Services on Demand
Journal
Article
Indicators
- Cited by SciELO
- Access statistics
Related links
- Cited by Google
- Similars in SciELO
- Similars in Google
Share
CES Medicina
Print version ISSN 0120-8705
CES Med. vol.24 no.1 Medellín Jan./June 2010
ARTÍCULOS DE INVESTIGACIÓN CIENTÍFICA O TECNOLÓGICA
Elementos para la gestión de riesgos en las entidades promotoras de salud del régimen contributivo en Colombia
Elements for risk management in health promoters institutions of the contributory system in Colombia
MONICA REINA ALZATE1, SANDRA ISABEL ANGULO ESPINOSA2, ÁNGELA MARÍA SEGURA CARDONA3, ANDRÉS TRUJILLO ZEA4
1 Especialista en Gerencia de la Seguridad Social, Coordinadora académica Clínica CES Sabaneta, Docente de pregrado, Universidad CES. mralzate@ces.edu.co
2 Especialista en Salud Ocupacional y Gerencia de la Seguridad Social. Coordinadora Nacional del Sistema de Administración de Riesgos en Salud EPS SURA. Docente Facultad de Medicina, Universidad CES.
3 PhD en Epidemiología. Investigadora Grupo Observatorio de la Salud Pública, Universidad CES.
4 Magíster en administración. Director del Instituto Colombiano de Medicina Tropical, docente pregrado y posgrado, Universidad CES.
RESUMEN
El riesgo se define como un evento incierto, indeseable, imprevisto e involuntario que puede producir consecuencias negativas para quien lo sufre; el sistema de administración de riesgos surge como una secuencia de pasos bien definidos, que ayuda a la toma de decisiones para enfrentar la generación o el impacto de un riesgo en una compañía. Es una forma eficiente de identificar oportunidades y evitar pérdidas y ayuda a mejorar el funcionamiento de las unidades de negocios de cualquier tipo de empresa, ya sea pública o privada. Está compuesto por algunos elementos fundamentales como son: comunicación y consulta, establecimiento del contexto, identificación de los riesgos, análisis, evaluación, tratamiento y monitoreo y revisión. El proceso se inicia determinando el nivel de riesgo, que resulta de confrontar el impacto y la probabilidad, para luego analizar las posibles acciones a emprender, las cuales deben ser factibles, efectivas, y de acuerdo con la significancia del riesgo. El éxito de la gestión de riesgos está determinado por factores como el reconocimiento de los objetivos y el establecimiento del rango de riesgo que enfrenta la organización. La implementación de un sistema de administración de riesgos en el sector asegurador en salud, requiere una visión integral que inicia con los procesos de mercadeo, ventas y afiliaciones, y finaliza con el impacto en los niveles de salud de los afiliados. El sistema le permite a la organización enmarcar sus procesos dentro de tres grandes áreas: riesgos en salud, riesgos operativos y riesgos generales del negocio. Debido a que la aplicación del sistema en el sector salud, aún se encuentra en ajustes legislativos, puede cambiar el alcance del mismo en la medida que se definan nuevos lineamientos desde el Ministerio de la Protección Social y la Superintendencia Nacional de Salud.
PALABRAS CLAVES
Riesgo, Administración de servicios de salud, Control de riesgo, Probabilidad, Gerencia
ABSTRACT
Risk is defined as an event that is unknown, undesirable, sudden, and beyond our control that when present could carry negative consequences for the parties at isk. As a result, the risk management program is created providing a sequence of clearly defined steps that help the individual in making decisions during the evaluation of risk impact in an enterprise. A planned approach is an efficient way of identifying opportunities and losses resulting from an action at risk, and help improving performance, quality, and safety of any type of businesses, whether they are public or privately owened. A risk management program consists of basic elements such as background definition and risk identification, evaluation, management, monitoring, and renewal. Risk management usually starts with the identification of the level of risk that an entity faces, which results from a probabilistic analysis. Once the risk level is identified, an action plan is prepared for the mitigation of risk. The success of a risk management program is determined by the identification of clear and specific objectives as well as by how accurate is the identification of the level of risk that an organization may face. The program implementation for the public health sector will require a planning phase that starts with a detailed study of the business conditions such the marketing enviroment, sales, and number and type of the subscribers; and ends with an estimation of the impact to the health levels of the subscribers. The risk management program allows the organization to classify its activities in tree main areas: health risks, management risks, and others. Because this system, applied to the health sector is still in legislative settings, change the scope of that to the extent that the definition of new guidelines from the Ministerio de la Protección Social and the Superintendencia Nacional de Salud.
KEY WORDS
Risk, Health Services Administration, Risk Management, Probability, Management
INTRODUCCIÓN
Las Entidades Promotoras de Salud (EPS) son instituciones eminentemente aseguradoras que tienen un componente de riesgos en salud del que dependen sus resultados, que serán cubiertos por un valor fijo determinado en las Unidades de Capitación que define el Estado. Este modelo, que funciona de la misma manera que una aseguradora de bienes, no cuenta con modelos de gestión integral del riesgo, lo que pone en peligro su estabilidad, debido a que no se conoce de manera certera el comportamiento de los eventos que tienen que cubrir en sus afiliados.
El riesgo en salud corresponde a la probabilidad de pérdida en que puede incurrir una entidad como consecuencia de la concentración de los riesgos bien sea por género, franjas de edades, de regiones, de patologías, por la ocurrencia de hechos catastróficos o situaciones similares que afecten un número elevado de afiliados. También pueden presentarse por incrementos inesperados en los índices de morbilidad, cambio en las condiciones de salud, insuficiencia de reservas técnicas y cambios en el comportamiento de la población (1,2).
Este artículo hace una revisión de los conceptos de identificación, seguimiento y manejo de los riesgos; así como también de las metodologías utilizadas por otros sectores económicos para la administración del riesgo. Los conceptos que se revisaron hacen referencia a la normatividad colombiana, Sistema General de Seguridad Social, proceso para la gestión del riesgo, modelo de riesgo empresarial, auditoría interna (modelo COSO) y riesgo y efecto financiero.
