NCG N° 508 de 2024

1 REF: IMPARTE INSTRUCCIONES SOBRE GOBIERNO CORPORATIVO Y GESTIÓN INTEGRAL DE RIESGOS PARA BOLSAS DE VALORES Y BOLSAS DE PRODUCTOS. MODIFICA NORMA DE CARÁCTER GENERAL N°480. _________________________________ NORMA DE CARÁCTER GENERAL N° 508 8 de mayo de 2024 A todas las bolsas de valores y bolsas de productos. Esta Comisión, en uso de las facultades conferidas en el Decreto Ley N°3.538, la Ley N°18.045 y la Ley N°19.220, y teniendo en consideración que su mandato legal es velar por el correcto funcionamiento, desarrollo y estabilidad del mercado financiero, ha estimado pertinente impartir las siguientes instrucciones respecto del gobierno corporativo y gestión de riesgos para las bolsas de valores y bolsas de productos. Las bolsas de valores y productos, con el objeto de que puedan gestionar adecuadamente los riesgos que afectan al giro exclusivo que el marco legal les ha encomendado, deberán contar, al menos, con las políticas, procedimientos, controles, estructura organizacional y roles a las que se refiere esta normativa. I. ROL DEL DIRECTORIO El directorio, como órgano de administración, es el responsable de establecer la estructura organizacional, objetivos y políticas que permitan gestionar adecuadamente los riesgos que pueden afectar las actividades que desarrolle la entidad (marco de gestión de riesgos), debiendo asegurarse de contar con una apropiada cultura de gestión de riesgos, entendida como la adecuada comprensión del gobierno corporativo y la gestión de riesgos inherentes a la entidad. Los miembros del directorio deberán contar con los conocimientos, experiencia y dedicación adecuados a este respecto. El directorio deberá dar cumplimiento, al menos, a los principios y elementos que se señalan a continuación: 1. Establecer la misión, visión y objetivos estratégicos, teniendo en consideración las responsabilidades que el marco regulatorio vigente establece para la entidad. 2. Aprobar anualmente los niveles de apetito por riesgo de aquellos previamente identificados. Una efectiva definición debiera cuantificar el nivel de riesgo que el directorio desea aceptar en consideración a los objetivos estratégicos de la entidad, los intereses de sus corredores y las responsabilidades que le son aplicables por el marco regulatorio. Además, deberá informarse continuamente del cumplimiento del apetito por riesgo. 3. Aprobar las políticas que se señalan en las secciones II, III y IV de esta normativa, considerando para ello: 2 3.1. Que las políticas de gestión de riesgos sean coherentes con la misión, visión, objetivos estratégicos, niveles de apetito por riesgo y el marco regulatorio que le es aplicable a la entidad. 3.2. Que las políticas estén alineadas con estándares internacionales de común aceptación o mejores prácticas. 3.3. Que las políticas se revisen y actualicen al menos anualmente, o con la frecuencia necesaria en caso de que se produzcan cambios significativos, tales como cambios en la regulación aplicable a la entidad o la introducción de nuevos productos o servicios. 4. Velar por que la administración de la entidad establezca los procedimientos que permitan implementar las políticas aprobadas por el directorio. Dichos procedimientos deberán ser aprobados por el gerente general, o por un comité integrado por al menos un miembro del directorio, y ser actualizados cuando el directorio modifique las políticas relacionadas al procedimiento. 5. Aprobar las normas de conducta contenidas en el código de autorregulación de la Norma de Carácter General N°424. 6. Establecer una estructura organizacional adecuada para la gestión de riesgos de la entidad, que considere lo siguiente: 6.1. La definición de los roles, competencias y responsabilidades que permitan realizar sus actividades y gestionar adecuadamente los riesgos que enfrenta la entidad. Lo anterior involucra la segregación apropiada de los deberes y las funciones claves, especialmente aquéllas que, si fueran realizadas por una misma persona, puedan dar lugar a errores que no se detecten o que expongan a la entidad o sus corredores a riesgos no deseados o no mitigados y controlados; y entre las áreas generadoras de riesgo y de control de éstos. 6.2. La implementación de la función de gestión de riesgos, de conformidad con lo establecido en la sección III. 6.3. La implementación de la función de auditoría interna, de conformidad con lo establecido en la sección IV. 6.4. La implementación de la función de auditoría a corredores, de conformidad con lo establecido en la sección V. 6.5. El cumplimiento de la segregación de funciones y la independencia entre las funciones de gestión de riesgos, de auditoría interna y de auditoría a corredores. 