Santiago de Chile, 19 de Diciembre de 2011

1. Implementación de un sistema de supervisión del riesgo operacional aplicable a las CCAF Santiago de Chile, 19 de Diciembre de 2011

2. Contenido Índice Fundamentos de Riesgo Operacional Resumen del Diagnóstico de CCAFs

3. Fundamentos de Riesgo Operacional – Aspectos generales Se define Riesgo Operacionalcomo el riesgo de pérdida resultante de una falta de adecuación o de un fallo de los procesos, el personal y los sistemas internos, o bien derivado de acontecimientos externos. Categorías de Riesgo Pérdidas derivadas de … Ejemplos en las CCAFs … • Actuaciones encaminadas a defraudar, apropiarse de bienes indebidamente o a soslayar regulaciones o políticas empresariales en las que se encuentra implicada, al menos, una parte interna a la empresa en beneficio propio. • Apropiación de fondos de la Caja • Otorgación sin facultades de créditos sociales Fraude interno • Actuaciones encaminadas a defraudar, apropiarse de bienes indebidamente o a soslayar la legislación, por parte un tercero. • Atraco a sucursales de la Caja • Falsificación de documentación para el cobro de prestaciones Fraude externo • Actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o seguridad en el empleo, del pago de reclamaciones a las personas, o de diversidad/ discriminación. • Resolución improcedente de contratos con empleados • Incumplimiento de normativa laboral Relaciones laborales • Sanciones e indemnizaciones por litigios por infracciones de la normativa vigente y por reclamaciones de clientes que se consideren perjudicados por la acción u omisión de la Entidad en la comercialización de productos/ servicios. • Sanciones por el incumplimiento de normativa de SUSESO • Errores en el abono por excesos Prácticas con clientes y productos • Desastres naturales (p.e. terremotos) • Actos vandálicos en sucursales o edificios centrales • Daños a activos materiales como consecuencia de desastres naturales u otros acontecimientos. Daños en activos físicos • Pérdidas directas derivadas de fallos en los sistemas que soportan la actividad de la Entidad • Pérdida irrecuperable de datos de backup • Cajeros no operativos Fallos en los sistemas • Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores. • Errores en la formalización de documentos • Diferencias de caja en las sucursales Ejecución de procesos

4. Relevancia Relevancia a Ámbito Elemento Comentarios actual futuro · Estrechamiento de márgenes Márgenes de · Contención / disminución de negocio pérdidas operacionales ( gestión activa) · Incorporación a los modelos de Interno Solvencia capital de estimaciones por modelos internos · Consolidación como uno de los elementos clave a considerar en todo Entorno de control modelo de control por procesos/activos · La relevancia ante posibles Requerimiento materializaciones de los riesgos operacionales implica elevada regulatorios/superv. presión supervisora · Desarrollo de vínculos entre los Reputación modelos de gestión de reputación corporativa corporativa y el input procedente de Externo Riesgo Operacional · Incremento de la intensidad de Agencias de Rating consideración en las agencias de rating · En ámbitos muy concretos puede ser un factor de discriminación entre Medios y sociedad Entidades perceptible por clientes/sociedad Fundamentos de Riesgo Operacional – Aspectos generales La gestión del Riesgo Operacional cobra especial relevancia por su impacto directo en los distintos ámbitos de afectación a los distintos grupos de interés (supervisor, directivos y accionistas, clientes, empleados, agencias de rating, sociedad, …)

