Gestión del Riesgo Operacional aplicado en una isapre

Marcelo Mandujano Reygadas

Socio de GTR Consultores
Gestión de Tendencias y Riesgos
 Gestión del Riesgo Operacional aplicado en una isapre
1. Aspectos generales del riesgo operacional

Hemos mencionado anteriormente que las organizaciones están expuestas a diferentes tipos de riesgos, algunos de ellos
transversales a toda la empresa y otros específicos para algunos tipos de procesos en particular.

Dentro de los riesgos transversales, que están presentes en todos los procesos de una organización, se encuentran los
Riesgos Operacionales, que revisaremos en este módulo.

Los riesgos operacionales tienen 5 fuentes:

• Los procesos internos

• Las personas
• Los procesos externalizados
• Los cambios legales y/o el cumplimiento normativo
• Las tecnologías de la información

En este módulo nos centraremos en las primeras cuatro fuentes, ya que el riesgo tecnológico y de ciberseguridad será
tratado en forma especial en el siguiente módulo.

Marcelo Mandujano Reygadas - GTR Consultores

 Gestión del Riesgo Operacional aplicado en una isapre
1. Aspectos generales del riesgo operacional (cont.)

a) Riesgo asociado a los Procesos Internos:

Es la posibilidad de ocurrencia de eventos que pueden provocar pérdidas como resultado de la deficiencia de los procesos
internos de la organización, originados en fallas en el diseño, implementación o ejecución de los procesos, que impactan
en la operación normal de la empresa.

Adicionalmente, se consideran en esta categoría las fallas de procesos derivados de indicadores de desempeño
inadecuados o controles ineficaces.

Un par de ejemplos asociados a este riesgo son los siguientes:

i. Ejemplo 1: La Superintendencia emite una nueva normativa de beneficios, de aplicación inmediata. Una vez recibida
la Circular, es enviada internamente a las gerencias que deben realizar la implementación de la normativa. Es posible
que en el análisis y diseño del proceso se omita o se inteprete inadecuadamente alguna regla de negocio implícita en
la normativa, lo que tendrá impacto en la implementación y operación del proceso.
ii. Ejemplo 2: En la misma situación anterior, ahora el problema no radica en el diseño del proceso sino que en la
definición de controles del mismo, lo que puede impactar en no poder detectar a tiempo errores en el procesamiento
de beneficios, generando pérdida de recursos para la isapre y/o reclamos del beneficiario ante la Superintendencia.
Marcelo Mandujano Reygadas - GTR Consultores
 Gestión del Riesgo Operacional aplicado en una isapre
1. Aspectos generales del riesgo operacional (cont.)

b) Riesgo asociado a las Personas:

Es la posibilidad de ocurrencia de eventos que pueden provocar pérdidas como resultado de la intervención humana (o
falta de ésta). Estos se pueden agrupar en dos categorías:

i. Insuficiencia de personal o personal con destrezas inadecuadas, entrenamiento y capacitación débil o insuficiente,
que generan discontinuidad operacional o deterioro significativo del nivel de servicio en algún proceso crítico.

Recordemos el ejemplo del módulo anterior en el que una pandemia genera el riesgo de no contar con la
disponibilidad de los equipos de colaboradores necesarios para operar procesos críticos.

ii. Negligencia, error humano, sabotaje, fraude, robo, apropiación o divulgación de información sensible, blanqueo de
dinero, inapropiadas relaciones laborales o ambiente laboral inseguro, entre otros.

Un ejemplo clásico de este riesgo es la apropiación de información de afiliados o la divulgación de datos sensibles de
beneficiarios.

Marcelo Mandujano Reygadas - GTR Consultores

 Gestión del Riesgo Operacional aplicado en una isapre
1. Aspectos generales del riesgo operacional (cont.)

c) Riesgo asociado a los Procesos Externalizados:

Es la posibilidad de ocurrencia de eventos que pueden provocar pérdidas como resultado de la operación de procesos o
servicios a través de la subcontratación.

La operación por parte de un externo está sujeta a los mismos tipos de riesgos operacionales que el mandante, ya que
ejecuta procesos; los realiza con personas; también puede tener sub-contratistas con sus ropios riesgos; tiene que cumplir
normativa y reglamentación; y, –seguramente- posee soporte tecnológico para desarrollar su actividad, con el riesgo que
conlleva.

