Los Operadores de LME deben contar con sistemas o procedimientos que permitan identificar, evaluar, monitorear y detectar, en el menor tiempo posible, aquellas operaciones con patrones de fraude, de modo de marcar o abortar actividades u operaciones potencialmente fraudulentas, para lo cual deben establecer y mantener, de acuerdo a la dinámica de los fraudes, patrones conocidos de estos y comportamientos que no estén asociados al cliente.

Estos sistemas o mecanismos deben permitir tener una vista integral y oportuna de las operaciones del profesional enrolado, de personas no enroladas (por ejemplo, en los intentos de acceso), de los puntos de acceso (por ejemplo, direcciones IP), de frecuencia de emisión, de control de sesiones únicas, de mecanismos que impidan utilización de robots o procesos automatizados que simulen acciones humanas. En concreto, los Operadores de LME deben hacer el seguimiento y correlacionar eventos y/o fraudes a objeto de detectar otros fraudes, puntos en que estos se cometen, manera en que se realizan estas operaciones, y puntos de compromisos, entre otros.

Asimismo, para reducir la probabilidad de materialización de riesgos debido a fraudes, los Operadores deben establecer un programa de gestión del riesgo de fraude, que comprenda las siguientes actividades:

1. ACTIVIDADES DE PREVENCIÓN
   
   Los operadores deben contar con una política de prevención de fraude, sujeta a un proceso de mejora permanente, debiendo incorporar una metodología de fortalecimiento del control interno y definir actividades de monitoreo que midan su aplicación y efectividad. La política debe establecer quién es el responsable de gestionar el riesgo de fraude en la entidad, las actividades de prevención, detección e investigación y respuesta del fraude y las responsabilidades que el personal de todos los niveles de la entidad debe tener respecto a la gestión del riesgo de fraude.
   
   ​Adicionalmente, los Operadores deben establecer instancias de gestión y monitoreo del riesgo de fraude, además de controles para prevenir, detectar y responder ante eventos de fraudes. De la misma manera, los Operadores deben asumir las siguientes responsabilidades en relación con la gestión del riesgo de fraude:

   1. Propiciar un ambiente laboral positivo, con el objetivo de evitar incentivos, presiones o motivaciones que puedan inducir a los empleados al fraude.

   2. Identificar riesgos de fraude, con el objetivo de establecer controles que permitan mitigarlos.

   3. Desarrollar una política y procedimiento de gestión de personas que contemple la contratación, inducción y finiquito de personal, con un enfoque alineado en la prevención del fraude.

   4. Implementar procedimientos y mecanismos para monitorear áreas de riesgo.

   5. Implementar un sistema de control interno robusto con el objetivo de evitar las oportunidades o condiciones que faciliten la comisión de fraudes.

   6. Establecer sistemas que permitan la generación de información completa, fiable y oportuna para efectuar análisis preventivos.

   7. Evaluar los eventuales riesgos que se generen cada vez que el Operador realice cambios en su estructura, sistemas, procesos, procedimientos, personas y proveedores de servicios externos.

2. ACTIVIDADES DE DETECCIÓN

   1. Detección temprana
      
      Los Operadores deben implementar mecanismos de detección de fraudes en los procesos que desarrollan, lo que comprende mecanismos tales como:

      • Análisis de datos que permitan la identificación de patrones o esquemas de comportamientos anómalos, a través de sistemas informáticos adecuados, especializados en el análisis de datos masivos y sus relaciones.

      • Pruebas de cumplimiento de controles.

      • Mecanismos anónimos de comunicación de potenciales fraudes.

      A partir de lo anterior, los Operadores deben generar una base de conocimientos con información de los profesionales registrados en su base de datos y desarrollar indicadores o alertas de fraude.

      A su vez, los Operadores deben desarrollar, cada seis meses, procedimientos de actualización de la información personal de los profesionales registrados en el sistema de licencias médicas electrónicas, considerando para ello a lo menos el domicilio, datos de contacto, correo electrónico, número telefónico y actualización de la clave. Este procedimiento tendrá el carácter de obligatorio y su omisión impedirá a los profesionales continuar operando en el sistema.

   2. Auditoría interna
      
      Los Operadores deben desarrollar un plan anual de auditoría interna, que considere la evaluación de la eficiencia de los controles implementados en los procesos con mayor riesgo de fraude.

   3. Responsable de la gestión del riesgo de fraude.
      
      Los Operadores deben contar con un responsable de la administración del riesgo de fraude, quien debe asumir las siguientes funciones:

      • Administrar el canal de denuncias.

      • Comunicar la información recibida de acuerdo a los protocolos y políticas de escalamiento establecidos en la entidad.

      • Llevar adelante la investigación del potencial fraude.

      • Diseñar medidas o protocolos de acción tendientes a tratar situaciones anómalas que puedan ser indicios de fraude.

      • Participar en la planificación del programa de prevención de fraude y efectuar su seguimiento.

      • Registrar y clasificar las denuncias o reclamos cuyo análisis pueda revelar señales o indicios de fraude.

      • Evaluar la efectividad de los procedimientos para recepcionar y tratar las denuncias o reclamos.

      • Proponer medidas correctivas en los controles antifraude.

      El responsable de la administración del riesgo de fraude debe contar con la capacitación y los conocimientos necesarios para llevar a cabo las funciones antes señaladas.

   4. Canal de denuncias
      
      Los Operadores deben implementar un canal de denuncias o línea ética para registrar eventos, que permita alertar oportunamente, detectar e investigar un posible fraude. El canal de denuncias o línea ética, debe garantizar el anonimato y seguridad en la entrega de información.

3. ACTIVIDADES DE RESPUESTA
   
   ​Los Operadores deben desarrollar protocolos de investigación interna o externa, escalamiento del fraude, resguardo de las pruebas para posteriores procedimientos judiciales, aplicación de sanciones, así como un plan de respuesta antifraude. Dicho protocolo debe contener al menos los niveles jerárquicos a ser notificados, los plazos máximos de notificación, las sanciones y los mecanismos de respaldo de la información.
   
   Los Operadores deben informar a esta Superintendencia, los hechos potencialmente constitutivos de fraude que detecten y que afecten al sistema de licencias médicas electrónicas, dentro de las 24 horas siguientes a su detección.
   
   A su vez, los Operadores deben evaluar la aplicación de sanciones internas y comunicarlas al personal cuando se hayan aplicado, sin perjuicio de efectuar la denuncia al Ministerio Público, en su caso, y evaluar la interposición de las acciones judiciales que resulten pertinentes.
   
   Respecto de los posibles fraudes detectados, los Operadores deben analizar los controles que se hayan vulnerado y aplicar las medidas correctivas que procedan.