Consorcio Corredores de Bolsa S.A.

Transcripción

1 S Septiemb Informe sobre los Controles Implantados y Pruebas de su Efectividad (AT801 Tipo II) Servicio de Custodia de Valores de Terceros Septiembre 2014

2 Tabla de Contenidos Informe del Auditor Independiente... 4 a 6 Sección I Afirmación de la Administración de Consorcio Corredores de Bolsa.S.A. Afirmación de la Administración de Consorcio Corredores de Bolsa. S.A... 8 a 9 Sección II Descripción de Controles proporcionada por 1. Visión general del servicio de custodia de valores de terceros Aspectos relevantes ambiente de control interno Objetivos de control y controles relacionados...14 Sección III Información proporcionada por los Auditores Independientes 4. Pruebas de Efectividad Operacional Descripción de los objetivos y actividades de control provistos por y pruebes llevadas a cabo por el auditor...22 Página

3 INFORME DEL AUDITOR INDEPENDIENTE

4 INFORME DEL AUDITOR INDEPENDIENTE AT801 Tipo II Santiago, 30 de septiembre de 2014 Señor Martín Hurtado Menéndez Gerente General Alcance Hemos examinado la descripción del proceso de la organización de servicios (de aquí en adelante, Consorcio Corredores de Bolsa ) incluida en la sección II de este informe, para entregar el servicio de custodia de valores de terceros, prestado a sus clientes durante todo el período comprendido entre el 1 de enero y el 30 de junio de 2014 y lo adecuado del diseño y efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción. La descripción indica que ciertos objetivos de control especificados en la descripción sólo pueden ser logrados si los controles complementarios en la entidad usuaria contemplados en el diseño de los controles de la organización de servicios de Consorcio Corredores de Bolsa están adecuadamente diseñados y operando con efectividad, junto con los controles relacionados en la organización de servicios. No hemos evaluado lo adecuado del diseño o la efectividad operacional de tales controles complementarios en la entidad usuaria. El servicio de custodia de valores de terceros de Consorcio Corredores de Bolsa, es operado en aplicaciones y servicios provistos por la Bolsa de Comercio de Santiago (BCS) y la Bolsa Electrónica de Chile (BEC) para efectos de la negociación de operaciones bursátiles, por el Depósito Central de Valores (DCV) para la custodia, liquidación y transferencia de instrumentos, y por Contraparte Central S.A. (CCLV) para la compensación y liquidación de operaciones bursátiles. En este sentido, el efecto sobre las evaluaciones del riesgo de control en los servicios ofrecidos por Consorcio Corredores de Bolsa, depende a su vez, de su interacción con los controles y otros factores presentes en las actividades efectuadas por la BCS, la BEC, el DCV y el CCLV. La descripción adjunta en la sección II sólo incluye los objetivos de control y controles relacionados al servicio de custodia de valores de terceros de Consorcio Corredores de Bolsa, y excluye los objetivos de control y controles relacionados con las empresas proveedoras de servicios mencionadas al principio de este párrafo. Nuestro examen no cubrió los controles de las empresas proveedoras de servicios. Responsabilidades de la organización de servicios En la Sección I, la organización de servicios Consorcio Corredores de Bolsa ha proporcionado una afirmación respecto a la razonabilidad de la presentación de la descripción y de lo adecuado del diseño y de la efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción. La organización de servicios Consorcio Corredores de Bolsa es responsable por preparar la descripción y la afirmación, proporcionando los servicios cubiertos por la descripción, especificar los objetivos de control e identificarlos en la descripción, identificar los riesgos que amenazan el logro de los objetivos de control, seleccionar los criterios e implementar y documentar los controles para lograr los objetivos de control relacionados indicados en la descripción.

5 Santiago, 30 de septiembre de Responsabilidad del auditor de una organización de servicios Nuestra responsabilidad es expresar una opinión sobre la razonabilidad de la presentación de la descripción y de lo adecuado del diseño y de la efectividad operacional de los controles, para lograr los objetivos de control relacionados indicados en la descripción incluida en la Sección II, a base de nuestro examen. Efectuamos nuestro examen de acuerdo con las normas de atestiguación establecidas por el Colegio de Contadores de Chile. Esas normas requieren que planifiquemos y efectuemos nuestro examen para obtener una seguridad razonable respecto a si, en todos sus aspectos significativos, la descripción está presentada razonablemente y los controles fueron diseñados adecuadamente y están operando con efectividad para lograr los objetivos de control relacionados indicados en la descripción durante todo el período comprendido entre el 1 de enero y el 30 de junio de Un examen de una descripción del sistema de una organización de servicios y de lo adecuado del diseño y de la efectividad operacional de los controles de la organización de servicios para lograr los objetivos de control relacionados indicados en la descripción, implica efectuar procedimientos para obtener evidencia respecto a la razonabilidad de la presentación de la descripción y de lo adecuado que es el diseño y la efectividad operacional de esos controles para lograr los objetivos de control relacionados indicados en la descripción. Nuestros procedimientos incluyeron evaluar riesgos que la descripción no está presentada razonablemente y que los controles no estaban diseñados adecuadamente ni operaban con efectividad para lograr los objetivos de control relacionados indicados en la descripción. Nuestros procedimientos también incluyeron efectuar pruebas de la efectividad operacional de esos controles, que nosotros consideramos necesarios para proporcionar una seguridad razonable que los objetivos de control relacionados indicados en la descripción fueron logrados. Un examen de este tipo también incluye evaluar la presentación general de la descripción y lo adecuado de los objetivos de control allí indicados y de lo adecuado de los criterios especificados por la organización de servicios y descritos en la Sección II. Consideramos que la evidencia que obtuvimos es suficiente y apropiada para proporcionar una base razonable para nuestra opinión. Limitaciones inherentes Debido a su naturaleza, los controles en una organización de servicios pueden no prevenir, o detectar y corregir, todos los errores u omisiones en la entrega del servicio de custodia de valores de terceros. Además, la proyección al futuro de cualquier evaluación de la razonabilidad de la presentación de la descripción, o conclusiones respecto a lo adecuado del diseño y de la efectividad operacional de los controles para lograr los objetivos de control relacionados, está sujeta al riesgo que los controles en una organización de servicios puedan convertirse en inadecuados o fallar.

