política de gestión de riesgo operacional

Anuncio
POLÍTICA DE
GESTIÓN DE RIESGO OPERACIONAL
Enero de 2011
ÍNDICE
SECCION A:
1.
2.
3.
ANTECEDENTES GENERALES .............................................................. 3
OBJETIVO ................................................................................................ 3
ALCANCE ................................................................................................ 4
ACERCA DE ESTE DOCUMENTO .......................................................... 5
SECCION B: BASE CONCEPTUAL .............................................................................. 6
1.
PILARES DE LA ADMINISTRACIÓN DE RIESGO OPERACIONAL ....... 6
2.
COMPONENTES
DE
LA
ADMINISTRACIÓN
DE
RIESGO
OPERACIONAL ................................................................................................................ 6
SECCION C:
1.
2.
3.
4.
MEJORES PRACTICAS ........................................................................... 8
DESARROLLAR UN AMBIENTE APROPIADO ....................................... 8
ADMINISTRACIÓN DEL RIESGO ............................................................ 8
ROL DE LOS SUPERVISORES ............................................................... 9
ROL DE EXPOSICIÓN ............................................................................. 9
SECCION D:
1.
2.
ESTRUCTURA ORGANIZACIONAL ...................................................... 10
ROLES Y RESPONSABILIDADES ........................................................ 10
CULTURA DE RIESGOS EN LA CCLV ................................................. 17
SECCION E:
TERMINOS Y DEFINICIONES................................................................ 19
SECCION F:
CRITERIOS DE DEFINICION DE RIESGO ACEPTADO ........................ 23
SECCION G:
CRITERIOS DE EVALUACION Y TRATAMIENTO DE RIESGOS ......... 24
SECCION H:
ATRIBUCIONES ..................................................................................... 26
SECCION I:
EXCEPCIONES A LA POLITICA ........................................................... 27
SECCION J:
NORMAS DE DIFUSION Y CONTROL DE VERSIONES ....................... 28
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
2
SECCION A:
ANTECEDENTES GENERALES
CCLV, Contraparte Central S.A. (CCLV) es una sociedad anónima regulada por la Ley N°
20.345 sobre sistemas de compensación y liquidación de instrumentos financieros, y su
objetivo, obligaciones, funcionamiento, creación y exigencias son únicos y propios de su
particular naturaleza. La fiscalización de la Superintendencia de Valores y Seguros (SVS)
a que está sometida y la regulación que se le aplica, legal y administrativamente, son
estrictas y especiales, justificadas por los valores e intereses en juego y por la reserva
propia de la actividad. En este sentido, la SVS ha emitido la circular N° 1.939, la cual
instruye sobre la implementación de la Gestión de Riesgo Operacional (GRO) en las
entidades de depósito y custodia de valores y en las sociedades administradoras de
sistemas de compensación y liquidación de instrumentos financieros.
La GRO y sus mecanismos de control han probado ser de gran importancia en
instituciones de depósito y custodia de valores, en sociedades administradoras de
sistemas de compensación y liquidación de instrumentos financieros y en otras entidades
de la industria financiera a nivel nacional e internacional. Dada la relevancia sistémica del
mercado de valores, la CCLV formaliza en el presente documento, la estructura,
metodología y principios para lograr una adecuada administración de sus riesgos
operacionales en concordancia al cumplimiento de la circular N° 1.939 emitida por la SVS
y mejores prácticas internacionales.
La estructura organizacional que soporta la GRO se sustenta en: los responsables y
ejecutores de los procesos, quienes son los gestores primarios del riesgo; el Área o
Unidad de Gestión de Riesgo Operacional (UGRO), encargada de la gestión y monitoreo
del riesgo operacional; el Comité de Riesgo, encargado de su revisión; el Directorio,
aprobando el establecimiento del modelo; y Auditoría Interna, responsable de evaluar la
efectividad de la implementación de las políticas de riesgo operacional. De esta forma, la
GRO se aplica consistentemente a través de todos los niveles de gestión, como parte
integrante del conjunto de políticas y directrices estratégicas del CCLV. Por tanto, todas
las gerencias y el personal deben integrarse y aplicar los procedimientos y prácticas de
gestión de riesgos dentro de sus actividades diarias.
1. Objetivo
A través de la presente política de gestión de riesgo operacional y en concordancia a la
circular N° 1.939 emitida por la SVS y mejores prácticas internacionales, la CCLV
pretende orientar en forma coordinada sus esfuerzos y lograr, en función del grado de
madurez de la Organización en su proceso de GRO, los siguientes puntos:
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
3
Asegurar razonablemente, en forma consistente y sistemática que los riesgos
operacionales
de
la
CCLV
sean
identificados,
evaluados,
tratados,
monitoreados y comunicados.
Disminuir las pérdidas catastróficas no esperadas y minimizar las pérdidas
esperadas. Entendiendo como pérdidas no esperadas aquellas por sobre el
promedio (Pérdida Esperada) o con una menor probabilidad de ocurrencia, en
consecuencia, en términos de un modelo Value at Risk(VaR) la pérdida no
esperada se define como VaR-Pérdida Esperada.
Asegurar que los indicadores claves de desempeño de la CCLV incluyen o
consideran los indicadores claves de riesgos, los cuales identifican los factores
que originan el riesgo de negocio, obtenidos al aplicar los procesos de GRO.
Mitigar de forma razonable los principales riesgos operacionales a los que está
expuesta la Organización y sus objetivos de negocio, dadas las características
propias de ésta, así como también las del entorno en que se desempeña.
2. Alcance
La presente política considera los riesgos operacionales propios de los procesos y
actividades desarrolladas al interior de la CCLV, en donde se hace necesario el
entendimiento, compromiso y disposición de todas las áreas y personal de la
organización, en forma independiente de su nivel jerárquico, función o localización.
