Inspector AI
Volver al blog

Manual de Cumplimiento ANS RN 659: Lo Que Las Operadoras de Salud Deben Hacer Antes del Próximo Ciclo de Auditoría

Inspector AI
15 min read

La Resolución Normativa 659 de la ANS — la Agencia Nacional de Salud Suplementaria de Brasil — marca un punto de inflexión en la forma en que las operadoras de salud serán fiscalizadas en uno de los mercados más grandes y regulados de América Latina. Para las operadoras brasileñas de mediano porte, el cambio es regulatorio. Para el resto de la región, es una señal: el modelo brasileño suele anticipar la dirección que adoptarán otros reguladores latinoamericanos.

Este manual traduce lo que la RN 659 implica en términos operativos, dónde la ANS probablemente concentrará su atención, cuáles son los puntos más expuestos en las carteras farmacéuticas, y qué se puede hacer en los próximos 60 días para llegar al próximo ciclo de auditoría con un programa demostrable.

1. Lo que la RN 659 realmente cambia — explicación en términos simples para operadoras

En la práctica, la RN 659 refuerza la expectativa del regulador de que las operadoras mantengan controles activos y demostrables sobre los procesos de autorización, glosa, pago y auditoría de siniestros. La norma no inventa controles desde cero: consolida la obligación de probar que esos controles existen, se ejecutan de forma consistente y son auditables.

Hay tres desplazamientos que merecen atención.

De control declarado a control demostrado. No alcanza con tener políticas internas escritas. La ANS espera ver evidencia de ejecución: trazas de auditoría, registros de excepciones, justificaciones documentadas para aprobaciones fuera del estándar, métricas de cobertura.

De auditoría muestral a monitoreo continuo. El modelo histórico — en el que la operadora revisa una fracción de los siniestros después del pago — convive cada vez peor con la expectativa regulatoria. La ANS sugiere que los controles considerados adecuados deben cubrir el universo de siniestros relevantes, no apenas muestras.

De respuesta reactiva a prevención documentada. Cuando aparecen indicios de fraude, desperdicio o abuso, la operadora debe demostrar que tenía mecanismos para identificar el problema antes del pago, no solo para recuperar el monto después.

La lectura útil para el directorio es directa: el costo de la no conformidad no es solamente la multa potencial. Es la probabilidad mucho mayor de que una fiscalización identifique debilidades estructurales que disparen acciones correctivas, monitoreo intensivo y pérdida reputacional en el mercado.

2. El nuevo modelo de fiscalización — auditorías planificadas, penalidades crecientes, gatillos de inspección

La ANS viene comunicando, en su agenda regulatoria pública, un modelo de fiscalización más activo. Para las operadoras, eso significa tres cosas.

Auditorías planificadas con base en riesgo. La selección de operadoras a fiscalizar tiende a priorizar perfiles específicos: crecimiento atípico de siniestralidad, denuncias recurrentes, indicadores fuera del estándar sectorial, fallas en ciclos anteriores. Las operadoras que no monitorean sus propios indicadores corren el riesgo de ser sorprendidas por lo que la ANS ya ve.

Escalamiento de penalidades. Aunque los montos específicos varían según el caso y están previstos en normas propias, el principio es claro: infracciones reincidentes o estructurales pueden escalar significativamente, llegando incluso más allá de las penalidades económicas y alcanzando regímenes especiales de dirección fiscal o técnica.

Gatillos de inspección. Quejas de afiliados, inconsistencias en información enviada a sistemas regulatorios, alertas de prensa y cruces con bases de datos externas se vienen consolidando como detonantes de inspección. La operadora que no logra responder rápidamente cuando se acciona un gatillo entra en desventaja inmediata.

La consecuencia práctica es directa: una operadora puede ser auditada no porque algo salió mal, sino porque no logra demostrar, con agilidad, que todo está saliendo bien. La ausencia de evidencia se ha convertido, ella misma, en un factor de riesgo.

3. Siniestros farmacéuticos — la categoría de mayor riesgo bajo el escrutinio de la ANS

Dentro del universo de siniestros, los beneficios farmacéuticos — cuando existen como cobertura — concentran una porción desproporcionada del riesgo regulatorio. Las razones son estructurales.

Los siniestros farmacéuticos tienen alto volumen y bajo valor unitario. Eso favorece esquemas de fuga difusa: miles de pequeños vaciamientos repetidos, cada uno individualmente defendible, que sumados representan un costo significativo. La revisión manual no logra cubrir el volumen, y la auditoría muestral suele dejar pasar el patrón.