7. Contar con Comités de Auditoría Interna y de Gestión de Riesgos, este último referido a la gestión de todos los riesgos objeto de esta normativa, incluido el riesgo operacional. Sin perjuicio de ello, el directorio deberá evaluar la pertinencia de conformar otros comités que le permitan analizar y monitorear aspectos relevantes de los negocios y la gestión de los riesgos, referidos a materias tales como, por ejemplo: Auditoría Interna; Prevención del Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva; Inversiones y Nuevos Servicios o Productos. El directorio deberá establecer los procedimientos para la conformación y funcionamiento de los comités, los cuales deberán quedar debidamente documentados, como también sus 3 actuaciones, las que deberán ser reportadas al directorio en forma continua, siendo responsabilidad exclusiva de este último la adopción de decisiones sobre los temas tratados. Sin perjuicio de lo anterior, los Comités de Gestión de Riesgos y de Auditoría Interna deberán estar integrados al menos por un miembro del directorio. Ningún miembro del directorio podrá participar del Comité de Gestión de Riesgos y del Comité de Auditoría Interna al mismo tiempo. La actuación de los comités que se conformen, en las materias antes mencionadas, deberá constar por escrito en actas, las que deberán reflejar con claridad los asuntos tratados. 8. Asegurar que las actas den cuenta de las principales temáticas tratadas en las sesiones del directorio y los comités. Todo el material que se elabore o presente al directorio o los comités, deberá estar debidamente documentado y archivado de conformidad a las normas generales aplicables en la materia, y estar permanentemente disponible para su examen a solicitud de esta Comisión. 9. Aprobar el plan anual de la función de gestión de riesgos y estar en conocimiento, en forma oportuna, de su cumplimiento y de los informes que elabore. 10. Aprobar el plan anual de la función de auditoría interna y estar en conocimiento, en forma oportuna, de su cumplimiento y de los informes que elabore. 11. Aprobar el plan anual de la función de auditoría a corredores y estar en conocimiento, en forma oportuna, de su cumplimiento y de los informes que elabore. 12. Establecer una política de contratación y capacitación del personal de la entidad, de forma de contar con recursos humanos calificados. Esta política deberá considerar: 12.1. La adecuada difusión de los valores, principios organizacionales y marco de gestión de riesgos de la entidad, con apego a las disposiciones legales y normativas vigentes. 12.2. La capacitación continua en relación con las actividades que realiza el personal de la entidad. 13. Establecer sistemas de registro y procesamiento de información con medidas de protección y seguridad adecuadas que permitan que: 13.1. El directorio tenga acceso oportuno a información relacionada con el desarrollo del negocio, la gestión de riesgos, y toda otra información relevante para el cumplimiento de sus funciones. 13.2. Las áreas de negocios y las funciones de gestión de riesgos, de auditoría interna y de auditoría a corredores tengan acceso a información relevante para el cumplimiento de sus funciones. 13.3. La entidad dé cumplimiento a la divulgación de información que el marco regulatorio le exige. 14. Mantener comunicaciones con la empresa de auditoría externa para conocer los avances en el plan de trabajo y analizar los principales hallazgos detectados. 15. Evaluar periódicamente la suficiencia de recursos de las funciones de gestión de riesgos, de auditoría interna y de auditoría a corredores para efectuar su labor, aprobar la asignación 4 de los recursos necesarios para dichas funciones y monitorear el grado de cumplimiento del presupuesto asignado a tal fin. II. POLÍTICAS, PROCEDIMIENTOS Y MECANISMOS DE CONTROL II.1. ASPECTOS GENERALES Las políticas, procedimientos y mecanismos de control de la entidad, deberán tener en cuenta los siguientes principios: 1. Establecer políticas, procedimientos y controles operativos efectivos que guarden relación con la actividad diaria, y respecto de cada uno de los negocios o actividades que se desarrolle. 2. Las políticas deberán exponer los principios generales y directrices establecidas por el directorio para orientar las actividades de la organización. 3. Los procedimientos deberán definir cómo llevar a cabo un proceso, con el fin de asegurar el cumplimiento de las políticas aprobadas por el directorio. Para ello, deberán incorporar, al menos: la descripción de las actividades principales que lo componen y la identificación de sus responsables; determinación de los responsables de supervisar y controlar el resultado de las actividades ejecutadas; documentación que evidencia la ejecución de las actividades que conforman los procedimientos; definición y descripción de los controles asociados a dichas actividades. En el caso de actividades externalizadas, siempre deberá existir una persona responsable dentro de la organización respecto al control de éstas. 4. Las políticas, procedimientos y mecanismos de control deberán estar formalmente establecidos y documentados, siendo consistentes con los niveles de apetito por riesgo que haya definido la entidad. 