Además, y en concordancia al artículo 9° de la ley N° 20.345, la política de gestión de
riesgo será establecida por el Directorio de la CCLV, considerando las propuestas
emitidas por el Comité de Riesgo y será difundida tanto al ente regulador como al interior
de la Organización.
El alcance definido para la GRO en la CCLV se basará en los siguientes principios claves:
1. La GRO es responsabilidad de todos: todo el personal de CCLV tiene
responsabilidad en la GRO, Directorio, gerencias y empleados; sin embargo, son
los dueños de proceso o champion de riesgo, los encargados de asegurar la
aplicación, mantención y seguimiento de las distintas políticas, normas y
procedimientos definidos para el cumplimiento de los objetivos de cada proceso,
en concordancia con la UGRO al interior de la Organización.
2. La GRO estará integrada dentro de todas las actividades y sistemas de la
organización, formando parte también en el proceso de planificación estratégica de
la CCLV.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
4
3. La GRO se integrará en los planes, programas, procesos y actividades diarias que
realizan tanto las unidades como las personas de la CCLV, que se incluyan dentro
del alcance definido en el marco estratégico, organizacional y de gestión de
riesgos.
4. La aplicación sistemática de la GRO se hará sobre análisis fundados, haciendo
uso efectivo y eficiente de los recursos de la CCLV. Aquellos riesgos que luego de
ser valorizados mediante la metodología de riesgo operacional definida, resulten
en un nivel de riesgo no aceptable por la CCLV, serán incorporados dentro de los
planes de acción.
5. El progreso en la gestión de los riesgos definidos en el punto anterior será
monitoreado continuamente por el Directorio, Gerencia General, Gerencias de
área responsables y la UGRO, según corresponda, basado en la metodología
adoptada por el CCLV, cuya aplicación será evaluada por la función de Auditoría
Interna.
3. Acerca de este documento
La presenta política fue confeccionada con la asesoría de la empresa consultora Deloitte.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
5
SECCION B:
BASE CONCEPTUAL
Para la elaboración de esta política, se ha considerado la Ley N° 20.345, la normativa
que emite la SVS, principalmente su circular N° 1.939 que “Instruye sobre la
implementación de la gestión de riesgo operacional en las entidades de depósito y
custodia de valores y en las sociedades administradoras de sistemas de compensación y
liquidación de instrumentos financieros” y mejores prácticas internacionales para la
definición e implementación de modelos de gestión de riesgo operacional.
1. Pilares de la Administración de Riesgo Operacional
La gestión de riesgo operacional en la CCLV incluirá cuatro pilares claves:
(i) Gestión de Riesgos; considera la evaluación, tratamiento y monitoreo de los
riesgos en forma proactiva, diseñando e implementando controles preventivos
para evitar la ocurrencia de eventos que impacten los objetivos de la CCLV.
(ii) Gestión de Seguridad de la Información; considera el enfoque bajo el cual la
CCLV busca lograr la confidencialidad, integridad y disponibilidad de todos
aquellos elementos de Información (Sistemas, archivos, Bases de Datos,
Personas, etc.) que la CCLV tiene catalogados como críticos.
(iii) Gestión de Continuidad Operacional; en caso de ocurrir eventos de riesgo
adverso, se busca mitigar los efectos y mantener sin interrupción los procesos
críticos y la disponibilidad de todos los componentes claves de la CCLV
necesarios para su operación.
(iv) Gestión sobre Actividades Tercerizadas; Las operaciones de la CCLV se
encuentran fuertemente sustentadas por procesos tecnológicos, lo que implica
un desafío importante en cuanto a los sistemas de información requeridos, en
consecuencia, los riesgos inherentes de procesos críticos que se encuentren
ligados a actividades realizadas por terceras partes, deben ser reconocidos
como responsabilidad final de la CCLV. Por lo tanto, la Empresa debe
considerar en forma específica en su estrategia de administración de riesgo, la
gestión de los riesgos asociados a actividades tercerizadas, participando en
forma permanente en el control y monitoreo de dichas actividades.
2. Componentes de la Administración de Riesgo Operacional
Junto a los pilares de la administración de riesgo operacional, deben considerarse
algunos componentes claves para una adecuada implementación del modelo, los cuales
se detallan a continuación:
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
6
Existencia de tres líneas de acción sobre los riesgos operacionales: Unidad de
Riesgo Operacional, Champion de Riesgo Operacional y Auditoría Interna
como ente independiente.
Se debe registrar la ocurrencia de los riesgos operacionales donde éste se
materializa y que puedan ser monitoreados por las líneas de acción.
La Organización debe contar con un centro de excelencia (Unidad o Función
de Riesgo Operacional) que permitan añadir valor al negocio, implementando
un enfoque común, dando asistencia a las líneas de negocio y administrando la
exposición al riesgo operacional de la CCLV.
Auditoría Interna es responsable en forma independiente de asegurar que el
proceso de administración de riesgo operacional sea apropiado y funcional
conforme se ha diseñado.
Se deben mantener actualizadas las prácticas de la administración de riesgo
operacional.
La naturaleza del riesgo operacional, implica que las Gerencias son
preliminarmente responsables por la administración de éste.
El presente documento debe contar con la revisión del Comité de Riesgo y la
aprobación del Directorio de la CCLV, en tal sentido, cualquier modificación
deberá también tener dicho nivel de revisión y aprobación.
