Es responsabilidad del directorio desarrollar una fuerte cultura de control interno dentro de la mutualidad, cuya característica central debe ser el establecimiento de sistemas para la comunicación adecuada de información entre los diferentes niveles de la administración. El directorio debe recibir informes de manera permanente sobre la efectividad del control interno, debiendo reportarse a éste cualquier debilidad identificada y relevante, tan pronto como sea posible, de manera que se puedan tomar las acciones apropiadas. Para estos efectos, el directorio debe establecer un procedimiento específico.

El directorio es el responsable último y quien debe asumir la propiedad del sistema de control interno, y debe aprobar su diseño, implementación y ejecución eficaz.

El directorio tendrá, entre otras funciones, aquellas enumeradas en la Letra B, Título I, de este Libro VII.

La gerencia general es la encargada de la adecuada implementación y del funcionamiento del sistema de control interno.

La gerencia debe:

1. Implementar y mantener en funcionamiento el sistema de control Interno conforme a las instrucciones del directorio. Para tal efecto, el gerente general deberá dotar a la mutualidad de los recursos necesarios para el adecuado desarrollo de dicho sistema.

2. Responsabilizarse por el funcionamiento y efectividad de los procesos que permitan la identificación y administración de los riesgos que asume la mutualidad en el desarrollo de sus operaciones.

Los auditores internos tienen como misión vigilar y validar ("testear") la efectividad del sistema de control interno y proponer las modificaciones necesarias, lo que no implica que tengan la responsabilidad de establecerlo y mantenerlo, ya que dichas actividades corresponderán a las unidades de contraloría que la mutualidad establezca para estos efectos.

Los auditores externos también deben contribuir a la consecución de los objetivos de la entidad y proporcionar información útil para la efectividad del control interno.

Entre las funciones de la unidad responsable de su cumplimiento, se debe incluir el asesoramiento a su administración superior, de modo de permitir a ésta dirigir o supervisar el cumplimiento tanto de las disposiciones legales y reglamentarias que las rigen, como asimismo de las instrucciones impartidas por la Superintendencia de Seguridad Social y de los procedimientos administrativos adoptados para el control interno. Comprende, asimismo, la identificación y evaluación, tanto del riesgo de incumplimiento, como de las posibles repercusiones de cualquier modificación del entorno legal en las operaciones de la mutualidad.

Las mutualidades deben considerar los siguientes factores del ambiente de control interno relacionados con su personal y el entorno en que se trabaja:

1. Integridad y valores éticos
   
   Las mutualidades deberán contar con un código de ética, conducta y buenas prácticas y difundirlo adecuadamente entre su personal, monitoreando su conocimiento e implementando una línea de acción clara en caso de transgresiones a los valores establecidos en dicho código.
   
   Junto con lo anterior, se debe considerar la aplicación de sanciones significativas ante conductas impropias, como asimismo su divulgación. Además, deben promoverse canales de comunicación que faciliten el reporte de actividades sospechosas o cuestionables.

2. Conocimientos del directorio
   
   El directorio, de modo de involucrarse activamente en el sistema de control interno implementado en la respectiva mutualidad, debe contar con un grado suficiente de conocimiento respecto de su funcionamiento y de los elementos que lo componen.

3. Estructura organizacional y proceso de delegación de autoridad
   
   Toda entidad debe implementar un organigrama, estableciendo, de este modo, un marco formal de autoridad y responsabilidad dentro del cual se proyecten, ejecuten y controlen las actividades que permitan cumplir con su objetivo.
   
   El organigrama que se implemente, debe comprender a todas sus gerencias, jefaturas, agencias y dependencias, incluyendo el holding de sus empresas y ser difundido entre su personal y comunicado a la Superintendencia de Seguridad Social. Dicho organigrama deberá señalar los roles y responsabilidades de todas sus gerencias y jefaturas, así como la dependencia de ellas.

4. Competencia profesional del personal
   
   El sistema de control interno operará más eficientemente en la medida que exista personal competente a cargo de las operaciones. La competencia profesional para un cargo debe reflejar el conocimiento y las habilidades necesarias para realizar las tareas propias del mismo, incluidas aquellas actividades de control insertas en ellas.
   
   De esta forma, la administración superior de la mutualidad debe especificar los niveles de competencia para los distintos cargos, precisando los requisitos de conocimiento y habilidades para poder desempeñarlos.

