BUEN GOBIERNO CORPORATIVO

---

Órganos de gobierno

El objetivo del Sistema de Gobierno de Mutual Médica es dotar a la entidad de una estructura organizativa transparente y apropiada, con una clara y adecuada distribución y separación de funciones. Para ello, la estructura se compone de tres niveles de decisión: Asamblea General de Mutualistas, Consejo de Administración y las diversas Comisiones del Consejo.

Paralelamente, en el marco del cumplimiento de Solvencia II, el sistema de gobierno estará compuesto, a su vez, por las funciones clave de Gestión de Riesgos, Actuarial, Auditoría Interna y Verificación de Cumplimiento.

Este sistema responde al doble compromiso del modelo de gobernanza de la entidad:

• La aplicación efectiva de los valores de Mutual Médica, a partir de unos criterios propios de actuación y autocontrol.

• El cumplimiento del ordenamiento jurídico que le afecta como entidad aseguradora con naturaleza de mutualidad de previsión social.

A continuación, se detallan las funciones y composición de cada uno de los órganos de gobierno en el ejercicio 2021.

Organigrama

Asamblea General

La Asamblea General es la reunión de los mutualistas para deliberar y establecer acuerdos, entre los que destacan el nombramiento, la ratificación y la revocación de los miembros del Consejo de Administración, así como valorar y censurar o aprobar la gestión social y las cuentas anuales del ejercicio. Asimismo, aprueba nuevos reglamentos o cambios en los ya existentes, además de las modificaciones de los estatutos. Pueden tomar parte en ella todos los mutualistas de la entidad.

Consejo de Administración

El Consejo de Administración es el órgano de representación, gobierno y gestión de Mutual Médica y tiene como funciones fijar las directrices generales de actuación en la gestión de la entidad y nombrar los cargos de dirección de la mutualidad. También debe presentar a la Asamblea las cuentas anuales, el informe de gestión y la propuesta de aplicación del resultado, además de aprobar el presupuesto anual de ingresos y gastos. Debe destacarse que el Consejo convoca las elecciones para consejero y aplica e interpreta los preceptos estatutarios, especialmente en caso de duda.

El Consejo de Administración está formado por médicos, que velan por ofrecer en todo momento los productos y servicios que el colectivo necesita. Un total de 14 de sus miembros son escogidos en la Asamblea General mediante elecciones y otros 7 lo son en representación de los colegios de médicos protectores. Entre los 14 miembros escogidos por la Asamblea, uno de ellos lo es como consejero externo al no tener la condición de médico mutualista, sino que se incorpora al Consejo para aportar sus conocimientos y experiencia en seguros y mercados financieros, contabilidad, marco regulatorio, etc.

Vocales en representación de los Colegios Oficiales de Médicos Protectores

Comisión Permanente

Es el órgano que trata la resolución de los asuntos de trámite, tiene atribuciones en materia de nombramiento y retribuciones y prepara los Consejos de Administración. Está formado por miembros con cargo del Consejo de Administración.

Comisión de Auditoría y Control

La Comisión de Auditoría y Control sirve como canal de comunicación entre el Consejo de Administración y los auditores. Evalúa los resultados de cada auditoría y las respuestas del equipo de gestión a sus recomendaciones. Asimismo, comprueba la adecuación y la integridad de los sistemas de control interno, examina el cumplimiento de las reglas de gobierno de Mutual Médica y plantea las propuestas necesarias para mejorarlas. Está formada por un mínimo de tres y un máximo de cinco miembros del Consejo de Administración, escogidos entre los consejeros electos sin cargo en el Consejo. Puede estar asistida por un profesional externo y contar con la participación de la dirección en sus reuniones para ejercer labores de soporte, del mismo modo que pueden asistir a sus reuniones hasta tres mutualistas a propuesta del Consejo de Administración.

Comisión de Inversiones

La Comisión de Inversiones es el órgano delegado del Consejo de Administración que le ofrece apoyo en los asuntos relacionados con las finanzas y que vela por el cumplimiento de la política de inversiones de la entidad. Está formada por consejeros electos y personal directivo.

Comisión de Seguros y Prestaciones

La Comisión de Seguros y Prestaciones tiene como objeto adjudicar las prestaciones de los seguros de vida y asesorar en la gestión de los seguros de mutualistas en cuanto al proceso de incorporación de nuevos mutualistas, la ampliación de coberturas, las causas de exclusión de patologías y la denegación o aceptación de prestaciones. Está formada por consejeros electos del Consejo de Administración.