Marco legal
Al abordar el tema de administración del riesgo para las Entidades Promotoras de Servicios de Salud (EPS) del régimen contributivo a nivel nacional, es importante tener en cuenta el marco legal colombiano que hace referencia a la aplicación de un modelo de riesgos para dichas entidades. Dentro de la reglamentación se encuentra la Resolución 1740 de 2008 que tiene por objeto establecer la gradualidad, los contenidos y los mecanismos de control de cumplimiento del Sistema de Administración de Riesgos aplicable para las EPS del régimen contributivo y entidades adaptadas (1). Plantea algunas definiciones como: incertidumbre, definida como aquella situación sobre la cual no se conoce con seguridad si ocurrirá, y de ocurrir, cómo se comportará en el futuro. Define riesgo, como aquella incertidumbre que afecta negativamente el bienestar de los agentes económicos y el logro de los objetivos de la organización. En particular, se considera riesgo la posibilidad de generarse una pérdida económica por la ocurrencia de un evento adverso. El riesgo es un evento incierto, indeseable, imprevisto e involuntario que en caso de producirse puede tener consecuencias negativas para quien lo sufre (2).
El Decreto 574 de 2007 (3) plantea como elemento fundamental para garantizar el cumplimiento de los objetivos del Sistema General de Seguridad Social en Salud, que las entidades mantengan una adecuada solvencia desde el inicio de sus operaciones, entendida como la capacidad de atender todas sus obligaciones. El régimen de solvencia propende por un prudente manejo de los recursos financieros y de los riesgos inherentes a la actividad de las entidades promotoras de salud del régimen contributivo y entidades adaptadas. Comprende el cumplimiento del monto mínimo establecido para el margen de solvencia, la constitución, mantenimiento de las reservas técnicas y la inversión de estas reservas (3). La Superintendencia Nacional de Salud, debe tomar acciones frente a situaciones que incrementen la exposición de las entidades a los riesgos inherentes a su actividad, con el fin de evitar que las entidades entren en situación de insolvencia, quebranto patrimonial o que se agraven estas circunstancias.
Las EPS y entidades adaptadas podrán garantizar su solvencia mediante la implementación de un sistema de administración de riesgos debidamente auditado y con concepto favorable por una entidad independiente (4). Las firmas auditoras encargadas de la verificación de dicha implementación, serán escogidas libremente por las EPS y entidades adaptadas y deberán cumplir con unas condiciones mínimas establecidas en la Resolución 814 de 2008 y dentro de las cuales se incluyen: la experiencia nacional e internacional y capacidad técnica y financiera (5). Este sistema estará constituido por los subsistemas de identificación, medición, evaluación, cuantificación y control de aquellos riesgos particulares a la actividad de aseguramiento en salud, que les permita a las entidades realizar una adecuada gestión de riesgos y garantizar su solvencia. El desarrollo e implementación de este sistema se hace por fases, basado en un modelo simple para la primera fase, construido a partir de las prácticas actuales de gestión de riesgo en salud, debidamente documentadas y registradas en manuales de proceso para que en fases sucesivas, se llegue a un modelo integral en el que se incluyan por lo menos la gestión de los riesgos inherentes al aseguramiento en salud, el riesgo operativo y el riesgo de mercado de las inversiones (3).
Sistema General de Seguridad Social
En Colombia, el ente regulador del Sistema General de Seguridad Social (SGSS) es el Ministerio de la Protección Social, el cual tiene como función proveer de manera integral las acciones de salud individuales y colectivas para el mejoramiento de la salud de la población. Los servicios de salud pública se refieren a las acciones que se dirigen a la comunidad o a los componentes no humanos del ambiente como el saneamiento básico (6), incluye una interacción con todos los sectores que tiene influencia en la salud de manera que se consigan de manera eficiente los objetivos.
El Plan Nacional de Salud Pública (Decreto 3039 de 2007) (7), establece las prioridades, objetivos y estrategias coherentes con los indicadores de salud de la población y las políticas de salud, además de las responsabilidades en salud pública a cargo de los diferentes actores del sistema.
El Plan de Salud Pública, cuenta con tres enfoques: el poblacional, de determinantes y de gestión social del riesgo, que se articulan para reducir y modificar la carga de la enfermedad, y buscar intervenir de alguna manera los riesgos en salud. El primer enfoque, busca modificar los riesgos acumulados en cada uno de los ciclos vitales; el enfoque de determinantes pretende intervenir los factores de riesgo que sean modificables y el tercer enfoque aborda los riesgos desde una perspectiva causal, identificándolos y modificándolos para evitar desenlaces adversos, recoge los desarrollos nacionales e internacionales relacionados con la protección social y la gestión del riesgo y los aplica a la salud de la población, permitiendo una conexión entre los determinantes del desarrollo social y los de salud (7).
Igualmente se establecen líneas para el desarrollo de la política en salud, dentro de las que se encuentra la "Línea de prevención del riesgo" (7) que busca la reducción de los riesgos de enfermar o morir, mitigando o reduciendo al mínimo la probabilidad de daño mediante acciones compartidas entre Estado, EPS y ARP que incluyen, no solo la aparición de la enfermedad (prevención primaria), sino también, la gestión del riesgo para detener el avance de la enfermedad (prevención secundaria) (8). Para estó, las EPS deben comprometerse con algunas estrategias como son, el cumplimiento de estándares de calidad, desarrollo de la red prestadora y la evaluación de la percepción del riesgo de los usuarios. Para optimizar el rol de las EPS en el sistema, se hace indispensable que éstas asuman la administración del riesgo como una responsabilidad indelegable (9). Sin embargo, es importante aclarar que la población objeto de las aseguradoras es la población afiliada al sistema a través de ellas, y por lo tanto algunos aspectos fundamentales deben estar a cargo del Estado como la promoción en salud; que incluye actividades como el fomento de entornos saludables, conservación del medio ambiente, estímulo de la participación social, etc. que son considerados bienes públicos puros y de consumo colectivo (10).
Gerencia del riesgo
La gerencia del riesgo es la secuencia de pasos bien definidos, que ayuda en la toma de decisiones para enfrentar la generación o el impacto de un riesgo en una compañía. Es una forma eficiente de identificar oportunidades y evitar pérdidas y ayuda a mejorar el funcionamiento de las unidades de negocio de cualquier tipo de compañía, ya sea pública o privada (11, 12). Se define como el proceso de toma de decisiones en un ambiente de incertidumbre sobre una acción que va a suceder y sobre las consecuencias que existirían si esto ocurriera (13). Todas las organizaciones, independientemente de su naturaleza, tamaño y razón de ser, están expuestas a diferentes riesgos que pueden poner en problemas su existencia; por lo tanto el objetivo de la gestión del riesgo es lograr que el proceso y sus controles garanticen que los riesgos están minimizados y que los objetivos de la organización van a ser alcanzados. Los riesgos están determinados por factores externos denominados del entorno, como la normatividad y factores internos como recursos, estructura, presupuesto e intereses directivos (14).
