Con el fin de asegurar que la planificación estratégica de la mutualidad y su gestión de riesgos estén alineados, se deben identificar dentro de los riesgos levantados, los principales riesgos estratégicos, es decir, aquellos riesgos relacionados directamente con el cumplimiento de los objetivos estratégicos de la mutualidad, los que deben considerar el adecuado cumplimiento con la administración y prestación del Seguro con foco en el beneficiario. Estos riesgos deben ser monitoreados mediante indicadores clave de riesgo (KRI) definidos por la mutualidad, los que deben estar disponibles para revisión de la Superintendencia de Seguridad Social.

Las mutualidades deberán establecer una estrategia de gestión de sus riesgos, compuesta por las políticas, manuales, procedimientos y todos los elementos que conforman el sistema de gestión de riesgos. Esta estrategia debe establecer, entre otros, los objetivos generales buscados por la mutualidad, describir los elementos y procesos básicos de la gestión de los riesgos, describiendo los roles y responsabilidades de los distintos estamentos involucrados.

Se deberá identificar y cuantificar la magnitud de cada uno de los riesgos a los que se enfrenta la mutualidad, proyectando su probabilidad o frecuencia de ocurrencia y la magnitud de su impacto, con el fin de determinar la necesidad de medidas mitigadoras tanto de las actividades en curso como de todo nuevo proyecto significativo.

Esta evaluación puede ser realizada con diversas técnicas, siendo una buena práctica que la gerencia general tenga la responsabilidad de elegir modelos apropiados a la naturaleza y complejidad de las operaciones de la mutualidad, y que sean aprobados por el directorio. Los riesgos deberán evaluarse por su potencial inherente antes de estar sometidos a controles. De otro modo, cabría la posibilidad de ignorar riesgos inherentes que, estando actualmente sometidos a controles efectivos, podrían dejar de estarlo en el futuro por cambios en el entorno.

Una vez identificados y evaluados los riesgos en la forma antes descrita, corresponde compararlos con los límites de riesgos determinados por el directorio de la mutualidad. Todo riesgo que excede los límites aceptados deberá ser objeto de actividades de mitigación y control, debiendo efectuarse un monitoreo periódico del estado de avance de dichas actividades.

Como se ha indicado, la gestión de riesgos tiene por objeto identificar y evaluar la totalidad de los riesgos significativos a los que se enfrenta la mutualidad, establecer y monitorear las actividades de control de tales riesgos, e informar a todos los participantes los resultados de este proceso. Por lo tanto, la gestión de riesgos es un proceso continuo, en que los resultados sirven para redefinir los riesgos y mejorar los procesos de la misma gestión.

1. Directorio
   
   Se considerará buena práctica que el directorio contemple entre sus funciones la responsabilidad de la gestión de riesgos y determinación de la estrategia general de gestión de riesgos de la entidad, pudiendo en todo caso delegar en la gerencia general su implementación adecuada y eficiente. Las funciones del Directorio, en esta materia, debieran comprenden al menos las recomendaciones indicadas en la Letra B, Título I, de este Libro VII.

2. Comité de riesgos
   
   Es recomendable que el directorio, de modo de involucrarse activamente en la gestión de riesgos, constituya un comité de riesgos, el cual sesione periódicamente y se componga a lo menos por un director representante de las entidades empleadoras adherentes y un director representante de los trabajadores, y que cuente con la participación permanente de asesores externos y del responsable del área especializada en la gestión de riesgos, con derecho a voz, pudiendo ser excluidos de las deliberaciones en cualquier momento a petición de un director.
   
   Se considerará buena práctica que los asesores externos sean elegidos por los directores que integren el comité, debiendo quedar constancia de la elección en el acta respectiva. Además, es recomendable que suscriban un contrato de prestación de servicios donde se establezca claramente el contexto en el cual se genera la contratación, el objeto o finalidad de la prestación de servicios, los derechos y obligaciones de las partes, el valor pagado por la prestación y su periodicidad, la duración de la prestación, las condiciones de término del contrato, los mecanismos de solución de controversias, entre otros.
   
