POLÍTICA DE GESTIÓN DE RIESGO OPERACIONAL … · 2011-12-27 · consideran los indicadores claves...

POLÍTICA DE

GESTIÓN DE RIESGO OPERACIONAL

Enero de 2011

CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl

2

ÍNDICE

SECCION A: ANTECEDENTES GENERALES .............................................................. 3 1. OBJETIVO ................................................................................................ 3 2. ALCANCE ................................................................................................ 4 3. ACERCA DE ESTE DOCUMENTO .......................................................... 5

SECCION B: BASE CONCEPTUAL .............................................................................. 6 1. PILARES DE LA ADMINISTRACIÓN DE RIESGO OPERACIONAL ....... 6 2. COMPONENTES DE LA ADMINISTRACIÓN DE RIESGO OPERACIONAL ................................................................................................................ 6

SECCION C: MEJORES PRACTICAS ........................................................................... 8 1. DESARROLLAR UN AMBIENTE APROPIADO ....................................... 8 2. ADMINISTRACIÓN DEL RIESGO ............................................................ 8 3. ROL DE LOS SUPERVISORES ............................................................... 9 4. ROL DE EXPOSICIÓN ............................................................................. 9

SECCION D: ESTRUCTURA ORGANIZACIONAL ...................................................... 10 1. ROLES Y RESPONSABILIDADES ........................................................ 10 2. CULTURA DE RIESGOS EN LA CCLV ................................................. 17

SECCION E: TERMINOS Y DEFINICIONES ................................................................ 19

SECCION F: CRITERIOS DE DEFINICION DE RIESGO ACEPTADO ........................ 23

SECCION G: CRITERIOS DE EVALUACION Y TRATAMIENTO DE RIESGOS ......... 24

SECCION H: ATRIBUCIONES ..................................................................................... 26

SECCION I: EXCEPCIONES A LA POLITICA ........................................................... 27

SECCION J: NORMAS DE DIFUSION Y CONTROL DE VERSIONES ....................... 28


3

SECCION A: ANTECEDENTES GENERALES

CCLV, Contraparte Central S.A. (CCLV) es una sociedad anónima regulada por la Ley N°

20.345 sobre sistemas de compensación y liquidación de instrumentos financieros, y su

objetivo, obligaciones, funcionamiento, creación y exigencias son únicos y propios de su

particular naturaleza. La fiscalización de la Superintendencia de Valores y Seguros (SVS)

a que está sometida y la regulación que se le aplica, legal y administrativamente, son

estrictas y especiales, justificadas por los valores e intereses en juego y por la reserva

propia de la actividad. En este sentido, la SVS ha emitido la circular N° 1.939, la cual

instruye sobre la implementación de la Gestión de Riesgo Operacional (GRO) en las

entidades de depósito y custodia de valores y en las sociedades administradoras de

sistemas de compensación y liquidación de instrumentos financieros.

La GRO y sus mecanismos de control han probado ser de gran importancia en

instituciones de depósito y custodia de valores, en sociedades administradoras de

sistemas de compensación y liquidación de instrumentos financieros y en otras entidades

de la industria financiera a nivel nacional e internacional. Dada la relevancia sistémica del

mercado de valores, la CCLV formaliza en el presente documento, la estructura,

metodología y principios para lograr una adecuada administración de sus riesgos

operacionales en concordancia al cumplimiento de la circular N° 1.939 emitida por la SVS

y mejores prácticas internacionales.

La estructura organizacional que soporta la GRO se sustenta en: los responsables y

ejecutores de los procesos, quienes son los gestores primarios del riesgo; el Área o

Unidad de Gestión de Riesgo Operacional (UGRO), encargada de la gestión y monitoreo

del riesgo operacional; el Comité de Riesgo, encargado de su revisión; el Directorio,

aprobando el establecimiento del modelo; y Auditoría Interna, responsable de evaluar la

efectividad de la implementación de las políticas de riesgo operacional. De esta forma, la

GRO se aplica consistentemente a través de todos los niveles de gestión, como parte

integrante del conjunto de políticas y directrices estratégicas del CCLV. Por tanto, todas

las gerencias y el personal deben integrarse y aplicar los procedimientos y prácticas de

gestión de riesgos dentro de sus actividades diarias.

1. Objetivo

A través de la presente política de gestión de riesgo operacional y en concordancia a la

circular N° 1.939 emitida por la SVS y mejores prácticas internacionales, la CCLV

pretende orientar en forma coordinada sus esfuerzos y lograr, en función del grado de

madurez de la Organización en su proceso de GRO, los siguientes puntos:


4

Asegurar razonablemente, en forma consistente y sistemática que los riesgos

operacionales de la CCLV sean identificados, evaluados, tratados,

monitoreados y comunicados.

Disminuir las pérdidas catastróficas no esperadas y minimizar las pérdidas

esperadas. Entendiendo como pérdidas no esperadas aquellas por sobre el

promedio (Pérdida Esperada) o con una menor probabilidad de ocurrencia, en

consecuencia, en términos de un modelo Value at Risk(VaR) la pérdida no

esperada se define como VaR-Pérdida Esperada.

Asegurar que los indicadores claves de desempeño de la CCLV incluyen o

consideran los indicadores claves de riesgos, los cuales identifican los factores

que originan el riesgo de negocio, obtenidos al aplicar los procesos de GRO.

Mitigar de forma razonable los principales riesgos operacionales a los que está

expuesta la Organización y sus objetivos de negocio, dadas las características

propias de ésta, así como también las del entorno en que se desempeña.

2. Alcance

La presente política considera los riesgos operacionales propios de los procesos y

actividades desarrolladas al interior de la CCLV, en donde se hace necesario el

entendimiento, compromiso y disposición de todas las áreas y personal de la

organización, en forma independiente de su nivel jerárquico, función o localización.

