BON GOVERN CORPORATIU

---

Òrgans de govern

L’objectiu del Sistema de Govern de Mutual Mèdica és dotar l’entitat d’una estructura organitzativa transparent i apropiada, amb una clara i adequada distribució i separació de funcions. Per això, l’estructura es compon de tres nivells de decisió: Assemblea General de Mutualistes, Consell d’Administració i les diverses Comissions del Consell.

Paral·lelament, en el marc del compliment de Solvència II, el Sistema de Govern està format, al seu torn, per les funcions clau de Gestió de Riscos, Actuarial, Auditoria Interna i Verificació de Compliment.

Aquest sistema respon al doble compromís del model de governança de l’entitat:

• L’aplicació efectiva dels valors de Mutual Mèdica a partir d’uns criteris propis d’actuació i autocontrol.

• El compliment de l’ordenament jurídic que l’afecta com a entitat asseguradora amb naturalesa de mutualitat de previsió social.

A continuació, es detallen les funcions i composició de cadascun dels òrgans de govern a l’exercici 2022.

Organigrama

Assemblea General

L’Assemblea General és la reunió dels mutualistes per deliberar i establir acords, entre els quals destaquen el nomenament, la ratificació i la revocació dels membres del Consell d’Administració, així com valorar i censurar o aprovar la gestió social i els comptes anuals de l’exercici. Així mateix, aprova nous reglaments o canvis en els ja existents, a més de les modificacions dels estatuts. Hi poden prendre part tots els mutualistes de l’entitat.

Consell d’Administració

El Consell d’Administració és l’òrgan de representació, govern i gestió de Mutual Mèdica i té com a funcions fixar les directrius generals d’actuació en la gestió de l’entitat i nomenar els càrrecs de direcció de la mutualitat. També ha de presentar a l’Assemblea els comptes anuals, l’informe de gestió i la proposta d’aplicació del resultat, a més d’aprovar el pressupost anual d’ingressos i despeses. Cal destacar que el Consell convoca les eleccions per a conseller i aplica i interpreta els preceptes estatutaris, especialment en cas de dubte.

El Consell d’Administració està format per metges, que vetllen per oferir en tot moment els productes i serveis que el col·lectiu necessita. Un total de 14 dels seus membres són triats a l’Assemblea General mitjançant eleccions i d’altres 7 ho són en representació dels col·legis de metges protectors. Entre els 14 membres triats per l’Assemblea, un d’ells ho és com a conseller extern al no tenir la condició de metge mutualista, sinó que s’incorpora al Consell per aportar els seus coneixements i experiència en assegurances i mercats financers, comptabilitat, marc regulador, etc.

Vocals en representació dels Col·legis Oficials de Metges Protectors

Col·legi Oficial de Metges de Barcelona

Col·legi Oficial de Metges de Girona

Col·legi Oficial de Metges de les Illes Balears

Col·legi Oficial de Metges de Lleida

Col·legi Oficial de Metges de Tarragona

Col·legi Oficial de Metges de Cantàbria

Comissió Permanent

És l’òrgan que tracta la resolució dels assumptes de tràmit, té atribucions en matèria de nomenament i retribucions i prepara els Consells d’Administració. Està format per membres amb càrrec del Consell d’Administració.

Comissió d’Auditoria i Control

La Comissió d’Auditoria i Control serveix com a canal de comunicació entre el Consell d’Administració i els auditors. Avalua els resultats de cada auditoria i les respostes de l’equip de gestió a les seves recomanacions. Així mateix, comprova l’adequació i la integritat dels sistemes de control intern, examina el compliment de les regles de govern de Mutual Mèdica i planteja les propostes necessàries per millorar-les. Està formada per un mínim de tres i un màxim de cinc membres del Consell d’Administració, triats entre els consellers electes sense càrrec al Consell. Pot estar assistida per un professional extern i comptar amb la participació de la direcció en les seves reunions per exercir tasques de suport, de la mateixa manera que poden assistir a les seves reunions fins a tres mutualistes a proposta del Consell d’Administració.

Comissió d’Inversions

La Comissió d’Inversions és l’òrgan delegat del Consell d’Administració que li ofereix suport en els assumptes relacionats amb les finances i que vetlla pel compliment de la política d’inversions de l’entitat. Està formada per consellers electes i personal directiu.

Comissió d’Assegurances i Prestacions

La Comissió d’Assegurances i Prestacions té com a objecte adjudicar les prestacions de les assegurances de vida i assessorar en la gestió de les assegurances de mutualistes pel que fa al procés d’incorporació de nous mutualistes, l’ampliació de cobertures, les causes d’exclusió de patologies i la denegació o acceptació de prestacions. Està formada per consellers electes del Consell d’Administració.

