Empresas Hites S.A. DGIR-POL-01 POLÍTICA CORPORATIVA DE GESTION INTEGRAL DE RIESGOS ELABORÓ: GONZALO ASTUDILLO ENCINA JOAQUÍN PÉREZ URBINA Gerencia de Auditoría Interna REVISÓ: COMITÉ DE DIRECTORES EMPRESAS HITES S.A. AUTORIZÓ: DIRECTORIO EMPRESAS HITES S.A. FECHA: 15/10/2015 FECHA: 27/10/2015 FECHA: 31/03/2016 VIGENTE A PARTIR DE: 01 de Abril de 2016
Tabla de contenido 1. OBJETIVO.... 3 2. ALCANCE.... 3 3. DEFINICIONES.... 3 4. DECLARACIONES DE LA POLÍTICA.... 4 5. CONSIDERACIONES ESPECÍFICAS.... 5 5.1. De la Clasificación de los Riesgos.... 5 5.2. Del Gobierno de la Gestión de Riesgos Estratégicos.... 5 5.3. Apetito por Riesgo... 5 6. MONITOREO Y ADMINISTRACIÓN... 6 7. APROBACIÓN Y ACTUALIZACIÓN... 6 8. PUBLICACIÓN Y DIFUSIÓN... 6 ANEXO N 1: EVALUACIÓN DE RIESGO Y UMBRALES DE GESTIÓN.... 7 A. Matriz de Impactos... 7 B. Probabilidad de Ocurrencia.... 8 C. Evaluación de Riesgo: Combinación de Impacto y Probabilidad.... 8 REGISTRO DE APROBACIÓN... 9 Política de Gestión Integral de Riesgos Página: 2 de 9
1. OBJETIVO. Definir los lineamientos generales para la implementación de la Gestión de Riesgos en Empresas Hites, fortaleciendo esta capacidad de gestión en las empresas y áreas relevantes que la componen, de modo de dar apropiada respuesta a aquellos riesgos con el potencial de amenazar el logro de sus objetivos estratégicos. 2. ALCANCE. Esta Política se aplica a todas las compañías integrantes del holding de Empresas Hites S.A, y a todos los niveles, gerencias, áreas y/o actividades que las integran, en cuyos procesos se identifiquen riesgos con el potencial de afectar el cumplimiento de los objetivos estratégicos de la Compañía. Es decir, en su aplicación se debe tener en cuenta que los esfuerzos de gestión siempre priorizarán los riesgos de mayor importancia, manteniendo un sistema simple de implementar y monitorear. Esta Política, no inhibe la existencia de otras políticas que apliquen a áreas específicas de riesgo, como las Operacionales, las de Crédito o las de Liquidez, sin embargo las políticas específicas estarán subordinadas a los lineamientos generales de la presente política. Si hubiere conflicto en materias específicas, primarán los preceptos de las políticas específicas. 3. DEFINICIONES. Para los fines de esta Política, los siguientes conceptos básicos tendrán el significado que a continuación se indica: Riesgo estratégico: Potencial de incertidumbre significativa sobre la consecución de la Misión, los objetivos estratégicos de la compañía, y el cumplimiento de sus Políticas Relevantes. El riesgo se mide por la probabilidad de ocurrencia del evento, combinada con la estimación de su impacto. Riesgo inherente: Es el riesgo puro que enfrenta una organización en ausencia de acciones definidas e implementadas por la administración, para modificar su probabilidad o impacto (antes de controles y/o mitigaciones requeridos). Gestión de Riesgos Estratégicos: Conjunto de actividades, estructuras e instancias coordinadas para la identificación, análisis, evaluación y respuesta a los riesgos estratégicos, dada esta última en la forma de transferencia (seguros), controles y/o mitigaciones. Riesgo Residual: Es aquel que permanece después de las acciones definidas e implementadas por la administración, para modificar la probabilidad o impacto de los riesgos identificados. Apetito por Riesgo: Es una ponderación de alto nivel, respecto de cuánto riesgo el Directorio y la administración están dispuestos a asumir en la persecución de los objetivos del negocio. Política de Gestión Integral de Riesgos Página: 3 de 9
