top of page

PROCESOS, CALIDAD Y CUMPLIMIENTO: A la búsqueda de estándares para una mejora del servicio de salud


La adopción de estándares nos permite disponer de una gestión que asegure nuestros procesos de Negocio y el tratamiento de los datos propios o de terceros. Su elección y como combinar sus bondades es el desafío a emprender.

El objetivo de conseguir mejores resultados en la prestación de servicios nace a partir de la planificación estratégica de la empresa, y para ello, esta planificación debe estar sustentada por una Política Corporativa que incluya en forma expresa las pautas de calidad, gobernabilidad de la tecnología y seguridad de la información.

El tener en claro esta necesidad y conocer el proceso funcional de nuestro Negocio ¿Nos permite ver en forma completa otros subprocesos asociados? ¿Necesariamente podré indicar que el proceso principal y cada uno de sus subprocesos están debidamente asegurados desde su funcionalidad hasta los servicios tecnológicos que le dan soporte, permitiendo alcanzar los objetivos de calidad y cumplimiento?

Como principal ventaja, el empleo de estándares le permite revisar cada proceso de la Organización, ya sea funcional o tecnológico, ajustándolo así a las necesidades propias del Negocio en función de su entorno de gestión. Debido a ello, es que la decisión estratégica de adoptar estándares surge de la necesidad de mejorar los procesos de Negocio para facilitar el cumplimiento de leyes y regulaciones, ajustándolos a sus Políticas Corporativas.

Los estándares son una herramienta que le permite contar con un Sistema de Gestión Integral, enfocado a la Calidad, Gobernabilidad y Seguridad. El Gobierno de IT y la Seguridad de la Información son los principales servicios para obtener de forma indefectible Calidad en las prestaciones que brindamos a nuestros Pacientes y Afiliados y Calidad al brindar un entorno seguro de trabajo a nuestros Médicos y Prestadores referente a la información y procesos funcionales claros y registrados adecuadamente.

Satisfacción del Afiliado, Confiabilidad de Servicios y Eficiencia de los Procesos son los objetivos que deben movernos a la implementación de estándares. Para nuestro ejemplo podemos tomar tres estándares certificables que pueden ser implementados en cualquier tipo de organización elaborados por la Organización Internacional para la Estandarización (ISO), y utilizando su combinación le ayuda a cumplimentar un Sistema de Gestión Integral:

ISO 9001:

Norma que permite establecer una gestión de la calidad bajo una estructura operacional de trabajo, bien documentada e integrada a los procedimientos técnicos y gerenciales, para guiar las acciones de la fuerza de trabajo, la maquinaria o equipos, y la información de la organización de manera práctica y coordinada y que asegure la satisfacción del cliente y bajos costos para la calidad.

ISO/IEC 20.000:

Orientada a una entrega efectiva de los servicios de TI como base crucial para el soporte a procesos de Negocio en las empresas, tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de Gestión de Servicios de IT (GSTI).

ISO/IEC 27.001:

Estándar para la seguridad de la información que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Involucra a todos los procesos, tecnológicos o no, en los cuales se tratan los datos abarcando todo su ciclo de vida.

Cada una de estas Normas son aplicables a cualquier tipo de organización y de cualquier sector, y cuya estandarización organizativa se basa en el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Esto permite establecer una diferencia entre estos estándares y otros indicadores de buenas prácticas, ya que en ellas se establecen controles y pautas de medición que permiten su auditabilidad y análisis de la madurez del Sistema de Gestión supervisando continuamente su rendimiento y mejora frente a un conjunto establecido de requisitos.

Es importante que sepa que independientemente de elegir certificar en uno solo de los estándares mencionados, los otros dos deben formar parte para cubrir el cumplimiento del otro ya que son complementarios desde una visión orientada al aseguramiento de la calidad en los procesos de negocio. Como muestra de ello podemos ver como la mayoría de los estándares se apoyan en los conceptos de documentación de 9001, y el COBIT en su versión 5 e ITIL 2011 han integrado a sus módulos la seguridad de la información relacionando la integridad y disponibilidad, además de los aspectos de confidencialidad de la misma.

En lo relacionado a los servicios de salud, e independientemente de la responsabilidad a nivel legal respecto de la confidencialidad de los datos de los Afiliados, el empleo de estándares para normalizar nuestros procesos ayudará a ordenar todas las actividades asociadas a la Integridad y Disponibilidad de la información médica, permitiendo el tratamiento adecuado de los riesgos que ponen en peligro la vida de aquellos que debemos cuidar en caso de fallas en los procesos funcionales o tecnológicos que soportan al servicio médico.

Implementar estándares asociados al Gobierno, Riesgo y Cumplimiento permite la integración y orquestación de Sistemas de Gestión que aporten valores de calidad y seguridad a los procesos funcionales y tecnológicos para convertir a la Institución más fiable, íntegra y con buena reputación.

Esta implementación requiere de un apoyo concreto de la Dirección y Alta Gerencia no solo a través de las Políticas publicadas y la gestión diaria, sino también a través de un acompañamiento en cada una de las actividades relacionadas con los controles internos haciendo cumplir los requisitos de gestión y continuidad de la prestación de servicios y respetar las leyes y normativas que sean de aplicación para los servicios de salud, lo que permite demostrar a los Prestadores y Afiliados que la calidad de servicios y la seguridad de su información es primordial.