6 Santiago, 30 de septiembre de Opinión En nuestra opinión, en todos sus aspectos significativos, a base de los criterios descritos en la afirmación de la organización de servicios Consorcio Corredores de Bolsa, contenidos en la Sección I: a. la descripción presenta razonablemente los controles del servicio de custodia de valores de terceros que fueron diseñados e implementados por todo el periodo comprendido entre el 1 de enero y el 30 de junio de b. los controles relacionados con los objetivos de control indicados en la descripción fueron adecuadamente diseñados para proporcionar una seguridad razonable que los objetivos de control serían logrados si los controles operaban con efectividad durante todo el período de 1 de enero al 30 de junio de 2014 y las entidades usuarias aplicaban los controles complementarios en las entidades usuarias contempladas en el diseño de los controles de la organización de servicios Consorcio Corredores de Bolsa durante todo el periodo 1 de enero al 30 de junio de c. los controles que fueron sometidos a pruebas por nosotros, que junto con los controles complementarios en la entidad usuaria mencionados en el párrafo de alcance de este informe, si éstos operan con efectividad, fueron los necesarios para proporcionar una seguridad razonable que los objetivos de control indicados en la descripción fueran logrados y operaron con efectividad durante todo el período 1 de enero al 30 de junio de Descripción de las pruebas de controles Los controles específicos que fueron sometidos a pruebas y la naturaleza, oportunidad y resultados de esas pruebas están listados en la Sección III. Uso restringido Este informe, incluyendo la descripción de las pruebas de los controles y los resultados de las mismas en la Sección III tiene como objetivo ser únicamente para la información y uso de la organización de servicios Consorcio Corredores de Bolsa, entidades usuarias de los servicios de custodia de valores de terceros, prestados por Consorcio Corredores de Bolsa, los auditores independientes de tales entidades usuarias y de la Superintendencia de Valores y Seguros, de acuerdo a los requerimientos de su Circular N 1962, quienes tienen un entendimiento suficiente para considerarlo, junto con otra información, incluyendo información respecto a los controles implementados por las mismas entidades usuarias, al evaluar los riesgos de representaciones incorrectas significativas de los estados financieros de las entidades usuarias. Este informe no tiene por objetivo ser y no debiera ser utilizado por nadie que no sean estas partes especificadas. Agustín Silva

7 SECCION I AFIRMACIÓN DE LA ADMINISTRACIÓN DE CONSORCIO CORREDORES DE BOLSA S.A.

8 Afirmación de Consorcio Corredores de Bolsa. Hemos preparado la descripción de los controles de la organización de servicios de para entregar servicios de Custodia de Valores de Terceros prestados a las entidades usuarias del servicio durante todo el período comprendido entre el 1 de enero de 2014 y el 30 de junio de 2014 y los auditores independientes de estas entidades usuarias, quienes tienen un entendimiento suficiente para considerarla, junto con otra información, incluyendo información respecto a controles implementados por las mismas entidades usuarias de esos servicios, al evaluar los riesgos de representaciones incorrectas significativas de los estados financieros de las entidades usuarias. a. la descripción presenta razonablemente al servicio de custodia de valores a terceros para procesar sus transacciones. Los criterios que utilizamos al efectuar esta afirmación fueron que la descripción: i. presenta como el servicio puesto a disposición de entidades usuarias fue diseñado e implementado para procesar transacciones pertinentes, incluyendo: (1) las clases de transacciones procesadas. (2) los procedimientos, dentro de tanto los sistemas automatizados como manuales, por los cuales esas transacciones son iniciadas, autorizadas, registradas, procesadas, corregidas en la medida necesaria y traspasadas a los informes presentados a las entidades usuarias del servicio. (3) los registros contables relacionados, información de respaldo y cuentas específicas que son utilizados para iniciar, autorizar, registrar, procesar e informar transacciones, incluyendo la corrección de la información errónea y cómo la información es traspasada a los informes presentados a las entidades usuarias del servicio. (4) cómo el servicio capta y trata los hechos y las condiciones significativas, distintos a las transacciones. (5) el proceso utilizado para preparar informes u otra información proporcionada a las entidades usuarias del servicio. (6) objetivos de control especificados y controles diseñados para lograr esos objetivos. (7) otros aspectos de nuestro entorno de control, el proceso de evaluación de riesgos, sistemas de información y de comunicación, actividades de control y controles de monitoreo que son pertinentes para procesar e informar las transacciones de las entidades usuarias del servicio. PwC 8 Sección II Descripción de Controles proporcionados por

9 ii. no omite ni distorsiona información pertinente al alcance del servicio de custodia de valores a terceros, mientras reconoce que la descripción se prepara para cumplir con las necesidades comunes de un amplio rango de entidades usuarias del servicio y de los auditores independientes de esas entidades usuarias, y por lo tanto, pueden no incluir cada aspecto del servicio de custodia de valores a terceros que cada entidad usuaria individual del servicio y su auditor puedan considerar importante dentro de su propio entorno en particular. b. la descripción incluye detalles pertinentes de los cambios al servicio de custodia de valores de terceros de Consorcio Corredores de Bolsa S.A. para el período cubierto por la descripción, cuando la descripción cubre un período de tiempo. c. los controles relacionados con los objetivos de control indicados en la descripción fueron diseñados adecuadamente y operaron con efectividad durante todo el período comprendido entre el 1 de enero y el 30 de junio de 2014 para lograr esos objetivos de control. Los criterios que utilizamos al efectuar esta afirmación fueron que: i. los riesgos que amenazan al logro de los objetivos de control indicados en la descripción han sido identificados por la organización de servicios, ii. iii. los controles identificados en la descripción proporcionarían, si operaron según lo descrito, una seguridad razonable que esos riesgos no impedirían que los objetivos de control indicados en la descripción no fueren logrados y los controles fueron uniformemente aplicados para lo que fueron diseñados, incluyendo que los controles manuales fueron aplicados por personas que tienen la apropiada competencia y autoridad. PwC 9 Sección II Descripción de Controles proporcionados por