5. Las políticas y procedimientos de gestión de riesgo operacional deberán formar parte de las políticas y procedimientos de gestión de riesgos de la entidad, de acuerdo con la normativa de gestión de riesgo operacional emitida por esta Comisión. II.2. POLÍTICAS Y PROCEDIMIENTOS MÍNIMOS A IMPLEMENTAR La entidad deberá contar, al menos, con las políticas y procedimientos que se detallan a continuación. II.2.1. Mantención de instrumentos elegibles para transar en sistemas bursátiles Se deberán definir políticas y procedimientos que permitan velar por que los instrumentos sujetos a negociación en los sistemas bursátiles cumplan con los requisitos establecidos por el marco legal y normativo vigente para su transacción en los sistemas bursátiles. II.2.2. Cumplimiento de requisitos legales y normativos de funcionamiento Se deberán definir políticas y procedimientos que especifiquen la forma en que se monitoreará y garantizará el debido cumplimiento de los requisitos legales y normativos aplicables a la entidad. 5 Además, se deberá definir procedimientos en caso de presentarse eventos de incumplimiento de los requisitos legales de funcionamiento, los cuales deberán ser informados oportunamente a la Comisión. II.2.3. Inversión de recursos propios en instrumentos financieros Se deberán establecer políticas y procedimientos en las que se definan los criterios de elegibilidad, concentración, límites u otros para la inversión de recursos propios en instrumentos financieros, tales como tipo de instrumento, plazo, clasificación de riesgo, presencia bursátil, entre otros; y la forma en que se controlará el cumplimiento de estos criterios y límites. Al respecto, cumpliendo con el principio de minimizar el riesgo de inversión, la entidad deberá procurar que sus inversiones se realicen en activos de bajo riesgo de crédito, mercado y liquidez. En el caso de que la administración de las inversiones sea delegada a un tercero, se deberá definir los requisitos mínimos que deberán cumplir estos administradores. II.2.4. Acceso directo al mercado En el caso que se permita el acceso directo al mercado a los clientes de los corredores, se deberán establecer políticas y procedimientos que regulen dicho acceso, las que deberán considerar al menos los siguientes requisitos: 1. Posibilitar la identificación de las órdenes ingresadas por cada cliente con acceso directo al mercado, aunque éstas no hayan sido calzadas, de forma que exista trazabilidad íntegra de las órdenes. 2. Requerir que los intermediarios que permitan el acceso directo al mercado establezcan procedimientos reforzados para la identificación de conductas de abuso de mercado que puedan efectuar los clientes con acceso directo al mercado. En caso de identificarse dichas conductas, deberán ser comunicadas sin demora a la entidad y a esta Comisión. 3. Mantener registros que permitan identificar a las personas con acceso directo al mercado, considerando a lo menos, cédula de identidad, RUT o similar en caso de ser un cliente extranjero; nombres y apellido o razón social; representante legal, de ser el caso; persona natural con facultades suficientes para operar en la cuenta; nacionalidad; dirección y cualquier otra información que permita la identificación del cliente con acceso directo y sus apoderados. 4. Establecer mecanismos que permitan suspender operativamente en forma oportuna a los clientes con acceso directo al mercado por motivos calificados. 5. Establecer la responsabilidad del corredor por las ofertas y operaciones que el cliente con acceso directo al mercado efectúe en éste. II.2.5. Utilización de algoritmos en la negociación En caso de permitirse la negociación algorítmica, las bolsas deberán verificar el cumplimiento por parte de sus corredores de los requisitos establecidos para estos efectos en la normativa de gobierno corporativo y gestión integral de riesgos para intermediarios. 6 II.2.6. Prevención del lavado de activos, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva Las entidades deberán contar con políticas y procedimientos para el cumplimiento de las disposiciones legales y normativas relativas a la prevención del lavado de activos, financiamiento del terrorismo y financiamiento de la proliferación de armas de destrucción masiva, según lo dispuesto en la Ley N°19.913 y en la normativa dictada por la Unidad de Análisis Financiero. II.2.7. Integridad de mercado Se deberán establecer políticas y procedimientos destinados a: 1. La identificación de conductas de abuso de mercado, de aquellas establecidas en los cuerpos legales que regulan las transacciones que se efectúan en la entidad, las que deberán ser comunicadas oportunamente a esta Comisión. 2. El monitoreo del adecuado funcionamiento del mercado, debiendo ser reforzado en caso de permitirse el acceso directo al mercado y/o la negociación algorítmica. 3. La identificación y denuncia a esta Comisión, de las conductas de abuso de mercado establecidas en los cuerpos legales que regulan su actividad. II.2.8. Introducción de nuevos servicios, productos, líneas de negocio, procesos o sistemas Se deberá contar con políticas y procedimientos referidos a la implementación de nuevos productos, servicios, líneas de negocios, procesos o sistemas, que consideren al menos: 1. La verificación del cumplimiento del giro exclusivo o si corresponde a una actividad complementaria aprobada. 2. La evaluación del riesgo de su implementación y los posibles mitigadores. 3. La verificación del adecuado funcionamiento de los servicios y los sistemas e infraestructuras vigentes. 4. La revisión y adecuación de los planes de continuidad. 