Se deben definir las obligaciones y responsabilidades de quienes participan en el proceso de gestión de riesgo operacional. La Caja debe poseer una unidad especializada en la administración del riesgo operacional y debe disponer de los recursos necesarios, físicos, humanos y tecnológicos para cumplir a cabalidad con su labor. El tamaño de esta unidad especialista en riesgo operacional estará directamente relacionado con la complejidad y volumen de operaciones de la C.C.A.F., y estar en constante coordinación con las otras unidades especializadas que se preocupan de la gestión del riesgo de crédito, liquidez y mercado. Debe existir consistencia entre la estrategia de gestión del riesgo operacional definida por la entidad y el volumen de sus actividades. Adicionalmente, la política debe establecer la función de Auditoría Interna en la gestión del riesgo operacional que realiza la C.C.A.F.

La C.C.A.F. debe establecer los objetivos que persigue la implementación del proceso de gestión de riesgo operacional, los cuales deben estar alineados con sus objetivos estratégicos.

La C.C.A.F. debe definir con claridad los riesgos operacionales que le corresponde gestionar, con el objetivo de determinar los tipos de riesgos que serán administrados y la forma a partir de la cual, ellos serán gestionados.

La C.C.A.F. debe establecer los criterios para determinar el riesgo aceptado, el cual debe ser consecuente con los criterios de evaluación y tratamiento de riesgos y con el marco legal y reglamentario aplicable a la entidad.

La C.C.A.F. debe definir el criterio de evaluación de riesgo que mejor se adecúe a su contexto organizacional y estratégico. Además, debe especificar los criterios de tratamiento de los riesgos, junto con las variables a considerar en cada una de ellas.

La C.C.A.F. debe definir en su política la forma de entrega de información sobre la gestión del riesgo operacional a los actores relevantes (entidades supervisoras, entidades empleadoras, público en general, acreedores, entre otros).

La C.C.A.F. debe establecer la forma y periodicidad con la que se informe al Directorio y a la Gerencia General, entre otros, sobre la exposición al riesgo operacional de la Caja y de cada unidad de negocio.

La unidad responsable de la gestión de riesgo operacional, debe identificar los procesos y subprocesos en los que se descomponen las actividades efectuadas por la entidad, con total cobertura de sus procesos relevantes, identificando a los respectivos dueños de dichos procesos.

Los dueños de procesos deben describir de manera precisa los procesos y/o subprocesos, por medio de diagramas de procesos, matrices de riesgos u otros equivalentes.

La unidad responsable de la gestión de riesgo operacional en conjunto con el dueño de cada proceso debe:

1. Identificar y evaluar los diferentes riesgos y factores que influyen sobre éstos mediante un análisis combinado de riesgo inherente, impacto y probabilidad de materialización, considerando la efectividad de las actividades de control implementadas para mitigar dichos riesgos. A partir de ello, se debe estimar el riesgo residual o nivel de riesgo expuesto. Esta evaluación se debe documentar en una matriz de riesgos y controles.

2. Comparar el resultado de esta evaluación con el nivel de riesgo aceptado, definido en la política de gestión de riesgo operacional.

3. Realizar reevaluaciones de forma periódica de los riesgos de la entidad con el fin de asegurar la visión actualizada de los riesgos a los que se encuentra expuesta la entidad, así como la consideración de un correcto nivel de exposición al riesgo.

4. Mantener actualizada y disponible en todo momento la documentación asociada.

El Directorio tiene las siguientes responsabilidades específicas respecto a la gestión del riesgo operacional:

1. Definir la política general para la gestión del riesgo operacional.

2. Asignar los recursos necesarios para la adecuada gestión del riesgo operacional, a fin de contar con la infraestructura, metodología y personal apropiados.

3. Pronunciarse sobre la conveniencia de establecer un sistema de incentivos, tanto pecuniarios como no pecuniarios, que fomente la adecuada gestión del riesgo operacional y que no favorezca la toma inapropiada de riesgos.

4. Aprobar el manual de gestión del riesgo operacional.

5. Conocer los principales riesgos operacionales afrontados por la entidad, estableciendo adecuados niveles de riesgo aceptado.

6. Establecer un sistema adecuado de delegación de facultades y de segregación de funciones a través de toda la organización.

7. Obtener aseguramiento razonable que la Caja cuenta con una efectiva gestión del riesgo operacional, y que los principales riesgos identificados se encuentran bajo control dentro de los límites que han establecido.

