La Coordinadora Derly Hincapie es profesional de Relaciones Internacionales de la Universidad Sergio Arboleda, con un Major en Economía y ha realizado múltiples diplomados sobre Gestión de Riesgos, SARLAFT, SARO, Plan de Continuidad y demás. Adicionalmente, cuenta con una fuerte experiencia en el sector asegurador.

El Gerente Jaime Gálvez está designado como Oficial de Cumplimiento en la compañía. Se encarga de la Gerencia de Riesgos también conocida como Middle Office y, ante la Superintendencia Financiera de Colombia, es la segunda línea de defensa ante los posibles riesgos que pueda presentar Nacional de Seguros. Sus actividades y las de su área consisten en identificar, valorar y medir los riesgos para que sean de un nivel aceptable de acuerdo con las políticas y Junta Directiva de la empresa. 

A continuación, encontrarás la descripción de los elementos relevantes de la Gestión de Riesgos Corporativos en cuanto a los Eventos Operativos. 

¿Qué es un evento operativo?

Jaime Gálvez: Antes de hablar de un evento operativo, hay que hablar de qué es un Riesgo Operativo dentro del Sistema de Administración de Riesgo Operativo (SARO). En ese sentido, un riesgo operativo es la posibilidad de incurrir en pérdidas por deficiencias o fallas en recurso humano, procesos, tecnología, infraestructura, entre otros. Así, el evento operativo es cuando ya se materializa uno de estos factores de riesgo y lo tenemos contemplado en una matriz de riesgos.

Derly Hincapie: Al interior de la compañía, hay una gestión de riesgo integral y, más allá de lo operativo, vamos a lo estratégico. Aplicamos diferentes metodologías que nos permiten tomar decisiones para limitar la materialización de esos riesgos de manera oportuna y, en especial, esos eventos operativos. Este tipo de gestión se da continuamente, no solo respecto a nuestros funcionarios, sino también de forma transversal con nuestros terceros, proveedores, intermediarios, clientes y demás.

¿Cómo se detectan los eventos operativos en Nacional de Seguros?

D.H.: Como lo nombraba, su detección o su identificación, no solamente la hacemos a través de nuestros funcionarios, sino mediante nuestros clientes, terceros o intermediarios. 

Para hablar de esto más detalladamente, hay varios ejemplos de cómo se materializarían dichos eventos. Uno puede ser cuando hay una caída del sistema masiva y, por ella, no se pueden atender los negocios de los clientes. Esto podría generar que se pierdan algunos de ellos. Por otro lado, un evento externo puede ser un tema de una protesta que no permita que nuestros funcionarios se desplacen al lugar de trabajo y no se pueda dar atención a nuestros consumidores financieros. 

Ahora, su detección se puede dar a través de la atención de PQR’s, en las cuales nos llegan señales de alerta para detectar estos eventos operativos, como lo que está pasando hoy en día con el fraude del SOAT; del que nos están reportando ofrecimientos de este tipo de pólizas a nombre de nuestra empresa, cuando nosotros solamente emitimos pólizas de los ramos de Responsabilidad Civil y Cumplimiento.

Así como la mencionada, existen alertas que nos llegan de fuentes externas o de terceros que, para nosotros, son de interés dentro de la empresa y que nos permiten tener ciertos mecanismos de control frente a ese tipo de situaciones, bien sea mediante la generación de publicaciones en redes sociales o la página web, o informándoles a los consumidores financieros permanentemente que nosotros no comercializamos ese tipo de ramo o producto.

También hacemos campañas mencionando qué canales oficiales tenemos para comercializar nuestros productos y le damos como responsabilidad a la Gerencia de Riesgos el monitoreo y seguimiento de la operación de manera transversal con el fin de generar oportunidades de mejora y prevenir la materialización de riesgos y eventos operativos. 

¿Cómo se gestiona el riesgo que generan los eventos operativos?

D.H.: Existen varias partes del proceso:

1. Los riesgos son reportados por nuestros clientes, intermediarios, terceros, o son detectados por nosotros mismos. 
2. Siempre hay un análisis de ellos y se estudian las oportunidades de mejora para mitigar la materialización de esos riesgos, bien sea que ya hayan sucedido o que sean riesgos emergentes.
3. Se hacen campañas de comunicación a nivel interno y externo para sensibilizar a las personas sobre los controles que pueden tener, no solo a nivel corporativo, sino personal, y evitar que se materialice, por ejemplo, un ataque cibernético o circunstancias de fraude como la del SOAT.