5. La evaluación de la compatibilidad con la misión, visión y objetivos estratégicos, y con la gestión de tecnologías de información y comunicación. 6. La verificación de la mitigación de riesgos de ciberseguridad. II.2.9. Garantías de operaciones especiales En caso de requerirse garantías para operaciones especiales que se efectúen en los sistemas de negociación, se deberán establecer políticas y procedimientos referidos a: 1. La metodología utilizada para la determinación de garantías. 2. La metodología para la valorización de los instrumentos entregados en garantía. 7 3. La elegibilidad de los instrumentos a entregar en garantías. 4. La revisión periódica de las metodologías. 5. Las pruebas retrospectivas para determinar la suficiencia de las garantías. II.2.10. Custodia de instrumentos propios y de terceros Se deberán establecer políticas y procedimientos que tengan por objeto velar por: 1. El cumplimiento íntegro de las disposiciones legales, normativas y reglamentarias que rigen la actividad de custodia, incluyendo la protección de los activos de terceros ante pérdidas productos de errores o fallas en los sistemas, en las personas y en los procesos. 2. El mantenimiento de un registro de custodia con información de saldos y operaciones de sus activos mantenidos en custodia, incluyendo: transacciones y movimientos autorizados por el cliente, posiciones mantenidas por el cliente, transferencias y conciliaciones de valores efectuadas por la entidad, entre otros. La información contenida en el registro de custodia debe ponerse a disposición del cliente en forma veraz, suficiente y oportuna, de forma tal que el cliente conozca cómo se conservan sus activos y las medidas de salvaguarda de los mismos. Los activos registrados en el registro de custodia deben corresponder a los activos que el intermediario mantiene efectivamente por cuenta del cliente. 3. La segregación de las cuentas y activos de los clientes de los activos de la entidad, de manera que los activos de los clientes estén claramente identificados y no se pueda hacer uso no autorizado de los activos de terceros en custodia. 4. La gestión adecuada de los eventos de capital y societarios permitiendo el ejercicio de estos derechos y/o su entrega inmediata a su legítimo dueño. Anualmente, se deberá contratar a una empresa de auditoría externa, de aquellas inscritas en el Registro de Empresas de Auditoría Externa de esta Comisión, para la revisión de los procesos y controles asociados a la actividad de custodia. Las empresas de auditoría externa deberán emitir un informe, el que deberá contener su opinión respecto a si los procesos y controles fueron diseñados adecuadamente para resguardar los activos en custodia y si están operando con suficiente efectividad, para otorgar una seguridad razonable que, durante el período bajo revisión, se lograron los objetivos de control. Asimismo, el informe deberá contener una descripción general del control interno, una mención a los objetivos de control y una descripción detallada de los controles asociados, las pruebas aplicadas y el resultado de las mismas. La revisión deberá contemplar pruebas de los controles existentes durante un período mínimo de 6 meses en el transcurso de los doce meses anteriores a la emisión del informe. El trabajo de la empresa de auditoría externa deberá realizarse en conformidad con las normas de auditoría. El informe de las empresas de auditoría externa deberá ser remitido esta Comisión a más tardar el 30 de septiembre de cada año y ser difundido a partir de esa fecha, por un medio que asegure su fácil acceso por parte de las personas que mantengan custodia. Si la evaluación de la empresa de auditoría externa determina que existen deficiencias en el diseño u operación de los controles, se deberán adoptar las medidas correctivas y obtener una nueva evaluación en un plazo máximo de cuatro meses de efectuada la evaluación anterior. 8 Las empresas de auditoría externa que realicen este tipo de revisiones deberán contar con documentación escrita de la metodología y procedimientos aplicados para este tipo de revisiones, la que deberá estar disponible a solicitud de la Comisión. De igual f orma, las empresas de auditoría externa deberán contar con antecedentes que le permitan demostrar que las personas que efectúan este tipo de revisiones cuentan con la capacitación apropiada y experiencia en el tema. La empresa de auditoría externa que realice la auditoría anual de los estados financieros de la entidad podrá efectuar esta revisión. II.2.11. Gestión de consultas y reclamos Contar con políticas y procedimientos para la recepción, gestión y resolución de consultas, denuncias y reclamos de sus clientes, trabajadores y el público en general, incluyendo denuncias de incumplimiento al código de conducta o de autorregulación, que permitan resguardar la reserva de quien las formule. Dicha política deberá definir claramente cómo se calificará la gravedad o relevancia de las denuncias o reclamos, y cómo se comunicarán a las instancias que correspondan. El directorio deberá mantenerse informado de los reclamos y denuncias relevantes. II.2.12. Divulgación de información Contar con un procedimiento de divulgación de información que otorgue a