Comissió d’Estratègia, Innovació i RSC

La Comissió d’Estratègia, Innovació i Responsabilitat Social Corporativa és un òrgan de caràcter informatiu i consultiu, sense funcions executives, amb facultats de suport i assessorament al Consell d’Administració. Entre les seves funcions, es troben proposar i valorar les diferents alternatives estratègiques a adoptar per l’entitat i fer seguiment de la gestió dels plans estratègics en curs; assessorar i proporcionar suport en qüestions relacionades amb la innovació, tot fent anàlisis i seguiment dels projectes d’innovació i garantint la seva adequada implantació i desenvolupament, i assessorar sobre el disseny de la cultura i dels valors corporatius, incloent-hi estratègia de pràctiques de negoci responsable i de sostenibilitat.

Servei d’Atenció al Client

El Servei d’Atenció al Client (SAC) atén les consultes, queixes i reclamacions dels mutualistes assegurats, beneficiaris o drethavents contra els acords de la mutualitat.

Participació en associacions

Com a mutualitat de previsió social del col·lectiu mèdic, participem en diverses agrupacions d’entitats relacionades amb la previsió social, amb l’àmbit de les mutualitats o amb els metges, amb la finalitat de promoure propostes de millora a les administracions, tant nacionals com europees, en benefici dels nostres mutualistes i de tots els metges.

---

Models de gestió de riscos corporatius

L’activitat de Mutual Mèdica està afectada per un conjunt de riscos de naturalesa molt diversa: socials, econòmics, financers, legislatius, operacionals o vinculats a l’ús de les tecnologies de la informació i comunicació. Aquests riscos no són estàtics, sinó que es troben en constant transformació, com demostren la incertesa econòmica global actual i l’acceleració del procés de digitalització.

L’entitat compta amb una sèrie de sistemes d’identificació d’aquests riscos i amb recursos i polítiques pròpies per fer-los front.

Tres línies de defensa

Mutual Mèdica adopta el sistema de tres línies de defensa com a model per a la gestió de riscos corporatius i el control intern. Aquest model persegueix principalment els següents objectius:

• Anticipació dels riscos i desenvolupament de mesures preventives.
• Gestió del risc a partir del compliment de les normatives externes i internes.
• Desenvolupament de mecanismes fiables i independents d’auditoria interna.

El model de tres línies de defensa és un estàndard àmpliament utilitzat, que és també requerit per Solvència II, la directiva europea que marca el sistema de solvència de totes les entitats del sector assegurador.

Principals riscos i mesures de prevenció

D’acord amb el model de les tres línies de defensa, l’entitat ha continuat treballant el 2021 en el desenvolupament de mesures de prevenció per gestionar els riscos vinculats als següents aspectes: compliance penal, protecció de dades i ciberseguretat.

Compliance penal

Mutual Mèdica ha desenvolupat un Sistema de Gestió de Compliance Penal per contribuir al bon govern corporatiu i gestió ètica.

El sistema de gestió de prevenció de delictes que està implementant Mutual Mèdica pretén evitar la comissió de conductes que comportin incórrer en responsabilitat penal de la persona jurídica. Certes accions dels membres del sistema de govern, els empleats per si mateixos o en relació amb els nostres grups d’interès i/o socis de negoci poden residir en l’exposició de l’entitat a conductes incorrectes que comportin responsabilitat econòmica, administrativa o reputacional. Com a mesura de prevenció, Mutual Mèdica ha elaborat diferents polítiques internes i realitza alhora accions formatives de conscienciació en diferents matèries com la prevenció del blanqueig de capitals, l’estafa, la corrupció, el suborn o danys informàtics, entre d’altres, per reduir el risc de comissió a nivell intern o en col·laboració/cooperació amb tercers vinculats a l’entitat.

Mutual Mèdica vetlla pel principi de tolerància zero al risc a la corrupció i al frau; per això en la seva actuació i relació amb els proveïdors o col·laboradors s’estenen aquestes mesures i se’ls sol·licita mantenir uns valors i principis d’actuació similars. Les polítiques internes del sistema de govern, compliance penal, gestió de riscos de frau, etc. són aprovades pels òrgans de govern i difoses i accessibles als empleats, perquè tinguin coneixement sobre aquests comportaments il·lícits i irregularitats i disposin dels mecanismes de prevenció necessaris per evitar que es produeixin i denunciar-ho mitjançant mecanismes segurs i confidencials implementats per l’entitat.

