POLÍTICA DE GESTIÓN DE RIESGO OPERACIONAL

Transcripción

1 POLÍTICA DE GESTIÓN DE RIESGO OPERACIONAL Enero de 2011

2 ÍNDICE SECCION A: ANTECEDENTES GENERALES OBJETIVO ALCANCE ACERCA DE ESTE DOCUMENTO... 5 SECCION B: BASE CONCEPTUAL PILARES DE LA ADMINISTRACIÓN DE RIESGO OPERACIONAL COMPONENTES DE LA ADMINISTRACIÓN DE RIESGO OPERACIONAL... 6 SECCION C: MEJORES PRACTICAS DESARROLLAR UN AMBIENTE APROPIADO ADMINISTRACIÓN DEL RIESGO ROL DE LOS SUPERVISORES ROL DE EXPOSICIÓN... 9 SECCION D: ESTRUCTURA ORGANIZACIONAL ROLES Y RESPONSABILIDADES CULTURA DE RIESGOS EN LA CCLV SECCION E: TERMINOS Y DEFINICIONES SECCION F: CRITERIOS DE DEFINICION DE RIESGO ACEPTADO SECCION G: CRITERIOS DE EVALUACION Y TRATAMIENTO DE RIESGOS SECCION H: ATRIBUCIONES SECCION I: EXCEPCIONES A LA POLITICA SECCION J: NORMAS DE DIFUSION Y CONTROL DE VERSIONES

3 SECCION A: ANTECEDENTES GENERALES CCLV, Contraparte Central S.A. (CCLV) es una sociedad anónima regulada por la Ley N sobre sistemas de compensación y liquidación de instrumentos financieros, y su objetivo, obligaciones, funcionamiento, creación y exigencias son únicos y propios de su particular naturaleza. La fiscalización de la Superintendencia de Valores y Seguros (SVS) a que está sometida y la regulación que se le aplica, legal y administrativamente, son estrictas y especiales, justificadas por los valores e intereses en juego y por la reserva propia de la actividad. En este sentido, la SVS ha emitido la circular N 1.939, la cual instruye sobre la implementación de la Gestión de Riesgo Operacional (GRO) en las entidades de depósito y custodia de valores y en las sociedades administradoras de sistemas de compensación y liquidación de instrumentos financieros. La GRO y sus mecanismos de control han probado ser de gran importancia en instituciones de depósito y custodia de valores, en sociedades administradoras de sistemas de compensación y liquidación de instrumentos financieros y en otras entidades de la industria financiera a nivel nacional e internacional. Dada la relevancia sistémica del mercado de valores, la CCLV formaliza en el presente documento, la estructura, metodología y principios para lograr una adecuada administración de sus riesgos operacionales en concordancia al cumplimiento de la circular N emitida por la SVS y mejores prácticas internacionales. La estructura organizacional que soporta la GRO se sustenta en: los responsables y ejecutores de los procesos, quienes son los gestores primarios del riesgo; el Área o Unidad de Gestión de Riesgo Operacional (UGRO), encargada de la gestión y monitoreo del riesgo operacional; el Comité de Riesgo, encargado de su revisión; el Directorio, aprobando el establecimiento del modelo; y Auditoría Interna, responsable de evaluar la efectividad de la implementación de las políticas de riesgo operacional. De esta forma, la GRO se aplica consistentemente a través de todos los niveles de gestión, como parte integrante del conjunto de políticas y directrices estratégicas del CCLV. Por tanto, todas las gerencias y el personal deben integrarse y aplicar los procedimientos y prácticas de gestión de riesgos dentro de sus actividades diarias. 1. Objetivo A través de la presente política de gestión de riesgo operacional y en concordancia a la circular N emitida por la SVS y mejores prácticas internacionales, la CCLV pretende orientar en forma coordinada sus esfuerzos y lograr, en función del grado de madurez de la Organización en su proceso de GRO, los siguientes puntos: 3

4 Asegurar razonablemente, en forma consistente y sistemática que los riesgos operacionales de la CCLV sean identificados, evaluados, tratados, monitoreados y comunicados. Disminuir las pérdidas catastróficas no esperadas y minimizar las pérdidas esperadas. Entendiendo como pérdidas no esperadas aquellas por sobre el promedio (Pérdida Esperada) o con una menor probabilidad de ocurrencia, en consecuencia, en términos de un modelo Value at Risk(VaR) la pérdida no esperada se define como VaR-Pérdida Esperada. Asegurar que los indicadores claves de desempeño de la CCLV incluyen o consideran los indicadores claves de riesgos, los cuales identifican los factores que originan el riesgo de negocio, obtenidos al aplicar los procesos de GRO. Mitigar de forma razonable los principales riesgos operacionales a los que está expuesta la Organización y sus objetivos de negocio, dadas las características propias de ésta, así como también las del entorno en que se desempeña. 2. Alcance La presente política considera los riesgos operacionales propios de los procesos y actividades desarrolladas al interior de la CCLV, en donde se hace necesario el entendimiento, compromiso y disposición de todas las áreas y personal de la organización, en forma independiente de su nivel jerárquico, función o localización. Además, y en concordancia al artículo 9 de la ley N , la política de gestión de riesgo será establecida por el Directorio de la CCLV, considerando las propuestas emitidas por el Comité de Riesgo y será difundida tanto al ente regulador como al interior de la Organización. El alcance definido para la GRO en la CCLV se basará en los siguientes principios claves: 1. La GRO es responsabilidad de todos: todo el personal de CCLV tiene responsabilidad en la GRO, Directorio, gerencias y empleados; sin embargo, son los dueños de proceso o champion de riesgo, los encargados de asegurar la aplicación, mantención y seguimiento de las distintas políticas, normas y procedimientos definidos para el cumplimiento de los objetivos de cada proceso, en concordancia con la UGRO al interior de la Organización. 2. La GRO estará integrada dentro de todas las actividades y sistemas de la organización, formando parte también en el proceso de planificación estratégica de la CCLV. 4

