Compendio de Normas del Seguro Social de Accidentes del Trabajo y Enfermedades Profesionales
CAPÍTULO VI. Gestión de la continuidad operacional
LIBRO VII. ASPECTOS OPERACIONALES Y ADMINISTRATIVOS
TÍTULO IV. Gestión integral de riesgos
B. Gestión específica de los riesgos
CAPÍTULO VI. Gestión de la continuidad operacional
Gestión específica de los riesgos
Como parte de una adecuada gestión integral del riesgo, las mutualidades deberán implementar un sistema de gestión de la continuidad operacional, entendiendo éste como el conjunto de políticas, manuales, guías, estándares y procedimientos que permiten evaluar y gestionar la continuidad de las operaciones, teniendo como objetivo el establecer planes de continuidad operacional que permitan dar respuestas efectivas para que las mutualidades continúen operando ante la ocurrencia de eventos que puedan crear una interrupción o inestabilidad en las operaciones de la entidad. Para tal efecto, la implementación de este sistema de gestión, deberá considerar dentro de su alcance, tanto sus procesos internos como aquellos que se encuentren externalizados.
La definición de cuáles son los procesos afectos a estos planes, se deberá efectuar evaluando su criticidad y su impacto en la continuidad de las operaciones, con foco en el otorgamiento de las distintas prestaciones a los beneficiarios.
CAPÍTULO VI. Gestión de la continuidad operacional
1. Identificación y análisis del entorno operativo
Identificación y análisis del entorno operativo
La definición e implementación de un Plan de Continuidad Operacional deberá establecer su alcance basándose en la identificación de los principales factores que amenazan la continuidad operacional de la mutualidad, así como su impacto potencial a nivel del negocio, en caso de materializarse un evento que afecte la continuidad operativa. Además, es necesario considerar que la materialización de estos eventos, se puede producir mediante la concreción simultánea de distintos factores o amenazas, conformando de esta manera, escenarios de riesgos de continuidad operacional.
Asimismo, se deberán implementar y documentar metodologías para la realización de Análisis de Impacto al Riesgo (RIA) y Análisis de Impacto en el Negocio (BIA), con el objetivo de brindar un soporte adecuado para la construcción del Plan de Continuidad Operacional, estableciendo criterios de acción en relación al nivel de afectación que se presenta en la continuidad operativa, con base en la criticidad de sus riesgos relacionados con el cumplimiento de los objetivos estratégicos de la mutualidad, los que deberán considerar el adecuado cumplimiento con la administración y las prestaciones del Seguro de la Ley N°16.744, con foco en el beneficiario.
2. Planes de continuidad operacional
Planes de continuidad operacional
Se entenderá por Plan de Continuidad Operacional a todos los elementos y definiciones a nivel táctico y operacional implementados con el objetivo de asegurar la continuidad operativa de la mutualidad ante la ocurrencia de eventos que puedan crear una interrupción o inestabilidad en las operaciones de la entidad. En ese sentido, la mutualidad deberá implementar planes de continuidad operacional basándose en la realización de un análisis en relación a la identificación de riesgos y sus impactos a nivel del negocio. Lo anterior, permitirá la definición de estrategias de respuesta ante interrupción o inestabilidad en las operaciones con base en la definición de criterios de priorización, acorde a la criticidad de los riesgos y su impacto a nivel de la organización.
El diseño y definiciones de los cursos de acción de un plan, se deberá realizar mediante la definición de parámetros objetivos en relación a las operaciones de la mutualidad, tales como los acuerdos de niveles de servicio; el tiempo máximo tolerable de disrupción; el tiempo objetivo de recuperación, entre otros.
En este sentido cada plan deberá contener a lo menos, los siguientes elementos:
- Definición del alcance del plan, indicando los procesos y escenarios de riesgo de continuidad considerados;
- Identificación de escenarios y factores de riesgos (amenazas) de continuidad operacional;
- Clasificación de eventos de riesgo de continuidad operacional de acuerdo a su criticidad;
- Definición de una estructura organizacional, con roles y responsabilidades definidos para la coordinación de actividades ante la materialización de eventos de continuidad operacional. Se deberá considerar la implementación de un comité operativo para este efecto;
- Plan comunicacional que asegure el adecuado flujo de información relevante, en relación a la continuidad operativa, las partes interesadas, dentro de las que se encuentra la Superintendencia de Seguridad Social, y
- Descripción de las actividades de respuesta ante la materialización de eventos que afecten la continuidad operacional, así como de recuperación operativa.
Complementario a lo anterior, se deberán establecer mecanismos de control que aseguren la actualización de todos los elementos que componen el Sistema de Continuidad Operacional, poniendo especial énfasis en aquellos contenidos en los planes de continuidad que se relacionan con la designación y capacitación en la materia, de los actores claves en la ejecución de las actividades de respuesta ante interrupción o inestabilidad en las operaciones de la mutualidad.
Se considerará buena práctica que el Plan de Continuidad Operacional sea conocido y aprobado por el Comité de Riesgos.
3. Pruebas de efectividad a los planes de continuidad operacional
Pruebas de efectividad a los planes de continuidad operacional
Con el objetivo de asegurar que un Plan de Continuidad Operacional funcione de manera adecuada, las mutualidades deberán realizar de forma periódica, de acuerdo a la criticidad de su impacto en la operación de la mutualidad, pruebas sobre la efectividad de los planes de continuidad operacional. El resultado de dichas pruebas deberá quedar documentado, así como las posibles medidas correctivas y oportunidades de mejoras implementadas.
