BON GOVERN CORPORATIU

---

Òrgans de govern

L’objectiu del Sistema de Govern de Mutual Mèdica és dotar l’entitat d’una estructura organitzativa transparent i apropiada, amb una clara i adequada distribució i separació de funcions. Per això, l’estructura es compon de tres nivells de decisió: Assemblea General de Mutualistes, Consell d’Administració i les diverses Comissions del Consell.

Paral·lelament, en el marc del compliment de Solvència II, el sistema de govern estarà format, alhora, per les funcions clau de Gestió de Riscos, Actuarial, Auditoria Interna i Verificació de Compliment.

Aquest sistema respon al doble compromís del model de governança de l’entitat:

• L’aplicació efectiva dels valors de Mutual Mèdica, a partir d’uns criteris propis d’actuació i autocontrol.

• El compliment de l’ordenament jurídic que l’afecta com a entitat asseguradora amb naturalesa de mutualitat de previsió social.

A continuació, es detallen les funcions i composició de cadascun dels òrgans de govern en l’exercici 2021.

Organigrama

Assemblea General

L’Assemblea General és la reunió dels mutualistes per deliberar i establir acords, entre els quals destaquen el nomenament, la ratificació i la revocació dels membres del Consell d’Administració, així com valorar i censurar o aprovar la gestió social i els comptes anuals de l’exercici. Així mateix, aprova nous reglaments o canvis en els ja existents, a més de les modificacions dels estatuts. Hi poden prendre part tots els mutualistes de l’entitat.

Consell d’Administració

El Consell d’Administració és l’òrgan de representació, govern i gestió de Mutual Mèdica i té com a funcions fixar les directrius generals d’actuació en la gestió de l’entitat i nomenar els càrrecs de direcció de la mutualitat. També ha de presentar a l’Assemblea els comptes anuals, l’informe de gestió i la proposta d’aplicació del resultat, a més d’aprovar el pressupost anual d’ingressos i despeses. Cal destacar que el Consell convoca les eleccions per a conseller i aplica i interpreta els preceptes estatutaris, especialment en cas de dubte.

El Consell d’Administració està format per metges, que vetllen per oferir en tot moment els productes i serveis que el col·lectiu necessita. Un total de 14 dels seus membres són triats a l’Assemblea General mitjançant eleccions i d’altres 7 ho són en representació dels col·legis de metges protectors. Entre els 14 membres triats per l’Assemblea, un d’ells ho és com a conseller extern al no tenir la condició de metge mutualista, sinó que s’incorpora al Consell per aportar els seus coneixements i experiència en assegurances i mercats financers, comptabilitat, marc regulador, etc.

Vocals en representació dels Col·legis Oficials de Metges Protectors

Comissió Permanent

És l’òrgan que tracta la resolució dels assumptes de tràmit, té atribucions en matèria de nomenament i retribucions i prepara els Consells d’Administració. Està format per membres amb càrrec del Consell d’Administració.

Comissió d’Auditoria i Control

La Comissió d’Auditoria i Control serveix com a canal de comunicació entre el Consell d’Administració i els auditors. Avalua els resultats de cada auditoria i les respostes de l’equip de gestió a les seves recomanacions. Així mateix, comprova l’adequació i la integritat dels sistemes de control intern, examina el compliment de les regles de govern de Mutual Mèdica i planteja les propostes necessàries per millorar-les. Està formada per un mínim de tres i un màxim de cinc membres del Consell d’Administració, triats entre els consellers electes sense càrrec al Consell. Pot estar assistida per un professional extern i comptar amb la participació de la direcció en les seves reunions per exercir tasques de suport, de la mateixa manera que poden assistir a les seves reunions fins a tres mutualistes a proposta del Consell d’Administració.

Comissió d’Inversions

La Comissió d’Inversions és l’òrgan delegat del Consell d’Administració que li ofereix suport en els assumptes relacionats amb les finances i que vetlla pel compliment de la política d’inversions de l’entitat. Està formada per consellers electes i personal directiu.

Comissió d’Assegurances i Prestacions

La Comissió d’Assegurances i Prestacions té com a objecte adjudicar les prestacions de les assegurances de vida i assessorar en la gestió de les assegurances de mutualistes pel que fa al procés d’incorporació de nous mutualistes, l’ampliació de cobertures, les causes d’exclusió de patologies i la denegació o acceptació de prestacions. Està formada per consellers electes del Consell d’Administració.