5. Fundamentos de Riesgo Operacional – Aspectos generales Los supervisores y reguladores de los distintos sectores han ido tomando un papel activo en el control y revisión de los modelos de gestión del riesgo operacional de las distintas Entidades, que queda formalizado a través normativas regulatorias y el establecimiento de estructuras específicas de apoyo a la supervisión de este riesgo. Supervisor de RO en Chile Alcance de supervisión • SBIF, a través de Circular 3.427 y norma 119-20/7 Entidades Financieras • Todas las Entidades fiscalizadas, con mismo nivel de rigurosidad y requerimientos • Todos los procesos (negocio y soporte), a través de una visión única e integral de las Entidades • SVS, a través de Circular 1939 de 2009 Entidades de Valores y Seguros • Superintendencia de Pensiones, a través del Modelo de Supervisión Basada en Riesgos AFPs y AFCs • SBIF, a través de Circular 3.427 y norma 119-20/7, abordando desde emisores no financieros (tarjetas de crédito) Entidades de Retail Cajas de Compensación y AF • SUSESO, a través del Reglamento en estado de consulta

6. y Entidad Entidad Fundamentos de Riesgo Operacional – Elementos en la gestión La adecuada integración en la gestión se alcanza a través del desarrollo de una serie de elementos que definen el modelo de gestión del riesgo operacional en las Entidades. En el panorama internacional existe un amplio consenso sobre los elementos a considerar, si bien, surgen diferencias en la definición detallada de cada elemento y en el grado de implantación que presentan las entidades. 8 10 Políticas de gestión 9 Estimación de Capital • Políticas de aceptación / mitigación del riesgo • Nuevos productos, procesos, outsourcing… • Capital por riesgo operacional • Integración con capital económico 7 1 Marco de Gestión Mitigación • Definición de gobierno, metodologías y criterios • Definición organizativa (roles / responsabilidades) 6 10 elementos en la Gestión del riesgo operacional Información de gestión Revisión independiente (Validación / Auditoria) 2 5 Mapa de Riesgos Indicadores - KRIs • Identificación de riesgos • Ubicación en procesos y asociación de controles • Identificación • Seguimiento y gestión de alertas 3 4 BD de Pérdidas Evaluación de riesgos • Identificación de pérdidas • Procedimientos de captura y calidad • Cuestionarios de autoevaluación • Análisis de escenarios

7. Resumen diagnóstico de situación de las CCAF en la Gestión del Riesgo Operacional Santiago de Chile, 19 de Diciembre de 2011

8. Contenido Índice Fundamentos de Riesgo Operacional Resumen del Diagnóstico de CCAFs

9. Resumen del Diagnóstico CCAFs en Riesgo Operacional La gestión del riesgo operacional dentro de las Cajas de Compensación se encuentra en fase inicial de implantación y de consolidación dentro de las mismas. El nivel de madurez que presentan las distintas metodologías de gestión presentan diferencias que varían de Entidad en Entidad: Evaluación Grado de cumplimiento1 (+) (-) Definir las funciones y estructuras que formalicen la gestión del riesgo operacional. Establecer los órganos de gobierno; Organización y Modelo de Gobierno Identificar, evaluar y priorizar el riesgo operacional asociado a las actividades de la CCAF; Identificación de los focos de Exposición al RO Registro y seguimiento de Pérdidas Seguir las pérdidas operacionales ocurridas en la CCAF y las causas que las han suscitado; Informar periódicamente del perfil de riesgo operacional y las de exposiciones sustanciales a los órganos de decisión y Direcciones Generación de información para la gestión Disponer de políticas para mitigar los riesgos operacionales más relevantes. Asegurar cumplimiento de planes de mitigación; Gestión activa y mitigación (1) Considérese únicamente como una aproximación ilustrativa, sobre toma de conocimiento de Caja Los Andes, Caja Los Héroes, Caja La Araucana y Caja Gabriela Mistral.

