Política de Control y Gestión de Riesgos

Anuncio
POLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS
CDECSIC
04 de febrero de 2015
La Política de Control y Gestión de Riesgos, tiene como finalidad identificar, evaluar y mitigar los
riesgos relevantes del CDECSIC, organizando los sistemas de control interno y de información
adecuados, así como llevar a cabo el seguimiento periódico de dichos sistemas.
1. Objetivo
El objeto de esta Política es establecer los principios básicos y el marco general de actuación para el
control y la gestión de los riesgos de toda naturaleza a los que se enfrenta el CDECSIC.
Esta Política se complementa con un Sistema de Control Interno, conformado por la Matriz de
Riesgos, Controles Internos, Planes de Auditorías e Informes de Auditorías vinculados a las
actividades del CDECSIC y con aquellas políticas específicas de riesgos que puedan establecerse en
relación con determinadas funciones del organismo.
2. Alcance
Esta Política es de aplicación en todas las áreas del CDECSIC, en el ámbito de la normativa vigente
aplicable a sus actividades.
El CDECSIC debe promover principios, directrices y límites de riesgo coherentes con los que se
establecen a través de esta Política y de su Sistema de Control Interno y mantendrá los canales de
información apropiados para garantizar un adecuado conocimiento y gestión de los riesgos.
3. Vigencia, Interpretación y Responsabilidad
Esta Política tiene vigencia a partir del 4 de febrero de 2015. Todas las modificaciones que sean
efectuadas a esta Política deberán constar por escrito y entrarán en vigencia una vez aprobadas por el
Directorio.
Esta Política regirá en tanto no se emita y apruebe una nueva Política y/o sus respectivas
modificaciones.
Cualquier consulta o duda de interpretación de la presente Política, deberá ser dirigida al Auditor
Interno, el que será responsable de proponer al Comité de Auditoría y Riesgo y, este último al
Directorio la forma de determinar el sentido y alcance de las disposiciones en ella contenidas.
4. Factores de Riesgo
Se considera como riesgo, la probabilidad que un evento, acción u omisión impacte negativamente
en el cumplimiento de las funciones y objetivos del CDECSIC o su reputación como organismo.
Los principales factores de riesgo a los que está sometido el CDECSIC, son los que se mencionan a
continuación:
Política de Control y Gestión de Riesgos
Riesgos Operacionales: Potencial impacto negativo en el cumplimiento de las funciones del
CDECSIC ocasionado por procesos internos inadecuados, fallas tecnológicas, errores humanos o
como consecuencia de ciertos sucesos externos, incluyendo eventos de índole social.
Riesgos Regulatorios: aquellos provenientes de cambios en el marco normativo relativo a la
estructura, financiamiento o funcionamiento de los CDEC, que afecten significativamente su rol
y sus principios y eficacia de funcionamiento.
Riesgos Financieros: Posibilidad que una contraparte no dé cumplimiento a sus obligaciones
económicas y produzca una pérdida financiera. Las contrapartes pueden ser integrantes,
coordinados, proveedores o contratistas. El presente riesgo incluye posibles variaciones
injustificadas en valores contables y/o económicos de activos y pasivos reflejados en la
contabilidad
Riesgos Informáticos: Asociados a la indisponibilidad, pérdida o manipulación indebida de
información o sus equipos, como también el ingreso de personas no autorizadas, internas o
externas, a los sistemas de información del CDECSIC que puedan afectar sus funciones
Riesgos de Gobierno Corporativo: Incapacidad para manejar y cumplir su rol, de consolidar su
identidad corporativa y conservar su imagen ante sus stakeholders.
Riesgos Legales: son aquellos que surgen por la falta de un adecuado análisis de la exposición al
cumplimiento legal, pudiendo caer el CDECSIC o su personal en algún incumplimiento o falta.
Riesgos de Control Interno: Este riesgo se relaciona a la falta de control en los distintos
procesos y procedimientos que dejan vulnerable al CDECSIC frente a errores en la ejecución de
actividades críticas, fraudes y otros eventos similares.
5. Principios Básicos
El CDECSIC se encuentra sometido a diversos riesgos inherentes en las actividades que desarrolla,
que pueden impedir o limitar el logro de sus objetivos y ejecutar sus estrategias con éxito.
El CDECSIC, consciente de la importancia de este aspecto se compromete a desarrollar todas sus
capacidades para que los riesgos relevantes de todas las actividades a realizar se encuentren
adecuadamente identificados, medidos, gestionados y controlados, y establecer, a través de la
Política de Control y Gestión de Riesgos, los mecanismos y principios básicos para una adecuada
gestión del riesgo que permita:
a) Alcanzar los objetivos estratégicos que determine el CDECSIC con una exposición al riesgo
controlada;
b) Aportar el máximo nivel de garantías de cumplimiento de sus obligaciones normativas a los
integrantes y coordinados y proteger la reputación e imagen pública del CDECSIC;
c) Garantizar la estabilidad de la organización y una adecuada gestión financiera de forma
sostenida en el tiempo.
Política de Control y Gestión de Riesgos
Para velar por el compromiso adquirido, el área de Auditoría Interna supervisa e informa sobre la
adecuación del Sistema de Control Interno, de los riesgos relevantes, y control de ellos en los
procesos y actividades riesgosas.
