Contenido principal
Superintendencia de Seguridad Social (SUSESO) - Gobierno de Chile

Compendio de Normas del Seguro Social de Accidentes del Trabajo y Enfermedades Profesionales


CAPÍTULO V. Riesgo operacional

LIBRO VII. ASPECTOS OPERACIONALES Y ADMINISTRATIVOS

TÍTULO IV. Gestión de riesgos financieros y operacionales

B. Gestión específica de los riesgos

CAPÍTULO V. Riesgo operacional

Riesgo operacional

CAPÍTULO V. Riesgo operacional

1. Procesos sujetos a riesgo operacional en la mutualidad

Procesos sujetos a riesgo operacional en la mutualidad

Los riesgos operacionales deben ser identificados para poder ser gestionados; sin embargo, y a diferencia de otros riesgos, el riesgo operacional debe normalmente ser evaluado a nivel de unidades de negocio y procesos, con la activa participación del personal de las unidades correspondientes.

Para ello se debe contar con mapas de procesos, de entre los cuales se deben identificar aquellos procesos críticos con base en la definición de los objetivos estratégicos de la mutualidad, y en función de su nivel de riesgo inherente y residual evaluado.

La metodología de evaluación acerca de cuáles procesos son críticos es una decisión de la gerencia general de la mutualidad, que debe ser aprobada por el directorio. Sin perjuicio de ello, la mutualidad debe evaluar la totalidad de sus procesos con el fin de definir y evaluar mitigadores que minimicen sus riesgos.

Las mutualidades, en la gestión de los riesgos operacionales, deben tener en cuenta los siguientes macroprocesos:

  1. Prestaciones médicas

  2. Prestaciones económicas

  3. Prestaciones preventivas

  4. Reservas técnicas (conformación de las bases de datos, procesos de consulta a esas bases, determinación de parámetros externos, cálculos actuariales, registro contable, presentación en los estados financieros):

    1. Reserva por pago de prestaciones económicas

    2. Reserva por prestaciones médicas

  5. Inversiones

  6. Afiliación o adhesión

  7. Recaudación de cotizaciones

  8. Cobranzas, incluido el manejo del incobrable, y sus respectivas imputaciones contables

  9. Recepción de demandas judiciales y juicios

La mutualidad debe realizar una revaluación periódica de la efectividad de sus controles considerando la criticidad de los procesos relacionados. Para lo anterior, podrá utilizar matrices de priorización, las cuales deben considerar ciclos de revisión cuya extensión máxima sea de 36 meses, a excepción de los nuevos procesos y los clasificados como críticos, los cuales deben considerar ciclos de revisión cuya extensión máxima sea de 12 meses.

2. Actividades de gestión del riesgo operacional

Actividades de gestión del riesgo operacional

La mutualidad, junto con aplicar lo señalado en la Letra B, Título II, de este Libro VII, sobre sistema de control interno, debe implementar un sistema estructurado bajo el cual los riesgos operacionales sean identificados, analizados, evaluados, monitoreados y controlados, realizando al menos las siguientes actividades:

  1. El área especializada en la gestión de riesgos, debe identificar los macroprocesos, procesos y subprocesos en los que se descomponen las actividades efectuadas por la entidad, y sus interrelaciones con total cobertura de sus procesos, identificando a los respectivos dueños.

  2. Los dueños de procesos deben describir de manera precisa los macroprocesos, procesos y subprocesos, por medio de diagramas de flujos, matrices de riesgos u otros equivalentes.

  3. El área especializada en la gestión de riesgos en conjunto con el dueño de cada proceso, debe:

    1. Identificar y evaluar los diferentes riesgos y factores que influyen sobre éstos mediante un análisis combinado de riesgo inherente, impacto y probabilidad de materialización, considerando la efectividad de las actividades de control implementadas para mitigar dichos riesgos. A partir de ello, se debe estimar el riesgo residual. Esta evaluación se debe documentar en una matriz de riesgos y controles.

    2. Comparar el resultado de esta evaluación con el nivel de riesgo aceptado, definido en la política de gestión de riesgo operacional.

    3. Realizar, al menos una vez al año, revaluaciones de los riesgos de la entidad con el fin de asegurar la visión actualizada de los riesgos a los que se encuentra expuesta la entidad, así como la consideración de un correcto nivel de exposición al riesgo.

    4. Analizar las distintas opciones para el tratamiento de los riesgos, definidas en la política de gestión de riesgo operacional, preparando planes de acción para su tratamiento y definir la forma en que estos últimos se implementarán. Esta decisión se debe documentar en la matriz de riesgos y controles, la cual, en este ámbito, debe indicar para cada proceso o subproceso revisado, a lo menos lo siguiente, según corresponda:

      • Macro proceso, proceso y sub proceso al cual pertenece.
      • Descripción del evento de riesgo.
      • Identificación de las causas del riesgo.
      • Categoría de riesgo operacional.
      • Nivel de riesgo inherente, residual y efectividad de los controles existentes.
      • Descripción de controles y objetivos de control (para los controles existentes).
      • Descripción de la acción a tomar (para la implementación de planes de mitigación).
      • Responsable de la implementación de planes de mitigación.
      • Plazo y estado de la implementación de planes de mitigación.
      • Apoyo de otras áreas de la entidad para la implementación de planes de mitigación.
    5. Mantener actualizada y disponible en todo momento la documentación asociada.
  4. Las mutualidades deben monitorear de forma permanente sus principales riesgos, junto a la efectividad de las actividades de control implementadas.