La administración del riesgo debe ser una política institucional clara y respaldada por la alta dirección (14) que defina políticas, valores, estrategias, canales directos de comunicación y criterios que determinarán cuáles riesgos identificados son aceptables (13,14). Los elementos que componen un sistema de gestión de riesgos son:
Comunicación y consulta: consiste en comunicar y consultar con las partes involucradas, internas y externas, cada etapa del proceso de gestión del riesgo y relacionarlas con el proceso como un todo.
Establecimiento del contexto: busca establecer el contexto interno y externo de la gestión del riesgo en el cual tendrá lugar el resto del proceso. En este punto se recomienda establecer los criterios frente a los cuales se evaluará el riesgo y definir la estructura del análisis.
Identificación de los riesgos: consiste en identificar dónde, cuándo, cómo y por qué podrían ocurrir los eventos que pudieran llevar a degradar o retardar el logro de los objetivos organizacionales. (11) Busca conocer cuáles son los riesgos, por qué pueden surgir y cuales significan una amenaza para el éxito de la empresa (13). La identificación de los riesgos está basada en el análisis de la interrelación de algunos elementos: el riesgo como causa de un acontecimiento no deseado, el sujeto o sujetos sobre los que puede repercutir el acontecimiento y los efectos directos, consecuenciales y a largo plazo que puede originar.
Luego del proceso de identificación se recomienda hacer una clasificación de los riesgos de la siguiente manera (11,14):
• Riesgo estratégico, se enfoca en asuntos globales como la misión y cumplimiento de objetivos estratégicos.
• Riesgos operativos, relacionados con la parte operativa o técnica de la empresa.
• Riesgos de control, relacionados con la carencia o deficiencia de puntos de control.
• Riesgos financieros, relacionados con el manejo de los recursos de la empresa, produce pérdidas derivadas de créditos y pueden ser de caución, de interés o de liquidez.
• Riesgos de cumplimiento, asociados con la capacidad de la empresa de cumplir requisitos legales, contractuales, de ética y ante la comunicad
• Riesgos tecnológicos, asociados con la capacidad de la entidad para que la tecnología responda a necesidades actuales y futuras.
• Riesgo de mercado, es el riesgo de que la posición económica de la compañía sea afectada por el desempeño financiero de los mercados. Este incluye los efectos potenciales sobre los valores reales de activos y pasivos.
• Riesgo de crédito, es el riesgo de que un deudor no pague una línea de crédito u otro tipo de deuda.
• Riego de patrimonio, provoca daño físico al patrimonio de la empresa, bien sea fijo o circulante.
• Riesgo personal, provocan daño a los empleados o al personal vinculado a la empresa.
• Riesgo político, se da como consecuencia de los cambios en las regulaciones o por sistemas impositivos.
• Riesgo de imagen, genera una visión desfavorable de la empresa en el sector.
Análisis de los riesgos: busca identificar y evaluar los controles existentes y determinar las consecuencias y el nivel del riesgo. Establece una valoración y priorización de los riesgos y dependerá de la información del mismo, de su causa y de la disponibilidad de datos.
El equipo de trabajo puede construir sus propias escalas de análisis, de acuerdo a la naturaleza de la entidad y a las características de los procesos, las cuales pueden ser cuantitativas o cualitativas. El análisis cualitativo, se puede utilizar cuando el nivel de riesgo no justifica el tiempo y los recursos necesarios para un análisis con datos numéricos, o cuando se quiere realizar una observación general inicial de los riesgos (13).
Una parte fundamental del proceso de gestión, consiste en la evaluación del esquema de administración de riesgo que posee la entidad, indispensable para determinar las áreas que requieran mayor atención y permite medir la fortaleza o vulnerabilidad de cada institución (12).
Evaluación de los riesgos: Este elemento compara los niveles estimados de riesgo frente a los criterios preestablecidos y considera el equilibrio entre beneficios potenciales y resultados adversos. Permite tomar decisiones sobre el grado y la naturaleza de los tratamientos requeridos y sobre las prioridades.
Tratamiento de los riesgos: desarrolla e implementa estrategias específicas y eficaces en términos de costos y planes de acción para incrementar los beneficios potenciales y reducir las pérdidas. Se debe analizar la reducción de la probabilidad y la intensidad de los riesgos y el costo de las medidas de protección. La primera, busca que las consecuencias en caso de ocurrir el siniestro sean menores y la segunda, introduce el costo como un elemento decisorio para llevar a la práctica las acciones de protección.
Monitoreo y revisión: permite monitorear la eficacia de todas las etapas del proceso de gestión del riesgo, con el fin de mantener un proceso de mejoramiento contínuo y garantizar que un cambio en las circunstancias internas y externas no alteren las prioridades establecidas ni modifiquen las probabilidades de los riesgos, porque estos no permanecen estáticos (13, 14,16).. Es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia de su implementación.
La determinación del nivel de riesgo resulta de confrontar el impacto y la probabilidad, con los controles existentes al interior de los procesos. Estos niveles de riesgo pueden ser: altos, cuando el riesgo hace muy vulnerable a la empresa y se deben tomar medidas para bajar la severidad del riesgo y fortalecer o mejorar controles; medios cuando presenta una vulnerabilidad media y requiere medidas para bajar la severidad así como conservar y mejorar controles; y bajos cuando presenta una vulnerabilidad baja, la compañía debe asumir el riesgo sin necesidad de tomar medidas de control diferentes (4,14).
Con base en la revisión anterior, para evaluar la probabilidad y la intensidad o impacto, se propone utilizar la siguiente escala (Tablas 1y 2)
Una vez determinado el nivel de riesgo, se deben analizar las posibles acciones a emprender, las cuales deben ser factibles, efectivas y de acuerdo con la significancia del riesgo. Las opciones para el manejo del riesgo son (13,14):
Evitar el riesgo, se logra cuando al interior de los procesos se generan cambios de mejoramiento, rediseño o eliminación de proyectos o actividades en las que se incurriría en el riesgo. Puede implicar descartar la comercialización de un producto, frenar la expansión de un nuevo mercado o vender alguna unidad de negocio (16).