   De igual modo, el estatuto del comité, aprobado por el directorio, debiese ser remitido a la Superintendencia de Seguridad Social en el mes siguiente a haber adoptado el respectivo acuerdo, así como sus modificaciones posteriores. El estatuto debe establecer los objetivos, funciones, responsabilidades, frecuencia de reuniones y todos aquellos aspectos necesarios para su adecuada constitución y funcionamiento.
   
   Asimismo, todas las decisiones y aspectos relevantes que se traten en el comité debiesen quedar registrados de manera formal a través de un acta, donde se deje constancia de los argumentos entregados por cada uno de los participantes respecto de las materias tratadas en cada sesión.
   
   Será buena práctica que las funciones del comité de riesgos comprendan al menos:

   1. Definir y proponer al directorio, la estrategia y las políticas de gestión de riesgos para la mutualidad.
   2. Conocer en detalle los niveles de exposición y los riesgos asumidos con base en la metodología aprobada por el directorio.
   3. Proponer al directorio los criterios de aceptación de los riesgos que se desean gestionar dentro de la mutualidad, de acuerdo con su ámbito de actividad, a los objetivos estratégicos y a la metodología de administración de riesgos establecida y aprobada.
   4. Informar al directorio de los resultados obtenidos por las diferentes gerencias responsables, en relación a los riesgos asumidos, considerando los informes de gestión y monitoreo de riesgos generados por el área especializada en la gestión de riesgos.
   5. Evaluar regularmente la efectividad general de las técnicas de administración e infraestructura tecnológica, para la gestión de riesgos, teniendo como base los informes presentados por el área especializada en la gestión de riesgos, por la unidad de auditoría interna y por los auditores externos.
   6. Aprobar los planes de capacitación propuestos por el área especializada en la gestión de riesgos, destinados a fortalecer los conocimientos en materia de riesgos al interior de la mutualidad.
   7. Asegurar que los criterios establecidos en las políticas de gestión de riesgos se consideren en la definición de nuevos proyectos y servicios.

3. Gerencia general
   
   Se considerará buena práctica que el directorio asigne a la gerencia general la responsabilidad de ejecutar en forma efectiva y eficiente el modelo de gestión de riesgos, todo ello de acuerdo con las políticas, los manuales y los procedimientos previamente establecidos.
   
   Entre las responsabilidades del gerente general se debiesen considerar las siguientes:

   1. Asegurar la implementación y funcionamiento del sistema de gestión de riesgos en la mutualidad e informar periódicamente al directorio y al comité de riesgos, sobre los principales riesgos de la entidad y los planes de tratamiento adoptados.
   2. Informar a toda la organización, como también al público en general, los lineamientos principales de la gestión de riesgos, a través de la memoria institucional, los estados financieros, el sitio web institucional y de otros medios que estime convenientes.
   3. Asegurar que las recomendaciones y opinión de auditores internos y externos, sean adoptadas adecuadamente.

4. Áreas funcionales y de apoyo
   
   Se considerará buena práctica que las distintas áreas de la mutualidad (tomadoras de riesgos), se involucren activamente en la gestión de los riesgos, siendo responsables del funcionamiento del sistema de gestión de riesgos dentro de su área. Para tal efecto contarán con el asesoramiento del área especializada en la gestión de riesgos.
   
   Es recomendable que las distintas áreas funcionales y de apoyo tengan entre sus funciones, las siguientes:

   1. Evaluar e informar, según corresponda, respecto al estado actual y exposición al riesgo, de acuerdo a las políticas y los manuales de riesgos definidos por la mutualidad, en conjunto con el área especializada en la gestión de riesgos.
   2. Velar que las directrices de las áreas sean consistentes con las políticas y los manuales de gestión de riesgos definidos por la mutualidad.
   3. Revisar y evaluar periódicamente los resultados obtenidos de la gestión de riesgos en relación a sus procesos y cambios en éstos.
   4. Validar los procesos de reporte e indicadores de riesgo dentro del área, en conjunto con el área especializada en la gestión de riesgos, así como también la información a reportar.
   5. Definir, evaluar e implementar los planes de mitigación realizados en conjunto con el área especializada en la gestión de riesgos, de acuerdo a las políticas y los manuales de gestión de riesgos definidos por la mutualidad.
   6. Prestar el apoyo necesario para la realización de las actividades relacionadas a la gestión de riesgos, en conjunto con el área especializada en la gestión de riesgos, que permitan a la mutualidad llevar a cabo una adecuada gestión de éstos.
   7. Proponer al comité de riesgos, en conjunto y a través del área especializada en la gestión de riesgos, el nivel de riesgo aceptable, para su aprobación y gestión.

