CASO 2

ISAPRE MASVIDA

Rudy Gonzalez
Marcelo Prieto
Evelyn Zamora

Profesor:
Pedro Hernández
Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Contenido

Introducción.......................................................................................................................................2
Objetivo del estudio...........................................................................................................................2
Marco regulatorio Isapres...................................................................................................................3
Contexto general Isapre Masvida S.A................................................................................................3
Gobierno Corporativo Isapre Masvida...............................................................................................4
Desarrollo de los requerimientos........................................................................................................5
Requerimiento N°1: Análisis de las tres líneas de defensa y COSO ERM 2017............................5
Análisis modelo 3 líneas de defensa:..........................................................................................6
Análisis COSO ERM 2017.........................................................................................................7
Requerimiento N°2: Construcción de un mapa de riesgo o de calor...............................................8
Riesgos: Operativo, estratégico, inherente y residual.................................................................9
Actividades de control..............................................................................................................10
Evaluación y clasificación de riesgos.......................................................................................10
Matriz de riesgos - Operativos..................................................................................................11
Matriz de riesgos - Estratégicos................................................................................................12
Requerimiento 3: Indicar solución GRC que permita optimizar la gestión de riesgos..................13

Tabla de Ilustraciones

Ilustración 1 - Misión, Visión y valores Isapre Nueva Masvida.........................................................4

Ilustración 2 - Diapositiva N°7 informe de situación Isapre Masvida...............................................5
Ilustración 3 - Marco de evaluación de riesgos propuesto..................................................................8

Módulo: Sistemas Integrados de Riesgo Página 1

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Introducción

El siguiente trabajo consiste en el análisis del caso de la Isapre Masvida S.A., en donde,
según información pública, entre los años 2016 y 2017, la Superintendencia de Salud habría
liberado alrededor de $87 mil millones de pesos por concepto de garantías, los cuales se
utilizaron para pagar a proveedores y prestadores, entre los que se encontraban miembros
del directorio de la isapre y del holding y empresas relacionadas.

Las hipótesis, análisis y conclusiones obtenidas de este estudio se basan sólo y

exclusivamente en el uso de información pública puesta a disposición por la Isapre Masvida
S.A., así como también información aportada por organismos reguladores, específicamente
hemos considerado importante para el desarrollo, dos informes desarrollados en el contexto
de la liquidación de la sociedad, el primero “Informe sobre Situación de Isapre Masvida
Comisión Investigadora – Cámara de Diputados” realizado por Sebastián Pavlovic Jeldres
Superintendente de Salud 03 de octubre de 2017 (Sebastián Pavlovic Jeldres, 2017) y un
segundo informe “Informe Situación Isapre Masvida”, realizado por Robert Rivas Carrillo,
Administrador Provisional el 01 de agosto de 2017. (Robert Rivas Carrillo, 2017)

Para llevar a cabo este estudio, se tomará como referencia el modelo COSO ERM 2017, el
modelo de las tres líneas de defensa para una efectiva gestión de riesgo y control.

Objetivo del estudio

El presente trabajo tiene como objetivos los siguientes:

1. Identificación de debilidades de control interno, utilizando los modelos de las tres

líneas de defensa y COSO ERM 2017.
2. Construcción de un mapa de riesgo o de calor, incluyendo en él 10 riesgos (3
riesgos estratégicos y 7 riesgos operacionales)
3. Sugerir un plan de mitigación en el cual se aplique el modelo GRC.

Estos objetivos son sólo como fines académicos, no representan la opinión de las personas
que realizan la investigación, ni deben entenderse como estudio formal, legal, ni ningún
otro objetivo que no sea el estudio de un caso en base a la recolección de antecedentes
públicos para fines académicos como se mencionara previamente.

En las páginas siguientes efectuaremos un contexto general de la compañía en estudio, para

posteriormente enfocarnos en el caso e identificar causas, efectos y eventualmente diseñar
planes de mitigación ficticios según el requerimiento (que se entiende como parte integral
de este informe).

