Compendio de Normas del Sistema de Pensiones

En el presente Capítulo se presentan los mecanismos de gestión de riesgos y mitigadores de riesgo que al menos deberán considerar las entidades, no siendo por tanto un listado taxativo.

II.1. Manual de políticas y procedimientos de gestión de riesgos

Las políticas y procedimientos de gestión de riesgos deben estar contenidas en un manual escrito, que las entidades deberán revisar periódicamente.

Se considera una buena práctica que el manual aborde aspectos tales como:

a) La definición de las políticas y procedimientos de gestión de riesgos, los cuales deberían ser acordes con la estrategia del negocio y con el volumen de las operaciones de la entidad y los fondos administrados. Para ello se requiere la identificación de los principales riesgos que afectan a la entidad y a los fondos o recursos que administra y la evaluación de la probabilidad de ocurrencia e impacto de cada uno de los riesgos identificados.

b) La identificación y descripción de los cargos responsables de la aplicación de las políticas y procedimientos dentro de la administración.

c) La identificación de los cargos responsables de la supervisión de las funciones referidas en la letra anterior, cuyo objetivo es verificar que las políticas y procedimientos se ejecuten de acuerdo a lo definido.

d) En el evento que se definan situaciones de excepción en determinados procedimientos, la identificación de los responsables de autorizar tales excepciones y la descripción de la documentación que respalda o acredita que se trata de una situación de excepción.

e) La descripción del proceso de monitoreo, documentación e informe de cumplimiento/ incumplimiento de los procedimientos de gestión de riesgos y control interno.

f) La descripción del procedimiento mediante el cual se elaboran y actualizan los planes de contingencia y la identificación de las personas responsables.

g) La descripción de la metodología mediante la cual se prueban, revisan y actualizan los procedimientos y controles, como asimismo la periodicidad de estas gestiones.

El manual deberá ser conocido por todos los empleados de la entidad, de manera tal que sus actividades se realicen de acuerdo a lo contemplado en dicho manual.

De igual forma, contribuiría a que se adopte una cultura de administración de riesgos al interior de la entidad el que las políticas y procedimientos de administración de riesgos sean incorporadas en los procesos de reclutamiento y entrenamiento permanente del personal.

II.2. Principios o lineamientos éticos de la entidad

El Directorio de la entidad debe aprobar los principios o lineamientos éticos, los que afectarán la actividad y decisiones tanto de los propios directores y ejecutivos superiores, así como del resto del personal de la entidad fiscalizada. Se considera aconsejable que dichos lineamientos pongan especial énfasis en aquellas materias relativas a conflictos de interés, para lo cual se recomienda definir normas específicas para aquéllos cuyo trabajo esté relacionado con el manejo de valores y las inversiones de los fondos. De igual manera, resulta deseable que se establezcan normas claras de resguardo respecto de las obligaciones fiduciarias que afectan a los empleados, con el objeto de evitar y resolver adecuadamente los conflictos de interés y de proteger la confidencialidad de la información. Se espera como buena práctica que las faltas a dichos principios sean comunicadas oportunamente a los grupos de interés al interior de la entidad a través de canales expeditos.

Las normas éticas deben constar por escrito, por ejemplo a través de un código de ética; tales normas deberán ser ampliamente divulgadas a través de canales formales, con el fin de que sean conocidas y aplicadas por todo el personal en su trabajo cotidiano.

Constituye una buena práctica de administración tener procedimientos que permitan que los empleados entiendan que la entidad debe cumplir estrictamente con las obligaciones que imponen las leyes y las regulaciones, y que las conductas que lleven a infracciones al marco normativo son contrarias al mejor interés de la entidad y de los afiliados/beneficiarios.

Se considera una buena práctica que la entidad exija permanentemente la estricta observación y apego a los principios éticos que la rigen y aplique medidas correctivas cuando se detectan fallas en su cumplimiento.

II.3 Directorio y Alta Administración

Una buena gestión de riesgos en las entidades fiscalizadas se manifiesta en una estructura organizacional apta para la definición, administración y el control de todos los riesgos pertinentes derivados del desarrollo de sus actividades.

Resulta aconsejable que la estructura organizacional sea la adecuada en relación al tamaño y actividades de la entidad, debiendo considerar el número y tipo de afiliados/beneficiarios, el total de activos que administra, la complejidad de sus relaciones con otras entidades (en particular con las entidades relacionadas) y la asignación de las responsabilidades asociadas a los aspectos claves. Asimismo, dicha estructura organizacional debería contribuir a minimizar los conflictos de interés que puedan surgir entre las actividades propias de la entidad y el desempeño de las funciones de gestión de riesgos y control interno.