    Los resultados del monitoreo deben ser informados periódicamente a los miembros del directorio, comité de riesgos, gerencia general y a los dueños de procesos si fuera el caso, a través de reportes periódicos. Para tales efectos, la mutualidad debe implementar indicadores para realizar el monitoreo sobre:
    • Los riesgos de la entidad y su evolución.
    • La evolución de los impactos asociados a los eventos de riesgo operacional.
    • Los factores de riesgo asociados.
    • La efectividad de medidas de control implementadas o existentes.

3. Generación de una base de eventos de riesgo operacional

Generación de una base de eventos de riesgo operacional

Las mutualidades deben contar con una base de datos de eventos de riesgo operacional, cuya información debe ser remitida mensualmente a la Superintendencia de Seguridad Social.

Se entenderá por materialización de eventos, a la concreción de aquellos eventos de riesgo operacional, que generen un impacto en la organización y afecten el adecuado cumplimiento de la administración y otorgamiento de las prestaciones del Seguro de la Ley Nº16.744. Este impacto, puede implicar o no, un perjuicio o desembolso monetario; sin embargo, independiente del tipo de perjuicio, se deben establecer metodologías adecuadas para la cuantificación de cada impacto del evento materializado.

Los eventos identificados susceptibles de incorporarse dentro de esta base, independiente de la naturaleza del riesgo operacional que lo originó, deben cumplir a lo menos una de estas condiciones:

  • Impidan el oportuno o adecuado otorgamiento de prestaciones médicas, económicas y preventivas, incluyendo la interrupción de las operaciones normales.

  • Se vean afectados 50 o más: trabajadores, empresas adherentes o pensionados.

  • Generen pérdidas económicas.

  • Se haya generado alarma pública o un potencial daño de imagen.

  • Eventos que hayan dado origen a acciones judiciales, tanto en contra, como por parte de la mutualidad.

  1. Registros de información de eventos

    Se debe considerar que un evento puede tener como efecto uno o más impactos y que podrían existir recuperaciones directas o indirectas sobre las mismas, por lo cual las mutualidades deben registrar todos los impactos ocurridos bajo un mismo código de evento.

    La Base de Eventos de Riesgo Operacional debe cumplir con los siguientes criterios:

    1. Deben registrarse los eventos originados en la mutualidad, para lo cual la entidad debe contar con procedimientos de captura, identificación y asignación de roles y responsabilidades y entrenamiento al personal que interviene en el proceso, los que deben estar debidamente documentados.

    2. Deben registrarse los eventos y los respectivos impactos de riesgo operacional, sean o no monetarios, y las eventuales recuperaciones, tanto directas (ejemplo: gestión propia) como indirectas (ejemplo: seguros), asociadas al evento. Para el caso de eventos cuyos impactos no sean monetarios, se deberá cuantificar un monto bruto del impacto mediante metodologías construidas por la mutualidad para estos efectos.

    3. Debe adelantarse, en lo posible, el reconocimiento y registro por parte de la mutualidad sobre aquellos eventos que se tiene conocimiento o certeza razonable que acabarán generando pérdidas por riesgo operacional en la entidad. Esto incluye a los eventos provisionados.

    4. Debe registrarse, como mínimo, la siguiente información referida al evento, a los impactos y a las recuperaciones:

      • Evento:
        Código único de identificación del evento.
        Línea(s) de negocio(s) asociada(s) al evento.
        Tipo o categoría del evento, según tipos de eventos señalados en el Anexo Nº18 "Tipo de eventos de riesgo operacional".
        Fecha de ocurrencia del evento o de inicio del evento.
        Fecha de detección o toma de conciencia del evento.
        Descripción del evento.

        Estatus de finalización o cierre del evento.
      • Impacto:
        Código único de identificación del impacto.
        Monto bruto del impacto.
        Línea de negocio asociada al impacto, según lo señalado en el Anexo N° 19 "Líneas de negocio genéricas para mutualidades".
        Indicador de tipo de impacto (monetario / no monetario).

        Descripción del impacto.
        Fecha contable del impacto.
        Cuenta contable.
      • Recuperación:
        Código único de identificación de la recuperación.
        Tipo de recuperación (directa o indirecta).
        Descripción de la recuperación.
        Monto bruto de la recuperación.
        Fecha recuperación.
        Fecha contable de la recuperación.
        Cuenta contable de la recuperación.
  2. Conciliación contable

    Tratándose de eventos con impacto monetario, la mutualidad debe establecer y ejecutar procedimientos robustos que le permitan asegurar la conciliación de la información registrada en la base de eventos de riesgo operacional con el registro contable, y que la información de pérdidas por riesgo operacional reflejada en la contabilidad se encuentre debidamente registrada en la base de eventos de riesgo operacional.