sus clientes, proveedores de servicios y entidades de infraestructura información veraz, suficiente y oportuna para la gestión de sus propios riesgos, tanto aquella que el marco regulatorio vigente le exige divulgar como aquella que adicionalmente la entidad estime necesaria. Dicho procedimiento considerará la frecuencia de actualización de esa información. III. FUNCIÓN DE GESTIÓN DE RIESGOS III.1. DISPOSICIONES GENERALES La función de gestión de riesgos tiene por objeto que las actividades del proceso de gestión de riesgos sean desarrolladas adecuadamente en la entidad, conforme a las políticas y procedimientos establecidos para dicho efecto (marco de gestión de riesgo). Además, deberá verificar el cumplimiento del marco legal y normativo aplicable a las bolsas y su reglamentación interna. El marco de gestión de riesgo deberá tener como propósito gestionar eficazmente los riesgos que se presentan en el desarrollo de su negocio, como por ejemplo el riesgo general del negocio, riesgo operacional y riesgo reputacional, entre otros. Las políticas, procedimientos y sistemas de gestión de riesgos deberán cautelar además el cumplimiento de los requisitos establecidos en leyes y normativas aplicables, así como en los reglamentos que regulan el funcionamiento de las bolsas. Para el desarrollo de sus actividades, se deberá dar cumplimiento, al menos, a los principios y elementos que se señalan a continuación: 1. La función de gestión de riesgos deberá ser independiente de las áreas generadoras de riesgos, de la función de auditoría interna y de la función de auditoría a corredores; y contar con línea de responsabilidad directa al directorio. 9 En el caso que la entidad pertenezca a un grupo empresarial, la función de gestión de riesgos podrá delegar algunas de las actividades bajo su responsabilidad a la unidad de gestión de riesgos corporativa, en la medida que ésta tenga un conocimiento acabado del marco de gestión de riesgos y ambiente de control de la entidad y que cumpla con los requisitos establecidos en la presente normativa, lo cual deberá ser acordado por el directorio. Se deberá considerar la pertinencia respecto a la idoneidad de la unidad respectiva del grupo empresarial que se encargará de la actividad, en relación al cumplimiento de los requisitos establecidos en esta norma y los conflictos de intereses que pudieran generarse, y, de ser el caso, su mitigación y/o eliminación. Sin perjuicio de lo anterior, la función de gestión de riesgos de la entidad será siempre responsable de las actividades delegadas, debiendo revisar y aprobar los informes realizados al respecto, para lo cual deberá hacerse de toda la documentación relevante. 2. La función de gestión de riesgos deberá contar con recursos adecuados al volumen y complejidad de las operaciones de la entidad. 3. El personal encargado de la función de gestión de riesgos deberá contar con experiencia y conocimientos comprobables en estándares o mejores prácticas de común aceptación para la gestión de riesgos y de los riesgos específicos que debe gestionar de acuerdo al marco de gestión de riesgos. 4. La función de gestión de riesgos deberá proponer políticas y procedimientos para la gestión de riesgos al directorio, consistentes con la misión, visión, objetivos estratégicos y las responsabilidades que el marco regulatorio le asigna. 5. La función de gestión de riesgos deberá contar con procedimientos que describan la metodología y herramientas utilizadas para cuantificar, agregar y gestionar los riesgos que enfrenta la entidad, los cuales deberán evaluarse al menos anualmente y en forma prospectiva, incluyendo escenarios tales como cambios en las condiciones económicas, legales, regulatorias, tecnológicas y situaciones de crisis. Además, deberá contar con metodologías y herramientas que le permita verificar el cumplimiento de las políticas, procedimientos y mecanismos de control. 6. La naturaleza, el alcance y oportunidad de las actividades que la función de gestión de riesgos desarrollará deberá estar contenida en un plan anual, el que deberá ser aprobado por el directorio. En todo caso, dicho plan deberá ser actualizado cada vez que se produzcan cambios significativos, tales como, cambios en la regulación aplicable a la entidad o la introducción de nuevos productos o servicios. 7. La función de gestión de riesgos deberá promover una cultura organizacional responsable en el ámbito de gestión de riesgo, que comprenda programas periódicos de difusión, concientización y capacitación, que contribuyan a que el personal de la entidad, incluyendo al directorio y personal externo que realice funciones críticas para la organización, comprenda los riesgos atingentes a sus funciones, y cuál es su contribución a la efectividad de la gestión de dichos riesgos. 8. La función de gestión de riesgos deberá disponer de sistemas de información que optimicen el desarrollo de sus actividades, los que deberán permitir al menos: 8.1. Registrar sus actividades, el plan de trabajo y los resultados de éstos. 8.2. Respaldar la documentación que evidencie el desarrollo de las actividades realizadas. 