Comisión de Estrategia, Innovación y RSC

La Comisión de Estrategia, Innovación y Responsabilidad Social Corporativa es un órgano de carácter informativo y consultivo, sin funciones ejecutivas, con facultades de soporte y asesoramiento al Consejo de Administración. Entre sus funciones, se encuentran proponer y valorar las distintas alternativas estratégicas a adoptar por la entidad y hacer seguimiento de la gestión de los planes estratégicos en curso; asesorar y proporcionar apoyo en cuestiones relacionadas con la innovación, realizando análisis y seguimiento de los proyectos de innovación, garantizando su adecuada implantación y desarrollo, y asesorar acerca del diseño de la cultura y de los valores corporativos, incluyendo estrategia de prácticas de negocio responsable y de sostenibilidad.

Servicio de Atención al Cliente

El Servicio de Atención al Cliente (SAC) atiende las consultas, quejas y reclamaciones de los mutualistas asegurados, beneficiarios o derechohabientes contra los acuerdos de la mutualidad.

Participación en asociaciones

Como mutualidad de previsión social del colectivo médico, participamos en varias agrupaciones de entidades relacionadas con la previsión social, con el ámbito de las mutualidades o con los médicos, con el fin de promover propuestas de mejora a las administraciones, tanto nacionales como europeas, en beneficio de nuestros mutualistas y de todos los médicos.

---

Modelos de gestión de riesgos corporativos

La actividad de Mutual Médica está afectada por un conjunto de riesgos de naturaleza muy diversa: sociales, económicos, financieros, legislativos, operacionales o vinculados al uso de las tecnologías de la información y comunicación. Estos riesgos no son estáticos, sino que se encuentran en constante transformación, como demuestran la incertidumbre económica global actual y la aceleración del proceso de digitalización.

La entidad cuenta con una serie de sistemas de identificación de estos riesgos y con recursos y políticas propias para hacerles frente.

Tres líneas de defensa

Mutual Médica adopta el sistema de tres líneas de defensa como modelo para la gestión de riesgos corporativos y el control interno. Este modelo persigue principalmente los siguientes objetivos:

• Anticipación de los riesgos y desarrollo de medidas preventivas.
• Gestión del riesgo a partir del cumplimiento de las normativas externas e internas.
• Desarrollo de mecanismos fiables e independientes de auditoría interna.

El modelo de tres líneas de defensa es un estándar ampliamente utilizado, que es también requerido por Solvencia II, la directiva europea que marca el sistema de solvencia de todas las entidades del sector asegurador.

Principales riesgos y medidas de prevención

De acuerdo con el modelo de las tres líneas de defensa, la entidad ha seguido trabajando en 2021 en el desarrollo de medidas de prevención para gestionar los riesgos vinculados a los siguientes aspectos: compliance penal, protección de datos y ciberseguridad.

Compliance penal

Mutual Médica ha desarrollado un Sistema de Gestión de Compliance Penal para evitar que, como persona jurídica, pueda incurrir en responsabilidad por la comisión de algunos delitos previstos en la normativa. Ciertas conductas de los miembros del sistema de gobierno o de los empleados podrían poner en riesgo la actividad de la entidad, así como la reputación de Mutual Médica. Incluso la mutualidad podría recibir algún tipo de sanción económica o administrativa en este sentido. Entre estas conductas delictivas, se encuentran algunas que, por el contexto de nuestra organización y la actividad que realizamos, son más susceptibles de producirse, como el descubrimiento y revelación de secretos, la estafa, el espionaje empresarial, la corrupción, el blanqueo de capitales y financiación del terrorismo, el tráfico de influencias o los daños informáticos. El Sistema de Gestión de Compliance Penal que está construyendo la mutualidad aplica a nivel interno a todas las áreas de negocio, así como a sus relaciones con terceros: grupos de interés, socios de negocio, proveedores, etc. Por esta razón, se ha distribuido la política de compliance penal a todos los niveles y ámbitos de la entidad y se han realizado acciones de sensibilización, tanto a los órganos de gobierno como a los empleados, para que tengan conocimiento acerca de estos comportamientos ilícitos de este tipo de irregularidades y dispongan de los mecanismos de prevención necesarios para evitar que se produzcan y denunciarlo.

Además, Mutual Médica ha creado un órgano de acompañamiento: la función del Órgano de Compliance Penal. Cuenta también con dos órganos más especializados para cumplir con la normativa relacionada con la prevención del blanqueo de capitales y financiación del terrorismo, que son el OCI y la Unidad Técnica; ambos se encargan de poner en práctica las políticas, procedimientos y otras funciones asignadas en este ámbito.