En este sentido, la Superintendencia no exime de responsabilidad a la isapre por los eventos que puedan tener sus
proveedores externos y que impacten las operaciones de la Isapre o los servicios otorgados a sus beneficiarios. Le
impone exigir y verificar que existan procesos documentados y controlados, planes de continuidad operacional, sistemas
de gestión de riesgos y control interno, políticas y métodos que garanticen la confidencialidad de la información, medidas
de ciberseguridad, cumplimiento legal y normativo, entre muchos otros aspectos.

Un ejemplo clásico para este tipo de riesgos es el procesamiento que realiza una empresa externa que valida la identidad
del beneficiario y aplica la cobertura a las prestaciones por cuenta de la Isapre, en las dependencias del prestador.
Marcelo Mandujano Reygadas - GTR Consultores
 Gestión del Riesgo Operacional aplicado en una isapre
1. Aspectos generales del riesgo operacional (cont.)

c) Riesgo asociado a los Procesos Externalizados (cont.):

Cuando esta empresa está fuera de operación (comúnmente denominado “con el sistema caído”) afecta directamente a
los beneficiarios que no llevan bono y tienen que pagar la atención completa y después reembolsar (eventualmente pagar
la atención a precio “lista” y no a valor de convenio con la Isapre).

También afecta a la isapre porque parte importante de los beneficiarios no distingue entre la plataforma de la isapre y la
de esa empresa y entonces piensa que “el sistema de la Isapre está caido” (en ocasiones este percepción es inducida por
la respuesta de la persona que lo está atendiendo en el prestador), afectando la imagen de la isapre. Y eventualmente
aumentándole el costo de la atención (si no se respeta el valor de convenio).

d) Riesgo asociado a los Cambios Legales y/o Cumplimiento Normativo:

Corresponde al riesgo de pérdidas ante cambios legales o regulatorios que afecten las operaciones de la isapre. También
ante sanciones legales o normativas, pérdidas financieras o pérdida de reputación, ante incumplimientos a las normas
legales y regulatorias vigentes.

Un ejemplo de este riesgo es un incumplimiento normativo detectado en alguna fiscalización, que puede derivar en
sanciones (amonestación, multa o suspensión de operaciones).
Marcelo Mandujano Reygadas - GTR Consultores
 Gestión del Riesgo Operacional aplicado en una isapre
2. Procesos Críticos
Como hemos mencionado anteriormente, el propósito de las normativas de gestión de riesgos para la Superintendencia
es el de administrar adecuadamente aquellos eventos que pudiesen afectar el funcionamiento de las isapres en el
tiempo, con el objeto de evitar incumplimientos a la normativa y resguardar los derechos de los beneficiarios.
En este contexto, la Autoridad ha definido un conjunto de “procesos críticos”, los cuales deberán ser sometidos a una
evaluación profunda de sus riesgos con el fin de definir controles que minimicen la ocurrencia e impacto de eventos.
Estos procesos son:
i. Otorgamiento de beneficios: incluye la tramitación, autorización o rechazo, liquidación y pago de bonificación de
prestaciones provenientes de aplicación del plan complementario, GES, CAEC, GES-CAEC; beneficios adicionales,
examen de medicina preventiva, tramitación de licencias médicas y liquidación y pago de subsidios por incapacidad
laboral.
ii. Administración de cartera: corresponde a la suscripción, modificación, adecuación y término de los contratos.
iii. Administración de cotizaciones: incorpora la recaudación; determinación y pago de excesos; determinación,
mantención y uso de excedentes; determinación y traspaso de cotizaciones mal enteradas; y cobranza y pago de
cotizaciones previsionales derivadas de subsidios.
iv. Gestión y resolución de reclamos: asociados a los procesos enumerados previamente.
v. Servicio de atención al cliente: atención a los beneficiarios, gestión de requerimientos y entrega de información.
vi. Administración financiera: comprende el conjunto de procesos que garantizan el cumplimiento de obligaciones con
beneficiarios, prestadores de salud, remuneraciones y otros acreedores.

Marcelo Mandujano Reygadas - GTR Consultores

 Gestión del Riesgo Operacional aplicado en una isapre
3. Documentación

Cada uno de los procesos críticos debe ser sometido a un levantamiento documentado, indicando el objetivo del proceso,
el flujograma y descripción de cada etapa, además de las personas responsables de ellas, los riesgos y controles
asociados, las aplicaciones informáticas de apoyo e interfaces automatizadas con otros procesos, registros, archivos e
informes. A su vez, se deberán definir los indicadores o métricas de desempeño asignados a dichos procesos.