Asimismo, en caso de materializarse algún evento cuyo impacto sea significativo en el funcionamiento de los procesos de la mutualidad, desde el punto de vista de su continuidad operacional, se deberá realizar un análisis en relación a las acciones ejecutadas y la efectividad de éstas, una vez recuperada la capacidad operativa.
La mutualidad deberá establecer planes anuales de pruebas de efectividad a los planes de continuidad operacional, de acuerdo a la criticidad de sus procesos. Los resultados obtenidos de estas pruebas, así como los resultados de la activación del plan, producto de la materialización de escenarios reales de riesgo de continuidad operativa, deberán estar documentados, junto con los análisis y conclusiones respectivas, las que pueden originar acciones correctivas y oportunidades de mejora al plan.
Se considera buena práctica que, el Comité de Riesgos de la mutualidad tome conocimiento acerca de los resultados obtenidos de las pruebas realizadas, así como los resultados de la materialización de eventos de continuidad operacional, analizando el desempeño del Sistema de Continuidad Operacional, como una actividad relevante para la revisión del mismo, y con una periodicidad al menos anual.
4. Revisión y mejora continua
Planes de continuidad operacional
La revisión periódica de los elementos que componen el Sistema de Continuidad Operacional posibilitará la viabilidad en el tiempo del mismo. Dado lo anterior, la mutualidad deberá realizar una revisión y actualización a su sistema con una periodicidad, a lo menos anual, con el objetivo de asegurar su conveniencia, adecuación, eficacia y eficiencia.
En este sentido la revisión del sistema deberá incluir al menos:
- El estado de las acciones de revisiones anteriores;
- Cambios en el entorno (factores externos e internos de la mutualidad) que sean relevantes para el Sistema de Gestión de Continuidad Operacional;
- Información sobre la eficacia y eficiencia de la continuidad operativa, incluyendo los resultados, tanto de las pruebas realizadas, como de la ejecución de actividades ante la materialización de eventos de interrupción o inestabilidad operativa, además de los resultados de auditoría, y
- Oportunidades para la mejora continua en relación al sistema de gestión.
En relación a la evaluación de la eficacia y eficiencia de la continuidad operativa de la mutualidad, se deberán considerar los siguientes tópicos:
- Acciones de seguimiento de revisiones previas;
- Necesidades de cambios en el Sistema de Gestión de Continuidad Operativa, incluyendo la política y los objetivos;
- Identificación de oportunidades de mejora del sistema;
- Resultados de las auditorías del Sistema de Gestión de Continuidad Operacional;
- Las técnicas, productos o procedimientos que pueden ser utilizados en la mutualidad para mejorar el Sistema de Gestión de Continuidad Operativa;
- Estado de acciones preventivas y correctivas comprometidas;
- Resultados de las pruebas realizadas a los planes;
- Riesgos o problemas que no se hayan abordado adecuadamente en cualquier evaluación de riesgo conocido;
- Cualquier cambio que pueda afectar al Sistema de Gestión de Continuidad Operacional, ya sea interno o externo;
- Lecciones aprendidas y acciones derivadas de incidentes ocurridos, y
- Buenas prácticas emergentes y orientación en materia de continuidad operativa.
Como producto del proceso de revisión al Sistema de Gestión de Continuidad Operacional, se espera que emanen decisiones relacionadas a las oportunidades de mejora continua y la posible necesidad de cambios en dicho Sistema, dentro de los cuales se puede encontrar:
- Variaciones en el alcance del Sistema de Gestión de Continuidad Operativa;
- Mejora en la eficacia y eficiencia del Sistema de Gestión de Continuidad;
- Actualización de la evaluación de riesgos, análisis de impacto de negocio, planes de continuidad de negocio y procedimientos relacionados, y
- Modificación de todos los procedimientos y controles para responder a eventos internos o externos que puedan impactar en el Sistema de Gestión de Continuidad Operacional. Se deberán incluir los requisitos de negocio, la reducción de riesgos, las condiciones de funcionamiento, los requisitos legales, las obligaciones, los niveles de riesgo, las necesidades de recursos y las necesidades de financiamiento.
La mutualidad deberá documentar la información en un medio de almacenamiento de fácil acceso, preferentemente electrónico, como evidencia de los resultados de las revisiones realizadas.
5. Envío de Información a la Superintendencia de Seguridad Social
Envío de Información a la Superintendencia de Seguridad Social
Las mutualidades deberán remitir a la Superintendencia de Seguridad Social a través del Sistema de Gestión de Reportes e Información para la Supervisión (GRIS), de acuerdo con las instrucciones del Título II, del Libro IX, los siguientes documentos:
- Política de continuidad operacional;
- Plan anual de pruebas a los planes de continuidad operacional;
- Informes de resultados de las pruebas realizadas, y
- Resultados del funcionamiento de sus planes por materialización de eventos de continuidad operativa.
No obstante lo anterior, en caso de materializarse un evento de riesgo operacional que afecte la continuidad operacional, deberá incorporarse en el reporte establecido para la conformación de una base de eventos de riesgo operacional, de acuerdo a lo definido en el número 3. Generación de una base de eventos de riesgo operacional, del Capítulo V, Letra B, Título IV del Libro VII.