Además, y en concordancia al artículo 9° de la ley N° 20.345, la política de gestión de

riesgo será establecida por el Directorio de la CCLV, considerando las propuestas

emitidas por el Comité de Riesgo y será difundida tanto al ente regulador como al interior

de la Organización.

El alcance definido para la GRO en la CCLV se basará en los siguientes principios claves:

1. La GRO es responsabilidad de todos: todo el personal de CCLV tiene

responsabilidad en la GRO, Directorio, gerencias y empleados; sin embargo, son

los dueños de proceso o champion de riesgo, los encargados de asegurar la

aplicación, mantención y seguimiento de las distintas políticas, normas y

procedimientos definidos para el cumplimiento de los objetivos de cada proceso,

en concordancia con la UGRO al interior de la Organización.

2. La GRO estará integrada dentro de todas las actividades y sistemas de la

organización, formando parte también en el proceso de planificación estratégica de

la CCLV.


5

3. La GRO se integrará en los planes, programas, procesos y actividades diarias que

realizan tanto las unidades como las personas de la CCLV, que se incluyan dentro

del alcance definido en el marco estratégico, organizacional y de gestión de

riesgos.

4. La aplicación sistemática de la GRO se hará sobre análisis fundados, haciendo

uso efectivo y eficiente de los recursos de la CCLV. Aquellos riesgos que luego de

ser valorizados mediante la metodología de riesgo operacional definida, resulten

en un nivel de riesgo no aceptable por la CCLV, serán incorporados dentro de los

planes de acción.

5. El progreso en la gestión de los riesgos definidos en el punto anterior será

monitoreado continuamente por el Directorio, Gerencia General, Gerencias de

área responsables y la UGRO, según corresponda, basado en la metodología

adoptada por el CCLV, cuya aplicación será evaluada por la función de Auditoría

Interna.

3. Acerca de este documento

La presenta política fue confeccionada con la asesoría de la empresa consultora Deloitte.


6

SECCION B: BASE CONCEPTUAL

Para la elaboración de esta política, se ha considerado la Ley N° 20.345, la normativa

que emite la SVS, principalmente su circular N° 1.939 que “Instruye sobre la

implementación de la gestión de riesgo operacional en las entidades de depósito y

custodia de valores y en las sociedades administradoras de sistemas de compensación y

liquidación de instrumentos financieros” y mejores prácticas internacionales para la

definición e implementación de modelos de gestión de riesgo operacional.

1. Pilares de la Administración de Riesgo Operacional

La gestión de riesgo operacional en la CCLV incluirá cuatro pilares claves:

(i) Gestión de Riesgos; considera la evaluación, tratamiento y monitoreo de los

riesgos en forma proactiva, diseñando e implementando controles preventivos

para evitar la ocurrencia de eventos que impacten los objetivos de la CCLV.

(ii) Gestión de Seguridad de la Información; considera el enfoque bajo el cual la

CCLV busca lograr la confidencialidad, integridad y disponibilidad de todos

aquellos elementos de Información (Sistemas, archivos, Bases de Datos,

Personas, etc.) que la CCLV tiene catalogados como críticos.

(iii) Gestión de Continuidad Operacional; en caso de ocurrir eventos de riesgo

adverso, se busca mitigar los efectos y mantener sin interrupción los procesos

críticos y la disponibilidad de todos los componentes claves de la CCLV

necesarios para su operación.

(iv) Gestión sobre Actividades Tercerizadas; Las operaciones de la CCLV se

encuentran fuertemente sustentadas por procesos tecnológicos, lo que implica

un desafío importante en cuanto a los sistemas de información requeridos, en

consecuencia, los riesgos inherentes de procesos críticos que se encuentren

ligados a actividades realizadas por terceras partes, deben ser reconocidos

como responsabilidad final de la CCLV. Por lo tanto, la Empresa debe

considerar en forma específica en su estrategia de administración de riesgo, la

gestión de los riesgos asociados a actividades tercerizadas, participando en

forma permanente en el control y monitoreo de dichas actividades.

2. Componentes de la Administración de Riesgo Operacional

Junto a los pilares de la administración de riesgo operacional, deben considerarse

algunos componentes claves para una adecuada implementación del modelo, los cuales

se detallan a continuación:


7

Existencia de tres líneas de acción sobre los riesgos operacionales: Unidad de

Riesgo Operacional, Champion de Riesgo Operacional y Auditoría Interna

como ente independiente.

Se debe registrar la ocurrencia de los riesgos operacionales donde éste se

materializa y que puedan ser monitoreados por las líneas de acción.

La Organización debe contar con un centro de excelencia (Unidad o Función

de Riesgo Operacional) que permitan añadir valor al negocio, implementando

un enfoque común, dando asistencia a las líneas de negocio y administrando la

exposición al riesgo operacional de la CCLV.

Auditoría Interna es responsable en forma independiente de asegurar que el

proceso de administración de riesgo operacional sea apropiado y funcional

conforme se ha diseñado.

Se deben mantener actualizadas las prácticas de la administración de riesgo

operacional.

La naturaleza del riesgo operacional, implica que las Gerencias son

preliminarmente responsables por la administración de éste.

El presente documento debe contar con la revisión del Comité de Riesgo y la

aprobación del Directorio de la CCLV, en tal sentido, cualquier modificación

deberá también tener dicho nivel de revisión y aprobación.

Es importante para el éxito en la gestión de riesgo operacional al interior de la

CCLV, difundir las mejores prácticas de Administración de éste, contenidas en el

presente documento en toda la Organización.