5. Prácticas de recursos humanos
   
   Las mutualidades deben desarrollar políticas de administración de recursos humanos que consideren los niveles esperados de integridad, comportamiento ético, capacidades y conocimientos de los trabajadores, en los siguientes ámbitos:

   1. Contratación: estableciendo requisitos adecuados de conocimientos, experiencia e integridad, previstos en las respectivas cláusulas contractuales, en que se especifiquen suficientemente las obligaciones a que se encuentran sujetos los trabajadores en esta materia y la aplicación de sanciones frente a su inobservancia.

   2. Inducción: esto es, presentaciones acerca de la historia, cultura y procedimientos de la empresa, contemplando además los niveles de integridad, comportamiento ético, capacidad y conocimientos que le son exigibles a los trabajadores entrantes.

   3. Capacitación: es decir, en las capacitaciones que se efectúen a los trabajadores para desempeñar sus funciones, se deberán contemplar los niveles anteriormente aludidos.

   4. Promoción y compensaciones: en los procesos formales de evaluación de desempeño laboral, se deben considerar, igualmente, los niveles ya citados.

   5. Sanciones y despidos: esto es, que cuando se adopten sanciones o medidas disciplinarias o despidos respecto de los trabajadores, se deberá tener presente, entre otros aspectos, el cumplimiento de los niveles antes citados.

6. Mecanismos de incentivos
   
   La gerencia general debe velar porque los incentivos sobre desempeño del personal que se establezcan, no supongan conductas o prácticas fraudulentas o que incidan en conflictos de interés.
   
   La gerencia general deberá revisar periódicamente los planes de incentivos de todo el personal y determinar si los controles existentes son suficientes como para garantizar que no ocurran las conductas y prácticas precedentemente aludidas. Del mismo modo, el directorio deberá revisar periódicamente los planes de incentivos aplicables a la alta gerencia.

Corresponde tanto al directorio como a la administración superior de la mutualidad identificar y cuantificar la magnitud de cada uno de los riesgos a los que ésta se enfrenta, proyectando su probabilidad o frecuencia de ocurrencia y la magnitud de su impacto patrimonial, con el fin de adoptar las medidas de mitigación que correspondan.

La administración superior de la mutualidad deberá identificar y evaluar los riesgos en cuestión, contrastándolos con los límites autorizados por el directorio en su política de riesgos.

En caso que se identifiquen riesgos que excedan los límites definidos por el directorio, junto con informar a éste de dicha situación, se deberán llevar a cabo actividades de mitigación, definiendo acciones, plazos y responsables y efectuándose un monitoreo periódico del avance de las mismas.

Sin perjuicio de lo anterior, todo nuevo proyecto significativo para la mutualidad deberá ser objeto de un análisis y evaluación de riesgos desde su fase inicial, lo que deberá ser debidamente comunicado al directorio.

La mutualidad debe contar con una instancia de administración de riesgos, responsable del cumplimiento de todas las actividades precedentemente aludidas. Entre las labores que debe cumplir esta instancia, deberá contemplarse la de implementar instancias formales de identificación y evaluación de los riesgos, que permitan hacer el seguimiento de las actividades de mitigación adoptadas, y de mantener informada a la administración y al directorio, de acuerdo con las instrucciones que imparta la Superintendencia de Seguridad Social.

Una vez identificados y tratados los riesgos a nivel de la organización como un todo, debe practicarse similar procedimiento a nivel de todo proceso administrativo y operacional relevante relacionado con los objetivos del control interno (operacionales, de información financiera y de cumplimiento) de la mutualidad, con el fin de identificar los riesgos inherentes a cada uno de dichos procesos y establecer la necesidad de incorporar actividades de control para mitigar los riesgos inaceptables. El alcance de este procedimiento (qué procesos administrativos y operacionales abarca) debe ser definido por la gerencia general y ser aprobado por el Directorio.

Para cada uno de estos procesos se debe documentar, según la profundidad que amerite el caso, la descripción del proceso (incluyendo sus subprocesos) en sus diversas etapas, identificando con precisión su inicio y su fin, los cargos involucrados en el proceso, las entradas y las salidas, las interfaces y aplicaciones informáticas involucradas, los proveedores externos involucrados, los puntos de control establecidos, las métricas de medición de desempeño, y los responsables de cada uno de dichos procesos.

Esta evaluación debe actualizarse al menos una vez al año, de modo de permitir que se lleven a cabo nuevas actividades de control, ya sea por cambios en los procesos o por nuevos riesgos sobrevinientes sobre los mismos procesos, considerando, especialmente, el historial de problemas, errores o irregularidades que se hayan detectado desde la última revisión.