Tolerancia al Riesgo: Es el nivel aceptable de variación del riesgo, en relación a la consecución de los objetivos del negocio, considerando como valor esperado, el Apetito de Riesgo. Probabilidad de Ocurrencia: Posibilidad de que un evento ocurra dentro de un período determinado de tiempo. Es decir, es la frecuencia estimada con que dicho evento puede aparecer, cuantitativa y/o cualitativamente determinada. Impacto o Consecuencia: Resultado de la materialización de un evento que afecta en forma negativa o positiva a los objetivos de la compañía. Estos impactos pueden ser económicos y/o de otras índoles. Controles y Mitigaciones: Medidas que la administración debe adoptar para reducir la probabilidad de ocurrencia o los potenciales efectos de la materialización de un riesgo, cuando la evaluación del mismo así lo exige. 4. DECLARACIONES DE LA POLÍTICA. Los siguientes enunciados definen los tipos de conducta que la compañía espera sea observada en la Gestión de Riesgos, por todos los mencionados en el alcance: 1. El Directorio es responsable de requerir y monitorear la mantención de un sistema de gestión de riesgos, definiendo los niveles de riesgo tolerables para los accionistas, entregando a la administración sus directrices y adecuadas atribuciones para la operación efectiva del sistema, e informándose periódicamente de los resultados de dicha operación. 2. La Gerencia General, las Gerencias Divisionales y toda la administración es responsable por la implementación y operación del sistema de gestión de riesgos, incluyendo su obligación de rendir cuenta por ello al Directorio, o a otras instancias del gobierno corporativo que éste defina. De ser requerido, la administración será también responsable por reportar sobre esta gestión al regulador o a otros stakeholders, con veracidad e integridad. 3. Empresas Hites exige a sus colaboradores un alto estándar de cumplimiento ético y regulatorio, protegiendo el valor de su imagen corporativa, y por lo tanto se requiere que toda la organización considere en sus evaluaciones de riesgo, el potencial de fraude, de corrupción, u otras conductas anti éticas, que puedan dañar la reputación de la compañía. 4. Empresas Hites aprecia la necesidad de una evaluación sistemática y continua de los riesgos asociados a la operación de sus procesos más relevantes, y conforme a ello se requiere una metodología y un gobierno del riesgo que la administración estructure para facilitar una eficiente evaluación de sus riesgos, a partir de métricas consistentes y comparables. 5. La compañía valora contar con una gestión de riesgos regulada e integrada, a partir de una metodología que asigne a los eventos una Probabilidad de Política de Gestión Integral de Riesgos Página: 4 de 9
Ocurrencia y un Impacto, permitiendo así evaluar de manera homogénea en todos sus procesos relevantes o críticos, los potenciales efectos y los umbrales que determinan la necesidad de implementar acciones de mitigación (ver Anexo N 1). 6. Empresas Hites concibe la gestión de riesgos como elemento clave de un de un sólido Sistema de Control Interno y de un buen Gobierno Corporativo, de modo que la administración permanecerá evaluando la calidad de las prácticas implementadas, corrigiéndolas cuando sea necesario para otorgar certidumbre a sus inversionistas, clientes y otros interesados en la marcha de los negocios de la compañía. 7. La Compañía considera relevante el uso de adecuadas tecnologías de la información en la gestión de riesgos, para cautelar la eficiencia en la recopilación controlada y el debido resguardo de la información que surge del proceso de gestión de riesgos y que sustenta las decisiones de administración. 5. CONSIDERACIONES ESPECÍFICAS. 5.1. De la Clasificación de los Riesgos. La clasificación de los riesgos será gobernada por una Metodología de Gestión de Riesgos, la que deberá contemplar al menos las siguientes de categorías de riesgos: a) Riesgos Estratégicos. b) Riesgos Operacionales. c) Riesgos Financieros y de Información. d) Riesgos de Cumplimiento. La clasificación establecida será considerada al momento de estructurar las Matrices de Riesgos de cada uno de los procesos o áreas que trabajarán en su identificación, evaluación y respuesta. 5.2. Del Gobierno de la Gestión de Riesgos Estratégicos. Para satisfacer los principios 2 al 4 de la presente Política, la administración implementará los diseños organizacionales razonablemente requeridos, para contar con un esquema de Gobierno de la Gestión de Riesgos que garantice la continuidad del proceso, y facilite al Directorio el cumplimiento de las responsabilidades que le atribuye el principio n 1 de esta Política. 