Contenido principal
Superintendencia de Seguridad Social (SUSESO) - Gobierno de Chile

Compendio de Normas del Seguro Social de Accidentes del Trabajo y Enfermedades Profesionales


CAPÍTULO III. Gestión de los riesgos de las mutualidades

LIBRO VII. ASPECTOS OPERACIONALES Y ADMINISTRATIVOS

TÍTULO IV. Gestión de riesgos financieros y operacionales

A. Sistema de gestión de riesgos

CAPÍTULO III. Gestión de los riesgos de las mutualidades

Gestión de los riesgos de las mutualidades

La gestión de los riesgos debe ser implementada y controlada por la gerencia general de la mutualidad, teniendo presente las responsabilidades del directorio, de los dueños de los procesos, de las unidades especializadas, de auditoría interna y, en general, del personal de la mutualidad, el cual debe conocer y participar activamente en la gestión de riesgos. La gestión de los riesgos se basa en las políticas de gestión de riesgos, componentes fundamentales que proporcionan las directrices del sistema de gestión.

CAPÍTULO III. Gestión de los riesgos de las mutualidades

1. Identificación de los riesgos más relevantes de la mutualidad

Identificación de los riesgos más relevantes de la mutualidad

Con el fin de asegurar que la planificación estratégica de la mutualidad y su gestión de riesgos estén alineados, se deben identificar dentro de los riesgos levantados, los principales riesgos estratégicos, es decir, aquellos riesgos relacionados directamente con el cumplimiento de los objetivos estratégicos de la mutualidad, los que deben considerar el adecuado cumplimiento con la administración y prestación del Seguro con foco en el beneficiario. Estos riesgos deben ser monitoreados mediante indicadores clave de riesgo (KRI) definidos por la mutualidad, los que deben estar disponibles para revisión de la Superintendencia de Seguridad Social.

2. Definición de una estrategia para gestionar los riesgos

Definición de una estrategia para gestionar los riesgos

Las mutualidades deben establecer una estrategia de gestión de sus riesgos, compuesta por las políticas, manuales, procedimientos y todos los elementos que conforman el sistema de gestión de riesgos. Esta estrategia debe establecer, entre otros, los objetivos generales buscados por la mutualidad, describir los elementos y procesos básicos de la gestión de los riesgos, describiendo los roles y responsabilidades de los distintos estamentos involucrados.

La gerencia general de la mutualidad es responsable de identificar y cuantificar la magnitud de cada uno de los riesgos a los que se enfrenta, proyectando su probabilidad o frecuencia de ocurrencia y la magnitud de su impacto, con el fin de determinar la necesidad de medidas mitigadoras tanto de las actividades en curso como de todo nuevo proyecto significativo.

Esta evaluación puede ser realizada con diversas técnicas, siendo responsabilidad de la gerencia general elegir modelos apropiados a la naturaleza y complejidad de las operaciones de la mutualidad, los que deben ser aprobados por el directorio. Los riesgos deben evaluarse por su potencial inherente antes de estar sometidos a controles. De otro modo, cabría la posibilidad de ignorar riesgos inherentes que, estando actualmente sometidos a controles efectivos, podrían dejar de estarlo en el futuro por cambios en el entorno.

Una vez identificados y evaluados los riesgos en la forma antes descrita, corresponde compararlos con los límites de riesgos determinados por el directorio de la mutualidad. Todo riesgo que excede los límites aceptados debe ser objeto de actividades de mitigación y control, debiendo efectuarse un monitoreo periódico del estado de avance de dichas actividades.

Como se ha indicado, la gestión de riesgos tiene por objeto identificar y evaluar la totalidad de los riesgos significativos a los que se enfrenta la mutualidad, establecer y monitorear las actividades de control de tales riesgos, e informar a todos los participantes los resultados de este proceso. Por lo tanto, la gestión de riesgos es un proceso continuo, en que los resultados sirven para redefinir los riesgos y mejorar los procesos de la misma gestión.

3. Roles y responsabilidades en la gestión de riesgos

Roles y responsabilidades en la gestión de riesgos

  1. Directorio

    El directorio es el responsable último de la gestión de riesgos. Si bien delega en la gerencia general su implementación adecuada y eficiente, el directorio tiene la responsabilidad final de la gestión de riesgos, y por lo tanto, debe determinar la estrategia general de gestión de riesgos de la entidad. Las funciones del Directorio, en esta materia, comprenden al menos las indicadas en la
    Letra B, Título I, de este Libro VII.

