BUEN GOBIERNO CORPORATIVO

---

Órganos de gobierno

El objetivo del Sistema de Gobierno de Mutual Médica es dotar a la entidad de una estructura organizativa transparente y apropiada, con una clara y adecuada distribución y separación de funciones. Para ello, la estructura se compone de tres niveles de decisión: Asamblea General de Mutualistas, Consejo de Administración y las diversas Comisiones del Consejo.

Paralelamente, en el marco del cumplimiento de Solvencia II, el Sistema de Gobierno está compuesto, a su vez, por las funciones clave de Gestión de Riesgos, Actuarial, Auditoría Interna y Verificación de Cumplimiento.

Este sistema responde al doble compromiso del modelo de gobernanza de la entidad:

• La aplicación efectiva de los valores de Mutual Médica a partir de unos criterios propios de actuación y autocontrol.

• El cumplimiento del ordenamiento jurídico que le afecta como entidad aseguradora con naturaleza de mutualidad de previsión social.

A continuación, se detallan las funciones y composición de cada uno de los órganos de gobierno en el ejercicio 2022.

Organigrama

Asamblea General

La Asamblea General es la reunión de los mutualistas para deliberar y establecer acuerdos, entre los que destacan el nombramiento, la ratificación y la revocación de los miembros del Consejo de Administración, así como valorar y censurar o aprobar la gestión social y las cuentas anuales del ejercicio. Asimismo, aprueba nuevos reglamentos o cambios en los ya existentes, además de las modificaciones de los estatutos. Pueden tomar parte en ella todos los mutualistas de la entidad.

Consejo de Administración

El Consejo de Administración es el órgano de representación, gobierno y gestión de Mutual Médica y tiene como funciones fijar las directrices generales de actuación en la gestión de la entidad y nombrar los cargos de dirección de la mutualidad. También debe presentar a la Asamblea las cuentas anuales, el informe de gestión y la propuesta de aplicación del resultado, además de aprobar el presupuesto anual de ingresos y gastos. Debe destacarse que el Consejo convoca las elecciones para consejero y aplica e interpreta los preceptos estatutarios, especialmente en caso de duda.

El Consejo de Administración está formado por médicos, que velan por ofrecer en todo momento los productos y servicios que el colectivo necesita. Un total de 14 de sus miembros son escogidos en la Asamblea General mediante elecciones y otros 7 lo son en representación de los colegios de médicos protectores. Entre los 14 miembros escogidos por la Asamblea, uno de ellos lo es como consejero externo al no tener la condición de médico mutualista, sino que se incorpora al Consejo para aportar sus conocimientos y experiencia en seguros y mercados financieros, contabilidad, marco regulatorio, etc.

Vocales en representación de los Colegios Oficiales de Médicos Protectores

Colegio Oficial de Médicos de Barcelona

Colegio Oficial de Médicos de Girona

Colegio Oficial de Médicos de las Islas Baleares

Colegio Oficial de Médicos de Lleida

Colegio Oficial de Médicos de Tarragona

Colegio Oficial de Médicos de Cantabria

Comisión Permanente

Es el órgano que trata la resolución de los asuntos de trámite, tiene atribuciones en materia de nombramiento y retribuciones y prepara los Consejos de Administración. Está formado por miembros con cargo del Consejo de Administración.

Comisión de Auditoría y Control

La Comisión de Auditoría y Control sirve como canal de comunicación entre el Consejo de Administración y los auditores. Evalúa los resultados de cada auditoría y las respuestas del equipo de gestión a sus recomendaciones. Asimismo, comprueba la adecuación y la integridad de los sistemas de control interno, examina el cumplimiento de las reglas de gobierno de Mutual Médica y plantea las propuestas necesarias para mejorarlas. Está formada por un mínimo de tres y un máximo de cinco miembros del Consejo de Administración, escogidos entre los consejeros electos sin cargo en el Consejo. Puede estar asistida por un profesional externo y contar con la participación de la dirección en sus reuniones para ejercer labores de soporte, del mismo modo que pueden asistir a sus reuniones hasta tres mutualistas a propuesta del Consejo de Administración.

Comisión de Inversiones

La Comisión de Inversiones es el órgano delegado del Consejo de Administración que le ofrece apoyo en los asuntos relacionados con las finanzas y que vela por el cumplimiento de la política de inversiones de la entidad. Está formada por consejeros electos y personal directivo.

Comisión de Seguros y Prestaciones

La Comisión de Seguros y Prestaciones tiene como objeto adjudicar las prestaciones de los seguros de vida y asesorar en la gestión de los seguros de mutualistas en cuanto al proceso de incorporación de nuevos mutualistas, la ampliación de coberturas, las causas de exclusión de patologías y la denegación o aceptación de prestaciones. Está formada por consejeros electos del Consejo de Administración.