Bajo este apoyo es que iniciará las actividades relacionadas con la implementación, fijando el alcance que le dará al identificar aquel Servicio que quiera certificar o bien aplicarle un estándar para ponerlo bajo un Sistema de Gestión. Este alcance debe ser provisto por la Dirección y Alta Gerencia como resultado de las diferentes estrategias adoptadas e incluidas en su Plan de Negocios. Como resultante de ello, definirá un Comité que tendrá a cargo la coordinación de las actividades de implementación.

Como primera medida contemple dos hitos de definición importantes. Como primera medida, establecer un glosario o “idioma” a través del cual se convenga un vocabulario propio a utilizar tanto en los documentos como en las diferentes comunicaciones. Esto es importantísimo, ya que personalmente considero que gran parte del éxito está basado en que todos hablemos un mismo idioma y tengamos un mismo criterio para las definiciones y conceptos a expresar en Normas, Procedimientos, mails de comunicación de políticas o de campañas de concientización, etc.

Al momento de iniciar la implementación de estándares, la buena comunicación interna aporta un valor positivo (más que agregado) para:

  • Cumplir objetivos regulatorios del Negocio

  • Claridad en los requerimientos operativos del Negocio y sus procesos manuales y tecnológicos

  • Facilitar la coordinación de los diferentes equipos al establecer roles específicos ante proyectos de respuesta al Negocio y así crear ambientes colaborativos con pautas claras y roles definidos que aporten a la concreción de los objetivos establecido por el Negocio.

Recomendación; cada vez que decida iniciar un proyecto, identifique una fase de capacitación para el entendimiento de la operación, identificación de intervinientes, alcances y roles dentro del proyecto, necesidades de cumplimiento legal y de Negocio, y fundamentalmente las necesidades de servicio por parte de las áreas tecnológicas (IT, redes, comunicaciones) y de seguridad (seguridad de la información, o bien seguridad física y seguridad informática)

El otro gran punto es el identificar los recursos actuales estableciendo un mapa de procesos y subprocesos involucrados en el Servicio a gestionar, y a partir de allí asociar los siguientes puntos clave:

  • Responsables dentro de cada proceso del Servicio

  • Relación funcional entre cada proceso, con sus puntos de contacto

  • Actividades principales involucradas en cada proceso del Servicio

  • Soporte de servicios tecnológicos utilizados para cada actividad principal identificada (aplicativos inicialmente, lo relacionado con hardware y software de base va a surgir luego)

  • Identificación de riesgos asociados a cada proceso del Servicio, basado en cada una de sus actividades y servicios tecnológicos asociados que nos ayudará a desarrollar la Matriz de Riesgos vinculada directamente con el Servicio a gestionar.

  • Marco Normativo (Normas y procedimientos existentes) o documentación asociada a los procesos del Servicio

Este relevamiento inicial le aporta la información necesaria para poder trazar un mapa integral relacionando cada proceso del Servicio con los servicios (valga la redundancia) que brindan calidad, seguridad y gobernabilidad a través del empleo de los estándares adoptados. Este mapa puede asemejarse al gráfico que se acompaña, que responde al empleo de una solución integral de GRC (Governance, Risk & Compliance) como concepto de implementación de un Sistema de Gestión Integral orientada al Negocio.

Una vez concebido este mapa y teniendo en claro con qué cuenta y con qué debería contar puede continuar con los siguientes dominios relacionados con Seguridad y Cumplimiento, ya que en el mapa puede relacionar ambos dominios con:

  • Una gestión de riesgos asociada al Servicio con una visibilidad amplia al reconocer cada parte integrante del mismo, ya sea funcional o tecnológico; cuáles son los puntos de control; definir donde es necesario obtener registros/pistas de auditoría y de que tipo; identificar el tipo de servicio tecnológico para securitizarlo debidamente permitiendo la confidencialidad, integridad y disponibilidad de datos, verificar si la asignación de roles está debidamente segregada,

  • Si la documentación obtenida y utilizada es insuficiente para el cumplimiento legal y regulatorio, o bien si no es la adecuada para los procesos identificados; qué debe cambiar o desarrollar para su Marco Normativo al documentar cada actividad y tarea del proceso para que pueda ser gestionada adecuadamente y se alinee al estándar adoptado, adecuar los medios de capacitación al personal técnico y usuarios finales, fijar el método documental basado en el Servicio gestionado.

Esta metodología de trabajo le permite minimizar el esfuerzo de reorganización o desarrollo para el alcance de los objetivos en la aplicación de un Sistema de Gestión Integral basado en estándares, le permite organizar mejor el proceso de evaluaciones a aquellas áreas dedicadas a la revisión de controles o auditorías internas y dar una respuesta más eficaz a las auditoría externas o de certificación.

Y principalmente le permite asegurar a sus Afiliados y Prestadores que a través de su Institución brinda servicios y condiciones de trabajo con la calidad y seguridad requerida para la atención de la salud.

Fabián Descalzo

Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB
Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page