8

SECCION C: MEJORES PRACTICAS

1. Desarrollar un Ambiente Apropiado

Principio 1: El Directorio debería ser consciente de los aspectos principales de los

riesgos operativos de la CCLV como una categoría de riesgo distintiva y

administrable y debería aprobar y revisar periódicamente la estrategia de riesgo

operativo de la CCLV, la que debería reflejar la tolerancia de la CCLV al riesgo y

su comprensión de las características específicas de esta categoría de riesgo. El

Directorio también debería ser responsable por la aprobación del esquema básico

de la estructura para administrar el riesgo operativo y asegurar que la alta gerencia

está asumiendo sus responsabilidades de administración de riesgos.

Principio 2: La alta gerencia debería tener responsabilidad por la implementación

de la estrategia de riesgo operativo aprobada por el Directorio, la que debería ser

implementada consistentemente a través de toda la Organización y todos los

niveles del personal deberían comprender sus responsabilidades respecto a la

administración del riesgo operativo. La alta gerencia debería también tener

responsabilidad por el desarrollo de políticas, procesos y procedimientos para

administrar el riesgo operativo en todos los productos, actividades, procesos y

sistemas de la CCLV.

Principio 3: Los flujos de información dentro de la organización juegan un rol clave

en el establecimiento y mantenimiento de una estructura efectiva de

administración del riesgo operativo. Los flujos de comunicación dentro de la CCLV

deberían establecer una cultura consistente de administración del riesgo operativo

en toda la organización. Los flujos de los reportes deberían permitir a la alta

gerencia monitorear la efectividad del sistema de administración de riesgos para el

riesgo operativo y también permitirle al Directorio supervisar el desempeño de la

alta gerencia.

2. Administración del Riesgo

Principio 4: La CCLV deberá identificar el riesgo operativo inherente en todos los

tipos servicios, actividades, procesos y sistemas. La CCLV también deberá

asegurar que antes de introducir o emprender nuevos servicios, actividades,

procesos y sistemas, el riesgo operativo inherente en los mismos, esté sujeto a

procedimientos adecuados de evaluación.

Principio 5: La CCLV deberá establecer los procesos necesarios para medir el

riesgo operativo, identificando la criticidad inherente y residual, a través de la


9

medición de la efectividad del control o grupo de controles respectivo. (Ver detalles

de la metodología en manual de riesgo operacional)

Principio 6: La CCLV deberá implementar un sistema para monitorear, sobre la

marcha, las exposiciones de riesgo operativo de la organización.

Principio 7: La CCLV deberá contar con políticas, procesos y procedimientos para

controlar o mitigar el riesgo operativo, evaluando costos y beneficios de las

limitaciones de riesgos y estrategias de control alternativas, con el fin de ajustar su

exposición a riesgos operativos mediante planes de implementación apropiados, a

la luz de su perfil global de riesgo. Un ejemplo de esto son los seguros asociados

a fraudes o errores operativos, los cuales permiten transferir el riesgo.

3. Rol de los Supervisores

Principio 8: Los supervisores deberían requerir que la CCLV cuente con un

sistema efectivo instalado para identificar, medir, monitorear y controlar los riesgos

operativos como parte de un enfoque global de la administración de riesgos.

Principio 9: Los supervisores deberían conducir, directa o indirectamente,

evaluaciones regulares independientes de las estrategias, políticas,

procedimientos y prácticas de la Organización, relativas a riesgos operativos,

asegurándose que hay instalados mecanismos efectivos de reporting que les

permitan mantenerse informados de su nivel de exposición al riesgo.

4. Rol de Exposición

Principio 10: La CCLV deberá realizar suficiente exposición pública, para

permitirles a los participantes del mercado evaluar la exposición y la calidad de

administración de su riesgo operativo.


10

SECCION D: ESTRUCTURA ORGANIZACIONAL

La implantación y aplicación de un sistema que permita gestionar integralmente los

riesgos de la CCLV a través del tiempo, requiere que exista una estructura organizacional

adecuada para esos fines. La Organización debe asegurar que se ha establecido,

implementado y mantenido el sistema de GRO acorde a los requerimientos regulatorios y

estándares internacionales de referencia, comunicando el desempeño de éste al

Directorio y respectivas Gerencias para revisión, como base de su mejora.

Para la GRO, se han definido roles específicos para los participantes del modelo de

GRO, los cuales se encuentran detallados en el siguiente punto.

1. Roles y Responsabilidades

La estructura organizacional de la administración de riesgos se enmarca en el presente

organigrama de la CCLV.

Figura 1: Organigrama CCLV

La figura adjunta señala la existencia de funciones que permiten definir un modelo de

tres líneas de defensa para la Organización, con el fin de permitir una eficiente y eficaz

gestión de sus riesgos. Este modelo es la forma en que se distribuyen las

responsabilidades de administración de riesgo en la Organización.


11

Figura 2: Estructura Global

Las Gerencias o Áreas de la CCLV tienen la principal responsabilidad frente a la

administración de sus riesgos, actividad que deben realizar en el día a día. Esta

constituye la primera línea de defensa.

La UGRO tiene la responsabilidad de dar soporte a la gestión de riesgo de las Gerencias,

es responsable por el establecimiento de una política de gestión de riesgo y por el control

de ellos. Esta constituye la segunda línea de defensa.

Auditoría Interna tiene la responsabilidad de proveer una visión y seguridad independiente

del sistema de administración de riesgo. Esta constituye la tercera línea de defensa.

En función de lo anterior y para una adecuada gestión del riesgo operacional, es

necesario definir en específico los roles y responsabilidades de todos los actores

involucrados en el modelo de definido en la presente política, los cuales se detallan a

continuación:

Directorio: Es responsable de que la CCLV opere de acuerdo a prácticas de

gobernabilidad consistentes y que cumpla con sus responsabilidades en forma

diligente. Deberá aprobar las políticas relacionadas con la administración de riesgo

operacional, las cuales deben ser revisadas y aprobadas anualmente. Además,

deberá estar informado de la gestión de riesgo operacional de la Organización,

para lo cual podrá contar con la asesoría del Comité de Riesgo.