Protección de datos

Mutual Médica vela por el cumplimiento de la normativa de protección de datos. En sus políticas internas se describe la estructura interna y organizativa que desarrolla e implementa las medidas de seguridad, de confidencialidad, de integridad y de disponibilidad necesarias para cuidar y tratar los datos personales de los que dispone.

En aquellos procesos, circuitos y procedimientos que requieren almacenaje o tratamiento de datos personales, se realizan análisis relativos a los sistemas de protección y almacenamiento de datos, servidores, servicios en la nube y otros, con el fin de valorar los riesgos que puede representar, así como la probabilidad y nivel de gravedad de estos.

Asimismo, tanto en los nuevos proyectos como en la documentación que actúa como soporte de la actividad aseguradora realizada por la mutualidad, se trabaja desde el inicio el respeto al cumplimiento normativo de protección de datos, atendiendo a la naturaleza, el alcance, el contexto y los fines del tratamiento de los datos personales, así como la afectación en los derechos y libertades de los mutualistas. Se vela por cumplir con las cláusulas informativas y el deber de información previos, con el objetivo de actuar de forma transparente desde el primer momento. Además, se formaliza también, desde el primer momento, todos los requerimientos acerca del tratamiento de datos en la contratación con terceros o con proveedores, para garantizar la seguridad de estos datos.

Por otra parte, la entidad lleva a cabo acciones de sensibilización y formación interna a toda la organización, aunque más especialmente en aquellas áreas que participan en operativa que implica un mayor volumen de tratamiento de datos, a los efectos de garantizar el cumplimiento de las obligaciones legales en esta materia, así como fomentar el soporte en la detección preventiva de riesgos y reforzar la aplicación de los debidos controles para mitigar estos riesgos.

Por último, se ha nombrado a un delegado de protección de datos y se ha creado un grupo de seguridad de la información, lo que refuerza la privacidad y el cumplimiento de la protección de datos en Mutual Médica.

Ciberseguridad

Durante un periodo significativo del año 2021, prosiguió la situación excepcional derivada de la pandemia por COVID-19, durante la cual la entidad siguió velando por la seguridad de los empleados y por dar cumplimiento, a su vez, a las recomendaciones sanitarias, por lo que se apoyó el teletrabajo a nivel general.

En esta línea, se siguió reforzando y monitorizando las medidas de seguridad oportunas, relativas a la estructura y arquitectura de los sistemas informáticos ya implementada y mejorando el acceso en remoto de los trabajadores desde cualquier lugar en el que se encontrasen.

Asimismo, se actualizó un nuevo portal de la entidad en la herramienta Confluence, desde donde se compartió, y se sigue compartiendo con todos los empleados, todo tipo de información de interés para el equipo de personas de la mutualidad, entre ella las políticas internas de seguridad de la información, bring your own device y la documentación sobre el uso aceptable de los sistemas de información. De esta manera, se ha contribuido a mitigar posibles ciberriesgos y se han aplicado medidas de seguridad establecidas en estos documentos, así como al fomento de su cumplimiento en cuanto a conductas y buenas prácticas establecidas.

Como ya hemos comentado con anterioridad, la entidad tiene el compromiso de mantener una cultura de compliance en el campo de la seguridad y la protección de datos, por lo que durante el ejercicio 2021 también se ha remitido a los empleados una serie de píldoras informativas que daban a conocer los principales riesgos de una de las prácticas más preocupantes a la que nos enfrentamos en la actualidad: el phishing. También se organizó un simulacro que permitió validar el nivel de concienciación actual de toda la plantilla de la entidad en este tema.

Como mejoras y avances en la gestión del riesgo cibernético, también se ha de tener en cuenta la implementación de las siguientes acciones:

• Auditorías y pentest internas y externas.
• Adquisición de un nuevo antivirus que ofrece mayor amplitud de medidas de protección frente a ataques de ransomware, además de mejoras en la monitorización.
• Securización de la red, implantando una nueva red SD-Wan para comunicación desde las sedes, así como cambios de DNS.

Además, junto al proveedor de ciberseguridad también se ha trabajado en:

• La realización de un inventario y de un control de activos, tanto de hardware como de software.
• Una gestión continua de las posibles vulnerabilidades.
• El uso controlado de los privilegios administrativos.
• Las configuraciones de equipos seguros.
• Y el mantenimiento, seguimiento y análisis de registros de auditoría.

Finalmente, se mantuvo la contratación de una póliza de seguros que ofrece cobertura de riesgos cibernéticos y que proporciona un refuerzo adicional de recursos ante incidencias o ataques de seguridad, independientemente del alcance de estas.