Módulo: Sistemas Integrados de Riesgo Página 2

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Marco regulatorio Isapres

En términos generales, El decreto con fuerza de ley Nº 3, de 1981, del Ministerio de Salud,
creó las Instituciones de Salud Previsional (ISAPRE), entidades privadas que tienen por
finalidad tomar a su cargo el otorgamiento de prestaciones y beneficios de salud, con cargo
a la cotización legal de salud, o la superior a ella que se convenga, a los beneficiarios que
libremente opten por este sistema, alternativo de aquel que administra el Estado (decreto
ley Nº 2.763), y que, además de las regulaciones que contempla el referido decreto con
fuerza de ley Nº 3, está sujeto a normas especiales contenidas en la ley Nº 18.469, que
estableció un nuevo régimen de prestaciones de salud.

Posteriormente en el año 1988 se crea la Superintendencia de Isapres con la ley 18.933 que
a su vez deroga el DFL N°3. Con posterioridad se crea la superintendencia de Salud, el cual
es un organismo público, sucesor legal de la Superintendencia de Isapres, que inicia sus
operaciones el 1 de enero de 2005, conforme lo establece la Ley de Autoridad Sanitaria
(Ley N° 19.937). Dicho cuerpo legal sienta las bases de una nueva institucionalidad en el
Sistema de Salud chileno, ya que permite concretar los aspectos más fundamentales de la
mayor reforma que se ha realizado al sector en los últimos cincuenta años.
(Superintendencia de Salud, 2018)

Contexto general Isapre Masvida S.A.

El origen de la Isapre Masvida S.A. se remonta a la década de los ‘80s, conformada como
una institución de salud de médicos. Bajo estos criterios, el Holding Empresas Masvida
(EMV) contaba en el año 2014 con más de 6 mil médicos como propietarios, a través de
una red de 84 sociedades de inversión.

Masvida, una de las isapres más grandes del mercado, se repartía el mercado junto con
otras 5 instituciones de las mismas características, con un porcentaje de participación
dentro de su rubro de aproximadamente el 17% de los cotizantes, los cuales, hacia fines del
año 2016 llegaban a ser cerca de 310 mil afiliados.

No se ha establecido con exactitud el inicio de la crisis, aunque de acuerdo a noticias

publicadas en los medios de comunicación, la situación data al menos desde el año 2015.
Durante el año 2016 la entidad solicitó a la Superintendencia de Salud, que se liberaran
$111 mil millones por concepto de garantía, lo que dio las primeras señales de alarma
frente a la situación que estaba presentando el organismo.

Finalmente en abril del año 2017, Isapre Masvida acepta propuesta hecha por Nexus Chile
(Isapre Óptima), sobre su traspaso de cartera, donde Nexus se quedaría con el 85% de la

Módulo: Sistemas Integrados de Riesgo Página 3

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

propiedad y el resto quedaría en manos de los médicos del holding. Con el traspaso de
cartera de clientes a Nexus, en primer lugar se cancela el registro de la Isapre Masvida S.A.
y se hace efectiva su garantía legal y por su parte Isapre Óptima retoma las funciones de la
extinta isapre, pasando a llamarse Isapre Nueva Masvida S.A.

Gobierno Corporativo Isapre Masvida

Hemos indagado en información corporativa y de gobierno para la Isapre Masvida, pero no

hemos podido encontrar información ni menciones referentes a políticas internas, código de
ética, políticas de riesgos, sustentabilidad, responsabilidad social empresarial ni otros
documentos que den cuenta de algún compromiso organizacional con normas y buenas
prácticas de gobierno corporativo. No obstante lo anterior en la Isapre Nueva Masvida, se
esbozan algunas ideas como las siguientes:

Ilustración 1 - Misión, Visión y valores Isapre Nueva Masvida

Al igual que en el caso de la antecesora Isapre Masvida, no hemos podido identificar en

información corporativa datos de políticas de riesgos, estrategias de negocios, ni
documentos que den indicios del gobierno corporativo. Lo anterior, viene en confirmar y
dar cierto grado de continuidad a estas debilidades que según el “informe de situación de
isapre Masvida” (Robert Rivas Carrillo, 2017), son las siguientes:

Módulo: Sistemas Integrados de Riesgo Página 4

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Ilustración 2 - Diapositiva N°7 informe de situación Isapre Masvida

Tomando como base estos antecedentes básicos y de la lectura complementaria de

antecedentes públicos, más algunos supuestos lógicos, desarrollaremos el requerimiento del
análisis de las 3 líneas de defensa y COSO ERM 2017.