Es importante para el éxito en la gestión de riesgo operacional al interior de la
CCLV, difundir las mejores prácticas de Administración de éste, contenidas en el
presente documento en toda la Organización.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
7
SECCION C:
MEJORES PRACTICAS
1. Desarrollar un Ambiente Apropiado
Principio 1: El Directorio debería ser consciente de los aspectos principales de los
riesgos operativos de la CCLV como una categoría de riesgo distintiva y
administrable y debería aprobar y revisar periódicamente la estrategia de riesgo
operativo de la CCLV, la que debería reflejar la tolerancia de la CCLV al riesgo y
su comprensión de las características específicas de esta categoría de riesgo. El
Directorio también debería ser responsable por la aprobación del esquema básico
de la estructura para administrar el riesgo operativo y asegurar que la alta gerencia
está asumiendo sus responsabilidades de administración de riesgos.
Principio 2: La alta gerencia debería tener responsabilidad por la implementación
de la estrategia de riesgo operativo aprobada por el Directorio, la que debería ser
implementada consistentemente a través de toda la Organización y todos los
niveles del personal deberían comprender sus responsabilidades respecto a la
administración del riesgo operativo. La alta gerencia debería también tener
responsabilidad por el desarrollo de políticas, procesos y procedimientos para
administrar el riesgo operativo en todos los productos, actividades, procesos y
sistemas de la CCLV.
Principio 3: Los flujos de información dentro de la organización juegan un rol clave
en
el
establecimiento
y
mantenimiento
de
una
estructura
efectiva
de
administración del riesgo operativo. Los flujos de comunicación dentro de la CCLV
deberían establecer una cultura consistente de administración del riesgo operativo
en toda la organización. Los flujos de los reportes deberían permitir a la alta
gerencia monitorear la efectividad del sistema de administración de riesgos para el
riesgo operativo y también permitirle al Directorio supervisar el desempeño de la
alta gerencia.
2. Administración del Riesgo
Principio 4: La CCLV deberá identificar el riesgo operativo inherente en todos los
tipos servicios, actividades, procesos y sistemas. La CCLV también deberá
asegurar que antes de introducir o emprender nuevos servicios, actividades,
procesos y sistemas, el riesgo operativo inherente en los mismos, esté sujeto a
procedimientos adecuados de evaluación.
Principio 5: La CCLV deberá establecer los procesos necesarios para medir el
riesgo operativo, identificando la criticidad inherente y residual, a través de la
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
8
medición de la efectividad del control o grupo de controles respectivo. (Ver detalles
de la metodología en manual de riesgo operacional)
Principio 6: La CCLV deberá implementar un sistema para monitorear, sobre la
marcha, las exposiciones de riesgo operativo de la organización.
Principio 7: La CCLV deberá contar con políticas, procesos y procedimientos para
controlar o mitigar el riesgo operativo, evaluando costos y beneficios de las
limitaciones de riesgos y estrategias de control alternativas, con el fin de ajustar su
exposición a riesgos operativos mediante planes de implementación apropiados, a
la luz de su perfil global de riesgo. Un ejemplo de esto son los seguros asociados
a fraudes o errores operativos, los cuales permiten transferir el riesgo.
3. Rol de los Supervisores
Principio 8: Los supervisores deberían requerir que la CCLV cuente con un
sistema efectivo instalado para identificar, medir, monitorear y controlar los riesgos
operativos como parte de un enfoque global de la administración de riesgos.
Principio 9: Los supervisores deberían conducir, directa o indirectamente,
evaluaciones
regulares
independientes
de
las
estrategias,
políticas,
procedimientos y prácticas de la Organización, relativas a riesgos operativos,
asegurándose que hay instalados mecanismos efectivos de reporting que les
permitan mantenerse informados de su nivel de exposición al riesgo.
4. Rol de Exposición
Principio 10: La CCLV deberá realizar suficiente exposición pública, para
permitirles a los participantes del mercado evaluar la exposición y la calidad de
administración de su riesgo operativo.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
9
SECCION D:
ESTRUCTURA ORGANIZACIONAL
La implantación y aplicación de un sistema que permita gestionar integralmente los
riesgos de la CCLV a través del tiempo, requiere que exista una estructura organizacional
adecuada para esos fines. La Organización debe asegurar que se ha establecido,
implementado y mantenido el sistema de GRO acorde a los requerimientos regulatorios y
estándares internacionales de referencia, comunicando el desempeño de éste al
Directorio y respectivas Gerencias para revisión, como base de su mejora.
Para la GRO, se han definido roles específicos para los participantes del modelo de
GRO, los cuales se encuentran detallados en el siguiente punto.
1. Roles y Responsabilidades
La estructura organizacional de la administración de riesgos se enmarca en el presente
organigrama de la CCLV.
Figura 1: Organigrama CCLV
La figura adjunta señala la existencia de funciones que permiten definir un modelo de
tres líneas de defensa para la Organización, con el fin de permitir una eficiente y eficaz
gestión de sus riesgos.
Este modelo es la forma en que se distribuyen las
responsabilidades de administración de riesgo en la Organización.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
10
Estructura Global
Comité de Riesgo / Directorio
Unidades
Auditoría Interna
Unidad de Riesgo
Áreas de Negocio
1a línea
de
Defensa
(UGRO)
2a línea
De
Defensa
Áreas de Negocio
Administración de riesgo
día a día
Control
Independiente
3a línea
De
Defensa
Administración de riesgo
Operacional, creación de
Política y manual
Figura 2: Estructura Global
Las Gerencias o Áreas de la CCLV tienen la principal responsabilidad frente a la
administración de sus riesgos, actividad que deben realizar en el día a día. Esta
constituye la primera línea de defensa.
La UGRO tiene la responsabilidad de dar soporte a la gestión de riesgo de las Gerencias,
es responsable por el establecimiento de una política de gestión de riesgo y por el control
de ellos. Esta constituye la segunda línea de defensa.
Auditoría Interna tiene la responsabilidad de proveer una visión y seguridad independiente
del sistema de administración de riesgo. Esta constituye la tercera línea de defensa.
