Ir al contenido principal
Superintendencia de Seguridad Social (SUSESO) - Gobierno de Chile

Compendio de Normas sobre Licencias Médicas, Subsidios por Incapacidad Laboral y Seguro SANNA

3. GESTIÓN DEL RIESGO DE FRAUDE

LIBRO VI. CONTROL EN EL OTORGAMIENTO DE LICENCIAS MÉDICAS

TITULO IV. MEDIDAS DE SEGURIDAD PARA EL OTORGAMIENTO Y TRAMITACIÓN DE LICENCIA MÉDICA ELECTRÓNICA

3. GESTIÓN DEL RIESGO DE FRAUDE

3. GESTIÓN DEL RIESGO DE FRAUDE

Los Operadores de LME deben contar con sistemas o procedimientos que permitan identificar, evaluar, monitorear y detectar, en el menor tiempo posible, aquellas operaciones con patrones de fraude, de modo de marcar o abortar actividades u operaciones potencialmente fraudulentas, para lo cual deben establecer y mantener, de acuerdo a la dinámica de los fraudes, patrones conocidos de estos y comportamientos que no estén asociados al cliente.

Estos sistemas o mecanismos deben permitir tener una vista integral y oportuna de las operaciones del profesional enrolado, de personas no enroladas (por ejemplo, en los intentos de acceso), de los puntos de acceso (por ejemplo, direcciones IP), de frecuencia de emisión, de control de sesiones únicas, de mecanismos que impidan utilización de robots o procesos automatizados que simulen acciones humanas. En concreto, los Operadores de LME deben hacer el seguimiento y correlacionar eventos y/o fraudes a objeto de detectar otros fraudes, puntos en que estos se cometen, manera en que se realizan estas operaciones, y puntos de compromisos, entre otros.

Asimismo, para reducir la probabilidad de materialización de riesgos debido a fraudes, los Operadores deben establecer un programa de gestión del riesgo de fraude, que comprenda las siguientes actividades:

  1. ACTIVIDADES DE PREVENCIÓN

    Los operadores deben contar con una política de prevención de fraude, sujeta a un proceso de mejora permanente, debiendo incorporar una metodología de fortalecimiento del control interno y definir actividades de monitoreo que midan su aplicación y efectividad. La política debe establecer quién es el responsable de gestionar el riesgo de fraude en la entidad, las actividades de prevención, detección e investigación y respuesta del fraude y las responsabilidades que el personal de todos los niveles de la entidad debe tener respecto a la gestión del riesgo de fraude.

    ​Adicionalmente, los Operadores deben establecer instancias de gestión y monitoreo del riesgo de fraude, además de controles para prevenir, detectar y responder ante eventos de fraudes. De la misma manera, los Operadores deben asumir las siguientes responsabilidades en relación con la gestión del riesgo de fraude:

    1. Propiciar un ambiente laboral positivo, con el objetivo de evitar incentivos, presiones o motivaciones que puedan inducir a los empleados al fraude.

    2. Identificar riesgos de fraude, con el objetivo de establecer controles que permitan mitigarlos.

    3. Desarrollar una política y procedimiento de gestión de personas que contemple la contratación, inducción y finiquito de personal, con un enfoque alineado en la prevención del fraude.

    4. Implementar procedimientos y mecanismos para monitorear áreas de riesgo.

    5. Implementar un sistema de control interno robusto con el objetivo de evitar las oportunidades o condiciones que faciliten la comisión de fraudes.

    6. Establecer sistemas que permitan la generación de información completa, fiable y oportuna para efectuar análisis preventivos.

    7. Evaluar los eventuales riesgos que se generen cada vez que el Operador realice cambios en su estructura, sistemas, procesos, procedimientos, personas y proveedores de servicios externos.

  2. ACTIVIDADES DE DETECCIÓN

    1. Detección temprana

      Los Operadores deben implementar mecanismos de detección de fraudes en los procesos que desarrollan, lo que comprende mecanismos tales como:

      • Análisis de datos que permitan la identificación de patrones o esquemas de comportamientos anómalos, a través de sistemas informáticos adecuados, especializados en el análisis de datos masivos y sus relaciones.

      • Pruebas de cumplimiento de controles.

      • Mecanismos anónimos de comunicación de potenciales fraudes.

      A partir de lo anterior, los Operadores deben generar una base de conocimientos con información de los profesionales registrados en su base de datos y desarrollar indicadores o alertas de fraude.