10 SECCION II DESCRIPCIÓN DE CONTROLES PROPORCIONADOS POR CONSORCIO CORREDORES DE BOLSA. S.A.

11 VISIÓN GENERAL DEL SERVICIO DE CUSTODIA DE VALORES DE TERCEROS El servicio de custodia de valores de terceros proporcionado por (de aquí en adelante, CCB S.A. ) a sus clientes corresponde a todas las actividades realizadas destinadas a registrar, liquidar, salvaguardar y reportar los instrumentos financieros (instrumentos de renta fija y variable) depositados bajo su tutela. CCB S.A. tiene una responsabilidad fiduciaria del cuidado y protección de los bienes o valores de sus clientes. CCB S.A. ha implementado procesos administrativos que permiten registrar en forma oportuna y en detalle, el traspaso de instrumentos financieros en custodia de terceros. De forma complementaria, CCB S.A. ejecuta las siguientes actividades vinculadas al servicio de custodia de valores de terceros: Mantener actualizados los antecedentes de los clientes en custodia. Actualización diaria del registro de custodia. Preparar periódicamente informes de custodia sobre la mantención de saldos en custodia de terceros. Realizar procedimientos de control para el cálculo, contabilización y pago de dividendos e intereses. Realizar procesos de conciliación y circularización de saldos en custodias, con el DCV y sus clientes respectivamente. El servicio de custodia de valores de terceros es controlado por medio de una serie de actividades definidas por la administración de CCB S.A., las cuales se incluyen en este informe. PwC 11 Sección II Descripción de Controles proporcionados por

12 ASPECTOS RELEVANTES DEL AMBIENTE DE CONTROL INTERNO 1. Ambiente de Control La Administración de CCB S.A. propone las políticas al directorio de la Sociedad para su aprobación, éste se reúne mensualmente y revisa los informes de gestión que prepara la administración, los cuales contemplan todos los aspectos relevantes de la operación del negocio. El directorio tiene conocimiento de todas las operaciones realizadas por la Sociedad. El flujo de información, es adecuado considerando el tamaño de la entidad y el tipo de negocio debido a que cuenta con un sistema de información integrado, el cual puede ser consultado por la gerencia general y la administración. Los estándares y procedimientos de control, aplicados por los ejecutivos de la Sociedad son razonables, en función a los roles y responsabilidades que se realizan diariamente con el fin de identificar errores o hechos inusuales. 2. Evaluación de Riesgos CCB S.A. considera los riesgos que pueden afectar sus objetivos estratégicos, de los cuales el principal es reforzar los procesos de selección de instrumentos para sus clientes y de crear estructuras para la mejor ejecución de las decisiones de inversión. Con este propósito, se identifican los riesgos potenciales que son resultado de la naturaleza de los servicios que CCB S.A. proporciona. La administración implementa varias medidas diseñadas para la gestión o mitigación de estos riesgos. Todas las proyecciones, objetivos y metas que se plantean son evaluados mensualmente mediante informes de gestión al directorio. 3. Información y Comunicación CCB S.A. utiliza varios métodos de comunicación para asegurar que todo el personal entienda sus roles y responsabilidades individuales sobre el procesamiento y controles de transacciones y ayudar a asegurar que se comuniquen los hechos significativos en forma oportuna. Dichos métodos incluyen programas de orientación para personal contratado recientemente y el uso de mensajes de correo electrónico para comunicar mensajes e información sensible en el tiempo. Todo empleado tiene una descripción escrita de su puesto y está entrenado en los principales procesos organizacionales. PwC 12 Sección II Descripción de Controles proporcionados por

13 4. Actividades de Control Son las políticas, procedimientos y prácticas diseñadas para garantizar razonablemente, que los objetivos de negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos. CCB S.A. cuenta con una amplia gama de actividades de control incorporadas en las operaciones del negocio, que permiten administrar en forma adecuada los riesgos. De esta forma, las actividades automatizadas y manuales, dicen relación con controles de accesos (físicos y sistémicos), estructuras de aprobaciones, controles de configuración, ejecución de conciliaciones, emisiones de informes de excepciones, corrección y gestión, segregación de funciones, entre otros. 5. Monitoreo El personal de administración y supervisión de CCB S.A. monitorea la calidad del desempeño del control interno como una parte normal de sus actividades. Todas las excepciones al procesamiento normal de las operaciones se registran, informan y se resuelven a diario. Niveles apropiados de la Administración revisan dichas excepciones y se toman medidas cuando es necesario. Las deficiencias de control interno son informadas al directorio mediante el proceso de auditoría externa independiente que se realiza a la Sociedad, las personas involucradas en el proceso observado toman conocimiento de las posibles deficiencias, siendo la Gerencia General informada y esta la responsable de realizar el seguimiento y de tomar la decisión de las acciones correctivas, junto al personal involucrado, para subsanar las observaciones. PwC 13 Sección II Descripción de Controles proporcionados por

