modelo integral de administración de riesgos aplicado...

Calle 67 A Sur No. 18C - 12 Juan Pablo II - PBX: 730 0000 - www.hospitalvistahermosa.gov.co – Bogotá D.C.

Modelo Integral de Administración de Riesgos

Aplicado al Hospital Vista Hermosa I Nivel E.S.E

JOHN JAIRO GARCIA MONTES

UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

FACULTAD DE INGENIERIA

PROYECTO CURRICULAR INGENIERIA INDUSTRIAL

2010


Modelo Integral de Administración de Riesgos

Aplicado al Hospital Vista Hermosa I Nivel E.S.E

JOHN JAIRO GARCIA MONTES

20011015111

Proyecto de pasantía para optar al título de Ingeniero Industrial

Director Pasantía

Álvaro Jiménez

Asesor Externo

Dra. Nohora Velásquez Salamanca

Dr. Ángel María Fonseca Correa

UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

FACULTAD DE INGENIERIA

PROYECTO CURRICULAR INGENIERIA INDUSTRIAL

2010


Le doy gracias a Dios porque me ilumino en todo el trayecto de mi carrera, a mi padre que está en el cielo, que me fortaleció espiritualmente para continuar haciendo mis sueños realidad, a mi madre que se esforzó incansablemente por construirme como hijo y como persona, a mi hija que es lo más hermoso que me ha dado la vida y a todas las personas que me brindaron su amor, su apoyo y su amistad para que esta meta se hiciera realidad.

John Jairo García Montes


2

Agradecimientos

Quiero agradecer especialmente al Ing. Álvaro Jiménez por contribuir a mi formación como Ingeniero Industrial y fortalecer la parte académica en todas sus sugerencias y asesorías realizadas para el desarrollo del proyecto.

También agradecemos al Ingeniero Ángel María Fonseca Correa (Consultor y Asesor de organizaciones en temas de Gestión Pública y Auditoría), por su inspiración en la concepción del proyecto y por haber enriquecido el desarrollo del mismo mediante sus valiosos aportes basados en sus conocimientos y su experiencia, que reflejan su vasta experiencia en el sector público en temas organizacionales. Agradecemos a todo el Hospital Vista Hermosa por habernos dado la oportunidad de ser parte de él como servidores públicos, por su colaboración para realizar este proyecto de grado, y por sus ganas de ser una institución líder en gestión pública en el Distrito Capital. En particular destacamos la colaboración de la Dra. Nohora Velásquez Salamanca (Asesora de Gestión Pública y Autocontrol y Ex-Asesora de Planeación y Sistemas), quien con liderazgo ha permitido que la Universidad Distrital transfiera su conocimiento en el mejoramiento de los diferentes procesos de la organización.


3

Este documento se desarrolló bajo las directrices de la

Oficina Asesora de Gestión Pública y Autocontrol

Dra. Nohora Velásquez Salamanca

Asesora de Gestión Pública y Autocontrol

Equipo SIG-AGA

Bogotá D.C Noviembre de 2009


4

TABLA DE CONTENIDO

INTRODUCCIÓN .................................................................................................................. 8 1. PLANTEAMIENTO DEL PROBLEMA ........................................................................... 9

1.1 Antecedentes del problema ............................................................................................... 9 1.2. Formulación del problema ............................................................................................. 10

2. JUSTIFICACIÓN ............................................................................................................. 11 2.1. Técnica........................................................................................................................... 11 2.2. Personal ......................................................................................................................... 11

2.3. Social ............................................................................................................................. 12 2.4. Económica ..................................................................................................................... 12

3. OBJETIVOS ..................................................................................................................... 13 3.1. Objetivo general ............................................................................................................ 13

3.2. Objetivos específicos ..................................................................................................... 13 4. MARCO TEORICO ......................................................................................................... 14 4.1 Antecedentes Generales .................................................................................................. 14

4.1.1 Antecedentes en el mundo ........................................................................................... 14 4.1.2 AS/NZS 4360:1999 Estándar Australiano Administración de Riesgos ...................... 15 4.1.3 Antecedentes en Colombia .......................................................................................... 16 4.2 Antecedentes específicos ................................................................................................ 16 4.2.1 Riesgo de Evento Adverso .......................................................................................... 16

4.2.2 El Riesgo desde el Enfoque de la Auditoria ................................................................ 22

4.2.3 Administración de Riesgos en el Modelo COSO ........................................................ 25 4.2.4 Riesgos en el Modelo COBIT ..................................................................................... 27 4.2.5 ISO 31000:2009 (Administración de riesgos) ............................................................. 29

4.2.6 Guía ISO/CEI 73:2009 ................................................................................................ 31


5

4.2.7 Antecedentes Riesgo Financiero ................................................................................. 32 4.2.8 Antecedentes Riesgo en salud ocupacional ................................................................. 34 4.2.9 Antecedentes Riesgo Ambiental .................................................................................. 35

5. MODELO INTEGRAL DE ADMINISTRACIÓN DE RIESGOS .................................. 36 5.1 Sistema Integrado de Gestión SIG-AGA........................................................................ 36 5.2 Aportes de los Modelos de Gestión al Modelo Integral de Administración del Riesgo 40 6. METODOLOGIA ............................................................................................................. 48 6.1 DEFINICIÓN DEL CONTEXTO ESTRATEGICO ...................................................... 49

6.2 IDENTIFICACIÓN DE RIESGOS ................................................................................ 50 6.2.1 CLASIFICACION DE LOS RIESGOS ...................................................................... 51 6.2.1.1 RIESGOS DEL PROCESO (operativos) ................................................................. 51

6.2.1.2 RIESGOS FINANCIEROS ...................................................................................... 51

6.2.1.3 RIESGOS JURIDICOS ............................................................................................ 51

6.2.1.4 RIESGOS DE TECNOLOGIA ................................................................................ 51

6.2.1.5 RIESGOS EN SALUD OCUPACIONAL ............................................................... 52

6.2.1.6 RIESGOS AMBIENTALES .................................................................................... 52

6.2.1.7 RIESGOS DEL PACIENTE .................................................................................... 52

6.3 ANÁLISIS DEL RIESGO ............................................................................................. 54 6.4 EVALUACIÓN DEL RIESGO ..................................................................................... 56 6.5 VALORACIÓN DEL RIESGO...................................................................................... 59

6.6 TRATAMIENTO DE LOS RIESGOS .......................................................................... 63 6.6.1 ELABORACIÓN DEL MAPA DE RIESGOS POR PROCESO Y EL

INSTITUCIONAL. .............................................................................................................. 65 6.6.2 DESCRIPCIÓN DEL MAPA DE RIESGOS .............................................................. 67

6.6.3 POLITICA DE ADMINISTRACION DEL RIESGO................................................. 68 6.7 MONITOREO Y REVISIÓN ........................................................................................ 69 6.8 COMUNICACIÓN Y CONSULTA ............................................................................. 70

7. ORGANIZACIÓN OBJETO DE ESTUDIO ................................................................... 71 7.1 Reseña Histórica Hospital Vista Hermosa I Nivel ESE ................................................. 71 7.2 Cultura organizacional .................................................................................................... 74

7.3 Principios del Hospital Vista Hermosa I Nivel ESE ...................................................... 76 7.4 Valores Corporativos del Hospital Vista Hermosa I Nivel E.S.E .................................. 76 7.5 Políticas Corporativas del Hospital Vista Hermosa I Nivel E.S.E ................................. 77 7.6 Política de Calidad .......................................................................................................... 78

8. APLICACIÓN DEL MODELO INTEGRAL DE ADMINISTRACIÓN DE RIESGOS

EN EL HOSPITAL VISTA HERMOSA ............................................................................. 81 8.1 Identificación de Riesgos Ejemplo- Proceso Gestión Ambiental ................................... 81

8.2 Análisis de Riesgos Ejemplo- Proceso Gestión Ambiental ............................................ 82


6

8.3 Valoración de Riesgos Ejemplo- Proceso Gestión Ambiental ....................................... 84 8.4 Tratamiento de Riesgos Ejemplo- Proceso Gestión Ambiental ..................................... 86 9. MARCO LEGAL ............................................................................................................. 88

10. CONCEPTOS ................................................................................................................. 90 10.1 CONCEPTOS GENERALES ...................................................................................... 90 10.2 CONCEPTOS ESPECIFICOS .................................................................................... 92 10.2.1 COMPONENTE SEGURIDAD DEL PACIENTE ................................................... 92

10.2.2 COMPONENTE AMBIENTAL ............................................................................... 93

10.2.3 COMPONENTE FINANCIERO ............................................................................... 95

10.2.4 COMPONENTE INFORMATICO ........................................................................... 95

10.2.5 COMPONENTE JURIDICO ..................................................................................... 96

10.2.6 COMPONENTE SALUD OCUPACIONAL ............................................................ 97

11. CONCLUSIONES .......................................................................................................... 99 12. RECOMENDACIONES .............................................................................................. 100

13. BIBLIOGRAFÍA .......................................................................................................... 101 14. ANEXOS ...................................................................................................................... 102

Figura 1 Modelo de Administración de Riesgos AS/NZS 4360:1999 Estándar Australiano

.............................................................................................................................................. 16

Figura 2 Modelo organizacional de causalidad de incidentes clínicos ................................. 18

Figura 3 Relación de modelos de control interno ................................................................. 23

Figura 4 Modelo Coso .......................................................................................................... 25 Figura 5 Modelo COBIT ...................................................................................................... 28 Figura 6 Modelo de administración del riesgos Norma ISO 31000:2009 ............................ 31

Figura 7 Antecedentes riesgos financiero ............................................................................. 33 Figura 8 Los tres Pilares de Basilea II .................................................................................. 34

Figura 9 Sistema Integrado de Gestión SIG-AGA ............................................................... 37 Figura 10 Modelo Integral de Administración del Riesgo ................................................... 39 Figura 11 Estructura ISO 14000:2004 .................................................................................. 43

Figura 12 Estructura ISO 27000 ........................................................................................... 44 Figura 13 OHSAS 18001 ...................................................................................................... 45 Figura 14 Modelo NTC 5254 ............................................................................................... 46

Figura 15 Modelo de riesgos COSO .................................................................................... 47

Figura 16 Metodología de Administración del Riesgo ......................................................... 48 Figura 17 Mapa de Riesgos .................................................................................................. 66 Figura 18 Matriz de Evaluación de Responsabilidad ........................................................... 69 Figura 19 Fechas de Creación de los Centros del Hospital .................................................. 73


7

Figura 20 Modelo de operación Hospital Vista Hermosa I Nivel ........................................ 74 Figura 21 Organigrama Hospital Vista hermosa I Nivel ESE .............................................. 75 Figura 22 Política de Calidad ............................................................................................... 79

Figura 23 Diagrama de responsabilidades ............................................................................ 84 Figura 24 Evaluación Protección Existente Ejemplo- Proceso Gestión Ambiental ............. 85 Figura 25 Mapa de Riesgo Ejemplo- Proceso Gestión Ambiental ....................................... 87 Figura 26 Normatividad Legal ............................................................................................. 90


8

INTRODUCCIÓN

EL Hospital Vista Hermosa I Nivel ESE, debe definir un conjunto de estrategias que a

partir de los recursos (físicos, humanos y financieros) busque la excelencia en la prestación

del servicio y mantener la estabilidad financiera de la organización, protegiendo los activos

e ingresos y, en el largo plazo, minimizar las pérdidas ocasionadas por la ocurrencia de

dichos riesgos.

Para el Estado Colombiano, el Decreto 1537 de 2001, establece en el artículo 4º que todas

las entidades de la Administración Pública, deben contar con una Política de

Administración de Riesgos tendiente a gestionar de forma adecuada los riesgos, con el fin

de garantizar el cumplimiento de los propósitos institucionales, de forma efectiva, eficiente

y eficaz, y de este modo estar preparados para enfrentar cualquier contingencia que se

pueda presentar.

En este sentido, las entidades de la Administración Pública, deben gestionar y controlar los

riesgos, partiendo de la base de su razón de ser y su compromiso con la sociedad; por esto

se debe tener en cuenta que los riesgos no sólo son de carácter económico y están

directamente relacionados con entidades financieras o con lo que se ha denominado riesgos

profesionales, sino que hacen parte de cualquier gestión que se realice.

El enfoque integral se representa en un modelo de riesgo sistémico bajo la armonización de

los modelos de Gestión y sus normas reglamentarias: SOCGS1, ISO 14001, OSHAS 18000,

ISO 27000, ISO 9001, NTCGP 1000:2009, NTC 5254 y el MECI 1000:2005,

contribuyendo a que el Hospital, no sólo garantice la gestión institucional y el logro de los

objetivos sino el fortalecimiento y la sostenibilidad del Sistema Integrado de Gestión.

1 Sistema Obligatorio de la Garantía de la Calidad en Salud


9

1. PLANTEAMIENTO DEL PROBLEMA

1.1 Antecedentes del problema

El Gobierno Nacional dentro del Plan de Desarrollo “Hacia un Estado Comunitario”

establece con el fin de mejorar la competitividad de las entidades públicas, que deben

adoptarse sistemas de calidad y eficiencia administrativa, razón por la cual se expidió la

Ley 872 de 2003 reglamentada mediante el Decreto 4110 de 2004.

Así mismo, mediante el Decreto 1599 de 2005, el Gobierno Nacional adopto para el Estado

Colombiano el Modelo Estándar de Control Interno, estos dos sistemas propuestos tienen la

finalidad de cualificar la prestación de servicios y los procesos orientados al logro de los

fines del Estado, a través de la modernización del Estado Colombiano.

Por otra parte con el Decreto 1011 de 2006 establece el SOGCS (SISTEMA

OBLIGATORIO DE GARANTIA PARA LA CALIDAD EN SALUD) el cual plantea

un modelo de calidad con el SOGCS y establece como obligatorio para el sector salud

implementar los estándares de acreditación, en las Empresas Sociales del Estado.

Con la adopción de estos sistemas, se entiende que el Gobierno Nacional está haciendo un

llamado desde la administración pública a todos los representantes legales y servidores

públicos sobre la importancia de fortalecer en sus entidades la ética pública, de cualificar la

prestación de los servicios y de garantizar que los objetivos propuestos sean alcanzados

brindándole al país un mayor posicionamiento a nivel nacional e internacional, a partir de la

satisfacción de las necesidades de la ciudadanía y la transparencia y eficacia en el ejercicio

de sus funciones.

El HOSPITAL VISTA HERMOSA I NIVEL como E.S.E (Empresa Social del Estado),

está obligado a cumplir con las disposiciones legales mencionadas anteriormente, para cual

debe realizar una serie de actividades encaminadas al cumplimiento de los requisitos del

SOGCS y MECI 1000:2005.

Uno de los componentes del Modelo Estándar de Control Interno, es la Administración de

Riesgos el cual debe ser manejado de forma transversal a la organización y partir de los

Macro procesos establecido mediante la metodología de enfoque sistémico enfocada a

reducir la complejidad de las organizaciones y poder analizar en forma global y tener mejor

manejo en la toma de decisiones y poder implementar los modelos de gestión del sector

público; estos Macro procesos se dividen en Misionales, de Apoyo y Estratégicos.


10

Procesos Misionales

• Prestar servicios de salud primaria en salud extramurales

• Prestar servicios especializados en salud preventivos y de rehabilitación

• Prestar servicios de atención primaria en salud intramurales e inmediatos

Procesos de apoyo

• Gestión de los recursos financieros

• Tecnología biomédica y tecnología de la información y la comunicación

• Enlace con el usuario/cliente

• Gestión documental

• Infraestructura y recursos físicos

• Gestión del talento humano

• Ayudas diagnosticas

• Rendición de la gestión a entidades de control y regulación Procesos estratégicos

Procesos Estratégicos

• Dirección y control

Para cualquier organización independientemente de su origen o actividad, se plantean tres

ejes funcionales en su estructura, la primera es la correspondiente a todos los procesos

estratégicos, en segundo lugar los procesos que generan valor (Misionales), y por último

los procesos que sirven de apoyo al cumplimiento de la misión de la organización. Este

proyecto está dirigido hacia los procesos de apoyo de la organización.

1.2. Formulación del problema

¿El Hospital Vista Hermosa I Nivel ESE, posee un modelo integral de administración de

riesgos que integre los modelos de la gestión (NTCGP 1000:2009, MECI 1000:2005,

SOGCS, ISO 14000, ISO 18000, TIC’S.)?

¿Qué recursos y herramientas son necesarios para realizar un adecuado levantamiento de

información en los procesos de apoyo, los procesos estratégicos y misionales, que permita

realizar la documentación en pro del cumplimiento del componente Administración de

riesgos?


11

¿Cuál es el papel que cumple el levantamiento y análisis de la Administración Integral del

Riesgo, en el proceso de validación e identificación de la información proveniente de los

procesos mencionados anteriormente y a su vez en la identificación de puntos críticos de

dichos procesos dentro del HOSPITAL VISTA HERMOSA I NIVEL ESE y la

generación de mapas de riesgos?

2. JUSTIFICACIÓN

2.1. Técnica

Para establecer el diseño e implementación de cualquier sistema de gestión de calidad es

fundamental establecer las funciones o tareas, insumos, requisitos y productos que se

generan en cada proceso que se realiza en la entidad (para este caso de los procesos de

apoyo, los procesos estratégicos y misionales del HOSPITAL VISTA HERMOSA I

NIVEL ESE.

En el proceso de la planeación y documentación, e implementación del MECI es

fundamental un componente llamado Administración del riesgo; La gestión de riesgos es un

instrumento necesario para garantizar la supervivencia de las entidades en un entorno

Complejo e incierto.

Quedaron en el pasado aquellos escenarios donde la certidumbre en el comportamiento del

entorno y de las decisiones permitía predecir con mucha precisión lo que iba a pasar.

