Contenido principal
Superintendencia de Seguridad Social (SUSESO) - Gobierno de Chile

Compendio de Normas del Seguro Social de Accidentes del Trabajo y Enfermedades Profesionales


A. Sistema de gestión de riesgos

LIBRO VII. ASPECTOS OPERACIONALES Y ADMINISTRATIVOS

TÍTULO IV. Gestión integral de riesgos

A. Sistema de gestión de riesgos

Sistema de gestión del riesgo

A. Sistema de gestión de riesgos

CAPÍTULO I. Objetivo y marco referencial de la normativa

Objetivo y marco referencial de la normativa

La creciente complejidad de las operaciones y procesos ejecutados por las entidades, ha provocado que los sistemas tradicionales de supervisión no respondan adecuadamente a los cambios del entorno. La medición tradicional de la solvencia y el control del cumplimiento del marco regulatorio basado fundamentalmente en aspectos normativos, no permite medir adecuadamente la capacidad de la entidad para afrontar escenarios de dificultad operacional y financiera, puesto que la supervisión es preponderantemente reactiva.

Por lo tanto, se hace necesario desarrollar un nuevo esquema de supervisión, que sea proactivo y que permita actuar con oportunidad para adaptarse a los desafíos impuestos por la innovación y los cambios tecnológicos. De acuerdo a esta tendencia, orientada hacia la evaluación de la fortaleza integral de las entidades, la evaluación que debe realizar el supervisor debe enfocarse en la gestión de los riesgos que enfrenta la entidad, además del cumplimiento normativo.

Al respecto, la Superintendencia de Seguridad Social ha estimado necesario avanzar en la implementación de un modelo de supervisión basado en riesgos aplicable a las mutualidades, considerando que estas entidades se ven enfrentadas a una serie de riesgos relevantes. A continuación, se entregan los elementos centrales que las mutualidades deben adoptar para la gestión del riesgo operacional, técnico, de mercado, de liquidez de crédito y reputacional.

En efecto, las mutualidades en su calidad de organismos sin fines de lucro administradores del Seguro Social contra Riesgos de Accidentes del Trabajo y Enfermedades Profesionales establecido en la Ley N°16.744, se ven expuestas a riesgos que, de materializarse, podrían ocasionar consecuencias operacionales y financieras negativas, impactando directamente en el patrimonio y en la capacidad para cumplir con el otorgamiento de las prestaciones comprometidas por dichas entidades.

Desde esta perspectiva, la Superintendencia de Seguridad Social estima que las decisiones operacionales y financieras que adopten los miembros del directorio de la mutualidad, así como también la alta gerencia, deben incorporar las mejores prácticas respecto a la gestión de los riesgos.

Por lo anterior, se requiere que los riesgos a los cuales se ven enfrentadas las mutualidades sean identificados, analizados, evaluados, tratados y monitoreados, con la finalidad que el riesgo asumido se mantenga dentro de los límites prudentes definidos por la entidad, los cuales deben considerar los objetivos del Seguro Social de la Ley N°16.744.

CAPÍTULO II. Definiciones

Definiciones

CAPÍTULO II. Definiciones

1. Gestión de riesgos

Gestión de riesgos

Corresponde al proceso de identificación, análisis, evaluación, tratamiento y monitoreo de los riesgos que debe realizar la mutualidad en el desarrollo de las actividades necesarias para el cumplimiento de sus obligaciones en el marco legal y reglamentario que las rige.

2. Riesgo operacional

Riesgo operacional

Corresponde al riesgo de falla en la operación derivado de la inadecuación o a errores en los procesos internos, del personal, de los sistemas y de los controles internos aplicables o bien a causa de acontecimientos externos.

En relación al riesgo operacional, es necesario considerar las siguientes definiciones:

  1. Dueño de procesos

    Corresponde a aquel trabajador de la mutualidad designado para ser responsable de la administración de un proceso.

  2. Riesgo inherente

    Corresponde a aquel riesgo que por su naturaleza no puede ser separado del proceso o subproceso en que éste se presenta. Corresponde al riesgo en su estado puro, sin considerar la existencia de controles o mitigadores del riesgo.

  3. Riesgo residual

    Corresponde al nivel de riesgo remanente que existe con posterioridad a haberse implementado las medidas mitigadoras de control.