De la evaluación antes aludida, deberá dejarse una evidencia formal, con la aprobación de los responsables de los procesos.

Las mutualidades deberán llevar a cabo actividades de control que les permitan asegurar el cumplimiento de las directrices administrativas de control de los riesgos y adoptar las acciones mitigadoras que se estimen necesarias.

Respecto de lo anteriormente expuesto, cabe señalar que cada actividad de control se deberá diseñar con el fin de cumplir con un objetivo de control específico. En la letra a) siguiente se detallan algunos ejemplos de objetivos de control.

Por otra parte, las actividades de control se deben realizar en todos los niveles jerárquicos de las mutualidades y en todas aquellas funciones que conlleven un riesgo. En la letra b) se detallan algunas actividades de control.

1. Ejemplos de objetivos de control
   1. Existencia/Validación: sólo transacciones válidas y debidamente autorizadas son procesadas.
   2. Ocurrencia: sólo las transacciones que ocurrieron en un determinado período son procesadas (cortes documentales).
   3. Integridad: todas las transacciones que deben ser procesadas lo son.
   4. Validación de cálculos: los saldos se valúan con procedimientos adecuados y los cálculos están correctos.
   5. Activos y pasivos: la entidad tiene derechos efectivos sobre los activos, y los pasivos que representan adecuadamente las obligaciones de la entidad.
   6. Clasificación y presentación: los componentes de los estados financieros son apropiadamente clasificados.
   7. Razonabilidad: los resultados y/o saldos aparecen como razonables en relación al resto de la información y las tendencias históricas.
2. ​Ejemplos de actividades de control
   1. Segregación de tareas y responsabilidades
      
      Las tareas y responsabilidades esenciales relativas a la autorización, ejecución, registro, custodia y revisión de las transacciones y operaciones de la mutualidad deben ser asignadas a personas diferentes.
   2. Registro oportuno y adecuado de las transacciones y operaciones
      
      Las transacciones y operaciones que afectan a una mutualidad deben registrarse inmediatamente y ser debidamente clasificadas.
   3. Requerimiento de respaldos contables y su disponibilidad
      
      Los registros contables deben quedar respaldados con la documentación de soporte respectiva. Esta documentación tiene que quedar adecuadamente disponible para permitir y facilitar las revisiones internas y externas, incluida la revisión de la Superintendencia de Seguridad Social. El acceso a estos respaldos no debe depender de la presencia o ausencia de las personas.
   4. Niveles definidos de autorización
      
      Los actos y transacciones relevantes sólo pueden ser autorizados y ejecutados por funcionarios y trabajadores que actúen dentro del ámbito de su autoridad. La conformidad de las autorizaciones y poderes deben estar en línea con la dirección, la misión, estrategia, planes, programas y presupuesto de la mutualidad.
      
      Las autorizaciones y poderes otorgados en la mutualidad deben encontrarse documentados formalmente y ser comunicados explícitamente tanto al directorio como a las personas o sectores autorizados. Estos últimos deberán ejecutar las tareas que se les han asignado, de acuerdo con las directrices, y dentro del ámbito de competencias establecidas por la normativa existente.
   5. Acceso restringido a los recursos, activos y registros
      
      La mutualidad debe proteger y limitar el acceso a los recursos, activos, registros y comprobantes. Las personas autorizadas deben estar obligadas a rendir cuenta de su custodia y utilización.
      
      Todo activo de valor debe ser asignado a un responsable de su custodia y, por otra parte, es responsabilidad de la administración superior velar porque se cuente con adecuadas protecciones, mediante el uso de seguros, almacenaje, sistemas de alarma, claves de acceso, sistemas de respaldo, etc., según sea aplicable.
      
      Los activos deben estar debidamente registrados y periódicamente, pero sin previo aviso, se deben cotejar las existencias físicas con los registros contables para verificar su coincidencia. La frecuencia de la comparación debe ser definida por la dirección dependiendo del nivel de vulnerabilidad del activo.
   6. Rotación del personal en determinadas funciones
      
      Ningún trabajador debiera tener a su cargo durante un tiempo prolongado tareas críticas que presenten un alto potencial de llegar a cometer irregularidades. Los trabajadores a cargo de dichas tareas debieran periódicamente abocarse a otras funciones. La administración superior de la mutualidad debe velar por establecer medidas mitigadoras suficientes cuando lo anterior no pueda cumplirse.
   7. Revisiones gerenciales
      
      La gerencia general de la mutualidad debe controlar periódicamente el desempeño de las diversas áreas por la vía de indicadores de desempeño de las operaciones, los que deben desarrollarse para todas las áreas de riesgo.
      
