La mutualidad, junto con aplicar lo señalado en la Letra B, Título II, de este Libro VII, sobre sistema de control interno, deberá implementar un sistema estructurado bajo el cual los riesgos operacionales sean identificados, analizados, evaluados, monitoreados y controlados, realizando al menos las siguientes actividades:

1. La mutualidad deberá identificar los macroprocesos, procesos y subprocesos en los que se descomponen las actividades efectuadas por la entidad, y sus interrelaciones con total cobertura de sus procesos, identificando a los respectivos dueños. De existir un área especializada en gestión de riesgos, será ésta quién asuma dicha función.

2. Los dueños de procesos deberán describir de manera precisa los macroprocesos, procesos y subprocesos, por medio de diagramas de flujos, matrices de riesgos u otros equivalentes.

3. El área responsable de la gestión de riesgos en conjunto con el dueño de cada proceso, deberá:

   1. Identificar y evaluar los diferentes riesgos y factores que influyen sobre éstos mediante un análisis combinado de riesgo inherente, impacto y probabilidad de materialización, considerando la efectividad de las actividades de control implementadas para mitigar dichos riesgos. A partir de ello, se deberá estimar el riesgo residual. Esta evaluación se deberá documentar en una matriz de riesgos y controles.

   2. Comparar el resultado de esta evaluación con el nivel de riesgo aceptado, definido en la política de gestión de riesgo operacional.

   3. Realizar, al menos una vez al año, revaluaciones de los riesgos de la entidad con el fin de asegurar la visión actualizada de los riesgos a los que se encuentra expuesta la entidad, así como la consideración de un correcto nivel de exposición al riesgo.

   4. Analizar las distintas opciones para el tratamiento de los riesgos, definidas en la política de gestión de riesgo operacional, preparando planes de acción para su tratamiento y definir la forma en que estos últimos se implementarán. Esta decisión se deberá documentar en la matriz de riesgos y controles, la cual, en este ámbito, deberá indicar para cada proceso o subproceso revisado, a lo menos lo siguiente, según corresponda:

      • Macro proceso, proceso y sub proceso al cual pertenece.
      • Descripción del evento de riesgo.
      • Identificación de las causas del riesgo.
      • Categoría de riesgo operacional.
      • Nivel de riesgo inherente, residual y efectividad de los controles existentes.
      • Descripción de controles y objetivos de control (para los controles existentes).
      • Descripción de la acción a tomar (para la implementación de planes de mitigación).
      • Responsable de la implementación de planes de mitigación.
      • Plazo y estado de la implementación de planes de mitigación.
      • Apoyo de otras áreas de la entidad para la implementación de planes de mitigación.
   5. Mantener actualizada y disponible en todo momento la documentación asociada.
4. Las mutualidades deberán monitorear de forma permanente sus principales riesgos, junto a la efectividad de las actividades de control implementadas.
   
   Los resultados del monitoreo deberán ser informados periódicamente a los miembros del directorio, comité de riesgos, gerencia general y a los dueños de procesos si fuera el caso, a través de reportes periódicos. Para tales efectos, la mutualidad deberán implementar indicadores para realizar el monitoreo sobre:
   • Los riesgos de la entidad y su evolución.
   • La evolución de los impactos asociados a los eventos de riesgo operacional.
   • Los factores de riesgo asociados.
   • La efectividad de medidas de control implementadas o existentes.