En función de lo anterior y para una adecuada gestión del riesgo operacional, es
necesario definir en específico los roles y responsabilidades de todos los actores
involucrados en el modelo de definido en la presente política, los cuales se detallan a
continuación:
Directorio: Es responsable de que la CCLV opere de acuerdo a prácticas de
gobernabilidad consistentes y que cumpla con sus responsabilidades en forma
diligente. Deberá aprobar las políticas relacionadas con la administración de riesgo
operacional, las cuales deben ser revisadas y aprobadas anualmente. Además,
deberá estar informado de la gestión de riesgo operacional de la Organización,
para lo cual podrá contar con la asesoría del Comité de Riesgo.
Comité de Riesgo: Es responsable de evaluar en forma permanente y proponer al
Directorio mejoras a las políticas de gestión y control de riesgos de los sistemas
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
11
administrados por la CCLV, contenidos en las Normas de Funcionamiento. Esta
revisión debe ser anual.
Funciones Generales:
Definir y proponer al Directorio, la estrategia y las políticas de
administración del riesgo operacional para la organización.
Conocer en detalle los niveles de exposición y los riesgos asumidos en
base a la metodología aprobada por el Directorio.
Proponer al Directorio, los criterios de aceptación de los riesgos que se
desean gestionar dentro de la CCLV, de acuerdo con su ámbito de
actividad y a los objetivos de rentabilidad, solvencia y a la metodología de
administración de riesgos establecida y aprobada. El nivel del riesgo
máximo aceptable se debe relacionar con el nivel de pérdida operacional
aceptable de la CCLV.
Aprobar e informar al Directorio los excesos temporales de límites cuando
sea pertinente, en base a la metodología de administración de riesgos
aprobada.
Informar al Directorio de los resultados obtenidos por las diferentes
gerencias en relación a los riesgos asumidos, considerando los informes de
gestión y monitoreo de riesgo operacional generados por la UGRO.
Evaluar
regularmente
la
efectividad
general
de
las
técnicas
de
administración de la CCLV y la infraestructura para la administración de los
riesgos, teniendo como base los informes presentados por la UGRO, la
Unidad de Auditoría y los auditores externos.
Aprobar los planes de capacitación propuestos por la UGRO, destinados a
fortalecer los conocimientos en materias de riesgo operacional, tanto en las
distintas gerencias, procesos y al interior de la Unidad.
Definir y aprobar la información sobre los riesgos operacionales de la
CCLV, que será informada a los entes reguladores cuando ésta sea
requerida.
Asegurar que los criterios establecidos en la metodología de administración
de riesgo operacional se consideren en la definición de planes de largo
plazo y en las inversiones de la CCLV.
Fomentar una cultura de riesgo, asegurando que la política de
administración de riesgo operacional sea entendida adecuadamente al
interior de la CCLV.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
12
Gerencia General: Es responsable de elaborar la política y manual de gestión de
riesgo operacional, sin perjuicio de la posibilidad de delegar su elaboración a una
persona
o
unidad
especialmente
calificada
(UGRO)
sin
eximir
sus
responsabilidades. También debe asegurar la implementación del proceso de
gestión de riesgo operacional en la Entidad e informar al menos una vez al año al
Directorio, sobre los principales riesgos de la entidad y los planes de tratamiento
adoptados. La aprobación debe dejar constancia en las actas de sesión del
Directorio correspondiente. Por otra parte, la Gerencia General deberá informar a
toda la organización, como también al público en general, los lineamientos
principales de la gestión de riesgo operacional, a través de un informativo puesto a
disposición en la página web de la entidad.
Gerencias: Las diferentes gerencias de la CCLV, serán las encargadas a través
de todos sus miembros y guiados por quienes se designe como responsables de
la GRO (Champion), de insertar en su operación diaria, el modelo de riesgo
operacional, realizando actividades como las evaluaciones del nivel de riesgo y
control en forma periódica, seguir los indicadores de riesgo para tomar las medidas
necesarias que permitan mantener un nivel de riesgo controlado, reportar la
existencia de nuevos eventos de riesgo y participar en la definición e implantación
de las acciones correctivas, asegurando que cada miembro de la unidad conozca,
comprenda y asuma sus responsabilidades respecto a la administración de
riesgos. Las tareas anteriores contaran con el apoyo y lineamiento de la UGRO.
Funciones Generales:
Definir, en función de las competencias, al champion de riesgo operacional
dentro de cada gerencia de la Organización.
Monitorear el nivel de cumplimiento de las políticas y estándares de riesgo
operacional dentro de la gerencia o área, en conjunto con el champion de
riesgo definido.
Validar los procesos de reporte e indicadores de riesgo dentro de las
gerencias en conjunto con el champion de riesgo operacional de la
gerencia.
Validar la información a reportar a la Unidad de Gestión del Riesgo
Operacional (UGRO) por parte del champion de riesgo de la gerencia.
Revisar los reportes de indicadores de riesgo dentro de la gerencia
y
validar las propuestas de planes de mitigación realizadas por el champion
de riesgo de la unidad y UGRO.
Apoyar al champion de riesgo cuando requiera de asistencia en temas
relacionados al riesgo operacional.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
13
Revisar y aprobar las iniciativas de difusión para el riesgo operacional tales
como comunicaciones internas o capacitaciones relacionadas con el riesgo
operacional.
Informar los cambios regulatorios dentro de las gerencias para su entrega a
la UGRO
Aprobar y monitorear las acciones de mitigación a los riesgos de operación
identificados tanto por la UGRO como por el champion de riesgo de la
gerencia o unidad de negocio.
Apoyar en la identificación y evaluación, en conjunto con el champion de
riesgos operacionales de la unidad de negocio, los riesgos originados por
cambios en los procesos o desarrollo de nuevos negocios.
Auditoría Interna: Es responsable de monitorear el cumplimiento de los
procedimientos definidos para la administración del riesgo operacional.