Comissió d’Estratègia, Innovació i RSC

La Comissió d’Estratègia, Innovació i Responsabilitat Social Corporativa és un òrgan de caràcter informatiu i consultiu, sense funcions executives, amb facultats de suport i assessorament al Consell d’Administració. Entre les seves funcions, es troben proposar i valorar les diferents alternatives estratègiques a adoptar per l’entitat i fer seguiment de la gestió dels plans estratègics en curs; assessorar i proporcionar suport en qüestions relacionades amb la innovació, tot realitzant anàlisis i seguiment dels projectes d’innovació i garantint la seva adequada implantació i desenvolupament, i assessorar sobre el disseny de la cultura i dels valors corporatius, incloent-hi estratègia de pràctiques de negoci responsable i de sostenibilitat.

Servei d’Atenció al Client

El Servei d’Atenció al Client (SAC) atén les consultes, queixes i reclamacions dels mutualistes assegurats, beneficiaris o drethavents contra els acords de la mutualitat.

Participació en associacions

Com a mutualitat de previsió social del col·lectiu mèdic, participem en diverses agrupacions d’entitats relacionades amb la previsió social, amb l’àmbit de les mutualitats o amb els metges, amb la finalitat de promoure propostes de millora a les administracions, tant nacionals com europees, en benefici dels nostres mutualistes i de tots els metges.

---

Models de gestió de riscos corporatius

L’activitat de Mutual Mèdica està afectada per un conjunt de riscos de naturalesa molt diversa: socials, econòmics, financers, legislatius, operacionals o vinculats a l’ús de les tecnologies de la informació i comunicació. Aquests riscos no són estàtics, sinó que es troben en constant transformació, com demostren la incertesa econòmica global actual i l’acceleració del procés de digitalització.

L’entitat compta amb una sèrie de sistemes d’identificació d’aquests riscos i amb recursos i polítiques pròpies per fer-los front.

Tres línies de defensa

Mutual Mèdica adopta el sistema de tres línies de defensa com a model per a la gestió de riscos corporatius i el control intern. Aquest model persegueix principalment els següents objectius:

• Anticipació dels riscos i desenvolupament de mesures preventives.
• Gestió del risc a partir del compliment de les normatives externes i internes.
• Desenvolupament de mecanismes fiables i independents d’auditoria interna.

El model de tres línies de defensa és un estàndard àmpliament utilitzat, que és també requerit per Solvència II, la directiva europea que marca el sistema de solvència de totes les entitats del sector assegurador.

Principals riscos i mesures de prevenció

D’acord amb el model de les tres línies de defensa, l’entitat ha continuat treballant el 2021 en el desenvolupament de mesures de prevenció per gestionar els riscos vinculats als següents aspectes: compliance penal, protecció de dades i ciberseguretat.

Compliance penal

Mutual Mèdica ha desenvolupat un Sistema de Gestió de Compliance Penal per evitar que, com a persona jurídica, pugui incórrer en responsabilitat per la comissió d’alguns delictes previstos a la normativa. Certes conductes dels membres del sistema de govern o dels empleats podrien posar en risc l’activitat de l’entitat, així com la reputació de Mutual Mèdica. Fins i tot la mutualitat podria rebre algun tipus de sanció econòmica o administrativa en aquest sentit. Entre aquestes conductes delictives, es troben algunes que, pel context de la nostra organització i l’activitat que realitzem, són més susceptibles de produir-se, com el descobriment i revelació de secrets, l’estafa, l’espionatge empresarial, la corrupció, el blanqueig de capitals i finançament del terrorisme, el tràfic d’influències o els danys informàtics. El Sistema de Gestió de Compliance Penal que està construint la mutualitat aplica a nivell intern totes les àrees de negoci, així com les seves relacions amb tercers: grups d’interès, socis de negoci, proveïdors, etc. Per aquesta raó, s’ha distribuït la política de compliance penal a tots els nivells i àmbits de l’entitat i s’han realitzat accions de sensibilització, tant als òrgans de govern com als empleats, perquè tinguin coneixement sobre aquests comportaments il·lícits d’aquesta mena d’irregularitats i disposin dels mecanismes de prevenció necessaris per evitar que es produeixin i denunciar-ho.

A més, Mutual Mèdica ha creat un òrgan d’acompanyament: la funció de l’Òrgan de Compliance Penal. Compta també amb dos òrgans més especialitzats per complir amb la normativa relacionada amb la prevenció del blanqueig de capitals i finançament del terrorisme, que són l’OCI i la Unitat Tècnica; tots dos s’encarreguen de posar en pràctica les polítiques, procediments i altres funcions assignades en aquest àmbit.

