Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hemos mencionado anteriormente que las organizaciones están expuestas a diferentes tipos de riesgos, algunos de ellos
transversales a toda la empresa y otros específicos para algunos tipos de procesos en particular.
Dentro de los riesgos transversales, que están presentes en todos los procesos de una organización, se encuentran los
Riesgos Operacionales, que revisamos en el módulo anterior.
En este módulo nos centraremos en los demás tipos de riesgos de una organización que son incluidos por la
Superintendencia de Salud en la normativa de Gestión de Riesgos:
En el módulo anterior mencionamos que los Riesgos Operacionales tenían 5 fuentes diferentes, siendo una de ellas la
derivada de las tecnologías de la información y ciberseguridad. Por la relevancia que tienen estas materias trataremos
este riesgo en forma individual, dada su presencia en prácticamente todas las operaciones habituales de una isapre.
El riesgo asociado al peligro relacionado con ciberataques representan una amenaza para la continuidad operacional
como también para la seguridad de la información. Se debe tener presente que las isapres recopilan, almacenan y
administran volúmenes importantes de información personal, comercial y confidencial, esta última salvaguardada por el
tratamiento de datos sensibles que está protegido por Ley, lo que sitúa al ciber-riesgo como uno de aquellos riesgos
críticos de administrar.
i. Confidencialidad: es la condición que asegura que la información no pueda estar disponible o ser revelada por o para
personas, entidades o procesos no autorizados. La confidencialidad se relaciona con la protección de la información
en base a disposiciones legales o criterios estratégicos de información privada.
En el caso de una isapre, los datos de los beneficiarios o la información estratégica del negocio son ejemplos de
información CONFIDENCIAL, es decir, debe estar disponible solamente para aquellas personas de la organización que
por sus funciones o responsabilidad requieren conocerla.
Marcelo Mandujano Reygadas - GTR Consultores
Gestión de Riesgos No Operacionales aplicados en una isapre
2. Riesgo de las Tecnologías de la Información y Ciberseguridad (cont.)
ii. Integridad: es la condición que garantiza que la información es creada, modificada y eliminada, sólo por el personal y
con los procesos autorizados. El concepto de integridad significa que el sistema no debe modificar o corromper la
información que almacene, o permitir que alguien no autorizado lo haga. Esta propiedad permite asegurar que no se
ha falseado la información.
En el caso de una isapre, los sistemas de control de acceso, así como los procedimientos de aseguramiento de
consistencia de la información, permiten disponer de bases de datos íntegras para el correcto procesamiento de las
diferentes transacciones.
iii. Disponibilidad: es la condición que permite que la información esté en el lugar, momento y forma en que es
requerida por un usuario autorizado. Disponibilidad significa que el sistema, tanto hardware como software, se
mantiene funcionando eficientemente y que es capaz de recuperarse rápidamente en caso de falla.
En el caso de una isapre, todos los protocolos de seguridad de la información tienen como objetivo tener una alta tasa
de disponibilidad de aplicaciones y datos, para el correcto y oportuno procesamiento de las transacciones con los
beneficiarios, prestadores, proveedores, partes relacionadas, fiscalizadores, entre otros.
Adicionalmente, deben existir planes de contingencia, tanto para la continuidad del negocio como para recuperación
ante desastres.
Marcelo Mandujano Reygadas - GTR Consultores
Gestión de Riesgos No Operacionales aplicados en una isapre
2. Riesgo de las Tecnologías de la Información y Ciberseguridad (cont.)
Los riesgos técnicos están asociados a un conjunto de eventos que pueden producir pérdidas en una Isapre, derivados de
la incorrecta o incompleta aplicación de metodologías y prácticas en sus procesos operacionales, que son propias de la
actividad aseguradora.
iv. Provisiones Técnicas: Las provisiones técnicas son las reservas necesarias para financiar las obligaciones que una
isapre asume con los asegurados y beneficiarios, al tener que cubrir los gastos por prestaciones de salud. Existe una
normativa y metodologías que determinan la manera de realizar los cálculo de estas provisiones, sin embargo esto no
está exento de errores.
En general, este riesgo es mitigado a través de:
• la especialización de la función de cálculo de las provisiones técnicas al interior de la Institución;
• el apoyo de asesores externos;
• el uso de herramientas automatizadas que facilitan los cálculos y verificaciones;
• la certificación de los cálculos por parte de los auditores externos.
EI riesgo de grupo es un riesgo adicional al que está expuesta una empresa por operar con otras empresas del mismo
grupo que pudieran tener problemas financieros o reputacionales, que se traspasen a las demás. Esta situación se llama
“contagio financiero y reputacional”.
En el caso de una isapre, este riesgo potencial se podría generar por las operaciones que la isapre realiza con:
• Su casa matriz, por ejemplo, con el otorgamiento de servicios compartidos por parte del mandante;
• Prestadores de salud del mismo grupo;
• Otros prestadores de servicios del mismo grupo.
En general la forma mitigar este riesgo es a través de la aplicación de una “Política de Habitualidad para Operaciones
entre Partes Relacionadas” que determina el tipo y volumen de operaciones que deben considerarse “normales” y que no
requieren mayor autorización, así como aquellas otras que requieren de revisiones y autorizaciones adicionales. Lo
anterior se debe complementar con politicas y controles para garantizar que las decisiones de compra están basadas en
evaluaciones técnicas con criterios conocidos y que sean auditables.
Respecto del contagio reputacional, una isapre puede estar expuesta a las externalidades que puedan producir
eventuales problemas de otras empresas del grupo y que impacten la reputación de la institución. Por ejemplo,
irregularidades, faltas a la ética u otros hechos que contaminen la opinión que tenga el mercado respecto de la empresa,
derivada por problemas de partes relacionadas.
Marcelo Mandujano Reygadas - GTR Consultores
Gestión de Riesgos No Operacionales aplicados en una isapre
4. Riesgo de Grupo (cont.)
Se requiere disponer de una Política de Gestión de Riesgo de Grupo, con lineamientos para mitigar el riesgo asociado al
contagio financiero y reputacional. Lo anterior, debe estar complementado con controles permanentes tanto al
cumplimiento de las políticas y lineamientos como al monitoreo de la opinión del mercado respecto a las demás
empresas del grupo.
Son un conjunto de riesgos asociados a potenciales problemas generados por las diferentes transacciones financieras que
realiza una empresa, con sus clientes, proveedores y el mercado financiero, entre otros.
Las aseguradoras de salud están expuestas a riesgos financieros de la siguiente naturaleza:
i. Liquidez: incapacidad de una isapre para obtener los fondos necesarios que permitan financiar sus obligaciones con
los beneficiarios, prestadores de salud, personal y otros acreedores.
ii. Capital y Utilidades: este riesgo deriva de la incapacidad que pueda tener una isapre para mantener niveles de
capital y resultados que permitan cumplir con sus indicadores legales, así como aquellos exigidos por entidades
financieras para medir su situación de solvencia.
iii. Crédito: es el riesgo de pérdida a que están expuestas las isapres, producto del deterioro en Ia solvencia de los
deudores.
iv. Mercado: es el riesgo de pérdida de la situación financiera resultante, directa o indirectamente, de fluctuaciones en
el nivel y en Ia volatilidad de los precios de mercado de los instrumentos financieros en los que invierten las isapres.