Comité de Riesgo: Es responsable de evaluar en forma permanente y proponer al

Directorio mejoras a las políticas de gestión y control de riesgos de los sistemas

Comité de Riesgo / Directorio

Áreas de Negocio

Áreas de Negocio

Unidad de Riesgo

(UGRO)

Control Independiente

Auditoría Interna

1a línea de

Defensa

2a línea De

Defensa

3a línea De

Defensa

Administración de riesgo día a día

Administración de riesgo

Operacional, creación de

Política y manual

Unidades

Estructura Global


12

administrados por la CCLV, contenidos en las Normas de Funcionamiento. Esta

revisión debe ser anual.

Funciones Generales:

Definir y proponer al Directorio, la estrategia y las políticas de

administración del riesgo operacional para la organización.

Conocer en detalle los niveles de exposición y los riesgos asumidos en

base a la metodología aprobada por el Directorio.

Proponer al Directorio, los criterios de aceptación de los riesgos que se

desean gestionar dentro de la CCLV, de acuerdo con su ámbito de

actividad y a los objetivos de rentabilidad, solvencia y a la metodología de

administración de riesgos establecida y aprobada. El nivel del riesgo

máximo aceptable se debe relacionar con el nivel de pérdida operacional

aceptable de la CCLV.

Aprobar e informar al Directorio los excesos temporales de límites cuando

sea pertinente, en base a la metodología de administración de riesgos

aprobada.

Informar al Directorio de los resultados obtenidos por las diferentes

gerencias en relación a los riesgos asumidos, considerando los informes de

gestión y monitoreo de riesgo operacional generados por la UGRO.

Evaluar regularmente la efectividad general de las técnicas de

administración de la CCLV y la infraestructura para la administración de los

riesgos, teniendo como base los informes presentados por la UGRO, la

Unidad de Auditoría y los auditores externos.

Aprobar los planes de capacitación propuestos por la UGRO, destinados a

fortalecer los conocimientos en materias de riesgo operacional, tanto en las

distintas gerencias, procesos y al interior de la Unidad.

Definir y aprobar la información sobre los riesgos operacionales de la

CCLV, que será informada a los entes reguladores cuando ésta sea

requerida.

Asegurar que los criterios establecidos en la metodología de administración

de riesgo operacional se consideren en la definición de planes de largo

plazo y en las inversiones de la CCLV.

Fomentar una cultura de riesgo, asegurando que la política de

administración de riesgo operacional sea entendida adecuadamente al

interior de la CCLV.


13

Gerencia General: Es responsable de elaborar la política y manual de gestión de

riesgo operacional, sin perjuicio de la posibilidad de delegar su elaboración a una

persona o unidad especialmente calificada (UGRO) sin eximir sus

responsabilidades. También debe asegurar la implementación del proceso de

gestión de riesgo operacional en la Entidad e informar al menos una vez al año al

Directorio, sobre los principales riesgos de la entidad y los planes de tratamiento

adoptados. La aprobación debe dejar constancia en las actas de sesión del

Directorio correspondiente. Por otra parte, la Gerencia General deberá informar a

toda la organización, como también al público en general, los lineamientos

principales de la gestión de riesgo operacional, a través de un informativo puesto a

disposición en la página web de la entidad.

Gerencias: Las diferentes gerencias de la CCLV, serán las encargadas a través

de todos sus miembros y guiados por quienes se designe como responsables de

la GRO (Champion), de insertar en su operación diaria, el modelo de riesgo

operacional, realizando actividades como las evaluaciones del nivel de riesgo y

control en forma periódica, seguir los indicadores de riesgo para tomar las medidas

necesarias que permitan mantener un nivel de riesgo controlado, reportar la

existencia de nuevos eventos de riesgo y participar en la definición e implantación

de las acciones correctivas, asegurando que cada miembro de la unidad conozca,

comprenda y asuma sus responsabilidades respecto a la administración de

riesgos. Las tareas anteriores contaran con el apoyo y lineamiento de la UGRO.


Definir, en función de las competencias, al champion de riesgo operacional

dentro de cada gerencia de la Organización.

Monitorear el nivel de cumplimiento de las políticas y estándares de riesgo

operacional dentro de la gerencia o área, en conjunto con el champion de

riesgo definido.

Validar los procesos de reporte e indicadores de riesgo dentro de las

gerencias en conjunto con el champion de riesgo operacional de la

gerencia.

Validar la información a reportar a la Unidad de Gestión del Riesgo

Operacional (UGRO) por parte del champion de riesgo de la gerencia.

Revisar los reportes de indicadores de riesgo dentro de la gerencia y

validar las propuestas de planes de mitigación realizadas por el champion

de riesgo de la unidad y UGRO.

Apoyar al champion de riesgo cuando requiera de asistencia en temas

relacionados al riesgo operacional.


14

Revisar y aprobar las iniciativas de difusión para el riesgo operacional tales

como comunicaciones internas o capacitaciones relacionadas con el riesgo

operacional.

Informar los cambios regulatorios dentro de las gerencias para su entrega a

la UGRO

Aprobar y monitorear las acciones de mitigación a los riesgos de operación

identificados tanto por la UGRO como por el champion de riesgo de la

gerencia o unidad de negocio.

Apoyar en la identificación y evaluación, en conjunto con el champion de

riesgos operacionales de la unidad de negocio, los riesgos originados por

cambios en los procesos o desarrollo de nuevos negocios.

Auditoría Interna: Es responsable de monitorear el cumplimiento de los

procedimientos definidos para la administración del riesgo operacional.