  4. Riesgo aceptado

    Corresponde al nivel de riesgo que la mutualidad está dispuesta a aceptar en concordancia con sus políticas de gestión de riesgos y sus responsabilidades establecidas en el marco legal que la rige.

  5. Matriz de riesgos y controles

    Corresponde a una herramienta a través de la cual se identifican los riesgos asociados a un proceso o subproceso, su evaluación cualitativa o cuantitativa, los controles asociados junto a su efectividad y el nivel de riesgo residual, con el objetivo de priorizar, orientar y focalizar el tratamiento del riesgo.

3. Riesgo técnico

Riesgo técnico

Corresponde al riesgo de constituir o reconocer reservas insuficientes derivado de una valorización inadecuada o de errores en los métodos que se utilizan para el cálculo de las reservas.

El riesgo técnico comprende a su vez:

  1. Riesgo de tasa de interés técnico

    Corresponde al riesgo que enfrenta la mutualidad ante la valoración inadecuada de la tasa de interés técnico.

  2. Riesgo de longevidad

    Corresponde al riesgo de constituir reservas insuficientes debido al aumento de las expectativas de vida de los beneficiarios del Seguro de la Ley N°16.744.

  3. Riesgo de gestión de siniestros

    Corresponde al riesgo que enfrenta la mutualidad respecto de una errónea calificación de los tipos de siniestros al que se enfrenta o de una estimación incorrecta del monto a desembolsar por el siniestro, incluyendo todos los gastos operacionales.

4. Riesgo de mercado

Riesgo de mercado

Corresponde al riesgo de pérdida o de modificación adversa de la situación financiera resultante, directa o indirectamente, de fluctuaciones en el nivel y en la volatilidad de los precios de mercado de los activos y pasivos financieros.

Este riesgo se ve influenciado, principalmente, por la tasa de interés y por los cambios en los precios de determinados activos, que se precisan a continuación:

  1. Riesgo de pérdida por cambios en la tasa de interés de mercado

    Corresponde al riesgo de sufrir pérdidas por movimientos adversos en las tasas de interés de mercado y que afecta el valor de los instrumentos financieros, préstamos y otras operaciones registradas en el balance, según corresponda.

  2. Riesgo de pérdida por cambios en los precios de determinados activos

    Corresponde al riesgo de pérdida ante cambios en los precios de los activos, tales como bienes raíces, inversiones en renta variable o las variaciones de precios de determinadas monedas o índices.

5. Riesgo de liquidez

Riesgo de liquidez

Corresponde al riesgo de pérdida producto que la mutualidad no es capaz de obtener eficiente y oportunamente los fondos necesarios para asumir el flujo de pago de sus obligaciones, previstas e imprevistas, sin que se vea afectada su operativa diaria o su situación financiera.

6. Riesgo de crédito

Riesgo de crédito

Corresponde al riesgo de pérdida o de modificación adversa de la situación financiera debido a la probabilidad de incumplimiento de pago de las cotizaciones por las entidades empleadoras adheridas y los trabajadores independientes, emisores de valores, contrapartes y otros deudores, al que están expuestas las mutualidades.

7. Reserva por prestaciones

Reserva por prestaciones

Corresponde a las reservas que deben constituir las mutualidades producto de las obligaciones futuras derivadas de siniestros ya ocurridos, aun cuando ellos no les hayan sido reportados y el costo final de cumplir con dichas obligaciones no sea conocido en el presente.

  1. Reserva por pago de pensiones

    Corresponde a las reservas que se constituyen para resguardar el pago de las pensiones temporales y vitalicias, establecidas en los artículos 38 al 50 de la Ley Nº16.744, referidos al régimen de pensiones.

  2. Reserva por indemnizaciones

    Corresponde a las reservas que se constituyen para resguardar el pago de las indemnizaciones establecidas en el artículo 35 de la Ley Nº16.744.

  3. Reserva por subsidios por incapacidad temporal

    Corresponde a las reservas que se constituyen para resguardar el pago de los subsidios establecidos en el artículo 30 de la Ley Nº16.744.

  4. Reserva por prestaciones médicas

    Corresponde a las reservas que se constituyen por el reconocimiento de las obligaciones de otorgar prestaciones médicas a trabajadores y pensionados hasta su curación completa o mientras subsistan los síntomas de las secuelas causadas por el accidente del trabajo o la enfermedad profesional,
    incluyéndose las responsabilidades derivadas de la aplicación de los programas de vigilancia. Esta responsabilidad surge de los derechos que tienen los afectados por accidentes del trabajo y enfermedades profesionales.