5.3. Apetito por Riesgo La definición y cuantificación del Apetito por Riesgo será revisada periódicamente por la administración y aprobada por el Directorio de Empresas Hites S.A., siempre atendiendo a que existe un marco de riesgo propio del negocio, y considerando las siguientes premisas básicas o barreras que no pueden ser trasgredidas, bajo ningún pretexto: a) Jamás vulnerar el Cumplimiento Regulatorio o la Ética Corporativa. Política de Gestión Integral de Riesgos Página: 5 de 9
b) No defraudar a nuestros Clientes u otros Stakeholders, por faltas deliberadas de transparencia de información. c) No incurrir voluntariamente o aprobar prácticas que afecten el patrimonio o la reputación de la Compañía o sus accionistas. d) Cumplir los compromisos asumidos con autoridades o reguladores. En este sentido, el Apetito por Riesgo de Empresas Hites se define en el valor 7, con una tolerancia al riesgo de ± 2. La valoración de este Apetito y Tolerancia, se hará en función del Riesgo Residual (RR) en la forma señalada en la letra C del Anexo 1 de esta Política. 6. Monitoreo y administración El monitoreo del conocimiento y aplicación de esta política se realizará con la periodicidad que establezcan los sistemas de gobierno definidos por la administración, con el fin de comprobar la efectividad de los procedimientos adoptados y verificar que la Gestión Integral Riesgos es adecuada, eficaz y suficiente. Cada División será responsable de velar por el conocimiento y cumplimiento de esta Política. La unidad responsable de controlar la aplicación de la política y sus procedimientos será la Jefatura de Riesgo y Cumplimiento, como responsable de la Gestión Integral de Riesgos, gestión que incluye a los riesgos de cumplimiento. 7. Aprobación y Actualización Con el fin de mantener la efectividad de esta Política, ella deberá ser revisada al menos cada 36 meses contados desde su última actualización, a menos que se presenten cambios en la organización o en las operaciones que demanden su revisión anticipada. 8. Publicación y Difusión La presente política será publicada y distribuida al Directorio, Gerente General, Gerentes de División, Gerentes y Subgerentes, así como a todas las áreas de Empresas Hites que resulten pertinentes, y a terceras partes que deban estar en conocimiento, de acuerdo a lo establecido por la propia política, los procedimientos de la Compañía y por la regulación aplicable. Política de Gestión Integral de Riesgos Página: 6 de 9
Anexo N 1: Evaluación de Riesgo y umbrales de gestión. A. Matriz de Impactos El instrumento definido por Empresas Hites para la evaluación del Impacto de sus riesgos es la Matriz de Impactos, la que se presenta a continuación: Matriz Magnitud de Impacto Tipo de Impacto Catastróficos (5) Alto (4) Medio (3) Bajo (2) leve (1) Regulatorio - Legal Interrupción mayor de la autorización, o suspensión indefinida o cancelación de la autorización de operación. Sanciones que interrumpen la Sanciones y/o multas de autorización para operar la autoridad. de tiendas o sucursales, por hasta 10 días. Advertencia o amonestación formal. Eventual notificación no onerosa de la autoridad, o recomendación informal y amigable. Económico [En US$ MILLONES] Pérdida potencial superior a US$ 25 millones Pérdida potencial entre US$ 10 y 25 millones Pérdida potencial entre US$ 5 y 10 millones Pérdida potencial entre US$ 2 y 5 millones Pérdida potencial de hasta US$ 2 millones Deterioro de la Imagen Corporativa Impacto mediático en prensa nacional e internacional, daño improbable de revertir, o de mitigación en varios años. Impacto mediático a nivel regional y nacional, crítica generalizada de contrapartes, requiere gran esfuerzo de mitigación a más de 1 año plazo. Incidente destacado en medios locales, descontento de clientes, autoridades u otros interesados, mitigación en meses. Incidente con figuración en