Reducir el riesgo, se consigue mediante la optimización de procesos, implementación de controles, capacitación, supervisión, investigación y desarrollo.
Dispersión del riesgo, se logra mediante la distribución o localización del riesgo en diversos lugares eliminando la interactividad de los mismos.
Transferir el riesgo, busca respaldo y compartir con otro la responsabilidad de un riesgo, para lograr disminuir la probabilidad o el impacto del éste para la compañía, sin tener que eliminar la actividad riesgosa que la genera.
Asumir el riesgo, cuando un riesgo ha sido asumido o transferido, puede quedar un riesgo residual, donde tanto la probabilidad, como el impacto son bajos y deben ser monitoreados para descubrir las perdidas, si estas ocurren.
El último paso del manejo del riesgo, consiste en determinar el impacto total de los riesgos y el costo de administrar o manejar estos riesgos (relación costo-beneficio). Las decisiones sobre la aceptabilidad del riesgo, son dependientes de otros factores que incluyen preocupaciones sociales, económicas, políticas y legislativas (17). Se debe elaborar un mapa de riesgos que permita visualizar todo el proceso y consolidar información pertinente como: riesgo, impacto, probabilidad, control existente, nivel de riesgo, causas, acciones, responsable, cronograma e indicadores.
La administración de los riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso interactivo que consta de varios pasos, los cuales, ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones. A continuación se presenta de manera gráfica una secuencia de pasos sugerida:
El estándar australiano (18) provee una guía genérica para el establecimiento e implementación del proceso de administración de riesgos, involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y monitoreo de los riesgos. Puede ser aplicado a todas las etapas de una actividad, función, proyecto, producto o activo y permite la definición de objetivos específicos de acuerdo con las necesidades de cada implementación.
Las organizaciones deben identificar los requerimientos de recursos y proveerlos de manera adecuada, incluyendo la asignación de personal entrenado para las actividades de administración, desempeño del trabajo, y verificación incluyendo la revisión interna.
Manejo del riesgo empresarial
Desde hace algún tiempo, los responsables de la gestión de riesgos en las empresas, reconocen la importancia estratégica de una apreciación integral de los riesgos. Los requisitos regulatorios, la creciente complejidad y la diversificación de las instituciones, además de la presión en los márgenes, impulsan a las empresas a adoptar una disciplina de gestión de riesgos a nivel empresarial, conocida como "manejo empresarial del riesgo" (Enterprise Risk Management, ERM), (19) y aunque esta práctica no se realiza de manera uniforme en todas las industrias, se podría afirmar que existe un elemento común: el reconocimiento de la variedad en número e interacción de los riesgos. La ERM fue diseñada para mejorar el desempeño de las empresas. Es un enfoque para el manejo de los riesgos de manera coordinada e integrada a través de toda la organización. Pretende establecer una metodología para el crecimiento continuo con un tratamiento maduro, estructurado y disciplinado hacia los riesgos (20).
El resultado de una dirección estratégica exitosa, es la capacidad de asumir riesgos más grandes; pero es esencial que los riesgos tomados sean los correctos; la empresa debe ser capaz de elegir entre los riesgos y las oportunidades de acción, en lugar de sumergirse en incertidumbre, rumores o experiencias. Tomar y administrar el riesgo es la esencia de la supervivencia y el crecimiento de los negocios. El desarrollo de una política de riesgo debe ser una iniciativa creativa, exponiendo las oportunidades para el manejo innovador del riesgo (21).
La cultura del riesgo se define como el conjunto de actitudes compartidas, valores y prácticas que caracterizan la forma como la empresa enfrenta el riesgo e implica la manera de percibir los controles para mitigarlos. La falta de interés por parte de la dirección en promover valores corporativos y el entendimiento del proceso, puede llevar a un deterioro en la creación de
cambios culturales necesarios para cumplir los objetivos propuestos. Las empresas deben ofrecer capacitación y establecer incentivos; reconocer y premiar la conducta positiva del riesgo e imponer sanciones a quienes no cumplan las políticas de riesgo.
Durante el proceso de manejo del riesgo, la primera etapa debe ser establecer el contexto en el que opera la organización así como identificar los riesgos que son comunes para las áreas funcionales de la misma (21). Para cada modelo de negocio es necesario establecer (22): objetivos, riesgos que puedan comprometer el cumplimiento de los mismos, cuantificación de riesgos inherentes, controles vigentes, cuantificación del riesgo residual y decisión del riesgo residual, que puede ser de cuatro tipos: terminar, reducir, aceptar o transferir.
Ningún sistema de administración de riesgo, puede crear un ambiente libre de riesgo, lo que se busca es que se opere de manera más efectiva en un ambiente lleno de riesgos fluctuantes. Dentro de los beneficios de este proceso están (10): mejorar el funcionamiento del negocio, incrementar la efectividad organizacional y lograr mejores reportes de riesgo.
El equipo encargado del proyecto de implantación del proceso de gerencia de riesgos realizará reuniones para desarrollar el plan del proceso. Este equipo estará formado por un director del proyecto y los responsables de las diferentes áreas de la empresa o componente de la organización que tenga responsabilidades sobre la gerencia de riesgos.
La planificación es un proceso en el que se decide cómo se abordarán y se planificarán las distintas actividades. Una manera de explorar los mecanismos para implementar un proceso de gestión de riesgos, es descomponerlo en todas sus partes y examinar qué tanto debería contribuir cada parte a todo el conjunto; para ello se ha propuesto un proceso que lo divide en seis pasos: análisis, identificación, clasificación, evaluación, planeación y administración.
Los elementos de partida para la planificación de la gerencia de riesgos (inputs) son (19):
• Niveles de tolerancia al riesgo de los grupos de interés, que deben estar fijados dentro de los estatutos de la política de la empresa por el consejo de administración.
• Responsabilidades y roles definidos: es muy importante tener en cuenta el papel que desempeña cada miembro de la organización, así como sus niveles de autoridad para la toma de decisiones, ya que será un elemento crucial a la hora de establecer sus funciones y responsabilidades dentro del proceso de gerencia de riesgos.