Mutual Mèdica compta amb les estructures internes necessàries per complir amb els requisits exigits per cada normativa, òrgan de compliance penal, Unitat Tècnica, OCI, DPO, entre altres, que vetllen pel compliment i execució material del que s’estableix a les polítiques, procediments i altres funcions assignades en aquest àmbit.

Protecció de dades

Mutual Mèdica es preocupa per la privacitat i la protecció de dades dels nostres mutualistes, empleats i proveïdors o tercers amb els quals interactua.

En compliment del Reglament General de Protecció de Dades i Llei de Protecció de Dades i Drets Digitals, Mutual Mèdica disposa d’unes polítiques internes que regulen les principals bones pràctiques pel que fa a l’ús de dispositius i el marc de seguretat dels sistemes d’informació en el qual s’indica l’estructura interna i organitzativa que desenvolupa i implementa les mesures de seguretat, de confidencialitat, d’integritat i de disponibilitat necessàries per cuidar i tractar les dades personals, així com protecció de la informació.

En aquells processos, circuits i procediments que requereixen emmagatzematge o tractament de dades personals, es fan anàlisis relatives als sistemes de protecció i emmagatzematge de dades, servidors, serveis al núvol i altres, amb la finalitat de valorar els riscos que pot representar, així com la seva probabilitat i nivell de gravetat.

Es treballa aplicant els principis de protecció de dades i privacitat des del disseny, atesa la naturalesa, l’abast, el context i les finalitats del tractament de les dades personals, així com l’afectació en els drets i llibertats dels mutualistes. Es vetlla per la transparència en la redacció de les clàusules informatives i el deure d’informació previs. Se supervisen els requeriments sobre el tractament de dades en la contractació amb tercers o amb proveïdors, per garantir la seguretat d’aquestes dades; en cas necessari, es formalitzen les mesures contractuals de tractament o cessió de dades que regulin l’operativa.

D’altra banda, l’entitat duu a terme formació, encara que més especialment en aquelles àrees que participen d’un volum superior de tractament de dades, a l’efecte de garantir el compliment de les obligacions legals en aquesta matèria, així com fomentar el suport en la detecció preventiva de riscos i reforçar l’aplicació dels controls necessaris per mitigar aquests riscos.

El delegat de protecció de dades i el grup de seguretat de la informació recullen als seus informes i actes els treballs i projectes que duen a terme, la qual cosa reforça la privacitat i el compliment de la protecció de dades en Mutual Mèdica.

Ciberseguretat

Una de les categories del risc operacional a Solvència II es refereix als esdeveniments que es materialitzen per causes degudes a errors als sistemes, també denominats tecnologies de la informació. Dins d’aquesta classificació, destaca l’anomenat “ciberisc”, que és aquell que es produeix arran d’una vulnerabilitat o fallades de seguretat dels sistemes informàtics.

En aquesta línia, es va continuar reforçant i monitorant les mesures de seguretat oportunes relatives a l’estructura, i l’entitat disposa d’un grup de treball de seguretat que vetlla pel compliment de la protecció de dades personals, la integritat, disponibilitat i resiliència operativa de l’entitat. Aquest grup es regeix per les polítiques internes que defineixen el marc de gestió dels sistemes de seguretat de la informació de Mutual Mèdica. En aquestes polítiques es detalla l’estructura interna i rols d’aquest grup, així com els serveis externs que contribueixen al monitoratge i gestió de la seguretat.

L’entitat té externalitzat els següents serveis:

• El SOC (Service Operation Center), que monitora en temps real amb una transferència contínua de mètriques i indicadors, correlació i filtrat d’alertes, logs, antivirus, etc., sobre la base del nivell d’exposició dels actius. En el marc d’aquest servei, el proveïdor extern efectua una anàlisi constant d’amenaces, i existeix un sistema de comunicació d’alertes fluid amb el responsable de Seguretat de Mutual Mèdica mitjançant el qual s’informa de les vulnerabilitats detectades dels actius crítics; és part també de les seves tasques donar suport avançat per resoldre-les o minimitzar-les. De manera reactiva, aquest servei també ofereix la resposta remota amb contramesures de seguretat en cas d’incidents.

• L’OTS (Oficina Tècnica de Seguretat), que ofereix un assessorament proactiu d’avanços i millores que es poden implementar a l’entitat en matèria de ciberseguretat, així com la seva expertesa en la implementació i supervisió d’aquestes mesures que són proposades. També ofereix el seu suport en iniciatives de seguretat decidides per Mutual Mèdica a causa del seu grau de coneixement i especialització.