      A su vez, los Operadores deben desarrollar, cada seis meses, procedimientos de actualización de la información personal de los profesionales registrados en el sistema de licencias médicas electrónicas, considerando para ello a lo menos el domicilio, datos de contacto, correo electrónico, número telefónico y actualización de la clave. Este procedimiento tendrá el carácter de obligatorio y su omisión impedirá a los profesionales continuar operando en el sistema.

      Con el objeto de perfeccionar el sistema y hacer más eficiente la regulación y fiscalización por parte de esta Superintendencia respecto de la emisión de la licencia por parte de los profesionales habilitados, los de Operadores del Sistema de LME deberán generar una mensajería informativa en el sistema, que contenga la siguiente información:

      • Mostrar un mensaje en que se le informe al profesional emisor, por medio de un contador de licencias médicas, la cantidad de licencias otorgadas por éste en el último mes, y en los 12 meses inmediatamente anteriores a la fecha de la licencia que se emite.

      • Mostrar un mensaje que informe al profesional emisor, el número de licencias médicas y la cantidad de días de reposo otorgados a la persona a quien se emite la licencia respectiva, durante los 12 meses anteriores a la fecha en que se otorga la licencia. Para estos efectos, las licencias médicas deberán agruparse por tipo de diagnóstico, considerando como tales todos aquellos que pertenezcan a un mismo Capítulo del CIE-10, e incluyendo todas las licencias médicas electrónicas otorgadas a la respectiva persona, independiente del operador por el que se hubieren tramitado cada una de las licencias.

      Los Operadores deberán inhabilitar la posibilidad de que un profesional habilitado para emitir licencia médica pueda otorgar licencias durante el periodo en que éste se encuentre con licencia médica. Para estos efectos, los operadores deberán efectuar los desarrollos necesarios para contar la información en aquellos casos en que el profesional ha hecho uso de licencia a través de un operador y las emite a través del otro.

    2. Auditoría interna

      Los Operadores deben desarrollar un plan anual de auditoría interna, que considere la evaluación de la eficiencia de los controles implementados en los procesos con mayor riesgo de fraude.

    3. Responsable de la gestión del riesgo de fraude.

      Los Operadores deben contar con un responsable de la administración del riesgo de fraude, quien debe asumir las siguientes funciones:

      • Administrar el canal de denuncias.

      • Comunicar la información recibida de acuerdo a los protocolos y políticas de escalamiento establecidos en la entidad.

      • Llevar adelante la investigación del potencial fraude.

      • Diseñar medidas o protocolos de acción tendientes a tratar situaciones anómalas que puedan ser indicios de fraude.

      • Participar en la planificación del programa de prevención de fraude y efectuar su seguimiento.

      • Registrar y clasificar las denuncias o reclamos cuyo análisis pueda revelar señales o indicios de fraude.

      • Evaluar la efectividad de los procedimientos para recepcionar y tratar las denuncias o reclamos.

      • Proponer medidas correctivas en los controles antifraude.

      El responsable de la administración del riesgo de fraude debe contar con la capacitación y los conocimientos necesarios para llevar a cabo las funciones antes señaladas.

    4. Canal de denuncias

      Los Operadores deben implementar un canal de denuncias o línea ética para registrar eventos, que permita alertar oportunamente, detectar e investigar un posible fraude. El canal de denuncias o línea ética, debe garantizar el anonimato y seguridad en la entrega de información.

  3. ACTIVIDADES DE RESPUESTA

    ​Los Operadores deben desarrollar protocolos de investigación interna o externa, escalamiento del fraude, resguardo de las pruebas para posteriores procedimientos judiciales, aplicación de sanciones, así como un plan de respuesta antifraude. Dicho protocolo debe contener al menos los niveles jerárquicos a ser notificados, los plazos máximos de notificación, las sanciones y los mecanismos de respaldo de la información.

    Los Operadores deben informar a esta Superintendencia, los hechos potencialmente constitutivos de fraude que detecten y que afecten al sistema de licencias médicas electrónicas, dentro de las 24 horas siguientes a su detección.

    A su vez, los Operadores deben evaluar la aplicación de sanciones internas y comunicarlas al personal cuando se hayan aplicado, sin perjuicio de efectuar la denuncia al Ministerio Público, en su caso, y evaluar la interposición de las acciones judiciales que resulten pertinentes.

    Respecto de los posibles fraudes detectados, los Operadores deben analizar los controles que se hayan vulnerado y aplicar las medidas correctivas que procedan.