• Desglose de la estructura de trabajo en la empresa: agrupación de los principales procesos que conforman las actividades de la empresa y la define en todo su ámbito
Los resultados de la planificación de la gerencia de riesgos (outputs) son:
• Plan de gerencia de riesgos: documento en el que se recogen y se describen las pautas que se deben seguir para estructurar y llevar a cabo el proceso de gerencia de riesgos según los estándares. Debe describir claramente como se llevará a cabo, definiendo los roles y responsabilidades de los participantes, las actividades, la programación y el presupuesto con el que se cuenta para realizar estas actividades y las herramientas y técnicas que serán empleadas.
• Estrategia general: describe un enfoque de alto nivel de la gerencia de riesgos, resumiendo como se abordarán colectivamente las actividades claves
• Roles y responsabilidades: se determinan los miembros que conformarán el equipo de gerencia de riesgos y en quien recaerá el liderazgo, la responsabilidad y autoridad para llevar a cabo cada una de las actividades del proceso
• Umbrales de riesgo: determina el objetivo, con el que posteriormente se evaluará la efectividad del plan de respuesta y tratamiento del riesgo.
• Programación y presupuesto
• Seguimiento y control: documentar, analizar y comunicarlos resultados del proceso de gerencia de riesgos
Uno de los elementos que se consideran mas importantes de la gerencia de riesgo es la transferencia de la información (o comunicación de riesgo) entre quienes miden el riesgo y los que toman las decisiones sobre el mismo. Las diversas etapas del proceso de la gerencia de riesgo implican diferentes formas, niveles, y objetivos de la comunicación. Por ejemplo, durante la etapa de la identificación el propósito es asegurar la comprensión del proceso y el intercambio analítico de los juicios y las opiniones de expertos. En cambio, durante la fase de la reducción del riesgo, el objetivo de la comunicación es tranquilizar a los decisores acerca de la validez de los datos usados, la seguridad del proyecto e incrementar el entendimiento del mismo (17). La divulgación de la información está orientada a tres elementos básicos: la transmisión de políticas, sensibilización constante y actualización de modificaciones. Debe realizarse en todos los niveles de la compañía de manera periódica, tanto interna como externa e incluyendo proveedores, aliados estratégicos, promotores y asesores (16).
El manejo de riesgo empresarial (ERM) busca la identificación y análisis de los riesgos en una perspectiva integrada por toda la compañía y por un proceso de auditoria interna, donde cada uno tiene funciones específicas. El consejo de la administración debe actuar como coordinador y facilitador y realizar seguimiento permanente (23,24). El proceso afecta varias de sus funciones, como la formulación de políticas, el pensamiento estratégico y la supervisión administrativa. Debe tener en cuenta la naturaleza y extensión de los riesgos negativos aceptables por la compañía, la probabilidad de que esos riesgos se conviertan en realidad, la habilidad de la compañía para minimizar la probabilidad y el impacto en el negocio y la efectividad del proceso de gestión de riesgos (16,23).
Las unidades de negocio, deben ser conscientes de los riesgos que comprenden sus actividades y las consecuencias que otras áreas pueden provocar en ella, por lo tanto, requieren de indicadores de rendimiento que les permitan supervisar las actividades de negocio, disponer de sistemas que adviertan de las variaciones en las previsiones y en los presupuestos e informar rápida y sistemáticamente a la alta dirección de cualquier nuevo riesgo o cualquier fallo en las medidas de control existentes que perciban. Tienen la responsabilidad primaria de gestionar los riesgos en el día a día y promover la conciencia del riesgo en sus operaciones (14,21).
El éxito de la gestión de riesgos está determinado por algunos factores como el reconocimiento de los objetivos, que puede ayudar a los empleados a identificar de que manera sus acciones diarias pueden obstaculizar o impulsar el cumplimiento de los mismos y el establecimiento del rango de riesgo que enfrenta la organización, ejecutando un proceso en el que se incluya: la recopilación de la información, establecimiento de medidas de control, revisión de procesos y realización de auditorías internas. Cuando la compañía alcanza este ultimo nivel, tiene la confianza para ver cada riesgo como una oportunidad (25).
La gestión del riesgo y la auditoría interna. Modelo COSO
Si se analiza el interés de las organizaciones por mejorar la administración del riesgo y su ámbito de control, es necesario considerar el estudio "control interno- marco conceptual integrado", realizado por el comité de organizaciones participantes de la comisión Treadway: COSO publicado en 1992 y el cual redefine el control interno, desarrolla un marco conceptual y ofrece herramientas para evaluar y mejorar los controles. En septiembre de 2004, se publicó un nuevo marco conceptual que constituye una guía para la gestión de riesgo, conformado por ocho componentes: Ambiente de control, establecimiento de objetivos, identificación de eventos, evaluación de riesgo, respuesta al riesgo, actividades de control, información- comunicación y monitoreo (12).
El modelo COSO permite dirigir los esfuerzos de la compañía hacia el manejo del riesgo. Incluye actividades que permitan el conocimiento de los objetivos estratégicos operacionales y se enfoca en la necesidad de crear conciencia de los riesgos y la importancia de considerarlos durante la formulación de estrategias. Busca identificar eventos potenciales que puedan afectar la organización, para proporcionar una seguridad razonable sobre el logro de los objetivos de la entidad. Provee criterios para evaluar los controles internos con tres objetivos: efectividad y eficiencia de operaciones, confiabilidad de la información y cumplimiento de las leyes y regulaciones aplicables (12,24). El control interno representa el corazón de una organización, la cultura, las normas sociales y ambientales que la gobiernan. La infraestructura, la tecnología de la información, las actividades, las políticas y los procedimientos.
Riesgo y efecto financiero
La teoría académica del manejo del riesgo, ha sugerido tradicionalmente que las compañías deben concentrar su análisis en tasas de interés, tarifas, precios y productos para aumentar sus valores de mercados y reducir su exposición al riesgo. Esta teoría enfatiza en la reducción de costos para evitar problemas financieros. Sin embargo, el comportamiento corporativo de la gerencia del riesgo va más allá de la simple disminución de la variación, lo que propone como meta es la "eliminación de los altos costos originados por los bajos resultados"; esto significa reducir los costos ocasionados por problemas financieros mientras se mantiene la habilidad de la compañía para explotar sus ventajas competitivas. (25, 26) Al reducir la probabilidad de que ocurran problemas financieros, la empresa tendrá el potencial de incrementar su capacidad de endeudamiento y facilitar el manejo del capital, llevándola a un desarrollo óptimo de su estructura y permitiéndole realizar inversiones estratégicas (27). Ya que los riesgos operacionales dependen de factores específicos de la compañía, requieren de un sistema de información adecuado y un plan de contingencia para que sean efectivos, lo que puede requerir altas inversiones en software y tecnología informática (28).