Protecció de dades

Mutual Mèdica vetlla pel compliment de la normativa de protecció de dades. En les seves polítiques internes es descriu l’estructura interna i organitzativa que desenvolupa i implementa les mesures de seguretat, de confidencialitat, d’integritat i de disponibilitat necessàries per cuidar i tractar les dades personals de les quals disposa.

En aquells processos, circuits i procediments que requereixen emmagatzematge o tractament de dades personals, es fan anàlisis relatives als sistemes de protecció i emmagatzematge de dades, servidors, serveis al núvol i d’altres, amb la finalitat de valorar els riscos que pot representar, així com la probabilitat i el seu nivell de gravetat.

Així mateix, tant en els nous projectes com en la documentació que actua com a suport de l’activitat asseguradora realitzada per la mutualitat, es treballa des de l’inici el respecte al compliment normatiu de protecció de dades, atesa la naturalesa, l’abast, el context i els fins del tractament de les dades personals, així com l’afectació en els drets i llibertats dels mutualistes. Es vetlla per complir amb les clàusules informatives i el deure d’informació previs, amb l’objectiu d’actuar de manera transparent des del primer moment. A més, es formalitza també, des del primer moment, tots els requeriments sobre el tractament de dades en la contractació amb tercers o amb proveïdors, per garantir la seguretat d’aquestes dades.

D’altra banda, l’entitat duu a terme accions de sensibilització i formació interna a tota l’organització, encara que més especialment en aquelles àrees que participen en operativa que implica un major volum de tractament de dades, a l’efecte de garantir el compliment de les obligacions legals en aquesta matèria, així com fomentar el suport en la detecció preventiva de riscos i reforçar l’aplicació dels controls necessaris per mitigar aquests riscos.

Finalment, s’ha nomenat un delegat de protecció de dades i s’ha creat un grup de seguretat de la informació, la qual cosa reforça la privacitat i el compliment de la protecció de dades a Mutual Mèdica.

Ciberseguretat

Durant un període significatiu de l’any 2021, va prosseguir la situació excepcional derivada de la pandèmia per COVID-19, durant la qual l’entitat va continuar vetllant per la seguretat dels empleats i per donar compliment, alhora, a les recomanacions sanitàries, per la qual cosa es va donar suport al teletreball a nivell general.

En aquesta línia, es va continuar reforçant i monitoritzant les mesures de seguretat oportunes, relatives a l’estructura i arquitectura dels sistemes informàtics ja implementada i millorant l’accés en remot dels treballadors des de qualsevol lloc en el qual es trobessin.

Així mateix, es va actualitzar un nou portal de l’entitat en l’eina Confluence, des d’on es va compartir, i es continua compartint amb tots els empleats, tot tipus d’informació d’interès per a l’equip de persones de la mutualitat, entre les quals les polítiques internes de seguretat de la informació, bring your own device i la documentació sobre l’ús acceptable dels sistemes d’informació. D’aquesta manera, s’ha contribuït a mitigar possibles ciberriscos i s’han aplicat mesures de seguretat establertes en aquests documents, així com al foment del seu compliment quant a conductes i bones pràctiques establertes.

Com ja hem comentat amb anterioritat, l’entitat té el compromís de mantenir una cultura de compliance en el camp de la seguretat i la protecció de dades, per la qual cosa durant l’exercici 2021 també s’ha remès als empleats una sèrie de píndoles informatives que donaven a conèixer els principals riscos d’una de les pràctiques més preocupants a la qual ens enfrontem en l’actualitat: el phishing. També es va organitzar un simulacre que va permetre validar el nivell de conscienciació actual de tota la plantilla de l’entitat en aquest tema.

Com a millores i avanços en la gestió del risc cibernètic, també s’ha de tenir en compte la implementació de les següents accions:

• Auditories i pentest internes i externes.
• Adquisició d’un nou antivirus que ofereix major amplitud de mesures de protecció enfront d’atacs de ransomware, a més de millores en el monitoratge.
• Protecció de la xarxa, implantant una nova xarxa SD-Wan per a comunicació des de les seus, així com canvis de DNS.

A més, juntament amb el proveïdor de ciberseguretat també s’ha treballat en:

• La realització d’un inventari i d’un control d’actius, tant de hardware com de software.
• Una gestió contínua de les possibles vulnerabilitats.
• L’ús controlat dels privilegis administratius.
• Les configuracions d’equips segurs.
• I el manteniment, seguiment i anàlisi de registres d’auditoria.

Finalment, es va mantenir la contractació d’una pòlissa d’assegurances que ofereix cobertura de riscos cibernètics i que proporciona un reforç addicional de recursos davant incidències o atacs de seguretat, independentment del seu abast.

