Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hemos mencionado anteriormente que las organizaciones están expuestas a diferentes tipos de riesgos, algunos de ellos
transversales a toda la empresa y otros específicos para algunos tipos de procesos en particular.
Dentro de los riesgos transversales, que están presentes en todos los procesos de una organización, se encuentran los
Riesgos Operacionales, que revisaremos en este módulo.
En este módulo nos centraremos en las primeras cuatro fuentes, ya que el riesgo tecnológico y de ciberseguridad será
tratado en forma especial en el siguiente módulo.
Es la posibilidad de ocurrencia de eventos que pueden provocar pérdidas como resultado de la deficiencia de los procesos
internos de la organización, originados en fallas en el diseño, implementación o ejecución de los procesos, que impactan
en la operación normal de la empresa.
Adicionalmente, se consideran en esta categoría las fallas de procesos derivados de indicadores de desempeño
inadecuados o controles ineficaces.
i. Ejemplo 1: La Superintendencia emite una nueva normativa de beneficios, de aplicación inmediata. Una vez recibida
la Circular, es enviada internamente a las gerencias que deben realizar la implementación de la normativa. Es posible
que en el análisis y diseño del proceso se omita o se inteprete inadecuadamente alguna regla de negocio implícita en
la normativa, lo que tendrá impacto en la implementación y operación del proceso.
ii. Ejemplo 2: En la misma situación anterior, ahora el problema no radica en el diseño del proceso sino que en la
definición de controles del mismo, lo que puede impactar en no poder detectar a tiempo errores en el procesamiento
de beneficios, generando pérdida de recursos para la isapre y/o reclamos del beneficiario ante la Superintendencia.
Marcelo Mandujano Reygadas - GTR Consultores
Gestión del Riesgo Operacional aplicado en una isapre
1. Aspectos generales del riesgo operacional (cont.)
Es la posibilidad de ocurrencia de eventos que pueden provocar pérdidas como resultado de la intervención humana (o
falta de ésta). Estos se pueden agrupar en dos categorías:
i. Insuficiencia de personal o personal con destrezas inadecuadas, entrenamiento y capacitación débil o insuficiente,
que generan discontinuidad operacional o deterioro significativo del nivel de servicio en algún proceso crítico.
Recordemos el ejemplo del módulo anterior en el que una pandemia genera el riesgo de no contar con la
disponibilidad de los equipos de colaboradores necesarios para operar procesos críticos.
ii. Negligencia, error humano, sabotaje, fraude, robo, apropiación o divulgación de información sensible, blanqueo de
dinero, inapropiadas relaciones laborales o ambiente laboral inseguro, entre otros.
Un ejemplo clásico de este riesgo es la apropiación de información de afiliados o la divulgación de datos sensibles de
beneficiarios.
Es la posibilidad de ocurrencia de eventos que pueden provocar pérdidas como resultado de la operación de procesos o
servicios a través de la subcontratación.
La operación por parte de un externo está sujeta a los mismos tipos de riesgos operacionales que el mandante, ya que
ejecuta procesos; los realiza con personas; también puede tener sub-contratistas con sus ropios riesgos; tiene que cumplir
normativa y reglamentación; y, –seguramente- posee soporte tecnológico para desarrollar su actividad, con el riesgo que
conlleva.
En este sentido, la Superintendencia no exime de responsabilidad a la isapre por los eventos que puedan tener sus
proveedores externos y que impacten las operaciones de la Isapre o los servicios otorgados a sus beneficiarios. Le
impone exigir y verificar que existan procesos documentados y controlados, planes de continuidad operacional, sistemas
de gestión de riesgos y control interno, políticas y métodos que garanticen la confidencialidad de la información, medidas
de ciberseguridad, cumplimiento legal y normativo, entre muchos otros aspectos.
Un ejemplo clásico para este tipo de riesgos es el procesamiento que realiza una empresa externa que valida la identidad
del beneficiario y aplica la cobertura a las prestaciones por cuenta de la Isapre, en las dependencias del prestador.
Marcelo Mandujano Reygadas - GTR Consultores
Gestión del Riesgo Operacional aplicado en una isapre
1. Aspectos generales del riesgo operacional (cont.)
Cuando esta empresa está fuera de operación (comúnmente denominado “con el sistema caído”) afecta directamente a
los beneficiarios que no llevan bono y tienen que pagar la atención completa y después reembolsar (eventualmente pagar
la atención a precio “lista” y no a valor de convenio con la Isapre).
También afecta a la isapre porque parte importante de los beneficiarios no distingue entre la plataforma de la isapre y la
de esa empresa y entonces piensa que “el sistema de la Isapre está caido” (en ocasiones este percepción es inducida por
la respuesta de la persona que lo está atendiendo en el prestador), afectando la imagen de la isapre. Y eventualmente
aumentándole el costo de la atención (si no se respeta el valor de convenio).
Corresponde al riesgo de pérdidas ante cambios legales o regulatorios que afecten las operaciones de la isapre. También
ante sanciones legales o normativas, pérdidas financieras o pérdida de reputación, ante incumplimientos a las normas
legales y regulatorias vigentes.
Un ejemplo de este riesgo es un incumplimiento normativo detectado en alguna fiscalización, que puede derivar en
sanciones (amonestación, multa o suspensión de operaciones).
Marcelo Mandujano Reygadas - GTR Consultores
Gestión del Riesgo Operacional aplicado en una isapre
2. Procesos Críticos
Como hemos mencionado anteriormente, el propósito de las normativas de gestión de riesgos para la Superintendencia
es el de administrar adecuadamente aquellos eventos que pudiesen afectar el funcionamiento de las isapres en el
tiempo, con el objeto de evitar incumplimientos a la normativa y resguardar los derechos de los beneficiarios.