El mercado asegurador presenta circunstancias que le dan una consideración especial, como el surgimiento de corporaciones cada vez mayores, la capacidad de retención y la lucha por sectores de mercados altamente competitivos. El continuo incremento de las interrelaciones económicas, políticas, sociales y culturales, denominado globalización, ha tenido una influencia en las instituciones financieras. Las autoridades reguladoras del sector asegurador enfrentan el reto de armonizar la regulación con la capacidad de acción, su eficiencia y su crecimiento al mismo tiempo que garantizan la viabilidad financiera dentro de ciertos parámetros de riesgo. Las empresas de seguros tienen particularmente mayor variabilidad, ya que los pasivos del negocio de seguros nunca se conocen completamente y pueden extenderse a muchos años en el futuro; continuamente se aceptan nuevos negocios, por lo que el tratamiento del riesgo es heterogéneo y fluctuante, haciendo que su solvencia sea un concepto probabilístico y dependa de la percepción del futuro.
Las aseguradoras operan en un medio dinámico y se adaptan mediante la toma de decisiones. Al establecer un margen de solvencia, realmente se plantea la hipótesis de que la suficiencia depende únicamente de esta decisión, lo cual es poco factible. En contraste con esto, los modelos contables no reconocen correctamente el tiempo en que se ejercen las obligaciones ni el grado de variabilidad implícito o la naturaleza de los riesgos cubiertos; por esto la clasificación que se otorga a las empresas de acuerdo con estándares contables proporciona información sobre el grado de solidez institucional, pero ésta solo tiene sentido al referirlo al nivel de riesgo captado por la empresa. Esta clasificación es relevante para los accionistas, ya que se basan en los rendimientos esperados para la toma de decisiones, pero deja a las autoridades reguladoras y a los administradores de las empresas aseguradoras en un nivel de incertidumbre que dificulta la toma de decisiones efectivas sobre el negocio. Es por esto que se requiere del desarrollo y aplicación de una teoría de riesgos que origine modelos y técnicas que complementen el cálculo actuarial tradicional, mediante el reconocimiento de fenómenos aleatorios y permitan un tratamiento de los problemas particulares de las empresas de seguros, en especial su solvencia (29, 10).
En el sistema de salud colombiano, las empresas promotoras de salud cuentan con un valor único (UPC) para cubrir el plan de beneficios de cada uno de sus afiliados. El riesgo surge cuando el costo medio por asegurado se aumenta como resultado de la ocurrencia de enfermedades costosas. La solidez de las EPS del régimen contributivo, puede lograrse entonces mediante el fortalecimiento patrimonial que permita hacer frente a fluctuaciones inesperadas de las reclamaciones, así como mejorar la gestión de los riesgos de tal manera que se garantice la suficiencia de dicha UPC (15). Aunque el mecanismo utilizado para protegerse frente al riesgo de tener afiliados con enfermedades costosas es el reaseguro (31), éste no es suficiente para cubrir el déficit de la UPC originado por enfermedades de alto costo, por lo que se hace indispensable contar con un sistema de administración de riesgos en salud que cuente con una visión integral del negocio y donde el riesgo sea tratado desde la salud pública y no desde el asistencialismo como ocurre hoy en día.
Ciclo PHVA
Similar al funcionamiento de la maquinaria de un reloj, el sistema de administración de riesgos debe estar totalmente articulado, de tal manera que cada vez sea más eficiente y efectivo al focalizar la gestión y optimizar los recursos a través de la detección y tratamiento de los riesgos. A continuación se definen algunos aspectos a tener en cuenta para el adecuado desarrollo del sistema de administración de riesgos en las EPS del régimen contributivo, enmarcados en el ciclo PHVA: Planear (P), Hacer (H), Verificar (V) y Actuar (A).
Planear (P):
Se requiere el análisis de la información para construir el perfil epidemiológico del país y de la población afiliada, e identificar el principal riesgo de enfermar. Una vez realizado este análisis se evalúa cuales de las actividades que se desarrollan en la EPS, van dirigidas a la detección y atención temprana de dicho riesgo, con el fin de intervenirlo oportunamente y evitar que la enfermedad se presente. Validar si la organización cuenta con mecanismos para identificar los usuarios con enfermedades de alto costo o de interés epidemiológico y adicionalmente, desde la salud pública, establecer si los programas cubren los riesgos epidemiológicos detectados para fortalecer la prevención en salud. Es clave el desarrollo de actividades de educación para los usuarios de los factores protectores que prevengan la enfermedad.
Hacer (H):
Se debe revisar el modelo de atención en salud, de tal manera que se realicen los ajustes correspondientes y su aplicación intervenga eficientemente los riesgos que presentan los usuarios. Realizar un análisis de frecuencia, evento y costo para detectar cuales son los diagnósticos que por su severidad y costo se convierten en prioritarios para la gestión y monitoreo. Como parte de las actividades que soportan el modelo de atención, las organizaciones pueden apoyarse en programas de medicina familiar o de intervención integral de diagnósticos de riesgo soportados por guías clínicas basadas en evidencia, proyectos de investigación, análisis de determinantes en salud, actividades especificas de medicina laboral como el reintegro etc. Lo más importante es que se logre integrar estas actividades de tal manera que se impacte en la disminución de los riesgos en salud. Adicionalmente, se requiere un análisis de la suficiencia de la red de manera que su capacidad permita la aplicación adecuada del modelo de atención, así como validar y definir el acceso de los usuarios a los diferentes niveles de atención con el fin de minimizar o eliminar las barreras de acceso. Lo anterior, para disminuir las complicaciones en salud y por ende el crecimiento en los costos.
La auditoría médica debe ser entonces, quien evalué la eficiencia de los procesos en salud de la aseguradora ya que estando en contacto con el usuario puede establecer si los programas de salud publica están funcionando adecuadamente, si el modelo de atención esta implementado y si la intervención en salud por parte del prestador es apropiada. El reto es que auditoria medica focalice sus esfuerzos hacia las patologías de riesgo y retroalimente a los líderes de los diferentes procesos para que se generen las adecuaciones respectivas. La clave de la atención en salud es ser eficientes en la prestación, de tal manera que la enfermedad sea diagnosticada, tratada y con las menores secuelas posibles.