La administración del riesgo es clave en la gestión y sus cinco elementos fundamentales en

la cohesión de todos los subsistemas del MECI y una buena base para la implementación

del sistema obligatorio de calidad para la calidad en salud SOGCS. Es por esto que el

proyecto se enfocara en la integración de los modelos de la Gestión pública.

2.2. Personal

El Hospital Vista Hermosa I Nivel ESE, permite un desarrollo personal y profesional en

muchos campos, permitiendo mirar la complejidad de las organizaciones y la interacción

con el entorno y como próximo profesional en ingeniería industrial, es satisfactorio tener la

oportunidad de aprender y aplicar los conocimientos adquiridos en el transcurso de la

carrera en una entidad de gran tradición y alcance como lo es la entidad objeto de estudio.

El área de diseño e implementación de sistemas de gestión de la calidad, actualmente

representa para los ingenieros industriales un área de desarrollo bastante amplia y

competitiva. Dentro del proyecto no solo aplicare los conocimientos en el desarrollo de un


12

sistema integrado de administración de riesgos, sino aportaré en la implementación de los

modelos de la gestión pública, que son referentes para la institución, como son: SOGCS

que esta armonizado con la NTGP 1000:2009, MECI 1000:2009, SOGCS, ISO 14000, ISO

18000, TIC’S)

2.3. Social

El HOSPITAL VISTA HERMOSA I NIVEL ESE, genera un gran impacto en la

sociedad en especial en la localidad 19 Ciudad Bolívar, ya que es la localidad mas pobre de

la ciudad se busca tener la mayor cobertura y prestar servicios con calidad; las estrategias y

la implementación del sistemas integrado de gestión del HVH, están encaminadas hacia el

mejoramiento de la calidad de la salud de la población, la promoción de la salud y

prevención de las enfermedades.

El sistema educativo nacional cumple un papel de vital importancia en la generación de

profesionales con una fuerte formación a nivel científico, investigativo y ético. Lo cual

implica para quienes se benefician de ella, la obligación y responsabilidad de servir a la

sociedad.

Por ende, quien accede a la educación superior adquiere por este hecho, el compromiso de

superarse, hacer el mejor uso de las oportunidades y recursos que le ofrece la universidad.

La universidad Distrital Francisco José de Caldas adquiere un deber en la construcción

social del conocimiento, se propone mediar entre el conocimiento cotidiano y el científico a

fin de interpretar la realidad, entender la complejidad e impactar la sociedad.

Mediante la ley de 872 de 2003 el gobierno nacional crea el Sistema de Gestión de la

calidad de las entidades del Estado, como una herramienta de gestión sistemática y

transparente que permita dirigir y evaluar el desempeño institucional, esta ley busca

asegurar el cumplimiento de los acuerdos y requisitos de este sistema en el poder público

para la plena satisfacción de los ciudadanos y la comunidad en general.

2.4. Económica

Al realizar un análisis de la administración del riesgo se reduce y minimiza los eventos

adversos y se reducen costos de mantenimiento correctivo, impactos negativos en la

organización y en el flujo normal de los procesos; Todos estos elementos negativos que se

presentan en los procesos provocan costos económicos innecesarios para el HOSPITAL

VISTA HERMOSA, y en la misma medida desprestigio ante los usuarios del mismo e

inconformidades con la prestación de los servicios.


13

Al tener estandarizadas las actividades de cada proceso es más fácil distribuir los recursos

físicos y económicos del Hospital, de tal forma que se puedan satisfacer de una manera más

óptima las necesidades de los usuarios y racionalizar de forma equitativa los recursos. Lo

cual indiscutiblemente llevara a un mayor beneficio a la organización.

3. OBJETIVOS

3.1. Objetivo general

Unificar los conceptos que guían la implementación de un esquema de administración del

riesgo basados en un modelo integral, en el HOSPITAL VISTA HERMOSA I NIVEL

ESE, así como establecer una orientación metodológica que facilite el ejercicio de

Identificación, Análisis, Evaluación, Gestión y Tratamiento de los riesgos asociados a

la seguridad del paciente, la gestión ambiental, la seguridad y salud ocupacional, las

tecnologías de información y comunicación, la gestión de los procesos, la estabilidad

financiera y la defensa jurídica del Hospital, así como el establecimiento de controles

dirigidos a la prevención, mitigación y otras políticas de manejo de los riesgos.

3.2. Objetivos específicos

• Fortalecer los procesos Internos del Hospital Vista Hermosa I Nivel ESE

• Establecer el contexto estratégico en los Macro procesos del Hospital Vista Hermosa I

Nivel E.S.E

• Identificar los riesgos, sus causas y consecuencias en los Macro procesos del Hospital

Vista Hermosa I Nivel E.S.E

• Analizar los riesgos identificados en los Macro procesos del Hospital Vista Hermosa I

Nivel E.S.E

• Evaluar los riesgos para ser tratados en los Macro procesos del Hospital Vista Hermosa I

Nivel E.S.E

• Elaborar mapa de riesgos para los procesos los Macro procesos del Hospital Vista

Hermosa I Nivel E.S.E


14

4. MARCO TEORICO

4.1 Antecedentes Generales

4.1.1 Antecedentes en el mundo

Orígenes del Riesgo

En muchos de los idiomas modernos el significado de la palabra riesgo tiene las mismas

raíces – la española “riesgo”, la francesa “risque”, la italiana “rischio”, la alemana “risiko”

vienen del latín risicare. En la antigüedad llamaban risicare (latin) a la capacidad de

navegar alrededor de un arrecife o roca.

El riesgo ha estado ligado a la humanidad desde sus mismos orígenes, en diferentes

aspectos de su quehacer cotidiano como la salud, las cosechas, el préstamo de dinero, el ser

asaltado por bandidos o el paso de un agente meteorológico.

Las Organizaciones, no importa cuál sea su actividad, están sometidas en forma permanente

a un gran número y diversidad de amenazas operacionales de orden social, tecnológico o

natural, lo cual las hace altamente vulnerables, comprometiendo su estabilidad: incendios,

explosiones, inundaciones, sismos, huracanes, accidentes operacionales y enfermedades

ocupacionales, intoxicaciones masivas, delincuencia organizada y común, terrorismo, etc.

son una muestra de este panorama. Adicionalmente, estas Organizaciones presentan

también otras amenazas propias de su negocio, entre las que pueden citarse las Crediticias,

de Mercado, Organizacionales, etc.

Tradicionalmente estos Riesgos han venido siendo tratados mediante estrategias de

reacción y con criterios independientes y diferentes para cada uno de ellos (“Silos”),

basados en el temor a las consecuencias o en los resultados meramente económicos.

La experiencia a través de todo el mundo ha demostrado que los elementos que conforman

los riesgos y los factores que determinan el impacto de sus consecuencias sobre un sistema,

son los mismos que intervienen para todos los riesgos en una Organización. Por ello, la

tendencia moderna es utilizar un enfoque integral de manejo de los mismos conocido como

“Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y comunicar

estos riesgos de una manera integral, basados en los objetivos estratégicos de la

Organización.

En los últimos años han venido surgiendo “Modelos de Gestión de Riesgos” de uso

específico para ciertas actividades (conocidos como modelos Ad-Hoc), tales como COSO,


15

COBIT, ISO 14000, ISO 27000, MECI, SARO, BASILEA, OHSAS 18000, etc., así como

algunos otros modelos de carácter GLOBAL, especialmente el contenido en la Norma

Australiana-Neo Zelandesa 4360 o el contenido en la Norma ISO-DIS 31000 actualmente

en proceso final de aprobación.

Una de las características de todos estos modelos es que establecen los requerimientos, la

estructura y desarrollo del proceso de gestión de riesgos (QUÉ DEBE HACERSE) pero no

incluyen la manera en que estos requerimientos pueden ser “operativizados” (CÓMO

HACERLO), lo cual da como resultados unos débiles desempeños en el Área de Gestión de

Riesgos.

4.1.2 AS/NZS 4360:1999 Estándar Australiano Administración de Riesgos

La administración de riesgos es reconocida como una parte integral de las buenas prácticas

gerenciales. Es un proceso iterativo que consta de pasos, los cuales, cuando son ejecutados

en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones.

Administración de riesgos es el término aplicado a un método lógico y sistemático de

establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los

riesgos asociados con una actividad, función o proceso de una forma que permita a las

organizaciones minimizar pérdidas y maximizar oportunidades. Administración de riesgos

es tanto identificar oportunidades como evitar o mitigar pérdidas.

Este estándar puede ser aplicado a todas las etapas de la vida de una actividad, función,

proyecto, producto o activo. El beneficio máximo se obtiene generalmente aplicando el

proceso de administración de riesgos desde el principio.

A menudo se llevan a cabo una cantidad de estudios diferentes en las diferentes etapas de

un proyecto.

nota: Este Estándar se puede aplicar a un amplio rango de actividades u operaciones de

cualquier empresa pública, privada o comunitaria, o grupo.


16

Figura 1 Modelo de Administración de Riesgos AS/NZS 4360:1999 Estándar Australiano

4.1.3 Antecedentes en Colombia

En la Administración Pública colombiana hay algunos antecedentes cercanos de la gestión

del riesgo, anteriores al Modelo Estándar de Control Interno y al Sistema de Gestión de la

Calidad. Con el Decreto 1537 de 2001, el Estado colombiano había ordenado la práctica de

la gestión del riesgo en las entidades públicas colombianas. Así mismo, en el marco del

Sistema Obligatorio de Garantía de la Calidad que rige la prestación de los servicios de

salud, están presentes los indicadores para la gestión del riesgo en el proceso de

habilitación y acreditación en salud, orientadas a las Instituciones Prestadoras de Servicios

de Salud y a las Entidades Promotoras de Salud, tal como se muestra en el Estándar No. 9

Seguimiento a riesgos en la prestación de servicios del Sistema Único de Habilitación.

4.2 Antecedentes específicos

4.2.1 Riesgo de Evento Adverso

Protocolo de Londres

El Protocolo de Londres es una versión revisada y actualizada de un documento previo

conocido como Protocolo para investigación y análisis de incidentes clínicos. Constituye


17

una guía práctica para administradores de riesgo y otros profesionales interesados en el

tema.

La nueva versión se desarrolló teniendo en cuenta la experiencia en investigación de

accidentes, tanto en el sector de la salud como de otras industrias que han avanzado

enormemente en su prevención. Su propósito es facilitar la investigación clara y objetiva de

los incidentes clínicos, lo cual implica ir mucho más allá de simplemente identificar la falla

o de establecer quién tuvo la culpa.

• Aunque muchas veces es fácil identificar acciones u omisiones como causa inmediata de

un incidente, un análisis más cuidadoso usualmente descubre una serie de eventos

concatenados que condujeron al resultado adverso. La identificación de una desviación

obvia con respecto a una buena práctica es apenas el primer paso de una investigación

profunda.

• Los métodos utilizados fueron diseñados pensando en promover un ambiente de apertura

que contrastan con los tradicionales basados en señalamientos personales y asignación de

culpa.

Este protocolo cubre el proceso de investigación, análisis y recomendaciones. Reducir

efectivamente los riesgos implica tener en cuenta todos los factores, cambiar el ambiente y

lidiar con las fallas por acción u omisión de las personas. Esto jamás es posible en una

organización cuya cultura antepone las consideraciones disciplinarias. Para que la

investigación de incidentes sea fructífera es necesario que se realice en un ambiente abierto

y justo.

Modelo organizacional de causalidad de incidentes clínicos

La teoría que sustenta este protocolo y sus aplicaciones se basa en investigaciones

realizadas fuera del campo de la salud. En aviación y en las industrias del petróleo y

nuclear, la investigación de accidentes es una rutina establecida. Los especialistas en

seguridad han desarrollado una gran variedad de métodos de análisis, algunos de los cuales

han sido adaptados para uso en contextos clínico-asistenciales. Este protocolo se basa en el

modelo organizacional de accidentes de James Reason, en la Figura 1, se presenta el

modelo organizacional de causalidad de incidentes clínicos.


18

Modelo organizacional de causalidad de errores

y eventos adversos

Barreras y

defensas

F

Í

S

I

C

A

S

N

A

T

U

R

A

L

E

S

AD

MI

NIS

TRA

TI

VAS

H

U

M

A

N

A

S

EA

Fallas

latentes

Condiciones que

predisponen

a ejecutar

Acciones inseguras

Fallas

Activas

Decisiones

gerenciales

y

Procesos

organizacionales

Paciente

Tarea y tecnología

Individuo

Equipo

Ambiente

Acciones

Omisiones

Violaciones

conscientes

E

R

R

O

R

E

S

Organización

y

cultura

Factores

contributivos

Acciones

inseguras

Casi

EA

Figura 2 Modelo organizacional de causalidad de incidentes clínicos

De acuerdo con este modelo, las decisiones que se toman en los ámbitos directivo y

gerencial de la organización se transmiten hacia abajo, a través de los canales

departamentales, y finalmente afectan los sitios de trabajo, creando las condiciones que

pueden condicionar conductas inseguras, de diversa índole. Las barreras se diseñan para

evitar accidentes o para mitigar las consecuencias de las fallas. Estas pueden ser de tipo

físico, como las barandas; natural, como la distancia; acción humana, como las listas de

verificación; tecnológico, como los códigos de barras, y control administrativo, como el

entrenamiento y la supervisión.

Durante el análisis de un incidente, cada uno de estos elementos se considera

detalladamente y por separado, comenzando por las acciones inseguras y las barreras que

fallaron, hasta llegar a la cultura y procesos organizaciones. La primera actividad del

proceso de análisis es siempre la identificación de las acciones inseguras en que incurrieron

las personas que tienen a su cargo ejecutar la tarea (piloto, controlador de tráfico aéreo,

cirujano, anestesiólogo, enfermera, etc.). Las acciones inseguras son acciones u omisiones

que tienen al menos el potencial de causar un accidente o evento adverso.

El paso siguiente es considerar el contexto institucional general y las circunstancias en que

se cometieron los errores, las cuales son conocidas como factores contributivos. Estos son

condiciones que predisponen a ejecutar acciones inseguras relacionadas con carga de


19

trabajo y fatiga; conocimiento, pericia o experiencia inadecuados; supervisión o instrucción

insuficientes; entorno estresante; cambios rápidos en el interior de la organización; sistemas

de comunicación deficientes; mala o equivocada planeación o programación de turnos;

mantenimiento insuficiente de equipos e instalaciones. Todos estos factores son

condiciones que pueden afectar el desempeño de las personas, precipitar errores y afectar

los resultados para el paciente.

La atención en salud es cada día más compleja y sofisticada, lo que hace necesaria la

participación de más de un individuo en el cuidado de cada paciente e imprescindible la

adecuada coordinación y comunicación entre ellos; en otras palabras, la atención de un

paciente en la actualidad depende más de un equipo que de un individuo. Por este motivo

todo el personal de salud debe entender que sus acciones dependen de otros y condicionan

las de alguien. Los ambientes físico (ruido, luz y espacio) y social (clima laboral y

relaciones interpersonales) de trabajo son elementos que pueden afectar el desempeño de

los individuos. Las decisiones y directrices organizacionales, originadas en los ámbitos

gerencial y directivo de la institución, afectan directamente a los equipos de trabajo. Estas

incluyen, por ejemplo, políticas relacionadas con uso de personal temporal o flotante,

educación continua, entrenamiento y supervisión, y disponibilidad de equipo y suministros.

La organización, a su vez, se desempeña en un entorno del que no puede sustraerse. Tal es

el caso del contexto económico y normativo y de sus relaciones con instituciones externas.

La Tabla 1 resume los factores contributivos que pueden influenciar la práctica clínica.

Tabla 1factores contributivos que pueden influenciar la practica clínica

Origen Factor contributivo

Paciente

Complejidad y gravedad

Lenguaje y comunicación

Personalidad y factores sociales

Tarea y

tecnología

Diseño de la tarea y claridad de la estructura

Disponibilidad y uso de protocolos

Disponibilidad y confiabilidad de las pruebas diagnósticas

Ayudas para la toma de decisiones

Individuo Conocimiento, habilidades y competencia

Salud física y mental

Equipo de

trabajo

Comunicación verbal y escrita

Supervisión y disponibilidad de soporte

Estructura del equipo (consistencia, congruencia, etc.)


20

Origen Factor contributivo

Ambiente

Personal suficiente

Mezcla de habilidades

Carga de trabajo

Patrón de turnos

Diseño, disponibilidad y mantenimiento de equipos

Soporte administrativo y gerencial

Clima laboral

Ambiente físico (luz, espacio y ruido)

Organización

y gerencia

Recursos y limitaciones financieras

Estructura organizacional

Políticas, estándares y metas

Prioridades y cultura organizacional

Contexto

institucional

Económico y regulatorio

Contactos externos

Cada uno de estos niveles de análisis puede ampliarse con el fin de profundizar en la

identificación de los factores contributivos mayores. Por ejemplo, cuando se identifica un

problema de comunicación, debe precisarse si ésta es de naturaleza vertical (profesional

Senior con profesional junior, médico con enfermera, etc.) u horizontal (médico con

médico, enfermera con enfermera, etc.), si es por la calidad de la información escrita

(legibilidad y suficiencia de las notas) o si se trata de disponibilidad de supervisión o

soporte adecuados.

Este marco conceptual facilita el análisis de los incidentes en la medida en que incluye

desde elementos clínicos relacionados con el paciente hasta factores del más alto nivel

organizacional y de su entorno, que pueden haber desempeñado algún papel causal. Por

este motivo es útil como guía para investigar y analizar incidentes clínicos.

Conceptos fundamentales

Acción insegura. Conducta que ocurre durante el proceso de atención en salud, usualmente

por acción u omisión de miembros del equipo. En un incidente pueden estar involucradas

una o varias acciones inseguras. Las acciones inseguras tienen dos características

esenciales:

• La atención se aparta de los límites de una práctica segura.


21

• La desviación tiene al menos el potencial directo o indirecto de causar un evento adverso

para el paciente.

Ejemplos de acciones inseguras:

• No monitorizar, observar o actuar.