14 OBJETIVOS DE CONTROL Y CONTROLES RELACIONADOS Los objetivos de control de CCB S.A. y los controles respectivos se incluyen en la Sección 3: Información Proporcionada por los auditores independientes para eliminar la redundancia que sería resultado de incluirlos en esta sección y repetirlos en la Sección 3. Aunque los objetivos de control y los controles respectivos se incluyen en la Sección 3; ellos son parte integral de la descripción de controles de CCB S.A. a. Consideraciones de control de las entidades usuaras Existen objetivos de control considerados en el proceso de custodia, que no pueden ser alcanzados sin el cumplimiento de la efectividad operativa de controles radicados en la entidad usuaria, en este caso, el cliente inversionista de la corredora. Estas consideraciones se muestran a continuación: Objetivo de control Circular N SVS 1. Las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia se cumplen satisfactoriamente. 2. Los activos de propiedad de terceros están protegidos de pérdidas producto de errores o fallas en los sistemas, las personas y en los procesos. 3. El derecho de propiedad de los clientes debe estar protegido adecuadamente. 4. Inexistencia de uso no autorizado de valores de terceros en custodia. No aplican. No aplican. Consideración de control usuaria Los clientes deben asegurar que la instrucción de órdenes de compra/venta de instrumentos, entrega y alzamiento de garantías, ingreso y retiro de instrumentos, y cualquier otra acción que involucre instrumentos de su propiedad, son realizadas por las personas facultadas para estos fines. Los clientes deben asegurar que la instrucción de órdenes de compra/venta de instrumentos, entrega y alzamiento de garantías, ingreso y retiro de instrumentos, y cualquier otra acción que involucre instrumentos de su propiedad, son realizadas por las personas facultadas para estos fines. PwC 14 Sección II Descripción de Controles proporcionados por

15 Objetivo de control Circular N SVS 5. La información contenida en el registro de custodia corresponde a transacciones y movimientos autorizados por el cliente, es fidedigna y representa debidamente los derechos de los clientes sobre los valores de su propiedad. 6. La información entregada al cliente acerca de los movimientos y saldos de sus valores en custodia es veraz, completa y consistente con el registro de custodia. 7. Los valores registrados en el registro de custodia corresponden a los valores que el intermediario efectivamente mantiene por cuenta del cliente en entidades de custodia autorizadas. Consideración de control usuaria Los clientes deben asegurar que la instrucción de órdenes de compra/venta de instrumentos, entrega y alzamiento de garantías, ingreso y retiro de instrumentos, y cualquier otra acción que involucre instrumentos de su propiedad, son realizadas por las personas facultadas para estos fines. Los clientes deben asegurar que las confirmaciones de saldos y movimientos a través de las cartolas enviadas por la corredora, son ejecutadas por las personas facultadas para estos fines. Los clientes deben asegurar que existe un monitoreo periódico de sus saldos y movimientos a través de los medios de consulta implementados por la corredora, y que este monitoreo sea ejecutado por personas facultadas para estos fines. Los clientes deben asegurar que las confirmaciones de saldos y movimientos a través de las cartolas enviadas por la corredora, son ejecutadas por las personas facultadas para estos fines. No aplican. PwC 15 Sección II Descripción de Controles proporcionados por

16 b. Consideraciones de control de empresas externas Existen objetivos de control considerados en el alcance del proceso de custodia, que no pueden ser alcanzados sin el cumplimiento de la efectividad operativa de controles radicados en empresas externas que participan en los procesos de negocio que afectan la custodia de terceros. Estas consideraciones se muestran a continuación: Objetivo de control Circular N SVS 1. Las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia se cumplen satisfactoriamente. 2. Los activos de propiedad de terceros están protegidos de pérdidas producto de errores o fallas en los sistemas, las personas y en los procesos. No aplican. Consideración de empresa externa Las funciones de procesamiento y explotación de sistemas se encuentran externalizadas en la empresa Bolsa de Comercio de Santiago (BCS). Por lo anterior, este objetivo de control se puede lograr en la medida que los siguientes controles operen con efectividad: Ejecución de respaldos, Planes de contingencia de los sistemas de propiedad de la BCS, Administración de la seguridad lógica y cambios a las configuraciones de los servidores, y Control de los pasos a producción de aplicaciones. La explotación, administración, y el desarrollo y mantención de las aplicaciones (Sistemas Gestión y SEBRA), se encuentra radicada en la BCS. Por lo anterior, este objetivo de control se puede lograr en la medida que los siguientes controles operen con efectividad: Ejecución de respaldos, Planes de contingencia, Control de accesos a la red donde se encuentran los servidores de producción, PwC 16 Sección II Descripción de Controles proporcionados por

17 Objetivo de control Circular N SVS Consideración de empresa externa Disponibilidad y seguridad de los servicios de conectividad a los sistemas, Cambios a las configuraciones de los servidores, Mantención y desarrollo de aplicaciones, y Control de los pasos a producción de aplicaciones. La administración utiliza el sistema DCV y existen cuentas de usuarios internos y sus perfiles en los sistemas, este objetivo de control se puede lograr en la medida que los sistemas del DCV operen con efectividad, en relación a: 3. El derecho de propiedad de los clientes debe estar protegido adecuadamente. Control de acceso a las cuentas administradoras de los sistemas. Configuración y operatividad de medidas para prevenir el acceso no autorizado a los sistemas. Procedimientos de Administración de cuentas y perfiles de los sistemas. Las diferentes validaciones que se realizan para asegurar la exactitud de las carteras de instrumentos de terceros, dependen de información extraída desde las siguientes fuentes: Información de posiciones de instrumentos en garantía en la Bolsa de Comercio de Santiago (BCS) y Bolsa Electrónica de Chile (BEC). Información de los saldos y movimientos de las custodia de las diferentes cuentas de posición que la corredora mantiene en el DCV. Información transaccional de operaciones, compensaciones y liquidaciones obtenidas de la CCLV. PwC 17 Sección II Descripción de Controles proporcionados por