5. Área especializada en la gestión de riesgos
   
   Se considerará buena práctica que las mutualidades cuenten con un área especializada en la gestión de riesgos, la cual debe ser independiente de las áreas funcionales y de apoyo, que disponga de recursos suficientes para el pleno desarrollo de sus actividades, y que goce de la autonomía necesaria para la toma de decisiones.
   
   Es recomendable que la gestión de riesgos esté a cargo de un profesional, con dependencia directa de la gerencia general, que pueda requerir a las distintas gerencias y unidades, la información necesaria para cumplir con su cometido y que pueda ejercer autoridad o influencia suficiente para detener u objetar operaciones riesgosas.
   
   Sin perjuicio que el área especializada en la gestión de riesgos dependa del gerente general, se estima necesario que dicha área reporte también al comité de riesgos y al directorio. Por otra parte, es recomendable que la contratación y remoción del encargado de esta área, se efectúe con la aprobación del directorio, lo que deberá ser informado a la Superintendencia de Seguridad Social, junto con el envío de la correspondiente acta de directorio, donde conste la contratación o remoción, y se indiquen, en este último caso, las causas de la desvinculación.
   
   Es importante que el profesional a cargo de la gestión de riesgos, posea dominio respecto a las actividades de la organización y sus procesos, que esté en pleno conocimiento de las políticas de gestión de riesgos (incluido el apetito por riesgo), y que tenga la capacidad profesional para evaluar la importancia de los distintos riesgos de la entidad y juzgar los costos y beneficios de las actividades de control.
   
   Es recomendable que dicha área tenga a cargo, entre otras funciones, las siguientes:

   1. Proveer el apropiado marco de políticas para establecer los estándares mínimos de control interno dentro de los cuales la mutualidad debe administrar sus riesgos.
   2. Desarrollar, actualizar, proponer cambios y comunicar las estrategias, políticas, manuales, procedimientos y metodología de gestión de riesgos.
   3. Dar soporte técnico al directorio y a las demás áreas funcionales y de apoyo, en las distintas actividades necesarias para la implementación y ejecución de la metodología de gestión de riesgos.
   4. Conocer en detalle los niveles de exposición y los riesgos asumidos y validados por las distintas áreas funcionales y de apoyo, aplicando procesos de autoevaluación periódicos o cuando cambios importantes en los procesos lo ameriten.
   5. Mantener actualizada la información contenida en la base de eventos de riesgo Operacional, y apoyar en el reporte de los eventos registrados por las áreas funcionales y de apoyo.
   6. Monitorear y evaluar el impacto de los cambios en las normativas, regulaciones, leyes, procesos, y desarrollos de nuevos servicios que alteren el actual mapa de riesgos de la mutualidad.
   7. Solicitar, consolidar y monitorear permanentemente los indicadores definidos para los distintos riesgos establecidos en las políticas de gestión de riesgos, así como también los informes sobre la gestión de riesgos.
   8. Identificar las necesidades de capacitación y difusión que permitan una mejor gestión de riesgos.
   9. Informar, a lo menos cada seis meses, al directorio, al comité de riesgos, al comité de auditoría si corresponde, a la gerencia general y a los dueños de procesos, sobre el cumplimiento de las políticas y los manuales de gestión de riesgos definidos por la mutualidad, así como también respecto a los indicadores de riesgo definidos y los incidentes más significativos ocurridos. De la presentación que se efectúe, su discusión y aprobación, debe quedar constancia en las actas de sesión de directorio y comités correspondientes.
   