    Dichos procedimientos de conciliación deben encontrarse formalizados y validados.

    La mutualidad debe mantener un registro de las pruebas periódicas realizadas sobre la conciliación, así como los resultados obtenidos y las acciones mitigantes o correctoras desarrolladas.

  3. Pruebas de calidad de datos

    La mutualidad debe desarrollar de forma mensual, pruebas específicas que le permitan asegurar la calidad de los datos registrados en la base de eventos de riesgo operacional, incluyendo la razonabilidad de montos y fechas, así como la concentración o distribución de eventos.

    Los procedimientos y el detalle de las pruebas deben estar formalizados en documentos validados.

    La mutualidad debe mantener un registro de las pruebas periódicas realizadas sobre la calidad de los datos de la base de eventos de riesgo operacional, así como los resultados obtenidos y las acciones mitigantes o correctoras desarrolladas.

4. Planes de contingencia para asegurar capacidad operativa continua de la mutualidad

Planes de contingencia para asegurar capacidad operativa continua de la mutualidad

Como parte de una adecuada gestión del riesgo operacional, las mutualidades deben poseer un sistema de gestión de la continuidad operacional que tiene como objetivo implementar respuestas efectivas para que la operatividad de la mutualidad continúe de una manera razonable, ante la ocurrencia de eventos que pueden crear una interrupción o inestabilidad en las operaciones de la entidad. El plan debe considerar tanto aquellos procesos de soporte y operacionales que desarrolle de forma interna la entidad, como aquellos que se encuentren externalizados en proveedores de servicios. La definición de cuáles son los procesos afectos a estos planes deberá considerar su criticidad y su impacto en la continuidad de las operaciones, con foco en el otorgamiento de las distintas prestaciones a los beneficiarios. Los planes de contingencia deben ser aprobados por el comité de riesgos.

Las mutualidades deben realizar de forma periódica, pruebas sobre la efectividad de los planes de continuidad operacional a nivel de la entidad. El plan de dichas pruebas debe quedar documentado, así como los resultados obtenidos y las posibles medidas correctoras identificadas.

Asimismo, las mutualidades deben contar con un sistema de gestión de la seguridad de la información, orientado a garantizar la integridad, confidencialidad y disponibilidad de la información. En el diseño del sistema de seguridad de la información debe tener en cuenta qué hay que proteger y por qué, de qué o quién se debe proteger y cómo protegerlo.

Además, las mutualidades pueden adherir a alguno de los estándares conocidos y aceptados de seguridad de la información, de acuerdo al nivel, complejidad y particularidades de las operaciones de cada mutualidad.

5. Política de actividades externalizadas

Política de actividades externalizadas

Con el fin de gestionar los riesgos operacionales asociados a la subcontratación, las mutualidades deben establecer una política para evaluar, administrar y monitorear los procesos subcontratados, siendo la mutualidad la responsable última de dichos procesos. Dicha política debe considerar:

  1. La evaluación del riesgo, que considere a todas las partes involucradas, previa decisión de externalización. Dicha evaluación debe considerar criterios tales como: los montos pagados, el volumen de transacciones y la frecuencia de trato con el proveedor del servicio.

  2. El proceso de selección del proveedor del servicio.

  3. La elaboración del acuerdo de subcontratación.

  4. La gestión y monitoreo de los riesgos asociados con el acuerdo de subcontratación.

  5. La identificación de la criticidad del proveedor.

  6. La implementación de un entorno de control efectivo.

  7. Establecimiento de planes de continuidad operacional, así como sus pruebas periódicas y reporte de resultados.

  8. Acceso a la información por parte del regulador.

  9. Procedimientos de revisión y actualización de la política de actividades externalizadas, indicando la periodicidad e instancia de la revisión. Estas revisiones debes ser realizadas con un periodicidad de a lo menos una vez al año, debiendo quedar registro de ello.

Los acuerdos de subcontratación deben formalizarse mediante contratos firmados entre las partes, teniendo presente el acuerdo del nivel de servicio, las cláusulas de penalizaciones, garantías y las responsabilidades del proveedor y de la mutualidad, así como establecer los mecanismos de control y seguimiento que se consideren necesarios.

La política de actividades externalizadas, así como cualquier modificación, debe ser remitida a la Superintendencia de Seguridad Social en un plazo no mayor a 5 días hábiles, contado desde el día siguiente a la celebración de la Sesión de directorio donde ésta fue aprobada.

6. Requerimientos de información

Requerimientos de información

Los requerimientos de información contenidos en este Título, relativos a información periódica que a las mutualidades corresponde remitir, deberán considerar las instrucciones, especificaciones y medios de transmisión que ésta Superintendencia de Seguridad Social establezca en cada caso.