10. Diagnóstico de gestión del riesgo operacional por las CCAFs Potenciar el desarrollo de la función de gestión de Riesgo Operacional en las Entidades, tanto a nivel de Unidad Coordinadora como a nivel descentralizado en las Áreas Organización y Gobierno Situación de las Cajas C1 C2 C3 C4 Distribución de funciones en la Gestión de Riesgo Operacional. Estructura de Comités. Unidades centralizadas de Riesgo Operacional. Funciones de Riesgo Operacional en las Áreas. Grado de cobertura del perímetro de Riesgo Operacional. (-) (+) Nivel :

11. Diagnóstico de gestión del riesgo operacional por las CCAFs Configurar el mapa de procesos y el mapa de riesgos como elementos estructurales de la gestión del riesgo y que permitan alcanzar sinergias con otras iniciativas Mapa de Procesos y Riesgos Situación de las Cajas C1 C2 C3 C4 Metodología de gestión de mapas de procesos. Metodología para la definición del Mapa de Riesgos. Líneas de Negocioconsideradas. Tipologías de Riesgoconsideradas. Metodologías de levantamiento de los Riesgos Operacionales individuales. (-) (+) Nivel :

12. Diagnóstico de gestión del riesgo operacional por las CCAFs Definir metodología integral de evaluación de los riesgos y entorno de control que permita cuantificar el nivel de exposición existente al riesgo operacional Evaluación de Riesgos Situación de las Cajas C1 C2 C3 C4 Tipologías y contenidos de los cuestionarios cualitativos. Valoración del nivel de exposición al riesgo. Valoración del entorno de control por cada riesgo. Valoración de aspectos cualitativos no cuantificables. Generación de las campañas de valoración. (-) (+) Nivel :

13. Diagnóstico de gestión del riesgo operacional por las CCAFs Definir metodología integral de evaluación de los riesgos y entorno de control que permita cuantificar el nivel de exposición existente al riesgo operacional Evaluación de Riesgos Situación de las Cajas C1 C2 C3 C4 Contraste y validación de resultados. Realimentación a lasÁreas. Reporting. (-) (+) Nivel :

14. Diagnóstico de gestión del riesgo operacional por las CCAFs Creación de base de datos de eventos y posterior adopción como un elemento básico en el aporte de información valiosa para la gestión Base de Pérdidas Situación de las Cajas C1 C2 C3 C4 Ámbito de aplicación de la Base de Perdidas. Importes de Captura. Fechas de Captura. Recuperaciones. Circuitos de validación de eventos para inclusión en BDP. Gestión de seguros y coberturas. Respaldo de documentación física para eventos relevantes. (-) (+) Nivel :

15. Diagnóstico de gestión del riesgo operacional por las CCAFs Creación de base de datos de eventos y posterior adopción como un elemento básico en el aporte de información valiosa para la gestión Base de Pérdidas Situación de las Cajas C1 C2 C3 C4 Cuadre y conciliación contable: Cuentas puras y cuentas mixtas. Reporting y seguimiento. Aseguramiento de la calidad de la Base de Datos. (-) (+) Nivel :

16. Diagnóstico de gestión del riesgo operacional por las CCAFs Las metodologías principales (mapa de riesgos y captura de pérdidas) deberán ser complementadas con otras que permitan mejorar los procesos de gestión y decisión Otros aspectos metodológicos Situación de las Cajas C1 C2 C3 C4 Metodología de gestión del riesgo mediante el uso de KRI´s. Utilización de datos externos referenciales. Realización de ejercicio de modelización del riesgo operacional . (-) (+) Nivel :

17. Diagnóstico de gestión del riesgo operacional por las CCAFs Seleccionar e Implementar Herramientas de apoyo a la gestión del RO, enfocadas hacia una plataforma integral orientada a la gestión Marco Tecnológico Situación de las Cajas C1 C2 C3 C4 Interfaces de Captura. Herramientas informáticas para la gestión del Riesgo. (-) (+) Nivel :

18. Diagnóstico de gestión del riesgo operacional por las CCAFs Crear mecanismos de integración en la gestión a través de políticas de gestión activa e información en los procesos de decisión de la Entidad Integración en la gestión Situación de las Cajas C1 C2 C3 C4 Metodología en la gestión de planes. Generación de reporte obligatorio a supervisores. Gestión de la información Gestión activa. (-) (+) Nivel :