  2. Comité de riesgos

    El directorio, de modo de involucrarse activamente en la gestión de riesgos, debe conformar un comité de riesgos, el cual sesione periódicamente y se componga a lo menos por un director representante de las entidades empleadoras adherentes y un director representante de los trabajadores. Además, el comité podrá contar con la participación permanente de asesores externos y del responsable del área especializada en la gestión de riesgos, los cuales tendrán sólo derecho a voz, pudiendo ser excluidos de las deliberaciones en cualquier momento a petición de un director.

    Los asesores externos deben ser elegidos por los directores que integren el comité, debiendo quedar constancia de la elección en el acta respectiva. Por otra parte, los asesores externos deben suscribir un contrato de prestación de servicios donde se establezca claramente el contexto en el cual se genera la contratación, el objeto o finalidad de la prestación de servicios, los derechos y obligaciones de las partes, el valor pagado por la prestación y su periodicidad, la duración de la prestación, las condiciones de término del contrato, los mecanismos de solución de controversias, entre otros.

    El comité debe contar con un estatuto, aprobado por el directorio, el que debe ser remitido a la Superintendencia de Seguridad Social en el mes siguiente a haber adoptado el respectivo acuerdo, así como sus modificaciones posteriores. El estatuto debe establecer los objetivos, funciones, responsabilidades, frecuencia de reuniones y todos aquellos aspectos necesarios para su adecuada constitución y funcionamiento.

    Asimismo, todas las decisiones y aspectos relevantes que se traten en el comité deben quedar registrados de manera formal a través de un acta, donde quede constancia de los argumentos entregados por cada uno de los participantes respecto de las materias tratadas en cada sesión.

    Las funciones del comité de riesgos deben comprender al menos:

    1. Definir y proponer al directorio, la estrategia y las políticas de gestión de riesgos para la mutualidad.
    2. Conocer en detalle los niveles de exposición y los riesgos asumidos con base en la metodología aprobada por el directorio.
    3. Proponer al directorio los criterios de aceptación de los riesgos que se desean gestionar dentro de la mutualidad, de acuerdo con su ámbito de actividad, a los objetivos estratégicos y a la metodología de administración de riesgos establecida y aprobada.
    4. Informar al directorio de los resultados obtenidos por las diferentes gerencias responsables, en relación a los riesgos asumidos, considerando los informes de gestión y monitoreo de riesgos generados por el área especializada en la gestión de riesgos.
    5. Evaluar regularmente la efectividad general de las técnicas de administración e infraestructura tecnológica, para la gestión de riesgos, teniendo como base los informes presentados por el área especializada en la gestión de riesgos, por la unidad de auditoría interna y por los auditores externos.
    6. Aprobar los planes de capacitación propuestos por el área especializada en la gestión de riesgos, destinados a fortalecer los conocimientos en materia de riesgos al interior de la mutualidad.
    7. Asegurar que los criterios establecidos en las políticas de gestión de riesgos se consideren en la definición de nuevos proyectos y servicios.
  3. Gerencia general

    La gerencia general tiene como responsabilidad ejecutar de forma efectiva y eficiente el modelo de gestión de riesgos, todo ello dentro de las políticas, los manuales y los procedimientos previamente establecidos.

    Entre las responsabilidades del gerente general se encuentran:

    1. Asegurar la implementación y funcionamiento del sistema de gestión de riesgos en la mutualidad e informar periódicamente al directorio y al comité de riesgos, sobre los principales riesgos de la entidad y los planes de tratamiento adoptados.
    2. Informar a toda la organización, como también al público en general, los lineamientos principales de la gestión de riesgos, a través de la memoria institucional, los estados financieros, el sitio web institucional y de otros medios que estime convenientes.
    3. Asegurar que la regulación y opinión de auditores internos y externos, sean adoptadas adecuadamente.
  4. Áreas funcionales y de apoyo

    Las distintas áreas de la mutualidad (tomadoras de riesgos), deben involucrarse activamente en la gestión de los riesgos, siendo responsables del funcionamiento del sistema de gestión de riesgos dentro de su área. Para tal efecto deben contar con el asesoramiento del área especializada en la gestión de riesgos.