• Tomar una decisión incorrecta.

• No buscar ayuda cuando se necesita.

Contexto clínico. Condición clínica del paciente en el momento en que se ejecutó la acción

insegura (hemorragia severa, hipotensión progresiva). Esta es información crucial para

entender las circunstancias del momento en que ocurrió la falla.

Factor contributivo. Condiciones que facilitaron o predispusieron a una acción insegura:

• Paciente muy angustiado que le impide entender instrucciones.

• Ausencia de protocolos.

• Falta de conocimiento o experiencia.

• Mala comunicación entre miembros del equipo asistencial.

• Carga de trabajo inusualmente alta o personal insuficiente.

La relevancia del Protocolo de Londres estriba en la reflexión que induce en la búsqueda de

factores contributivos y de factores organizacionales. Induce preguntas sobre por qué

ocurrieron los errores. Los procesos de auditoría, que tradicionalmente se llevan a cabo en

Colombia, o muchas de las investigaciones “exhaustivas” de problemas de atención en

salud se basan en un alto porcentaje en la consulta de los registros clínicos. La historia

clínica, como fuente, lleva a identificar las fallas activas, acciones inseguras y errores.

El modelo causal pone en evidencia que la sola identificación del error está lejos de ser una

investigación exhaustiva; por el contrario, induce a identificar al culpable y tiene poca

probabilidad de identificar la causa y menos aún de intervenirla. Si se revisan con

detenimiento los factores contributivos y organizacionales, resulta improbable que los

mismos se identifiquen en la historia clínica. Las condiciones de agresividad o de

problemas de comunicación del paciente; la existencia o adecuado diseño de

procedimientos, protocolos o procesos; las fallas de equipos o insumos; las condiciones

locativas en que se desarrolla la atención; los problemas de sobrecargas de trabajo; las

deficiencias de comunicación entre los miembros de los equipos de salud o entre unidades

funcionales; la existencia de presiones financieras o condicionantes organizacionales; etc.,

son circunstancias que no vamos a ser capaces de identificar en la historia clínica.


22

De manera que la investigación debe valerse de muchas otras fuentes y métodos que

permitan abordar el origen del evento. Particularmente, cuando se trata de investigar las

causas de una falla activa, es necesario entrevistar al individuo, para indagar por los

factores que contribuyeron al error. Como ya se vio, la identificación de si se trata de un

error involuntario, de un error consciente o de un mistake tiene grandes repercusiones en el

tipo de conductas que se adoptan para evitar su repetición. Nunca será excesiva la

insistencia en que la búsqueda de culpables conduce a perpetuar los errores, mientras que la

búsqueda de causas conduce a prevenirlos.

4.2.2 El Riesgo desde el Enfoque de la Auditoria

El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las

actividades de las entidades. A través de la investigación y análisis de los riesgos relevantes

y el punto hasta el cual el control vigente los neutraliza, se evalúa la vulnerabilidad del

sistema.

COMPARACIÓN DE CONCEPTOS DE CONTROL

INTERNO


23

Figura 3Relación de modelos de control interno

La consideración del riesgo en auditoría ha sido tratada en distintas pronunciamientos

profesionales de países como, entre otros, Estados Unidos, Reino Unido o España.

Existen los tipos de riesgo que recogemos en el cuadro siguiente:

El riesgo inherente tiene su causa en la propia naturaleza de una cuenta, agrupación o

conjunto de operaciones, independientemente de la efectividad de los sistemas de control

interno establecidos por el cliente. Se trata, por tanto, de un riesgo consustancial que, en el

caso de la auditoría fiscal, con sus matices y peculiaridades diferenciadoras, puede ser

sustancialmente mayor que en otras áreas de una auditoría.

El riesgo de control es el riesgo de que los sistemas de control interno establecidos no sean

capaces de detectar errores o fraudes significativos o de evitar que estos se produzcan.

El riesgo de detección se define como el riesgo de que los errores o fraudes importantes -

individualmente considerados o en su conjunto- no sean convenientemente detectados por

el auditor y, por tanto, den lugar a una opinión equivocada.

Como indica Fowler existen razones de tiempo y coste que hacen que el auditor base sus

conclusiones en los resultados de muestreos y no en exámenes completos de las

transacciones contabilizadas. Además, esto último no garantiza que todos los hechos que

afectan patrimonialmente al cliente estén contabilizados. Por tanto, al final del proceso de

auditoría siempre hay un mínimo de incertidumbre existiendo el riesgo de que el informe

del auditor contenga conclusiones erróneas que le generen responsabilidades.

El riesgo inherente y el de control existen independientemente de la auditoría y el auditor lo

que hace es evaluarlos; tales riesgos se diferencian del riesgo de detección en que el auditor

sólo puede estimarlos, pero no controlarlos, es decir, no puede ni reducirlos ni modificarlos.

En cambio, el auditor sí puede controlar el riesgo de detección haciendo variar la

naturaleza, la oportunidad y la amplitud de las pruebas sustantivas. Por ello concluyen que

el riesgo de detección es función directa de los procedimientos de auditoría.


24

En este sentido se conciben el riesgo de control en función de la efectividad de la estructura

de políticas y procedimientos del sistema de control interno, en el sentido de que si éste es

efectivo para una agrupación de las cuentas anuales, entonces el riesgo se reduce y, en caso

contrario, se incrementa, concluyendo que el riesgo de control nunca puede ser cero, porque

normalmente en el proceso contable existen errores no detectados por insuficiencia o fallos

en el sistema de control interno, lo que equivale a decir que "ningún sistema viable de

control interno puede ser tan eficaz que elimine totalmente el riesgo de que se reflejen

errores en las cuentas anuales".

El AICPA2 (1983) establece en el SAS nº 47 un modelo de riesgo según el cual el riesgo de

auditoría se determina a partir de la siguiente fórmula:

Siendo: RA = Riesgo de Auditoría

RI = Riesgo Inherente

RC = Riesgo de Control

RD = Riesgo de Detección

La idea básica de este modelo de riesgo es que el auditor establezca y valore el riesgo

inherente y el de control, y planifique sus procedimientos de auditoría con un riesgo de

detección lo suficientemente bajo como para que el riesgo general de auditoría no supere un

nivel aceptablemente bajo.

El citado modelo de riesgo -principal referente de dicho concepto en el ámbito

internacionales asumido en España por el ICAC3 (1991, 2.4.24) que entiende el riesgo de

auditoría como riesgo final y lo define como "una combinación de tres riesgos diferentes.

El primero está constituido por la posibilidad inherente a la actividad de la entidad de que

existan errores de importancia en el proceso contable, del cual se obtienen las cuentas

anuales. El segundo es la posibilidad de que existiendo estos errores de importancia no

fueran detectados por los sistemas de control interno de la entidad. Finalmente, existe un

tercer riesgo, consistente en la posibilidad de que cualquier error de importancia que exista

y no hubiera sido puesto de manifiesto por el sistema de control interno no fuera a su vez

detectado por la aplicación de pruebas adecuadas de auditoría".

2 The American Institute of Certified Public Accountants

3 El Instituto de Contabilidad y Auditoría de Cuentas (ICAC),


25

4.2.3 Administración de Riesgos en el Modelo COSO

Figura 4Modelo Coso

Para el modelo COSO el desempeño de una entidad puede estar en riesgo a causa de

factores internos o externos. Esos factores, a su turno, pueden afectar tanto los objetivos

establecidos como los implícitos. Los riegos se incrementan en la medida en que los

objetivos difieren crecientemente del desempeño pasado. En un número de áreas de

desempeño, una entidad, a menudo, no define explícitamente los objetivos globales puesto

que considera aceptable su desempeño. Aunque en esas circunstancias no hay allí un

objetivo explícito o escrito, existe un objetivo implícito de no cambio o como es. Esto no

significa que un objetivo implícito, con riesgos internos o externos, por ejemplo, permita

ver como aceptable el servicio que una entidad presta a sus clientes. Tampoco quiere decir

que puedan deteriorarse las prácticas de un competidor tal y cómo son percibidas por sus

clientes.

Mirando si un objetivo está establecido o es implícito, el proceso de valoración de riesgos

de una entidad puede considerar los que pueden ocurrir. Es importante que la identificación


26

de riesgos sea comprensiva. Debe considerar todas las interacciones significativas de

bienes, servicios e información entre una entidad y las partes externas relevantes. Esas

partes externas incluyen proveedores, inversionistas, acreedores, accionistas, empleados,

clientes, compradores, intermediarios y competidores, tanto potenciales como actuales, lo

mismo que entidades cuerpos públicos y medios de comunicación.

Es el segundo de los componentes de C.O.S.O. este indica claramente que todos los riesgos

deben identificarse y tratar de medirse.

Es necesario la identificación y análisis de los riesgos relevantes para alcanzar los

objetivos. Los riesgos no pueden reducirse a cero, pero la administración debe decidir el

nivel de riesgo aceptable.

Identificar, medir, analizar y monitorear permanentemente los riesgos y tomar las medidas

correctivas, es un proceso iterativo con la planificación.

Los factores especiales a considerar:

Cambios en el entorno

Nuevo personal

Rápido crecimiento

Nueva Tecnología

Nuevos sistemas de información o modificaciones importantes

Nuevas líneas, productos y actividades

Reestructuraciones corporativas

Cabe recordar que un riesgo no tipificado, ni medido, es un problema de control interno. En

este segundo elemento del modelo C.O.S.O. está probablemente el cambio más importante

que deben ahora enfrentar las auditorias.

Complementariamente, cabe agregar que los componentes del enfoque de riesgo que varios

bancos en EEUU están usando se basa en:

- Tipificación de los riesgos

- Medición cuantitativa y periódica de los riesgos en forma sistemática

- Definición de políticas por cada riesgo

- Establecer límites por riesgo

- Personal calificado de la administración de cada riesgo

- Elementos de atenuación de los riesgos (seguros financieros, seguros de fidelidad

funcionaria, etc.)


27

- Sistemas de comunicación a la línea de los riesgos detectados, como medio de

autocontrol y prevención.

- Comité de riesgos, cuando corresponda.

4.2.4 Riesgos en el Modelo COBIT

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de

información y tecnología, orientado a todos los sectores de una organización, es decir,

administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y

Tecnologías relacionadas (Control Objectives for Information Systems and related

Technology). El modelo es el resultado de una investigación con expertos de varios países,

desarrollado por ISACA (Information Systems Audit and Control Association).

La estructura del modelo COBIT propone un marco de acción donde se evalúan los

criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos

que comprenden la tecnología de información, como por ejemplo el recurso humano,

instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los

procesos involucrados en la organización.

El COBIT es un modelo de evaluación y monitoreo que profundiza hasta el nivel de

administración de riesgos dentro de la planeación y organización de la tecnología de la

información.

La siguiente Figura muestra la estructura del COBIT.


Figura 5 Modelo COBIT


4.2.5 ISO 31000:2009 (Administración de riesgos)

La Norma ISO 31000 provee los fundamentos, el marco de trabajo y el proceso para

gestionar cualquier forma de riesgo de una manera transparente, sistemática y creíble

dentro de cualquier alcance o contexto.

De la misma manera, ISO publicó al mismo tiempo la Guía ISO 73:2009, Vocabulario para

la gestión del riesgo, el cual complementa la ISO 31000:2009 proveyendo una colección de

términos y definiciones relacionadas con la gestión de riesgo.

Kevin W. Knight AM*, Jefe del grupo de trabajo ISO que desarrolló el estándar explica,

“Todas las organizaciones, sin importar que tan grande o pequeñas, se enfrentan a

factores tanto internos como externos que crean incertidumbre sobre si estas podrán

alcanzar sus objetivos. El efecto de esta incertidumbre es "riesgo" y es inherente en

todas sus actividades”.

El estándar recomienda que la organización desarrolle, implemente y mejore continuamente

un marco de trabajo para la gestión de riesgo como un componente integral de su sistema

de gestión.

ISO 31000:2009 es un documento práctico que busca asistir a las organizaciones en el

desarrollo de su propio enfoque para la gestión del riesgo. Pero no es un estándar en el cual

la organización pueda buscar una certificación. Al implementar ISO 31000:2009, las

organizaciones pueden comparar sus prácticas de gestión de riesgo con un punto de

referencia reconocido internacionalmente, proveyendo fundamentos sólidos para una

gestión efectiva. La Guía ISO 73 se asegura que todas las organizaciones hablen el mismo

idioma cuando de riesgo se trata.

La ISO 31000:2009 está diseñada para ayudar a las organizaciones a:

• Incrementar la posibilidad de lograr sus objetivos.

• Fomentar la gestión proactiva.

• Estar consciente de la necesidad de identificar y tratar el riesgo en toda la organización.

• Mejorar la identificación de oportunidades y amenazas.

• Cumplir con requisitos legales y regulatorios y normas internacionales que sean

relevantes al tema.

• Mejorar los informes financieros.

• Mejorar la gobernabilidad


30

• Establecer una base fiable para la planificación y la toma de decisiones.

• Mejorar los controles

• Asignar y usar los recursos para el manejo de riesgos de manera efectiva.

• Mejorar la eficacia y eficiencia operacional.

• Mejorar el desempeño en seguridad y salud, así como en la protección ambiental.

• Mejorar la prevención de pérdidas y gestión de incidentes.

• Minimizar pérdidas.

• Mejorar el aprendizaje organizacional.

• Mejorar la elasticidad organizacional.

La ISO 31000:2009 y la Guía ISO 73:2009 pueden ser aplicadas a cualquier empresa

pública, privada o sin fines de lucro, asociación, grupo o individuo. Estos documentos serán

útiles a:

• Los responsables de implementar la gestión de riesgo en sus organizaciones.

• Aquellos quienes necesitan asegurar que su organización gestiona el riesgo.

• Aquellos que necesitan evaluar la práctica de la organización en la gestión de riesgos.

• Desarrolladores de estándares, guías, procedimientos y códigos de práctica relacionadas

con la gestión de riesgos.


31

Figura 6 Modelo de administración del riesgos Norma ISO 31000:2009

4.2.6 Guía ISO/CEI 73:2009

Gestión de riesgos – Terminología – Líneas directrices para el uso en las normas

Esta guía proporciona a los redactores de normas definiciones genéricas de términos

relacionados con la gestión de riesgos.

Está concebida como un documento genérico al más alto nivel para la redacción o revisión

de normas que incluyan aspectos de la gestión de riesgos.


32

El objetivo de esta guía es promover un enfoque coherente a la descripción de las

actividades de gestión de riesgos y el uso de la terminología de la gestión de riesgos. Su fin

consiste en contribuir a un entendimiento común entre los miembros de la ISO y la CEI,

más que en facilitar directrices sobre la práctica de gestión de riesgos.

4.2.7 Antecedentes Riesgo Financiero

El riesgo financiero es el riesgo de no estar en condiciones de cubrir los costos financieros,

por ello su análisis se determina por el grado de apalancamiento financiero que tenga la

empresa en un momento determinado.

El apalancamiento financiero acentúa el hecho de que a medida que aumentan los cargos

fijos, también aumenta el nivel de utilidades antes de impuestos necesario para cubrir los

cargos financieros de la empresa, se puede calcular por medio de la razón deuda capital, la

razón de deuda a largo plazo o la razón de capital preferente a capital total.

Los analistas financieros calculan estas razones para determinar la solidez financiera de la

empresa, determinando que entre más alto sea el grado de apalancamiento, mayor es el

nivel de riesgo, estableciendo así una relación entre los cargos financieros fijos que deben

pagarse y los fondos invertidos en la empresa.

La forma de administra el riesgo financiero se ha venido trabajando desde hace varios años

por lo cual el avance en la administración de riesgos ha ido mejorando y las metodologías

han ido cambiando conforme pasa el tiempo.


33

Historia Sobre La Gestión Del Riesgo Financiero

La nueva era en el riesgo financiero

Figura 7 Antecedentes riesgos financiero


34

Figura 8Los tres Pilares de Basilea II

El proceso de administración de riesgos financieros consiste en lo siguiente:

La identificación de factores de riesgo

La cuantificación de pérdidas probables

El establecimiento de límites de tolerancia al riesgo

El control de riesgos en la operación

La optimización riesgo-rendimiento, de acuerdo a la exposición al riesgo deseada por la

institución

4.2.8 Antecedentes Riesgo en salud ocupacional

OHSAS 18001, surge en 1999 como respuesta ante la demanda de las organizaciones por

disponer de una especificación reconocible de Sistemas de gestión de la Seguridad y Salud

en el Trabajo frente a la que poder evaluar y certificar sus sistemas de gestión.

OHSAS 18001 establece requisitos para un Sistema de gestión de la Seguridad y Salud en

el Trabajo (SST), que permita a una organización controlar sus riesgos de Seguridad y

Salud en el Trabajo y mejorar su desempeño, sin embargo OHSAS 18001 no establece

criterios específicos de desempeño, ni proporciona especificaciones detalladas para el

diseño de un sistema de gestión.


35

Esta especificación OHSAS es aplicable a cualquier organización que desee:

a) establecer un Sistema de gestión de la Seguridad y Salud en el Trabajo para eliminar o

minimizar el riesgo de los empleados y otras partes interesadas que puedan estar expuestos

a riesgos de SST asociados con sus actividades;

b) implementar, mantener y mejorar continuamente un Sistema de gestión de la Seguridad y

Salud en el Trabajo.

c) asegurarse de que cumple con la política de Seguridad y Salud en el Trabajo establecida

por la propia organización.

d) demostrar dicha conformidad a terceros.

e) tratar de lograr la certificación/registro de su Sistema de gestión de la Seguridad y Salud

en el Trabajo por una organización externa.

f) realizar una auto evaluación y declaración de conformidad con esta especificación

OHSAS.