Comisión de Estrategia, Innovación y RSC

La Comisión de Estrategia, Innovación y Responsabilidad Social Corporativa es un órgano de carácter informativo y consultivo, sin funciones ejecutivas, con facultades de soporte y asesoramiento al Consejo de Administración. Entre sus funciones, se encuentran proponer y valorar las distintas alternativas estratégicas a adoptar por la entidad y hacer seguimiento de la gestión de los planes estratégicos en curso; asesorar y proporcionar apoyo en cuestiones relacionadas con la innovación, realizando análisis y seguimiento de los proyectos de innovación, garantizando su adecuada implantación y desarrollo, y asesorar acerca del diseño de la cultura y de los valores corporativos, incluyendo estrategia de prácticas de negocio responsable y de sostenibilidad.

Servicio de Atención al Cliente

El Servicio de Atención al Cliente (SAC) atiende las consultas, quejas y reclamaciones de los mutualistas asegurados, beneficiarios o derechohabientes contra los acuerdos de la mutualidad.

Participación en asociaciones

Como mutualidad de previsión social del colectivo médico, participamos en varias agrupaciones de entidades relacionadas con la previsión social, con el ámbito de las mutualidades o con los médicos, con el fin de promover propuestas de mejora a las administraciones, tanto nacionales como europeas, en beneficio de nuestros mutualistas y de todos los médicos.

---

Modelos de gestión de riesgos corporativos

La actividad de Mutual Médica está afectada por un conjunto de riesgos de naturaleza muy diversa: sociales, económicos, financieros, legislativos, operacionales o vinculados al uso de las tecnologías de la información y comunicación. Estos riesgos no son estáticos, sino que se encuentran en constante transformación, como demuestran la incertidumbre económica global actual y la aceleración del proceso de digitalización.

La entidad cuenta con una serie de sistemas de identificación de estos riesgos y con recursos y políticas propias para hacerles frente.

Tres líneas de defensa

Mutual Médica adopta el sistema de tres líneas de defensa como modelo para la gestión de riesgos corporativos y el control interno. Este modelo persigue principalmente los siguientes objetivos:

• Anticipación de los riesgos y desarrollo de medidas preventivas.
• Gestión del riesgo a partir del cumplimiento de las normativas externas e internas.
• Desarrollo de mecanismos fiables e independientes de auditoría interna.

El modelo de tres líneas de defensa es un estándar ampliamente utilizado, que es también requerido por Solvencia II, la directiva europea que marca el sistema de solvencia de todas las entidades del sector asegurador.

Principales riesgos y medidas de prevención

De acuerdo con el modelo de las tres líneas de defensa, la entidad ha seguido trabajando en 2022 en el desarrollo de medidas de prevención para gestionar los riesgos vinculados a los siguientes aspectos: compliance penal, protección de datos y ciberseguridad.

Compliance penal

Mutual Médica ha desarrollado un Sistema de Gestión de Compliance Penal para contribuir al buen gobierno corporativo y gestión ética.

El sistema de gestión de prevención de delitos que está implementando Mutual Médica pretende evitar la comisión de conductas que conlleven incurrir en responsabilidad penal de la persona jurídica. Ciertas acciones de los miembros del sistema de gobierno, los empleados por sí mismos o en relación con nuestros grupos de interés y/o socios de negocio pueden residir en la exposición de la entidad a conductas incorrectas que conlleven responsabilidad económica, administrativa o reputacional. Como medida de prevención, Mutual Médica ha elaborado distintas políticas internas y realiza a su vez acciones formativas de concienciación en distintas materias como la prevención del blanqueo de capitales, la estafa, la corrupción, el cohecho, daños informáticos, entre otros, para reducir el riesgo de comisión a nivel interno o en colaboración/cooperación con terceros vinculados a la entidad.

Mutual Médica vela por el principio de tolerancia cero al riesgo a la corrupción y al fraude; por ello en su actuación y relación con los proveedores o colaboradores se extienden dichas medidas y se les solicita mantener unos valores y principios de actuación similares. Las políticas internas del sistema de gobierno, compliance penal, gestión de riesgos de fraude, etc. son aprobadas por los órganos de gobierno y difundidas y accesibles a los empleados, para que tengan conocimiento acerca de estos comportamientos ilícitos e irregularidades y dispongan de los mecanismos de prevención necesarios para evitar que se produzcan y denunciarlo mediante mecanismos seguros y confidenciales implementados por la entidad.