8. Continuidad operacional

Continuidad operacional

Se entenderá como continuidad operacional la función de gestión que se lleva a cabo en una organización para asegurar la continuidad de sus procesos operacionales, frente a la materialización de eventos adversos, manteniendo su disponibilidad para sus beneficiarios, proveedores, y otras partes interesadas.

El sistema de gestión de la continuidad operacional está conformado por las políticas, guías, estándares y procedimientos implementados por la mutualidad. Todo el diseño, implementación, soporte y mantenimiento de los sistemas deberán estar fundamentados en la obtención de un adecuado Plan de Continuidad Operacional, recuperación de desastres y en algunos casos, soporte al sistema.

9. Análisis de Impacto del Riesgo (Risk Impact Analysis o RIA)

Continuidad operacional

Corresponde al proceso mediante el cual se identifican y evalúan los riesgos de procesos de la mutualidad, centrado en aquellos riesgos que podrían afectar a la continuidad operativa de la organización.

10. Análisis de Impacto al Negocio (Business Impact Analysis o BIA)

Análisis de Impacto al Negocio (Business Impact Analysis o BIA)

Corresponde al proceso mediante el cual se realiza el análisis para estimar los efectos y/o consecuencias que, en el contexto de la continuidad de sus operaciones, podría provocar la ocurrencia de algún evento.

11. Riesgo reputacional

Riesgo reputacional

Se entenderá por riesgo reputacional aquel relacionado con las consecuencias o efectos adversos en la reputación corporativa, producto de la pérdida de confianza de los adherentes, beneficiarios, organizaciones sociales, medios de comunicación y/o comunidad en general, en la integridad de las entidades o en el funcionamiento del Seguro de la Ley N°16.744, debido a una acción u omisión de la mutualidad.

Para fines de la presente normativa, se entenderá por reputación corporativa, al conjunto de percepciones que tienen sobre la mutualidad los diversos grupos de interés con los que se relaciona, tanto internos como externos, como resultado del comportamiento desarrollado por la mutualidad a lo largo del tiempo y de su capacidad para distribuir valor a los mencionados grupos. En este sentido, se diferencia del concepto de imagen corporativa, el cual se entiende como la forma como las mutualidades de la Ley N°16.744 se presentan a sí mismas, a sus entidades empleadores adherentes, a los trabajadores protegidos, a sus propios trabajadores y a los organismos fiscalizadores, entre otros.

12. Cumplimiento corporativo

Cumplimiento corporativo

Se entenderá como cumplimiento corporativo, la función orientada a asegurar el cumplimiento, entre otras, de las normas legales, reglamentarias y administrativas, de las políticas, protocolos internos, certificaciones, estándares éticos y buenas prácticas, y de gestionar el riesgo provocado por eventuales incumplimientos.

CAPÍTULO III. Gestión de los riesgos de las mutualidades

Gestión de los riesgos de las mutualidades

La gestión de los riesgos deberá ser implementada por la mutualidad, teniendo presente las responsabilidades del directorio, de los dueños de los procesos, de las unidades especializadas, de auditoría interna y, en general, del personal de la mutualidad, el cual debe conocer y participar activamente en la gestión de riesgos. La gestión de los riesgos se basa en las políticas de gestión de riesgos, componentes fundamentales que proporcionan las directrices del sistema de gestión.

CAPÍTULO III. Gestión de los riesgos de las mutualidades

1. Identificación de los riesgos más relevantes de la mutualidad

Identificación de los riesgos más relevantes de la mutualidad

Con el fin de asegurar que la planificación estratégica de la mutualidad y su gestión de riesgos estén alineados, se deben identificar dentro de los riesgos levantados, los principales riesgos estratégicos, es decir, aquellos riesgos relacionados directamente con el cumplimiento de los objetivos estratégicos de la mutualidad, los que deben considerar el adecuado cumplimiento con la administración y prestación del Seguro con foco en el beneficiario. Estos riesgos deben ser monitoreados mediante indicadores clave de riesgo (KRI) definidos por la mutualidad, los que deben estar disponibles para revisión de la Superintendencia de Seguridad Social.