OHSAS 18001 cuenta con una ventaja fundamental frente a otras normas sobre Seguridad y

salud, su compatibilidad con las normas de sistemas de gestión ISO 9001:1994, ISO

9001:2000 (calidad) e ISO 14001:1996 (medioambiente), para facilitar la integración por

parte de las organizaciones de los sistemas de gestión de la calidad, gestión medioambiental

y gestión de la Seguridad y Salud en el Trabajo, en el caso de que deseen hacerlo.

4.2.9 Antecedentes Riesgo Ambiental

La Conferencia de las Naciones Unidas sobre Medio Ambiente Humano y la Conferencia

de las Naciones Unidas sobre Medio Ambiente y Desarrollo (CNUMAD), realizadas en

1972 y 1992, respectivamente, son dos hitos de la historia de la segunda mitad del siglo

XX, que tomamos como puntos de referencia para la exposición de los antecedentes

históricos de la gestión ambiental en la última década. Es una aproximación que podría

parecer un tanto convencional, pero existen suficientes pruebas para demostrar que estos

dos eventos desencadenaron procesos catalíticos de un alto valor, así se señale hoy que

éstos han estado lejos de tener la adecuada dirección y suficiente fuerza para detener y

revertir el deterioro ambiental. Las dos conferencias contribuyeron a incrementar la

conciencia ambiental y a formar nuevas visiones sobre el manejo del medio ambiente,

dieron lugar a convenios multilaterales y acuerdos no jurídicamente vinculantes, y

detonaron una sustantiva respuesta de los gobiernos, la sociedad civil y el sector privado


36

que se ha traducido en avances concretos de la gestión ambiental en los países de América

Latina y el Caribe.

A su vez, la CNUMAD adoptó el desarrollo sostenible como la meta hacia la cual se deben

dirigir todas las naciones de la tierra, un concepto que aborda el tema del desarrollo a partir

de una visión integradora de las dimensiones económica, social y ambiental.

La gestión ambiental que hoy conocemos se ha construido mediante la interacción de un

complejo conjunto de factores económicos, sociales, culturales, políticos y ambientales que

se remontan al momento mismo del poblamiento del territorio.

5. MODELO INTEGRAL DE ADMINISTRACIÓN DE RIESGOS

5.1 Sistema Integrado de Gestión SIG-AGA

El Sistema Integral de Gestión SIG-AGA, reglamentado por Resolución 201 de 20 de

noviembre de 2006, está basado en tres principios Actúe, Gestione y Autoevalúe sus

procesos, nace con el propósito de lograr el mejoramiento continuo y cumplir con eficacia

la misión del Hospital Vista Hermosa con la integración de por lo menos nueve

fundamentales subsistemas: Sistema Obligatorio de Garantía de la Calidad SOGCS, el

Sistema de Control Interno MECI 1000:2005, Sistema de Gestión de Calidad SGC-

NTCGP 1000:2004, el Sistema de responsabilidad social, Sistema de Seguridad y Salud

Ocupacional OSHAS 18001, el Sistema de Gestión Ambiental PIGA-ISO 14001, el

Sistema de Gestión de Archivos y Documentos SIGA, el Sistema de Control Interno

Contable MECICO, y el Sistema de Tecnología de la Información y la Comunicación

TIC´S.


37

Figura 9 Sistema Integrado de Gestión SIG-AGA

El Modelo Integral de Administración de Riesgos, busca armonizar los componentes de

riesgos en cada uno de los modelos que integran el Sistema de Gestión del Hospital, de este

modo la norma internacional de calidad ISO 9001:2008 o su equivalente para el sector

público NTCGP 1000:2009, establece las obligatoriedad de establecer acciones

preventivas, la norma ISO 18001 de Seguridad y Salud Ocupacional, establece la

obligatoriedad de definir el panorama de riesgos de la institución, la norma ISO

14001:2004 de gestión ambiental, armonizada con el PIGA-Plan Integral de Gestión

Ambiental, establece el control de riesgos ambientales, la norma ISO 27000 establece


38

controles, análisis y gestión de riesgos relacionados con la gestión y seguridad de la

información, la norma NTC 5254 de la gestión del riesgo, establece un enfoque sistémico y

visualiza todos los riesgos de la organización, de igual forma el MECI 1000:2005,

soportado en la norma técnica anterior, estable mapas de riesgos por procesos que

fortalecerán el Sistema Integrado de Gestión del Hospital Vista Hermosa I Nivel ESE,

finalmente, el modelo rector de calidad en el sector salud- SOCGS, busca garantizar la

prestación de servicios bajo un enfoque de gestión de riesgos que puedan llegar a

materializar un evento adverso en el usuario, a partir de la ejecución de los 4 componentes

que lo consolidan: Sistema Único de Habilitación, Componente de Auditoría para el

Mejoramiento de la Calidad, Sistema Único de Acreditación y Sistemas de

Información e Indicadores para la Calidad.

De esta forma el riesgo se aborda desde los diferentes modelos de gestión y control, tal y

como se observa a continuación:


39

Figura 10 Modelo Integral de Administración del Riesgo

Fuente: Sistema Integral de Gestión SIG-AGA


40

5.2 Aportes de los Modelos de Gestión al Modelo Integral de Administración del

Riesgo

i. SOGCS (Sistema Obligatorio de Garantía de la Calidad en Salud)

La implementación del SOGCS, está orientado a la seguridad del paciente, frente a los

potenciales riesgos asociados a la prestación de servicios, para esto, este sistema busca que

sean monitoreados por medio de indicadores todos los posibles eventos adversos en que

pueda incurrir el Hospital.

La Resolución 1043 de 2006, que establece el Sistema Único de Habilitación, establece 9

grupos de estándares: Recursos Humanos, Instalaciones, Infraestructura Física y

Mantenimiento, Dotación y Mantenimiento, Interdependencia de Servicios, Procesos

Prioritarios Asistenciales, Historia Clínica y Registros Asistenciales, Sistema de

Referencia y Contra referencia, Medicamentos y Dispositivos Médicos, Seguimiento a

Riesgos. El cumplimiento de los requisitos de estos estándares propende por evitar eventos

adversos en la prestación de los servicios de salud y así garantizar la calidad del mismo.

GESTIÓN DE MEDICAMENTOS Y DISPOSITIVOS.

Complementario a lo anterior, la Resolución 1446 de 2006, que establece el Sistema de

Información e Indicadores del Sistema Obligatorio de Garantía de la Calidad, establece los

indicadores de medición que controlan los posibles riesgos que enfrenta el paciente en la

prestación de servicios de salud.

El Sistema Obligatorio de Garantía de La Calidad En Salud plantea la administración de

riesgos en el estándar No 9 del Sistema Único de habilitación, desde un enfoque de

identificación, análisis y tratamiento de los principales riesgos que afectan los servicios

asistenciales definidos en la resolución 1043 de 2006, buscando así mitigar los eventos

adversos que suceden en una institución de salud.

En el componente de Sistema Único de acreditación reglamentados por la resolución 1446

de 2006, se enmarcan los eventos adversos trazadores que se involucran en la prestación de

los servicios de salud a fin de monitorearlos y prevenirlos.

A continuación se relacionan los eventos adversos trazadores objeto de monitoreo por las

ESE’s (Es de aclara que cada institución define su aplicabilidad):

1. Cirugías o procedimientos cancelados por factores atribuibles al desempeño de la

organización o de los profesionales


41

2. Pacientes con trombosis venosa profunda a quienes no se les realiza control de pruebas

de coagulación

3. Ingreso no programado a UCI luego de procedimiento que implica la administración de

anestesia

4. Pacientes con neumonías broncoaspirativas en pediatría o UCI neonatal

5. Pacientes con úlceras de posición

6. Distocia inadvertida

7. Shock hipovolémico post - parto

8. Maternas con convulsión intrahospitalaria

9. Cirugía en parte equivocada o en paciente equivocado

10. Pacientes con hipotensión severa en post - quirúrgico

11. Pacientes con infarto en las siguientes 72 horas post – quirúrgico

12. Reingreso al servicio de urgencias por misma causa antes de 72 Horas

13. Reingreso a hospitalización por la misma causa antes de 15 días

14. Entrega equivocada de un neonato

15. Robo

16. Fuga de pacientes siquiátricos hospitalizados

17. Suicidio de pacientes internados

18. Consumo intra - institucional de psicoactivos

19. Caídas desde su propia altura intra - institucional

20. Retención de cuerpos extraños en pacientes internados

21. Quemaduras por lámparas de fototerapia y para electrocauterio

22. Estancia prolongada por no disponibilidad de insumos o medicamentos

23. Utilización inadecuada de elementos con otra indicación

24. Flebitis en sitios de venopunción

25. Ruptura prematura de membranas sin conducta definida

26. Entrega equivocada de reportes de laboratorio

27. Revisión de reemplazos articulares por inicio tardío de la rehabilitación

28. Luxación post - quirúrgica en reemplazo de cadera

29. Accidentes postransfusionales

30. Asalto sexual en la institución

31. Neumotórax por ventilación mecánica

32. Asfixia perinatal

33. Deterioro del paciente en la clasificación en la escala de Glasgow sin tratamiento

34. Secuelas post - reanimación

35. Pérdida de pertenencias de usuarios

36. Pacientes con diagnóstico que apendicitis que no son atendidos después de 12 horas de

realizado el diagnóstico


42

ii. NORMAS ISO

Las normas OHSAS 18.001:2007- de Seguridad y Salud Ocupacional, han sido diseñadas

para ser compatibles con los estándares de gestión ISO 9001:2008, Homologada con la

NTCGP 1000:2009, ISO 14.000:2004 e ISO 27000:2005 relacionados con Gestión de

Calidad, Seguridad Informática y Medio Ambiente respectivamente, de este modo facilita

la gestión de calidad en los procesos, el medio ambiente, la salud ocupacional y la

seguridad de la información en las organizaciones.

Estos sistemas comparten principios sistemáticos comunes de gestión basados, entre otros,

en el mejoramiento continuo, el compromiso de toda la organización y la reducción de

riesgos.

NTCGP 1000:2009

La Norma Técnica de Calidad de la Gestión Pública establecida por la LEY 872 de 2003 en

su numeral 4.1 resalta como un requisito el establecer controles sobre los riesgos

identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los

objetivos de la entidad con el fin de controlar los procesos de la organización y el

cumplimiento de sus objetivos.

En el numeral 8.5.3 resalta la importancia de generar acciones preventivas para evitar que

los riesgos se materialicen, disminuir su probabilidad de ocurrencia o su impacto y para ello

es necesario tomar acciones preventivas.

ISO 14000:2004

En la parte ambiental el sistema de gestión ambiental, plantea la identificación, análisis y

valoración de aspectos e impactos ambientales que afectan el medio ambiente para luego

del estudio y análisis generar un plan de tratamiento con acciones de mejora que permitan

el manejo de los aspectos e impacto ambientales de una forma adecuada como lo muestra la

Figura.


43

Figura 11 Estructura ISO 14000:2004

ISO 27000:2005

La norma ISO 27000 para el manejo de los sistemas de información y la comunicación,

aporta al modelo de administración integral de riesgos en las fases de Identificación,

análisis, evaluación, valoración y tratamiento de riesgos como vemos en la Figura.


44

Figura 12 Estructura ISO 27000

En el planear de la estructura del sistema de gestión de la ISO 27000:2005, se tienen los

componentes de definición de política de riesgos que hace parte del contexto estratégico del

modelo integral de administración de riesgos, la metodología de evaluación de riesgos para

poder identificar amenazas, vulnerabilidades y los impactos, así mismo se tiene un

componente de análisis de evaluación de riesgos y selección de controles que se armonizan

al modelo integrado de administración de riesgos, en su fase de valoración de riesgos.

En la fase de hacer se define, implanta e implementar un plan de tratamiento de riesgos, que

está definido de igual manera en el modelo integrado en su fase de tratamiento, plasmada

en los mapas de riesgos finales.

En la etapa de verificar se tiene la medición de la eficacia de los controles y la revisión del

riesgo residual, plasmados en el mapa de riesgos del Modelo Integral de Administración de

Riesgos.

Finalmente en la etapa del actuar se tiene la implementación de las acciones preventivas y

correctivas plasmadas en la fase de tratamiento del Modelo Integral de Administración de

Riesgos donde se encuentran enmarcadas las acciones de mejora para el tratamiento de los

riesgos.


45

OSHAS 18001

En el sistema de Gestión de seguridad y salud ocupacional se tiene identificadas claramente

unas fases para la implementación del sistema, este modelo aporta al Modelo Integral de

Administración de Riesgos en las seis fases que maneja el SGSSO, armonizándose así en

las fases de contexto estratégico, Identificación, análisis, valoración, tratamiento,

comunicación y seguimiento.

Figura 13 OHSAS 18001

iii. NTC 5254 (Norma Técnica Colombiana)

Estándar de Gestión del Riesgo, que se fundamentó en el estándar genérico de gestión de

riegos de mayor aplicación a nivel mundial AS/NZS: 4360 de 2004, que muestra una

metodología por etapas consecutivas y detalladas de la administración del riesgo de forma

integral en una organización. La Gestión de riesgos debe formar parte de la cultura


46

organizacional, quienes gestionan el riesgo de forma eficaz y eficiente tienen más

probabilidad de alcanzar sus objetivos y hacerlo a menor costo.

La norma NTC 5254 aporta al Modelo Integral de Administración de Riesgos en el diseño

de la metodología en sus etapas establecidas.

Figura 14 Modelo NTC 5254

iv. MODELO COSO

El modelo COSO es un modelo de control interno desarrollado en Estados Unidos, después

de la segunda guerra mundial y creada en 1985 para darle control a las organizaciones. La

gestión de riesgos es el proceso por medio del cual las organizaciones en todas las

organizaciones valoran, controlan, explotan, financian y monitorean el riesgo de todas las

fuentes con el propósito de incrementar el valor a las partes interesadas, el modelo COSO

plantea tres dimensiones para la administración del riesgo (desdoblamiento de la

organización, ciclo de gestión y criterio de valoración del riesgo.)

El modelo coso aporta al Modelo Integral de Administración de Riesgos en su componente

de valoración de riesgos que propendan al incumplimiento de los objetivos institucionales,

por medio de la identificación, evaluación, respuesta al riesgo, actividades de control e

información y comunicación.


47

Figura 15 Modelo de riesgos COSO

v. MECI 1000:2005 (Modelo Estándar de Control Interno)

El Modelo Estándar de Control Interno, establece una metodología para la administración

del riesgo basada en procesos con enfoque sistémico, fundamentada en la Norma Técnica

Colombiana 5254 de 2006 y en el modelo COSO, para la administración del riesgo por

proceso.

El Modelo Estándar de Control Interno, propone una guía para administrar el riesgo en

cumplimiento al subsistema de control estratégico, en su componente Administración

del riesgo, el cual está conformado por cinco elementos de control: Contexto Estratégico,

Identificación, Análisis, Valoración y Política de Administración de Riesgo que aportan

al Modelo Integral de Administración de Riesgos.


48

6. METODOLOGIA

ESTABLECER EL

CONTEXTO

el contexto estratégico

el contexto organizacional

IDENTIFICAR RIESGOS

Que pasa si?

Causas y consecuencias

ANALIZAR RIESGOS

Determinar la

probabilidad

Determinar las

consecuencias

Calcular nivel de riesgo

VALORACIÓN

COMPARAR Y ESTABLECER

CONTROLES

TRATAMIENTO DE

RIESGOS

MO

NIT

OR

IAR

Y R

EVIS

AR

CO

MU

NIC

AR

Y C

ON

SULT

AR

Figura 16 Metodología de Administración del Riesgo

Fuente: Adaptada por equipo SIG-AGA de la Guía Administración del Riesgo DAFP- Departamento

Administrativo de la Función Pública.


49

6.1 DEFINICIÓN DEL CONTEXTO ESTRATEGICO

Para la formulación y operacionalización de la Política Integral de Administración de

Riesgos, es fundamental tener claridad de la misión institucional, los objetivos estratégicos

corporativos y operativos y tener una visión sistémica de la gestión, de manera que no se

perciba esta herramienta gerencial como algo aislado del accionar misional y administrativo

del Hospital.

Por ende, el diseño se establece a partir de un diagnóstico inicial, para evaluar el estado de

la administración del riesgo en la institución, además de esto es fundamental la

identificación de los factores internos o externos de los procesos, que pueden generar

riesgos que afecten el cumplimiento de los objetivos de la ESE4.

El Contexto Estratégico, es la base para la identificación de los riesgos en los procesos y

actividades, de este modo el análisis se realiza a partir del conocimiento de situaciones del

entorno de los procesos, tanto de carácter social, económico, cultural, de orden público,

político, legal y/o cambios tecnológicos, entre otros; se alimenta también del análisis de la

situación actual del Hospital, basado en los resultados de los Componentes del MECI:

Ambiente de Control, Estructura Organizacional, Modelo de Operación, Planes y

Programas, Sistemas de Información, Procesos y Procedimientos y los recursos

económicos, entre otros.

La organización, debe como paso inicial, identificar las debilidades, fortalezas, amenazas y

oportunidades en todos los procesos que conFiguran su modelo de operación. Esta

herramienta DOFA debe ser armónica a los componentes que estructuran la visión integral

de la administración del riesgo, como los son: Salud Ocupacional, Gestión Ambiental,

Modelo Estándar de Control Interno, Sistema de Gestión y Seguridad de la Información,

Sistema de Gestión de Calidad y Sistema Obligatorio de Garantía de la Calidad.

Con la realización de esta etapa, se busca que la organización obtenga los siguientes

resultados: identificar los factores externos que pueden ocasionar la presencia de riesgos,

con base en el análisis de la información externa y los planes y programas de la institución

denominados MACROPOA5 y POAs

6, identificar los factores internos que pueden

ocasionar la presencia de riesgos con base en el análisis de los componentes del MECI:

Ambiente de Control, Direccionamiento Estratégico y demás estudios sobre la cultura

organizacional y el clima laboral que haya adelantado el Hospital y finalmente aportar

4 ESE: Empresa Social del Estado

5 MACROPOA: Macro Plan Operativo Anual

6 POA: Planes Operativos Anual


50

información que facilite y enriquezca las demás etapas del proceso de Administración del

Riesgo.