Mutual Médica cuenta con las estructuras internas necesarias para cumplir con los requisitos exigidos por cada normativa, órgano de compliance penal, Unidad Técnica, OCI, DPO, entre otros, que velan por el cumplimiento y ejecución material de lo establecido en las políticas, procedimientos y otras funciones asignadas en este ámbito.

Protección de datos

Mutual Médica se preocupa por la privacidad y la protección de datos de nuestros mutualistas, empleados y proveedores o terceros con los que interactúa.

En cumplimiento del Reglamento General de Protección de Datos y Ley de Protección de Datos y Derechos Digitales, Mutual Médica dispone de unas políticas internas que regulan las principales buenas prácticas en cuanto al uso de dispositivos y el marco de seguridad de los sistemas de información en el que se indica la estructura interna y organizativa que desarrolla e implementa las medidas de seguridad, de confidencialidad, de integridad y de disponibilidad necesarias para cuidar y tratar los datos personales, así como protección de la información.

En aquellos procesos, circuitos y procedimientos que requieren almacenaje o tratamiento de datos personales, se realizan análisis relativos a los sistemas de protección y almacenamiento de datos, servidores, servicios en la nube y otros, con el fin de valorar los riesgos que puede representar, así como la probabilidad y nivel de gravedad de estos.

Se trabaja aplicando los principios de protección de datos y privacidad desde el diseño, atendiendo a la naturaleza, el alcance, el contexto y los fines del tratamiento de los datos personales, así como la afectación en los derechos y libertades de los mutualistas. Se vela por la transparencia en la redacción de las cláusulas informativas y el deber de información previos. Se supervisan los requerimientos acerca del tratamiento de datos en la contratación con terceros o con proveedores, para garantizar la seguridad de estos datos; en caso necesario, se formalizan las medidas contractuales de tratamiento o cesión de datos que regulen la operativa.

Por otra parte, la entidad lleva a cabo formación, aunque más especialmente en aquellas áreas que participan de un mayor volumen de tratamiento de datos, a los efectos de garantizar el cumplimiento de las obligaciones legales en esta materia, así como fomentar el soporte en la detección preventiva de riesgos y reforzar la aplicación de los debidos controles para mitigar estos riesgos.

El delegado de protección de datos y el grupo de seguridad de la información recogen en sus informes y actas los trabajos y proyectos que llevan a cabo, lo que refuerza la privacidad y el cumplimiento de la protección de datos en Mutual Médica.

Ciberseguridad

Una de las categorías del riesgo operacional en Solvencia II se refiere a los eventos que se materializan por causas debidas a fallos en los sistemas, también denominados tecnologías de la información. Dentro de dicha clasificación, destaca el llamado “ciberriesgo”, que es aquel que se produce a raíz de una vulnerabilidad o fallos de seguridad de los sistemas informáticos.

En esta línea, se siguió reforzando y monitorizando las medidas de seguridad oportunas relativas a la estructura, y la entidad dispone de un grupo de trabajo de seguridad que vela por el cumplimiento de la protección de datos personales, la integridad, disponibilidad y resiliencia operativa de la entidad. Dicho grupo se rige por las políticas internas que definen el marco de gestión de los sistemas de seguridad de la información de Mutual Médica. En dichas políticas se detalla la estructura interna y roles de dicho grupo, así como los servicios externos que contribuyen a la monitorización y gestión de la seguridad.

La entidad tiene externalizado los siguientes servicios:

• El SOC (Service Operation Center) que monitoriza en tiempo real con una transferencia continua de métricas e indicadores, correlación y filtrado de alertas, logs, antivirus, etc., en base al nivel de exposición de los activos. En el marco de este servicio, el proveedor externo efectúa un análisis constante de amenazas, existiendo un sistema de comunicación de alertas fluido con el responsable de Seguridad de Mutual Médica mediante el que se informa de las vulnerabilidades detectadas de los activos críticos; es parte también de sus tareas dar soporte avanzado para resolverlas o minimizarlas. De forma reactiva, este servicio también ofrece la respuesta remota con contramedidas de seguridad en caso de incidentes.

• La OTS (Oficina Técnica de Seguridad), que ofrece un asesoramiento proactivo de avances y mejoras que se pueden implementar en la entidad en materia de ciberseguridad, así como su expertise en la implementación y supervisión de tales medidas que son propuestas. También ofrece su soporte en iniciativas de seguridad decididas por Mutual Médica debido a su grado de conocimiento y especialización.