2. Definición de una estrategia para gestionar los riesgos

Definición de una estrategia para gestionar los riesgos

Las mutualidades deberán establecer una estrategia de gestión de sus riesgos, compuesta por las políticas, manuales, procedimientos y todos los elementos que conforman el sistema de gestión de riesgos. Esta estrategia debe establecer, entre otros, los objetivos generales buscados por la mutualidad, describir los elementos y procesos básicos de la gestión de los riesgos, describiendo los roles y responsabilidades de los distintos estamentos involucrados.

Se deberá identificar y cuantificar la magnitud de cada uno de los riesgos a los que se enfrenta la mutualidad, proyectando su probabilidad o frecuencia de ocurrencia y la magnitud de su impacto, con el fin de determinar la necesidad de medidas mitigadoras tanto de las actividades en curso como de todo nuevo proyecto significativo.

Esta evaluación puede ser realizada con diversas técnicas, siendo una buena práctica que la gerencia general tenga la responsabilidad de elegir modelos apropiados a la naturaleza y complejidad de las operaciones de la mutualidad, y que sean aprobados por el directorio. Los riesgos deberán evaluarse por su potencial inherente antes de estar sometidos a controles. De otro modo, cabría la posibilidad de ignorar riesgos inherentes que, estando actualmente sometidos a controles efectivos, podrían dejar de estarlo en el futuro por cambios en el entorno.

Una vez identificados y evaluados los riesgos en la forma antes descrita, corresponde compararlos con los límites de riesgos determinados por el directorio de la mutualidad. Todo riesgo que excede los límites aceptados deberá ser objeto de actividades de mitigación y control, debiendo efectuarse un monitoreo periódico del estado de avance de dichas actividades.

Como se ha indicado, la gestión de riesgos tiene por objeto identificar y evaluar la totalidad de los riesgos significativos a los que se enfrenta la mutualidad, establecer y monitorear las actividades de control de tales riesgos, e informar a todos los participantes los resultados de este proceso. Por lo tanto, la gestión de riesgos es un proceso continuo, en que los resultados sirven para redefinir los riesgos y mejorar los procesos de la misma gestión.

3. Roles y responsabilidades en la gestión de riesgos

Roles y responsabilidades en la gestión de riesgos

  1. Directorio

    Se considerará buena práctica que el directorio contemple entre sus funciones la responsabilidad de la gestión de riesgos y determinación de la estrategia general de gestión de riesgos de la entidad, pudiendo en todo caso delegar en la gerencia general su implementación adecuada y eficiente. Las funciones del Directorio, en esta materia, debieran comprenden al menos las recomendaciones indicadas en la Letra B, Título I, de este Libro VII.

  2. Comité de riesgos

    Es recomendable que el directorio, de modo de involucrarse activamente en la gestión de riesgos, constituya un comité de riesgos, el cual sesione periódicamente y se componga a lo menos por un director representante de las entidades empleadoras adherentes y un director representante de los trabajadores, y que cuente con la participación permanente de asesores externos y del responsable del área especializada en la gestión de riesgos, con derecho a voz, pudiendo ser excluidos de las deliberaciones en cualquier momento a petición de un director.

    Se considerará buena práctica que los asesores externos sean elegidos por los directores que integren el comité, debiendo quedar constancia de la elección en el acta respectiva. Además, es recomendable que suscriban un contrato de prestación de servicios donde se establezca claramente el contexto en el cual se genera la contratación, el objeto o finalidad de la prestación de servicios, los derechos y obligaciones de las partes, el valor pagado por la prestación y su periodicidad, la duración de la prestación, las condiciones de término del contrato, los mecanismos de solución de controversias, entre otros.

    De igual modo, el estatuto del comité, aprobado por el directorio, debiese ser remitido a la Superintendencia de Seguridad Social en el mes siguiente a haber adoptado el respectivo acuerdo, así como sus modificaciones posteriores. El estatuto debe establecer los objetivos, funciones, responsabilidades, frecuencia de reuniones y todos aquellos aspectos necesarios para su adecuada constitución y funcionamiento.

    Asimismo, todas las decisiones y aspectos relevantes que se traten en el comité debiesen quedar registrados de manera formal a través de un acta, donde se deje constancia de los argumentos entregados por cada uno de los participantes respecto de las materias tratadas en cada sesión.