6.2 IDENTIFICACIÓN DE RIESGOS

El proceso de la identificación del riesgo debe ser permanente e interactivo, basado en el

resultado del análisis del Contexto Estratégico, en el proceso de planeación institucional y

debe partir de la claridad de los objetivos estratégicos corporativos y operativos del

Hospital, para la obtención de resultados.

La metodología que se aplicará en esta etapa, será el procedimiento WHAT IF?, que es un

método de lluvia de ideas en el cual el equipo interdisciplinario realiza preguntas acerca de

algunos eventos indeseables o situaciones que empiecen con la frase ¿qué pasa si?, el

propósito es la identificación de riesgos, situaciones riesgosas o eventos específicos o

accidentales que pudiesen producir una consecuencia indeseable.

El grupo interdisciplinar, identifica posibles situaciones que puedan materializar los

riesgos, sus consecuencias y posibles protecciones existentes, sugiriéndose alternativas para

todos los riesgos identificados.

Esta técnica empieza por la observación del proceso, analizándose las entradas o insumos

del proceso, su flujo normal hasta el final del mismo o su salida.

Alcance del estudio: En esta fase se definirá hasta qué nivel se va a llevar el estudio de

identificación del riesgos, como esta guía busca la administración integral del riesgo, se

trabajará bajo las siguientes condiciones:

– Seguridad del proceso.

– Seguridad de los funcionarios que intervienen en el proceso.

– Seguridad del paciente que interviene en el proceso misional.

– Seguridad ambiental.

– Seguridad del Sistema: Que es la seguridad asociada a la interrelación de los

procesos en su flujo normal y efectivo.


51

6.2.1 CLASIFICACION DE LOS RIESGOS

6.2.1.1 RIESGOS DEL PROCESO (operativos)

Riesgos asociados a los aspectos operativos y técnicos de la prestación de los

servicios extramurales, intramurales y especializados.

Riesgos asociados a la inadecuada ejecución de los procesos.

Riesgos asociados a la estructura interna del hospital.

Riesgos asociados al uso indebido de los recursos.

Riesgos asociados al incumplimiento de compromisos organizacionales y

contractuales.

6.2.1.2 RIESGOS FINANCIEROS

Riesgos asociados al inadecuado manejo de los recursos del hospital.

Riesgos asociados al inadecuado manejo presupuestal.

Riesgos asociados a la elaboración inadecuada de los estados financieros.

Riesgos asociados al incumplimiento de pagos a terceros, flujo de tesorería (ingreso

y egreso de efectivo) y gestión de la cartera.

Y todos aquellos riesgos que puedan llevar a la inestabilidad financiera del Hospital.

6.2.1.3 RIESGOS JURIDICOS

Riesgos asociados con el incumplimiento de requisitos legales.

Riesgos asociados con el incumplimiento de requisitos contractuales.

Riesgos asociados con la Ética Pública.

Riesgos asociados frente a la relación con la comunidad que impacta y demás

grupos de interés.

Riesgos asociados con el buen nombre del Hospital.

6.2.1.4 RIESGOS DE TECNOLOGIA

Riesgos asociados al Sistema de Información del HVH, asociados a criterios de

Confidencialidad, Veracidad, Disponibilidad, Seguridad e Integralidad.

Riesgos asociados con tecnología disponible que no satisfaga las necesidades del

Hospital.


52

6.2.1.5 RIESGOS EN SALUD OCUPACIONAL

Sobrecarga de trabajo.

Mala postura en la elaboración del trabajo.

Instalaciones inadecuadas para el desempeño normal de la labor.

Falta de ventilación en el puesto de trabajo.

Hacinamiento en el lugar de trabajo.

Riesgo Psicosocial.

6.2.1.6 RIESGOS AMBIENTALES

Riesgos asociados al mal manejo de desechos hospitalarios.

Riesgos asociados a una amenaza ambiental.

Riesgos asociados con contaminación cruzada

Riesgos asociados a la prevención de infecciones intrahospitalarias.

6.2.1.7 RIESGOS DEL PACIENTE

Oportunidad de la atención.

Pertinencia en la prestación del servicio.

Seguridad en la prestación del servicio.

Incumplimiento asociado a los derechos de los usuarios.

Accesibilidad al servicio.

Continuidad en la prestación del servicio.

Riesgos asociados a Farmacovigilancia.

Riesgos asociados a Tecnovigilancia.

ASPECTOS DE IMPORTANCIA

No deje de considerar ningún riesgo significativo ni ninguna mejora viable.

Tenga en cuenta en forma coordinada factores de las condiciones de trabajo y del

acto humano.

Establezca si los equipos y su operación tiene riesgos aceptables, tolerables o no.

Reduzca los riesgos en orden de importancia y viabilidad.

Contestar las preguntas Que pasa sí…? una a una, participando todo el equipo.


53

Para cada pregunta contestar qué medidas de control existen y cuales se deben

tomar para disminuir el riesgo en su origen.

A continuación se procede a realizar la siguiente matriz para cada componente, (Riesgo en

el paciente, Riesgo en el puesto de trabajo, Riesgos en el proceso, Riesgo ambiental, Riesgo

informático, Riesgo jurídico y Riesgo financiero).

Tabla 2 Instructivo de Aplicación de la Herramienta- What IF

N°

¿QUÉ PASA

SÍ?

(EVENTO)

TIPO DE

RIESGO RIESGO

AGENTE

GENERADOR

(CAUSAS)

CONSECUENCIAS

DEL RIESGO

CONTROLES

EXISTENTES

RESPONSABLE

S

Fuente: Equipo SIG-AGA

Descripción de la Tabla No 3

Las casillas establecidas en el Tabla No 3, conforman la estructura de la valoración del

riesgo, por lo cual es importante mencionar su significado para su correcto diligenciamiento

y su posterior análisis.

No: Numeración de los riesgos.

Qué pasa si: en esta casilla se describen los eventos que involucran los riesgos en la

organización, deben ser claros para poder identificar los riesgos.

Riesgo: en esta casilla se define el riesgo puntualmente.

Agente Generador: son las causas, personas o procesos que están originando el riesgo.

Controles Existentes: son todos los controles que posee la organización para el tratamiento

del riesgo.


54

Responsables: son aquellos responsables encargados de garantizar los controles para la

administración del riesgo.

6.3 ANÁLISIS DEL RIESGO

El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el

impacto de sus consecuencias, calificándolos y evaluándolos con el fin de obtener

información para establecer el nivel de riesgo y las acciones que se van a implementar.

El análisis del riesgo dependerá de la información obtenida en el formato de identificación

de riesgos y la disponibilidad de datos históricos y aportes de los responsables del proceso.

Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados,

Probabilidad e Impacto. La Probabilidad puede ser clasificada con criterios de Frecuencia,

si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o de

Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden

propiciar el riesgo, aunque éste no se haya materializado.

Por Impacto se entiende el grado en que las consecuencias o efectos que puede perjudicar a

la organización si se materializa el riesgo.

Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos: - La

Calificación del Riesgo: se logra a través de la estimación de la probabilidad de su

ocurrencia y el impacto que puede causar la materialización del riesgo.

La primera representa el número de veces que el riesgo se ha presentado en un determinado

tiempo o puede presentarse, y la segunda se refiere a la magnitud de sus efectos. Los

criterios para la calificación son subjetivos y se establecen a continuación.


55

Tabla 3 Matriz de Calificación del Riesgo- Probabilidad

CLASIFICACIÓN

DE LA

PROBABILIDAD

NIVEL DE

PROBABILIDAD DESCRIPCIÓN

1 Bajo (raro) Puede ocurrir solo en circunstancias

excepcionales (0-4 casos en un año).

2 Medio (Posible) Es posible que ocurra algunas veces (5-10 casos

en el año).

3 Alto (Casi Cierto Se espera que ocurra en la mayoría de las

circunstancias (> 10 casos al año).



Tabla 4 Matriz de Calificación del Riesgo- Impacto

VALOR DE

IMPACTO NIVEL DE IMPACTO DESCRIPCIÓN

5 Leve Impacto en las actividades del proceso.

10 Moderado Impacto en el objetivo proceso.

20 Catastrófico Impacta la prestación del servicio, al usuario,

al funcionario.




56

6.4 EVALUACIÓN DEL RIESGO

Permite comparar los resultados de su calificación, con los criterios definidos para

establecer el grado de exposición del Hospital al riesgo; de esta forma es posible distinguir

entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las

prioridades de las acciones requeridas para su tratamiento.

Con el fin de facilitar la calificación y evaluación a los riesgos, a continuación se presenta

una matriz que contempla un análisis cualitativo, que hace referencia a la utilización de

formas descriptivas para presentar la magnitud de las consecuencias potenciales (impacto)

y la posibilidad de ocurrencia (probabilidad).

Tomando las siguientes categorías: leve, moderada y catastrófica en relación con el

impacto: alta, media y baja respecto a la probabilidad. Así mismo, presenta un análisis

cuantitativo, que contempla valores numéricos que contribuyen a la calidad en la exactitud

de la calificación y evaluación de los riesgos.

Tanto para el impacto como para la probabilidad se han determinado valores múltiplos de

5. La forma en la cual la probabilidad y el impacto son expresados y combinados en la

matriz provee la evaluación del riesgo.


57

Tabla 5 Matriz de Evaluación del Riesgo

Probabilidad Clasificación

Alta 3 15 Zona de

Riesgo

Moderado

Evitar el

Riesgo

30 Zona de

Riesgo

Importante

Reducir el Riesgo

Evitar el Riesgo

Compartir o

transferir

60 Zona de

Riesgo

Inaceptable

Evitar el riesgo

Reducir el

Riesgo

Compartir o

transferir

Media 2 10 Zona de

Riesgo

Tolerable

Asumir el

Riesgo

Reducir el

Riesgo

20 Zona de

Riesgo Moderado

Reducir el riesgo

Evitar el Riesgo

Compartir o

transferir

40 Zona de

Riesgo

Importante

Reducir el

Riesgo Evitar

el Riesgo

Compartir o

transferir

Baja 1 5 Zona de

Riesgo

Aceptable

Asumir el

Riesgo

10 Zona de

Riesgo Tolerable

Asumir el Riesgo

Reducir el Riesgo

20 Zona de

Riesgo

Moderado

Reducir el

riesgo

Compartir o

transferir

Impacto Leve Moderado Catastrófica

Valor 5 10 20 Fuente: Guía Administración del Riesgo DAFP- Departamento Administrativo de la Función Pública.


58

Para realizar la Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la

Matriz, según la celda que ocupa, aplicando los siguientes criterios:

1. Si el riesgo se ubica en la Zona de Riesgo Aceptable (calificación 5), significa que

su Probabilidad es baja y su Impacto es leve, lo cual permite al hospital asumirlo,

es decir, el riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de

tomar otras medidas de control diferentes a las que se poseen.

2. Si el riesgo se ubica en la Zona de Riesgo Inaceptable (calificación 60), su

Probabilidad es alta y su Impacto catastrófico, por tanto es aconsejable eliminar la

causa que genera el riesgo en la medida que sea posible, de lo contrario se deben

implementar controles de prevención para evitar la Probabilidad del riesgo, de

Protección para disminuir el Impacto o compartir o transferir el riesgo si es posible

a través de pólizas de seguros u otras opciones que estén disponibles.

3. Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo tolerable, moderado o

importante) se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o

Tolerable, en lo posible. Las medidas dependen de la celda en la cual se ubica el

riesgo, así: los Riesgos de Impacto leve y Probabilidad alta se previenen; los

Riesgos con Impacto moderado y Probabilidad leve, se reduce o se comparte el

riesgo, si es posible; también es viable combinar estas medidas con evitar el riesgo

cuando éste presente una Probabilidad alta y media, y el Impacto sea moderado o

catastrófico. Cuando la Probabilidad del riesgo sea media y su Impacto leve, se

debe realizar un análisis del costo beneficio con el que se pueda decidir entre

reducir el riesgo, asumirlo o compartirlo. Cuando el riesgo tenga una Probabilidad

baja e Impacto catastrófico se debe tratar de compartir el riesgo y evitarlo al hospital

en caso de que éste se presente.

Siempre que el riesgo sea calificado con Impacto catastrófico, el Hospital debe diseñar

planes de contingencia, para protegerse en caso de su ocurrencia. Con la realización de esta

etapa se busca que el hospital obtenga los siguientes resultados: Establecer la probabilidad

de ocurrencia de los riesgos, que pueden disminuir la capacidad institucional del hospital,

para cumplir su propósito, medir el impacto las consecuencias del riesgo sobre las personas,

los recursos o la coordinación de las acciones necesarias para llevar el logro de los

objetivos institucionales o el desarrollo de los procesos, Establecer criterios de calificación

y evaluación de los riesgos que permiten tomar decisiones pertinentes sobre su tratamiento.


59

6.5 VALORACIÓN DEL RIESGO

La valoración del riesgo es el producto de confrontar los resultados de la evaluación del

riesgo con los controles identificados en el Elemento de Control, denominado “Controles”,

del Subsistema de Control de Gestión estipulado en el MECI 1000:2005 para determinar el

nivel o grado de exposición de la entidad pública al impacto del riesgo, permitiendo estimar

la protección existente, con el objetivo de establecer prioridades para su manejo y fijación

de políticas.

Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control

existentes en los diferentes procesos, los cuales permiten obtener información para efectos

de tomar decisiones.

Para realizar la valoración de los controles existentes es necesario recordar que éstos se

clasifican en:

1. Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su

ocurrencia o materialización.

2. Correctivos: aquellos que permiten el restablecimiento de la actividad después de

ser detectado un evento no deseable; también permiten la modificación de las

acciones que propiciaron su ocurrencia.

El procedimiento para la valoración del riesgo es el siguiente: Para adelantar la evaluación

de los controles existentes es necesario calificar todos los posibles controles que conlleven

a tratar el riesgo; esta calificación se realiza por medio del cálculo del índice cuantitativo

que se describirá a continuación.

Para calcular el índice cuantitativo (ICP) de la protección existente es necesario definir

cada uno de los controles necesarios que se deben implementar para mitigar los riesgos

identificados.

ICP = (TPO *100) / (TPP – PRNA), donde:

ICP: Un porcentaje (%) que indica el Índice Cuantitativo de Protección suministrado por

los controles.

TPP: Total de Puntos Posibles. Corresponde a la suma de los puntajes asignados a todas

las preguntas del escenario de riesgo.


60

TPO: Total Puntos Obtenidos. Corresponde a la suma de los puntajes asignados a las

respuestas “SI” en cada escenario de riesgo.

PRNA: Total Puntos Respuestas “NA”. Corresponde a la suma de los puntajes asignados a

las respuestas “NA” en cada escenario de riesgo.

Criterios del Índice Cuantitativo de la Protección Existente

Los criterios cuantitativos de protección existente, se deben definir de acuerdo a la

siguiente matriz:

Tabla 6 Matriz de Calificación de controles

Fuente: AUDISYS- Auditoría de Sistemas


61

Calificación de la Protección Existente del Proceso

Una vez calculado el índice cuantitativo de protección existente, los criterios de calificación

de la protección existente del proceso, se establecen de acuerdo a la tabla N° 8.

Tabla 7 Matriz de Calificación de Protección

Fuente: AUDISYS- Auditoría de Sistemas


62

Finalmente se debe diligencia la matriz de la tabla N° 9.

Tabla 8 Matriz de evaluación de protección existente

EVALUACIÓN PROTECCIÓN EXISTENTE

N° CONTROL SI NO NA PUNTAJE OBSERVACIONES

TOTAL TPP (TOTAL DE PUNTOS POSIBLES)

TPO (TOTAL PUNTOS OBTENIDOS)

ICP (INDICE CUANTITATIVO DE CONTROL)

Fuente: AUDISIS-Auditoria de Sistemas

Descripción de la Tabla No 9

Las casillas establecidas en el tabla 9 conforman la estructura de la valoración del riesgo,

por lo cual es importante mencionar su significado para su correcto diligenciamiento y su

posterior análisis.

No: Numeración del control establecido para mitigar riesgos potenciales.

Control: Controles (Existentes y Requeridos) para mitigar riesgos potenciales.

Puntaje: En esta casilla es necesario establecer si el control (existente o requerido) es 5.0,

4.5, 4.0.

Si: En esta casilla se establece si el control existe en el Hospital (Se está implementando).


63

No: En esta casilla se establece si el control no existe en el Hospital (No está

implementando).

NA: En esta casilla se establece si el control requerido no aplica en el Hospital. (No es

viable).

Observaciones: En esta casilla se establece si los controles son apropiados o satisfactorios,

insuficientes, deficientes o muy deficientes.

6.6 TRATAMIENTO DE LOS RIESGOS

El tratamiento de los riesgos involucra identificar las opciones para tratar los riesgos,

evaluar esas opciones (Costo-Beneficio, Viabilidad jurídica, etc.), preparar planes para

tratamiento de los riesgos e implementarlos.

Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la

valoración de los mismos, de esta forma, permiten tomar decisiones adecuadas y fijar los

lineamientos de la Administración del Riesgo, a su vez transmite la posición de la dirección

y establecen las guías de acción necesarias a todos los funcionarios del Hospital.

Se deben tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse

cada una de ellas independientemente, interrelacionadas o en conjunto:

1. Evitar el riesgo: tomar las medidas encaminadas a prevenir su materialización. Es

siempre la primera alternativa a considerar, se logra cuando al interior de los

procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación,

resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto

puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo

de los equipos, desarrollo tecnológico.

2. Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la

probabilidad (medidas de prevención), como el impacto (medidas de protección). La

reducción del riesgo es probablemente el método más sencillo y económico para

superar las debilidades antes de aplicar medidas más costosas y difíciles. Se

consigue mediante la optimización de los procedimientos y la implementación de

controles.