10 8.3. Efectuar seguimiento del cumplimiento de los compromisos adquiridos por las distintas áreas, procesos o líneas de negocio auditados, incluyendo la generación de alertas que faciliten el control de los plazos asociados. 8.4. Controlar la actualización periódica de políticas y procedimientos. III.2. PROCESO DE GESTIÓN DE RIESGO El proceso de gestión de riesgos considerará las siguientes actividades principales: 1. Identificación de procesos en los que se descomponen las actividades efectuadas por la entidad, y los respectivos responsables de dichos procesos (mapa de procesos). La función de gestión de riesgos, en conjunto con los encargados de los procesos principales, deberá identificar formalmente los riesgos inherentes a los que se expone la entidad en el desarrollo de sus actividades. 2. Medición de los riesgos inherentes identificados en las actividades efectuadas por la entidad. Para ello deberá elaborarse una matriz de riesgos que permita estimar una probabilidad de ocurrencia e impacto de los riesgos, como también calificar su severidad considerando estos factores. 3. Definición de los mecanismos de control para mitigar los riesgos inherentes identificados. Al respecto, dichos mecanismos de control deberán considerar: 3.1. Descripción de cada control y su objetivo. 3.2. Identificación de los responsables del control formalmente designados para esos efectos. 3.3. Calificación de la efectividad de los controles para la mitigación de los riesgos inherentes, por una instancia independiente del responsable de los mismos. 4. Cuantificación de los riesgos residuales, los que será determinado a partir de los riesgos inherentes considerando la calificación de la efectividad de los controles. 5. Definición del tratamiento de los riesgos residuales, para lo cual se deberá tener en consideración los niveles de apetito por riesgo. 6. Monitoreo de los riesgos y controles establecidos, considerando al menos: 6.1. Definición y medición de indicadores clave de evaluación de riesgos. 6.2. Procedimientos de monitoreo continuo de riesgos que permitan identificar oportunamente una posible materialización de riesgos por encima de los niveles de apetito por riesgo definidos. Para ello, la entidad deberá implementar un mecanismo de alertas basado en los indicadores clave de riesgos. 6.3. Comunicación oportuna de las deficiencias de los controles y la desviación del riesgo residual respecto a los niveles de apetito por riesgo definidos a los responsables de aplicar las medidas correctivas, incluyendo los comités a los que se refiere la sección I y al directorio en el caso de deficiencias significativas. 11 6.4. Seguimiento continuo de las medidas correctivas que se hubieren definido para las deficiencias identificadas en el proceso de monitoreo de riesgos, para que éstas sean efectivamente implementadas en los plazos establecidos. 7. Elaboración de procedimientos de información y comunicación de la gestión de riesgos que asegure que la información relevante acerca de la efectividad de los controles mitigantes y el cumplimiento de los niveles de apetito por riesgo llegue al directorio y a todas las partes interesadas. 8. Programa de mejoramiento continuo de la gestión de riesgos, con el objeto de evaluar la necesidad de realizar cambios frente a nuevos escenarios económicos, financieros, legales, regulatorios y tecnológicos que vaya enfrentando la entidad; cambios del perfil de riesgo y producto de la implementación o cambios en los estándares o mejores prácticas internacionales de común aceptación para la gestión de riesgo. III.3. REPORTES La función de gestión de riesgos deberá informar al directorio, al menos trimestralmente, o con una periodicidad mayor, según defina éste, respecto al funcionamiento del sistema de gestión de riesgo, del nivel de exposición a los distintos riesgos y los eventuales incumplimientos a las políticas, procedimientos y controles de gestión de riesgos ocurridos durante el periodo que se informa. Se incluirá recomendaciones de mejora que permitan mantener los riesgos por debajo de los niveles de apetito por riesgo definidos en caso de que pudieran materializarse distintos escenarios. IV. FUNCIÓN DE AUDITORÍA INTERNA La función de auditoría interna tiene por objeto verificar el correcto funcionamiento del sistema de gestión de riesgos y su consistencia con los objetivos, políticas y procedimientos de la organización, como también del cumplimiento de las disposiciones legales y normativas que le son aplicables a la entidad. Para el desarrollo de sus actividades, se deberá dar cumplimiento, al menos, a los principios y elementos que se señalan a continuación: 1. La función de auditoría interna deberá ser independiente de las áreas generadoras de riesgos, de la función de gestión de riesgos y de la función de auditoría a corredores; y contar con línea de responsabilidad directa al directorio. En el caso que la entidad pertenezca a un grupo empresarial, la función de auditoría interna podrá delegar algunas de las actividades bajo su responsabilidad a la unidad de auditoría interna corporativa, en la medida que éste tenga un conocimiento acabado del marco de gestión de riesgos y ambiente de control de la entidad y que cumpla con los requisitos establecidos en la presente normativa, lo cual deberá ser acordado por el directorio. Previo a la delegación de cada actividad, la función de auditoría interna deberá pronunciarse respecto a la idoneidad de la unidad respectiva del grupo empresarial que se encargará la actividad, el cumplimiento de los requisitos establecidos en esta norma y los conflictos de intereses que pudieran generarse, y, de ser el caso, su mitigación y/o eliminación. Sin perjuicio de lo anterior, la función de auditoría interna de la entidad será siempre responsable de las actividades delegadas, debiendo revisar y aprobar los informes realizados al respecto, para lo cual deberá hacerse de toda la documentación relevante. 