Mutual Médica, durante el ejercicio 2022, ha seguido reforzando y monitorizando las medidas de seguridad cibernéticas necesarias para facilitar y mejorar las conexiones de los empleados desde cualquier lugar externo a sus oficinas. La asunción de la modalidad de trabajo mixta (tanto en oficinas de la entidad, como en los hogares de los trabajadores), ha comportado una mayor formación y la necesidad de concienciar a todos los empleados sobre los riesgos cibernéticos actuales.

Acciones realizadas para la reducción del riesgo cibernético

• Durante el año se ha trabajado en las siguientes direcciones:
  • Auditorías de Seguridad externas (DAST y SAST) sobre las diferentes aplicaciones que se han puesto en funcionamiento (Área del Mutualista y Nuevo Formulario Mutualista Joven). En ninguna de las dos auditorías se han detectado incidencias críticas ni altas que impidieran su apertura de manera pública.
• Concienciación sobre phishing:
  • Se ha realizado una formación a todos los empleados y consejeros, en diferentes grupos según antigüedad y resultado de anteriores simulacros.
  • Realizado simulacro de phishing en noviembre de 2022. Como indicador más destacado, se ha reducido la ratio “Datos introducidos / Mail abierto” en aproximadamente un 70% frente al ejercicio anterior.
• Implantación de nuevas herramientas orientadas a aumentar el nivel de seguridad:
  • Herramienta para parcheado virtual de servidores (Deep Scan de Trend Micro).
  • Herramienta para auditoría continua de seguridad de código (Checkmarx).

De manera complementaria, en junio de 2022 se ha migrado el CPD de Mutual Médica a un Data Center fuera de las instalaciones de Mutual Médica, que cumple con todas las normativas y recomendaciones del Instituto Nacional de Ciberseguridad (INCIBE).

Como actividad recurrente se mantiene y amplía el servicio del SOC proporcionado por el proveedor Ackcent. A final de 2022 se ha renovado el contrato por 3 años más.

Adicionalmente, siguiendo las recomendaciones de EIOPA, se ha implantado un nuevo método para que todos los empleados de la entidad puedan reportar cualquier problema de seguridad y así crear un inventario de los mismos (a través de la herramienta Jira).

En esta dirección, solo se ha reportado una incidencia relacionada con un banner de publicidad que fue insertado de manera externa en www.mutualmedica.com. Esta incidencia no comprometió datos de mutualistas en ninguno de los planos (sustracción, supresión, etc.), pero pudo afectar a la reputación de la entidad al aparecer una publicidad no consentida por Mutual Médica. Este banner se pudo suprimir corrigiendo una vulnerabilidad de la tecnología del Portal, LifeRay. Finalmente, se mantiene la contratación (con Chubb) de una póliza de seguros que ofrece la cobertura de riesgos cibernéticos que proporciona un refuerzo adicional de recursos ante incidencias o ataques de seguridad, independientemente del alcance de estos.

Sistema de Control Interno y Auditoría Interna

El Sistema de Control Interno engloba todos aquellos procesos y medidas establecidos por el Consejo de Administración de Mutual Médica para garantizar que las operaciones de la entidad se realizan según lo establecido y con el nivel de calidad y precisión exigido. En concreto, estos procedimientos miden aspectos como la eficacia y eficiencia de las operaciones; la fiabilidad e integridad de la información financiera y no financiera; la adecuada gestión de los riesgos de acuerdo con los objetivos estratégicos, y el cumplimiento de las leyes, políticas y procedimientos internos aplicables.

Este sistema se desarrolla a partir de las siguientes fases:

1.- Identificación de objetivos: definición de los objetivos de la entidad y los pasos a seguir para alcanzarlos.

2.- Establecimiento de políticas: definición de las políticas que marcan las reglas a seguir para alcanzar los objetivos fijados, encabezadas por el Marco de Sistema de Gobierno.

3.- Identificación de procesos clave: definición de los procesos alineados con la estrategia de la entidad y que se encaminen a la consecución de los objetivos identificados inicialmente.

4.- Asignación de responsabilidades: definición clara de las responsabilidades de cada uno de los implicados en este sistema.

5.- Identificación de riesgos/deficiencias: identificación de los riesgos que podrían darse en los procesos clave y que podrían poner en peligro el logro de los objetivos de la entidad, en base a su alcance (importancia) y probabilidad de ocurrencia.

6.- Implantación de controles y actividades de control en respuesta a los riesgos: conjunto de políticas y procedimientos que ayudan a tomar las medidas necesarias para controlar los riesgos y conseguir los objetivos fijados.

7.- Gestión del riesgo: centralización del control y coordinación del proceso de gestión de riesgos y de los resultados, así como el control y supervisión del cumplimiento normativo y legal.