Verificar (V):
El equipo que conforma el sistema de administración de riesgos, debe de evaluar el comportamiento de la organización de tal manera que detecte oportunamente los riesgos y debe establecer mecanismos de monitoreo integral a los planes de mejora o acciones implementadas para el tratamiento de los riesgos. Su reto es lograr que la organización sea autogestionable, es decir, que detecte y gestione proactivamente sus riesgos.
Actuar (A):
Se deben establecer acciones para implementar o ajustar políticas y actividades de procesos que propendan por la gestión integral del riesgo.
Todo este proceso impacta positivamente en la salud de los afiliados. Para que el engranaje sea completo, se requiere que el ente regulador integre sus políticas y normas de tal manera que le evite reprocesos a los actores.
CONCLUSIÓN
El desarrollo de un sistema de gestión de riesgos dentro del sector salud requiere una mirada integral, que involucre a los prestadores, no solo desde el punto de vista de riesgos compartidos entre EPS e IPS, sino también en el diseño de un sistema de administración de riesgos dirigido a estos últimos y controlado por el ente regulador; de manera que se desarrolle el esquema de modulación en salud y que permita el cierre de brechas por parte del prestador al gestionar sus propios riesgos: riesgos financieros, riesgos operativos, riesgos estratégicos, etc. Dentro de los riesgos compartidos, es importante identificar los de mayor impacto para los pacientes y los de mayor costo para la compañía, de manera que la gestión minimice el riesgo y mejore la calidad en la atención. El sistema tiene tres pilares fundamentales en la identificación de los riesgos, los cuales se integran entre sí; estos pilares son: riesgos en salud, riesgos operativos y riesgos generales del negocio.
Para una adecuada implementación del sistema de administración de riesgos, se requiere de un líder con pensamiento sistémico que estructure los procesos de la organización y logre el tratamiento de los riesgos de manera integral. El enfoque hacia el tratamiento de los riesgos con el fin de mitigarlos es clave del éxito para lograr una mejor calidad de vida en los usuarios y ahorros en costos al mejorar la eficiencia operativa. Las herramientas utilizadas, pueden llegar a tener el alcance que la organización quiera darle incluso en temas tan polémicos como la referencia y contrarreferencia, actividades de promoción y prevención, planes de atención, etc.
Lo anterior pone de manifiesto la necesidad de generar mecanismos, que permitan la implementación del sistema, el cual se encuentra reglamentado en nuestro país por la Resolución 1740 del año 2008. En la actualidad las entidades deben estar en plena operación de las fases 1 y 2 del sistema.
La Fase I corresponde al plan de implementación en el que se definen los objetivos generales, específicos y el alcance de la gestión de los riesgos dentro de la organización. Incluye la fijación de metas, definición de metodologías y herramientas necesarias, identificación de los riesgos críticos y el cronograma de implementación; así como el proceso para informar a la organización acerca del plan. El área de salud se debe documentar la gestión del riesgo existente en la organización, realizar pruebas de implementación con un alcance general enfocado al riesgo poblacional (o grupo de riesgo), con énfasis en el mejoramiento de las herramientas del sistema y en la adecuación del sistema de información. Debe incluir un análisis de la situación en salud, capacidad instalada de la red contratada y la descripción de las rutas de acceso a los servicios con un enfoque de riesgos.
Fase II. Despliegue del sistema: énfasis en el seguimiento a la implementación y despliegue del sistema a toda la organización y organizaciones con las que se relaciona. Medición de los avances del Modelo de Administración de Riesgos. En esta fase debe diseñarse la identificación de riesgos en salud desde la afiliación. El área de salud debe ampliar actividades a grupos priorizados de riesgos, para lo cual se debe llegar a la gestión individualizada del riesgo. Lo anterior debe incluir un análisis de la situación de salud, capacidad de la red contratada y descripción de las rutas de acceso a los servicios con un enfoque de riesgos por regiones. Se deberán iniciar esquemas cualitativos de medición del impacto.
Dichas fases ya han sido evaluadas por la Superintendencia Nacional de Salud (34).
El desarrollo de la fase 3, corresponde a la ampliación del sistema e involucra la medición cuantitativa de los efectos de los principales riesgos priorizados y la medición del impacto de las intervenciones.
Es importante tener en cuenta que el sistema de administración de riesgos aplicado al sector salud, aún se encuentra en ajustes legislativos. En la medida que se definan desde el Ministerio de la Protección Social y la Superintendencia Nacional de Salud nuevos lineamientos, puede cambiar el alcance del mismo.