Sistema de Control Interno y Auditoría Interna

El Sistema de Control Interno engloba todos aquellos procesos y medidas establecidos por el Consejo de Administración de Mutual Médica para garantizar que las operaciones de la entidad se realizan según lo establecido y con el nivel de calidad y precisión exigido. En concreto, estos procedimientos miden aspectos como la eficacia y eficiencia de las operaciones; la fiabilidad e integridad de la información financiera y no financiera; la adecuada gestión de los riesgos de acuerdo con los objetivos estratégicos, y el cumplimiento de las leyes, políticas y procedimientos internos aplicables.

Este sistema se desarrolla a partir de las siguientes fases:

1.- Identificación de objetivos: definición de los objetivos de la entidad y los pasos a seguir para alcanzarlos.

2.- Establecimiento de políticas: definición de las políticas que marcan las reglas a seguir para alcanzar los objetivos fijados, encabezadas por el Marco de Sistema de Gobierno.

3.- Identificación de procesos clave: definición de los procesos alineados con la estrategia de la entidad y que se encaminen a la consecución de los objetivos identificados inicialmente.

4.- Asignación de responsabilidades: definición clara de las responsabilidades de cada uno de los implicados en este sistema.

5.- Identificación de riesgos/deficiencias: identificación de los riesgos que podrían darse en los procesos clave y que podrían poner en peligro el logro de los objetivos de la entidad, en base a su alcance (importancia) y probabilidad de ocurrencia.

6.- Implantación de controles y actividades de control en respuesta a los riesgos: conjunto de políticas y procedimientos que ayudan a tomar las medidas necesarias para controlar los riesgos y conseguir los objetivos fijados.

7.- Gestión del riesgo: centralización del control y coordinación del proceso de gestión de riesgos y de los resultados, así como el control y supervisión del cumplimiento normativo y legal.

8.- Reporting: identificación, generación y comunicación de información oportuna y veraz en el menor tiempo posible.

9.- Supervisión y seguimiento del Sistema de Control Interno: procesos o procedimientos diseñados para revisar la efectividad del Sistema de Control Interno. Los dos estadios de esta fase son el departamento de Cumplimiento y Control Interno y la Auditoría Interna.

En 2021, además de revisar y actualizar las políticas ya existentes, se han desarrollado también nuevas políticas que han permitido reforzar el sistema de gobierno y, con ello, el Sistema de Control Interno. Entre estas políticas encontramos el marco de gestión del apetito de riesgo, la política de integración de riesgos ASG y la política de selección y promoción interna.

Además de la revisión anual recurrente, desde la mutualidad se está trabajando en que la política de gestión de inversiones y la política de remuneraciones se adapten a las nuevas normativas de sostenibilidad (riesgos ASG).

Departamento de Cumplimiento y Control Interno

El departamento de Cumplimiento y Control Interno es el responsable de comprobar la efectividad del Sistema de Control Interno mediante la documentación de los procesos críticos de la entidad y la valoración de la eficacia de los controles instaurados. Otras responsabilidades de este departamento son coordinar la Comisión de Auditoría y Control y realizar su informe anual para la presentación a la Asamblea General; realizar y dar seguimiento a los test de controles de procesos; supervisar el cumplimiento de los requerimientos internos definidos por Dirección; o coordinar la relación con la Dirección General de Seguros y Fondos de Pensiones.

En el último ejercicio también se ha continuado potenciando el proyecto de Gestión del Riesgo Operacional, desarrollado en colaboración con el área de Gestión de Riesgos con el fin último de obtener un mapa de riesgos operacionales, y se ha seguido trabajando en el levantamiento y optimización de procesos, la identificación de los riesgos asociados a los mismos y la propuesta de establecimiento de los controles pertinentes.

Auditoría Interna

En su rol de tercera línea de defensa, la función de Auditoría Interna se encarga de la revisión y evaluación de forma objetiva e independiente del Sistema de Control Interno, con el objetivo de proporcionar una garantía adicional al Consejo de Administración. Para ello, cuenta con la colaboración de una firma externa independiente y de prestigio.

Las auditorías internas realizadas en 2021 han evaluado los siguientes aspectos:

• Función Actuarial y función de Gestión de Riesgos.
• Gestión de prestaciones.
• Políticas de calidad del dato, Marco de Sistema de Gobierno, política de aptitud y honorabilidad, externalización (segunda intervención: actividades externalizadas por la entidad y revisión de la política), Compras.
• Proceso de calidad del dato.
• Control del fraude.
• Plan de contingencia de Sistemas.