12 2. El personal encargado de la función de auditoría interna deberá tener experiencia y conocimientos comprobables en marcos de gestión de los riesgos específicos que deberá auditar. 3. La función de auditoría interna deberá contar con procedimientos que describan la metodología de auditoría interna, la cual deberá considerar al menos los siguientes aspectos: 3.1. La naturaleza, alcance y oportunidad de las auditorías. 3.2. Los programas de trabajo de auditoría. 3.3. Las categorías utilizadas para calificar las observaciones detectadas. 3.4. El seguimiento que se efectuará a las observaciones detectadas. 3.5. La forma en que se reportarán las deficiencias significativas al directorio. 3.6. La elaboración y estructura de los informes que la función de auditoría interna realice. 4. La existencia y ejecución de un plan anual de auditoría que incluya la naturaleza, alcance y oportunidad de las actividades que la función de auditoría interna desarrollará, y considerar: 4.1. Que las áreas, procesos, líneas de negocio o riesgos más relevantes sean auditados periódicamente, incluyendo la función de gestión de riesgos y la función de auditoría a corredores. 4.2. El seguimiento al cumplimiento de los compromisos adquiridos por las áreas auditadas en revisiones anteriores. 5. La función de auditoría interna deberá emitir un informe semestral al directorio que considere: 5.1. Respecto de las áreas, procesos, líneas de negocio o riesgos auditados durante el periodo: a. La calidad y efectividad de las políticas, procedimientos y mecanismos de control. b. El resultado de las auditorías efectuadas con su respectiva calificación. 5.2. Las acciones o medidas propuestas para subsanar las observaciones levantadas y el plazo estimado para su implementación. 5.3. Fecha de la última auditoría realizada a cada unidad auditable. 5.4. Respecto de la función de gestión de riesgos: a. La efectividad del sistema de gestión de riesgos. b. Los incumplimientos de políticas y procedimientos de gestión de riesgos detectados en las auditorías, las causas que los originaron y las acciones correctivas adoptadas para evitar su reiteración. 13 5.5. El resultado del seguimiento de la corrección de las situaciones detectadas en las auditorías realizadas. El informe deberá ser remitido al directorio en un plazo no superior a 30 días corridos de finalizado el periodo al cual se refiere. Lo anterior, sin perjuicio de la información mensual que la función de auditoría interna le pueda proporcionar al directorio, de forma de mantenerlo informado de la labor de esta función. 6. La función de auditoría interna deberá disponer de sistemas de información que optimicen el desarrollo de sus actividades, los que deberán permitir al menos: 6.1. Registrar sus actividades, programas de trabajo y los resultados de éstos. 6.2. Respaldar la documentación que evidencie el desarrollo de las actividades realizadas. 6.3. Efectuar seguimiento del cumplimiento de los compromisos adquiridos por las distintas áreas, procesos o líneas de negocio auditados, incluyendo la generación de alertas que faciliten el control de los plazos asociados. V. FUNCIÓN DE AUDITORÍA A CORREDORES 1. Las bolsas deberán implementar una función de dedicación exclusiva, destinada a realizar auditorías a sus corredores miembros, la cual deberá contar con los recursos humanos y materiales necesarios para formarse una opinión fundada respecto de la calidad de la gestión de riesgos y de cumplimiento normativo de, al menos, el 35% de esos corredores por año, sin perjuicio de las demás auditorías que corresponda efectuar a sus corredores miembros de acuerdo a lo definido en sus procesos o normativa interna. 2. La metodología que se deberá emplear para esos procesos de auditoría deberá estar formalmente implementada y considerar, como mínimo, la revisión de la gestión del riesgo operacional, financiero y legal, entre otros; el cumplimiento normativo (en particular el asociado al servicio de custodia); la planificación de la auditoría (plazos e hitos relevantes); y la elaboración de informes de los resultados de la auditoría. 3. A más tardar el 31 de diciembre de cada año, las bolsas deberán remitir a esta Comisión la información respecto a su planificación anual a ejecutar de auditorías a corredores. Asimismo, dentro del quinto día hábil de cada mes, se deberá remitir el estado de ejecución de la planificación anual. 4. Previo al inicio de una auditoría a un corredor, la entidad deberá informar tal situación a esta Comisión, indicando el nombre del corredor, objetivo de la auditoría y personas que participan en la auditoría. 