8. Velar por el cumplimiento de las instrucciones contenidas en este Título I del Libro VI del Compendio de la Ley N°18.833.

La gerencia general tiene la responsabilidad de implementar la gestión del riesgo operacional conforme a las disposiciones del Directorio. Por su parte, los gerentes de las unidades organizativas de negocios o de apoyo tienen la responsabilidad de gestionar el riesgo operacional en su ámbito de acción, dentro de las políticas, límites y procedimientos establecidos.

La C.C.A.F. debe contar con un Comité de Riesgos, que sesione en forma periódica, instancia en la que se debe abordar de manera adecuada el riesgo operacional. En estos comités deben participar miembros del Directorio y de la Alta Gerencia de la C.C.A.F. Las decisiones y aspectos relevantes tratados en la sesión del Comité deben quedar registrados formalmente.

La Caja de Compensación debe contar con un órgano de decisión o Comité de Auditoría, que analice los resultados e informes de auditoría y de control, en términos de riesgo operacional, con el fin de obtener conclusiones y tomar acuerdos que trasladará a las Unidades y Direcciones competentes. El Comité de Auditoría debe debatir materias relativas a Riesgo Operacional en aquellos casos en los cuales a partir del proceso de auditoría interna realizado sobre las metodologías de medición y gestión del Riesgo Operacional surjan aspectos relevantes a discutir en dicha instancia. Las decisiones y aspectos relevantes tratados en la sesión del Comité deben quedar registrados formalmente.

La C.C.A.F. debe contar con una unidad especializada de gestión del riesgo operacional que cumpla, entre otras, con las siguientes funciones:

1. Proponer políticas para la gestión del riesgo operacional.

2. Participar en el diseño y permanente actualización del Manual de gestión del riesgo operacional.

3. Desarrollar la metodología para la gestión del riesgo operacional.

4. Apoyar y asistir a las demás unidades de la Caja para la aplicación de la metodología de gestión del riesgo operacional.

5. Evaluación del riesgo operacional, de forma previa al lanzamiento de nuevos productos y ante cambios importantes en el ambiente operativo o informático.

6. Consolidación y desarrollo de reportes e informes sobre la gestión del riesgo operacional por proceso, o unidades de negocio y apoyo.

7. Identificación de las necesidades de capacitación y difusión para una adecuada gestión del riesgo operacional.

8. Otras necesarias para el desarrollo de la función.

9. Informar al Directorio y a la Alta Gerencia periódicamente sobre el cumplimiento de las políticas y procedimientos de la gestión del riesgo operacional.

Esta unidad puede delegar determinadas funciones de evaluación, tales como la realización de pruebas a los procedimientos y controles, a otras personas o entidades calificadas externas. No obstante, dicha unidad seguirá siendo responsable de aquellas funciones, las cuales se efectuarán bajo su propia supervisión.

La C.C.A.F. debe asegurar que la función o unidad especializada de gestión del riesgo operacional cuente con recursos suficientes para el pleno desarrollo de sus actividades, así como independencia suficiente en la toma de decisiones.

Los funcionarios de la C.C.A.F. deben conocer y dar cumplimiento cabal a la política de gestión de riesgo operacional. Además, debe existir evidencia de la toma de conocimiento de la política.

Asimismo, la C.C.A.F. debe promover la capacitación en la gestión del riesgo operacional de su personal, considerando sus diferentes casuísticas en las responsabilidades de los distintos roles.

La Unidad y/o Gerencia de Auditoría Interna debe evaluar el cumplimiento de los procedimientos utilizados para la gestión del riesgo operacional de acuerdo con las exigencias contenidas en el presente Título I del Libro VI de este Compendio de la Ley N°18.833.

El rol de la Auditoría Interna debe ser independiente del área encargada de la gestión del riesgo operacional, y debe contar con los recursos necesarios, independencia y objetividad para entregar información para la toma de decisiones al Directorio sobre la calidad de la gestión de los riesgos que realiza la C.C.A.F.

De forma específica, la función de Auditoría Interna debe:

1. Verificar que el sistema de medición del riesgo está correctamente integrado en la gestión de la Caja de Compensación.

2. Analizar la adecuación de las infraestructuras tecnológicas y la captura y mantenimiento de los datos.

3. Verificar el correcto funcionamiento de los procedimientos y herramientas de la gestión del Riesgo Operacional, validando:

   • Los datos internos cargados en la Base de Datos de Pérdidas por Riesgo Operacional.