Adicionalmente, provee una visión independiente de la efectividad del

enfoque y la implantación de la metodología usada para administrar el

riesgo. La auditoría se entiende que está diseñada para evaluar, el grado

de cumplimiento de los procedimientos establecidos por el Organización,

debiendo realizar informes y recomendaciones que se deriven de la misma,

los que deben ser remitidos al Comité de Auditoría, Gerencia General,

UGRO y dueños de proceso. Adicionalmente, está entendida para

desarrollar planes de acción para mantener alineadas a las gerencias con

los estándares mínimos de control y administración de riesgos definidos,

beneficiándose directamente con el conocimiento de los riesgos

identificados, para su incorporación en el plan anual de auditoría. Además,

deberá informar a lo menos una vez al año al Directorio sobre el

cumplimiento de la política y del manual de gestión de riesgo operacional.

Gerencia de Riesgo: responsable de la UGRO, la cual está encargada de definir,

implementar, dirigir y controlar los procesos necesarios para minimizar el riesgo de

que las diferentes áreas de la CCLV puedan incurrir en pérdidas, ya sean directas

o indirectas, que sean atribuibles a la interrupción de las operaciones debido a

eventos externos, errores del personal, falta de adecuación o falla de los procesos,

procedimientos o controles, ayudando de esta manera a mejorar tanto la gestión

global de la CCLV, como de las áreas individuales. Lo anterior en concordancia

con la estrategia de la Empresa y los requerimientos de los organismos

reguladores.


15

Unidad de Gestión del Riesgo Operacional (UGRO): responsable de coordinar

la transferencia de conocimientos a las gerencias (procesos, riesgos

operacionales, conocimientos en seguridad de la información, seguridad física,

diseño de procedimientos, entre otros). Asimismo, el rol de la UGRO será

gestionar y monitorear la administración del riesgo operacional y promover el

marco conceptual del riesgo operacional en el cual las gerencias deben

administrar sus riesgos operacionales a través del desarrollo y monitoreo en

concordancia con las políticas, estándares y metodologías (Manual de Riesgo

Operacional), identificando y reportando el riesgo operacional en las gerencias.


Desarrollar y comunicar las estrategias directivas de la CCLV para la

administración del riesgo operacional.

Proveer el apropiado marco de políticas para establecer los estándares

mínimos de control dentro de los cuales la Organización debe administrar el

riesgo operacional.

Evaluar la efectividad de la administración del riesgo operacional dentro de

las gerencias usando la metodología definida para la administración de

riesgos y reportando los hallazgos a la Gerencia General, Comité de

Riesgo y al Directorio.

Desarrollar y mantener el entorno de trabajo y los reportes e indicadores de

riesgo para lograr información más efectiva para la toma de decisiones,

donde el costo de los controles está balanceado con el nivel de riesgo.

Compilar los reportes relacionados al riesgo operacional, preparados por

las gerencias.

Identificar en conjunto con los champions y gerencias, los riesgos

operacionales y recomendar las acciones mitigantes adecuadas,

estableciendo los procedimientos formales para la gestión de riesgos en

cada unidad de negocio, gerencias o proceso evaluado.

Dar opinión experta en asuntos relacionados con riesgo operacional a las

gerencias donde haya una clara oportunidad de dar valor agregado, por

ejemplo, proyectos mayores, nuevas iniciativas, problemas específicos de

riesgo.

Identificar y diseñar, en conjunto con las gerencias, a través del champion

designado, entrenamientos en riesgo operacional y un enfoque de difusión

para promover una apropiada cultura de riesgo dentro de las gerencias.

Evaluar el impacto ante cambios regulatorios en el modelo de gestión de

riesgos implementado en la Organización.


16

Proveer una metodología o manual de riesgo operacional para las

gerencias destinada a identificar riesgos de operación (por ejemplo,

desarrollo del proceso para la aprobación de un nueva funcionalidad de un

sistema de información de cara a los participes, identificando sus riesgos

operacionales y acciones de mitigación, previo al lanzamiento de la nueva

funcionalidad).

Monitorear los cambios en los procesos o desarrollos de nuevos productos

(servicios) que alteren el actual mapa de procesos dentro de la CCLV.

Proponer cambios o modificaciones necesarios sobre el manual de gestión

de riesgo operacional, para su evaluación y aprobación por parte de la

Gerencia General y Comité de Riesgo.

Monitorear e informar a los miembros del Directorio, Gerencia General y

dueños de procesos, la gestión sobre los indicadores de riesgo definidos, la

adecuada mantención de la documentación y registro de al menos los

incidentes más significativos ocurridos en conjunto a las medidas de

mitigación aplicadas, las cuales deben ser recolectadas e incorporadas a

la base de datos de eventos de pérdida y a su vez, deben permanecer de

libre para consulta al menos por un periodo de tiempo de 5 años

Informar oportunamente, o a lo menos trimestralmente, a la Gerencia

General sobre los procesos revisados, los resultados sobre la efectividad

de los controles revisados, el estado de avance de los planes de mitigación

acordados con los dueños de procesos, los incidentes registrados y la

evolución de los indicadores diseñados para el monitoreo.

Informar a los dueños de procesos sobre el resultado de la evaluación de

gestión de riesgo operacional relativo a sus procesos, y adicionalmente

debe informar sobre el estado de avance mensual de los planes de acción

comprometidos.

Champion de Gestión de Riesgo Operacional de las Gerencias: Cada

gerencia de la Organización deberá definir en conjunto a la Gerencia de Riesgo,

al responsable de la gestión de riesgos de la unidad de negocio o gerencia

respectiva.


Asegurar que la orientación de la gerencia respecto al riesgo operacional,

sea consistente, cumpla con la estrategia de la CCLV y sea comunicada

dentro de la unidad.