      Asimismo, el directorio debe controlar el rendimiento comparado, entre otros, con los planes, presupuestos, el resultado de años anteriores, los resultados de los competidores y del mercado como un todo.
   8. Control de los sistemas de información
      
      Los controles a los sistemas de información deberán, en primer lugar, estar referidos a los controles generales, esto es, controles sobre las operaciones de centro de procesamiento de datos y su seguridad física, sobre contratación y mantenimiento del hardware y software, sobre controles de acceso físico y lógico, y controles sobre desarrollo y mantenimiento de las aplicaciones. Se encuentran dentro de esta categoría los procesos de respaldo de datos y recuperación de caídas. Estos controles aplican a todos los sistemas, sistemas principales, redes de comunicación y computadores personales.
      
      También pueden considerarse controles de aplicación en los procesos que conlleven riesgos significativos, contribuyendo con ello al aseguramiento de la integridad y exactitud de tales procesos, prestando especial atención a las interfaces entre aplicaciones.
      
      Los controles de aplicación se deben extender también a las aplicaciones de usuarios finales relacionadas eventualmente a riesgos en los ámbitos de control interno.

La mutualidad debe disponer de una corriente fluida y oportuna de información relativa a los acontecimientos internos y externos, que permita a sus funcionarios cumplir con sus obligaciones y responsabilidades. La información pertinente debe identificarse previamente, para poder luego capturarse y comunicarse en forma y tiempo, de modo de permitir que los trabajadores cumplan con sus labores, haciéndolos responsables de sus operaciones. La información debe ser de calidad apropiada, tanto en relevancia y exactitud, como en cuanto a su oportunidad y actualidad. Además, dicha información deberá estar contenida en un manual confeccionado al efecto.

La mutualidad debe asegurar una comunicación efectiva de la información precedentemente aludida. Esta comunicación debe llevarse a cabo en un sentido amplio, fluyendo hacia todos los niveles de la organización. Para que esta información fluya adecuadamente hacia los niveles superiores, incluido el directorio, la mutualidad debe establecer canales efectivos de comunicación, que permitan que ésta fluya en casos excepcionales donde los canales tradicionales no son funcionales, cualquiera sea la razón.

El directorio debe velar para que todo el personal reciba un claro mensaje por parte de la administración superior respecto a que las responsabilidades de control deben asumirse cabalmente.

La mutualidad debe asegurarse que el sistema de control interno continúe operando efectivamente, y que las deficiencias detectadas sean informadas tanto a la gerencia como al directorio. Esta labor es esencial dentro de la función de control interno.

La administración superior debe asegurarse que el monitoreo del sistema de control interno se aplique a todas las actividades relevantes al interior de la mutualidad, incluidas las actividades de contratistas externos, debiendo tomar las medidas pertinentes para que esta supervisión se realice sobre una base de controles continuos y no esporádicos.

Se debe tener en cuenta la opinión de los auditores internos y externos. Estos últimos deberán proporcionar información sobre la carencia de control interno así como sobre la manera en que los controles internos están funcionando y pueden ser mejorados.

La estructura de control interno, esto es, los organigramas funcionales, la descripción de funciones, los manuales de operaciones, procedimientos y controles, deben estar documentados en forma clara y disponibles para el personal encargado de las respectivas operaciones. Tal documentación debe estar también disponible para la Superintendencia de Seguridad Social.

Los procesos a seguir en las rutinas administrativas deben estar descritos en manuales de procedimientos. Además, debe identificarse a los responsables de las decisiones y tareas asumidas en los procesos que se describan.

Los manuales deberán ser coherentes con la normativa vigente y con las estrategias y las políticas internas de las mutualidades, además de observar los principios de control interno, como la definición de los niveles jerárquicos, las responsabilidades de las personas que intervienen en el proceso o subproceso tratado y la segregación de funciones.

Los manuales deberán ser dados a conocer y estar disponibles para todos los implicados, y deberán ser objeto de actualización permanente. Se deberá, además, obtener confirmación de la recepción por parte de los destinatarios, incluidos los trabajadores que se van integrando a la mutualidad.