5 3. La GRO se integrará en los planes, programas, procesos y actividades diarias que realizan tanto las unidades como las personas de la CCLV, que se incluyan dentro del alcance definido en el marco estratégico, organizacional y de gestión de riesgos. 4. La aplicación sistemática de la GRO se hará sobre análisis fundados, haciendo uso efectivo y eficiente de los recursos de la CCLV. Aquellos riesgos que luego de ser valorizados mediante la metodología de riesgo operacional definida, resulten en un nivel de riesgo no aceptable por la CCLV, serán incorporados dentro de los planes de acción. 5. El progreso en la gestión de los riesgos definidos en el punto anterior será monitoreado continuamente por el Directorio, Gerencia General, Gerencias de área responsables y la UGRO, según corresponda, basado en la metodología adoptada por el CCLV, cuya aplicación será evaluada por la función de Auditoría Interna. 3. Acerca de este documento La presenta política fue confeccionada con la asesoría de la empresa consultora Deloitte. 5

6 SECCION B: BASE CONCEPTUAL Para la elaboración de esta política, se ha considerado la Ley N , la normativa que emite la SVS, principalmente su circular N que Instruye sobre la implementación de la gestión de riesgo operacional en las entidades de depósito y custodia de valores y en las sociedades administradoras de sistemas de compensación y liquidación de instrumentos financieros y mejores prácticas internacionales para la definición e implementación de modelos de gestión de riesgo operacional. 1. Pilares de la Administración de Riesgo Operacional La gestión de riesgo operacional en la CCLV incluirá cuatro pilares claves: (i) Gestión de Riesgos; considera la evaluación, tratamiento y monitoreo de los riesgos en forma proactiva, diseñando e implementando controles preventivos para evitar la ocurrencia de eventos que impacten los objetivos de la CCLV. (ii) Gestión de Seguridad de la Información; considera el enfoque bajo el cual la CCLV busca lograr la confidencialidad, integridad y disponibilidad de todos aquellos elementos de Información (Sistemas, archivos, Bases de Datos, Personas, etc.) que la CCLV tiene catalogados como críticos. (iii) Gestión de Continuidad Operacional; en caso de ocurrir eventos de riesgo adverso, se busca mitigar los efectos y mantener sin interrupción los procesos críticos y la disponibilidad de todos los componentes claves de la CCLV necesarios para su operación. (iv) Gestión sobre Actividades Tercerizadas; Las operaciones de la CCLV se encuentran fuertemente sustentadas por procesos tecnológicos, lo que implica un desafío importante en cuanto a los sistemas de información requeridos, en consecuencia, los riesgos inherentes de procesos críticos que se encuentren ligados a actividades realizadas por terceras partes, deben ser reconocidos como responsabilidad final de la CCLV. Por lo tanto, la Empresa debe considerar en forma específica en su estrategia de administración de riesgo, la gestión de los riesgos asociados a actividades tercerizadas, participando en forma permanente en el control y monitoreo de dichas actividades. 2. Componentes de la Administración de Riesgo Operacional Junto a los pilares de la administración de riesgo operacional, deben considerarse algunos componentes claves para una adecuada implementación del modelo, los cuales se detallan a continuación: 6

7 Existencia de tres líneas de acción sobre los riesgos operacionales: Unidad de Riesgo Operacional, Champion de Riesgo Operacional y Auditoría Interna como ente independiente. Se debe registrar la ocurrencia de los riesgos operacionales donde éste se materializa y que puedan ser monitoreados por las líneas de acción. La Organización debe contar con un centro de excelencia (Unidad o Función de Riesgo Operacional) que permitan añadir valor al negocio, implementando un enfoque común, dando asistencia a las líneas de negocio y administrando la exposición al riesgo operacional de la CCLV. Auditoría Interna es responsable en forma independiente de asegurar que el proceso de administración de riesgo operacional sea apropiado y funcional conforme se ha diseñado. Se deben mantener actualizadas las prácticas de la administración de riesgo operacional. La naturaleza del riesgo operacional, implica que las Gerencias son preliminarmente responsables por la administración de éste. El presente documento debe contar con la revisión del Comité de Riesgo y la aprobación del Directorio de la CCLV, en tal sentido, cualquier modificación deberá también tener dicho nivel de revisión y aprobación. Es importante para el éxito en la gestión de riesgo operacional al interior de la CCLV, difundir las mejores prácticas de Administración de éste, contenidas en el presente documento en toda la Organización. 7