18 Objetivo de control Circular N SVS 4. Inexistencia de uso no autorizado de valores de terceros en custodia. 5. La información contenida en el registro de custodia corresponde a transacciones y movimientos autorizados por el cliente, es fidedigna y representa debidamente los derechos de los clientes sobre los valores de su propiedad. Consideración de empresa externa Las diferentes validaciones que se realizan para asegurar la exactitud de las carteras de instrumentos de terceros, dependen de información extraída desde las siguientes fuentes: Información de posiciones de instrumentos en garantía en la Bolsa de Comercio de Santiago (BCS) y la Bolsa Electrónica de Chile (BEC). Información de los saldos y movimientos de las custodia de las diferentes cuentas de posición que la corredora mantiene en el DCV. Información transaccional de operaciones, compensaciones y liquidaciones obtenidas de CCLV. Las diferentes validaciones que se realizan para asegurar la exactitud de las carteras de instrumentos de terceros, dependen de información extraída desde las siguientes fuentes: Información de posiciones de instrumentos en garantía en la Bolsa de Comercio de Santiago (BCS) y la Bolsa Electrónica de Chile (BEC). Información de los saldos y movimientos de las custodia de las diferentes cuentas de posición que la corredora mantiene en el DCV. Información transaccional de operaciones, compensaciones y liquidaciones obtenidas de CCLV. PwC 18 Sección II Descripción de Controles proporcionados por

19 Objetivo de control Circular N SVS 6. La información entregada al cliente acerca de los movimientos y saldos de sus valores en custodia es veraz, completa y consistente con el registro de custodia. 7. Los valores registrados en el registro de custodia corresponden a los valores que el intermediario efectivamente mantiene por cuenta del cliente en entidades de custodia autorizadas. Consideración de empresa externa Las diferentes validaciones que se realizan para asegurar la exactitud de las carteras de instrumentos de terceros, dependen de información extraída desde las siguientes fuentes: Información de posiciones de instrumentos en garantía en la Bolsa de Comercio de Santiago (BCS) y la Bolsa Electrónica de Chile (BEC). Información de los saldos y movimientos de las custodia de las diferentes cuentas de posición que la corredora mantiene en el DCV. Información transaccional de operaciones, compensaciones y liquidaciones obtenidas de CCLV. Las diferentes validaciones que se realizan para asegurar la exactitud de las carteras de instrumentos de terceros con su custodia en el DCV, depende de información extraída desde la siguiente fuente: Información de los saldos y movimientos de las custodia de las diferentes cuentas de posición que la corredora mantiene en el DCV. PwC 19 Sección II Descripción de Controles proporcionados por

20 SECCION III INFORMACIÓN PROPORCIONADA POR LOS AUDITORES INDEPENDIENTES

21 Pruebas de efectividad operacional Nuestras pruebas de efectividad de controles incluyeron las pruebas que se consideraron necesarias en las circunstancias para evaluar si dichos controles y el alcance del cumplimiento con éstos, son suficientes para proporcionar seguridad razonable, pero no absoluta, que los objetivos especificados de control se lograron durante el período comprendido entre el 1 de enero al 30 de junio de Al seleccionar pruebas específicas de la efectividad operacional de los controles, consideramos: (a) la naturaleza de los ítems que se probaron, (b) los tipos, disponibilidad y competencia de la evidencia, (c) la naturaleza de los objetivos de auditoría a lograrse, (d) el nivel evaluado de riesgo de control y (e) la eficiencia esperada y efectividad de la prueba. El ambiente de control y otros controles no incluidos en la presente sección fueron considerados exclusivamente como un elemento más en la planificación de la naturaleza, oportunidad y alcance de las pruebas de efectividad operacional de los controles. El resto del presente informe proporciona una descripción de los controles claves para cada objetivo de control y una descripción de las pruebas de efectividad operacional realizadas por PricewaterhouseCoopers. PwC 21 Sección III Información proporcionada por los auditores independientes

22 Descripción de objetivos y actividades de control provistos por y pruebas llevadas a cabo por el auditor Los objetivos de control mencionados a continuación están orientados a que existan controles que provean una seguridad razonable de que se cumpla con los objetivos planteados. Objetivo de Control N 1: Las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia se cumplen satisfactoriamente. 1.1 Cada vez que se genera una nueva regulación por parte de la Bolsa de Comercio, Bolsa Electrónica o SVS, esta es discutida en la Junta del Directorio y la resolución de su aplicación queda plasmada en el acta. Se solicitó el acta de la Junta Directiva donde se evidenció la revisión y discusión que se realizó de la nueva normativa emitida por la SVS. PwC 22 Sección III Información proporcionada por los auditores independientes

23 Objetivo de Control N 2: Los activos de propiedad de terceros están protegidos de pérdidas producto de errores o fallas en los sistemas, las personas y en los procesos. 2.1 El sistemas de Gestión bolsa involucrado en el proceso de operaciones Compra/Venta posee controles automáticos al realizar el ingreso de una operación. Se revisaron los controles automáticos correspondientes al ingreso de una operación en un proceso de compra/venta. Los resultados son los siguientes: El campo monto no sea superior al saldo disponible del cliente. El campo cantidad no sea superior al saldo disponible del cliente. El campo monto depósito no sea mayor al saldo disponible del cliente. El campo monto retiro no sea mayor al saldo disponible del cliente. El precio de compra/venta de la acción no sea mayor al límite establecido por BCS. Si bien hemos probado el control automático, no podemos asegurar que el control estuvo operando durante todo el periodo, debido a que los controles asociados a estos sistemas son administrados por terceros, sin embargo, existe un control manual que complementa el objetivo de control, definido en el control 3.8, donde se realiza una revisión diaria de la facturación vs. los movimientos de compra y venta informados a la Bolsa, y en caso de diferencias se procede a la regularización. PwC 23 Sección III Información proporcionada por los auditores independientes

