1. Directorio
   
   Se considerará buena práctica que el directorio contemple entre sus funciones la responsabilidad de la gestión de riesgos y determinación de la estrategia general de gestión de riesgos de la entidad, pudiendo en todo caso delegar en la gerencia general su implementación adecuada y eficiente. Las funciones del Directorio, en esta materia, debieran comprenden al menos las recomendaciones indicadas en la Letra B, Título I, de este Libro VII.

2. Comité de riesgos
   
   Es recomendable que el directorio, de modo de involucrarse activamente en la gestión de riesgos, constituya un comité de riesgos, el cual sesione periódicamente y se componga a lo menos por un director representante de las entidades empleadoras adherentes y un director representante de los trabajadores, y que cuente con la participación permanente de asesores externos y del responsable del área especializada en la gestión de riesgos, con derecho a voz, pudiendo ser excluidos de las deliberaciones en cualquier momento a petición de un director.
   
   Se considerará buena práctica que los asesores externos sean elegidos por los directores que integren el comité, debiendo quedar constancia de la elección en el acta respectiva. Además, es recomendable que suscriban un contrato de prestación de servicios donde se establezca claramente el contexto en el cual se genera la contratación, el objeto o finalidad de la prestación de servicios, los derechos y obligaciones de las partes, el valor pagado por la prestación y su periodicidad, la duración de la prestación, las condiciones de término del contrato, los mecanismos de solución de controversias, entre otros.
   
   De igual modo, el estatuto del comité, aprobado por el directorio, debiese ser remitido a la Superintendencia de Seguridad Social en el mes siguiente a haber adoptado el respectivo acuerdo, así como sus modificaciones posteriores. El estatuto debe establecer los objetivos, funciones, responsabilidades, frecuencia de reuniones y todos aquellos aspectos necesarios para su adecuada constitución y funcionamiento.
   
   Asimismo, todas las decisiones y aspectos relevantes que se traten en el comité debiesen quedar registrados de manera formal a través de un acta, donde se deje constancia de los argumentos entregados por cada uno de los participantes respecto de las materias tratadas en cada sesión.
   
   Será buena práctica que las funciones del comité de riesgos comprendan al menos:

   1. Definir y proponer al directorio, la estrategia y las políticas de gestión de riesgos para la mutualidad.
   2. Conocer en detalle los niveles de exposición y los riesgos asumidos con base en la metodología aprobada por el directorio.
   3. Proponer al directorio los criterios de aceptación de los riesgos que se desean gestionar dentro de la mutualidad, de acuerdo con su ámbito de actividad, a los objetivos estratégicos y a la metodología de administración de riesgos establecida y aprobada.
   4. Informar al directorio de los resultados obtenidos por las diferentes gerencias responsables, en relación a los riesgos asumidos, considerando los informes de gestión y monitoreo de riesgos generados por el área especializada en la gestión de riesgos.
   5. Evaluar regularmente la efectividad general de las técnicas de administración e infraestructura tecnológica, para la gestión de riesgos, teniendo como base los informes presentados por el área especializada en la gestión de riesgos, por la unidad de auditoría interna y por los auditores externos.
   6. Aprobar los planes de capacitación propuestos por el área especializada en la gestión de riesgos, destinados a fortalecer los conocimientos en materia de riesgos al interior de la mutualidad.
   7. Asegurar que los criterios establecidos en las políticas de gestión de riesgos se consideren en la definición de nuevos proyectos y servicios.

3. Gerencia general
   
   Se considerará buena práctica que el directorio asigne a la gerencia general la responsabilidad de ejecutar en forma efectiva y eficiente el modelo de gestión de riesgos, todo ello de acuerdo con las políticas, los manuales y los procedimientos previamente establecidos.
   
   Entre las responsabilidades del gerente general se debiesen considerar las siguientes:

   1. Asegurar la implementación y funcionamiento del sistema de gestión de riesgos en la mutualidad e informar periódicamente al directorio y al comité de riesgos, sobre los principales riesgos de la entidad y los planes de tratamiento adoptados.
   2. Informar a toda la organización, como también al público en general, los lineamientos principales de la gestión de riesgos, a través de la memoria institucional, los estados financieros, el sitio web institucional y de otros medios que estime convenientes.
   3. Asegurar que las recomendaciones y opinión de auditores internos y externos, sean adoptadas adecuadamente.

4. Áreas funcionales y de apoyo
   
   Se considerará buena práctica que las distintas áreas de la mutualidad (tomadoras de riesgos), se involucren activamente en la gestión de los riesgos, siendo responsables del funcionamiento del sistema de gestión de riesgos dentro de su área. Para tal efecto contarán con el asesoramiento del área especializada en la gestión de riesgos.
   
   Es recomendable que las distintas áreas funcionales y de apoyo tengan entre sus funciones, las siguientes:

   1. Evaluar e informar, según corresponda, respecto al estado actual y exposición al riesgo, de acuerdo a las políticas y los manuales de riesgos definidos por la mutualidad, en conjunto con el área especializada en la gestión de riesgos.
   2. Velar que las directrices de las áreas sean consistentes con las políticas y los manuales de gestión de riesgos definidos por la mutualidad.
   3. Revisar y evaluar periódicamente los resultados obtenidos de la gestión de riesgos en relación a sus procesos y cambios en éstos.
   4. Validar los procesos de reporte e indicadores de riesgo dentro del área, en conjunto con el área especializada en la gestión de riesgos, así como también la información a reportar.
   5. Definir, evaluar e implementar los planes de mitigación realizados en conjunto con el área especializada en la gestión de riesgos, de acuerdo a las políticas y los manuales de gestión de riesgos definidos por la mutualidad.
   6. Prestar el apoyo necesario para la realización de las actividades relacionadas a la gestión de riesgos, en conjunto con el área especializada en la gestión de riesgos, que permitan a la mutualidad llevar a cabo una adecuada gestión de éstos.
   7. Proponer al comité de riesgos, en conjunto y a través del área especializada en la gestión de riesgos, el nivel de riesgo aceptable, para su aprobación y gestión.

