por el cual se actualizan y unifican las condiciones financieras y de solvencia de las entidades autorizadas para operar el aseguramiento en salud y se dictan otras disposiciones. [Decreto 2702 de 2014]. Recuperado de http://wp.presidencia. gov.co/sitios/normativa/decretos/2014/Decretos2014/DECRETO%202702%20DEL%2023%20 DE%20DICIEMBRE%20DE%202014.pdf . [ Links ]

[37] Ministerio de Salud y Protección Social. (17 de febrero de 2016). Por medio de la cual se adopta la Política de Atención Integral en Salud. [Resolución 429 de 2016]. Recuperado de https://www.minsalud.gov.co/Normatividad_Nuevo/Resoluci%C3%B3n%200429%20de%202016.pdf [ Links ]

[38] Mittnik, S. & Starobinskaya, I. (2010). Modeling Dependencies in Operational Risk with Hybrid Bayesian Networks. Methodology and Computing in Applied Probability, 12(3), 379-390. https://doi.org/10.1007/s11009-007-9066-y [ Links ]

[39] Mora, A. (2010). Cuantificación del riesgo operativo en entidades financieras en Colombia. Cuadernos de Administración, 23(41), 185-211. Recuperado de http://www.scielo.org.co/pdf/cadm/v23n41/v23n41a09.pdf [ Links ]

[40] Neil, M., Fenton, N. & Tailor, M. (2005). Using Bayesian Networks to Model Expected and Unexpected Operational Losses. Risk Analysis, 25(4), 963-972. https://doi.org/10.1111/j.1539-6924.2005.00641.x [ Links ]

[41] Panjer, H. H. (2006). Operational Risk: Modeling Analytics. Nueva Jersey: John Wiley & Sons. [ Links ]

[42] Pearl, J. (1993). Aspects of Graphical Models Connected with Causality. Department of Statistics Papers. Recuperado de https://escholarship.org/content/qt9zx0h8k6/qt9zx0h8k6.pdf [ Links ]

[43] Pinto, L. & Leyva, A. (2008). Administración del riesgo operacional en Colombia. Estado de la implementación del SARO en el sector bancario. Ad-minister, 12, 89-106. Recuperado de http://publicaciones.eafit.edu.co/index.php/administer/article/view/553/499 [ Links ]

[44] Power, M. (2005). The Invention of Operational Risk. Review of International Political Economy, 12(4), 577-599. Recuperado de https://www.jstor.org/stable/25124039 [ Links ]

[45] Reina, M., Angulo, S., Segura, A. & Trujillo, A. (2010). Elementos para la gestión de riesgos en las entidades promotoras de salud del régimen contributivo en Colombia. CES Medicina, 24(1), 19-35. Recuperado de http://revistas.ces.edu.co/index.php/medicina/article/view/974 [ Links ]

[46] Sandström, A. (2010). Handbook of Solvency for Actuaries and Risk Managers. Theory and Practice. Boca Ratón: Chapman and Hall/CRC. [ Links ]

[47] Sanford, A. & Moosa, I. (2012). A Bayesian Network Structure for Operational Risk Modelling in Structured Finance Operations. Journal of the Operational Research Society, 63(4), 431-444. https://doi.org/10.1057/jors.2011.7 [ Links ]

[48] Scutari, M. & Denis, J. (2014). Bayesian Networks with Examples in R. Boca Ratón: Chapman and Hall/CRC . [ Links ]

[49] Superintendencia Nacional de Salud. (11 de abril de 2018). Por medio de la cual se adopta el modelo de Inspección, Vigilancia y Control para la Superintendencia Nacional de Salud para el ejercicio de la supervisión de los riesgos inherentes al Sistema General de Seguridad Social en Salud. [Resolución 4559 de 2018]. Recuperado de https://docs.supersalud.gov.co/PortalWeb/Juridica/Resoluciones/RESOLUCI%C3%93N%204559%20de%202018.pdf [ Links ]

[50] Superintendencia Nacional de Salud. (29 de junio de 2018). Por la cual se imparten instrucciones generales relativas al código de conducta y de buen gobierno organizacional, el sistema integrado de gestión de riesgos y a sus subsistemas de administración de riesgo. [Circular Externa 004 de 2018]. Recuperado de http://www.comunidadcontable.com/BancoMedios/Imagenes/supersalud%20circular%20externa%200004%20de%202018.pdf [ Links ]

[51] Venegas-Martínez, F., Franco-Arbeláez, L., Franco-Ceballos, L., & Murillo-Gómez, J. (2015). Riesgo operativo en el sector salud en Colombia: 2013. Eseconomia, 10(43), 7-36. Recuperado de http://yuss.me/revistas/ese/2015v10n43a01p007_036.pdf [ Links ]

*Este artículo es resultado del proyecto de investigación “Cálculo y evaluación del riesgo operativo en entidades promotoras de salud a partir del enfoque de redes bayesianas” y contó con la financiación de Colciencias y la Universidad Nacional de Colombia - Sede Bogotá mediante el Convocatoria 761 de Colciencias Jóvenes Investigadores e Innovadores 2016. La autora agradece a Carlos Rodríguez Ph.D., profesor de la Universidad Nacional de Colombia - Sede Bogotá, y al Grupo de Investigación en Gestión y las Organizaciones (GRIEGO), por el excelente e incondicional apoyo para el desarrollo de esta investigación.

¹Este tipo de nomenclatura es utilizada por autores como Scutari & Denis (2014).

²Este método de simulación ha sido utilizado en otros estudios como Dávila-Aragón, Ortiz-Arango & Cruz-Aranda-Aranda (2016); Mittnik & Starobinskaya (2010); Mora (2010).

³En el caso particular, se evalúa la hipótesis nula si los sistemas de información desactualizados -SID- son probabilísticamente independientes del personal competente —PC—. Entonces, el test estadístico asume la forma: donde es el número de observaciones para la combinación de una categoría 5 de SID y una categoría p de PC, ymsp es el valor teórico o esperado de /.Los grados de libertad son df = (s — 1)(p - 1). Bajo la hipótesis nula, este test tiene una distribución asintótica x2.

⁴ donde n es el tamaño de la muestra y d es el número de parámetros de toda la red.

⁵El método BDeu, propuesto por Heckerman, Geiger & Chickering (1995), es un caso especial de la distribución Dirichlet -una distribución multinomial que describe la probabilidad condicional de cada variable de la red-, donde se utiliza una uniforme a priori sobre los parámetros de la distribución local en la red.

Cómo citar/ How to cite this item: Vaca-González, P. A. (2019). Cálculo y evaluación del riesgo operativo en entidades de salud a partir del enfoque de redes bayesianas. Ensayos de Economía, 29(55), 205-233. https://doi.org/10.15446/ede.v29n55.78411

Recibido: de 2019; Aprobado: de 2019; Revisado: 12 de Agosto de 2019

Todo el contenido de esta revista, excepto dónde está identificado, está bajo una Licencia Creative Commons BY-NC-ND

Services on Demand

Journal

Article

Indicators

Related links

Share

Ensayos de Economía

Print version ISSN 0121-117XOn-line version ISSN 2619-6573

Ens. Econ. vol.29 no.55 Medellín July/Dec. 2019 Epub Mar 14, 2020

https://doi.org/10.15446/ede.v29n55.78411