Adicionalmente, provee una visión independiente de la efectividad del
enfoque y la implantación de la metodología usada para administrar el
riesgo. La auditoría se entiende que está diseñada para evaluar, el grado
de cumplimiento de los procedimientos establecidos por el Organización,
debiendo realizar informes y recomendaciones que se deriven de la misma,
los que deben ser remitidos al Comité de Auditoría, Gerencia General,
UGRO y dueños de proceso. Adicionalmente, está entendida para
desarrollar planes de acción para mantener alineadas a las gerencias con
los estándares mínimos de control y administración de riesgos definidos,
beneficiándose
directamente
con
el
conocimiento
de
los
riesgos
identificados, para su incorporación en el plan anual de auditoría. Además,
deberá informar a lo menos una vez al año al Directorio sobre el
cumplimiento de la política y del manual de gestión de riesgo operacional.
Gerencia de Riesgo: responsable de la UGRO, la cual está encargada de definir,
implementar, dirigir y controlar los procesos necesarios para minimizar el riesgo de
que las diferentes áreas de la CCLV puedan incurrir en pérdidas, ya sean directas
o indirectas, que sean atribuibles a la interrupción de las operaciones debido a
eventos externos, errores del personal, falta de adecuación o falla de los procesos,
procedimientos o controles, ayudando de esta manera a mejorar tanto la gestión
global de la CCLV, como de las áreas individuales. Lo anterior en concordancia
con la estrategia de la Empresa y los requerimientos de los organismos
reguladores.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
14
Unidad de Gestión del Riesgo Operacional (UGRO): responsable de coordinar
la
transferencia
de
conocimientos
a
las
gerencias
(procesos,
riesgos
operacionales, conocimientos en seguridad de la información, seguridad física,
diseño de procedimientos, entre otros). Asimismo, el rol de la UGRO será
gestionar y monitorear la administración del riesgo operacional y promover el
marco conceptual del riesgo operacional en el cual las gerencias deben
administrar sus riesgos operacionales a través del desarrollo y monitoreo en
concordancia con las políticas, estándares y metodologías (Manual de Riesgo
Operacional), identificando y reportando el riesgo operacional en las gerencias.
Funciones Generales:
Desarrollar y comunicar las estrategias directivas de la CCLV para la
administración del riesgo operacional.
Proveer el apropiado marco de políticas para establecer los estándares
mínimos de control dentro de los cuales la Organización debe administrar el
riesgo operacional.
Evaluar la efectividad de la administración del riesgo operacional dentro de
las gerencias usando la metodología definida para la administración de
riesgos y reportando los hallazgos a la Gerencia General, Comité de
Riesgo y al Directorio.
Desarrollar y mantener el entorno de trabajo y los reportes e indicadores de
riesgo para lograr información más efectiva para la toma de decisiones,
donde el costo de los controles está balanceado con el nivel de riesgo.
Compilar los reportes relacionados al riesgo operacional, preparados por
las gerencias.
Identificar en conjunto con los champions y gerencias,
los riesgos
operacionales
adecuadas,
y
recomendar
las
acciones
mitigantes
estableciendo los procedimientos formales para la gestión de riesgos en
cada unidad de negocio, gerencias o proceso evaluado.
Dar opinión experta en asuntos relacionados con riesgo operacional a las
gerencias donde haya una clara oportunidad de dar valor agregado, por
ejemplo, proyectos mayores, nuevas iniciativas, problemas específicos de
riesgo.
Identificar y diseñar, en conjunto con las gerencias, a través del champion
designado, entrenamientos en riesgo operacional y un enfoque de difusión
para promover una apropiada cultura de riesgo dentro de las gerencias.
Evaluar el impacto ante cambios regulatorios en el modelo de gestión de
riesgos implementado en la Organización.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
15
Proveer una metodología o manual de riesgo operacional para las
gerencias destinada a identificar riesgos de operación (por ejemplo,
desarrollo del proceso para la aprobación de un nueva funcionalidad de un
sistema de información de cara a los participes, identificando sus riesgos
operacionales y acciones de mitigación, previo al lanzamiento de la nueva
funcionalidad).
Monitorear los cambios en los procesos o desarrollos de nuevos productos
(servicios) que alteren el actual mapa de procesos dentro de la CCLV.
Proponer cambios o modificaciones necesarios sobre el manual de gestión
de riesgo operacional, para su evaluación y aprobación por parte de la
Gerencia General y Comité de Riesgo.
Monitorear e informar a los miembros del Directorio, Gerencia General y
dueños de procesos, la gestión sobre los indicadores de riesgo definidos, la
adecuada mantención de la documentación y registro de al menos los
incidentes más significativos ocurridos en conjunto a las medidas de
mitigación aplicadas, las cuales deben ser recolectadas e incorporadas a
la base de datos de eventos de pérdida y a su vez, deben permanecer de
libre para consulta al menos por un periodo de tiempo de 5 años
Informar oportunamente, o a lo menos trimestralmente, a la Gerencia
General sobre los procesos revisados, los resultados sobre la efectividad
de los controles revisados, el estado de avance de los planes de mitigación
acordados con los dueños de procesos, los incidentes registrados y la
evolución de los indicadores diseñados para el monitoreo.
Informar a los dueños de procesos sobre el resultado de la evaluación de
gestión de riesgo operacional relativo a sus procesos, y adicionalmente
debe informar sobre el estado de avance mensual de los planes de acción
comprometidos.
Champion de Gestión de Riesgo Operacional de las Gerencias: Cada
gerencia de la Organización deberá definir en conjunto a la Gerencia de Riesgo,
al responsable de la gestión de riesgos de la unidad de negocio o gerencia
respectiva.