los medios locales. Descontento de partes interesadas que puede ser atenuado en semanas. Incidente sin figuración en prensa, efectos pueden controlarse rápidamente. Deterioro Servicio al Cliente (Fidelización) Evento impide satifacer la demanda de nuestros clientes, por más de una semana. Evento afectaría la capacidad de satifacer la demanda de la mayoría de nuestros clientes, por varios días. Evento podría afectar la capacidad de satifacer oportunamente a un grupo o segmento de clientes. Un grupo reducido de Sólo algunos de nuestros clientes podría resultar clientes podrían resultar insatisfecho insatisfechos o molestos. eventualmente. Efectos en las personas Áreas críticas están en conflicto con la empresa y han paralizado. Muerte de 1 o más personas. Áreas críticas están en conflicto con la empresa y advierten paralización. Lesiones con incapacidad permanente de 1 o más personas. Manifiesto descontento del personal y posible paralización. Lesiones con incapacidad temporal de 1 o más personas. Pocos empleados han levantado quejas formales. Lesiones leves de 1 o más personas con tiempo perdido. Quejas informales de los empleados. Accidentes menores sin tiempo perdido. Política de Gestión Integral de Riesgos Página: 7 de 9
B. Probabilidad de Ocurrencia. Para la evaluación de la probabilidad de ocurrencia de un determinado evento de riesgo, Empresas Hites define el siguiente cuadro como instrumento de valorización: 1. Remota 2. Poco Probable 3. 4. Probable 5. Muy Probable Se puede presentar en circunstancias extremas o en condiciones muy particulares. Dentro de un ciclo normal de operación no se ha presentado, pero podría llegar a ocurrir, si se genera un contexto particular. Ha ocurrido anteriormente, dentro de un contexto de operación normal y en un ciclo de operación habitual. Dentro de un ciclo de operación, se ha materializado como evento relativamente frecuente, dentro de las condiciones normales de operación. En el contexto de operación normal del proceso, es altamente frecuente la ocurrencia de un evento de esta categoría. C. Evaluación de Riesgo: Combinación de Impacto y Probabilidad. Se define Riesgo como el producto entre la probabilidad de ocurrencia de un determinado evento y el impacto que éste genera para la organización, de acuerdo con lo siguiente: ( ) Riesgo Residual (RR) = R impacto de la efectividad de los controles. El impacto de la efectividad de los controles, se medirá en la forma que determine la Metodología de Análisis y Evaluación de Riesgos. El Riesgo Residual (RR) será evaluado en el siguiente Mapa, y se deberán arbitrar acciones adicionales a los controles normales, cuando el RR se ubique en la zona alta o extrema: Muy Probable (5) 5 10 15 20 25 Probable (4) 4 8 12 16 20 (3) 3 6 9 12 15 Poco Probable (2) 2 Baja 4 6 8 10 Remota (1) 1 Baja 2 Baja 3 4 5 Probabilidad Impacto Leve (1) Bajo (2) Medio (3) Alto (4) Catastrófico (5) Política de Gestión Integral de Riesgos Página: 8 de 9
La compañía priorizará sus esfuerzos en la gestión de aquellos riesgos residuales que se encuentren por sobre el Apetito por Riesgo, valorado en Riesgo Residual = 7, aunque con una Tolerancia de Riesgo de ± 2. Es decir, un RR valorado en 9 podría no requerir gestiones adicionales a los controles ya implementados, cuando la administración así lo considere razonable. Al contrario, un RR valorado en 5 puede requerir tales gestiones adicionales, cuando la administración lo considere razonable en atención a la severidad del impacto esperado, o a lo elevado de la probabilidad de ocurrencia. Registro de Aprobación La presente política fue confeccionada, revisada y aprobada por los firmantes a continuación identificados: ELABORÓ: GONZALO ASTUDILLO ENCINA JOAQUÍN PÉREZ URBINA Gerencia de Auditoría Interna REVISÓ: COMITÉ DE DIRECTORES EMPRESAS HITES S.A. AUTORIZÓ: COMITÉ DE DIRECTORES EMPRESAS HITES S.A. 15 de Octubre de 2015 Fecha de Acta de Revisión 27 de Octubre de 2015 Fecha de Acta de Aprobación 31 de Marzo de 2016 Política de Gestión Integral de Riesgos Página: 9 de 9