24 2.2 Los requerimientos de desarrollo o mantención de aplicativos son solicitados a través de un formulario y canalizados con los jefes de proyectos, quienes son responsables de formalizar el requerimiento. Los cambios son sometidos a un plan de pruebas y de impacto funcional, finalmente deben ser aprobados por el Jefe del área al que corresponda para el paso a producción. Cada cambio es registrado en un controlador de versiones (Gen-Ris) 2.3 Consorcio cuenta con un Plan de Continuidad de Negocio que tiene por objeto proveer el marco de referencia para manejar, efectiva y coordinadamente, la continuidad operacional ante eventos de interrupción de los procesos críticos de la compañía. El Plan de Continuidad de Negocio es probado regularmente registrándose sus resultados. 2.4 Existe procedimiento de control sobre la gestión de cuentas de usuarios en las aplicaciones, actividad que se encuentra a cargo del Sub Gerente de Operaciones, Jefe Comercial y Departamento TI. Las solicitudes son realizadas por los usuarios vía telefónica y vía . Además, se realizan revisiones periódicas de las cuentas de usuarios existentes en todas las aplicaciones relacionadas con la custodia de valores. Se revisó que las modificaciones (datos y funcionales) fueron debidamente aprobados antes de ser traspasados al ambiente productivo. Para una muestra determinada se revisaron los correos de solicitud, formularios con detalle de cambios y correo de aprobación. Se revisó el documento formal donde se define el plan de continuidad de la empresa, el cual estaba autorizado por la Gerencia y se encontrara publicado para la lectura de todos los involucrados. Así mismo se solicitaron las últimas pruebas realizadas al plan, para revisar que los resultados fueron debidamente documentados. No fue posible verificar la evidencia de los controles ejecutados por la compañía en relación a la gestión de las cuentas de usuario (creación, modificación y/o bloqueo) en las aplicaciones SEBRA, SIGA, DCV y portal web ni tampoco del control de revisión periódica de dichas cuentas de usuario. Adicionalmente, comparamos los usuarios de la corredora en las aplicaciones versus el listado de personal vigente y desvinculado.. La comparación de los usuarios de la corredora en las aplicaciones versus el listado de personal vigente y desvinculado no arrojo excepciones. Sin embargo, se observaron excepciones en el control en cuanto a las dificultades de trazabilidad de las actividades que la compañía manifiesta haber realizado. PwC 24 Sección III Información proporcionada por los auditores independientes

25 2.5 Se cuenta con procedimientos que norman la realización de los procesos de respaldo de la información crítica del ambiente tecnológico. Existe una herramienta Tivoli Storage Manager (TSM), la cual en caso de evidenciar un error en el proceso de respaldo, despliega por pantalla el error identificado. Se revisó que existiera un procedimiento formal de respaldo de información crítica y que el mismo se estuviese ejecutando de acuerdo a lo estipulado. Para Consorcio existen dos tipos de respaldos de datos y de aplicativos. Las bases de datos son propiedad de la BCS y son respaldadas por esta misma bajo sus estándares y procedimientos, por lo que consorcio no tiene participación en el procedimiento de respaldo de la información almacenada en las instalaciones de la BCS. Esto se encuentra fuera del alcance de la revisión. El respaldo de aplicativos si son responsabilidad de Consorcio, por lo que para una muestra, se revisó que existiera un registro en una bitácora con los terminales respaldados. 2.6 Existe una política de contraseñas, donde se definen parámetros de seguridad como longitud, rotación, caducidad, robustez, y bloqueo ante intentos fallidos. Se revisó que para realizar una transacción en los sistemas SEBRA, DCV y SIGA es necesario ingresar con una cuenta de usuario valida y una contraseña válida. Adicionalmente hicimos una revisión de los parámetros de configuración de los sistemas cuyos resultados principales se explican a continuación: Sistema Sebra: - La contraseña se bloquea al quinto intento fallido. - Cuenta con un largo mínimo de contraseña de 6 caracteres. - No permite repetición de caracteres - Exige contraseña alfanumérica - El sistema recuerda las 8 últimas contraseñas PwC 25 Sección III Información proporcionada por los auditores independientes

26 utilizadas con anterioridad y no permite reutilizarla. Sistema Siga: - La contraseña expira cada 60 días. - La contraseña se bloquea al quinto intento fallido - La contraseña cuenta con largo mínimo de 6 caracteres - Exige contraseña alfanumérica. Sistema DCV - Exige contraseña alfanumérica. - El largo mínimo exigido son 8 caracteres. - El sistema recuerda contraseñas históricas. Si bien observamos que los parámetros se encuentran bien definidos al no estar probando ITGC de los sistemas de terceros no podemos asegurar que se encuentren operando durante todo el periodo. 2.7 Existe un contrato de prestación de servicios con el DCV, en el cual se estipula los niveles de servicios ofrecidos por la entidad. 2.8 Existe un contrato de prestación de servicios entre Consorcio y la Bolsa Electrónica, en el cual se estipulan los niveles de servicios ofrecidos por esta entidad. Se revisó el contrato de servicios entre la DCV y Consorcio Corredores de Bolsa, S.A. Se observó que se encontraba firmado por los representantes de ambas empresas y que estuviese vigente. Se revisó el contrato de servicios entre la BEC y Consorcio Corredores de Bolsa, S.A. Se observó que se encontraba firmado por los representantes de ambas empresas y que estuviese vigente. PwC 26 Sección III Información proporcionada por los auditores independientes