Mutual Mèdica, durant l’exercici 2022, ha continuat reforçant i monitorant les mesures de seguretat cibernètiques necessàries per facilitar i millorar les connexions dels empleats des de qualsevol lloc extern a les seves oficines. L’assumpció de la modalitat de treball mixta (tant a oficines de l’entitat, com a les llars dels treballadors) ha comportat una major formació i la necessitat de conscienciar tots els empleats sobre els riscos cibernètics actuals.

Accions realitzades per a la reducció del risc cibernètic

• Durant l’any s’ha treballat en les següents direccions:
  • Auditories de Seguretat externes (DAST i SAST) sobre les diferents aplicacions que s’han posat en funcionament (Àrea del Mutualista i Nou Formulari Mutualista Jove). En cap de les dues auditories s’han detectat incidències crítiques ni altes que impedissin la seva obertura de manera pública.
• Conscienciació sobre phishing:
  • S’ha fet una formació a tots els empleats i consellers, en diferents grups segons antiguitat i resultat d’anteriors simulacres.
  • Realitzat simulacre de phishing el novembre del 2022. Com a indicador més destacat, s’ha reduït la ràtio “Dades introduïdes / Mail obert” en aproximadament un 70% enfront de l’exercici anterior.
• Implantació de noves eines orientades a augmentar el nivell de seguretat:
  • Eina per a apedaçament virtual de servidors (Deep Scan de Trend Micro).
  • Eina per a auditoria contínua de seguretat de codi (Checkmarx).

De manera complementària, el juny del 2022 s’ha migrat el CPD de Mutual Mèdica a un Data Center fora de les instal·lacions de Mutual Mèdica, que compleix amb totes les normatives i recomanacions de l’Institut Nacional de Ciberseguretat (INCIBE).

Com a activitat recurrent es manté i amplia el servei del SOC proporcionat pel proveïdor Ackcent. A final del 2022 s’ha renovat el contracte per 3 anys més.

Addicionalment, seguint les recomanacions d’EIOPA, s’ha implantat un nou mètode perquè tots els empleats de l’entitat puguin reportar qualsevol problema de seguretat i així crear un inventari (a través de l’eina Jira).

En aquesta adreça, només s’ha reportat una incidència relacionada amb un bàner de publicitat que va ser inserit de manera externa a www.mutualmedica.com. Aquesta incidència no va comprometre dades de mutualistes en cap dels plans (sostracció, supressió, etc.), però va poder afectar la reputació de l’entitat en aparèixer una publicitat no consentida per Mutual Mèdica. Aquest bàner es va poder suprimir corregint una vulnerabilitat de la tecnologia del Portal, LifeRay. Finalment, es manté la contractació (amb Chubb) d’una pòlissa d’assegurances que ofereix la cobertura de riscos cibernètics que proporciona un reforç addicional de recursos davant d’incidències o atacs de seguretat, independentment del seu abast.

Sistema de Control Intern i Auditoria Interna

El Sistema de Control Intern engloba tots aquells processos i mesures establerts pel Consell d’Administració de Mutual Mèdica per garantir que les operacions de l’entitat es realitzen segons el que s’estableix i amb el nivell de qualitat i precisió exigit. En concret, aquests procediments mesuren aspectes com l’eficàcia i eficiència de les operacions; la fiabilitat i integritat de la informació financera i no financera; l’adequada gestió dels riscos d’acord amb els objectius estratègics, i el compliment de les lleis, polítiques i procediments interns aplicables.

Aquest sistema es desenvolupa a partir de les següents fases:

1.- Identificació d’objectius: definició dels objectius de l’entitat i els passos a seguir per aconseguir-los.

2.- Establiment de polítiques: definició de les polítiques que marquen les regles a seguir per aconseguir els objectius fixats, encapçalades pel Marc de Sistema de Govern.

3.- Identificació de processos clau: definició dels processos alineats amb l’estratègia de l’entitat i que s’encaminin a la consecució dels objectius identificats inicialment.

4.- Assignació de responsabilitats: definició clara de les responsabilitats de cadascun dels implicats en aquest sistema.

5.- Identificació de riscos/deficiències: identificació dels riscos que podrien donar-se en els processos clau i que podrien posar en perill l’assoliment dels objectius de l’entitat, sobre la base del seu abast (importància) i probabilitat d’ocurrència.

6.- Implantació de controls i activitats de control en resposta als riscos: conjunt de polítiques i procediments que ajuden a prendre les mesures necessàries per controlar els riscos i aconseguir els objectius fixats.

7.- Gestió del risc: centralització del control i coordinació del procés de gestió de riscos i dels resultats, així com el control i supervisió del compliment normatiu i legal.