    Entre las responsabilidades de las distintas áreas funcionales y de apoyo se encuentran:

    1. Evaluar e informar, según corresponda, respecto al estado actual y exposición al riesgo, de acuerdo a las políticas y los manuales de riesgos definidos por la mutualidad, en conjunto con el área especializada en la gestión de riesgos.
    2. Velar que las directrices de las áreas sean consistentes con las políticas y los manuales de gestión de riesgos definidos por la mutualidad.
    3. Revisar y evaluar periódicamente los resultados obtenidos de la gestión de riesgos en relación a sus procesos y cambios en éstos.
    4. Validar los procesos de reporte e indicadores de riesgo dentro del área, en conjunto con el área especializada en la gestión de riesgos, así como también la información a reportar.
    5. Definir, evaluar e implementar los planes de mitigación realizados en conjunto con el área especializada en la gestión de riesgos, de acuerdo a las políticas y los manuales de gestión de riesgos definidos por la mutualidad.
    6. Prestar el apoyo necesario para la realización de las actividades relacionadas a la gestión de riesgos, en conjunto con el área especializada en la gestión de riesgos, que permitan a la mutualidad llevar a cabo una adecuada gestión de éstos.
    7. Proponer al comité de riesgos, en conjunto y a través del área especializada en la gestión de riesgos, el nivel de riesgo aceptable, para su aprobación y gestión.
  5. Área especializada en la gestión de riesgos

    Las mutualidades deben contar con un área especializada en la gestión de riesgos, la cual debe ser independiente de las áreas funcionales y de apoyo.

    El directorio debe asegurar que el área especializada en la gestión de riesgos, cuente con recursos suficientes para el pleno desarrollo de sus actividades, así como la independencia suficiente para la toma de decisiones.

    La gestión de riesgos debe estar a cargo de un profesional, con dependencia directa de la gerencia general, que pueda requerir a las distintas gerencias y unidades, la información necesaria para cumplir con su cometido y que pueda ejercer autoridad o influencia suficiente para detener u objetar operaciones riesgosas.

    Sin perjuicio que el área especializada en la gestión de riesgos dependa del gerente general, podrá reportar al comité de riesgos y al directorio. Por otra parte, la remoción del encargado de esta área, debe ser efectuada con la aprobación del directorio, informando las causas de la desvinculación a la Superintendencia de Seguridad Social, junto con el envío de la correspondiente acta de directorio, donde conste la remoción.

    Es importante que el profesional a cargo de la gestión de riesgos, posea dominio respecto a las actividades de la organización y sus procesos, que esté en pleno conocimiento de las políticas de gestión de riesgos dictadas por el directorio (incluido el apetito por riesgo), y que tenga la capacidad profesional para evaluar la importancia de los distintos riesgos de la entidad y juzgar los costos y beneficios de las actividades de control.

    Dicha área debe cumplir, entre otras funciones, con las siguientes:

    1. Proveer el apropiado marco de políticas para establecer los estándares mínimos de control interno dentro de los cuales la mutualidad debe administrar sus riesgos.
    2. Desarrollar, actualizar, proponer cambios y comunicar las estrategias, políticas, manuales, procedimientos y metodología de gestión de riesgos.
    3. Dar soporte técnico al directorio y a las demás áreas funcionales y de apoyo, en las distintas actividades necesarias para la implementación y ejecución de la metodología de gestión de riesgos.
    4. Conocer en detalle los niveles de exposición y los riesgos asumidos y validados por las distintas áreas funcionales y de apoyo, aplicando procesos de autoevaluación periódicos o cuando cambios importantes en los procesos lo ameriten.
    5. Mantener actualizada la información contenida en la base de eventos de riesgo Operacional, y apoyar en el reporte de los eventos registrados por las áreas funcionales y de apoyo.
    6. Monitorear y evaluar el impacto de los cambios en las normativas, regulaciones, leyes, procesos, y desarrollos de nuevos servicios que alteren el actual mapa de riesgos de la mutualidad.
    7. Solicitar, consolidar y monitorear permanentemente los indicadores definidos para los distintos riesgos establecidos en las políticas de gestión de riesgos, así como también los informes sobre la gestión de riesgos.
    8. Identificar las necesidades de capacitación y difusión que permitan una mejor gestión de riesgos.
    9. Informar, a lo menos cada seis meses, al directorio, al comité de riesgos, al comité de auditoría si corresponde, a la gerencia general y a los dueños de procesos, sobre el cumplimiento de las políticas y los manuales de gestión de riesgos definidos por la mutualidad, así como también respecto a los indicadores de riesgo definidos y los incidentes más significativos ocurridos. De la presentación que se efectúe, su discusión y aprobación, debe quedar constancia en las actas de sesión de directorio y comités correspondientes.