Funciones Generales:
Asegurar que la orientación de la gerencia respecto al riesgo operacional,
sea consistente, cumpla con la estrategia de la CCLV y sea comunicada
dentro de la unidad.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
16
Implementar el entorno de políticas de la CCLV relativas a la administración
de riesgo operacional dentro de los estándares mínimos de control
definidos por la UGRO.
Evaluar la efectividad de la administración de riesgo operacional dentro de
las gerencias, usando la metodología provista por la UGRO.
Identificar y reportar a la UGRO el nivel de cumplimiento de las políticas y
estándares de riesgo operacional de la CCLV, por parte de las distintas
gerencias.
Implementar el entorno de trabajo y los procesos de reporte e indicadores
de riesgo dentro de las gerencias.
Identificar dentro de las gerencias los mayores riesgos y su concentración
para determinar, comunicar e implementar los planes de mitigación
adecuados, con responsabilidades claras, en conjunto a la UGRO.
Cuando sea necesario, requerir asistencia a la UGRO para manejar
asuntos específicos de riesgo operacional dentro de las gerencias.
Desarrollar y mantener la difusión y habilidades para riesgo operacional
dentro de las gerencias mediante boletines internos y/o capacitaciones en
coordinación con la UGRO.
Evaluar el impacto de los cambios regulatorios dentro de las gerencias
reportando sus observaciones al gerente respectivo y a la UGRO.
Asistir a la UGRO para evaluar e informar cualquier riesgo de operación así
como la completa ejecución de cualquier acción subsiguiente para mitigar
estos riesgos.
Revisar la efectividad de los controles para
mitigar los riesgos
operacionales e identificar las potenciales oportunidades de reducción de
costo o mitigación del riesgo dentro de las gerencias.
Monitorear que los controles implementados dentro de las gerencias sean
adecuados, apropiados y efectivos.
Identificar y reportar cambios en los procesos o desarrollo de nuevos
productos (servicios) dentro de las Gerencias que alteren el actual mapa de
procesos dentro de la unidad de negocio.
Recolectar y comunicar a la UGRO, la información de los eventos de riesgo
materializados para ser incorporados en la base de datos de eventos de
pérdida.
2. Cultura de Riesgos en la CCLV
La Organización desarrollará su cultura de riesgo de manera tal que estimule el
aprendizaje de la entidad, la mejora continua y la confianza para que cualquier miembro
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
17
comunique inmediatamente a sus jefaturas, luego de ocurridos y detectados: incidentes,
errores, fallas, problemas, y eventos de riesgos que se materialicen ya sea que causen
pérdidas o no.
La Organización seguirá sistemática y secuencialmente los pasos para implementar la
GRO dentro de la CCLV. Esto posibilitará la mejora continua en el proceso de toma de
decisiones y la implementación del modelo de gestión de riesgo operacional en función de
la presente política.
La alta administración (Directorio, Comité de Riesgo, Gerencia General y Gerencias) se
asegurará que al menos una vez al año, se lleve a cabo la revisión del sistema de GRO,
para asegurar su continua mejora, conformidad y efectividad para satisfacer los
requerimientos de los estándares internacionales usados como referencia, y de las
políticas y objetivos de gestión de riesgos establecidos para la CCLV, llevando un registro
de tales revisiones (por ejemplo; mediante auditorías, auto-evaluaciones, verificación de
cumplimiento, monitoreo de incidentes y matrices de riesgos).
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
18
SECCION E:
I.
TERMINOS Y DEFINICIONES
Definición de Riesgo: Se entenderá como riesgo, la posibilidad de que algún
evento ocurra y afecte adversamente el logro de los objetivos.
II.
Definición de Riesgo Operacional: Para efectos de la presente política, se
considerará la definición de riesgo operacional que entrega la SVS, en su Circular
N° 1.939, donde se señala “Corresponde al riesgo de pérdida debido a la
insuficiencia (inadecuación) o a la falla de los procesos, del personal y de los
sistemas internos y/o de los controles internos aplicables o bien a causa de
acontecimientos externos”. Los riesgos operacionales aplicables a la CCLV están
relacionados principalmente a la continuidad del negocio, la seguridad, el acceso a
la información y al fraude interno.
III.
Definición de Riesgo Inherente: Es aquel que está incorporado o es intrínseco a
la actividad que se desarrolla, abarca el impacto y la probabilidad de que una
amenaza pueda afectar las capacidades de una organización de alcanzar sus
estrategias o objetivos de negocio. Una amenaza es una acción o evento que
podría potencialmente exponer a la empresa a un riesgo.
IV.
Definición de Riesgo Residual: Es aquel que queda después de considerar el
entorno de control y de aplicar los mitigadores correspondientes.
V.
Definición de Riesgo Aceptado: Corresponde al nivel de riesgo que la CCLV
está dispuesta a aceptar en concordancia con la política de gestión de riesgo
operacional y sus responsabilidades establecidas en el marco legal que las rige.
VI.
Definición de Administración de Riesgo Operacional: Corresponde al proceso
de identificación, medición, control y monitoreo del riesgo operacional de la CCLV
que pueda afectar de forma adversa la consecución de sus obligaciones
establecidas en el marco legal. Este proceso es aprobado, implementado y
controlado por la Gerencia General de la entidad, teniendo presente las
responsabilidades del Directorio, la administración, las unidades internas de
supervisión y todo el personal de la misma. Este proceso forma parte integral de la
política de gestión de riesgo operacional aprobada por el Directorio.
VII.
Definición de Política de Riesgo Operacional: Documento que busca orientar en
forma coordinada los esfuerzos de la organización en función de la fundación y
mantención del modelo de gestión de riesgo operacional. Buscando su desarrollo y
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
19
mantención continuo, en función del grado de madurez de la Organización en lo
respectivo a su propio proceso de GRO.
VIII.