8.- Reporting: identificació, generació i comunicació d’informació oportuna i veraç en el menor temps possible.

9.- Supervisió i seguiment del Sistema de Control Intern: processos o procediments dissenyats per revisar l’efectivitat del Sistema de Control Intern. Els dos estadis d’aquesta fase són el departament de Compliment i Control Intern i l’Auditoria Interna (externalitzada en Mazars, S.L.P.).

El 2022, a més de revisar i actualitzar les ja existents, s’han desenvolupat noves polítiques que han permès reforçar el sistema de govern i, amb això, el Sistema de Control Intern, com són les polítiques de prevenció de frau i anticorrupció, la política de despeses de personal o la nova versió de la política de compres, canviada de nom com a política d’adquisició de béns i serveis.

Departament de Compliment i Control Intern

A principis del 2022 es va dur a terme una reestructuració interna a l’entitat que va derivar en l’escissió de la Funció de Verificació de Compliment del departament Jurídic; així es va separar la primera i segona línia de defensa del model exposat amb anterioritat.

La Funció de Verificació de Compliment, que va experimentar un canvi de titularitat, va passar a formar part del departament que, fins al moment, es denominava Organització i Control Intern per passar a ser Compliment i Control Intern.

El departament de Compliment i Control Intern és el responsable de vetllar pel compliment de les normes externes (legislació general i normativa del sector o activitat) i internes (polítiques, manual de procediments, bones pràctiques, etc.) amb l’objectiu de reforçar el Sistema de Control Intern i, per tant, el Sistema de Govern i evitar la pèrdua de reputació que Mutual Mèdica pot patir com a resultat d’incompliment, tot reforçant la tranquil·litat i fiabilitat en la gestió de la governança de l’entitat.

A més, les tasques realitzades per aquest departament en contribució a l’aixecament de processos crítics i les mesures establertes de valoració de controls implementats per mitigar els riscos detectats permeten mesurar i comprovar l’efectivitat del Sistema de Control Intern.

Entre altres responsabilitats del departament, està la de coordinar les diferents auditories internes i externes, tant de caràcter comptable financer (per exemple, comptes anuals i informe de gestió, etc.) com altres normatives aplicables (entre les quals, protecció de dades i prevenció de blanqueig de capitals), així com reportar els informes i resultats a la Comissió d’Auditoria i Control i, si cal, al Consell d’Administració.

Aquest departament ofereix suport a la Comissió d’Auditoria i Control per a totes aquelles qüestions previstes a l’ordre del dia de les reunions, així com documentació i acords que s’hi aconsegueixen.

El seguiment i control del grau de compliment aconseguit per cada departament és una altra de les fites destacades de la seva missió, i eleven el reporting al Comitè de Compliment.

D’altra banda, és el departament suport amb les Administracions Públiques i Direcció General d’Assegurances i Fons de Pensions en l’atenció de notificacions o requeriments d’informació o abans inspeccions.

Finalment, l’àrea treballa de manera transversal amb accions de formació i conscienciació en matèries de compliment normatiu i qüestions relacionades amb el frau i control.

Cal destacar l’estreta col·laboració entre aquest departament i la funció de gestió de riscos en les tasques de confecció d’un mapa de riscos operacionals, així com en el disseny i execució de test sobre els controls implementats en els processos de negoci.

Auditoria Interna

En el seu rol de tercera línia de defensa, la Funció d’Auditoria Interna s’encarrega de la revisió i avaluació de manera objectiva i independent del Sistema de Control Intern, amb l’objectiu de proporcionar una garantia addicional al Consell d’Administració. Per això, i amb l’objectiu de dotar-la de més imparcialitat, l’entitat va decidir externalitzar-la en una firma d’auditoria de prestigi (Mazars, S.L.P.) el juny del 2017. El juny del 2022, s’ha renovat el contracte amb aquesta empresa, per un període de dos anys i mig, prorrogables dos anys més.

Cal destacar les intervencions realitzades durant el 2022 per part de la Funció d’Auditoria Interna, que donen resposta al Pla d’Auditoria Interna aprovat pel Consell d’Administració a aquest efecte:

• Gestió fiscal.
• Política de risc operacional.
• Màrqueting i gestió de publicitat.
• Grau d’implantació de Solvència II.
• Gestió de la seguretat.
• Pla d’actius i persones.
• Gestió i registre comptable d’inversions.
• Política d’integració de riscos de sostenibilitat.
• Marc de Sistema de Govern i política d’aptitud i honorabilitat.
• Política de Sistema de Control Intern.