Desarrollo de los requerimientos

Requerimiento N°1: Análisis de las tres líneas de defensa y COSO ERM 2017

El modelo de las 3 líneas de defensa1 es una declaración de posición emitida por el instituto
de Auditores internos de Estados Unidos (theiia), en donde define la responsabilidad de la
funciones de control en 3 líneas principales: Las funciones que son propietarias de los
riesgos y los gestionan, las funciones que supervisan los riesgos y las funciones que
proporcionan aseguramiento independiente.

En el caso planteado de la Isapre, podemos identificar ciertas debilidades en la operación y

conformación de estas líneas, ya sea por inexistencia de funciones de supervisión, ausencia
de funciones de aseguramiento independiente y otras relativas a los propietarios. A
continuación una lista de las principales observaciones obtenidas de los informes al
organismo regulador (Sebastián Pavlovic Jeldres, 2017) y (Robert Rivas Carrillo, 2017).

1
PP The Three Lines of Defense in Effective Risk Management and Control Spanish, Theiia, Enero 2013

Módulo: Sistemas Integrados de Riesgo Página 5

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Primera línea de defensa: Funciones que son propietarias de los riesgos y los gestionan.

1. Errores en identificación de destinatarios de reembolsos y duplicaciones en

Programas Médicos y reembolsos.
2. Contratos de servicios externos sin respaldos de contratos.
3. Operaciones con empresas relacionadas informadas como proveedores.
4. Falta de confirmaciones de deuda por parte de prestadores.
5. Pagos a ejecutivos del holding.
6. Falta procedimientos y baja adhesión a prácticas.
7. Desorden administrativo, falta de control, mala información.

Segunda Línea de defensa: Funciones que supervisan los riesgos.

8. Debilidades en la gestión de riesgos.

9. Aparente ausencia de función de compliance.

Tercera Línea de defensa: Funciones que proporcionan aseguramiento independiente.

10. Aparente ausencia de la función de auditoría interna.

Análisis modelo 3 líneas de defensa:

 En la primera Línea, quedan de manifiesto debilidades de control de distinta

naturaleza e impactos, cuya constante se refiere a que los propietarios de los riesgos
omitieron o cometieron errores en procesos de control que, suponemos, deberían
haber estado implementados.

 En la segunda Línea, ante la ausencia de información específica, la presunción más

lógica nos lleva a concluir que la función de gestión de riesgos no existía o bien no
cumplía los objetivos para la cual supuestamente habría estado diseñada, mismo
caso para una función de cumplimiento, en donde era muchísimo más probable
poder supervisar riesgos de cumplimiento regulatorio, indicadores y otras
regulaciones propias de la industria.

 En la tercera línea, y ante la falta de información y evidencia de trabajos, informes,

o menciones del ente regulador, podemos deducir que la función de auditoría
interna no existía como tal o bien puede haber tenido algún conflicto de posición
que no le permitiera haber transparentado estas situaciones que evidentemente
podían poner en riesgo la continuidad operacional de la compañía.

Módulo: Sistemas Integrados de Riesgo Página 6

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Análisis COSO ERM 2017

El modelo COSO ERM 2017, propone 5 componentes y 20 principios que la organización

debería poder implementar y evaluar para cumplir sus objetivos estratégicos:

1. Gobierno y cultura: El Gobierno marca el tono en la entidad, reforzando la importancia de la

gestión del riesgo empresarial y estableciendo responsabilidades de supervisión al respecto. La
cultura hace referencia a los valores éticos, a los comportamientos deseados y a la comprensión
del riesgo en la entidad.
2. Estrategia y establecimiento de objetivos: La gestión del riesgo empresarial, la estrategia y el
establecimiento de objetivos funcionan juntos en el proceso de planificación estratégica. Se
establece un apetito al riesgo y se alinea con la estrategia; los objetivos del negocio ponen en
práctica la estrategia al tiempo que sirven de base para identificar, evaluar y responder ante el
riesgo.
3. Desempeño: Es necesario identificar y evaluar aquellos riesgos que puedan afectar a la
consecución de los objetivos estratégicos y de negocio. Los riesgos se priorizan en función de su
gravedad en el contexto del apetito al riesgo. Posteriormente, la organización selecciona las
respuestas ante el riesgo y adopta una visión a nivel de cartera con respecto al nivel de riesgo que
ha asumido. Los resultados de este proceso se comunican a las principales partes interesadas en el
riesgo.
4. Revisión y monitorización: Al examinar el desempeño de la entidad, una organización puede
determinar cómo funcionan los componentes de gestión del riesgo empresarial con el paso del
tiempo en un entorno de cambios sustanciales, y qué aspectos son susceptibles de revisar y
modificar.
5. Información, comunicación y reporte: La gestión del riesgo empresarial requiere un proceso
continuo de obtención e intercambio de la información necesaria, tanto de fuentes internas como
externas, que fluya hacia arriba, hacia abajo y a lo largo de todos los niveles de la organización.

(COSO, 2017)

Del análisis del caso y la recopilación de los antecedentes de los informes mencionados con
antelación (Robert Rivas Carrillo, 2017), podemos deducir que la Isapre no tenía siquiera
un plan estratégico donde hubiese analizado el contexto empresarial, definido su apetito al
riesgo ni formulado objetivos de negocio, por lo tanto en rigor difícilmente podría medirse
el desempeño, identificar riesgos, priorizarlos, ni definir actividades de control.

Acá nos encontramos con el lamentable caso en donde una organización ha definido visión
y misión sin plantearse una carta de navegación clara, con metas, objetivos y un desarrollo
que le permita ir cumpliendo esos objetivos, más parecido a una idea, una cultura
organizacional de médicos que saben de medicina y que quieren a sus pacientes felices, que
se hicieron de un negocio que creció, pero que, dadas las consecuencias de su debacle,
evidentemente no pudieron manejar como se supone que debían hacerlo.

Módulo: Sistemas Integrados de Riesgo Página 7

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Requerimiento N°2: Construcción de un mapa de riesgo o de calor.

En el caso se nos plantea poder identificar 10 riesgos (7 operativos y 3 estratégicos), para lo

cual, en primera instancia (antes de la identificación misma de los riesgos) es necesario
entender el marco general bajo el cual los riesgos serán evaluados, ya que identificar un
riesgo sin evaluarlo y hacer la gestión necesaria, es definitivamente una tarea incompleta en
su sentido más práctico y objetivo. Por lo tanto, y dado que no hay información acerca de la
forma de medición de los riesgos en la Isapre, hemos diseñado una estructura para
evaluarlos considerando impactos probables y probabilidad de ocurrencia.

El marco es el siguiente:

IMPACTOS INSIGNIFICANTE BAJO M EDIO ALTO CATASTROFICO

Pérdidas que vayan en Pérdidas que vayan en Pérdidas que vayan en Pérdidas que vayan en Pérdidas que vayan en
FINANCIEROS
torno al 5% torno al 15% torno al 20% torno al 25% torno al 30%
Daños relativos en
Falta de atención, Daños permanentes en M uerte de un paciente
Daños menores en pacientes por falta de
reclamos, sin un paciente por falta de por falta de atención, con
OPERACIONALES pacientes por falta de atención, suspensión
extrapolación a medios atención, con suspensión cancelación de registro de
atención, sin cancelación temporal de alguna
de comunicación. temporal del servicio. salud
unidad medica
Falta de cumplimiento de Falta de cumplimiento de
Falta de cumplimiento de
Falta de cumplimiento de Falta de cumplimiento de coberturas en el contrato coberturas en el contrato
coberturas en el contrato
coberturas en el contrato coberturas en el contrato de salud a usuarios de salud a usuarios
de salud a grupo de
de salud a un usuario, no de salud a un usuario, no extendidos, no pago de extendidos, no pago de
usuarios, no pago de
pago de licencia, y otros pago de licencia, y otros licencias, y otros licencias, y otros
CUMPLIMIENTO LEGAL licencias, y otros
incumplimientos incumplimientos incumplimientos incumplimientos
incumplimientos
menores laborales, menores laborales, menores laborales, menores laborales,
laborales, tributarios con
tributarios sin multas tributarios con multas tributarios con multas tributarios con altas
multas que no implican
asociadas. menores asociadas. que no implican perdida multas asociadas y
perdida de continuidad.
de continuidad. cancelación operacional.
Reclamo de un grupo
Reclamo de un cliente
Reclamo de un cliente Reclamo de un grupo mayor de clientes, con
directamente en la
directamente en la mayor de clientes, con intervención de los
Reclamo de un cliente empresa, con
empresa, con intervención de los medios y amplia
directamente en la intervención de los
IMAGEN Y REPUTACIÓN intervención de los medios y amplia cobertura en redes
empresa, sin intervención medios y amplia
medios y relativa cobertura en redes sociales y otros medios
de los medios cobertura en redes
cobertura en redes sociales y otros medios de comunicación a nivel
sociales y otros medios
sociales de comunicación. nacional, viralizaciones,
de comunicación.
etc.
PROBABILIDAD
Evento que ocurre al
M UY
PROBABLE
menos dentro de los 5 10 15 20 25
proximos (3 meses)
Evento que ocurre al
ALTO menos dentro de los 4 8 12 16 20
proximos (6 meses)
Evento que ocurre al
M EDIO menos dentro del 3 6 9 12 15
(proximo año.)
Evento que ocurre al
BAJO menos dentro de los 2 4 6 8 10
proximos 3 años
Evento que no hay
certeza de que ocurra al
REM OTA
menos dentro de los 1 2 3 4 5
proximos 10 años
Ilustración 3 - Marco de evaluación de riesgos propuesto

Con este marco, vamos a hacer la identificación de los riesgos y la evaluación requerida.

Módulo: Sistemas Integrados de Riesgo Página 8

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Riesgos: Operativo, estratégico, inherente y residual

Riesgos operativos: Riesgos estratégicos:

Como su nombre lo indica, son riesgos que
aparecen o se contextualizan en la
operatividad o procesos tácticos de la
organización. Son asociados a ciclos de
negocios tales como tesorería, pago a
proveedores, remuneraciones, etcétera.
Hemos identificado en el caso los
siguientes riesgos operativos.
Son riesgos en procesos estratégicos y
de gobierno corporativo que se
relacionan con la probabilidad de
impactar o afectar la misión, visión,
valores compartidos y/o planes de largo
plazo.

Riesgo inherente y residual

El riesgo inherente es el riesgo presente en toda actividad y para su medición,

hay que considerar el riesgo como si no existiera ninguna actividad de control
asociado. El riesgo residual es el resultante del riesgo considerando las
actividades de control existentes.
En este caso en particular, es posible hacer una estimación de valor de riesgo
inherente, pero no de riesgo residual ya que desconocemos los controles que la
sociedad podría haber tenido diseñados. En consecuencia vamos a “suponer” la
existencia de ciertos controles ficticios sólo y exclusivamente para efectos de
construcción del requerimiento.

Módulo: Sistemas Integrados de Riesgo Página 9

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Actividades de control

Una actividad de control, es una acción formal o informal que hace la organización, cuyo
objetivo es la minimización de un riesgo, ya sea de manera preventiva, detectiva o
correctiva, aplicada de manera automática o manual y en distintas oportunidades, ya sea
esporádica o permanentemente.

El diseño de una actividad de control y su funcionamiento en la práctica (efectividad

operativa), definitivamente aportan a la gestión de los riesgos en el sentido de minimizar ya
sea la probabilidad de su ocurrencia o los impactos probables.

En el caso hemos evaluado los controles desde 3 factores principales:

 Oportunidad de aplicación del control: Preventivo, detectivo y correctivo.