8 SECCION C: MEJORES PRACTICAS 1. Desarrollar un Ambiente Apropiado Principio 1: El Directorio debería ser consciente de los aspectos principales de los riesgos operativos de la CCLV como una categoría de riesgo distintiva y administrable y debería aprobar y revisar periódicamente la estrategia de riesgo operativo de la CCLV, la que debería reflejar la tolerancia de la CCLV al riesgo y su comprensión de las características específicas de esta categoría de riesgo. El Directorio también debería ser responsable por la aprobación del esquema básico de la estructura para administrar el riesgo operativo y asegurar que la alta gerencia está asumiendo sus responsabilidades de administración de riesgos. Principio 2: La alta gerencia debería tener responsabilidad por la implementación de la estrategia de riesgo operativo aprobada por el Directorio, la que debería ser implementada consistentemente a través de toda la Organización y todos los niveles del personal deberían comprender sus responsabilidades respecto a la administración del riesgo operativo. La alta gerencia debería también tener responsabilidad por el desarrollo de políticas, procesos y procedimientos para administrar el riesgo operativo en todos los productos, actividades, procesos y sistemas de la CCLV. Principio 3: Los flujos de información dentro de la organización juegan un rol clave en el establecimiento y mantenimiento de una estructura efectiva de administración del riesgo operativo. Los flujos de comunicación dentro de la CCLV deberían establecer una cultura consistente de administración del riesgo operativo en toda la organización. Los flujos de los reportes deberían permitir a la alta gerencia monitorear la efectividad del sistema de administración de riesgos para el riesgo operativo y también permitirle al Directorio supervisar el desempeño de la alta gerencia. 2. Administración del Riesgo Principio 4: La CCLV deberá identificar el riesgo operativo inherente en todos los tipos servicios, actividades, procesos y sistemas. La CCLV también deberá asegurar que antes de introducir o emprender nuevos servicios, actividades, procesos y sistemas, el riesgo operativo inherente en los mismos, esté sujeto a procedimientos adecuados de evaluación. Principio 5: La CCLV deberá establecer los procesos necesarios para medir el riesgo operativo, identificando la criticidad inherente y residual, a través de la 8

9 medición de la efectividad del control o grupo de controles respectivo. (Ver detalles de la metodología en manual de riesgo operacional) Principio 6: La CCLV deberá implementar un sistema para monitorear, sobre la marcha, las exposiciones de riesgo operativo de la organización. Principio 7: La CCLV deberá contar con políticas, procesos y procedimientos para controlar o mitigar el riesgo operativo, evaluando costos y beneficios de las limitaciones de riesgos y estrategias de control alternativas, con el fin de ajustar su exposición a riesgos operativos mediante planes de implementación apropiados, a la luz de su perfil global de riesgo. Un ejemplo de esto son los seguros asociados a fraudes o errores operativos, los cuales permiten transferir el riesgo. 3. Rol de los Supervisores Principio 8: Los supervisores deberían requerir que la CCLV cuente con un sistema efectivo instalado para identificar, medir, monitorear y controlar los riesgos operativos como parte de un enfoque global de la administración de riesgos. Principio 9: Los supervisores deberían conducir, directa o indirectamente, evaluaciones regulares independientes de las estrategias, políticas, procedimientos y prácticas de la Organización, relativas a riesgos operativos, asegurándose que hay instalados mecanismos efectivos de reporting que les permitan mantenerse informados de su nivel de exposición al riesgo. 4. Rol de Exposición Principio 10: La CCLV deberá realizar suficiente exposición pública, para permitirles a los participantes del mercado evaluar la exposición y la calidad de administración de su riesgo operativo. 9

10 SECCION D: ESTRUCTURA ORGANIZACIONAL La implantación y aplicación de un sistema que permita gestionar integralmente los riesgos de la CCLV a través del tiempo, requiere que exista una estructura organizacional adecuada para esos fines. La Organización debe asegurar que se ha establecido, implementado y mantenido el sistema de GRO acorde a los requerimientos regulatorios y estándares internacionales de referencia, comunicando el desempeño de éste al Directorio y respectivas Gerencias para revisión, como base de su mejora. Para la GRO, se han definido roles específicos para los participantes del modelo de GRO, los cuales se encuentran detallados en el siguiente punto. 1. Roles y Responsabilidades La estructura organizacional de la administración de riesgos se enmarca en el presente organigrama de la CCLV. Figura 1: Organigrama CCLV La figura adjunta señala la existencia de funciones que permiten definir un modelo de tres líneas de defensa para la Organización, con el fin de permitir una eficiente y eficaz gestión de sus riesgos. Este modelo es la forma en que se distribuyen las responsabilidades de administración de riesgo en la Organización. 10

11 Estructura Global Comité de Riesgo / Directorio Unidades 1a línea de Defensa Áreas de Negocio Áreas de Negocio Unidad de Riesgo (UGRO) 2a línea De Defensa Auditoría Interna Control Independiente 3a línea De Defensa Administración de riesgo día a día Administración de riesgo Operacional, creación de Política y manual Figura 2: Estructura Global Las Gerencias o Áreas de la CCLV tienen la principal responsabilidad frente a la administración de sus riesgos, actividad que deben realizar en el día a día. Esta constituye la primera línea de defensa. La UGRO tiene la responsabilidad de dar soporte a la gestión de riesgo de las Gerencias, es responsable por el establecimiento de una política de gestión de riesgo y por el control de ellos. Esta constituye la segunda línea de defensa. Auditoría Interna tiene la responsabilidad de proveer una visión y seguridad independiente del sistema de administración de riesgo. Esta constituye la tercera línea de defensa. En función de lo anterior y para una adecuada gestión del riesgo operacional, es necesario definir en específico los roles y responsabilidades de todos los actores involucrados en el modelo de definido en la presente política, los cuales se detallan a continuación: Directorio: Es responsable de que la CCLV opere de acuerdo a prácticas de gobernabilidad consistentes y que cumpla con sus responsabilidades en forma diligente. Deberá aprobar las políticas relacionadas con la administración de riesgo operacional, las cuales deben ser revisadas y aprobadas anualmente. Además, deberá estar informado de la gestión de riesgo operacional de la Organización, para lo cual podrá contar con la asesoría del Comité de Riesgo. Comité de Riesgo: Es responsable de evaluar en forma permanente y proponer al Directorio mejoras a las políticas de gestión y control de riesgos de los sistemas 11