En análisis de bases reales de siniestros farmacéuticos en América Latina, se identificó que el 43,4% del gasto farmacéutico presenta anomalías detectables. La composición de esas anomalías muestra dónde se concentra el riesgo:

  • 20,3% relacionado con desperdicio y patrones de utilización
  • 10,8% vinculado a oportunidades de sustitución por genérico
  • 7,3% por incoherencia clínica entre diagnóstico y tratamiento
  • 4,6% con perfil de riesgo conductual de fraude
  • 0,4% con anomalía financiera

    • Para una operadora con 50.000 afiliados, esos patrones proyectan en torno a 5,1 millones de dólares anuales de fuga prevenible. Estos números — calculados sobre datos reales de siniestros de planes de salud latinoamericanos — no son material de marketing. Son el tamaño del problema que una fiscalización puede descubrir antes que la propia operadora.

    Bajo la lógica de la RN 659, la pregunta que el regulador puede formular es simple: ¿tenía usted mecanismos para identificar esa fuga? Si la respuesta es sí, ¿dónde están los registros? Si la respuesta es no, ¿por qué no?

    4. Cómo se ven los "controles adecuados" en una auditoría de la ANS

    La expresión "controles adecuados" aparece en varias normas, y lo que cuenta como adecuado suele definirse en la práctica de cada fiscalización. Pero hay un conjunto de elementos que se viene consolidando como el piso esperado.

    Cobertura universal. Los controles operan sobre el conjunto total de siniestros relevantes, no sobre muestras. Cuando hay excepción (por volumen, por tipo de procedimiento), la excepción se justifica y se documenta.

    Trazabilidad. Cada decisión — autorización, glosa, ajuste, rechazo — deja rastro. El rastro incluye el criterio aplicado, el usuario que decidió (humano o sistema), el momento y la evidencia consultada.

    Oportunidad. Los controles actúan en el momento adecuado del ciclo. Para siniestros farmacéuticos, eso significa preferentemente antes o en el momento de la autorización, no meses después en revisión pospago.

    Independencia. Los controles no pueden ser anulados por las mismas áreas que presionan por la aprobación. Hay separación de funciones entre quien autoriza, quien audita y quien recupera.

    Demostrabilidad. En cualquier momento, la operadora puede producir reportes consolidados que muestren el volumen procesado, las excepciones disparadas, las acciones tomadas y los resultados financieros de esos controles.

    Cuando un inspector pide "ver los controles", lo que espera no es una presentación con políticas. Es un cuerpo de evidencia operativa que pruebe, en datos, que los controles funcionan todos los días.

    5. Construir un programa antifraude farmacéutico listo para auditoría — documentación obligatoria

    Un programa que sobrevive a una auditoría de la ANS, desde el punto de vista del fraude y el desperdicio en farmacia, se construye sobre cuatro capas de documentación. Ninguna es opcional.

    Capa 1 — Política y gobernanza. Documento aprobado por la alta administración que define qué es desperdicio, abuso y fraude en el contexto de la operadora; quién es responsable del programa; qué comités están involucrados; con qué frecuencia se reportan los indicadores al directorio.

    Capa 2 — Catálogo de reglas de detección. Descripción de las reglas aplicadas para identificar anomalías en siniestros farmacéuticos. La descripción debe ser legible por un auditor no técnico: qué busca cada regla, por qué existe, cuál es su base clínica o financiera. Los detalles operativos internos pertenecen al área técnica y no deben publicarse externamente. Lo importante es que el catálogo exista, esté versionado y se revise periódicamente.

    Capa 3 — Trazas de ejecución. Para cada período fiscalizado, evidencia de que las reglas se aplicaron efectivamente: cantidad de siniestros analizados, cantidad de excepciones disparadas, distribución por tipo de regla, acciones resultantes. Sin trazas de ejecución, el catálogo de reglas es apenas papel.

    Capa 4 — Resolución de excepciones. Para cada excepción disparada, registro de su tratamiento: ¿se confirmó como anomalía? ¿La impugnó el proveedor? ¿Se escaló a investigación? ¿Se recuperó el monto? La tasa de falsos positivos, la tasa de confirmación y el monto recuperado deben ser indicadores monitoreados.

    La operadora que presenta las cuatro capas en una fiscalización demuestra un programa funcional. La que presenta solo la Capa 1 — política sin ejecución — es la que recibe pedido de plan de acción.

    6. Infraestructura tecnológica — lo que necesita vs. lo que probablemente tiene

    La mayoría de las operadoras de mediano porte operan sobre una combinación de sistema legado de gestión de siniestros, planillas y equipos humanos de auditoría. Ese arreglo no logra sostener el nivel de documentación que la RN 659 implícitamente exige.