Toda actuación dirigida a controlar y mitigar los riesgos atenderá a los siguientes principios básicos
de actuación:
a) Integrar la visión del riesgo-impacto en la gestión del CDECSIC, a través de la definición de la
estrategia y de la exposición controlada al riesgo, y la incorporación de esta variable a las
decisiones estratégicas y operativas.
b) Segregar, a nivel operativo, las funciones entre las áreas tomadoras de riesgos y las áreas
responsables de su análisis, control y supervisión, garantizando un adecuado nivel de
independencia.
c) Garantizar la correcta utilización de los instrumentos para el control y cobertura de los riesgos y
su registro.
d) Informar con transparencia sobre los riesgos del CDECSIC y el funcionamiento de los sistemas
desarrollados para su control al Directorio, manteniendo los canales adecuados para
favorecerla comunicación.
e) Alinear con la Política General de Control y Gestión de Riesgos todas las políticas y
procedimientos específicos que sea necesario desarrollar en materia de control de riesgos en
todas las actividades del CDECSIC.
f) Asegurar un cumplimiento adecuado de las políticas, procedimientos y sistemas, y su
actualización y mejora continua en el marco de las mejores prácticas de transparencia y
gobierno corporativo, e instrumentar su seguimiento y medición.
g) Actuar en todo momento al amparo de la ley, sus reglamentos, el Código de Gobierno
Corporativo y del Sistema de Control Interno del CDECSIC.
6. Sistema de Control y Gestión de Riesgos
Esta política y sus principios se materializan a través de una adecuada definición y asignación de
funciones y responsabilidades a nivel operativo y en procedimientos, metodologías y herramientas
de soporte, adecuados a las distintas etapas y actividades del sistema, y que incluye:
a) La identificación de los riesgos relevantes para el CDECSIC, sean estos financieros, regulatorios,
operacionales, legales, informáticos, de gobierno corporativo, de control interno y otros
relevantes, atendiendo a su posible incidencia sobre los objetivos críticos de gestión, nuevas
inversiones y los estados de situación del CDECSIC.
b) El análisis de dichos riesgos, tanto en cada una de sus funciones, como su efecto en el CDECSIC
como conjunto.
Política de Control y Gestión de Riesgos
c) El establecimiento de una estructura de políticas, directrices, controles y límites, así como de
los correspondientes mecanismos para su aprobación y aplicación, que permitan contribuir de
forma eficaz, a que la gestión de los riesgos se realice de acuerdo con los criterios definidos por
el Directorio del CDECSIC.
d) La implantación y control del cumplimiento de las políticas, directrices, controles y límites, a
través de planes de auditoría, procedimientos y sistemas adecuados, incluyendo los planes de
contingencia necesarios para mitigar el impacto de la materialización de los riesgos.
e) La medición y control de los riesgos siguiendo procedimientos y estándares homogéneos y
comunes a todo el CDECSIC.
f) Los sistemas de información y control interno que permiten realizar una evaluación y
comunicación periódica y transparente de los resultados del seguimiento del control y gestión
de riesgos, incluyendo el cumplimiento de las políticas y sus límites.
g) La evaluación continua de la idoneidad y eficacia de la aplicación del sistema de control y de las
mejores prácticas y recomendaciones en materia de riesgos para su eventual incorporación al
modelo de gestión.
h) Las auditorías de procesos efectuadas anualmente por el área de Auditoría Interna.
7. Sistema de Control interno
La estructura del Sistema de Control Interno del CDECSIC se establece en base al modelo de las 3
líneas de defensa, en el cual se distinguen 3 grupos (o líneas) que participan en una efectiva
gestión de riesgos:



Primera línea de defensa: Son los propietarios de los riesgos y por ende los encargados de
gestionarlos. Esta labor corresponde a los Subdirectores y Jefes del CDECSIC, quienes deben
mantener un control interno efectivo y ejecutar los controles requeridos de forma
permanente. Este grupo reporta a la alta dirección que en el CDEC SIC corresponde a los
Directores Técnicos.
Segunda línea de defensa: Se encarga de supervisar los riesgos existentes y puede
enfocarse en el monitoreo de riesgos específicos, tales como el incumplimiento de leyes y
regulaciones aplicables. En el caso del CDECSIC, esta función corresponde al Área de
Regulación y Contraloría Técnica, la cual también reporta a la alta dirección.
Tercera línea de defensa: se encuentra a cargo de Auditoría Interna y proporciona
aseguramiento independiente al reportar a la alta dirección así como también reportar
directamente al organismo de gobierno corporativo, es decir, al Directorio y al Comité de
Auditoría y Riesgo del CDECSIC. El aseguramiento abarca la efectividad del gobierno
corporativo, la gestión de riesgos y el control interno.
Política de Control y Gestión de Riesgos
El esquema de este sistema se muestra a continuación:
8. Plan Anual de Evaluaciones de Riesgos
La aplicación de esta política dará también origen a un Plan Anual de Evaluaciones de Riesgo y sus
eventuales medidas de mitigación, que será propuesto por Auditoría Interna, revisado por el Comité
de Riesgo y Auditoría y aprobado por el Directorio.
Política de Control y Gestión de Riesgos
Descargar