12 administrados por la CCLV, contenidos en las Normas de Funcionamiento. Esta revisión debe ser anual. Funciones Generales: Definir y proponer al Directorio, la estrategia y las políticas de administración del riesgo operacional para la organización. Conocer en detalle los niveles de exposición y los riesgos asumidos en base a la metodología aprobada por el Directorio. Proponer al Directorio, los criterios de aceptación de los riesgos que se desean gestionar dentro de la CCLV, de acuerdo con su ámbito de actividad y a los objetivos de rentabilidad, solvencia y a la metodología de administración de riesgos establecida y aprobada. El nivel del riesgo máximo aceptable se debe relacionar con el nivel de pérdida operacional aceptable de la CCLV. Aprobar e informar al Directorio los excesos temporales de límites cuando sea pertinente, en base a la metodología de administración de riesgos aprobada. Informar al Directorio de los resultados obtenidos por las diferentes gerencias en relación a los riesgos asumidos, considerando los informes de gestión y monitoreo de riesgo operacional generados por la UGRO. Evaluar regularmente la efectividad general de las técnicas de administración de la CCLV y la infraestructura para la administración de los riesgos, teniendo como base los informes presentados por la UGRO, la Unidad de Auditoría y los auditores externos. Aprobar los planes de capacitación propuestos por la UGRO, destinados a fortalecer los conocimientos en materias de riesgo operacional, tanto en las distintas gerencias, procesos y al interior de la Unidad. Definir y aprobar la información sobre los riesgos operacionales de la CCLV, que será informada a los entes reguladores cuando ésta sea requerida. Asegurar que los criterios establecidos en la metodología de administración de riesgo operacional se consideren en la definición de planes de largo plazo y en las inversiones de la CCLV. Fomentar una cultura de riesgo, asegurando que la política de administración de riesgo operacional sea entendida adecuadamente al interior de la CCLV. 12

13 Gerencia General: Es responsable de elaborar la política y manual de gestión de riesgo operacional, sin perjuicio de la posibilidad de delegar su elaboración a una persona o unidad especialmente calificada (UGRO) sin eximir sus responsabilidades. También debe asegurar la implementación del proceso de gestión de riesgo operacional en la Entidad e informar al menos una vez al año al Directorio, sobre los principales riesgos de la entidad y los planes de tratamiento adoptados. La aprobación debe dejar constancia en las actas de sesión del Directorio correspondiente. Por otra parte, la Gerencia General deberá informar a toda la organización, como también al público en general, los lineamientos principales de la gestión de riesgo operacional, a través de un informativo puesto a disposición en la página web de la entidad. Gerencias: Las diferentes gerencias de la CCLV, serán las encargadas a través de todos sus miembros y guiados por quienes se designe como responsables de la GRO (Champion), de insertar en su operación diaria, el modelo de riesgo operacional, realizando actividades como las evaluaciones del nivel de riesgo y control en forma periódica, seguir los indicadores de riesgo para tomar las medidas necesarias que permitan mantener un nivel de riesgo controlado, reportar la existencia de nuevos eventos de riesgo y participar en la definición e implantación de las acciones correctivas, asegurando que cada miembro de la unidad conozca, comprenda y asuma sus responsabilidades respecto a la administración de riesgos. Las tareas anteriores contaran con el apoyo y lineamiento de la UGRO. Funciones Generales: Definir, en función de las competencias, al champion de riesgo operacional dentro de cada gerencia de la Organización. Monitorear el nivel de cumplimiento de las políticas y estándares de riesgo operacional dentro de la gerencia o área, en conjunto con el champion de riesgo definido. Validar los procesos de reporte e indicadores de riesgo dentro de las gerencias en conjunto con el champion de riesgo operacional de la gerencia. Validar la información a reportar a la Unidad de Gestión del Riesgo Operacional (UGRO) por parte del champion de riesgo de la gerencia. Revisar los reportes de indicadores de riesgo dentro de la gerencia y validar las propuestas de planes de mitigación realizadas por el champion de riesgo de la unidad y UGRO. Apoyar al champion de riesgo cuando requiera de asistencia en temas relacionados al riesgo operacional. 13