En ese sentido, se considera apropiado para una adecuada gestión de riesgos de la entidad que su estructura organizacional contemple aspectos tales como:

• Una comunicación fluida de la información a todos los niveles pertinentes de la organización.

• Líneas de responsabilidad bien definidas, consistentes y documentadas, en toda la organización.

• Una adecuada separación de funciones. Particularmente, las responsabilidades de autorizar, ejecutar, registrar y comprobar una transacción, debieran quedar, en la medida de lo posible, claramente segregadas y diferenciadas.

• Definición de los deberes y responsabilidades de cada funcionario.

• Personal capacitado para efectuar reemplazos en actividades claves de la organización.

• Criterios de prevención, gestión y solución de conflictos de interés.

• Adecuadas competencias de los miembros de los niveles gerenciales de la entidad de modo de proporcionar una gestión sana y prudente de la empresa.

• Habilidades, conocimientos y experiencia necesarios de los empleados clave de la entidad para el adecuado desempeño de las responsabilidades que les correspondan.

a. Funciones del Directorio

El Directorio de la sociedad debería ser la instancia responsable de aprobar las políticas y los procedimientos de gestión de riesgos de la entidad.

En ese sentido corresponde a una buena práctica que las responsabilidades del Directorio de la entidad, en relación a la gestión de riesgos, se refieran a lo siguiente:

• Definir el apetito o nivel de riesgos que la entidad desea asumir para la consecución de sus objetivos estratégicos, así como la tolerancia al riesgo.

• Evaluar al menos anualmente, el nivel de apetito y tolerancia al riesgo definidos.

• Aprobar las políticas generales de aceptación de riesgos, integridad, valores éticos y creación de ambientes de control propicios que permitan crear una cultura de riesgos en toda la entidad.

• Establecer políticas para que la administración adopte las medidas necesarias para que los controles internos y los sistemas de monitoreo estén en operación para gestionar y reducir el impacto de los principales riesgos que enfrenta la entidad y los fondos administrados.

• Revisar periódicamente las políticas y los procedimientos de gestión de riesgos, contenidas en el manual a que se refiere el numeral II.1, así como su cumplimiento, incluyendo los códigos de ética internos y tomar las medidas que se estime necesarias para propender a que la entidad supervisada sea conducida de manera ética y transparente.

• Supervisar de manera efectiva a la administración, de modo que los riesgos sean gestionados de acuerdo a la aplicación estricta de las políticas de riesgo definidas.

• Supervisar de manera efectiva a la administración, de modo que la información relevante para la gestión de riesgos sea generada, difundida y comunicada fluidamente en todo sentido dentro de la organización, de un modo oportuno, apropiado y confiable.

• Promover al interior de la entidad el cumplimiento de todas las leyes, normas y políticas corporativas teniendo claridad acerca del alcance y las consecuencias de la regulación aplicable.

• Promover el cumplimiento y el amplio conocimiento de los deberes fiduciarios, aprobando las políticas de gestión fiduciaria.

Nota de actualización: Esta letra fue modificada por la Norma de Carácter General N° 276, de fecha 23 de noviembre de 2020.

b. Aptitudes e idoneidad del Directorio

Se esperaría que la composición del Directorio, como un todo, refleje una combinación de habilidades y experiencias apropiadas para la entidad. En tal sentido, sería deseable que:

• El Directorio posea una combinación de profesiones y experiencias en áreas relevantes, acordes a las actividades que realiza la entidad.

• Los directores se sometan con cierta periodicidad a un proceso de evaluación o auto-evaluación de desempeño.

c. Establecimiento y funciones de Comités de Directorio

El propósito de los comités de Directorio es apoyar a los directores de las entidades en materias críticas para la gestión de la sociedad y de los fondos administrados. En relación a la administración de riesgos, se considera una buena práctica que el Directorio de las entidades aborde materias tales como: auditoría, gestión de riesgos, cumplimiento y deber fiduciario.

Al respecto, se espera como buena práctica que las entidades tengan un Comité que abarque todas las materias relativas a la gestión de riesgos, antes señaladas, o constituyan comités específicos para abordar las materias que por su relevancia y complejidad ameriten mayor dedicación por parte del Directorio o radiquen estas materias en Comités existentes.

Para su buen funcionamiento, es recomendable que todo Comité cuente con facultades suficientes, delegadas por el Directorio, para revisar e investigar cualquier materia que esté dentro del alcance que se le haya definido y presenten periódicamente los resultados de sus gestiones al Directorio, el que debería pronunciarse respecto de aquéllos. Para estos efectos sería importante que cada Comité cuente con un plan anual para el desarrollo de sus actividades.