17

Implementar el entorno de políticas de la CCLV relativas a la administración

de riesgo operacional dentro de los estándares mínimos de control

definidos por la UGRO.

Evaluar la efectividad de la administración de riesgo operacional dentro de

las gerencias, usando la metodología provista por la UGRO.

Identificar y reportar a la UGRO el nivel de cumplimiento de las políticas y

estándares de riesgo operacional de la CCLV, por parte de las distintas

gerencias.

Implementar el entorno de trabajo y los procesos de reporte e indicadores

de riesgo dentro de las gerencias.

Identificar dentro de las gerencias los mayores riesgos y su concentración

para determinar, comunicar e implementar los planes de mitigación

adecuados, con responsabilidades claras, en conjunto a la UGRO.

Cuando sea necesario, requerir asistencia a la UGRO para manejar

asuntos específicos de riesgo operacional dentro de las gerencias.

Desarrollar y mantener la difusión y habilidades para riesgo operacional

dentro de las gerencias mediante boletines internos y/o capacitaciones en

coordinación con la UGRO.

Evaluar el impacto de los cambios regulatorios dentro de las gerencias

reportando sus observaciones al gerente respectivo y a la UGRO.

Asistir a la UGRO para evaluar e informar cualquier riesgo de operación así

como la completa ejecución de cualquier acción subsiguiente para mitigar

estos riesgos.

Revisar la efectividad de los controles para mitigar los riesgos

operacionales e identificar las potenciales oportunidades de reducción de

costo o mitigación del riesgo dentro de las gerencias.

Monitorear que los controles implementados dentro de las gerencias sean

adecuados, apropiados y efectivos.

Identificar y reportar cambios en los procesos o desarrollo de nuevos

productos (servicios) dentro de las Gerencias que alteren el actual mapa de

procesos dentro de la unidad de negocio.

Recolectar y comunicar a la UGRO, la información de los eventos de riesgo

materializados para ser incorporados en la base de datos de eventos de

pérdida.

2. Cultura de Riesgos en la CCLV

La Organización desarrollará su cultura de riesgo de manera tal que estimule el

aprendizaje de la entidad, la mejora continua y la confianza para que cualquier miembro


18

comunique inmediatamente a sus jefaturas, luego de ocurridos y detectados: incidentes,

errores, fallas, problemas, y eventos de riesgos que se materialicen ya sea que causen

pérdidas o no.

La Organización seguirá sistemática y secuencialmente los pasos para implementar la

GRO dentro de la CCLV. Esto posibilitará la mejora continua en el proceso de toma de

decisiones y la implementación del modelo de gestión de riesgo operacional en función de

la presente política.

La alta administración (Directorio, Comité de Riesgo, Gerencia General y Gerencias) se

asegurará que al menos una vez al año, se lleve a cabo la revisión del sistema de GRO,

para asegurar su continua mejora, conformidad y efectividad para satisfacer los

requerimientos de los estándares internacionales usados como referencia, y de las

políticas y objetivos de gestión de riesgos establecidos para la CCLV, llevando un registro

de tales revisiones (por ejemplo; mediante auditorías, auto-evaluaciones, verificación de

cumplimiento, monitoreo de incidentes y matrices de riesgos).


19

SECCION E: TERMINOS Y DEFINICIONES

I. Definición de Riesgo: Se entenderá como riesgo, la posibilidad de que algún

evento ocurra y afecte adversamente el logro de los objetivos.

II. Definición de Riesgo Operacional: Para efectos de la presente política, se

considerará la definición de riesgo operacional que entrega la SVS, en su Circular

N° 1.939, donde se señala “Corresponde al riesgo de pérdida debido a la

insuficiencia (inadecuación) o a la falla de los procesos, del personal y de los

sistemas internos y/o de los controles internos aplicables o bien a causa de

acontecimientos externos”. Los riesgos operacionales aplicables a la CCLV están

relacionados principalmente a la continuidad del negocio, la seguridad, el acceso a

la información y al fraude interno.

III. Definición de Riesgo Inherente: Es aquel que está incorporado o es intrínseco a

la actividad que se desarrolla, abarca el impacto y la probabilidad de que una

amenaza pueda afectar las capacidades de una organización de alcanzar sus

estrategias o objetivos de negocio. Una amenaza es una acción o evento que

podría potencialmente exponer a la empresa a un riesgo.

IV. Definición de Riesgo Residual: Es aquel que queda después de considerar el

entorno de control y de aplicar los mitigadores correspondientes.

V. Definición de Riesgo Aceptado: Corresponde al nivel de riesgo que la CCLV

está dispuesta a aceptar en concordancia con la política de gestión de riesgo

operacional y sus responsabilidades establecidas en el marco legal que las rige.

VI. Definición de Administración de Riesgo Operacional: Corresponde al proceso

de identificación, medición, control y monitoreo del riesgo operacional de la CCLV

que pueda afectar de forma adversa la consecución de sus obligaciones

establecidas en el marco legal. Este proceso es aprobado, implementado y

controlado por la Gerencia General de la entidad, teniendo presente las

responsabilidades del Directorio, la administración, las unidades internas de

supervisión y todo el personal de la misma. Este proceso forma parte integral de la

política de gestión de riesgo operacional aprobada por el Directorio.

VII. Definición de Política de Riesgo Operacional: Documento que busca orientar en

forma coordinada los esfuerzos de la organización en función de la fundación y

mantención del modelo de gestión de riesgo operacional. Buscando su desarrollo y


20

mantención continuo, en función del grado de madurez de la Organización en lo

respectivo a su propio proceso de GRO.

VIII. Definición de Manual de Riesgo Operacional: Manual de procedimiento formal

para la gestión del riesgo operacional, que surge del proceso de administración del

riesgo operacional sobre las distintas gerencias o procesos de la Organización.