14 Revisar y aprobar las iniciativas de difusión para el riesgo operacional tales como comunicaciones internas o capacitaciones relacionadas con el riesgo operacional. Informar los cambios regulatorios dentro de las gerencias para su entrega a la UGRO Aprobar y monitorear las acciones de mitigación a los riesgos de operación identificados tanto por la UGRO como por el champion de riesgo de la gerencia o unidad de negocio. Apoyar en la identificación y evaluación, en conjunto con el champion de riesgos operacionales de la unidad de negocio, los riesgos originados por cambios en los procesos o desarrollo de nuevos negocios. Auditoría Interna: Es responsable de monitorear el cumplimiento de los procedimientos definidos para la administración del riesgo operacional. Adicionalmente, provee una visión independiente de la efectividad del enfoque y la implantación de la metodología usada para administrar el riesgo. La auditoría se entiende que está diseñada para evaluar, el grado de cumplimiento de los procedimientos establecidos por el Organización, debiendo realizar informes y recomendaciones que se deriven de la misma, los que deben ser remitidos al Comité de Auditoría, Gerencia General, UGRO y dueños de proceso. Adicionalmente, está entendida para desarrollar planes de acción para mantener alineadas a las gerencias con los estándares mínimos de control y administración de riesgos definidos, beneficiándose directamente con el conocimiento de los riesgos identificados, para su incorporación en el plan anual de auditoría. Además, deberá informar a lo menos una vez al año al Directorio sobre el cumplimiento de la política y del manual de gestión de riesgo operacional. Gerencia de Riesgo: responsable de la UGRO, la cual está encargada de definir, implementar, dirigir y controlar los procesos necesarios para minimizar el riesgo de que las diferentes áreas de la CCLV puedan incurrir en pérdidas, ya sean directas o indirectas, que sean atribuibles a la interrupción de las operaciones debido a eventos externos, errores del personal, falta de adecuación o falla de los procesos, procedimientos o controles, ayudando de esta manera a mejorar tanto la gestión global de la CCLV, como de las áreas individuales. Lo anterior en concordancia con la estrategia de la Empresa y los requerimientos de los organismos reguladores. 14

15 Unidad de Gestión del Riesgo Operacional (UGRO): responsable de coordinar la transferencia de conocimientos a las gerencias (procesos, riesgos operacionales, conocimientos en seguridad de la información, seguridad física, diseño de procedimientos, entre otros). Asimismo, el rol de la UGRO será gestionar y monitorear la administración del riesgo operacional y promover el marco conceptual del riesgo operacional en el cual las gerencias deben administrar sus riesgos operacionales a través del desarrollo y monitoreo en concordancia con las políticas, estándares y metodologías (Manual de Riesgo Operacional), identificando y reportando el riesgo operacional en las gerencias. Funciones Generales: Desarrollar y comunicar las estrategias directivas de la CCLV para la administración del riesgo operacional. Proveer el apropiado marco de políticas para establecer los estándares mínimos de control dentro de los cuales la Organización debe administrar el riesgo operacional. Evaluar la efectividad de la administración del riesgo operacional dentro de las gerencias usando la metodología definida para la administración de riesgos y reportando los hallazgos a la Gerencia General, Comité de Riesgo y al Directorio. Desarrollar y mantener el entorno de trabajo y los reportes e indicadores de riesgo para lograr información más efectiva para la toma de decisiones, donde el costo de los controles está balanceado con el nivel de riesgo. Compilar los reportes relacionados al riesgo operacional, preparados por las gerencias. Identificar en conjunto con los champions y gerencias, los riesgos operacionales y recomendar las acciones mitigantes adecuadas, estableciendo los procedimientos formales para la gestión de riesgos en cada unidad de negocio, gerencias o proceso evaluado. Dar opinión experta en asuntos relacionados con riesgo operacional a las gerencias donde haya una clara oportunidad de dar valor agregado, por ejemplo, proyectos mayores, nuevas iniciativas, problemas específicos de riesgo. Identificar y diseñar, en conjunto con las gerencias, a través del champion designado, entrenamientos en riesgo operacional y un enfoque de difusión para promover una apropiada cultura de riesgo dentro de las gerencias. Evaluar el impacto ante cambios regulatorios en el modelo de gestión de riesgos implementado en la Organización. 15

16 Proveer una metodología o manual de riesgo operacional para las gerencias destinada a identificar riesgos de operación (por ejemplo, desarrollo del proceso para la aprobación de un nueva funcionalidad de un sistema de información de cara a los participes, identificando sus riesgos operacionales y acciones de mitigación, previo al lanzamiento de la nueva funcionalidad). Monitorear los cambios en los procesos o desarrollos de nuevos productos (servicios) que alteren el actual mapa de procesos dentro de la CCLV. Proponer cambios o modificaciones necesarios sobre el manual de gestión de riesgo operacional, para su evaluación y aprobación por parte de la Gerencia General y Comité de Riesgo. Monitorear e informar a los miembros del Directorio, Gerencia General y dueños de procesos, la gestión sobre los indicadores de riesgo definidos, la adecuada mantención de la documentación y registro de al menos los incidentes más significativos ocurridos en conjunto a las medidas de mitigación aplicadas, las cuales deben ser recolectadas e incorporadas a la base de datos de eventos de pérdida y a su vez, deben permanecer de libre para consulta al menos por un periodo de tiempo de 5 años Informar oportunamente, o a lo menos trimestralmente, a la Gerencia General sobre los procesos revisados, los resultados sobre la efectividad de los controles revisados, el estado de avance de los planes de mitigación acordados con los dueños de procesos, los incidentes registrados y la evolución de los indicadores diseñados para el monitoreo. Informar a los dueños de procesos sobre el resultado de la evaluación de gestión de riesgo operacional relativo a sus procesos, y adicionalmente debe informar sobre el estado de avance mensual de los planes de acción comprometidos. Champion de Gestión de Riesgo Operacional de las Gerencias: Cada gerencia de la Organización deberá definir en conjunto a la Gerencia de Riesgo, al responsable de la gestión de riesgos de la unidad de negocio o gerencia respectiva. Funciones Generales: Asegurar que la orientación de la gerencia respecto al riesgo operacional, sea consistente, cumpla con la estrategia de la CCLV y sea comunicada dentro de la unidad. 16