    Será buena práctica que las funciones del comité de riesgos comprendan al menos:

    1. Definir y proponer al directorio, la estrategia y las políticas de gestión de riesgos para la mutualidad.
    2. Conocer en detalle los niveles de exposición y los riesgos asumidos con base en la metodología aprobada por el directorio.
    3. Proponer al directorio los criterios de aceptación de los riesgos que se desean gestionar dentro de la mutualidad, de acuerdo con su ámbito de actividad, a los objetivos estratégicos y a la metodología de administración de riesgos establecida y aprobada.
    4. Informar al directorio de los resultados obtenidos por las diferentes gerencias responsables, en relación a los riesgos asumidos, considerando los informes de gestión y monitoreo de riesgos generados por el área especializada en la gestión de riesgos.
    5. Evaluar regularmente la efectividad general de las técnicas de administración e infraestructura tecnológica, para la gestión de riesgos, teniendo como base los informes presentados por el área especializada en la gestión de riesgos, por la unidad de auditoría interna y por los auditores externos.
    6. Aprobar los planes de capacitación propuestos por el área especializada en la gestión de riesgos, destinados a fortalecer los conocimientos en materia de riesgos al interior de la mutualidad.
    7. Asegurar que los criterios establecidos en las políticas de gestión de riesgos se consideren en la definición de nuevos proyectos y servicios.
  3. Gerencia general

    Se considerará buena práctica que el directorio asigne a la gerencia general la responsabilidad de ejecutar en forma efectiva y eficiente el modelo de gestión de riesgos, todo ello de acuerdo con las políticas, los manuales y los procedimientos previamente establecidos.

    Entre las responsabilidades del gerente general se debiesen considerar las siguientes:

    1. Asegurar la implementación y funcionamiento del sistema de gestión de riesgos en la mutualidad e informar periódicamente al directorio y al comité de riesgos, sobre los principales riesgos de la entidad y los planes de tratamiento adoptados.
    2. Informar a toda la organización, como también al público en general, los lineamientos principales de la gestión de riesgos, a través de la memoria institucional, los estados financieros, el sitio web institucional y de otros medios que estime convenientes.
    3. Asegurar que las recomendaciones y opinión de auditores internos y externos, sean adoptadas adecuadamente.
  4. Áreas funcionales y de apoyo

    Se considerará buena práctica que las distintas áreas de la mutualidad (tomadoras de riesgos), se involucren activamente en la gestión de los riesgos, siendo responsables del funcionamiento del sistema de gestión de riesgos dentro de su área. Para tal efecto contarán con el asesoramiento del área especializada en la gestión de riesgos.

    Es recomendable que las distintas áreas funcionales y de apoyo tengan entre sus funciones, las siguientes:

    1. Evaluar e informar, según corresponda, respecto al estado actual y exposición al riesgo, de acuerdo a las políticas y los manuales de riesgos definidos por la mutualidad, en conjunto con el área especializada en la gestión de riesgos.
    2. Velar que las directrices de las áreas sean consistentes con las políticas y los manuales de gestión de riesgos definidos por la mutualidad.
    3. Revisar y evaluar periódicamente los resultados obtenidos de la gestión de riesgos en relación a sus procesos y cambios en éstos.
    4. Validar los procesos de reporte e indicadores de riesgo dentro del área, en conjunto con el área especializada en la gestión de riesgos, así como también la información a reportar.
    5. Definir, evaluar e implementar los planes de mitigación realizados en conjunto con el área especializada en la gestión de riesgos, de acuerdo a las políticas y los manuales de gestión de riesgos definidos por la mutualidad.
    6. Prestar el apoyo necesario para la realización de las actividades relacionadas a la gestión de riesgos, en conjunto con el área especializada en la gestión de riesgos, que permitan a la mutualidad llevar a cabo una adecuada gestión de éstos.
    7. Proponer al comité de riesgos, en conjunto y a través del área especializada en la gestión de riesgos, el nivel de riesgo aceptable, para su aprobación y gestión.
  5. Área especializada en la gestión de riesgos

    Se considerará buena práctica que las mutualidades cuenten con un área especializada en la gestión de riesgos, la cual debe ser independiente de las áreas funcionales y de apoyo, que disponga de recursos suficientes para el pleno desarrollo de sus actividades, y que goce de la autonomía necesaria para la toma de decisiones.

    Es recomendable que la gestión de riesgos esté a cargo de un profesional, con dependencia directa de la gerencia general, que pueda requerir a las distintas gerencias y unidades, la información necesaria para cumplir con su cometido y que pueda ejercer autoridad o influencia suficiente para detener u objetar operaciones riesgosas.