 Grado de automatización: Automático, semiautomático o manual.
 Periodicidad del control: Cada vez que ocurre, periódico, eventual.

Para la evaluación de las actividades de control (ficticias), hemos utilizado principalmente

el juicio profesional, ya que entendemos que se trata de un ejercicio académico cuyo
propósito es comprender la metodología de evaluación más que tener certeza absoluta de la
evaluación de riesgos que pudieron llevar a Isapre Masvida a su cierre definitivo con todos
los efectos y consecuencias conocidas y planteadas en el caso.

Con el sólo objetivo de simplificar la comprensión de la evaluación general de los riesgos,

tanto inherente como residual, hemos diseñado una matriz de riesgos que incorpora estos
elementos en su conjunto y que podemos observar en las siguientes páginas.

Evaluación y clasificación de riesgos.

Para la evaluación de los riesgos en base al marco de evaluación, clasificaremos los riesgos
según la siguiente tabla:

Clasificación Valores entre

ROJO - EXTREMO 20 - 25
NARANJO - ALTO 12 - 16
AMARILLO - MEDIANO 4 - 10
VERDE - BAJO 1-3

Módulo: Sistemas Integrados de Riesgo Página 10

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Matriz de riesgos - Operativos

ID Tipo RIESGOS PROB. IMPACTO INHER ACTIVIDAD DE CONTROL AUT OPOR PERIOD RESIDUAL
Que se produzcan pagos Todos los pagos a miembros del directorio,
Operativo - MUY CADA VEZ QUE
ROP01 irregulares a miembros del ALTO EXTREMO son aprobados por la mayoría del comité de MANUAL PREVENTIVO ALTO
Táctico PROBABLE OCURRE
directorio finanzas del directorio.
Todos los pagos a empresas relacionadas,
Que se produzcan pagos
Operativo - MUY son revisados por gerencia de finanzas y CADA VEZ QUE
ROP02 irregulares a empresas ALTO EXTREMO MANUAL PREVENTIVO ALTO
Táctico PROBABLE aprobados por la mayoría del comité del OCURRE
intercompañías.
directorio.
Todos los egresos por concepto de bienes
y servicios recibidos de proveedores, son
Operativo - Que se produzcan pagos MUY
ROP03 BAJO MEDIO revisados por departamento de pago MANUAL DETECTIVO PERMANENTE MEDIO
Táctico irregulares a proveedores PROBABLE
proveedores y visados por gerencia de
finanzas.
Que se produzcan pago a Recibido los fondos, se gestionan de
Operativo - CADA VEZ QUE
ROP04 prestadores, con garantías del BAJO ALTO MEDIO manera prudencial los pagos a prestadores MANUAL CORRECTIVO MEDIO
Táctico OCURRE
estado, inexistentes. en base a antigüedad y monto.
Que no existan lineamientos
Operativo - MUY
ROP05 para pago a proveedores y MEDIO ALTO No se identifica actividad de control NO HAY NO HAY NO HAY ALTO
Táctico PROBABLE
prestadores médicos.
Que se favorezcan
proveedores particulares o se
Operativo - hagan compras sin evaluar MUY Las compras de bienes o servicios deben
ROP06 MEDIO ALTO MANUAL PREVENTIVO PERMANENTE MEDIO
Táctico ofertas económicamente más PROBABLE tener al menos 3 alternativas de cotización.
convenientes para la
compañía.
Los traspasos de dinero y movimientos
entre empresas relacionadas se efectúan a
traves de solicitudes expresas formales vía
Que se produzcan traspasos
Operativo - mail sólo y exclusivamente entre gerentes CADA VEZ QUE
ROP07 de dinero no documentados ALTO ALTO ALTO MANUAL PREVENTIVO MEDIO
Táctico generales de las compañías, quienes deben OCURRE
entre empresas relacionadas.
aprobar en primera instancia estas
transferencias y seguir el proceso normal
de pagos.

Hemos querido “diseñar” algunos controles para evaluar como estos podrían impactar residualmente a los riesgos.