Como una buena práctica, los Comités de Directorio deberían tener acceso irrestricto a los registros de la entidad, a sus empleados, a sus auditores externos e internos, a sus asesores tributarios, financieros, tecnológicos, operacionales y legales, así como a recurrir a la asesoría de terceros externos con cargo a recursos de la entidad.

Respecto a la conformación del o los comités de riesgos, es aconsejable que sea tal que permita su funcionamiento efectivo, por ejemplo, estando constituido por un número suficiente de directores con conocimientos y experiencia en las materias que cubre el comité y con participación de directores autónomos. Asimismo, es recomendable que las reuniones ordinarias de estos comités de riesgos tengan una frecuencia al menos mensual.

Por otra parte, de sus sesiones se deben levantar actas en que consten sus actividades y resoluciones, las que se deben informar al Directorio y estar disponibles para esta Superintendencia.

Se considera una buena práctica de gestión de riesgos que las funciones del o los comités de riesgo correspondan a aquellas señaladas en la letra a. de este Capítulo.

Adicionalmente, se espera que las entidades cuenten con un Comité de Directorio, encargado de supervisar la calidad del servicio que la Administradora está entregando a sus afiliados y clientes y adoptar las medidas necesarias para adecuar la oferta de servicios al estándar definido. Se entiende por servicio la atención de los afiliados y clientes a través del canal presencial y los canales remotos, la tramitación de pensiones, el pago de pensiones, la gestión de reclamos, la entrega de información y, en general, la gestión que realiza la Administradora respecto de los requerimientos que con mayor frecuencia son realizados por sus afiliados y clientes.

d. Funciones de la Administración

Se considera una buena práctica de gestión de riesgos en las entidades fiscalizadas, el hecho de que la Gerencia General asuma responsabilidades respecto a esta materia, en especial:

• Poner en práctica las políticas y procedimientos para la gestión de riesgos aprobadas por el Directorio.

• Elaborar y proponer políticas y procedimientos de gestión de riesgos para ser sometidas a la aprobación del Directorio.

• Facilitar la implantación de una cultura de gestión de riesgos según lo defina el Directorio.

• Gestionar los riesgos que afectan a la administradora y los fondos administrados a través de la implementación de procedimientos robustos de identificación y evaluación de los riesgos, generar las acciones de mitigación, llevar a cabo las actividades de control y generar y difundir la información de gestión de riesgos disponible. Se espera que la Gerencia General lidere la implantación de la primera y segunda líneas de defensa, como una manera de asegurar la efectividad de la gestión de riesgos en la entidad.

• Destinar los recursos necesarios para generar capacidades técnicas en los equipos responsables, para lograr una adecuada integración de los riesgos climáticos y el conjunto de factores de riesgos ambientales, sociales y de gobiernos corporativos (ASG) en el proceso de inversión y gestión de riesgos.

• Adoptar las medidas para que los empleados de la entidad comprendan sus responsabilidades en relación a la gestión de riesgos.

• Llevar a cabo, al menos en forma anual, procesos formales de planificación estratégica, siendo aconsejable que sean divulgados y transmitidos al personal correspondiente.

• Monitorear permanentemente el cumplimiento de los planes de largo, mediano y corto plazo de la entidad.

• Implementar los mecanismos necesarios para asegurar un adecuado manejo ante la presencia de conflictos de interés al interior de la entidad.

• Evaluar en todos sus aspectos los proyectos que por su envergadura comprometen recursos significativos y/o que impactan significativamente a los clientes o el quehacer interno de la entidad.

• Establecer sistemas de información de gestión que cubran todos los aspectos esenciales del negocio y de los fondos administrados.

Nota de actualización: Esta letra fue modificada por la Norma de Carácter General N° 276, de fecha 23 de noviembre de 2020.

e. Aptitudes e idoneidad de la Administración

Se espera que la entidad cuente con un liderazgo comprometido y motivador, que se refleje, por ejemplo, en los siguientes aspectos:

• La alta administración lidera y participa activamente en los procesos de planificación estratégica, identificando y desarrollando planes estratégicos.

• La administración evalúa y revisa la estructura organizacional periódicamente en función de la estrategia definida.

• Existen políticas claras de subrogancia en cargos claves.

• El o los líderes son parte de la estructura formal de la entidad.

Los empleados claves de la entidad deben tener las habilidades, conocimientos y experiencia necesarios para el adecuado desempeño de las responsabilidades que les correspondan. Al respecto, se espera que:

• Los gerentes principales estén en posesión de títulos profesionales y/o postgrados acordes a sus funciones.