   Se podrán delegar determinadas funciones de las indicadas precedentemente, tales como la realización de pruebas a los procedimientos y controles, en personas o entidades calificadas externas, bajo supervisión y responsabilidad de área especializada en la gestión de riesgos.

6. Auditoría interna
   
   La unidad de auditoría interna debe depender directamente del directorio, y tiene como función evaluar el cumplimiento de los procedimientos utilizados para la gestión de cada uno de los riesgos a los que se ve expuesta la mutualidad, de acuerdo a las exigencias contenidas en las presentes instrucciones.
   
   El rol de auditoría interna debe ser independiente del área encargada de la gestión de riesgos, debiendo a su vez contar con los recursos necesarios, la autonomía y la objetividad que le permitan entregar información relevante sobre la calidad de la gestión de riesgos que se realiza en la mutualidad, para la toma de decisiones del directorio.
   
   De manera específica, la unidad de auditoría interna debe realizar, entre otras, las siguientes actividades:

   1. Monitorear el cumplimiento de la metodología establecida para la implementación y funcionamiento del sistema de gestión de riesgos.
   2. Proveer una visión independiente de la efectividad del enfoque y la implementación de la metodología de gestión de riesgos.
   3. Verificar que la gestión de riesgos esté presente de manera transversal y correctamente integrada en el funcionamiento de la mutualidad.
   4. Validar el adecuado cumplimiento y seguimiento de los planes de mitigación de riesgos, además de los procedimientos para la revisión y actualización del sistema de gestión de riesgos.
   5. Validar los procedimientos de reportes de la información de gestión de riesgos generados para los distintos niveles de la organización.

La unidad de auditoría interna debe reportar directamente al directorio, al comité de riesgos y al comité de auditoría, si corresponde, respecto de los resultados obtenidos de las actividades señaladas precedentemente.

Basándose en las políticas de gestión riesgos, las mutualidades deben establecer procesos formales y debidamente aprobados para implementar la gestión de riesgos que surjan de los procesos asociados a las actividades efectuadas por dichas entidades.

Tales procesos deben estar debidamente documentados en un manual de gestión de riesgos, para cada uno de los riesgos normados en las presentes instrucciones, el cual debe describir las etapas del proceso de gestión de riesgos, junto a los requerimientos de documentación y de informes resultantes.

Los manuales de gestión de riesgos, así como cualquier modificación, deben ser remitidos a la Superintendencia de Seguridad Social en un plazo no mayor a 5 días hábiles, contado desde el día siguiente a su aprobación.

Los manuales de gestión de riesgos deben contemplar, a lo menos, los siguientes aspectos:

1. Funciones y responsabilidades asociadas con la gestión de riesgos por parte del directorio, la gerencia general, el comité de riesgos, el área especializada en la gestión de riesgos, las áreas funcionales y de apoyo y auditoría interna.

2. Área responsable de desarrollar, implementar e impulsar la gestión de riesgos en la entidad.

3. Taxonomía o categorías de riesgo a abordar.

4. Definición de apetito y tolerancia al riesgo.

5. Marco del proceso de gestión de riesgos.

6. Descripción del proceso de gestión de riesgos, acorde a metodologías y modelos que hayan sido aprobados por el directorio.

7. Procedimientos de monitoreo de límites y acciones a seguir para que dichos límites se cumplan.

8. Procedimientos de pruebas de estrés.

9. El proceso para la aprobación de propuestas de nuevas operaciones o servicios, el cual debe contar, entre otros aspectos, con una descripción general de la nueva operación, producto o servicio que se trate, los riesgos identificados, las acciones a tomar para su control y una opinión fundada por parte del área responsable de la gestión de riesgos.

10. El procedimiento general para el almacenamiento de los datos e informes de riesgos, el cual debe asegurar que la información que sirve de base en las metodologías de medición de riesgos, sea precisa, íntegra, oportuna y quede archivada. Toda modificación a dicha información debe quedar documentada, y además, debe contar con la explicación sobre su naturaleza y motivo que originó el cambio.