17 Implementar el entorno de políticas de la CCLV relativas a la administración de riesgo operacional dentro de los estándares mínimos de control definidos por la UGRO. Evaluar la efectividad de la administración de riesgo operacional dentro de las gerencias, usando la metodología provista por la UGRO. Identificar y reportar a la UGRO el nivel de cumplimiento de las políticas y estándares de riesgo operacional de la CCLV, por parte de las distintas gerencias. Implementar el entorno de trabajo y los procesos de reporte e indicadores de riesgo dentro de las gerencias. Identificar dentro de las gerencias los mayores riesgos y su concentración para determinar, comunicar e implementar los planes de mitigación adecuados, con responsabilidades claras, en conjunto a la UGRO. Cuando sea necesario, requerir asistencia a la UGRO para manejar asuntos específicos de riesgo operacional dentro de las gerencias. Desarrollar y mantener la difusión y habilidades para riesgo operacional dentro de las gerencias mediante boletines internos y/o capacitaciones en coordinación con la UGRO. Evaluar el impacto de los cambios regulatorios dentro de las gerencias reportando sus observaciones al gerente respectivo y a la UGRO. Asistir a la UGRO para evaluar e informar cualquier riesgo de operación así como la completa ejecución de cualquier acción subsiguiente para mitigar estos riesgos. Revisar la efectividad de los controles para mitigar los riesgos operacionales e identificar las potenciales oportunidades de reducción de costo o mitigación del riesgo dentro de las gerencias. Monitorear que los controles implementados dentro de las gerencias sean adecuados, apropiados y efectivos. Identificar y reportar cambios en los procesos o desarrollo de nuevos productos (servicios) dentro de las Gerencias que alteren el actual mapa de procesos dentro de la unidad de negocio. Recolectar y comunicar a la UGRO, la información de los eventos de riesgo materializados para ser incorporados en la base de datos de eventos de pérdida. 2. Cultura de Riesgos en la CCLV La Organización desarrollará su cultura de riesgo de manera tal que estimule el aprendizaje de la entidad, la mejora continua y la confianza para que cualquier miembro 17

18 comunique inmediatamente a sus jefaturas, luego de ocurridos y detectados: incidentes, errores, fallas, problemas, y eventos de riesgos que se materialicen ya sea que causen pérdidas o no. La Organización seguirá sistemática y secuencialmente los pasos para implementar la GRO dentro de la CCLV. Esto posibilitará la mejora continua en el proceso de toma de decisiones y la implementación del modelo de gestión de riesgo operacional en función de la presente política. La alta administración (Directorio, Comité de Riesgo, Gerencia General y Gerencias) se asegurará que al menos una vez al año, se lleve a cabo la revisión del sistema de GRO, para asegurar su continua mejora, conformidad y efectividad para satisfacer los requerimientos de los estándares internacionales usados como referencia, y de las políticas y objetivos de gestión de riesgos establecidos para la CCLV, llevando un registro de tales revisiones (por ejemplo; mediante auditorías, auto-evaluaciones, verificación de cumplimiento, monitoreo de incidentes y matrices de riesgos). 18

19 SECCION E: TERMINOS Y DEFINICIONES I. Definición de Riesgo: Se entenderá como riesgo, la posibilidad de que algún evento ocurra y afecte adversamente el logro de los objetivos. II. Definición de Riesgo Operacional: Para efectos de la presente política, se considerará la definición de riesgo operacional que entrega la SVS, en su Circular N 1.939, donde se señala Corresponde al riesgo de pérdida debido a la insuficiencia (inadecuación) o a la falla de los procesos, del personal y de los sistemas internos y/o de los controles internos aplicables o bien a causa de acontecimientos externos. Los riesgos operacionales aplicables a la CCLV están relacionados principalmente a la continuidad del negocio, la seguridad, el acceso a la información y al fraude interno. III. Definición de Riesgo Inherente: Es aquel que está incorporado o es intrínseco a la actividad que se desarrolla, abarca el impacto y la probabilidad de que una amenaza pueda afectar las capacidades de una organización de alcanzar sus estrategias o objetivos de negocio. Una amenaza es una acción o evento que podría potencialmente exponer a la empresa a un riesgo. IV. Definición de Riesgo Residual: Es aquel que queda después de considerar el entorno de control y de aplicar los mitigadores correspondientes. V. Definición de Riesgo Aceptado: Corresponde al nivel de riesgo que la CCLV está dispuesta a aceptar en concordancia con la política de gestión de riesgo operacional y sus responsabilidades establecidas en el marco legal que las rige. VI. Definición de Administración de Riesgo Operacional: Corresponde al proceso de identificación, medición, control y monitoreo del riesgo operacional de la CCLV que pueda afectar de forma adversa la consecución de sus obligaciones establecidas en el marco legal. Este proceso es aprobado, implementado y controlado por la Gerencia General de la entidad, teniendo presente las responsabilidades del Directorio, la administración, las unidades internas de supervisión y todo el personal de la misma. Este proceso forma parte integral de la política de gestión de riesgo operacional aprobada por el Directorio. VII. Definición de Política de Riesgo Operacional: Documento que busca orientar en forma coordinada los esfuerzos de la organización en función de la fundación y mantención del modelo de gestión de riesgo operacional. Buscando su desarrollo y 19