5. Área especializada en la gestión de riesgos
   
   Se considerará buena práctica que las mutualidades cuenten con un área especializada en la gestión de riesgos, la cual debe ser independiente de las áreas funcionales y de apoyo, que disponga de recursos suficientes para el pleno desarrollo de sus actividades, y que goce de la autonomía necesaria para la toma de decisiones.
   
   Es recomendable que la gestión de riesgos esté a cargo de un profesional, con dependencia directa de la gerencia general, que pueda requerir a las distintas gerencias y unidades, la información necesaria para cumplir con su cometido y que pueda ejercer autoridad o influencia suficiente para detener u objetar operaciones riesgosas.
   
   Sin perjuicio que el área especializada en la gestión de riesgos dependa del gerente general, se estima necesario que dicha área reporte también al comité de riesgos y al directorio. Por otra parte, es recomendable que la contratación y remoción del encargado de esta área, se efectúe con la aprobación del directorio, lo que deberá ser informado a la Superintendencia de Seguridad Social, junto con el envío de la correspondiente acta de directorio, donde conste la contratación o remoción, y se indiquen, en este último caso, las causas de la desvinculación.
   
   Es importante que el profesional a cargo de la gestión de riesgos, posea dominio respecto a las actividades de la organización y sus procesos, que esté en pleno conocimiento de las políticas de gestión de riesgos (incluido el apetito por riesgo), y que tenga la capacidad profesional para evaluar la importancia de los distintos riesgos de la entidad y juzgar los costos y beneficios de las actividades de control.
   
   Es recomendable que dicha área tenga a cargo, entre otras funciones, las siguientes:

   1. Proveer el apropiado marco de políticas para establecer los estándares mínimos de control interno dentro de los cuales la mutualidad debe administrar sus riesgos.
   2. Desarrollar, actualizar, proponer cambios y comunicar las estrategias, políticas, manuales, procedimientos y metodología de gestión de riesgos.
   3. Dar soporte técnico al directorio y a las demás áreas funcionales y de apoyo, en las distintas actividades necesarias para la implementación y ejecución de la metodología de gestión de riesgos.
   4. Conocer en detalle los niveles de exposición y los riesgos asumidos y validados por las distintas áreas funcionales y de apoyo, aplicando procesos de autoevaluación periódicos o cuando cambios importantes en los procesos lo ameriten.
   5. Mantener actualizada la información contenida en la base de eventos de riesgo Operacional, y apoyar en el reporte de los eventos registrados por las áreas funcionales y de apoyo.
   6. Monitorear y evaluar el impacto de los cambios en las normativas, regulaciones, leyes, procesos, y desarrollos de nuevos servicios que alteren el actual mapa de riesgos de la mutualidad.
   7. Solicitar, consolidar y monitorear permanentemente los indicadores definidos para los distintos riesgos establecidos en las políticas de gestión de riesgos, así como también los informes sobre la gestión de riesgos.
   8. Identificar las necesidades de capacitación y difusión que permitan una mejor gestión de riesgos.
   9. Informar, a lo menos cada seis meses, al directorio, al comité de riesgos, al comité de auditoría si corresponde, a la gerencia general y a los dueños de procesos, sobre el cumplimiento de las políticas y los manuales de gestión de riesgos definidos por la mutualidad, así como también respecto a los indicadores de riesgo definidos y los incidentes más significativos ocurridos. De la presentación que se efectúe, su discusión y aprobación, debe quedar constancia en las actas de sesión de directorio y comités correspondientes.
   
   Se podrán delegar determinadas funciones de las indicadas precedentemente, tales como la realización de pruebas a los procedimientos y controles, en personas o entidades calificadas externas, bajo supervisión y responsabilidad de área especializada en la gestión de riesgos.

6. Auditoría interna
   
   La unidad de auditoría interna debe depender directamente del directorio, y tiene como función evaluar el cumplimiento de los procedimientos utilizados para la gestión de cada uno de los riesgos a los que se ve expuesta la mutualidad, de acuerdo a las exigencias contenidas en las presentes instrucciones.
   
   El rol de auditoría interna debe ser independiente del área encargada de la gestión de riesgos, debiendo a su vez contar con los recursos necesarios, la autonomía y la objetividad que le permitan entregar información relevante sobre la calidad de la gestión de riesgos que se realiza en la mutualidad, para la toma de decisiones del directorio.
   
   De manera específica, la unidad de auditoría interna debe realizar, entre otras, las siguientes actividades:

   1. Monitorear el cumplimiento de la metodología establecida para la implementación y funcionamiento del sistema de gestión de riesgos.
   2. Proveer una visión independiente de la efectividad del enfoque y la implementación de la metodología de gestión de riesgos.
   3. Verificar que la gestión de riesgos esté presente de manera transversal y correctamente integrada en el funcionamiento de la mutualidad.
   4. Validar el adecuado cumplimiento y seguimiento de los planes de mitigación de riesgos, además de los procedimientos para la revisión y actualización del sistema de gestión de riesgos.
   5. Validar los procedimientos de reportes de la información de gestión de riesgos generados para los distintos niveles de la organización.

La unidad de auditoría interna debe reportar directamente al directorio, al comité de riesgos y al comité de auditoría, si corresponde, respecto de los resultados obtenidos de las actividades señaladas precedentemente.