Este manual debe describir la etapa metodológica del la administración del riesgos

operacional y los requerimientos de información e informes resultantes de la

aplicación del modelo sobre la unidad de negocio respectiva, en concordancia al

documento de política de administración de riesgo operacional aprobado por la

CCLV. Su desarrollo es responsabilidad de la Gerencia General, sin perjuicio de

delegar su desarrollo en la gerencia de riesgo.

IX. Definición de Champion o Dueño del Proceso: Corresponde a aquella persona

designada para hacerse responsable de la administración de un proceso y

propiciar las mejoras a implementar en éste, este debe ser definido en conjunto

por la gerencia respectiva y UGRO.

X. Definición de Diagrama del Proceso: Corresponde a la representación

esquemática de las secuencias de un proceso o subproceso mediante un

flujograma y su descripción. El responsable de esta documentación es el dueño

del proceso.

XI. Definición de Factor de Riesgo: Causa raíz (elemento crítico o deficiencia

interna) que puede causar la concreción de un evento.

XII. Definición de Evento: Es la ocurrencia que puede generar uno o más daños

(efectos) a la Organización. Al mismo tiempo, esto puede provocar una la

concreción de una serie de eventos de riesgo correlacionados. Los eventos

pueden ser clasificados según la tipología de riesgos en documento manual de

gestión de riesgo operacional.

XIII. Definición de Efecto: Es el impacto, pérdida o daño causado por la concreción de

un evento de riesgos. Hay diferentes tipos de efectos, estos son de origen

económico y no económico (efecto reputacional entre otros).

XIV. Definición de Dimensión Organizacional: Permite identificar en donde ocurre el

evento, quien sufre la pérdida o impacto y quien es responsable de influir sobre la

causa de riesgo o factor de riesgo que genera la pérdida.


21

XV. Definición de Plan de Mitigación: Es la estructura resultante del análisis de

tratamientos sobre los riesgos de un proceso, función o actividad. Enfocado a

elaborar un conjunto de acciones que en sí ejercerán y se abocarán a disminuir la

probabilidad y/o el impacto de ocurrencia del riesgo analizado.

XVI. Definición de Matriz de Riesgos y Controles: Corresponde a una herramienta a

través de la cual se consolidan los riesgos inherentes de un proceso o subproceso

(eventos de riesgo), su evaluación, los controles asociados junto a su efectividad y

el nivel de riesgo residual con el objetivo de priorizar, orientar y focalizar el

tratamiento de riesgo. Además, se incluye información relativa a los factores de

riesgo (o causa raíz) de cada evento, el efecto alcanzado o impacto económico y

la dimensión organizacional o unidad de negocio responsable y afectadas por la

concreción del evento de riesgo. Esta información es sumamente útil para el

proceso de autoevaluación y definición de planes de acción o mitigación.

Definición de Tipos de Eventos1 de Riesgos:

i. Fraude interno (Actividades no autorizadas y Hurto- fraude interno). Pérdidas

debidas a actos, de tipo intencional, para defraudar, apropiarse indebidamente o

evitar reglamentaciones, leyes o políticas de CCLV, excluyendo eventos de

discriminación, que involucren por lo menos a una parte interna

ii. Fraude externo (Seguridad de los Sistemas y Hurto y fraude externo). Pérdidas

derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de

bienes indebidamente o a soslayar la legislación, por parte de un tercero.

iii. Relaciones laborales y seguridad en el puesto de trabajo (Relaciones

laborales, ambiente de trabajo, discriminación). Se incluye pérdidas relacionadas

con la gestión de recursos humanos (por ejemplo despidos improcedentes),

prácticas discriminatorias y multas e indemnizaciones como consecuencia del

incumplimiento de la normativa laboral (por ejemplo accidentes laborales)

iv. Prácticas con clientes, productos y negocios (Adecuación, divulgación de

información y confianza- Prácticas empresariales o de mercado improcedentes-

Productos o servicios defectuosos- Selección, patrocinio y riesgos- Actividades de

asesoramiento): Pérdidas que surgen de negligencia o incumplimiento no

1 Tipología de eventos de riesgos desarrollada en documento acuerdo de Basilea II.


22

intencional de obligaciones profesionales con clientes específicos (incluyendo

requerimientos fiduciarios y de adecuación) o que surjan de la naturaleza o diseño

de un producto.

v. Daño a activos materiales (Desastres y otros eventos) Incluye toda pérdida

originada por daños sufridos en activos materiales de la entidad. Se incluyen los

costes relacionados con eventuales pérdidas humanas por causas externas

(desastres naturales o actos de terrorismo y vandalismo)

vi. Incidencias en el negocio y fallos en los sistemas (Sistemas) Pérdidas

causadas por fallos en los sistemas informáticos de la entidad.

vii. Ejecución, entrega y gestión de procesos (Recepción, ejecución y

mantenimiento de operaciones- Seguimiento y presentación de informes-

Aceptación de clientes y documentación- Gestión de cuentas de clientes-

Contrapartes comerciales- Distribuidores y proveedores) Pérdidas derivadas de

errores en el procesamiento de transacciones o en la gestión de procesos,

relaciones con contrapartes comerciales y proveedores.


23

SECCION F: CRITERIOS DE DEFINICION DE RIESGO ACEPTADO

El riesgo aceptable para la CCLV será aprobado por el Directorio (a propuesta del Comité

de Riesgo). El cálculo de riesgo aceptado corresponderá a una decisión informada de

aceptar la probabilidad e impactos de una categoría de riesgos en particular. La

metodología de GRO, presente en el manual de riesgo operacional, definirá los elementos

que permitirán a la organización proponer el riesgo aceptable, de forma tal que los riesgos

definidos como razonables y/o tolerables por la organización sean el resultado del

equilibrio entre la precisión, los recursos, el tiempo, la complejidad y la valorización de las

consecuencias subjetivas.