   • El rigor en la cumplimentación de cuestionarios.

   • La coherencia entre ambas metodologías.

   • El adecuado seguimiento de los Planes de Acción.

   • Los procedimientos para revisar y actualizar el Marco de Gestión de Riesgo Operacional.

   • Los procedimientos de reporte de la información de gestión.

La Caja debe contar con una base de datos de los eventos de pérdida por riesgo operacional. Debe tenerse en cuenta que un evento puede tener como efecto una o más pérdidas y que podrían existir recuperaciones directas o indirectas sobre las mismas, por lo cual la C.C.A.F. debe estar en capacidad de agrupar las pérdidas ocurridas por evento. La base de datos debe cumplir con los siguientes criterios:

1. Deben registrarse los eventos de pérdida originados en toda la C.C.A.F., para lo cual la entidad debe contar con políticas, procedimientos de captura, identificación y asignación de roles y responsabilidades y entrenamiento al personal que interviene en el proceso.

2. Deben registrarse de forma diferenciada cada uno de los impactos económicos y recuperaciones, tanto directas como por seguros, asociadas al evento de pérdidas. Para cada uno de ellos, se deben registrar las categorizaciones, fechas y valores que permitan su completa caracterización sin netear.

3. Debe adelantarse, en lo posible, el reconocimiento y registro por parte de la Caja sobre aquellos eventos de que se tiene conocimiento o certeza razonable que acabarán generando pérdidas por riesgo operacional en la Entidad. Esto incluye a los eventos provisionados.

4. Debe registrarse, como mínimo, la siguiente información referida al evento y a las pérdidas asociadas:

   • Código único de identificación del evento.

   • Tipo de evento de pérdida, según tipos de eventos señalados en el Anexo N°1: Tipos de evento riesgo operacional nivel I y nivel II del Título I del Libro VI del Compendio de la Ley N°18.833.

   • Línea de negocio asociada, según líneas señaladas en el Anexo N°2: Líneas de negocio genéricas para C.C.A.F. del Título I del Libro VIdel Compendio de la Ley N°18.833. Estos cuadros pueden ser actualizados por la Superintendencia. En el caso de que la C.C.A.F. cuente con líneas de negocio internas, éstas deben encontrarse mapeadas a las líneas de negocio definidas en este Título I del Libro VI del Compendio de la Ley N°18.833 y sus procedimientos de asignación documentados.

   • Descripción del evento.

   • Fecha de ocurrencia o de inicio del evento.

   • Fecha de descubrimiento o toma de consciencia del evento.

   • Fecha de registro contable del evento.

   • Monto(s) bruto(s) de la(s) pérdida(s).

   • Monto total recuperado.

   • Cuenta(s) contable(s) asociadas.

   • Identificación si el evento está asociado con el riesgo de crédito.

La C.C.A.F. debe establecer y ejecutar procedimientos robustos que le permitan asegurar la conciliación de la información registrada en la Base de Pérdidas con el registro contable y que la información de pérdidas por riesgo operacional reflejada en la contabilidad se encuentre debidamente registrada en la Base de Pérdidas.

Dichos procedimientos de conciliación se deben encontrar formalizados y validados.

La C.C.A.F. debe mantener registro de las pruebas periódicas realizadas sobre la conciliación, así como los resultados obtenidos y las acciones mitigantes o correctoras desarrolladas.

La C.C.A.F. debe desarrollar de forma periódica, por lo menos una vez al año, pruebas específicas que le permitan asegurar la calidad de los datos registrados en la Base de Pérdidas, incluyendo razonabilidad de montos y fechas, así como la concentración o distribución de eventos.

Los procedimientos y el detalle de las pruebas deben estar formalizados en documentos validados.

La C.C.A.F. debe mantener registro de las pruebas periódicas realizadas sobre la calidad de los datos de la Base de Pérdidas, así como los resultados obtenidos y las acciones mitigantes o correctoras desarrolladas.

La C.C.A.F. debe mantener registro físico, a disposición de la Superintendencia de Seguridad Social, del expediente con los eventos en los cuales la pérdida asociada sea mayor o igual a 40 U.F., o que cumplan con las demás características indicadas en la letra d) del número 1 del Anexo N°3: Formato y diccionario de archivos planos y formulario web del Título I del Libro VI del Compendio de la Ley N°18.833.