• Los gerentes principales demuestren conocimiento sobre el giro del negocio.

• Los gerentes principales se sometan frecuentemente a un proceso interno de evaluación de desempeño.

II.4 Responsable de la administración de riesgos

La entidad deberá contar con un Gerente de Riesgos, con dedicación exclusiva a la administración de los riesgos que enfrenta la entidad respecto de los procesos de administración de cuentas, inversión de los fondos, beneficios, servicios al afiliado y venta y publicidad. El responsable de riesgos reportará directamente al Gerente General y será la contraparte de la Superintendencia en relación a estas materias.

El responsable de riesgos deberá adoptar las medidas correspondientes destinadas a identificar y monitorear los riesgos y controles implementados. En tal sentido, el responsable de la administración de riesgos debería:

• Asistir al Directorio en la definición del apetito y tolerancia al riesgo.

• Asistir a la administración en el desarrollo de procesos y controles para la gestión de riesgos.

• Proporcionar guía y marcos para la gestión de riesgos y entrenamiento en procesos de gestión de riesgos.

• Actualizar la matriz de riesgo de la entidad al menos anualmente.

• Mantener un mapa de riesgos, donde se grafican la probabilidad e impacto de los riesgos. Este mapa de riesgos se debe actualizar en función de la matriz de riesgos.

• Impulsar y asesorar a la primera línea de defensa en el establecimiento de indicadores de riesgos que proporcionen un adecuado monitoreo de los riesgos potenciales. Tales indicadores deben estar disponibles para la administración de manera oportuna.

• Alertar a la administración de asuntos emergentes y de cambios en los escenarios regulatorios y de riesgos.

• Reportar periódicamente al Gerente General y a las áreas involucradas, las situaciones de interés que se relacionan con la gestión de riesgos.

• Monitorear el cumplimiento de los planes de acción emitidos en respuesta a las observaciones dadas a conocer por la Superintendencia, en el Informe de Evaluación en Base a Riesgos.

• Difundir y promover la capacitación y entrenamiento del personal en materia de gestión de riesgos.

II.5. Control Interno

Los controles internos abarcan las políticas, procedimientos, cultura, tareas y otros aspectos de una entidad que soportan el logro de los objetivos institucionales. Ello facilita la eficiencia de las operaciones, contribuye a la efectiva administración de riesgos y al cumplimiento de las leyes y regulaciones y fortalece la capacidad para responder adecuadamente a los cambios en el entorno.

La existencia de una adecuada estructura de control interno en las entidades debería reflejarse en los siguientes elementos:

a) Entorno de control

Existe compromiso por parte del Directorio y la administración con el funcionamiento del sistema de control interno, el que se desprende del reconocimiento y aceptación de los valores éticos que rigen a la organización, se refleja en una estructura organizacional formal con roles, responsabilidades y niveles adecuados de supervisión y el Directorio cuenta con opiniones de auditores internos y externos sobre lo adecuado del sistema de control de la entidad.

b) Evaluación de riesgos

La evaluación de riesgos comprende conocer y abordar los riesgos que enfrenta la entidad fiscalizada, provenientes de fuentes internas y externas, estableciendo mecanismos para identificar, analizar y tratar los riesgos que podrían afectar el cumplimiento de los objetivos operacionales, de reporte y de cumplimiento.

c) Actividades de control

La Administradora define y desarrolla actividades de control que contribuyen al logro de los objetivos institucionales, en el marco de las políticas y procedimientos definidos por el Directorio. Las actividades de control están presentes en todos los niveles de la entidad, en las diferentes etapas de los procesos de negocio y en el entorno tecnológico. Se establecen controles preventivos y detectivos para las actividades manuales y automatizadas.

d) Información y comunicación

El Directorio y la administración cuentan con canales de comunicación a través de los cuales obtienen información relevante y de calidad que contribuye al control interno, tanto de fuentes internas como externas. Asimismo, cuentan con sistemas de información integrados, que les permiten conocer y comunicar al personal y a los interesados (afiliados, accionistas, otras partes relacionadas), los resultados derivados de su gestión y el logro de los objetivos propuestos por la entidad.

e) Monitoreo

La Administradora evalúa en forma continua e independiente, los principios y componentes del marco referencial de control interno adoptado por la entidad. Estas evaluaciones incluyen la retroalimentación de las diferentes fuentes de información y revisión de las actividades desarrolladas en la entidad, apegado a marcos de referencia o buenas prácticas.