5. Una vez concluida la auditoría, deberá remitir el informe dando cuenta del trabajo desarrollado, las conclusiones obtenidas, las observaciones que fueron representadas al intermediario y la respuesta a dichas observaciones por parte de este último. Estas comunicaciones deberán ser efectuadas de acuerdo a las instrucciones del anexo técnico disponible en la página web de esta Comisión. 14 VI. MODIFICACION Elimínese los numerales 5 y 6 de la letra b) de la sección III de la Norma de Carácter General N°480. VII. VIGENCIA Las instrucciones establecidas en la presente Norma de Carácter General rigen a contar del 1 de febrero de 2025. BERNARDITA PIEDRABUENA KEYMER PRESIDENTA (S) COMISIÓN PARA EL MERCADO FINANCIERO Bernardita Piedrabuen a Keymer Firmado digitalmente por Bernardita Piedrabuena Keymer Fecha: 2024.05.08 14:08:40 -04'00' 15 ANEXO N° 1: DEFINICIONES Para la identificación de riesgos de esta norma se deberá tener en consideración las siguientes definiciones: Apetito por riesgo: nivel agregado y tipos de riesgos que una entidad está dispuesta a asumir, previamente decidido, y dentro de su capacidad de riesgo, a fin de lograr sus objetivos estratégicos y plan de negocio. Confidencialidad de la información: protección de los datos contra el acceso y la divulgación no autorizados, definido por el directorio. Incluye los medios para proteger la privacidad personal y la información reservada, en especial de los clientes de la entidad. Encargado del proceso: corresponde a aquella persona designada para hacerse responsable de la administración de un proceso y propiciar las mejoras a implementar en éste. Eventos de capital: derechos patrimoniales que derivan de un valor determinado, tales como dividendos, emisiones liberadas o pagadas de acciones, repartos de capital, sorteos, prepagos, intereses, amortizaciones totales o parciales, y cualquier otro beneficio o derecho económico asociado a un valor. Se incluyen también bajo esta misma definición los eventos que confieran al tenedor el ejercicio de derecho a voto y otros. Instancia: se refiere a un nivel o grado de la estructura organizacional de la entidad, esto incluye, comité, unidad, división, departamento u otro equivalente. Partes interesadas: se refiere a las personas u organizaciones que se relacionan con las actividades y decisiones de una empresa, tales como empleados, proveedores, clientes, reguladores, entre otros. Proveedor de servicios: entidad relacionada o no a la institución contratante, que preste servicios o provea bienes e instalaciones a éste. Riesgo aceptado: corresponde al nivel de riesgo que la entidad está dispuesta a aceptar en concordancia con la política de gestión de riesgos y sus responsabilidades establecidas en el marco legal que las rige. Riesgo de crédito: potencial exposición a pérdidas económicas debido al incumplimiento por parte de un tercero de los términos y las condiciones estipuladas en el respectivo contrato, convención o acto jurídico. Este riesgo se divide en las siguientes subcategorías: • Riesgo de contraparte: exposición a potenciales pérdidas como resultado de un incumplimiento de contrato por diferencias o derivado o del incumplimiento de una contraparte en una transacción dentro de un proceso de compensación y liquidación. • Riesgo crediticio del emisor: exposición a potenciales quiebras o deterioro de solvencia en los instrumentos financieros de una entidad. Riesgo de custodia: exposición a pérdidas potenciales debido a negligencia, malversación de fondos, robo, pérdida o errores en el registro de transacciones efectuadas con valores de terceros mantenidos en custodia. 16 Riesgo de liquidez: riesgo que una parte no liquide una obligación por su valor total cuando ésta venza sino en una fecha posterior no determinada. Riesgo de mercado: riesgo de registrar pérdidas debido a variaciones en los precios de mercado. Riesgo inherente: corresponde a aquel riesgo que por su naturaleza no puede ser separado del proceso o subproceso en que éste se presenta. Corresponde al riesgo que debe asumir cada entidad de acuerdo al ámbito de desarrollo de sus actividades establecido por ley. Riesgo operacional: corresponde al riesgo de que las deficiencias que puedan producirse en los sistemas de información, los procesos internos o el personal, o las perturbaciones ocasionadas por acontecimientos externos provoquen la reducción, el deterioro o la interrupción de los servicios que presta la entidad y eventualmente le originen pérdidas financieras. Incluye el riesgo de pérdidas ante cambios regulatorios que afecten las operaciones de la entidad, como también pérdidas derivadas de incumplimiento o falta de apego a la regulación vigente. Riesgo reputacional: riesgo de deterioro en la percepción de clientes, contrapartes, accionistas, inversores y otras partes interesadas acerca de la capacidad de la entidad para mantener o establecer relaciones comerciales y/o acceder en forma continua a fuentes de financiamiento. Riesgo residual: corresponde al nivel de riesgo remanente que existe sin perjuicio de haberse implementado las medidas de control.”