3. Compartir o Transferir el riesgo, reduce su efecto a través del traspaso de las

pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a

través de otros medios que permiten distribuir una porción del riesgo con otro

hospital, como en los contratos a riesgo compartido. Es así como por ejemplo, la


64

información de gran importancia se puede duplicar y almacenar en un lugar distante

y de ubicación segura, en vez de dejarla concentrada en un solo lugar.

4. Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede

quedar un riesgo residual que se mantiene, en este caso el gerente del proceso

simplemente acepta la pérdida residual probable y elabora planes de contingencia

para su manejo. Para el manejo de los riesgos se deben analizar las posibles

acciones a emprender, las cuales deben ser factibles y efectivas, tales como: la

implementación de las políticas, definición de estándares, optimización de procesos

y procedimientos y cambios físicos entre otros. La selección de las acciones más

conveniente debe considerar la viabilidad jurídica, técnica, institucional, financiera

y económica y se puede realizar con base en los siguientes criterios: a) La

valoración del riesgo b) El balance entre el costo de la implementación de cada

acción contra el beneficio de la misma. Para la ejecución de las acciones, se deben

identificar los procesos responsables de llevarlas a cabo, definir un cronograma y

unos indicadores que permitan verificar el cumplimiento para tomar medidas

correctivas cuando sea necesario.

Con la realización de esta etapa se busca encauzar el accionar del hospital hacia el

uso eficiente de los recursos, la continuidad en la prestación de los servicios, la

protección de los bienes utilizados para servir a la comunidad.

Igualmente, se busca que el hospital tenga claridad sobre las políticas de

Administración del Riesgo, las acciones de manejo de riesgo y el compromiso de la

Dirección y de los servidores del hospital.


65

6.6.1 ELABORACIÓN DEL MAPA DE RIESGOS POR PROCESO Y EL

INSTITUCIONAL.

El mapa de riesgos contiene a los mayores riesgos a los cuales está expuesto el Hospital, el

funcionario y el usuario, permitiendo conocer las políticas inmediatas de respuesta ante

ellos tendientes a evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo residual,

y la aplicación de acciones (a las cuales se evaluará su efectividad) así como los

responsables, el cronograma y los indicadores.

No obstante se considera recomendable, elaborar un mapa de riesgos por cada proceso para

facilitar la administración del riesgo, el cual debe elaborarse al finalizar la etapa de

Valoración del Riesgo.


Figura 17 Mapa de Riesgos

Fuente: Elaborado por la Oficina Asesora de Planeación y Sistema- Equipo SIG-AGA


67

6.6.2 DESCRIPCIÓN DEL MAPA DE RIESGOS

Tipo de riesgo: es la clasificación que se le da al riesgo de acuerdo a los componentes del

modelo integral de administración de riesgos.

Riesgo: Posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo

de las funciones del hospital y le impidan el logro de sus objetivos.

Impacto: consecuencias que puede ocasionar a la organización la materialización del

riesgo.

Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser

medida con criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un

tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos

y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

Análisis: Resultado obtenido de la multiplicación de la probabilidad por el impacto.

Controles existentes: especificar cuál es el control que el hospital tiene implementado para

combatir, minimizar o prevenir el riesgo.

Evaluación de controles: es el resultado del cálculo del indicé de protección existente

asociado a los controles del riesgo.

Opciones de Manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir,

dispersar o transferir el riesgo; o asumir el riesgo residual.

Acciones: es la aplicación concreta de las opciones de manejo del riesgo que entrarán a

prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo.

Responsables: son los procesos o grupos funcionales encargadas de adelantar, ejecutar y

responder por las acciones propuestas.

Cogestores: son los procesos o grupos funcionales encargadas de apoyar las acciones

propuestas en el tratamiento de riesgos.

Meta asociada a la acción: son los compromisos establecidos en el tiempo para

implementar las acciones por parte del grupo de trabajo asociadas a las acciones.


68

Meta asociada al Riesgo: son los compromisos establecidos en el tiempo para implementar

las acciones por parte del grupo de trabajo asociados al riesgo.

Indicadores: se consignan los indicadores diseñados para evaluar el desarrollo y eficacia de

las acciones implementadas.

Seguimiento y monitoreo: son las actividades realizadas por la oficina Asesora de Gestión

Pública, para garantizar el cumplimiento de las acciones plasmadas en el mapa de riesgos.

6.6.3 POLITICA DE ADMINISTRACION DEL RIESGO

Como primera medida antes de comenzar las fases de la administración de riesgos, el

Representante de la Dirección, el Equipo MECI y el equipo de calidad, deben coordinar la

definición de la política que regirán el contexto estratégico, análisis, valoración y

tratamiento de los riesgos, y que por lo tanto deberán ser aprobadas por el Comité de

Garantía de Calidad y Control Interno y adoptadas por los actores de los diferentes procesos

de la organización.

La definición de esta política está relacionada con el compromiso de la organización frente

a la administración integral de riesgos.

Las políticas de administración de riesgo deben permitir a la organización:

Desarrollar sus procesos dentro de las tolerancias de riesgo aceptadas.

El tratamiento de un evento de riesgo puede requerir una acción específica ó una

combinación de ellas.

En algunos casos una acción puede afectar múltiples eventos de riesgo.

Algunas acciones pueden ser efectivas para reducir la ocurrencia de un riesgo pero no

reducen el impacto. Igual situación podría darse en sentido contrario.

Las opciones para el tratamiento de riesgos deben ser evaluadas en términos de su costo-

beneficio.

En procura de obtener la mejor decisión sobre la Administración de Riesgos, es

conveniente que ésta responsabilidad recaiga sobre diferentes niveles de la organización.

Para ello, en cada zona de riesgo dentro de la Matriz de Calificación, Evaluación y

Respuesta a los Riesgos deberán ser identificadas previamente los niveles jerárquicos

(cargos específicos) a quienes corresponderá definir las políticas de administración de

riesgos.

Un ejemplo simple de este esquema se presenta a continuación:


69

Figura 18 Matriz de Evaluación de Responsabilidad

Fuente: KPMG Sociedad Colombiana de Responsabilidad Limitada

En este ejemplo las acciones para tratamiento de riesgos (políticas para administración de

riesgos) dentro de las zonas de riesgo con valor dentro del rango 40-60 son definidas por un

miembro de la Alta Dirección (1er. Nivel) de la organización. Las acciones

correspondientes a las zonas de riesgo con valor 30 son definidas por un directivo de 2º.

Nivel, y de igual forma son asignadas las responsabilidades de definición y control sobre

las acciones para los restantes valores.

6.7 MONITOREO Y REVISIÓN

Es necesario monitorear los riesgos, la efectividad del plan de tratamiento de los riesgos, las

estrategias y el sistema de administración que se establece para controlar la

implementación.

Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para

asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos.


70

Pocos riesgos permanecen estáticos. Es esencial una revisión sobre la marcha para asegurar

que el plan de administración se mantiene relevante.

Pueden cambiar los factores que podrían afectar las probabilidades y consecuencias de un

resultado, como también los factores que afectan la conveniencia o costos de las distintas

opciones de tratamiento.

En consecuencia, es necesario repetir regularmente el ciclo de administración de riesgos. La

revisión es una parte integral del plan de tratamiento de la administración de riesgos este

seguimiento y monitoreo estará a cargo de la Asesoría de Gestión Pública y Autocontrol.

6.8 COMUNICACIÓN Y CONSULTA

La comunicación y consulta son una consideración importante en cada paso del proceso de

administración de riesgos. Es importante desarrollar un plan de comunicación para los

interesados internos y externos en la etapa más temprana del proceso.

Este plan debería encarar aspectos relativos al riesgo en sí mismo y al proceso para

administrarlo.

La comunicación y consulta involucra un diálogo en ambas direcciones entre los

interesados, con el esfuerzo focalizado en la consulta más que un flujo de información en

un sólo sentido del tomador de decisión hacia los interesados.

Es importante la comunicación efectiva interna y externa para asegurar que aquellos

responsables por implementar la administración de riesgos, y aquellos con intereses creados

comprenden la base sobre la cual se toman las decisiones y por qué se requieren ciertas

acciones en particular.

Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos,

conceptos, las necesidades, aspectos y preocupaciones de los interesados, según se

relacionen con el riesgo o los aspectos bajo discusión.

Los interesados probablemente harán juicios de aceptabilidad de los riesgos basados en su

percepción de los mismos. Dado que los interesados pueden tener un impacto significativo

en las decisiones tomadas, es importante que sus percepciones de los riesgos, así como, sus

percepciones de los beneficios, sean identificadas y documentadas y las razones

subyacentes para las mismas comprendidas y tenidas en cuenta.


71

7. ORGANIZACIÓN OBJETO DE ESTUDIO

7.1 Reseña Histórica Hospital Vista Hermosa I Nivel ESE

En la década de 1940, comienza la parcelación de grandes haciendas que existían al sur del

Río Tunjuelito; entre 1950 y 1960 surgen los primeros asentamientos subnormales,

generándose una zona de crecimiento constante, dando origen a la Alcaldía Local de

Ciudad Bolívar. Mediante el Acuerdo 11 de 1993, fue definido el marco jurídico y

administrativo de la localidad, adoptando el nombre del Libertador por conmemorarse el

natalicio de Simón Bolívar y por estar ubicada la Hacienda Casa Blanca, actualmente

llamada la Casona del Libertador, sitio de descanso de este personaje con los lanceros para

continuar hacia el Pantano de Vargas.

El centro más antiguo del Hospital es la UPA Ismael Perdomo fundada en el año de 1969,

la cual fue diseñada como centro de acopio de alimentos suministrados por la Alianza

Popular Nacional (ANAPO), cabe anotar que la construcción y funcionamiento histórico de

todos los centros de la institución han tenido un componente comunitario que hace que

ellos se empoderen de los entes y sus procesos.

El Hospital Vista Hermosa atiende las necesidades de salud del primer nivel de atención en

toda la zona de Ciudad Bolívar; la distribución de los puntos de servicios es

predominantemente urbana, sin embargo por decisión de la SDS dos puntos de atención

que originalmente pertenecían al Hospital de Nazareth, fueron adheridos al Hospital Vista

Hermosa en el año 1998, consolidando así dos tipos de instituciones; las de atención

urbana y las ubicadas en la zona rural.

El Hospital Vista Hermosa Empresa Social del Estado está ubicado en cuatro grandes

zonas de atención que se identifican geográficamente así:

Zona de Vista Hermosa, que cobija un CAMI (Vista Hermosa), dos UPAs (Estrella,

Casa de Teja) y una UBA (Paraíso).

Zona de Jerusalén, donde se ubican un CAMI (Jerusalén), tres UPA (Potosí, Perdomo

y Sierra Morena) y una UBA (San Isidro).

Zona Manuela Beltrán se encuentran ubicados un CAMI (Manuela Beltrán) y UPAS

Candelaria de atención 24 horas (atención prioritaria maternidad) y San Francisco. Dos

Upas en la zona rural (Mochuelo y Pasquilla), y una UBA móvil.

La red de servicios de salud del Hospital Vista Hermosa tiene su origen en al acuerdo 20

de 1991 del Concejo de Bogotá, el cual creaba el Sistema Local de Salud y comienza a

aparecer como presión comunitaria, las UBAs del Lucero Medio, Paraíso y Potosí con


72

ayuda de las organizaciones no Gubernamentales como Médicos sin fronteras y apoyado

por la administración del SILOS Vista Hermosa sin llegar a desarrollarse como tal.

Las UBAs fueron creadas para una actividad extramural pero por la formación académica

de los profesionales, hace que esta actividad se pierda y se queden con servicios

asistenciales a excepción de Potosí que con la participación comunitaria y el perfil del

médico hace que perdure el trabajo extramural con limitaciones por la complejidad de

atención del Plan Obligatorio de Salud asumidas por las EPS-s.

La UBA de San Isidro se originó en 1994 con ayuda de Cruz Verde y la JAC del barrio con

dificultades internas por que cada uno se quiere acreditar su origen, actualmente funciona

en el salón comunal de la JAC.

La comunidad al ver que los servicios de una UPA (antiguos centros de salud) no eran

suficientes para sus necesidades crean la posibilidad de los CAMIS por la hospitalización

que ellos brindaban a eventos de baja complejidad y es por esto que el CAMI Manuela

Beltrán de ser concebido en un principio como un CAI, se adapta para su funcionamiento

como CAMI iniciativa de los habitantes del área de influencia ( ex militantes del M19); en

Vista Hermosa de centro de salud pasa a ser CAMI, todos estos cambios amparados por la

nueva reforma del Acuerdo 20 de 1991.

No alcanzando a realizarse los ajustes necesarios se cambia el término de SILOS a

Hospital de Primer Nivel de Atención y un año después para cumplir con los

requerimientos de la Ley 100 se convierte en Empresa Social del Estado con toda la

reestructuración que este amerita tener.


73

A continuación se da una tabla de las fechas en que fueron inauguradas las diferentes sedes

del Hospital Vista Hermosa.

Centro de Atención Fecha de Creación UPA Ismael Perdomo 1969

UPA Candelaria 1982

UPA San Francisco 1983

UPA Pasquilla 1975

UPA Mochuelo

UPA Casa de Teja 1992

UPA Sierra Morena 1993

CAMI Manuela Beltrán 1992

CAMI Vista Hermosa 1984

CAMI Jerusalén 1992

UBA San Isidro 1993

UBA Potosí 1989

UBA Lucero Medio 1991

UBA Paraíso 1992

UPA Limonar 1990

UPA la Estrella (Salud Mental) 1989

Figura 19 Fechas de Creación de los Centros del Hospital


74

7.2 Cultura organizacional

Figura 20 Modelo de operación Hospital Vista Hermosa I Nivel


75

Organigrama

Figura 21 Organigrama Hospital Vista hermosa I Nivel ESE

Misión:

Prestamos servicios de atención primaria en salud y de forma complementaria servicios

especializados en salud mental y habilitación funcional, contribuyendo de este modo al

fortalecimiento de la calidad de vida de nuestros usuarios y al impacto favorable en el

entorno social y ambiental de nuestra zona de influencia.


76

Visión:

Al 2015, ser reconocido por su modelo de gestión en salud a nivel distrital, garantizando la

prestación de servicios de salud bajo estándares superiores de calidad que impacte

favorablemente en la población objeto y su entorno social y ambiental.

7.3 Principios del Hospital Vista Hermosa I Nivel ESE

Se adopta como principios corporativos del Hospital los siguientes:

a. Orientación al servicio

La interacción del equipo Humano del Hospital con los usuarios esta basada en la calidez,

el respeto y la identificación de sus necesidades para brindar una respuesta basada en la

humanización de los servicios.

b. Calidad

Hacer lo correcto en forma correcta, buscando mejorar continuamente el desarrollo de la

institución que propenda por la satisfacción de los usuarios internes y externos.

c. Integridad

Brindar atención continúa y oportuna al individuo, la familia en su contexto social, con

servicios de óptima calidad humana, científica y técnica en el marco del portafolio

Institucional.

7.4 Valores Corporativos del Hospital Vista Hermosa I Nivel E.S.E

Se adopta como valores corporativos del Hospital los siguientes:

a. Respeto

El funcionario del Hospital tiene la capacidad de reconocer, comprender y tolerar las

diferencias individuales, sociales y culturales, favoreciendo el bien común y la convivencia.

b. Compromiso


77

El Funcionario del Hospital dirige sus acciones al cumplimiento de la Misión y Visión

organizacional, actuando y desempeñándose en coherencia con las expectativas y

necesidades de la institución, usuarios y comunidad.

c. Transparencia

El funcionario del Hospital desarrolla sus actividades enmarcadas dentro de los principios

éticos, morales y legales, anteponiendo los intereses generales sobre los particulares.

d. Cumplimiento

El funcionario del Hospital utiliza y aplica las normas técnicas, procesos y guías adoptadas

por la organización poniendo al servicio de la institución sus conocimientos y capacidades

incorporando las mejores prácticas a nivel técnico y científico, aprovechando los recursos

con efectividad y ejerciendo autocontrol.

e. Integración Funcional

El funcionario del Hospital trabaja de manera sinérgica, proactiva y con actitud de

cooperación para garantizar el logro de los objetivos y procesos; favoreciendo el

desempeño individual, institucional y el trabajo en red.

7.5 Políticas Corporativas del Hospital Vista Hermosa I Nivel E.S.E

Se adopta como políticas corporativas del Hospital las siguientes:

a. Servicio

El Hospital Vista Hermosa I Nivel ESE, prestará servicios integrales de salud de acuerdo a

su competencia, basados en las necesidades del usuario, cumpliendo con estándares de

calidad.

b. Financiera

El Hospital Vista Hermosa I Nivel ESE, gestionará integralmente los recursos financieros

de la entidad, en pro del equilibrio económico y el fortalecimiento de la calidad en la

prestación de los servicios de salud del Hospital.

c. Talento Humano


78

El Hospital Vista Hermosa I Nivel ESE, fortalecerá los procesos de selección de personal,

bienestar, capacitación institucional, compensación, beneficios y salud ocupacional, a

partir de estrategias participativas que permitan el desarrollo de las competencias del

talento humano.

d. Política de Tecnología de la información y la comunicación

El Hospital Vista Hermosa I Nivel ESE, fortalecerá la capacidad informática y biomédica

de la entidad, adoptando estándares e implementados sistemas de información, en

coherencia con las políticas en materia de TIC´S.

e. Política de Gestión Institucional

El Hospital Vista Hermosa I Nivel ESE, implementará y consolidará un sistema integrado

de gestión en salud, a partir de la planeación participativa, el autocontrol y el seguimiento

organizacional, definiendo acciones de mejoramiento que garanticen la prestación de

servicios de salud bajo estándares superiores de calidad.

f. Política de Comunicaciones

El Hospital Vista Hermosa I Nivel ESE, implementará un sistema de comunicación

institucional, que garantice la información veraz, pertinente y oportuna, para ser difundida a

las partes interesadas.

g. Política de mercadeo

El Hospital Vista Hermosa I Nivel ESE, ampliará su mercado, satisfaciendo las necesidades

de los clientes y usuarios, fortaleciendo el trabajo interdisciplinario y la comunicación.