27 2.9 Existe un contrato de prestación de servicios entre Consorcio y la Bolsa de Comercio, en el cual se estipulan los niveles de servicios ofrecidos por esta entidad. Se revisó el contrato de servicios entre la BCS y Consorcio Corredores de Bolsa, S.A. Se observó que se encontraba firmado por los representantes de ambas empresas y que estuviese vigente. Objetivo de Control N 3: El derecho de propiedad de los clientes debe estar protegido adecuadamente. 3.1 Los traslados de valores de custodia desde otra corredora a Consorcio deben ser autorizados por el cliente, ratificados por la contraparte y en el caso de realizarse el traspaso desde Consorcio a otra corredora debe ser autorizado por el cliente y el administrativo de operaciones validará la firma y la cantidad de acciones del cliente antes de realizar el traspaso. Adicionalmente existe una aprobación que es realizada por un funcionario de nivel superior (Sub Gerente de Operaciones o un superior similar). Se revisó para una muestra de clientes creados, que todos contaban con la documentación necesaria para este tipo de operación. Los documentos que se revisaron fueron: - Carta del cliente autorizando el traspaso (ingresos o egresos) - Carta firmada por el Jefe de Operaciones confirmando a la contraparte la transferencia de custodia (para egresos) 3.2 Las operaciones de compra / venta se realizan mediante dos medios: vía internet y vía instrucción a un ejecutivo. Cuando se realiza una operación vía internet se genera de forma automática un correo que informa al cliente el detalle de la compra o venta y en el caso de ser mediante un ejecutivo o el operador, quedará una grabación telefónica de la instrucción señalada. Se revisó para una muestra de operaciones, que cada una contara con una instrucción por parte del cliente (excepto las operaciones que fueron tranzadas directamente en la página web de Consorcio), y que la misma coincidiera con lo registrado en el libro de operaciones. PwC 27 Sección III Información proporcionada por los auditores independientes

28 3.3 Para cada operación de compra / venta existe una factura electrónica asociada a la operación, la que es enviada al cliente de forma automática vía correo electrónico y esta debe ser idéntica a la operación registrada en el libro de operaciones y en el Sistema de Gestión. Se revisó para una muestra, que las operaciones diarias registradas en el sistema Sebra, cuentan con una factura y que a su vez esta información tiene coincidencia con el libro de operaciones. Adicionalmente, se revisó que cuando el Analista de Operaciones realiza la facturación se genera de manera automática el envío de facturas al cliente a través del correo electrónico 3.4 Cada vez que se realiza una operación simultánea debe existir un contrato entre el cliente y la Corredora, para operar con operaciones de este tipo. Además se genera un comprobante de la transacción efectuada que corresponde a una carta tipo la que debe ser firmada por el cliente y enviada a Consorcio. Se revisó para una muestra que cada operación simultánea, contaba con un contrato firmado por el cliente aceptando los términos y condiciones que conlleva realizar este tipo de operaciones, así como también con una carta con las instrucciones de la operación a realizar, igualmente firmada por el cliente 3.5 Al realizar el proceso de suscripción de acciones se debe enviar un Memorándum a Tesorería firmado por el Sub Gerente de Operaciones o supervisor para que se realice el pago a las compañías por concepto de compras de acciones y recibir de ellos el Contrato que acredita la compra. 3.6 Diariamente el área de operaciones realiza una cuadratura de facturación, donde se verifica los montos facturados v/s los movimientos de compra y venta del día informados por la Bolsa de Comercio, de existir diferencias estas son informadas y regularizadas. Se revisó para una muestra, la existencia de un contrato firmado por el cliente donde se especifica el detalle de la suscripción, el monto y el medio de pago de ésta. Adicionalmente cada operación contaba con un memorándum firmado por la Jefatura de Operaciones y por Tesorería especificando la forma de pago de la suscripción. Se revisó para una muestra de cuadraturas, que el monto total en el informe de compras de acciones del día fuese el mismo que el saldo presente en el informe de facturación, igualmente para la venta de acciones. La muestra no presentó diferencias en los saldos. PwC 28 Sección III Información proporcionada por los auditores independientes

29 3.7 Para cada operación de venta corta debe existir un contrato entre Consorcio y el cliente que señale que operará bajo esta modalidad, además se debe registrar la operación en el Sistema de Gestión y anexar las condiciones de la operación. 3.8 Trimestralmente se realizan arqueos sobre los documentos que se tienen en custodia física (RV, RF, IIF) esta información es aprobada por el Supervisor. Se revisó para una muestra que existiera un contrato firmado por el cliente aceptando las condiciones de este tipo de operación. Se revisó para el primer trimestre del año que se hubiese realizado el arqueo respectivo para las RV, RF e IIF, y que el arqueo hubiese sido aprobado por el Jefe de Operaciones a través de su firma en el informe físico. 3.9 El área de Operaciones realiza los ingresos y retiros de instrumentos utilizados como garantías de operaciones bursátiles en el sistema operacional y en los sistemas de la Bolsa correspondiente. El Área de Control de Operaciones realiza cuadraturas semanales entre los instrumentos en garantía en las bolsas y los instrumentos registrados en el sistema operativo Para la realización de préstamos de valores entre clientes, es necesaria la existencia de los contratos de las partes involucradas con los anexos de préstamo de acciones firmados. Para una muestra de cuadraturas semanales, se revisó que se hizo una comparación de los instrumentos de garantía registrados en la BEC, BCS y Sebra, y que las diferencias (cuando aplicaron) fueron debidamente identificadas. No hubo operaciones para el período en revisión. No hubo ocurrencia para el período en revisión. PwC 29 Sección III Información proporcionada por los auditores independientes

30 3.11 Una vez que el analista de operaciones realiza el proceso de asignación, el operador de la mesa valida que las compras asignadas correspondan al cliente que realizó la operación. Hemos detectado que no existe evidencia de la validación realizada por el operador de mesa sobre los datos ingresados por el analista de operaciones durante el proceso de asignación. Sin embargo, cabe destacar que la Compañía cuenta con otros controles (CT 4.2, 5.6 y CT-5.7) que persiguen el mismo objetivo y que han resultado efectivos en esta revisión, los cuales colaborarían en la mitigación del riesgo asociado. Se observaron excepciones en el diseño del control, básicamente debido a que no existe evidencia de la validación del operador de mesa. Objetivo de Control N 4: Inexistencia de uso no autorizado de valores de terceros en custodia. 4.1 Las operaciones de compra/venta se realizan Ver control 3.2 Ver control 3.2 mediante dos medios: vía internet y vía instrucción a un ejecutivo. Cuando se realiza una operación vía internet se genera de forma automática un correo que informa al cliente el detalle de la compra o venta, y en el caso de ser mediante un ejecutivo o el operador, quedará una grabación telefónica de la instrucción señalada (referencia control 3.2.). PwC 30 Sección III Información proporcionada por los auditores independientes