    Esta área puede delegar determinadas funciones de evaluación, tales como la realización de pruebas a los procedimientos y controles, en otras personas o entidades calificadas externas. No obstante, dicha área continúa siendo responsable de aquellas funciones, las que se deben efectuar bajo su supervisión.
  6. Auditoría interna

    La unidad de auditoría interna, con dependencia directa del directorio, debe evaluar el cumplimiento de los procedimientos utilizados para la gestión de cada uno de los riesgos a los que se ve expuesta la mutualidad, de acuerdo a las exigencias contenidas en las presentes instrucciones.

    El rol de auditoría interna debe ser independiente del área encargada de la gestión de riesgos, debiendo para ello contar con los recursos necesarios, la independencia y la objetividad, permitiéndosele con ello entregar información relevante en la toma de decisiones al directorio, sobre la calidad de la gestión de riesgos que se realiza en la mutualidad.

    De manera específica, la unidad de auditoría interna debe realizar, entre otras, las siguientes actividades:

    1. Monitorear el cumplimiento de la metodología establecida para la implementación y funcionamiento del sistema de gestión de riesgos.
    2. Proveer una visión independiente de la efectividad del enfoque y la implementación de la metodología de gestión de riesgos.
    3. Verificar que la gestión de riesgos esté presente de manera transversal y correctamente integrada en el funcionamiento de la mutualidad.
    4. Validar el adecuado cumplimiento y seguimiento de los planes de mitigación de riesgos, además de los procedimientos para la revisión y actualización del sistema de gestión de riesgos.
    5. Validar los procedimientos de reportes de la información de gestión de riesgos generados para los distintos niveles de la organización.

La unidad de auditoría interna debe reportar directamente al directorio, al comité de riesgos y al comité de auditoría, si corresponde, respecto de los resultados obtenidos de las actividades señaladas precedentemente.

4. Manuales de gestión de riesgos

Manuales de gestión de riesgos

Basándose en las políticas de gestión riesgos, las mutualidades deben establecer procesos formales y debidamente aprobados para implementar la gestión de riesgos que surjan de los procesos asociados a las actividades efectuadas por dichas entidades.

Tales procesos deben estar debidamente documentados en un manual de gestión de riesgos, para cada uno de los riesgos normados en las presentes instrucciones, el cual debe describir las etapas del proceso de gestión de riesgos, junto a los requerimientos de documentación y de informes resultantes.

Los manuales de gestión de riesgos, así como cualquier modificación, deben ser remitidos a la Superintendencia de Seguridad Social en un plazo no mayor a 5 días hábiles, contado desde el día siguiente a la celebración de la Sesión de directorio donde éste fue aprobado.

Los manuales de gestión de riesgos deben contemplar, a lo menos, los siguientes aspectos:

  1. Funciones y responsabilidades asociadas con la gestión de riesgos por parte del directorio, la gerencia general, el comité de riesgos, el área especializada en la gestión de riesgos, las áreas funcionales y de apoyo y auditoría interna.

  2. Área responsable de desarrollar, implementar e impulsar la gestión de riesgos en la entidad.

  3. Taxonomía o categorías de riesgo a abordar.

  4. Definición de apetito y tolerancia al riesgo.

  5. Marco del proceso de gestión de riesgos.

  6. Descripción del proceso de gestión de riesgos, acorde a metodologías y modelos que hayan sido aprobados por el directorio.

  7. Procedimientos de monitoreo de límites y acciones a seguir para que dichos límites se cumplan.

  8. Procedimientos de pruebas de estrés.

  9. El proceso para la aprobación de propuestas de nuevas operaciones o servicios, el cual debe contar, entre otros aspectos, con una descripción general de la nueva operación, producto o servicio que se trate, los riesgos identificados, las acciones a tomar para su control y una opinión fundada por parte del área responsable de la gestión de riesgos.

