POLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS CDECSIC 04 de febrero de 2015 La Política de Control y Gestión de Riesgos, tiene como finalidad identificar, evaluar y mitigar los riesgos relevantes del CDECSIC, organizando los sistemas de control interno y de información adecuados, así como llevar a cabo el seguimiento periódico de dichos sistemas. 1. Objetivo El objeto de esta Política es establecer los principios básicos y el marco general de actuación para el control y la gestión de los riesgos de toda naturaleza a los que se enfrenta el CDECSIC. Esta Política se complementa con un Sistema de Control Interno, conformado por la Matriz de Riesgos, Controles Internos, Planes de Auditorías e Informes de Auditorías vinculados a las actividades del CDECSIC y con aquellas políticas específicas de riesgos que puedan establecerse en relación con determinadas funciones del organismo. 2. Alcance Esta Política es de aplicación en todas las áreas del CDECSIC, en el ámbito de la normativa vigente aplicable a sus actividades. El CDECSIC debe promover principios, directrices y límites de riesgo coherentes con los que se establecen a través de esta Política y de su Sistema de Control Interno y mantendrá los canales de información apropiados para garantizar un adecuado conocimiento y gestión de los riesgos. 3. Vigencia, Interpretación y Responsabilidad Esta Política tiene vigencia a partir del 4 de febrero de 2015. Todas las modificaciones que sean efectuadas a esta Política deberán constar por escrito y entrarán en vigencia una vez aprobadas por el Directorio. Esta Política regirá en tanto no se emita y apruebe una nueva Política y/o sus respectivas modificaciones. Cualquier consulta o duda de interpretación de la presente Política, deberá ser dirigida al Auditor Interno, el que será responsable de proponer al Comité de Auditoría y Riesgo y, este último al Directorio la forma de determinar el sentido y alcance de las disposiciones en ella contenidas. 4. Factores de Riesgo Se considera como riesgo, la probabilidad que un evento, acción u omisión impacte negativamente en el cumplimiento de las funciones y objetivos del CDECSIC o su reputación como organismo. Los principales factores de riesgo a los que está sometido el CDECSIC, son los que se mencionan a continuación: Política de Control y Gestión de Riesgos Riesgos Operacionales: Potencial impacto negativo en el cumplimiento de las funciones del CDECSIC ocasionado por procesos internos inadecuados, fallas tecnológicas, errores humanos o como consecuencia de ciertos sucesos externos, incluyendo eventos de índole social. Riesgos Regulatorios: aquellos provenientes de cambios en el marco normativo relativo a la estructura, financiamiento o funcionamiento de los CDEC, que afecten significativamente su rol y sus principios y eficacia de funcionamiento. Riesgos Financieros: Posibilidad que una contraparte no dé cumplimiento a sus obligaciones económicas y produzca una pérdida financiera. Las contrapartes pueden ser integrantes, coordinados, proveedores o contratistas. El presente riesgo incluye posibles variaciones injustificadas en valores contables y/o económicos de activos y pasivos reflejados en la contabilidad Riesgos Informáticos: Asociados a la indisponibilidad, pérdida o manipulación indebida de información o sus equipos, como también el ingreso de personas no autorizadas, internas o externas, a los sistemas de información del CDECSIC que puedan afectar sus funciones Riesgos de Gobierno Corporativo: Incapacidad para manejar y cumplir su rol, de consolidar su identidad corporativa y conservar su imagen ante sus stakeholders. Riesgos Legales: son aquellos que surgen por la falta de un adecuado análisis de la exposición al cumplimiento legal, pudiendo caer el CDECSIC o su personal en algún incumplimiento o falta. Riesgos de Control Interno: Este riesgo se relaciona a la falta de control en los distintos procesos y procedimientos que dejan vulnerable al CDECSIC frente a errores en la ejecución de actividades críticas, fraudes y otros eventos similares. 5. Principios Básicos El CDECSIC se encuentra sometido a diversos riesgos inherentes en las actividades que desarrolla, que pueden impedir o limitar el logro de sus objetivos y ejecutar sus estrategias con éxito. El CDECSIC, consciente de la importancia de este aspecto se compromete a desarrollar todas sus capacidades para que los riesgos relevantes de todas las actividades a realizar se encuentren adecuadamente identificados, medidos, gestionados y controlados, y establecer, a través de la Política de Control y Gestión de Riesgos, los mecanismos y principios básicos para una adecuada gestión del riesgo que permita: a) Alcanzar los objetivos estratégicos que determine el CDECSIC con una exposición al riesgo controlada; b) Aportar el máximo nivel de garantías de cumplimiento de sus obligaciones normativas a los integrantes y coordinados y proteger la reputación e imagen pública del CDECSIC; c) Garantizar la estabilidad de la organización y una adecuada gestión financiera de forma sostenida en el tiempo. Política de Control y Gestión de Riesgos Para velar por el compromiso adquirido, el área de Auditoría Interna supervisa e informa sobre la adecuación del Sistema de Control Interno, de los riesgos relevantes, y control de ellos en los procesos y actividades