20 mantención continuo, en función del grado de madurez de la Organización en lo respectivo a su propio proceso de GRO. VIII. Definición de Manual de Riesgo Operacional: Manual de procedimiento formal para la gestión del riesgo operacional, que surge del proceso de administración del riesgo operacional sobre las distintas gerencias o procesos de la Organización. Este manual debe describir la etapa metodológica del la administración del riesgos operacional y los requerimientos de información e informes resultantes de la aplicación del modelo sobre la unidad de negocio respectiva, en concordancia al documento de política de administración de riesgo operacional aprobado por la CCLV. Su desarrollo es responsabilidad de la Gerencia General, sin perjuicio de delegar su desarrollo en la gerencia de riesgo. IX. Definición de Champion o Dueño del Proceso: Corresponde a aquella persona designada para hacerse responsable de la administración de un proceso y propiciar las mejoras a implementar en éste, este debe ser definido en conjunto por la gerencia respectiva y UGRO. X. Definición de Diagrama del Proceso: Corresponde a la representación esquemática de las secuencias de un proceso o subproceso mediante un flujograma y su descripción. El responsable de esta documentación es el dueño del proceso. XI. Definición de Factor de Riesgo: Causa raíz (elemento crítico o deficiencia interna) que puede causar la concreción de un evento. XII. Definición de Evento: Es la ocurrencia que puede generar uno o más daños (efectos) a la Organización. Al mismo tiempo, esto puede provocar una la concreción de una serie de eventos de riesgo correlacionados. Los eventos pueden ser clasificados según la tipología de riesgos en documento manual de gestión de riesgo operacional. XIII. Definición de Efecto: Es el impacto, pérdida o daño causado por la concreción de un evento de riesgos. Hay diferentes tipos de efectos, estos son de origen económico y no económico (efecto reputacional entre otros). XIV. Definición de Dimensión Organizacional: Permite identificar en donde ocurre el evento, quien sufre la pérdida o impacto y quien es responsable de influir sobre la causa de riesgo o factor de riesgo que genera la pérdida. 20

21 XV. Definición de Plan de Mitigación: Es la estructura resultante del análisis de tratamientos sobre los riesgos de un proceso, función o actividad. Enfocado a elaborar un conjunto de acciones que en sí ejercerán y se abocarán a disminuir la probabilidad y/o el impacto de ocurrencia del riesgo analizado. XVI. Definición de Matriz de Riesgos y Controles: Corresponde a una herramienta a través de la cual se consolidan los riesgos inherentes de un proceso o subproceso (eventos de riesgo), su evaluación, los controles asociados junto a su efectividad y el nivel de riesgo residual con el objetivo de priorizar, orientar y focalizar el tratamiento de riesgo. Además, se incluye información relativa a los factores de riesgo (o causa raíz) de cada evento, el efecto alcanzado o impacto económico y la dimensión organizacional o unidad de negocio responsable y afectadas por la concreción del evento de riesgo. Esta información es sumamente útil para el proceso de autoevaluación y definición de planes de acción o mitigación. Definición de Tipos de Eventos 1 de Riesgos: i. Fraude interno (Actividades no autorizadas y Hurto- fraude interno). Pérdidas debidas a actos, de tipo intencional, para defraudar, apropiarse indebidamente o evitar reglamentaciones, leyes o políticas de CCLV, excluyendo eventos de discriminación, que involucren por lo menos a una parte interna ii. Fraude externo (Seguridad de los Sistemas y Hurto y fraude externo). Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o a soslayar la legislación, por parte de un tercero. iii. Relaciones laborales y seguridad en el puesto de trabajo (Relaciones laborales, ambiente de trabajo, discriminación). Se incluye pérdidas relacionadas con la gestión de recursos humanos (por ejemplo despidos improcedentes), prácticas discriminatorias y multas e indemnizaciones como consecuencia del incumplimiento de la normativa laboral (por ejemplo accidentes laborales) iv. Prácticas con clientes, productos y negocios (Adecuación, divulgación de información y confianza- Prácticas empresariales o de mercado improcedentes- Productos o servicios defectuosos- Selección, patrocinio y riesgos- Actividades de asesoramiento): Pérdidas que surgen de negligencia o incumplimiento no 1 Tipología de eventos de riesgos desarrollada en documento acuerdo de Basilea II. 21

22 intencional de obligaciones profesionales con clientes específicos (incluyendo requerimientos fiduciarios y de adecuación) o que surjan de la naturaleza o diseño de un producto. v. Daño a activos materiales (Desastres y otros eventos) Incluye toda pérdida originada por daños sufridos en activos materiales de la entidad. Se incluyen los costes relacionados con eventuales pérdidas humanas por causas externas (desastres naturales o actos de terrorismo y vandalismo) vi. Incidencias en el negocio y fallos en los sistemas (Sistemas) Pérdidas causadas por fallos en los sistemas informáticos de la entidad. vii. Ejecución, entrega y gestión de procesos (Recepción, ejecución y mantenimiento de operaciones- Seguimiento y presentación de informes- Aceptación de clientes y documentación- Gestión de cuentas de clientes- Contrapartes comerciales- Distribuidores y proveedores) Pérdidas derivadas de errores en el procesamiento de transacciones o en la gestión de procesos, relaciones con contrapartes comerciales y proveedores. 22