REFERENCIAS
1. Colombia. Ministerio de la Protección Social. Resolución 1740 de 2008. Por el cual se establecen la gradualidad, los contenidos y los mecanismos de control de cumplimiento del Sistema de Administración de Riesgos aplicable a las Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas. Bogotá. Diario Oficial. Mayo 2008 [ Links ]
2. Rivas MV, Ricote F. Valoración de las responsabilidades para la minimización de los riesgos y el equilibrio empresarial. Cuadernos de estudios empresariales.2002. Vol. 12. 215- 250 [ Links ]
3. Colombia. Ministerio de la Protección Social. Decreto 574. Por el cual se definen y adoptan las condiciones financieras y de solvencia de Sistema único de Habilitación de Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas. Bogotá. Diario Oficial. Marzo 2007. [ Links ]
4. Colombia. Ministerio de la Protección Social. Decreto 1698. Por el cual se modifica el Decreto 574 de 2007 que define las condiciones financieras y de solvencia del Sistema único de Habilitación de Entidades Promotoras de Salud del Régimen Contributivo y Entidades Adaptadas. Bogotá. Diario Oficial. Mayo 2007. [ Links ]
5. Colombia. Superintendencia de Salud. Resolución 0814 de 2008. Por la cual se establecen los criterios y condiciones mínimas que deben cumplir las firmas consultoras o auditoras que adelantarán el estudio de los sistemas de administración de riesgo de las Entidades Promotoras de Salud del régimen contributivo y entidades adaptadas. Bogotá, Diario Oficial. Junio 2008. [ Links ]
6. Banco Interamericano de Desarrollo, Oficina del economista jefe. (1997). Pluralismo estructurado: hacia un modelo innovador para la reforma de los sistemas de salud en América Latina. México: Londoño JL. Frenk J. [ Links ]
7. Colombia. Ministerio de la Protección Social. Decreto 3039 de 2009. Por el cual se adopta el Plan Nacional de Salud Publica. Bogotá. Diario Oficial. Agosto 2007 [ Links ]
8. Colombia. Ministerio de Salud. Resolución 412 de 2000. Por el cual se establece las actividades, procedimientos e intervenciones de demanda inducida y obligatorio cumplimiento y se adoptan las normas técnicas y guías de atención para el desarrollo de las acciones de protección específica y detección temprana y la atención de enfermedades de interés en salud pública. Bogotá. Diario Oficial. Agosto 2000. [ Links ]
9. Álvarez G. Plan Nacional de Salud Publica: Avances y retos en el fortalecimiento de la Salud Pública en Colombia. En: Foro Debates en Salud Pública. Bogotá 29 de Febrero de 2008.Ministerio de la protección social, 2008. [ Links ]
10. Arroyave I. Propuestas para el Plan Nacional de Salud Pública. El pulso. Diciembre de 2007. Sección: Monitoreo. [ Links ]
11. Colombia. Icontec. Norma Técnica Colombiana NTC-5254. Gestión de riesgo. Bogotá. Septiembre de 2006. [ Links ]
12. Roisenzvit B A, Zarate M. Hacia una cultura de risk management. El próximo desafío para la región y como esto afecta los procesos de evaluación. Superintendencia de Entidades Financieras y cambiarias. Banco Central de la Republica de Argentina. Argentina 2006. P. 1- 11. [ Links ]
13. Servicio Nacional de Aduanas, Gobierno de Chile. El proceso de gestión del riesgo [Sitio en Internet]. Disponible en: http://www.aduana.cl/site/artc/20070228/ asocf i l e /20070228130834/asocf i - le12005091616182.pdf: Consulta: 28 octubre de 2008. [ Links ]
14. Colombia. Departamento Administrativo de la Función Pública. Guía de Administración del Riesgo. Bogotá Junio de 2004. [ Links ]
15. Castaño RA. Modelos de gestión de riesgo en salud: revisión de conceptos y recomendaciones para el régimen contributivo de la seguridad social en Colombia. Bogota: Universidad del Rosario Grupo de Investigación de la Facultad de Economía Junio 13 de 2008. [ Links ] 16. Administradora de riesgos profesionales Suramericana S.A- Suratep. Manual de gestión integral de riesgos. Bogotá. 2007. 19- 59. [ Links ]
17. Cox S, Tait R. Safety, reliability and risk management: an integrated approach. 2nd ed. Oxford: Butterworth- Heinemann; 1998. [ Links ]
18. Estándar de Administración de Riesgos Australiano/ Neo Zelandés AS/NZS 4360.1999. [ Links ]
19. Alonso FG. Modelo de gerencia de riesgos basado en el estándar europeo. Planificación del proceso. Anales de mecánica y electricidad. 2006. 83 (3): 36- 39. [ Links ]
20. González A, Franco MP. La administración de riesgos empresariales en el contexto actual del control interno. Cuba Siglo XXI. Enero 2007. (73) [ Links ]
21. Casualty actuarial society. Overview of enterprise risk management. Casualty actuarial society. 2003. (6): 99- 163 [ Links ]
22. Fundim P, Auditoria en riesgos_ ERM Enterprise Risk Management. [Sitio en Internet]. Disponible en: www.theiia.org/chapters Consulta: 24 Marzo de 2009. [ Links ]
23. Alonso FG. Modelo de gerencia de riesgos basado en el estándar europeo. Desarrollo e implementación. Anales de mecánica y electricidad. 2006. 83 (6): 16- 19. [ Links ]
24. Institute of Internal Auditors. Managing Risk From the Mailroom to the Boardroom. Tone at the Top. June 2003. 18: 1- 4. [ Links ]
25. Bowling D, Rieger L. Success factors for implementing enterprise risk management. Bank accounting and finance. 2005. [ Links ]
26. Beck U, La sociedad del riesgo global.[Sitio en Internet]. Disponible en: http://www.nodo50.org/ Consulta: 25 Febrero de 2009. [ Links ]
27. Chicaìza LA, Cabedo J D. Las opciones financieras como mecanismo para estimar las primas de seguro y reaseguro en el sistema de salud Colombiano. Cuaderno de admón. 2007. 20 (34): 221-236 [ Links ]
28. Hernández D (1996). Modelos de la teoría de riesgo para el sector asegurador. [Sitio en Internet]. Disponible en:http://www.cnsf.gob.mx/Eventos/Premios/1997/1997%20segundo%20lugar%20vf.pdf Consulta: 18 Junio de 2009. [ Links ]
29. Effective health care Risk management programs: components for success. [Sitio en Internet]. Disponible en: http://www.chubb.com/businesses/csi/chubb1148.pdf : Consulta: 23 Febrero de 2009. [ Links ]
30. Stulz R M, Rethinking Risk Management. Journal of applied corporate finance. 1996. 9 (3): 8- 24. [ Links ]
31. López JA (2002). What is operational risk? FRBSF Economic Letter. 2003 (03):1- 4 [ Links ]
32. Centro de Estudios Monetarios Latinoamericanos. Mejores prácticas en la auditoría interna. En: V Reunión de auditores internos de banca central. Lima, Peru 8- 11 de noviembre de 1999. p. 3- 18. [ Links ]
33. Casas G. Evaluación de riesgos. En: IV Reunión de auditores internos banca central. Cartagena de Indias, Colombia 6- 10 de junio de 1998. P. 1-7. [ Links ]
34. Colombia. Superintendencia de Salud. Instructivo de control para verificar el cumplimiento de la implementación del Sistema de Administración de Riesgo SAR, según lo dispuesto en la resolución 1740 de Mayo de 2008 del Ministerio de la Protección Social. Bogotá. Noviembre 2008. [ Links ]
Recibido: febrero de 2010. Revisado: mayo de 2010. Aceptado: junio 29 de 2010.
Forma de citar: Reina M, Angulo SI, Segura AM, Trujillo A. Elementos para la gestion de riesgos en las entidades promotoras de salud del regimen contributivo en Colombia. Rev CES Med 2010;24(1):19-35