7.6 Política de Calidad

La alta dirección del Hospital Vista Hermosa I Nivel ESE, en cabeza del Dr. Pedro

Arturo Aguilera Bustos, ha declarado su compromiso con el desarrollo e implementación

del sistema de gestión de calidad para la prestación de los servicios de salud intramurales,

extramurales y especializados y procesos a cargo de la entidad.


79

A continuación se transcribe el compromiso declarado:

Figura 22 Política de Calidad

La política ha sido construida de manera colectiva y con la participación de todos los

directivos de la organización y la aprobación final del Gerente del Hospital Vista

Hermosa, por medio de Resolución 219 de septiembre de 2007, siendo de esta forma,


80

acorde a los propósitos establecidos en el direccionamiento estratégico de la entidad, el

marco legal que la rige y regula la prestación de sus servicios, así como las necesidades y

expectativas de sus usuarios.

La política de calidad se convierte en el marco de referencia para establecer y revisar los

objetivos de calidad.

La Alta Dirección del Hospital Vista Hermosa, entiende que la implantación y

sostenibilidad del sistema de gestión de calidad es responsabilidad de todos los miembros

de la organización y así lo comunica a todos los servidores vinculados a la Entidad, a través

de:

Portal WEB.

Portal Intranet.

Eventos internos, talleres prácticos.

Cartillas de la Calidad.

Socializaciones masivas y particulares en los centros de atención y sedes del Hospital

Vista Hermosa.


81

8. APLICACIÓN DEL MODELO INTEGRAL DE ADMINISTRACIÓN DE

RIESGOS EN EL HOSPITAL VISTA HERMOSA

8.1 Identificación de Riesgos Ejemplo- Proceso Gestión Ambiental

Según los expertos del proceso, a través de lluvia de ideas, diagrama de relación y la

herramienta “¿Qué Pasa Si?”, este fue uno de los riesgos identificados:

Tabla 9 Matriz de What If- Ejemplo- Proceso Gestión Ambiental

FASE I IDENTIFICACIÓN DE RIESGOS - ¿WHAT IF?

N

°

¿QUÉ PASA

SÍ?

(EVENTO)

TIPO DE

RIESGO RIESGO

AGENTE

GENERADOR

(CAUSAS)

CONSECUENCI

AS DEL

RIESGO

CONTROLES

EXISTENTES

RESPONSABL

ES

1

No existe

una

disposició

n

adecuada

de los

líquidos

reveladore

s.

Riesgo

Ambiental

Contamina

ción al

ambiente

por

vertimiento

en lugares

no

adecuados.

Falta de

recursos para

la contratación

de un tercero

(empresa

contratada por

outsourcing)

que se

responsabilice

de la

disposición de

los líquidos

reveladores.

Contaminaci

ón de aguas.

Contaminaci

ón del suelo.

Intoxicación

Humana.

Políticas de

operación

para el

almacenamie

nto temporal

de líquido

revelador.

Líder del

proceso

Gestión

Ambiental



82

8.2 Análisis de Riesgos Ejemplo- Proceso Gestión Ambiental

Tabla 10 Cálculo de Probabilidad Ejemplo- Proceso Gestión Ambiental

NÚMERO DE VECES EN LAS

QUE SE MATERIALIZÓ EL

RIESGO

TOTAL VECES

EN LAS QUE

SE

MATERIALIZÓ

EL RIESGO EN

EL ULTIMO

AÑO

NIVEL DE

PROBABILIDAD 2009

NOMBRE DEL

RIESGO

1er

TRIM.

2do

TRIM.

3er

TRIM.

4to

TRIM.

Contaminación al

ambiente por

vertimiento en lugares

no adecuados.

0 0 0 0 0 1


Tabla 11 Cálculo de Impacto Ejemplo- Proceso Gestión Ambiental

Proceso Objetivo Riesgo

¿Impacta

una

actividad

del

proceso?

¿Impacta

el

objetivo

del

proceso?

¿Impacta la

prestación del

Servicio, al

Cliente Interno o

al Usuario?

Gestión

Ambiental

Analizar e interpretar

la situación ambiental

de la Organización

mediante la

implementación de un

Sistema de Gestión

Ambiental,

controlando aquellos

procesos que puedan

generar un impacto

significativo en el

medio ambiente.

Contaminación

al ambiente por

vertimiento en

lugares no

adecuados.

SI NO NO



83

Tabla 12 Análisis de Riesgos Ejemplo- Proceso Gestión Ambiental

N° Riesgo

Cálculo de la

Probabilidad Cálculo del Impacto

Calificación

del Riesgo

Zona de

Riesgo

Políticas

de

Manejo Clasificación Nivel Valor del

Impacto

Nivel del

Impacto

1

Contaminación al

ambiente por

vertimiento en

lugares no

adecuados.

1 Bajo 5 Leve 5 Aceptable Asumir


Tabla 13 Matriz de Evaluación Ejemplo Proceso Gestión Ambiental

Probabilidad Clasificación

Alta 3 15 Zona de

Riesgo

Moderado

Evitar el

Riesgo.

30 Zona de Riesgo

Importante

Reducir el Riesgo

Evitar el Riesgo

Compartir o

transferir.

60 Zona de Riesgo

Inaceptable Evitar el

riesgo Reducir el

Riesgo Compartir o

transferir.

Media 2 10 Zona de

Riesgo

Tolerable

Asumir el

Riesgo Reducir

el Riesgo.

20 Zona de Riesgo

Moderado Reducir

el riesgo Evitar el

Riesgo Compartir

o transferir.

40 Zona de Riesgo

Importante Reducir

el Riesgo Evitar el

Riesgo Compartir o

transferir.

Baja 1 5 Zona de

Riesgo

Aceptable

Asumir el

Riesgo.

10 Zona de Riesgo

Tolerable Asumir

el Riesgo Reducir

el Riesgo.

20 Zona de Riesgo

Moderado Reducir

el riesgo Compartir o

transferir.

Impacto Leve Moderado Catastrófica

Valor 5 10 20


84

Responsabilidad Definiciones Acciones de Mejora Ejemplo- Proceso Gestión

Ambiental

La evaluación del riesgo nos mostró en la tabla 15, una calificación de 5, por lo tanto la

responsabilidad de aplicar las acciones estarían relacionadas con el cuarto nivel, donde se

encuentra plasmado el grupo funcional como directo responsable de las acciones de mejora.

Figura 23 Diagrama de responsabilidades

8.3 Valoración de Riesgos Ejemplo- Proceso Gestión Ambiental

El siguiente paso, consta de validar la evaluación del riesgo comparándola con los

controles presentes en la tabla de valoración de Controles, en donde los asistentes

manifiestan que si hay controles, son efectivos y están documentados, estos controles

son: ejecución de procedimiento de comprobación de requisitos, capacitación en el

manual de contratación y realización de auditorías periódicas, lo cual hace que el

resultado anterior, Zona de Riesgo Importante, cambie a Zona de Riesgo Moderado,

ya que los controles incidirían en la posibilidad de ocurrencia y no afecta el impacto, en

la parte de salud ocupacional, ambiental y financiero no existen controles que mitiguen

el riesgo de alguna forma, por tanto se mantiene en la misma zona de riesgo.


85

N° CONTROL SI NO NA PUNTAJE OBSERVACIONE

S

1

Políticas de gestión para la

disposición final del líquido

revelador. x 4,5

2 Auditoria al plan de gestión

integral de residuos líquidos. x 5

Se hace

necesario

verificar los

procesos de

almacenamient

o del residuo,

como medida

de prevención

para la

disposición

final.

3

Auditoría externa para la

supervisión proceso de disposición

del residuo. x 5

Los procesos de

disposición del

residuo son

realizados por

un tercero.

TOTAL TPP (TOTAL DE PUNTOS POSIBLES) 14,5

TPO (TOTAL PUNTOS OBTENIDOS) 4,5

ICP (INDICE CUANTITTIVO DE CONTROL) 31,03448276 Figura 24 Evaluación Protección Existente Ejemplo- Proceso Gestión Ambiental



86

8.4 Tratamiento de Riesgos Ejemplo- Proceso Gestión Ambiental

Las acciones a llevar a cabo, según evaluación y valoración del riesgo, estarán encaminadas

a reducir el riesgo, empleando acciones como creación de nuevos controles, reforzamiento

de los ya existentes (mayores revisiones, capacitación en el manual de contratación, compra

de ventiladores, ampliación del área de trabajo, reducir el hacinamiento, utilizar el papel

reciclado en la elaboración de informes internos y actas, clasificación del papel para ser

reciclado) y generación de políticas de administración del riesgo que impida la

materialización de éste, realizar un buen proceso de selección.


87

Figura 25 Mapa de Riesgo Ejemplo- Proceso Gestión Ambiental



88

9. MARCO LEGAL

Tipo de documento

Titulo del documento

Origen

Externa Interna

Ley 87 de 1993 Por la cual se establecen normas

para el ejercicio del control interno

en las entidades y organismos del

Estado y se dictan otras

disposiciones, artículo 2 literal a).

Proteger los recursos de la

organización, buscando su

adecuada administración ante

posibles riesgos que los afectan.

Artículo 2 literal f). Definir y

aplicar medidas para prevenir los

riesgos, detectar y corregir las

desviaciones que se presenten en la

organización y que puedan afectar

el logro de los objetivos.

X

Ley 489 de 1998 Estatuto básico de organización y

funcionamiento de la

administración pública.

X

Decreto 2145 de 1999 Por el cual se dictan normas sobre

el sistema nacional de control

interno de las entidades y

organismos de la administración

pública del orden nacional y

territorial y se dictan otras

disposiciones. Modificado

parcialmente por el decreto 2593

del 2000.

X

Directiva presidencial 09

de 1999

Lineamientos para la

implementación de la política de

lucha contra la corrupción.

X


89

Decreto 1537 de 2001 Por el cual se reglamenta

parcialmente la Ley 87 de 1993 en

cuanto a elementos técnicos y

administrativos que fortalezcan el

sistema de control interno de las

entidades y organismos del Estado.

Cuarto parágrafo. Son objetivos del

sistema de control interno (…)

definir y aplicar medidas para

prevenir los riesgos, detectar y

corregir las desviaciones…

Artículo 3. El rol que deben

desempeñar las oficinas de control

interno (…) se enmarca en cinco

tópicos (…) valoración de riesgos.

Artículo 4. Administración de

riesgos. Como parte integral del

fortalecimiento de los sistemas de

control interno en las entidades

públicas (…).

X

Ley 872 de 2003 Por la cual se crea el sistema de

gestión de la calidad en la rama

ejecutiva del poder público y en

otras entidades prestadoras de

servicios.

X

Decreto 4110 de 2005 Por el cual se reglamenta la Ley

872 de 2003 y se adopta la Norma

Técnica de Calidad en la Gestión

Pública.

X

Decreto 1599 de 2005 Por el cual se adopta el Modelo

Estándar de Control Interno para el

Estado Colombiano.

X

ISO 9001:2008 Norma internacional para la gestión

de calidad.

X

NTCGP 1000:2009 Norma técnica de calidad para la

gestión pública.


ambiental.

X


en seguridad y salud ocupacional.

X


90


de la seguridad de la información.

X

ISO 19001:2002 Norma internacional para la

auditoria

X

Decreto 1011 de 2006 Por el cual se establece el Sistema

Obligatorio de Garantía de la

Calidad en Salud.

X

Figura 26 Normatividad Legal

10. CONCEPTOS

10.1 CONCEPTOS GENERALES

ADMINISTRACIÓN DE RIESGOS: Una rama de administración que aborda las

consecuencias del riesgo. Consta de dos etapas: I El diagnóstico o valoración, mediante

Identificación, análisis y determinación del Nivel, y II El manejo o la administración

propiamente dicha, en que se elabora, ejecuta y hace seguimiento al Plan de manejo que

contiene las Técnicas de Administración del Riesgo propuestas por el grupo de trabajo,

evaluadas y aceptadas por la alta dirección.

ANÁLISIS DE RIESGO: Busca establecer la probabilidad de ocurrencia de los riesgos y

el impacto de sus consecuencias, calificándolos y evaluándolos con el fin de obtener

información para establecer el nivel de riesgo y las acciones que se van a implementar.

CAUSAS (interna o externa): medios, circunstancias y agentes generadores de riesgo. Los

agentes generadores se entienden como todos los sujetos u objetos que tiene la capacidad de

originar un riesgo; se pueden clasificar en cinco categorías: personas, materiales, comités,

instalaciones y entorno.

CONSECUENCIAS: efecto de la ocurrencia del riesgo sobre los objetivos del hospital;

generalmente se da sobre las personas o los bienes materiales o inmateriales con

incidencias importantes tales como; daños físicos, fallecimiento, pérdidas económicas, de

información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio

y daño material.

CONTROLES CORRECTIVOS: Aquellos que permiten el restablecimiento de la

actividad después de ser detectado un evento no deseable; también permiten la

modificación de las acciones que propiciaron su ocurrencia.

CONTROLES PREVENTIVOS: Aquellos que actúan para eliminar las causas del riesgo

para prevenir su ocurrencia o materialización.


91

EVALUACIÓN DEL RIESGO: Proceso usado para determinar las prioridades de gestión

del riesgo mediante la comparación de los Resultados de la calificación y el Grado de

exposición al Riesgo.

EVENTO: Suceso que al desencadenarse materializa el riesgo.

FACTIBILIDAD: Presencia de factores internos y externos que pueden propiciar el riesgo,

aunque éste no se haya materializado.

FRECUENCIA: Número de ocasiones en el que se ha materializado el evento o puede

generarse (por ejemplo: No. De veces en un tiempo determinado).

GESTIÓN DEL RIESGO: Cultura, procesos y estructuras que se dirigen hacia la gestión

audaz de las oportunidades potenciales y los efectos adversos.

IDENTIFICACIÓN DEL RIESGO: Proceso para determinar lo que puede suceder, por

qué y cómo.

IMPACTO: Grado en que las Consecuencias pueden generar perdidas a la Universidad si

se llega a materializar el riesgo.

MAPA DE RIESGO: Es un instrumento que permite visualizar el estado de los riesgos en

cada uno de los procesos con el fin de tomar decisiones sobre los aspectos críticos

identificados en él.

PROBABILIDAD: Frecuencia (Numero de veces) en la que se podría presentar un evento

o se ha presentado y /o factibilidad (posibilidad) de que suceda el evento. La probabilidad

se expresa con una escala de valores cuantitativos y cualitativos, como por ejemplo puede

calificarse como probabilidad baja, media o alta, asignándole el valor de 1, 2 y 3

respectivamente en donde 1 indica un evento o resultado imposible y 3 un evento y

resultado seguro.

REDUCCIÓN DEL RIESGO: Aplicación selectiva de técnicas apropiadas y principios de

gestión a fin de reducir la posibilidad de una ocurrencia o sus consecuencias, o ambas.

RIESGO: Posibilidad de ocurrencia de una situación o evento que pueda afectar el normal

desarrollo de sus funciones y el logro de los objetivos.

SEGUIMIENTO: Verificar, supervisar, observar de forma crítica, o registrar el progreso

de una actividad, acción o sistema, en forma regular, a fin de identificar cambios.


92

TRANSFERENCIA DEL RIESGO: Traslado de la responsabilidad o carga por la pérdida

a otra parte, por medio de la legislación, contratos, seguros u otros medios. La transferencia

del riesgo también se puede referir al traslado de un riesgo físico o parte del mismo a

cualquier otra parte.

10.2 CONCEPTOS ESPECIFICOS

10.2.1 COMPONENTE SEGURIDAD DEL PACIENTE

Riesgo de Evento Adverso: Es la posibilidad de ocurrencia de un evento adverso asociado

a diferentes causas tales como medicamentos, dispositivos médicos, procesos inherentes a

la prestación de los servicios, trámites administrativos, entre otros.

Seguridad del paciente: Es el conjunto de elementos estructurales, procesos, instrumentos

y metodologías basadas en evidencias científicamente probadas que propenden por

minimizar el riesgo de sufrir un evento adverso en el proceso de atención de salud o de

mitigar sus consecuencias.

Atención en salud: Servicios recibidos por los individuos o las poblaciones para promover,

mantener, monitorizar o restaurar la salud.

Indicio de atención insegura: Un acontecimiento o una circunstancia que pueden alertar

acerca del incremento del riesgo de ocurrencia de un incidente o evento adverso.

Evento Adverso: Es el resultado de una atención en salud que de manera no intencional

produjo daño. Los eventos adversos pueden ser prevenibles y no prevenibles.

Evento Adverso prevenible: Resultado no deseado, no intencional, que se habría evitado

mediante el cumplimiento de los estándares del cuidado asistencial disponibles en un

momento determinado.

Evento Adverso no prevenible: Resultado no deseado, no intencional, que se presenta a

pesar del cumplimiento de los estándares del cuidado asistencial.

Incidente: Es un evento o circunstancia que sucede en la atención clínica de un paciente

que no le genera daño, pero que en su ocurrencia se incorporan fallas en los procesos de

atención.


93

Farmacología: Es la ciencia y actividades relacionadas con la detección, evaluación,

entendimiento y prevención de los eventos adversos o cualquier otro problema relacionado

con medicamentos.

Tecnología: Es el conjunto de actividades que tienen por objeto la identificación y la

cualificación de efectos adversos serios e indeseados producidos por los dispositivos

médicos, así como la identificación de los factores de riesgo asociados a estos efectos o

características.

10.2.2 COMPONENTE AMBIENTAL

Medio Ambiente: Entorno en el que opera una organización, que incluye aire, agua, suelo,

recursos naturales, flora, fauna seres humanos y su interacción.