riesgosas. Toda actuación dirigida a controlar y mitigar los riesgos atenderá a los siguientes principios básicos de actuación: a) Integrar la visión del riesgo-impacto en la gestión del CDECSIC, a través de la definición de la estrategia y de la exposición controlada al riesgo, y la incorporación de esta variable a las decisiones estratégicas y operativas. b) Segregar, a nivel operativo, las funciones entre las áreas tomadoras de riesgos y las áreas responsables de su análisis, control y supervisión, garantizando un adecuado nivel de independencia. c) Garantizar la correcta utilización de los instrumentos para el control y cobertura de los riesgos y su registro. d) Informar con transparencia sobre los riesgos del CDECSIC y el funcionamiento de los sistemas desarrollados para su control al Directorio, manteniendo los canales adecuados para favorecerla comunicación. e) Alinear con la Política General de Control y Gestión de Riesgos todas las políticas y procedimientos específicos que sea necesario desarrollar en materia de control de riesgos en todas las actividades del CDECSIC. f) Asegurar un cumplimiento adecuado de las políticas, procedimientos y sistemas, y su actualización y mejora continua en el marco de las mejores prácticas de transparencia y gobierno corporativo, e instrumentar su seguimiento y medición. g) Actuar en todo momento al amparo de la ley, sus reglamentos, el Código de Gobierno Corporativo y del Sistema de Control Interno del CDECSIC. 6. Sistema de Control y Gestión de Riesgos Esta política y sus principios se materializan a través de una adecuada definición y asignación de funciones y responsabilidades a nivel operativo y en procedimientos, metodologías y herramientas de soporte, adecuados a las distintas etapas y actividades del sistema, y que incluye: a) La identificación de los riesgos relevantes para el CDECSIC, sean estos financieros, regulatorios, operacionales, legales, informáticos, de gobierno corporativo, de control interno y otros relevantes, atendiendo a su posible incidencia sobre los objetivos críticos de gestión, nuevas inversiones y los estados de situación del CDECSIC. b) El análisis de dichos riesgos, tanto en cada una de sus funciones, como su efecto en el CDECSIC como conjunto. Política de Control y Gestión de Riesgos c) El establecimiento de una estructura de políticas, directrices, controles y límites, así como de los correspondientes mecanismos para su aprobación y aplicación, que permitan contribuir de forma eficaz, a que la gestión de los riesgos se realice de acuerdo con los criterios definidos por el Directorio del CDECSIC. d) La implantación y control del cumplimiento de las políticas, directrices, controles y límites, a través de planes de auditoría, procedimientos y sistemas adecuados, incluyendo los planes de contingencia necesarios para mitigar el impacto de la materialización de los riesgos. e) La medición y control de los riesgos siguiendo procedimientos y estándares homogéneos y comunes a todo el CDECSIC. f) Los sistemas de información y control interno que permiten realizar una evaluación y comunicación periódica y transparente de los resultados del seguimiento del control y gestión de riesgos, incluyendo el cumplimiento de las políticas y sus límites. g) La evaluación continua de la idoneidad y eficacia de la aplicación del sistema de control y de las mejores prácticas y recomendaciones en materia de riesgos para su eventual incorporación al modelo de gestión. h) Las auditorías de procesos efectuadas anualmente por el área de Auditoría Interna. 7. Sistema de Control interno La estructura del Sistema de Control Interno del CDECSIC se establece en base al modelo de las 3 líneas de defensa, en el cual se distinguen 3 grupos (o líneas) que participan en una efectiva gestión de riesgos: Primera línea de defensa: Son los propietarios de los riesgos y por ende los encargados de gestionarlos. Esta labor corresponde a los Subdirectores y Jefes del CDECSIC, quienes deben mantener un control interno efectivo y ejecutar los controles requeridos de forma permanente. Este grupo reporta a la alta dirección que en el CDEC SIC corresponde a los Directores Técnicos. Segunda línea de defensa: Se encarga de supervisar los riesgos existentes y puede enfocarse en el monitoreo de riesgos específicos, tales como el incumplimiento de leyes y regulaciones aplicables. En el caso del CDECSIC, esta función corresponde al Área de Regulación y Contraloría Técnica, la cual también reporta a la alta dirección. Tercera línea de defensa: se encuentra a cargo de Auditoría Interna y proporciona aseguramiento independiente al reportar a la alta dirección así como también reportar directamente al organismo de gobierno corporativo, es decir, al Directorio y al Comité de Auditoría y Riesgo del CDECSIC. El aseguramiento abarca la efectividad del gobierno corporativo, la gestión de riesgos y el control interno. Política de Control y Gestión de Riesgos El esquema de este sistema se muestra a continuación: 8. Plan Anual de Evaluaciones de Riesgos La aplicación de esta política dará también origen a un Plan Anual de Evaluaciones de Riesgo y sus eventuales medidas de mitigación, que será propuesto por Auditoría Interna, revisado por el Comité de Riesgo y Auditoría y aprobado por el Directorio. Política de Control y Gestión de Riesgos