Definición de Manual de Riesgo Operacional: Manual de procedimiento formal
para la gestión del riesgo operacional, que surge del proceso de administración del
riesgo operacional sobre las distintas gerencias o procesos de la Organización.
Este manual debe describir la etapa metodológica del la administración del riesgos
operacional y los requerimientos de información e informes resultantes de la
aplicación del modelo sobre la unidad de negocio respectiva, en concordancia al
documento de política de administración de riesgo operacional aprobado por la
CCLV. Su desarrollo es responsabilidad de la Gerencia General, sin perjuicio de
delegar su desarrollo en la gerencia de riesgo.
IX.
Definición de Champion o Dueño del Proceso: Corresponde a aquella persona
designada para hacerse responsable de la administración de un proceso y
propiciar las mejoras a implementar en éste, este debe ser definido en conjunto
por la gerencia respectiva y UGRO.
X.
Definición de Diagrama del Proceso: Corresponde a la representación
esquemática de las secuencias de un proceso o subproceso mediante un
flujograma y su descripción. El responsable de esta documentación es el dueño
del proceso.
XI.
Definición de Factor de Riesgo: Causa raíz
(elemento crítico o deficiencia
interna) que puede causar la concreción de un evento.
XII.
Definición de Evento: Es la ocurrencia que puede generar uno o más daños
(efectos) a la Organización. Al mismo tiempo, esto puede provocar una la
concreción de una serie de eventos de riesgo correlacionados. Los eventos
pueden ser clasificados según la tipología de riesgos en documento manual de
gestión de riesgo operacional.
XIII.
Definición de Efecto: Es el impacto, pérdida o daño causado por la concreción de
un evento de riesgos. Hay diferentes tipos de efectos, estos son de origen
económico y no económico (efecto reputacional entre otros).
XIV.
Definición de Dimensión Organizacional: Permite identificar en donde ocurre el
evento, quien sufre la pérdida o impacto y quien es responsable de influir sobre la
causa de riesgo o factor de riesgo que genera la pérdida.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
20
XV.
Definición de Plan de Mitigación: Es la estructura resultante del análisis de
tratamientos sobre los riesgos de un proceso, función o actividad. Enfocado a
elaborar un conjunto de acciones que en sí ejercerán y se abocarán a disminuir la
probabilidad y/o el impacto de ocurrencia del riesgo analizado.
XVI.
Definición de Matriz de Riesgos y Controles: Corresponde a una herramienta a
través de la cual se consolidan los riesgos inherentes de un proceso o subproceso
(eventos de riesgo), su evaluación, los controles asociados junto a su efectividad y
el nivel de riesgo residual con el objetivo de priorizar, orientar y focalizar el
tratamiento de riesgo. Además, se incluye información relativa a los factores de
riesgo (o causa raíz) de cada evento, el efecto alcanzado o impacto económico y
la dimensión organizacional o unidad de negocio responsable y afectadas por la
concreción del evento de riesgo. Esta información es sumamente útil para el
proceso de autoevaluación y definición de planes de acción o mitigación.
Definición de Tipos de Eventos1 de Riesgos:
i.
Fraude interno (Actividades no autorizadas y Hurto- fraude interno). Pérdidas
debidas a actos, de tipo intencional, para defraudar, apropiarse indebidamente o
evitar reglamentaciones, leyes o políticas de CCLV, excluyendo eventos de
discriminación, que involucren por lo menos a una parte interna
ii.
Fraude externo (Seguridad de los Sistemas y Hurto y fraude externo). Pérdidas
derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de
bienes indebidamente o a soslayar la legislación, por parte de un tercero.
iii.
Relaciones laborales y seguridad en el puesto de trabajo (Relaciones
laborales, ambiente de trabajo, discriminación). Se incluye pérdidas relacionadas
con la gestión de recursos humanos (por ejemplo despidos improcedentes),
prácticas discriminatorias y multas e indemnizaciones como consecuencia del
incumplimiento de la normativa laboral (por ejemplo accidentes laborales)
iv.
Prácticas con clientes, productos y negocios (Adecuación, divulgación de
información y confianza- Prácticas empresariales o de mercado improcedentesProductos o servicios defectuosos- Selección, patrocinio y riesgos- Actividades de
asesoramiento): Pérdidas que surgen de negligencia o incumplimiento no
1
Tipología de eventos de riesgos desarrollada en documento acuerdo de Basilea II.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
21
intencional de obligaciones profesionales con clientes específicos (incluyendo
requerimientos fiduciarios y de adecuación) o que surjan de la naturaleza o diseño
de un producto.
v.
Daño a activos materiales (Desastres y otros eventos) Incluye toda pérdida
originada por daños sufridos en activos materiales de la entidad. Se incluyen los
costes relacionados con eventuales pérdidas humanas por causas externas
(desastres naturales o actos de terrorismo y vandalismo)
vi.
Incidencias en el negocio y fallos en los sistemas (Sistemas) Pérdidas
causadas por fallos en los sistemas informáticos de la entidad.
vii.
Ejecución,
entrega
y
gestión
de
procesos
(Recepción,
ejecución
y
mantenimiento de operaciones- Seguimiento y presentación de informesAceptación de clientes y documentación- Gestión de cuentas de clientesContrapartes comerciales- Distribuidores y proveedores) Pérdidas derivadas de
errores en el procesamiento de transacciones o en la gestión de procesos,
relaciones con contrapartes comerciales y proveedores.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
22
SECCION F:
CRITERIOS DE DEFINICION DE RIESGO ACEPTADO
El riesgo aceptable para la CCLV será aprobado por el Directorio (a propuesta del Comité
de Riesgo). El cálculo de riesgo aceptado corresponderá a una decisión informada de
aceptar la probabilidad e impactos de una categoría de riesgos en particular. La
metodología de GRO, presente en el manual de riesgo operacional, definirá los elementos
que permitirán a la organización proponer el riesgo aceptable, de forma tal que los riesgos
definidos como razonables y/o tolerables por la organización sean el resultado del
equilibrio entre la precisión, los recursos, el tiempo, la complejidad y la valorización de las
consecuencias subjetivas.