En cuanto a la documentación, se debe indicar que el grado de detalle debe permitir a un usuario no familiarizado con el
proceso, comprender éste y sus riesgos asociados, así como la pertinencia de las actividades de control establecidas.

Los procesos críticos deben ser objeto de una evaluación formal, al menos, una vez al año acerca de:
• La vigencia de Ia documentación del proceso;
• La efectividad de los controles existentes;
• EI surgimiento de nuevos riesgos sobre el proceso y Ia eventual necesidad de nuevos controles.

Marcelo Mandujano Reygadas - GTR Consultores

 Gestión del Riesgo Operacional aplicado en una isapre
4. Matrices de Riesgos

Así como la documentación sirve para catalogar los procesos con información relevante, las matrices de riesgos sirven
para identificar todos los datos importantes de los riesgos de cada proceso de la empresa, y pasa a ser una herramienta
útil para su gestión.

Recordemos el Proceso de Gestión de Riesgos visto en el módulo previo:

Ahora vamos a completar este diagrama

Monitorear y Reportar Identificar
con los elementos que hemos estado
viendo en este módulo.

Proceso de Una vez que disponemos del levantamiento

Gestión de de procesos estamos en condiciones de
Riesgos elaborar las matrices de riesgos.

Para tal efecto, debemos identificar los

riesgos incluidos en cada uno de los
Controlar o Mitigar Medir o Evaluar procesos y los debemos documentar.

Marcelo Mandujano Reygadas - GTR Consultores

 Gestión del Riesgo Operacional aplicado en una isapre
4. Matrices de Riesgos (cont.)

Primero, debemos registrar todos los datos del proceso y su dueño. Enseguida, debemos registrar la información general
del riesgo (categoría, tipo, evento).

Vamos a mantener el ejemplo del módulo anterior, en la evaluación de septiembre de 2019.

El registro va quedando así:

Marcelo Mandujano Reygadas - GTR Consultores

 Gestión del Riesgo Operacional aplicado en una isapre
4. Matrices de Riesgos (cont.)

Ahora necesitamos evaluar:

• la frecuencia e impacto del riesgo, para determinar el riesgo inherente (puro, sin controles); y,
• la efectividad de los controles.

Lo que entrega como resultado el riesgo residual.

El registro va quedando así:

Recordemos que esta evaluación corresponde a septiembre de 2019, donde la probabilidad de ocurrencia era “Remota”.
Posteriormente, cambia a “Muy probable” en marzo de 2020 por eventos externos a la Isapre.

Marcelo Mandujano Reygadas - GTR Consultores

 Gestión del Riesgo Operacional aplicado en una isapre
4. Matrices de Riesgos (cont.)

Dependiendo del nivel del riesgo residual, se puede requerir un plan de mejoramiento, que incluye:

• la acción a desarrollar; y,
• la fecha de implementación.

El registro completo de este riesgo en la matriz queda así (a septiembre de 2019):

N/A N/A

Marcelo Mandujano Reygadas - GTR Consultores

 Gestión del Riesgo Operacional aplicado en una isapre
4. Matrices de Riesgos (cont.) 1

El diagrama completo queda así: 8

La secuencia es la siguiente:
1. Se levantan los procesos y se documentan;
2. Para cada Proceso, se identifican los riesgos y se registran en la Matriz de
Riesgos; 7 2 3a
3. Para cada Riesgo:
a) se documentan los datos relevantes en la Matriz (asociados al Proceso);
b) se evalúa la frecuencia (o probabilidad de ocurrencia) y el impacto
potencial, obteniéndose el riesgo inherente, y se registra en la Matriz;
c) se evalúan los controles asociados al riesgo;
4. Con el riesgo inherente y la efectividad de los controles se determina el riesgo
residual y se registran estos datos en la Matriz.
5. Dependiendo del valor del riesgo residual, se debe elaborar un plan de
mejoramiento, el cual se debe registrar en la Matriz. 6 3b 3c 4
6. Se aplican los controles o acciones de mitigación, según el plan de mejoramiento.
7. Se monitorea permanentemente el riesgo y sus componentes variables
(frecuencia, impacto y controles) para verificar que se mantiene dentro de
valores aceptables, y se reporta el estado de la Matriz de Riesgos. En caso que 5
las medidas no tengan el efecto deseado, se deben re-evaluar y eventualmente
complementar o cambiar.
8. Cada vez que ocurra un cambio en el proceso, o –a lo más- al cabo de un año de
documentado, se inicia el ciclo nuevamente.