Sistema de Control Intern i Auditoria Interna

El Sistema de Control Intern engloba tots aquells processos i mesures establerts pel Consell d’Administració de Mutual Mèdica per garantir que les operacions de l’entitat es fan segons el que s’estableix i amb el nivell de qualitat i precisió exigit. En concret, aquests procediments mesuren aspectes com l’eficàcia i eficiència de les operacions; la fiabilitat i integritat de la informació financera i no financera; l’adequada gestió dels riscos d’acord amb els objectius estratègics, i el compliment de les lleis, polítiques i procediments interns aplicables.

Aquest sistema es desenvolupa a partir de les següents fases:

1.- Identificació d’objectius: definició dels objectius de l’entitat i els passos a seguir per aconseguir-los.

2.- Establiment de polítiques: definició de les polítiques que marquen les regles a seguir per aconseguir els objectius fixats, encapçalades pel Marc de Sistema de Govern.

3.- Identificació de processos clau: definició dels processos alineats amb l’estratègia de l’entitat i que s’encaminin a la consecució dels objectius identificats inicialment.

4.- Assignació de responsabilitats: definició clara de les responsabilitats de cadascun dels implicats en aquest sistema.

5.- Identificació de riscos/deficiències: identificació dels riscos que podrien donar-se en els processos clau i que podrien posar en perill l’assoliment dels objectius de l’entitat, sobre la base del seu abast (importància) i probabilitat d’ocurrència.

6.- Implantació de controls i activitats de control en resposta als riscos: conjunt de polítiques i procediments que ajuden a prendre les mesures necessàries per controlar els riscos i aconseguir els objectius fixats.

7.- Gestió del risc: centralització del control i coordinació del procés de gestió de riscos i dels resultats, així com el control i supervisió del compliment normatiu i legal.

8.- Reporting: identificació, generació i comunicació d’informació oportuna i veraç en el menor temps possible.

9.- Supervisió i seguiment del Sistema de Control Intern: processos o procediments dissenyats per revisar l’efectivitat del Sistema de Control Intern. Els dos estadis d’aquesta fase són el departament de Compliment i Control Intern i l’Auditoria Interna.

El 2021, a més de revisar i actualitzar les polítiques ja existents, s’han desenvolupat també noves polítiques que han permès reforçar el sistema de govern i, amb això, el Sistema de Control Intern. Entre aquestes polítiques trobem el marc de gestió de l’afany de risc, la política d’integració de riscos ASG i la política de selecció i promoció interna.

A més de la revisió anual recurrent, des de la mutualitat s’està treballant perquè la política de gestió d’inversions i la política de remuneracions s’adaptin a les noves normatives de sostenibilitat (riscos ASG).

Departament de Compliment i Control Intern

El departament de Compliment i Control Intern és el responsable de comprovar l’efectivitat del Sistema de Control Intern mitjançant la documentació dels processos crítics de l’entitat i la valoració de l’eficàcia dels controls instaurats. Altres responsabilitats d’aquest departament són coordinar la Comissió d’Auditoria i Control i realitzar el seu informe anual per a la presentació a l’Assemblea General; realitzar i donar seguiment als test de controls de processos; supervisar el compliment dels requeriments interns definits per Direcció; o coordinar la relació amb la Direcció General d’Assegurances i Fons de Pensions.

En l’últim exercici també s’ha continuat potenciant el projecte de Gestió del Risc Operacional, desenvolupat en col·laboració amb l’àrea de Gestió de Riscos amb la finalitat última d’obtenir un mapa de riscos operacionals, i s’ha continuat treballant en l’aixecament i optimització de processos, la identificació dels riscos associats i la proposta d’establiment dels controls pertinents.

Auditoria Interna

En el seu rol de tercera línia de defensa, la funció d’Auditoria Interna s’encarrega de la revisió i avaluació de manera objectiva i independent del Sistema de Control Intern, amb l’objectiu de proporcionar una garantia addicional al Consell d’Administració. Per això, compta amb la col·laboració d’una firma externa independent i de prestigi.

Les auditories internes realitzades el 2021 han avaluat els següents aspectes:

• Funció Actuarial i funció de Gestió de Riscos.
• Gestió de prestacions.
• Polítiques de qualitat de la dada, Marc de Sistema de Govern, política d’aptitud i honorabilitat, externalització (segona intervenció: activitats externalitzades per l’entitat i revisió de la política), Compres.
• Procés de qualitat de la dada.
• Control del frau.
• Pla de contingència de Sistemes.