23 SECCION F: CRITERIOS DE DEFINICION DE RIESGO ACEPTADO El riesgo aceptable para la CCLV será aprobado por el Directorio (a propuesta del Comité de Riesgo). El cálculo de riesgo aceptado corresponderá a una decisión informada de aceptar la probabilidad e impactos de una categoría de riesgos en particular. La metodología de GRO, presente en el manual de riesgo operacional, definirá los elementos que permitirán a la organización proponer el riesgo aceptable, de forma tal que los riesgos definidos como razonables y/o tolerables por la organización sean el resultado del equilibrio entre la precisión, los recursos, el tiempo, la complejidad y la valorización de las consecuencias subjetivas. El Comité de Riesgo recibirá una propuesta de riesgo aceptable de parte de la Gerencia de Riesgo, quien a su vez y a partir de los gerentes de cada área y la UGRO, contarán con una definición tanto de la probabilidad como del impacto tolerable, en alineamiento a los planes estratégicos de la organización, para así generar el rendimiento deseado sobre los recursos invertidos. Por lo tanto, la definición del nivel de riesgo aceptable para la CCLV como entidad, corresponderá a una decisión informada de aceptar la probabilidad e impactos. En resumen, el riesgo aceptado es el volumen de riesgo, a un nivel amplio, que la CCLV está dispuesto a aceptar en su búsqueda de generación de valor. Se relaciona directamente con su estrategia, debido a que el rendimiento deseado de la estrategia debe estar alineado con el riesgo aceptado en la Empresa. 23

24 SECCION G: CRITERIOS DE EVALUACION Y TRATAMIENTO DE RIESGOS Los criterios de evaluación de riesgos definidos en función de mejores prácticas internacionales y la realidad operacional de la CCLV, están definidos en función del impacto económico de la concreción del evento de pérdida y la probabilidad de materialización de este. A continuación se entrega una definición de las dimensiones utilizadas. Probabilidad de materialización: Se define como la probabilidad de ocurrencia del evento o grupo de eventos bajo análisis, en el marco de un año de operación del proceso o unidad de negocio bajo evaluación. Impacto: Se define como el impacto económico (cualitativo o cuantitativo) producto de la concreción de la ocurrencia de un evento o grupo de eventos bajo análisis. Los impactos son determinados en relación con el logro de objetivos del proceso o unidad de negocio en estudio. Para evaluar cualitativa o cuantitativamente el impacto y la probabilidad, se utilizarán tablas para la clasificación del estatus de riesgo de cada evento, que permitan evaluar el nivel de exposición al riesgo en los procesos o gerencias en estudio. El desarrollo del proceso de evaluación se detalla en el manual de riesgo operacional de la Organización. Luego de realizada la evaluación de los riesgos mediante la determinación de impacto y probabilidad de ocurrencia del evento, se deben determinar planes de de mitigación que pueden contar con distintos tipo de tratamiento al riesgo identificado. Estos tipos de tratamiento de los riesgos, involucra identificar el rango de opciones potenciales, evaluar cada una de esas opciones y preparar planes de mitigación para el tratamiento de los riesgos e implementarlos. Algunas técnicas para el tratamiento de riesgos que puede utilizar la Organización, son 2 : Evitar o reducir la Probabilidad Evitar o reducir el Impacto Evitar el Riesgo Externalizar y/o Transferir Mantener el Riesgo 2 Para mayor detalle sobre el tratamiento de riesgos, referirse a Manual de Gestión de Riesgo Operacional 24

25 Al momento de evaluar opciones de tratamientos para los riesgos, éstas deberían ser evaluadas sobre la base de un análisis costo beneficio, en donde la selección de la opción más apropiada involucra balancear el costo de implementar cada opción contra los beneficios derivados de la misma. 25

26 SECCION H: ATRIBUCIONES La UGRO y los responsables máximos de las gerencias involucradas, deberán analizar los niveles de exposición actual, por lo tanto, deberán adoptar decisiones o generar planes de acción para mitigar sus riesgos en función de las atribuciones establecidas al interior de la CCLV y detalladas en el presente política. Estas acciones permitirán disminuir el nivel de exposición identificado, evaluado y establecido. Es importante considerar en esta etapa, el costo-beneficio de generar un plan de acción para disminuir el nivel de exposición. En caso que el costo de desarrollo o implementación sea mayor a la autonomía de aprobación del gerente responsable, se requiere de la aprobación del Comité de Riesgo o de la unidad o gerencia que defina la Organización para estos efectos. 26

27 SECCION I: EXCEPCIONES A LA POLITICA El máximo responsable de gerencia de la empresa que solicite algún tipo de excepción a la política, deberá someterla a análisis y aprobación por parte del Comité de Riesgo, quien se pronunciará al respecto luego de evaluar la solicitud. Las políticas escritas no deben ser sustituidas por juicios de valor. La ausencia de políticas escritas sobre un determinado tema o materia no debe ser usada como excusa y/o justificativo de juicios de valor que no cumplan con el propósito de la presente política. 27

28 SECCION J: NORMAS DE DIFUSION Y CONTROL DE VERSIONES La presente política, al igual que las versiones posteriores que puedan existir de la misma, deben ser comunicadas a todas las áreas y miembros de la Organización, utilizando para ello un medio accesible y confiable, y asegurándose de la correcta recepción y entendimiento de ella. Adicionalmente, es necesario señalar que cualquier cambio o actualización de la presente política, la cual pudiese producirse debido a cambios en el entorno de negocios, estructura organizacional o por cualquier otro motivo, debe ser revisado por el Comité de Riesgo y Gerencia General de la CCLV y presentado para su aprobación al Directorio. A su vez, se recomienda que la política cuente con una revisión anual del Comité de Riesgo y la Gerencia General de la Organización y su respectiva aprobación del Directorio. 28