La C.C.A.F., con la información disponible, deberá establecer un sistema integral de gestión del riesgo de obtención improcedente de beneficios o de recursos que contemple, al menos, las siguientes fases críticas: prevención, detección, respuesta y reporte. Este sistema deberá estar alineado con los sistemas de gestión de riesgos ya implementados y deberá considerar el uso de herramientas tecnológicas adecuadas, basadas en ciencia de datos, para su identificación y mitigación.

Además, el sistema complementará la evaluación de los riesgos operacionales y sus definiciones, para así identificar las áreas más vulnerables dentro de los procesos, líneas de negocio y áreas organizacionales de la entidad, que puedan ser afectadas por el riesgo de obtención improcedente de beneficios o de recursos.

El enfoque adoptado por la C.C.A.F. podrá estar basado en el uso de estándares internacionales o hacer referencia a alguno de ellos, considerando las buenas prácticas existentes, y garantizando una gestión estructurada y proactiva del riesgo de obtención improcedente de beneficios o de recursos. Esto implica la evaluación continua de los riesgos, la implementación de controles específicos y el uso de análisis de datos para la detección temprana de patrones sospechosos, así como la respuesta oportuna y el seguimiento de cualquier obtención improcedente de beneficios o de recursos detectado o materializado.

1. Rol del Directorio

   El Directorio de la C.C.A.F. tiene la responsabilidad principal de asegurar la implementación efectiva del sistema de gestión del riesgo de obtención improcedente de beneficios o de recursos. Este sistema podrá estar alineado y complementado con el Modelo de Prevención de Delitos establecido, considerando la relación entre obtención improcedente de beneficios o de recursos y delitos como el lavado y blanqueo de activos.

   Dentro de sus funciones más relevantes se encuentran las siguientes:

   1. Aprobación de la Política de Gestión del Riesgo: El Directorio debe aprobar una política clara y detallada que establezca las directrices para la prevención, detección y respuesta ante obtención improcedente de beneficios o de recursos. Esta política debe estar alineada con las normativas vigentes y los estándares internacionales de buenas prácticas.
   2. Revisión periódica de la Política de Gestión del Riesgo: El Directorio debe revisar anualmente la Política de Gestión de Riesgo de obtención improcedente de beneficios o de recursos, adecuándose a los escenarios cambiantes de este tipo de riesgo.
   3. Asignación de Recursos: El Directorio debe garantizar la asignación adecuada de recursos financieros, tecnológicos y humanos para la implementación y mantenimiento del sistema de gestión del riesgo de obtención improcedente de beneficios o de recursos, asegurando que estos recursos sean suficientes para cubrir los procesos y líneas de negocio de la organización.
   4. Promoción de una Cultura Ética: El Directorio tiene la responsabilidad de promover una cultura organizacional basada en la ética, fomentando la transparencia en todas las operaciones de la entidad. Esto incluye la implementación de programas de capacitación y concientización para todos los niveles de la organización.
   5. Establecimiento de Canales de Denuncia: El Directorio debe garantizar la existencia de uno o más canales de denuncia, con la posibilidad de ser anónimos, seguros y confidenciales que permitan a los empleados, afiliados y otros a reportar actividades tendientes a la obtención improcedente de beneficios o recursos.

2. Rol de la Administración

   La Administración de la C.C.A.F. es responsable de la ejecución diaria del sistema de gestión del riesgo de obtención improcedente de beneficios o de recursos, asegurando que las políticas y directrices aprobadas por el Directorio se implementen de manera efectiva. Dentro de sus funciones más relevantes se encuentran las siguientes:

   1. Implementación de la Política de Gestión del Riesgo: La Administración debe desarrollar e implementar procedimientos específicos para aplicar la política de gestión del riesgo de obtención improcedente de beneficios o recursos en los procesos y líneas de negocio considerados como vulnerables por la organización, con flexibilidad en la metodología que adopte. Para lo anterior, la Caja deberá implementar una matriz de riesgos para identificar los riesgos asociados.

      Esto incluye la creación de controles preventivos, mecanismos de detección y protocolos de respuesta.

   2. Evaluación Periódica: La Administración debe llevar a cabo evaluaciones periódicas del riesgo de obtención improcedente de beneficios o de recursos en todas las líneas de negocio y procesos, identificando las áreas más vulnerables y adaptando los controles según sea necesario para mitigar estos riesgos, complementando la gestión y herramientas del Sistema de Gestión del Riesgo Operacional.
   3. Monitoreo y Auditoría: La Administración debe implementar y mantener un sistema de monitoreo continuo del riesgo de obtención improcedente de beneficios o de recursos y desarrollar auditorías internas para la detección de actividades sospechosas y la evaluación de la efectividad de los controles existentes dentro del sistema de gestión del riesgo de obtención improcedente de beneficios o de recursos. Esto incluye el uso de herramientas tecnológicas idóneas para el análisis de datos, la detección de patrones anómalos, y la identificación temprana de riesgos emergentes.
   4. Gestión de Incidentes: La Administración es responsable de gestionar los incidentes de obtención improcedente de beneficios o de recursos que se detecten, incluyendo la recolección de antecedentes, la coordinación de investigaciones internas y externas, su reporte y denuncia, así como la implementación de medidas correctivas.
   5. Capacitación y Concientización: La Administración debe asegurar que todos los empleados reciban capacitación regular sobre materias relativas a la obtención improcedente de beneficios o de recursos, las mejores prácticas y los procedimientos de denuncia, promoviendo así una cultura de prevención en toda la organización.
   6. Informe de autoevaluación sobre la Gestión del Riesgo: Anualmente, la Administración deberá presentar al Directorio un informe detallado de la gestión realizada, incluyendo las auditorías realizadas, y las recomendaciones de mejora, con el objetivo que el sistema evolucione y se fortalezca constantemente en respuesta a los nuevos desafíos. Este informe deberá ser remitido a esta Superintendencia en el mes de abril de cada año.
   7. La Administración debe velar por la efectiva operación del sistema de gestión del riesgo de obtención improcedente de beneficios o recursos, implementado por la C.C.A.F.