El Comité de Riesgo recibirá una propuesta de riesgo aceptable de parte de la Gerencia

de Riesgo, quien a su vez y a partir de los gerentes de cada área y la UGRO, contarán

con una definición tanto de la probabilidad como del impacto tolerable, en alineamiento a

los planes estratégicos de la organización, para así generar el rendimiento deseado sobre

los recursos invertidos. Por lo tanto, la definición del nivel de riesgo aceptable para la

CCLV como entidad, corresponderá a una decisión informada de aceptar la probabilidad e

impactos.

En resumen, el riesgo aceptado es el volumen de riesgo, a un nivel amplio, que la CCLV

está dispuesto a aceptar en su búsqueda de generación de valor. Se relaciona

directamente con su estrategia, debido a que el rendimiento deseado de la estrategia

debe estar alineado con el riesgo aceptado en la Empresa.


24

SECCION G: CRITERIOS DE EVALUACION Y TRATAMIENTO DE

RIESGOS

Los criterios de evaluación de riesgos definidos en función de mejores prácticas

internacionales y la realidad operacional de la CCLV, están definidos en función del

impacto económico de la concreción del evento de pérdida y la probabilidad de

materialización de este. A continuación se entrega una definición de las dimensiones

utilizadas.

Probabilidad de materialización: Se define como la probabilidad de ocurrencia

del evento o grupo de eventos bajo análisis, en el marco de un año de operación

del proceso o unidad de negocio bajo evaluación.

Impacto: Se define como el impacto económico (cualitativo o cuantitativo)

producto de la concreción de la ocurrencia de un evento o grupo de eventos bajo

análisis. Los impactos son determinados en relación con el logro de objetivos del

proceso o unidad de negocio en estudio.

Para evaluar cualitativa o cuantitativamente el impacto y la probabilidad, se utilizarán

tablas para la clasificación del estatus de riesgo de cada evento, que permitan evaluar el

nivel de exposición al riesgo en los procesos o gerencias en estudio. El desarrollo del

proceso de evaluación se detalla en el manual de riesgo operacional de la Organización.

Luego de realizada la evaluación de los riesgos mediante la determinación de impacto y

probabilidad de ocurrencia del evento, se deben determinar planes de de mitigación que

pueden contar con distintos tipo de tratamiento al riesgo identificado. Estos tipos de

tratamiento de los riesgos, involucra identificar el rango de opciones potenciales, evaluar

cada una de esas opciones y preparar planes de mitigación para el tratamiento de los

riesgos e implementarlos. Algunas técnicas para el tratamiento de riesgos que puede

utilizar la Organización, son2:

Evitar o reducir la Probabilidad

Evitar o reducir el Impacto

Evitar el Riesgo

Externalizar y/o Transferir

Mantener el Riesgo

2 Para mayor detalle sobre el tratamiento de riesgos, referirse a Manual de Gestión de Riesgo Operacional


25

Al momento de evaluar opciones de tratamientos para los riesgos, éstas deberían ser

evaluadas sobre la base de un análisis costo – beneficio, en donde la selección de la

opción más apropiada involucra balancear el costo de implementar cada opción contra los

beneficios derivados de la misma.


26

SECCION H: ATRIBUCIONES

La UGRO y los responsables máximos de las gerencias involucradas, deberán analizar

los niveles de exposición actual, por lo tanto, deberán adoptar decisiones o generar

planes de acción para mitigar sus riesgos en función de las atribuciones establecidas al

interior de la CCLV y detalladas en el presente política. Estas acciones permitirán

disminuir el nivel de exposición identificado, evaluado y establecido. Es importante

considerar en esta etapa, el costo-beneficio de generar un plan de acción para disminuir

el nivel de exposición. En caso que el costo de desarrollo o implementación sea mayor a

la autonomía de aprobación del gerente responsable, se requiere de la aprobación del

Comité de Riesgo o de la unidad o gerencia que defina la Organización para estos

efectos.


27

SECCION I: EXCEPCIONES A LA POLITICA

El máximo responsable de gerencia de la empresa que solicite algún tipo de excepción a

la política, deberá someterla a análisis y aprobación por parte del Comité de Riesgo, quien

se pronunciará al respecto luego de evaluar la solicitud.

Las políticas escritas no deben ser sustituidas por juicios de valor. La ausencia de

políticas escritas sobre un determinado tema o materia no debe ser usada como excusa

y/o justificativo de juicios de valor que no cumplan con el propósito de la presente política.


28

SECCION J: NORMAS DE DIFUSION Y CONTROL DE VERSIONES

La presente política, al igual que las versiones posteriores que puedan existir de la misma,

deben ser comunicadas a todas las áreas y miembros de la Organización, utilizando para

ello un medio accesible y confiable, y asegurándose de la correcta recepción y

entendimiento de ella.

Adicionalmente, es necesario señalar que cualquier cambio o actualización de la presente

política, la cual pudiese producirse debido a cambios en el entorno de negocios,

estructura organizacional o por cualquier otro motivo, debe ser revisado por el Comité de

Riesgo y Gerencia General de la CCLV y presentado para su aprobación al Directorio. A

su vez, se recomienda que la política cuente con una revisión anual del Comité de Riesgo

y la Gerencia General de la Organización y su respectiva aprobación del Directorio.

POLÍTICA DE GESTIÓN DE RIESGO OPERACIONAL … · 2011-12-27 · consideran los indicadores claves...

Documents

Transcript of POLÍTICA DE GESTIÓN DE RIESGO OPERACIONAL … · 2011-12-27 · consideran los indicadores claves...