La mutualidad deberá tener manuales de procedimientos adecuados y actualizados, elaborados por la gerencia general y aprobados por el directorio. En su elaboración, se deberán contemplar, al menos, los ciclos operativos que se indican a continuación:

1. Cobranzas, incluido el manejo del incobrable (sea directo o derivado de asesorías externas), y sus respectivas imputaciones contables, conforme a la normativa vigente.

2. Políticas y procedimientos de inversiones, responsabilidades y niveles de autoridad, diversificación, valorización, gravámenes, cumplimiento de las restricciones de las políticas y procedimientos definidos por la mutualidad, conciliaciones, entre otros.

3. Otorgamiento de prestaciones económicas, médicas y otros beneficios

4. Reservas técnicas, conformación de las bases de datos, procesos de consulta a esas bases, determinación de parámetros externos (tablas biométricas, tasas de descuento, inflación de gastos), cálculos actuariales, registro contable, presentación en los estados financieros, etc.

   1. Reserva por pago de pensiones e indemnizaciones por:

      • Casos con resolución.
      • Casos sin resolución final.
      • Accidentes y enfermedades ocurridos y no informados a la mutualidad.
   2. Reservas de subsidios por pagar por:
      • Casos con indicación de reposo médico.
      • Casos que aún no cuentan con indicación de reposo médico.
      • Accidentes y enfermedades ocurridos y no informados a la mutualidad.
   3. Reserva por prestaciones médicas
      • Gastos médicos futuros por accidentes y enfermedades de trabajadores con resolución final emitida por la comisión evaluadora de incapacidad de accidentes del trabajo de la respectiva mutualidad (CEIAT) o la COMPIN, a la fecha de cálculo de la reserva.
      • Gastos médicos futuros por accidentes y enfermedades informados a la mutualidad, de trabajadores sin resolución final a la fecha de cálculo de la reserva.
      • Gastos médicos por accidentes y enfermedades ocurridos a los trabajadores y no informados a la mutualidad.
5. Cuidado, seguridad y protección de bienes, archivos y otro tipo de información clave.
6. Recepción de demandas judiciales y juicios (registro, valuación y control), etcétera.

Los manuales de procedimientos deberán incluir las actividades de control insertas en los procesos.

Los manuales de procedimiento mínimos anteriores deberán ser objeto de una evaluación anual formal de su vigencia por parte de los respectivos dueños de proceso, con el fin de confirmar que están actualizados y describan el proceso vigente.

La reevaluación periódica de los riesgos inherentes a estos procesos, con el fin de examinar la efectividad de los controles, debe ser llevada, al menos, una vez al año, en la forma indicada en el número 6. anterior.

La mutualidad deberá poseer una unidad de auditoría interna de naturaleza y alcance apropiado para sus operaciones. Esto incluye asegurar el cumplimiento de todas las políticas y procedimientos aplicables, así como revisar si sus políticas, prácticas y controles siguen siendo suficientes y apropiados. Los resultados obtenidos por la unidad de auditoría interna deben ser reportados directamente al directorio.

La constitución de la unidad de auditoría interna es de responsabilidad del directorio y su dependencia, evaluación de desempeño, nombramiento de profesional responsable, remuneración, entre otros, deben ser temas privativos del directorio.

La unidad de auditoría interna debe establecer su plan anual de auditoría y ejecutarlo en forma objetiva e independiente de las funciones operacionales. Para asegurar su independencia, la unidad de auditoría interna no debe realizar otras funciones operativas en la mutualidad o con entidades que prestan servicios a ésta, evitándose, de este modo, conflictos de interés.

El directorio deberá asegurar que la unidad de auditoría interna posea:

1. Acceso irrestricto a todos los departamentos o áreas principales, funcionales y de apoyo de la mutualidad, incluyendo a las funciones contratadas con proveedores externos.

2. Independencia apropiada, incluyendo las líneas de reporte hacia el directorio.

3. Un nivel tal, dentro de la mutualidad, que garantice que la alta gerencia reaccione y actúe en base a sus recomendaciones.

4. Recursos y personal suficiente y apropiadamente capacitado, con la experiencia necesaria para entender y evaluar el negocio que están auditando.

5. Una metodología que identifique los principales riesgos incurridos por la institución para asignar sus recursos de conformidad con ello.

Por último, la mutualidad debe poner los informes de auditoría interna a disposición de la Superintendencia de Seguridad Social cuando esta última así lo requiera.