    Sin perjuicio que el área especializada en la gestión de riesgos dependa del gerente general, se estima necesario que dicha área reporte también al comité de riesgos y al directorio. Por otra parte, es recomendable que la contratación y remoción del encargado de esta área, se efectúe con la aprobación del directorio, lo que deberá ser informado a la Superintendencia de Seguridad Social, junto con el envío de la correspondiente acta de directorio, donde conste la contratación o remoción, y se indiquen, en este último caso, las causas de la desvinculación.

    Es importante que el profesional a cargo de la gestión de riesgos, posea dominio respecto a las actividades de la organización y sus procesos, que esté en pleno conocimiento de las políticas de gestión de riesgos (incluido el apetito por riesgo), y que tenga la capacidad profesional para evaluar la importancia de los distintos riesgos de la entidad y juzgar los costos y beneficios de las actividades de control.

    Es recomendable que dicha área tenga a cargo, entre otras funciones, las siguientes:

    1. Proveer el apropiado marco de políticas para establecer los estándares mínimos de control interno dentro de los cuales la mutualidad debe administrar sus riesgos.
    2. Desarrollar, actualizar, proponer cambios y comunicar las estrategias, políticas, manuales, procedimientos y metodología de gestión de riesgos.
    3. Dar soporte técnico al directorio y a las demás áreas funcionales y de apoyo, en las distintas actividades necesarias para la implementación y ejecución de la metodología de gestión de riesgos.
    4. Conocer en detalle los niveles de exposición y los riesgos asumidos y validados por las distintas áreas funcionales y de apoyo, aplicando procesos de autoevaluación periódicos o cuando cambios importantes en los procesos lo ameriten.
    5. Mantener actualizada la información contenida en la base de eventos de riesgo Operacional, y apoyar en el reporte de los eventos registrados por las áreas funcionales y de apoyo.
    6. Monitorear y evaluar el impacto de los cambios en las normativas, regulaciones, leyes, procesos, y desarrollos de nuevos servicios que alteren el actual mapa de riesgos de la mutualidad.
    7. Solicitar, consolidar y monitorear permanentemente los indicadores definidos para los distintos riesgos establecidos en las políticas de gestión de riesgos, así como también los informes sobre la gestión de riesgos.
    8. Identificar las necesidades de capacitación y difusión que permitan una mejor gestión de riesgos.
    9. Informar, a lo menos cada seis meses, al directorio, al comité de riesgos, al comité de auditoría si corresponde, a la gerencia general y a los dueños de procesos, sobre el cumplimiento de las políticas y los manuales de gestión de riesgos definidos por la mutualidad, así como también respecto a los indicadores de riesgo definidos y los incidentes más significativos ocurridos. De la presentación que se efectúe, su discusión y aprobación, debe quedar constancia en las actas de sesión de directorio y comités correspondientes.

    Se podrán delegar determinadas funciones de las indicadas precedentemente, tales como la realización de pruebas a los procedimientos y controles, en personas o entidades calificadas externas, bajo supervisión y responsabilidad de área especializada en la gestión de riesgos.
  6. Auditoría interna

    La unidad de auditoría interna
    debe depender directamente del directorio, y tiene como función evaluar el cumplimiento de los procedimientos utilizados para la gestión de cada uno de los riesgos a los que se ve expuesta la mutualidad, de acuerdo a las exigencias contenidas en las presentes instrucciones.

    El
    rol de auditoría interna debe ser independiente del área encargada de la gestión de riesgos, debiendo a su vez contar con los recursos necesarios, la autonomía y la objetividad que le permitan entregar información relevante sobre la calidad de la gestión de riesgos que se realiza en la mutualidad, para la toma de decisiones del directorio.

    De manera específica, la unidad de auditoría interna debe realizar, entre otras, las siguientes actividades:

    1. Monitorear el cumplimiento de la metodología establecida para la implementación y funcionamiento del sistema de gestión de riesgos.
    2. Proveer una visión independiente de la efectividad del enfoque y la implementación de la metodología de gestión de riesgos.
    3. Verificar que la gestión de riesgos esté presente de manera transversal y correctamente integrada en el funcionamiento de la mutualidad.
    4. Validar el adecuado cumplimiento y seguimiento de los planes de mitigación de riesgos, además de los procedimientos para la revisión y actualización del sistema de gestión de riesgos.
    5. Validar los procedimientos de reportes de la información de gestión de riesgos generados para los distintos niveles de la organización.