8.- Reporting: identificación, generación y comunicación de información oportuna y veraz en el menor tiempo posible.

9.- Supervisión y seguimiento del Sistema de Control Interno: procesos o procedimientos diseñados para revisar la efectividad del Sistema de Control Interno. Los dos estadios de esta fase son el departamento de Cumplimiento y Control Interno y la Auditoría Interna (externalizada en Mazars, S.L.P.).

En 2022, además de revisar y actualizar las ya existentes, se han desarrollado nuevas políticas que han permitido reforzar el sistema de gobierno y, con ello, el Sistema de Control Interno, como son las políticas de prevención de fraude y anticorrupción, la política de gastos de personal o la nueva versión de la política de compras, renombrada como política de adquisición de bienes y servicios.

Departamento de Cumplimiento y Control Interno

A principios de 2022 se llevó a cabo una reestructuración interna en la entidad que derivó en la escisión de la Función de Verificación de Cumplimiento del departamento Jurídico, separando así primera y segunda línea de defensa del modelo expuesto con anterioridad.

La Función de Verificación de Cumplimiento, que experimentó un cambio de titularidad, pasó a formar parte del departamento que, hasta el momento, se denominaba Organización y Control Interno para pasar a ser Cumplimiento y Control Interno.

El departamento de Cumplimiento y Control Interno es el responsable de velar por el cumplimiento de las normas externas (legislación general y normativa del sector o actividad) e internas (políticas, manual de procedimientos, buenas prácticas, etc.) con el objetivo de reforzar el Sistema de Control Interno y, por tanto, el Sistema de Gobierno y evitar la pérdida de reputación que Mutual Médica puede sufrir como resultado de incumplimiento, reforzando la tranquilidad y fiabilidad en la gestión de la gobernanza de la entidad.

Además, las tareas realizadas por este departamento en contribución al levantamiento de procesos críticos y las medidas establecidas de valoración de controles implementados para mitigar los riesgos detectados permiten medir y comprobar la efectividad del Sistema de Control Interno.

Entre otras responsabilidades del departamento, está coordinar las distintas auditorías internas y externas, tanto de carácter contable financiero (por ejemplo, cuentas anuales e informe de gestión, etc.) como de otras normativas aplicables (entre ellas, protección de datos y prevención de blanqueo de capitales), así como reportar los informes y resultados a la Comisión de Auditoría y Control y, si procede, al Consejo de Administración.

Este departamento brinda soporte a la Comisión de Auditoría y Control para todas aquellas cuestiones previstas en el orden del día de las reuniones, así como documentación y acuerdos alcanzados en las mismas.

El seguimiento y control del grado de cumplimiento alcanzado por cada departamento es otro de los hitos destacados de su misión, elevando dicho reporting al Comité de Cumplimiento.

Por otro lado, es el departamento soporte con las Administraciones Públicas y Dirección General de Seguros y Fondos de Pensiones en la atención de notificaciones o requerimientos de información o antes inspecciones.

Por último, el área trabaja de forma transversal con acciones de formación y concienciación en materias de cumplimiento normativo y cuestiones relacionadas con el fraude y control.

Cabe destacar la estrecha colaboración entre este departamento y la función de gestión de riesgos en las labores de confección de un mapa de riesgos operacionales, así como en el diseño y ejecución de test sobre los controles implementados en los procesos de negocio.

Auditoría Interna

En su rol de tercera línea de defensa, la Función de Auditoría Interna se encarga de la revisión y evaluación de forma objetiva e independiente del Sistema de Control Interno, con el objetivo de proporcionar una garantía adicional al Consejo de Administración. Para ello, y con el objetivo de dotarla de una mayor imparcialidad, la entidad decidió externalizarla en una firma de auditoría de prestigio (Mazars, S.L.P.) en junio de 2017. En junio de 2022, se ha renovado el contrato con dicha firma, por un periodo de dos años y medio, prorrogables dos años más.

Cabe destacar las intervenciones realizadas durante 2022 por parte de la Función de Auditoría Interna, dando respuesta al Plan de Auditoría Interna aprobado por el Consejo de Administración a tal efecto:

• Gestión fiscal.
• Política de riesgo operacional.
• Marketing y gestión de publicidad.
• Grado de implantación de Solvencia II.
• Gestión de la seguridad.
• Plan de activos y personas.
• Gestión y registro contable de inversiones.
• Política de integración de riesgos de sostenibilidad.
• Marco de Sistema de Gobierno y política de aptitud y honorabilidad.
• Política de Sistema de Control Interno.