En este contexto, la Autoridad ha definido un conjunto de “procesos críticos”, los cuales deberán ser sometidos a una
evaluación profunda de sus riesgos con el fin de definir controles que minimicen la ocurrencia e impacto de eventos.
Estos procesos son:
i. Otorgamiento de beneficios: incluye la tramitación, autorización o rechazo, liquidación y pago de bonificación de
prestaciones provenientes de aplicación del plan complementario, GES, CAEC, GES-CAEC; beneficios adicionales,
examen de medicina preventiva, tramitación de licencias médicas y liquidación y pago de subsidios por incapacidad
laboral.
ii. Administración de cartera: corresponde a la suscripción, modificación, adecuación y término de los contratos.
iii. Administración de cotizaciones: incorpora la recaudación; determinación y pago de excesos; determinación,
mantención y uso de excedentes; determinación y traspaso de cotizaciones mal enteradas; y cobranza y pago de
cotizaciones previsionales derivadas de subsidios.
iv. Gestión y resolución de reclamos: asociados a los procesos enumerados previamente.
v. Servicio de atención al cliente: atención a los beneficiarios, gestión de requerimientos y entrega de información.
vi. Administración financiera: comprende el conjunto de procesos que garantizan el cumplimiento de obligaciones con
beneficiarios, prestadores de salud, remuneraciones y otros acreedores.
Cada uno de los procesos críticos debe ser sometido a un levantamiento documentado, indicando el objetivo del proceso,
el flujograma y descripción de cada etapa, además de las personas responsables de ellas, los riesgos y controles
asociados, las aplicaciones informáticas de apoyo e interfaces automatizadas con otros procesos, registros, archivos e
informes. A su vez, se deberán definir los indicadores o métricas de desempeño asignados a dichos procesos.
En cuanto a la documentación, se debe indicar que el grado de detalle debe permitir a un usuario no familiarizado con el
proceso, comprender éste y sus riesgos asociados, así como la pertinencia de las actividades de control establecidas.
Los procesos críticos deben ser objeto de una evaluación formal, al menos, una vez al año acerca de:
• La vigencia de Ia documentación del proceso;
• La efectividad de los controles existentes;
• EI surgimiento de nuevos riesgos sobre el proceso y Ia eventual necesidad de nuevos controles.
Así como la documentación sirve para catalogar los procesos con información relevante, las matrices de riesgos sirven
para identificar todos los datos importantes de los riesgos de cada proceso de la empresa, y pasa a ser una herramienta
útil para su gestión.
Primero, debemos registrar todos los datos del proceso y su dueño. Enseguida, debemos registrar la información general
del riesgo (categoría, tipo, evento).
• la frecuencia e impacto del riesgo, para determinar el riesgo inherente (puro, sin controles); y,
• la efectividad de los controles.
Recordemos que esta evaluación corresponde a septiembre de 2019, donde la probabilidad de ocurrencia era “Remota”.
Posteriormente, cambia a “Muy probable” en marzo de 2020 por eventos externos a la Isapre.
Dependiendo del nivel del riesgo residual, se puede requerir un plan de mejoramiento, que incluye:
• la acción a desarrollar; y,
• la fecha de implementación.
N/A N/A
Con el propósito de disponer de estadísticas que permitan calcular la probabilidad de ocurrencia de los eventos de riesgo
operacional (a diferencia de “estimarla”), es necesario construir y mantener un registro de éstos. Este registro se llama
Base de eventos de pérdida o de incidentes operacionales.
Estos son algunos ejemplos de eventos que indica la Circular, para ser incorporados dentro de esta base :
• Eventos legales, reglamentarios o que hayan originado acciones judiciales, ya sea por parte de la isapre o en contra de
esta.
• Eventos que generen pérdidas económicas.
• Eventos que hayan generado alarma pública o un potencial daño de imagen.
• Eventos que impidan el oportuno u óptimo otorgamiento de prestaciones de salud y beneficios.
• Eventos que impliquen un cambio en la situación financiera de la isapre, ya sea en términos de liquidez, solvencia,
como también en su comportamiento de flujos o estructura de sus pasivos.
• Eventos de fraudes y afiliaciones irregulares.
• Siniestros, incidentes o disponibilidad en sistemas, sucursales presenciales o virtuales o cualquier medio de atención
de público.
Como hemos mencionado anteriormente, el propósito de la normativa es el de evitar incumplimientos por parte de las
isapres y resguardar los derechos de los beneficiarios.
Por otro lado, ya sabemos que las organizaciones en general están expuestas a un conjunto de riesgos de diferente
naturaleza, y las isapres no están exentas de esta exposición.
Dado lo anterior, la isapre debe disponer de un método, estructuras, definiciones, roles y procedimientos –entre muchos
aspectos- para hacer frente a eventos que tengan como efecto la interrupción o inestabilidad de la operación y el
consiguiente impacto en el cumplimiento normativo y otorgamiento de servicios a los beneficiarios.
Este conjunto de elementos están contenidos en un “Plan de Continuidad del Negocio”, el que no solamente debe estar
escrito sino que también debe ser sometido periódicamente a pruebas para evaluar su efectividad y actualizarlo, como
parte del mejoramiento continuo. Uno de los capítulos de este plan es el Plan de Recuperación ante desastres, que
contiene instrucciones detalladas sobre cómo responder a incidentes no planificados como desastres naturales, cortes de
energía, ciberataques y cualquier otro suceso disruptivo. El plan contiene estrategias sobre cómo minimizar los efectos de
un desastre, para que una organización siga en funcionamiento o pueda reanudar rápidamente sus principales
operaciones.