Módulo: Sistemas Integrados de Riesgo Página 11

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Matriz de riesgos - Estratégicos

ID Tipo RIESGOS PROB. IMPACTO INHER ACTIVIDAD DE CONTROL AUT OPOR PERIOD RESIDUAL
Que existan conflictos de
intereses al interior de la
No se identifica actividad de
RES01 Estrategico sociedad: roles incompatible ALTO ALTO ALTO NO HAY NO HAY NO HAY ALTO
control
de accionista, director y/o
prestador.
Que se produzcan operaciones
o transacciones comerciales No se identifica actividad de
RES02 Estrategico BAJO CATASTROFICO MEDIO NO HAY NO HAY NO HAY MEDIO
fuera de los marcos control
regulatorios existentes.

Que el Directorio o la
administración no tenga la
expertiz técnica necesaria para No se identifica actividad de
RES03 Estrategico MEDIO ALTO ALTO NO HAY NO HAY NO HAY ALTO
el correcto funcionamiento de control
la compañía en todos los
aspectos.

Que no se identifiquen,
evalúen y gestionen los
No se identifica actividad de
RES04 Estrategico riesgos de negocio, tento MEDIO ALTO ALTO NO HAY NO HAY NO HAY ALTO
control
estratégicos y tácticos como
los operacionales.

Que se produzcan conflictos

No se identifica actividad de
RES05 Estrategico de interés en prácticas de MEDIO ALTO ALTO NO HAY NO HAY NO HAY ALTO
control
negocios de la compañía.

Hemos querido “omitir” el diseño de controles, en atención a que en el caso todo apunta a que estratégicamente y en términos de
gobiernos corporativos la Isapre no tenía diseñadas políticas, gestión de riesgos y otras instancias de segunda o tercera línea de
defensa.

Módulo: Sistemas Integrados de Riesgo Página 12

Facultad de Economía y Negocios
Magíster en Control y Gestión de Riesgo Corporativo (MCGRC)

Es una herramienta de visualización de datos que tiene el objetivo de concentrar y definir

niveles de riesgo, según su probabilidad de ocurrencia e impacto dentro de la sociedad, para
comunicarlos a la compañía y que esta genere planes de acción que los enfrente. Este mapa
debe contemplar una evaluación en base a dos criterios anteriormente definidos
(probabilidad e impacto) y establecer un comportamiento sobre los riesgos inherentes y
residuales.

En base a los riesgos definidos anteriormente y su evaluación, se propone el siguiente mapa

de riesgos:

Este esquema y su evaluación, permite identificar la situación actual de la compañía frente

a sus riesgos, como se determinan y su ponderación en base a la probabilidad de ocurrencia
y su impacto. Es necesario también evaluar su parte residual o riesgo después de aplicado el
control, ya que posiblemente un riesgo que sea altamente probable y de un impacto
significativo, aplicado el control, baje su ponderación y no caiga en el radar de auditores
internos o entes fiscalizadores.
Entonces aquí se hace preponderante un sistema de control interno eficaz que otorgue a esta
matriz, la robustez y detalle suficiente para que toda la administración y gerencia pueda
visualizar de mejor manera lo que puede salir mal y de esta forma aplicar las correcciones
que sean necesarias.

Requerimiento 3: Indicar solución GRC que permita optimizar la gestión de riesgos.

Para dar un enfoque holístico a todo lo visto anteriormente, en relación a los riesgos y su
gestión, una solución para la problemática generada en la Isapre, es la implementación de
un modelo GRC, en donde efectivamente, se definan claramente la estrategia y los
objetivos de la entidad, se promueva una cultura de cambio, enfocada en la mejora continua
y la gestión de los riesgos, se promueva la creación de una gerencia de auditoría interna,
que dependa y reporte al directorio.
Todo esto, utilizado y gestionado a través de aplicaciones tecnológicas que permitan
visualizar los diferentes indicadores de riesgos, como información importante para la toma
de decisiones y el monitoreo de su comportamiento a través del tiempo y que esta
información se encuentre disponible en tiempo real, de forma oportuna y disponible para la
alta dirección.

Módulo: Sistemas Integrados de Riesgo Página 13