    Lo que típicamente existe:

  • Capacidad de procesar autorizaciones y pagos
  • Reportes gerenciales agregados
  • Auditoría muestral pospago por equipo interno
  • Algunas reglas simples de bloqueo (por monto, por código)

    • Lo que la fiscalización espera ver:

  • Evaluación clínica y financiera de cada siniestro farmacéutico, en tiempo real o casi
  • Catálogo de reglas documentado y versionado
  • Traza de auditoría completa por siniestro y por excepción
  • Capacidad de producir reportes consolidados a demanda
  • Integración con sistemas existentes sin reingeniería masiva
  • Compatibilidad con estándares sectoriales (FHIR PAS, APIs abiertas)

    • La distancia entre los dos puntos es exactamente donde se acumula el riesgo regulatorio. Cerrar esa distancia sin reescribir todo el ambiente de TI requiere adoptar componentes especializados que se conecten al stack existente. La función central de esos componentes es doble: aplicar las reglas de detección sobre el flujo real de siniestros y producir, de forma automática, la documentación que la auditoría va a pedir.

    Es exactamente en ese rol donde Inspector AI se posiciona: como columna vertebral de conformidad — automatizando la documentación, señalando anomalías y generando reportes listos para auditoría — sin obligar a la operadora a reconstruir sus sistemas legados. El análisis inicial no requiere integración: una muestra de siniestros puede ser evaluada en aproximadamente tres semanas para que la operadora tenga un panorama de su propio riesgo antes de cualquier fiscalización.

    7. Sprint de conformidad de 60 días — checklist priorizado para operadoras de mediano porte

    Para una operadora de mediano porte es poco realista reconstruir todo el programa antifraude de una sola vez. El camino realista es un sprint de 60 días que ordena prioridades y genera evidencia rápida.

    Días 1–10: Diagnóstico del estado actual

  • Mapear qué controles existen hoy sobre siniestros farmacéuticos
  • Identificar qué decisiones de autorización están automatizadas y cuáles son manuales
  • Listar qué reportes pueden producirse hoy a demanda
  • Localizar las brechas evidentes entre la práctica actual y la expectativa de controles adecuados

    • Días 11–25: Análisis inicial de riesgo

  • Someter un período reciente de siniestros farmacéuticos a un análisis externo para cuantificar el tamaño de la fuga
  • Clasificar las anomalías por categoría (desperdicio, sustitución, incoherencia clínica, conducta, financiera)
  • Priorizar las dos o tres categorías de mayor impacto financiero
  • Presentar el resultado al directorio como base para la decisión de inversión

    • Días 26–40: Documentación mínima

  • Formalizar política de prevención de desperdicio, abuso y fraude
  • Publicar catálogo de reglas de detección en lenguaje de auditoría
  • Definir responsables de gobernanza y periodicidad de comités
  • Establecer indicadores que se reportarán mensualmente

    • Días 41–55: Ejecución documentada

  • Comenzar la aplicación sistemática de reglas sobre el flujo de siniestros, aunque sea parcial
  • Garantizar que cada excepción disparada genere registro estructurado
  • Capacitar a los equipos de autorización y auditoría en el nuevo flujo
  • Iniciar seguimiento de indicadores semanalmente

    • Días 56–60: Paquete listo para fiscalización

  • Consolidar política, catálogo, trazas de ejecución e indicadores en un dossier
  • Validar internamente la coherencia entre capas
  • Definir el protocolo de respuesta a una eventual notificación de la ANS
  • Comunicar a la alta administración el nivel de preparación alcanzado

    • En 60 días, una operadora de mediano porte no resuelve todo el problema. Pero llega al próximo ciclo de auditoría con algo que faltaba: un programa demostrable.

    La decisión que queda sobre la mesa

    La RN 659 no le está pidiendo a las operadoras que hagan lo imposible. Les está pidiendo que hagan, de manera documentada y continua, lo que siempre se recomendó: identificar, prevenir y tratar el desperdicio, el abuso y el fraude antes de que se conviertan en pérdida. El costo de seguir postergando es una combinación de multas, presión sobre primas, pérdida reputacional y, en casos extremos, restricciones operativas. Para las operadoras del resto de América Latina, el modelo brasileño es además una señal anticipada de hacia dónde se mueven los reguladores regionales.

    Para entender dónde está su operación frente a esta expectativa, solicite un análisis gratuito o escriba a info@inspector-ai.com.