El Comité de Riesgo recibirá una propuesta de riesgo aceptable de parte de la Gerencia
de Riesgo, quien a su vez y a partir de los gerentes de cada área y la UGRO, contarán
con una definición tanto de la probabilidad como del impacto tolerable, en alineamiento a
los planes estratégicos de la organización, para así generar el rendimiento deseado sobre
los recursos invertidos. Por lo tanto, la definición del nivel de riesgo aceptable para la
CCLV como entidad, corresponderá a una decisión informada de aceptar la probabilidad e
impactos.
En resumen, el riesgo aceptado es el volumen de riesgo, a un nivel amplio, que la CCLV
está dispuesto a aceptar en su búsqueda de generación de valor. Se relaciona
directamente con su estrategia, debido a que el rendimiento deseado de la estrategia
debe estar alineado con el riesgo aceptado en la Empresa.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
23
SECCION G:
CRITERIOS
DE
EVALUACION
Y
TRATAMIENTO
DE
RIESGOS
Los criterios de evaluación de riesgos definidos en función de mejores prácticas
internacionales y la realidad operacional de la CCLV, están definidos en función del
impacto económico de la concreción del evento de pérdida y la probabilidad de
materialización de este. A continuación se entrega una definición de las dimensiones
utilizadas.
Probabilidad de materialización: Se define como la probabilidad de ocurrencia
del evento o grupo de eventos bajo análisis, en el marco de un año de operación
del proceso o unidad de negocio bajo evaluación.
Impacto: Se define como el impacto económico (cualitativo o cuantitativo)
producto de la concreción de la ocurrencia de un evento o grupo de eventos bajo
análisis. Los impactos son determinados en relación con el logro de objetivos del
proceso o unidad de negocio en estudio.
Para evaluar cualitativa o cuantitativamente el impacto y la probabilidad, se utilizarán
tablas para la clasificación del estatus de riesgo de cada evento, que permitan evaluar el
nivel de exposición al riesgo en los procesos o gerencias en estudio. El desarrollo del
proceso de evaluación se detalla en el manual de riesgo operacional de la Organización.
Luego de realizada la evaluación de los riesgos mediante la determinación de impacto y
probabilidad de ocurrencia del evento, se deben determinar planes de de mitigación que
pueden contar con distintos tipo de tratamiento al riesgo identificado. Estos tipos de
tratamiento de los riesgos, involucra identificar el rango de opciones potenciales, evaluar
cada una de esas opciones y preparar planes de mitigación para el tratamiento de los
riesgos e implementarlos. Algunas técnicas para el tratamiento de riesgos que puede
utilizar la Organización, son2:
Evitar o reducir la Probabilidad
Evitar o reducir el Impacto
Evitar el Riesgo
Externalizar y/o Transferir
Mantener el Riesgo
2
Para mayor detalle sobre el tratamiento de riesgos, referirse a Manual de Gestión de Riesgo Operacional
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
24
Al momento de evaluar opciones de tratamientos para los riesgos, éstas deberían ser
evaluadas sobre la base de un análisis costo – beneficio, en donde la selección de la
opción más apropiada involucra balancear el costo de implementar cada opción contra los
beneficios derivados de la misma.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
25
SECCION H:
ATRIBUCIONES
La UGRO y los responsables máximos de las gerencias involucradas, deberán analizar
los niveles de exposición actual, por lo tanto, deberán adoptar decisiones o generar
planes de acción para mitigar sus riesgos en función de las atribuciones establecidas al
interior de la CCLV y detalladas en el presente política. Estas acciones permitirán
disminuir el nivel de exposición identificado, evaluado y establecido. Es importante
considerar en esta etapa, el costo-beneficio de generar un plan de acción para disminuir
el nivel de exposición. En caso que el costo de desarrollo o implementación sea mayor a
la autonomía de aprobación del gerente responsable, se requiere de la aprobación del
Comité de Riesgo o de la unidad o gerencia que defina la Organización para estos
efectos.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
26
SECCION I: EXCEPCIONES A LA POLITICA
El máximo responsable de gerencia de la empresa que solicite algún tipo de excepción a
la política, deberá someterla a análisis y aprobación por parte del Comité de Riesgo, quien
se pronunciará al respecto luego de evaluar la solicitud.
Las políticas escritas no deben ser sustituidas por juicios de valor. La ausencia de
políticas escritas sobre un determinado tema o materia no debe ser usada como excusa
y/o justificativo de juicios de valor que no cumplan con el propósito de la presente política.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
27
SECCION J:
NORMAS DE DIFUSION Y CONTROL DE VERSIONES
La presente política, al igual que las versiones posteriores que puedan existir de la misma,
deben ser comunicadas a todas las áreas y miembros de la Organización, utilizando para
ello un medio accesible y confiable, y asegurándose de la correcta recepción y
entendimiento de ella.
Adicionalmente, es necesario señalar que cualquier cambio o actualización de la presente
política, la cual pudiese producirse debido a cambios en el entorno de negocios,
estructura organizacional o por cualquier otro motivo, debe ser revisado por el Comité de
Riesgo y Gerencia General de la CCLV y presentado para su aprobación al Directorio. A
su vez, se recomienda que la política cuente con una revisión anual del Comité de Riesgo
y la Gerencia General de la Organización y su respectiva aprobación del Directorio.
CCLV, Contraparte Central S.A. | La Bolsa 64, Piso 2 | www.cclv.cl
28
Descargar