19. Resumen del Diagnóstico CCAFs – Posibilidades de Mejora Si bien el grado de implantación de las funciones de gestión del riesgo operacional varía entre Entidades, se han identificados una serie de carencias significativas a nivel global, que se pueden resumir en: Necesidad de formalización y/o fortalecimiento de las funciones/área de gestión del riesgo operacional en las Entidades 1 • Como norma general, salvando las excepciones, las Entidades se encuentran en un estadio preliminar de establecimiento de las estructuras para la gestión del riesgo operacional. En su mayoría se encuentran a la espera de que SUSESO publique la normativa de regulación para comenzar a la gestión activa del riesgo operacional. • Necesidad de formalización del modelo de gobierno (p.e. comité de RO y Comité Integral de Riesgos, que supervise la gestión del riesgo operacional). • Las funciones de gestión del riesgo operacional no se realizan de forma descentralizada y la integración en la gestión es limitada Falta de definición y mantención de Mapas (Procesos y Riesgos): 2 • Necesidad de que las Entidades realicen el levantamiento completo de sus mapas de procesos relevantes y definan las políticas de actualización de los mismos. • Necesidad de identificación de los riesgos operacionales específicos de la Entidad, no sólo en determinados procesos, sino con un enfoque de cobertura integral. • Necesidad de definir procedimientos de actualización de los riesgos dentro del mapa, a través de cuestionarios de autoevaluación, valorando el entorno de control.

20. Resumen del Diagnóstico CCAFs – Posibilidades de Mejora Si bien el grado de implantación de las funciones de gestión del riesgo operacional varía entre Entidades, se han identificados una serie de carencias significativas a nivel global, que se pueden resumir en: Inexistencia de una metodología integrada de identificación, medición y gestión (ni sistemas soporte): 3 • En términos generales, las Entidades no cuentan con metodologías integradas que definan los procedimientos de identificación ni categorización del riesgos operacionales. Del mismo modo, tampoco cuentan con metodologías que permitan cuantificar de forma cuantitativa el nivel de exposición inherente a los riesgos. • No se cuenta con sistemas (integrales o parciales) dedicados a la gestión del riesgo operacional Inexistencia de registro y gestión de una Base de Pérdidas: 4 • No se está capturando de forma sistemática las pérdidas por riesgo operacional ni existen bases específicas para ello. • No se cuentan con procedimientos de conciliación ni aseguramiento de la información. • No existe generación de reporting detallado de la evolución de pérdidas a las áreas de soporte/negocio ni a la Alta Dirección. Ausencia de políticas de gestión activa del riesgo operacional 5 • Como norma general, no existe participación de la función de riesgo operacional dentro de las estructuras de decisión de las Entidades (comité de productos, externalizaciones, modificaciones de procesos, operaciones corporativas …)

21. Resumen del Diagnóstico CCAFs – Actividades Colaborativas La situación actual de la gestión del Riesgo Operacional en las CCAFs genera una oportunidad de desarrollo colaborativo… BENEFI-CIOS • añadir dinamismo a la evolución en Riesgo Operacional, • establecer un foro conjunto con SUSESO que sea diferencial, • aprovechar sinergias y reducir la inversión individual requerida. • Las actividades colaborativas, contando con la colaboración de SUSESO, abordando, por ejemplo: • Definición clara y concisa de Riesgo Operacional, determinar qué es y qué no es. • Criterios en la identificación de pérdidas (qué considerar) y su mapeo a categorías de riesgo. • Base colaborativa de pérdidas: Las CCAFs aportan información de forma individual creando una representación conjunta del negocio, SUSESO garantiza el anonimato de eventos. • Compartir definiciones de Mapas de Procesos, Mapa de Riesgos y Mapas de Indicadores. • Definir criterios y metodologías de evaluación del riesgo acordes a los procesos del negocio.