  10. El procedimiento general para el almacenamiento de los datos e informes de riesgos, el cual debe asegurar que la información que sirve de base en las metodologías de medición de riesgos, sea precisa, íntegra, oportuna y quede archivada. Toda modificación a dicha información debe quedar documentada, y además, debe contar con la explicación sobre su naturaleza y motivo que originó el cambio.

  11. El procedimiento de actualización de los manuales de gestión de riesgos, indicando la periodicidad e instancia de la revisión, debiendo quedar registro de ello.

5. Cultura sobre la gestión de riesgos

Cultura sobre la gestión de riesgos

Los funcionarios de la mutualidad deben conocer y dar cumplimiento cabal a las políticas de gestión de riesgos, debiendo existir evidencia de la toma de conocimiento de éstas. Lo anterior, se condice con la promoción a sus empleados de actividades de capacitación sobre gestión de riesgos, considerando las diferentes responsabilidades y roles que existen entre cada uno de ellos.

6. Pruebas de estrés

Pruebas de estrés

Las pruebas de estrés es un término que describe variadas técnicas que permiten la identificación de la vulnerabilidad de la mutualidad frente a cambios significativos excepcionales, pero posibles.

Estas pruebas están orientadas a medir la influencia de factores claves de riesgo en forma aislada, o unos pocos factores altamente correlacionados, sobre la exposición de riesgo de la entidad y su habilidad para mitigar riesgos, debido a cambios en los supuestos.

La elección de los escenarios de estrés depende de múltiples factores, incluyendo la relevancia de eventos históricos. Sin embargo, para estos ejercicios deben considerarse también eventos hipotéticos.

  1. Las pruebas de estrés deben realizarse por tipo de riesgo, según lo solicitado en estas instrucciones. Es importante destacar que las pruebas de estrés solicitadas deben contemplar los siguientes elementos:

    1. Descripción detallada de cada variable utilizada en los diferentes escenarios, indicando la relevancia en la medición del riesgo de la mutualidad.
    2. Identificación y descripción de la metodología utilizada (mediante eventos históricos, eventos definidos por la Superintendencia de Seguridad Social, eventos hipotéticos o una mezcla de éstos).
    3. Detallar la magnitud de aumentos o disminuciones de los valores de las variables estresadas y cuantificar su impacto. Específicamente, para el riesgo técnico se debe medir, al menos, el impacto en las reservas de pensiones, subsidios, indemnizaciones y prestaciones médicas. Para el riesgo de mercado, se debe cuantificar, al menos, el impacto en el excedente, en el patrimonio y en el descalce de activos y pasivos, según corresponda. Para el riesgo de liquidez, se debe medir, al menos, el impacto en las brechas de liquidez para cada una de las bandas temporales requeridas en estas instrucciones. Por último, para el riesgo de crédito se debe medir, al menos, el impacto en provisiones por este ítem.
    4. Conclusión de los resultados obtenidos para cada escenario, y las medidas de mitigación asociadas si corresponde.
  2. Asimismo, para la construcción de las pruebas de estrés las mutualidades deben almacenar toda la información relevante sobre el proceso de desarrollo, la cual debe ser lo suficientemente detallada como para permitir la replicación de todos los pasos, considerando los siguientes requisitos:

    1. Información histórica: Se debe recopilar la mayor cantidad de información histórica para la selección de los escenarios.
    2. Validación de la información: Es necesario realizar pruebas de consistencia en las bases de datos, completitud y calidad. Construir un indicador de "calidad" y reportes respecto de los ámbitos mencionados.
    3. Descripción de las variables utilizadas: Se deben detallar las variables utilizadas, ya sean continuas o categóricas, escala de medición, transformaciones, entre otras.
    4. Análisis exploratorio de las muestras o poblaciones: Se debe contemplar el análisis univariado (tablas de frecuencia, medidas de dispersión, histogramas, diagramas de caja, etc.) y multivariado (correlaciones entre variables, histogramas condicionados y otros).
    5. Justificación de la metodología utilizada.
    6. Documentación de resultados de metodologías estadísticas (si aplica).
    7. Uso de software y todos los modelos estimados incluyendo el modelo seleccionado (si aplica).

    Las pruebas de estrés deben contener la información del semestre correspondiente, las cuales deben ser remitidas a la Superintendencia de Seguridad Social hasta el último día del mes subsiguiente al cierre del 1º y 2º semestre, es decir agosto y febrero respectivamente, previa aprobación por parte del directorio de la mutualidad.