En este caso del fraude SOAT, ¿qué acciones tomó Nacional de Seguros?

D.H.: Inicialmente, como entidad vigilada por la Superintendencia Financiera, debemos garantizar determinados controles frente a la seguridad de la información y ciberseguridad. Nosotros ya los estábamos ejecutando para nuestra marca, a través de un servicio que se llama Monitoreo de Marca. Dicho servicio está todo el tiempo evaluando situaciones en la Deep Web y en las redes sociales para detectar si se está usando nuestra marca para situaciones fraudulentas. 

Esto fue lo que sucedió con la venta del producto del SOAT, el cual nosotros no comercializamos. A partir de eso, se identificaron unos comportamientos, que se estaban dando desde el año pasado, pero que se intensificaron en junio de este año. En torno a lo anterior, existían perfiles falsos que utilizaban el nombre, no solamente de Nacional de Seguros, sino de otras compañías del sector para realizar estos fraudes de venta. 

Nuestra primera alerta fue de modo interno mediante las alertas que envía nuestro sistema de control de marcas y, luego, nuestros clientes nos llamaban a preguntar. Empezamos a indicárles que validaran su póliza en nuestros canales oficiales, para que verificaran si su producto era verdadero o fue el resultado de una situación de fraude. También recibimos PQR’s de nuestros clientes que nos alertan sobre situaciones en las que les han ofrecido este producto o se ha materializado esta situación.

Con respecto a la gestión, incluso hay un sistema que analiza diariamente, si en las redes sociales o en la web existe alguna alerta o alguna situación en la que se puede materializar un riesgo a nombre de Nacional de Seguros. También hemos capturado la información que se haya reportado y hecho la denuncias ante las autoridades correspondientes. Por último, hemos compartido con el gremio y viceversa estas situaciones para que no se materialicen, no solo a nivel de compañía, sino de gremio. 

Por ejemplo, en este aspecto, la Federación de Aseguradores Colombianos (Fasecolda) tiene campañas fuertes de ciberseguridad y seguridad de la información, y puntualmente sobre SOAT para que la gente conozca y verifique antes de comprar este producto.

¿Qué impacto tiene para los clientes y los intermediarios de Nacional de Seguros la gestión de eventos operativos?

D.H.: Ese impacto se da de manera positiva en la mejora en el servicio y las campañas de sensibilización. Estamos todo el tiempo haciendo seguimiento y dando capacitaciones a nuestros intermediarios y nuestros clientes a través de nuestra página web o redes sociales. De este modo, siempre los controles que generamos están enfocados a que no se afecte la calidad del servicio ni nuestra oferta y buscamos que estás medidas impacten en el resultado y no que generen una traba en la operación.

¿La pandemia generó nuevos riesgos para Nacional de Seguros? 

D.H.: Más que generar riesgos, fue una ventana de oportunidad para identificar nuevos riesgos emergentes, y gestionar los controles y la operación de otra manera. Nos permitió plantear metodologías más ágiles para la atención de los clientes e intermediarios.

Cuando inició la pandemia, evaluábamos los controles y teníamos ciertas actividades de contingencia, pero hoy, que ya estamos en pospandemia, vemos que, como compañía, logramos ejecutar controles más ágiles y de mejor atención al cliente, que agilizaron los procesos. Por ejemplo, antes de la pandemia, se tenían determinados formatos para la información o se debían pasar a diferentes instancias, así que analizamos qué acciones se podían mejorar en este sentido sin perder la efectividad.

Incluso, al momento de estudiar el incremento de las PQRs, notamos que no estaba relacionado con la pandemia, sino con nuestro crecimiento como empresa.

Compartimos esta información a todas las personas, especialmente quienes tienen empresas y les pueden servir estos casos de referencia para implementar estrategias en contra de los diferentes riesgos que los puedan afectar.

Conoce más sobre Gestión de Riesgos en términos de Plan de Continuidad.

En Nacional de Seguros, #CumplirNosUne

 Relacionadas