11. El procedimiento de actualización de los manuales de gestión de riesgos, indicando la periodicidad e instancia de la revisión, debiendo quedar registro de ello.

Los funcionarios de la mutualidad deben conocer y dar cumplimiento cabal a las políticas de gestión de riesgos, debiendo existir evidencia de la toma de conocimiento de éstas. Lo anterior, se condice con la promoción a sus empleados de actividades de capacitación sobre gestión de riesgos, considerando las diferentes responsabilidades y roles que existen entre cada uno de ellos.

Las pruebas de estrés es un término que describe variadas técnicas que permiten la identificación de la vulnerabilidad de la mutualidad frente a cambios significativos excepcionales, pero posibles.

Estas pruebas están orientadas a medir la influencia de factores claves de riesgo en forma aislada, o unos pocos factores altamente correlacionados, sobre la exposición de riesgo de la entidad y su habilidad para mitigar riesgos, debido a cambios en los supuestos.

La elección de los escenarios de estrés depende de múltiples factores, incluyendo la relevancia de eventos históricos. Sin embargo, para estos ejercicios deben considerarse también eventos hipotéticos:

1. Las pruebas de estrés deben realizarse por tipo de riesgo, según lo solicitado en estas instrucciones. Es importante destacar que las pruebas de estrés solicitadas deben contemplar los siguientes elementos:

   1. Descripción detallada de cada variable utilizada en los diferentes escenarios, indicando la relevancia en la medición del riesgo de la mutualidad.
   2. Identificación y descripción de la metodología utilizada (mediante eventos históricos, eventos definidos por la Superintendencia de Seguridad Social, eventos hipotéticos o una mezcla de éstos).
   3. Detallar la magnitud de aumentos o disminuciones de los valores de las variables estresadas y cuantificar su impacto. Específicamente, para el riesgo técnico se debe medir, al menos, el impacto en las reservas de pensiones, subsidios, indemnizaciones y prestaciones médicas. Para el riesgo de mercado, se debe cuantificar, al menos, el impacto en el excedente, en el patrimonio y en el descalce de activos y pasivos, según corresponda. Para el riesgo de liquidez, se debe medir, al menos, el impacto en las brechas de liquidez para cada una de las bandas temporales requeridas en estas instrucciones. Por último, para el riesgo de crédito se debe medir, al menos, el impacto en provisiones por este ítem.
   4. Conclusión de los resultados obtenidos para cada escenario, y las medidas de mitigación asociadas si corresponde.

2. Asimismo, para la construcción de las pruebas de estrés las mutualidades deben almacenar toda la información relevante sobre el proceso de desarrollo, la cual debe ser lo suficientemente detallada como para permitir la replicación de todos los pasos, considerando los siguientes requisitos:

   1. Información histórica: Se debe recopilar la mayor cantidad de información histórica para la selección de los escenarios.
   2. Validación de la información: Es necesario realizar pruebas de consistencia en las bases de datos, completitud y calidad. Construir un indicador de "calidad" y reportes respecto de los ámbitos mencionados.
   3. Descripción de las variables utilizadas: Se deben detallar las variables utilizadas, ya sean continuas o categóricas, escala de medición, transformaciones, entre otras.
   4. Análisis exploratorio de las muestras o poblaciones: Se debe contemplar el análisis univariado (tablas de frecuencia, medidas de dispersión, histogramas, diagramas de caja, etc.) y multivariado (correlaciones entre variables, histogramas condicionados y otros).
   5. Justificación de la metodología utilizada.
   6. Documentación de resultados de metodologías estadísticas (si aplica).
   7. Uso de software y todos los modelos estimados incluyendo el modelo seleccionado (si aplica).
   
   Las pruebas de estrés deben contener la información del semestre correspondiente, las cuales deben ser remitidas a la Superintendencia de Seguridad Social hasta el último día del mes subsiguiente al cierre del 1º y 2º semestre, es decir agosto y febrero respectivamente. Se considerará buena práctica que dichas pruebas de estrés sean aprobadas por el directorio de la mutualidad.