La unidad de auditoría interna debe reportar directamente al directorio, al comité de riesgos y al comité de auditoría, si corresponde, respecto de los resultados obtenidos de las actividades señaladas precedentemente.

4. Manuales de gestión de riesgos

Manuales de gestión de riesgos

Basándose en las políticas de gestión riesgos, las mutualidades deben establecer procesos formales y debidamente aprobados para implementar la gestión de riesgos que surjan de los procesos asociados a las actividades efectuadas por dichas entidades.

Tales procesos deben estar debidamente documentados en un manual de gestión de riesgos, para cada uno de los riesgos normados en las presentes instrucciones, el cual debe describir las etapas del proceso de gestión de riesgos, junto a los requerimientos de documentación y de informes resultantes.

Los manuales de gestión de riesgos, así como cualquier modificación, deben ser remitidos a la Superintendencia de Seguridad Social en un plazo no mayor a 5 días hábiles, contado desde el día siguiente a su aprobación.

Los manuales de gestión de riesgos deben contemplar, a lo menos, los siguientes aspectos:

  1. Funciones y responsabilidades asociadas con la gestión de riesgos por parte del directorio, la gerencia general, el comité de riesgos, el área especializada en la gestión de riesgos, las áreas funcionales y de apoyo y auditoría interna.

  2. Área responsable de desarrollar, implementar e impulsar la gestión de riesgos en la entidad.

  3. Taxonomía o categorías de riesgo a abordar.

  4. Definición de apetito y tolerancia al riesgo.

  5. Marco del proceso de gestión de riesgos.

  6. Descripción del proceso de gestión de riesgos, acorde a metodologías y modelos que hayan sido aprobados por el directorio.

  7. Procedimientos de monitoreo de límites y acciones a seguir para que dichos límites se cumplan.

  8. Procedimientos de pruebas de estrés.

  9. El proceso para la aprobación de propuestas de nuevas operaciones o servicios, el cual debe contar, entre otros aspectos, con una descripción general de la nueva operación, producto o servicio que se trate, los riesgos identificados, las acciones a tomar para su control y una opinión fundada por parte del área responsable de la gestión de riesgos.

  10. El procedimiento general para el almacenamiento de los datos e informes de riesgos, el cual debe asegurar que la información que sirve de base en las metodologías de medición de riesgos, sea precisa, íntegra, oportuna y quede archivada. Toda modificación a dicha información debe quedar documentada, y además, debe contar con la explicación sobre su naturaleza y motivo que originó el cambio.

  11. El procedimiento de actualización de los manuales de gestión de riesgos, indicando la periodicidad e instancia de la revisión, debiendo quedar registro de ello.

5. Cultura sobre la gestión de riesgos

Cultura sobre la gestión de riesgos

Los funcionarios de la mutualidad deben conocer y dar cumplimiento cabal a las políticas de gestión de riesgos, debiendo existir evidencia de la toma de conocimiento de éstas. Lo anterior, se condice con la promoción a sus empleados de actividades de capacitación sobre gestión de riesgos, considerando las diferentes responsabilidades y roles que existen entre cada uno de ellos.

6. Pruebas de estrés

Pruebas de estrés

Las pruebas de estrés es un término que describe variadas técnicas que permiten la identificación de la vulnerabilidad de la mutualidad frente a cambios significativos excepcionales, pero posibles.

Estas pruebas están orientadas a medir la influencia de factores claves de riesgo en forma aislada, o unos pocos factores altamente correlacionados, sobre la exposición de riesgo de la entidad y su habilidad para mitigar riesgos, debido a cambios en los supuestos.

La elección de los escenarios de estrés depende de múltiples factores, incluyendo la relevancia de eventos históricos. Sin embargo, para estos ejercicios deben considerarse también eventos hipotéticos:

  1. Las pruebas de estrés deben realizarse por tipo de riesgo, según lo solicitado en estas instrucciones. Es importante destacar que las pruebas de estrés solicitadas deben contemplar los siguientes elementos:

    1. Descripción detallada de cada variable utilizada en los diferentes escenarios, indicando la relevancia en la medición del riesgo de la mutualidad.
    2. Identificación y descripción de la metodología utilizada (mediante eventos históricos, eventos definidos por la Superintendencia de Seguridad Social, eventos hipotéticos o una mezcla de éstos).
    3. Detallar la magnitud de aumentos o disminuciones de los valores de las variables estresadas y cuantificar su impacto. Específicamente, para el riesgo técnico se debe medir, al menos, el impacto en las reservas de pensiones, subsidios, indemnizaciones y prestaciones médicas. Para el riesgo de mercado, se debe cuantificar, al menos, el impacto en el excedente, en el patrimonio y en el descalce de activos y pasivos, según corresponda. Para el riesgo de liquidez, se debe medir, al menos, el impacto en las brechas de liquidez para cada una de las bandas temporales requeridas en estas instrucciones. Por último, para el riesgo de crédito se debe medir, al menos, el impacto en provisiones por este ítem.
    4. Conclusión de los resultados obtenidos para cada escenario, y las medidas de mitigación asociadas si corresponde.
  2. Asimismo, para la construcción de las pruebas de estrés las mutualidades deben almacenar toda la información relevante sobre el proceso de desarrollo, la cual debe ser lo suficientemente detallada como para permitir la replicación de todos los pasos, considerando los siguientes requisitos:

    1. Información histórica: Se debe recopilar la mayor cantidad de información histórica para la selección de los escenarios.
    2. Validación de la información: Es necesario realizar pruebas de consistencia en las bases de datos, completitud y calidad. Construir un indicador de "calidad" y reportes respecto de los ámbitos mencionados.
    3. Descripción de las variables utilizadas: Se deben detallar las variables utilizadas, ya sean continuas o categóricas, escala de medición, transformaciones, entre otras.
    4. Análisis exploratorio de las muestras o poblaciones: Se debe contemplar el análisis univariado (tablas de frecuencia, medidas de dispersión, histogramas, diagramas de caja, etc.) y multivariado (correlaciones entre variables, histogramas condicionados y otros).
    5. Justificación de la metodología utilizada.
    6. Documentación de resultados de metodologías estadísticas (si aplica).
    7. Uso de software y todos los modelos estimados incluyendo el modelo seleccionado (si aplica).

    Las pruebas de estrés deben contener la información del semestre correspondiente, las cuales deben ser remitidas a la Superintendencia de Seguridad Social hasta el último día del mes subsiguiente al cierre del 1º y 2º semestre, es decir agosto y febrero respectivamente. Se considerará buena práctica que dichas pruebas de estrés sean aprobadas por el directorio de la mutualidad.

CAPÍTULO IV. Evaluación interna de riesgos

Evaluación interna de riesgos

La mutualidad debe enviar a la Superintendencia de Seguridad Social un informe anual sobre la gestión de los riesgos especificados en la letra B de este Título, a más tardar, el último día del mes de marzo del año siguiente. Dicho informe debe contener, al menos la siguiente información:

  1. Evaluación cuantitativa y cualitativa respecto a los riesgos contemplados en su política de gestión integral de riesgos, indicando su nivel de exposición. De forma especial, para el caso del riesgo operacional, se debe incluir además su distribución a través de las líneas de negocio y categorías de riesgo.
  2. Hechos relevantes acaecidos dentro de la mutualidad en términos de los riesgos gestionados.
  3. Pérdidas por eventos de riesgos gestionados y su evolución, incluyendo un detalle de las pérdidas más relevantes registradas por la mutualidad. Para el caso del riesgo operacional, se debe incluir un detalle diferenciando los impactos por las distintas líneas de negocio y categorías de riesgo.

CAPÍTULO V. Autoevaluación de cumplimiento normativo

Autoevaluación de cumplimiento normativo

La mutualidad debe efectuar una vez al año, una autoevaluación del cumplimiento de los requisitos de las instrucciones impartidas en este Título IV, para lo cual debe establecer sus propios indicadores de medición, los cuales deben ser claros, objetivos y verificables por parte de la Superintendencia de Seguridad Social. Dicha pauta debe confeccionarse teniendo en cuenta los diferentes tópicos contemplados en las presentes instrucciones.

La mutualidad debe enviar a la Superintendencia de Seguridad Social la referida autoevaluación respecto al año calendario anterior, a más tardar el último día del mes de marzo de cada año, según el formato del Anexo N°17 "Informe autoevaluación de cumplimiento normativo de gestión de riesgos".

El sistema de gestión y evaluación de los riesgos gestionados debe ser objeto de una revisión periódica, al menos anual, por parte de la unidad de auditoría interna.