Salud Ambiental: La salud ambiental está relacionada con todos los factores físicos,

químicos y biológicos externos de una persona, se basa en la prevención de las

enfermedades y en la creación de ambientes propicios para la salud.

Riesgo Ambiental: La posibilidad de ocurrencia de un evento que puede incidir de manera

negativa en los factores ambientales (físicos, biológicos y químicos) del medio ambiente y

la salud de las personas. Generalmente se asocian a aquellas situaciones ligadas a las

actividades antropogénicas que pueden causar daño al medio ambiente.

Gestión integral: Es el conjunto de operaciones y disposiciones encaminadas a dar a los

residuos producidos el destino más adecuado desde el punto de vista ambiental, de acuerdo

con sus características, volumen, procedencia, costos, tratamiento, posibilidades de

recuperación, aprovechamiento, comercialización y disposición final (Decreto 1713 de

2002).

Residuo: Es todo material que producimos en nuestras actividades diarias y del que nos

tenemos que desprender porque ha perdido su valor o dejamos de sentirlo útil para

nosotros.

Residuo Peligroso: Es aquel residuo que, en función de sus características de corrosividad,

reactividad, explosividad, toxicidad, inflamabilidad y patogenicidad puede presentar riesgo

a la salud pública o causar efectos adversos al medio ambiente. No incluye a los residuos

radiactivos.

Residuo Químico: Es aquel riesgo producido por una exposición no controlada a agentes

químicos la cual puede producir efectos agudos o crónicos y la aparición de enfermedades.


94

Riesgo Biológico: Consiste en la presencia de un organismo, o la sustancia de un

organismo, que (sobre todo) genera una amenaza a la salud humana. Esto puede incluir los

residuos sanitarios, muestras de un microorganismo, virus o toxina (de una fuente

biológica) que puede resultar patógena.

PGIRH’S: Plan para la Gestión Integral de los Residuos Hospitalarios y Similares, en el

cual se establecen los procedimientos para el manejo de los residuos hospitalarios

generados en los servicios de salud.

Segregación: Es la operación consistente en separar manual o mecánicamente los residuos

hospitalarios y similares en el momento de su generación, conforme a la clasificación

establecida en el PIGA.

Vertimiento: Derrame, descarga de cualquier cantidad de material o sustancias ofensivas a

la salud pública.

Contaminación Cruzada: se refiere a la transferencia de virus, bacterias y otras sustancias

perjudiciales para la salud, a los elementos asépticos o limpios (alimentos, instrumental

esterilizado, entre otros).

Aspecto Ambiental: Elementos de las actividades, productos y servicios de una

organización que pueden interactuar con el medio ambiente.

Impacto Ambiental: Cualquier cambio en el medio ambiente, sea adverso o benéfico, total

o parcial como resultado de las actividades, productos o servicios de una organización.

Prevención de la contaminación: Uso de procedimientos, prácticas, materiales o

productos que evitan, reducen o controlan la contaminación, las cuales pueden incluir

reciclaje, tratamiento, cambios de proceso, mecanismo de control, uso eficiente de los

recursos y sustitución de materiales.

Plan de contingencia: Programa de tipo predictivo, preventivo y reactivo con una

estructura estratégica, desarrollado para el control de una emergencia que se produzca

durante el manejo, transporte y almacenamiento de residuos hospitalarios, con el propósito

de mitigar las consecuencias y reducir los riesgos.

Plan de emergencias: Organización de los medios humanos y materiales disponibles para

garantizar la intervención inmediata ante la existencia de una emergencia y garantizar una

atención adecuada bajo procedimientos establecidos.


95

10.2.3 COMPONENTE FINANCIERO

Calendario tributario: Anualmente el Gobierno Nacional expide mediante decreto, los

lugares y plazos para la presentación de las declaraciones tributarías y para el pago de los

impuestos, anticipos y retenciones en la fuente y se dictan otras disposiciones en materia

tributaria.

Realización de interfases: Proceso sistematizado que deben realizar mensualmente, las

diferentes áreas involucradas en el proceso contable, con el ánimo de poder analizar

interpretar y consolidar los Estados Financieros del Hospital.

Liquidez: Capacidad que tiene la empresa para afrontar sus compromisos de corto plazo

(Pasivo Corriente), con los recursos propios realizables de corto plazo (Activo Corriente),

generalmente se mide a través de un indicador.

Conciliación Bancaria: Proceso que consiste en revisar y confrontar cada uno de los

movimientos registrados en los libros auxiliares de Bancos del Hospital, de las cuentas de

ahorros y corrientes que posee, con los valores que el Banco suministra por medio del

extracto bancario para estas mismas.

Traslado de cajas: Control que se realiza a los ingresos por conceptos de cuotas de

recuperación que se captan en los diferentes centros de atención.

Balance de ejercicio: Estado de cuentas que lista lo que se posee (activos) y lo que se debe

(deudas) en un momento dado.

Estado financiero: Producido al final de un periodo contable (p. ej. un mes o un año). Los

ejemplos incluyen una cuenta de ingresos y gastos y un balance de ejercicio.

Depreciación: Método de localizar el costo de un activo fijo durante el periodo de tiempo

que se pueda necesitar.

10.2.4 COMPONENTE INFORMATICO

Seguridad de la información: Asegurar que los recursos del sistema de información de

una organización sean utilizados de la manera que se decidió y que el acceso a la

información allí contenida, así como su modificación, sólo sea posible a las personas que se

encuentren acreditadas y dentro de los límites de su autorización.


96

Evento de seguridad de la información: Ocurrencia identificada del estado de un sistema,

servicio o red indicando una posible falla en la política de seguridad de la información o

falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante

para la seguridad.

Incidente de seguridad de la información: Un incidente de seguridad de la información

es indicado por un sólo evento o una serie de eventos inesperados de seguridad de la

información que tienen una probabilidad significativa de comprometer significativa de

comprometer las operaciones de la entidad y amenazar la seguridad de la información.

Sistema de Gestión de Seguridad de la Información SGSI: Es la parte del sistema

gerencial general, basado en un enfoque dirigido a la prestación de servicios de salud; para

establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la

información.

Confidencialidad: La propiedad que la información esté disponible y no sea divulgada a

personas, entidades o procesos no-autorizados.

Integridad: La propiedad de salvaguardar la exactitud e integridad de los activos.

Disponibilidad: Propiedad asociada a que los usuarios deben tener disponibles todos los

componentes del sistema de información cuando así lo deseen.

Irrefutabilidad - no repudio: El uso y/o modificación de la información del sistema de

información de la organización por parte de un usuario debe ser irrefutable, es decir, que el

usuario no puede negar dicha acción.

Suplantación: Es una forma de engaño en la que algo o alguien se hace pasar por otro para

efectuar alguna acción que altere la operación de la organización.

Intercepción: Es el acceso no autorizado de información, personas, objetos en al momento

de ejecutar algún proceso y que altera la operación del mismo.

10.2.5 COMPONENTE JURIDICO

Riesgo Jurídico: Es la posibilidad de pérdida en que puede incurrir la entidad al ser

sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o

regulaciones y obligaciones contractuales.


97

Derecho de petición: Una petición es la solicitud verbal o escrita que se presenta en forma

respetuosa ante un servidor público o ante ciertos particulares con el fin de requerir su

intervención en un asunto concreto.

Acción de tutela: es la garantía que ofrece la Constitución de 1991 del derecho que tienen

todas las personas a la protección judicial inmediata de sus derechos fundamentales.

Investigación Administrativa: Actuación administrativa en virtud de la cual se investigan

las presuntas vulneraciones legales y estatutarias por parte de los funcionarios del Hospital

Vista Hermosa.

Responsabilidad penal: es en Derecho, la sujeción de una persona que vulnera un deber de

conducta impuesto por el Derecho penal al deber de afrontar las consecuencias que impone

la ley. Dichas consecuencias se imponen a la persona cuando se le encuentra culpable de

haber cometido un delito o haber sido cómplice de éste.

Responsabilidad civil: En esta se clasifica la responsabilidad de la persona (particular o

funcionario público) frente al estado y frente al particular por los perjuicios causados con su

actuación en desarrollo y cumplimiento de la actividad función a su cargo.

Responsabilidad administrativa: Se llama responsabilidad administrativa a aquella

responsabilidad que surge de la comisión de una contravención administrativa propia de

quien ejerce cargos directivos en una organización pública o privada.

Existe la responsabilidad administrativa por todo perjuicio o daño causado a terceros por la

acción u omisión de un acto administrativo.

La responsabilidad administrativa es propia de quienes ejercen cargos directivos, de

quienes tomas las decisiones que luego causan los perjuicios, y son las consecuencias

jurídicas de sus actos las que configuran la responsabilidad administrativa la que bien

puede tener implicaciones penales o civiles.

Responsabilidad fiscal: La responsabilidad fiscal está relacionada con el manejo y

administración de los recursos públicos (del estado). La responsabilidad fiscal se deriva de

la gestión fiscal que hagan los funcionarios públicos, o los particulares que administren

recursos del estado.

10.2.6 COMPONENTE SALUD OCUPACIONAL

Salud Ocupacional: La Salud Ocupacional es una rama de la salud pública que ejerce

acciones dirigidas hacia la población trabajadora, con el fin de prevenir enfermedades y


98

accidentes ocasionados por el trabajo, aumentar su bienestar físico, mental y social de los

trabajadores mediante la prevención y promoción.

Accidente de trabajo: Es todo suceso repentino que sobrevenga por causa u ocasión del

trabajo, y que produzca en el trabajador una lesión orgánica, una perturbación funcional,

una invalidez o la muerte (Decreto 1295/94, Art.9).

Enfermedad profesional: Todo estado patológico permanente o temporal que sobrevenga

a un trabajador como consecuencia obligada y directa de la clase de trabajo, o del medio en

que se ha visto obligado a laborar, que haya sido determinada por el Gobierno Nacional

(Decreto 1295/94 , art. 11), y que halla y se compruebe relación de causalidad.

Incidente: Evento(s) relacionados con el trabajo que dan lugar o tienen el potencial de

conducir a lesión, enfermedad (sin importar severidad) o fatalidad.

Riesgo Psicosocial: Condición que experimenta el hombre en cuanto se relaciona con su

medio circundante y con la sociedad que le rodea, por lo tanto no se constituye en un riesgo

sino hasta el momento en que se convierte en algo nocivo para el bienestar del individuo o

cuando desequilibran su relación con el trabajo con el entorno.

Comité Paritario de Salud Ocupacional COPASO: Es el organismo de participación,

ejecución y apoyo en todo lo concerniente al Programa de Salud Ocupacional de una

compañía. De la mano con el Coordinador de Salud Ocupacional y la Brigada de

Emergencia, los miembros del COPASO son los encargados de llevar a cabo todas las

actividades programadas en fin del desarrollo del Programa de Salud Ocupacional.


99

11. CONCLUSIONES

El Modelo Integral de Administración de Riesgos, permite monitorear y controlar todos

los riesgos de un proceso garantizando así la el cubrimiento de todos los frentes frente a

la materialización del riesgo.

Administrar el riesgo desde una mirada integral permite identificar fortalezas y

vulnerabilidades inherentes en los procesos que pueden afectar la gestión de impacto y

por el ende el cumplimiento de los propósitos institucionales de la organización.

La mirada fraccionada de los eventos que vulneran la seguridad del paciente, la gestión

financiera, jurídica, informática, ambiental y de seguridad y salud ocupacional, no

permite ver la efectividad del sistema de gestión de la entidad, la cual se ve reflejada

en el cumplimiento de los objetivos de los procesos, las relaciones efectivas con el

entorno y el impacto positivo en la población objeto de intervención.

La configuración de un Sistema Integral de Administración de Riesgos, enfoca los

esfuerzos organizacionales en la mitigación de eventos que una vez materializados

pueden impactar la gestión institucional y las relaciones efectivas con el entorno.

Por medio del control interno y seguimiento a las acciones de mejora plasmadas en el

mapa de riesgos, El Modelo Integral de Administración de Riesgos permite garantizar

el cumplimiento de las acciones y la administración de los riesgos de formas integral a

fin de cumplir con los objetivos institucionales.

El Modelo Integral de Administración de Riesgos por medio de sus indicadores permite

tomar decisiones acerca del comportamiento de los riesgos en unos periodos de tiempo

determinados sirviendo de control de gestión en la administración de riesgos en la

organización.

Se espera que el Modelo contribuya a la implementación e interiorización de una

cultura de Autocontrol y autoevaluación que parta del proceso de planeación y del

cumplimiento de los objetivos estratégicos institucionales.


100

12. RECOMENDACIONES

No es conveniente generar demasiados indicadores en la administración del riesgos,

debido a que se vuelve complejo el monitoreo a los mapas de riesgos y se convierte en

desgaste para la organización.

La identificación, análisis, valoración y tratamiento de los riesgos se debe realizar en

mesas de trabajo con equipos interdisciplinarios de forma que se identifiquen todos los

posibles riesgos que afectan el proceso y se puedan plantear acciones de mejora para la

administración del riesgo.

Es importante no dejar ningún riesgo por fuera de la administración integral de

riesgos, después de tener todos los riesgos identificados se debe priorizar de acuerdo

al análisis de riesgo descrito en la metodología integral.

El mapa de riesgos es una herramienta que debe ser conocida por todos los miembros

de la organización discriminando por proceso, de forma tal que el personal expuesto

propenda por minimizar el riesgo.

Es importante no demorar demasiado tiempo en el proceso de levantamiento de

información para la construcción de los mapas de riesgos debido a que los riesgos son

dinámicos y cambian con el trascurso del tiempo.

Es importante levantar todos los mapas de riesgos del Hospital Vista Hermosa I Nivel

a fin de garantizar un enfoque integral de Administración de Riesgos transversal a

todos los Macroprocesos del Hospital Vista hermosa.

Se debe continuar la investigación en pro de fortalecer el Sistema Integrado de

Gestión SIG-AGA del Hospital, Buscando así articular mas componentes de los

modelo de la gestión pública en el mundo y en Colombia que son transversales a la

gestión de las organizaciones.

El control de gestión es un proceso complejo y dinámico, que se de fortalecer con

herramientas que permitan el monitoreo de los procesos es por eso que se debe

continuar fortaleciendo la administración de riesgos de forma integral en la

organización.

Es necesario seguir realizando esfuerzos que permitan identificar riesgos estratégicos

inherentes en las actividades primarias y de apoyo de la organización, con el fin de

garantizar una gestión integral que permita la prestación de servicios que satisfagan


101

las necesidades y expectativas de los usuarios en las organizaciones del sector público

y privado.

13. BIBLIOGRAFÍA

Guía de Administración del Riesgo (DAFP).

Guía de Implementación MECI con Enfoque Sistémico- Veeduría Distrital.

Metodología de Identificación de Peligros, Evaluación y Control de Riesgos,

Consejo Colombiano de Seguridad.

Norma Técnica Colombiana NTC 5254.

Aspectos Clave en la Definición de Políticas de Administración de Riesgos Diseño

e Implementación de Normas Técnicas MECI 1000:2005 y NCTGP 1000:2004.

KPMG Sociedad Colombiana de Responsabilidad Limitada (Firma Auditora Suiza).

Norma ISO 9000:2008.

Norma ISO 14000:2004.

Norma OSHAS 18001:2007.

Norma ISO 27000:2005.

Papeles de Trabajo facilitados por la Firma Colombiana AUDISIS- Auditoría de

Sistemas.

Norma ISO 31000:2009

TEORIA DE LA AUDITORIA FINANCIERA AUTOR: GUILLERMO J. SIERRA

MOLINA-MANUEL ORTA PEREZ AÑO: 1996 Auditoria Aplicada, Tomo 1 - FOWLER NEWTON, 1991

COSO Enterprise Risk Management: nderstanding the Ne Integrated ERM

rame ork Robert R. Moeller – 2007

os nuevos conceptos del control interno: Informe coso Coopers & Lybrand – 1997

Organización Mundial de la Salud. Documento sobre prevención vigilancia y

control de las infecciones intrahospitalarias.

Webster’s Ne World Medical Dictionary.

William Obstetrics. Edición 22.

Taylor-Adams S, Vincent Ch. System Analysis of Clinical Incidents: The London

Protocol. London: Clinical Safety Research Unit, Imperial College; 2004.


102

14. ANEXOS

Formato Identificación Del Riesgo.

Formato Cálculo de Probabilidad

Formato Cálculo de Impacto

Formatos Análisis de Riesgos.

Formato Mapa de Riesgos.


103

Anexo 1

Formato What If

N°

¿QUÉ

PASA SÍ?

(EVENTO)

TIPO DE

RIESGO

RIESGO

AGENTE

GENERADOR

(CAUSAS)

CONSECUENCIAS

DEL RIESGO

CONTROLES

EXISTENTES RESPONSABLES


104

Anexo 2

Calculo de Probabilidad

MODELO INTEGRAL DE

ADMINISTRACIÓN DE

RIESGOS

NÚMERO DE VECES EN LAS QUE SE

MATERIALIZÓ EL RIESGO TOTAL VECES EN LAS

QUE SE MATERIALIZÓ

EL RIESGO EN EL

ULTIMO AÑO

NIVEL DE

PROBABILIDAD 2009

NOMBRE DEL RIESGO 1er TRIM. 2do TRIM. 3er TRIM. 4to TRIM.


105

Anexo 3

Calculo de Impacto

Proceso Objetivo Riesgo ¿Impacta una actividad

del proceso?

¿Impacta el objetivo del

proceso?

¿Impacta la prestación del

Servicio, al Cliente Interno o al

Usuario?


106

Anexo 4

Análisis de Riesgos

N° Riesgo

Cálculo de la Probabilidad Cálculo del Impacto Calificación

del Riesgo

Zona de

Riesgo

Políticas de

Manejo Clasificación Nivel Valor del

Impacto

Nivel del

Impacto


107

Anexo 4

Formato Mapa de Riesgo Hospital Vista Hermosa I Nivel ESE

modelo integral de administración de riesgos aplicado...

Documents