31 4.2 Para cada operación de compra / venta existe una factura electrónica asociada a la operación, la que es enviada al cliente de forma automática vía correo electrónico y esta debe ser idéntica a la operación registrada en el libro de operaciones y en el Sistema de Gestión. (Referencia control 3.3). Se revisó para una muestra que las operaciones diarias Ver control 3.3 Ver control El sistema de Gestión Bolsa involucrado en el proceso de operaciones Compra/Venta posee controles automáticos al realizar el ingreso de una operación. (referencia Control 2.1) Ver control 2.1 Ver control La incorporación de instrumentos de inversión, en el mantenedor de instrumentos del Sistema de Gestión Bolsa para Sociedades Cerradas que no transan en la bolsa, es debidamente autorizada por el personal adecuado. No hubo operaciones para el período en revisión. No hubo operaciones para el período en revisión. No se puede dar opinión acerca de la efectividad del control. 4.5 El área de Operaciones realiza los ingresos y retiros de instrumentos utilizados como garantías de operaciones bursátiles en el sistema operacional y en los sistemas de la Bolsa correspondiente. El Área de Control de Operaciones realiza cuadraturas semanales entre los instrumentos en garantía en las bolsas y los instrumentos registrados en el sistema operativo (referencia Control 3.9). 4.6 Existe procedimiento de control sobre la gestión de cuentas de usuarios en las aplicaciones, actividad que se encuentra a cargo del Sub Gerente de Operaciones, Jefe Comercial y Departamento Ver control 3.9 Ver control 3.9 Ver control 2.4 Ver control 2.4 PwC 31 Sección III Información proporcionada por los auditores independientes

32 TI. Las solicitudes son realizadas por los usuarios vía telefónica y vía . Además, se realizan revisiones periódicas de las cuentas de usuarios existentes en todas las aplicaciones relacionadas con la custodia de valores (referencia 2.4.) Objetivo de Control N 5: La información contenida en el registro de custodia corresponde a transacciones y movimientos autorizados por el cliente, es fidedigna y representa debidamente los derechos de los clientes sobre los valores de su propiedad. 5.1 La documentación para la apertura de cuentas de clientes es recibida por los agentes del área Front Office, quienes deben registrar en el sistema la solicitud. Como documentación de respaldo, Consorcio Corredores de Bolsa ha definido los siguientes documentos: -Ficha del cliente. -Contrato del cliente. -Contrato de custodia de valores. Se revisó para una muestra de clientes, que cada uno tuviese ficha con sus datos, y que tanto el contrato de custodia, como el de cliente estuviesen debidamente firmados. De la revisión, hubo 2 casos de la muestra que las fichas de cliente, con toda su documentación correspondiente no se encuentran en Consorcio dado a que están en proceso de aprobación de Fiscalía. Hubo un tercer caso en el que no se encuentra la ficha de cliente, ya que este no es cliente de Consorcio Corredores de Bolsa, sólo se creó el cliente para realizar el pago de dividendos. 5.2 Diariamente el analista de operaciones realiza una cuadratura, donde se revisan los movimientos de custodia, garantías, DCV, Bolsa, sistema gestión y movimientos pendientes. Para una muestra de cuadraturas diarias, se revisó que se hizo una comparación entre lo registrado en el sistema Sebra vs. lo registrado en el sistema DCV, y que cada diferencia fue debidamente identificada y explicada. PwC 32 Sección III Información proporcionada por los auditores independientes

33 5.3 El analista de operaciones realiza una cuadratura semanal, donde se revisan los saldos de custodia, garantías, saldos DCV, sistema gestión y movimientos pendientes. La cuadratura debe ser enviada a bolsa de comercio y a la bolsa electrónica por el analista o al supervisor a más tardar el día martes. Se revisó para una muestra de cuadraturas semanales, que se realizó la comparación entre lo registrado en el sistema Sebra vs. lo registrado en el sistema DCV Así mismo se observó que cada diferencia fue debidamente identificada y explicada y que la conciliación fue enviada vía mail a la BES y BCS. 5.4 El analista de operaciones realiza una cuadratura mensual, donde se revisan los saldos por operaciones, entre el Sistema de Gestión y el DCV. Se solicitó para una muestra de cuadraturas mensuales que se realizó la comparación entre lo registrado en el sistema Sebra vs. lo registrado en el sistema DCV Así mismo se observó que cada diferencia fue debidamente identificada y explicada 5.5 El analista de operaciones realiza una conciliación trimestral de saldos con el DCV al 100% de los títulos mantenidos en custodia, La conciliación es enviada en línea a la SVS, mediante el SEIL (Sistema de Envío de Información en Línea). 5.6 Diariamente el área de operaciones realiza una cuadratura de facturación, donde se verifica los montos facturados v/s los movimientos de compra / venta del día informados por la Bolsa de Comercio, de existir diferencias estas son informadas y regularizadas (referencia 3.6). Se solicitó la conciliación del primer trimestre del año, y se revisó que se hizo la comparación entre lo registrado en el sistema Sebra vs. lo registrado en el sistema DCV Así mismo se observó que cada diferencia fue debidamente identificada y explicada, y que la conciliación fue enviada a la SVS, esto último se evidenció a través de un correo de confirmación de recepción por parte de la SVS. Ver control 3.6 Ver control El Sistema de Gestión no permite el cierre diario a menos que todas las operaciones que se hayan Se le solicitó al Analista de Operaciones (A. Sepúlveda) que procediera a realizar en el Sistema PwC 33 Sección III Información proporcionada por los auditores independientes