Marcelo Mandujano Reygadas - GTR Consultores

 Gestión del Riesgo Operacional aplicado en una isapre
5. Base de eventos de riesgo operacional
En el módulo anterior mencionamos que para evaluar la frecuencia e impacto de un riesgo se pueden utilizar métodos
cuantitativos (si disponemos de estadísticas confiables que sustenten la evaluación) o cualitativos (se basan en el juicio
experto, análisis de hipótesis, entre otros).

Con el propósito de disponer de estadísticas que permitan calcular la probabilidad de ocurrencia de los eventos de riesgo
operacional (a diferencia de “estimarla”), es necesario construir y mantener un registro de éstos. Este registro se llama
Base de eventos de pérdida o de incidentes operacionales.

Consideraciones del registro:

i. Se entenderá como materialización de eventos, a la ocurrencia de eventos de riesgo operacional que:

• generen un impacto en la organización; y,
• que afecten el adecuado cumplimiento de la gestión y otorgamiento de los beneficios y de las prestaciones de
salud.
ii. El impacto podría implicar o no un perjuicio o desembolso monetario. No obstante, independiente del tipo de
perjuicio, cada isapre debe establecer una metodologías para Ia cuantificación de cada impacto del evento
materializado.
iii. En general una Matriz de Impacto incluye aspectos comerciales, financieros, legales, regulatorios, reputacionales y de
personas, y tiene definidos diferentes niveles de impacto: Menor, Moderado, Mayor y Catastrófico. Esta Matriz será
nuestra referencia para determinar los eventos a registrar en la base de eventos de pérdida o de incidentes
operacionales.
Marcelo Mandujano Reygadas - GTR Consultores
 Gestión del Riesgo Operacional aplicado en una isapre
5. Base de eventos de riesgo operacional (cont.)

Estos son algunos ejemplos de eventos que indica la Circular, para ser incorporados dentro de esta base :

• Eventos legales, reglamentarios o que hayan originado acciones judiciales, ya sea por parte de la isapre o en contra de
esta.
• Eventos que generen pérdidas económicas.
• Eventos que hayan generado alarma pública o un potencial daño de imagen.
• Eventos que impidan el oportuno u óptimo otorgamiento de prestaciones de salud y beneficios.
• Eventos que impliquen un cambio en la situación financiera de la isapre, ya sea en términos de liquidez, solvencia,
como también en su comportamiento de flujos o estructura de sus pasivos.
• Eventos de fraudes y afiliaciones irregulares.
• Siniestros, incidentes o disponibilidad en sistemas, sucursales presenciales o virtuales o cualquier medio de atención
de público.

Marcelo Mandujano Reygadas - GTR Consultores

 Gestión del Riesgo Operacional aplicado en una isapre
6. Plan de Continuidad Operacional

Como hemos mencionado anteriormente, el propósito de la normativa es el de evitar incumplimientos por parte de las
isapres y resguardar los derechos de los beneficiarios.

Por otro lado, ya sabemos que las organizaciones en general están expuestas a un conjunto de riesgos de diferente
naturaleza, y las isapres no están exentas de esta exposición.

Dado lo anterior, la isapre debe disponer de un método, estructuras, definiciones, roles y procedimientos –entre muchos
aspectos- para hacer frente a eventos que tengan como efecto la interrupción o inestabilidad de la operación y el
consiguiente impacto en el cumplimiento normativo y otorgamiento de servicios a los beneficiarios.

Este conjunto de elementos están contenidos en un “Plan de Continuidad del Negocio”, el que no solamente debe estar
escrito sino que también debe ser sometido periódicamente a pruebas para evaluar su efectividad y actualizarlo, como
parte del mejoramiento continuo. Uno de los capítulos de este plan es el Plan de Recuperación ante desastres, que
contiene instrucciones detalladas sobre cómo responder a incidentes no planificados como desastres naturales, cortes de
energía, ciberataques y cualquier otro suceso disruptivo. El plan contiene estrategias sobre cómo minimizar los efectos de
un desastre, para que una organización siga en funcionamiento o pueda reanudar rápidamente sus principales
operaciones.

Marcelo Mandujano Reygadas - GTR Consultores