II.6. Gestión de las tecnologías de información, seguridad de la información y continuidad operacional

Considerando que la información y las tecnologías son cada vez más relevantes dentro de las organizaciones, se espera que la Administradora implemente controles que permitan tratar el riesgo sobre los activos de información, lo que incluye proteger la información, las personas y la plataforma que la soportan, resguardándola de la materialización de amenazas internas y externas.

En términos de buenas prácticas la Administradora debería gestionar el riesgo de las tecnologías de información. Por lo tanto, debe existir una adecuada gestión de las tecnologías de información definida por el Directorio, que entregue los lineamientos para que la entidad administre las tecnologías de información, la seguridad y la continuidad operacional, con el objetivo de minimizar los riesgos relacionados con la confidencialidad, disponibilidad e integridad de la información.

La gestión de las tecnologías de información debe actuar como un mitigador transversal en la organización y debe incluir elementos tales como: políticas, principios y marcos de referencia, procesos y estructuras organizativas, que permitan una adecuada gestión las tecnologías de Información, de la seguridad de la información y de la continuidad del negocio.

II.7. Auditoría Interna

Las entidades fiscalizadas deben contar con un Auditor Interno que dependa funcional y jerárquicamente del Directorio, cuya función será entregar al Directorio y a la Alta Administración una opinión independiente y objetiva para la toma de decisiones respecto a la administración de sus riesgos, control y gobierno. Lo anterior no obsta a que el auditor pueda reportar sobre su gestión a la sociedad matriz o al controlador del grupo empresarial de la entidad. El auditor interno no podrá ejercer simultáneamente, de manera formal o informal, cargos similares en ninguna sociedad del grupo empresarial al que pertenezca la entidad fiscalizada.

Se espera que la actividad de auditoría interna aplique conceptos, metodologías y técnicas fundamentales para la profesión de auditoría interna, siendo esencial dar cumplimiento a las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, mediante la adopción e implementación de las mejores prácticas.

En términos de buenas prácticas, la actividad de auditoría interna debería tener un nivel de independencia y autonomía que le permita cumplir sus funciones de manera objetiva, eficiente y oportuna, debiendo contar para ello con todas las facultades y mecanismos que permitan proporcionar un alto nivel de integridad y confidencialidad, el debido cuidado profesional, seguridad de la información y cumplimiento de los requisitos éticos.

Debido a la importancia y naturaleza de sus funciones, es recomendable que la actividad de auditoría interna esté a cargo de una persona que posea las competencias y experiencia necesarias para tener un claro y cabal entendimiento de su rol y responsabilidades. Junto con ello, se espera que la actividad de auditoría interna cuente con personal de auditoría con suficientes conocimientos, habilidades, aptitudes, experiencia y con un desarrollo profesional continuo.

El auditor interno será responsable de la formulación y aplicación del plan anual de auditoría. A su vez, corresponde a una buena práctica el que la función de auditoría interna considere, al menos, las siguientes actividades:

• Defina su misión, propósito, autoridad y responsabilidad, a través de un Estatuto de Auditoría Interna, aprobado por el Directorio.

• Prepare un plan estratégico para la actividad de auditoría interna.

• Formule su plan anual de auditoría en base a riesgos.

• Interactúe directamente con el Directorio cada vez que sea necesario, informando al menos anualmente sobre los resultados de su gestión, además de cualquier otro asunto de interés relevante de tratar.

• Informe periódicamente a un comité de auditoría sobre la actividad de auditoría interna en lo referido al propósito, autoridad, responsabilidad y desempeño de su plan. Además, debería presentar temas referidos a exposiciones al riesgo y controles, gobierno y otros asuntos necesarios o requeridos por la administración y el Directorio.

• Ratifique ante el Directorio la independencia de la actividad de auditoría interna dentro de la organización. Para ello, anualmente los profesionales que ejercen esta actividad deberían firmar una declaración de independencia.

• Efectúe el aseguramiento sobre el control interno y la gestión de riesgos.

• Comprenda y evalúe escenarios de riesgos a los que se expone la organización.

• Implemente un sistema de auditorías continuas.

• Desarrolle y mantenga un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad de auditoría interna y que incluya evaluaciones internas y externas.

II.8 Auditoría Externa

Si bien los auditores externos no son, por definición, parte de una organización y por lo tanto no son parte de un sistema de control interno, ellos pueden cumplir un rol sobre la calidad de la administración de riesgos a través de sus actividades de auditoría. La auditoría externa puede influir en los sistemas de administración de riesgo de diversas maneras, incluyendo principalmente las discusiones con la administración y sus recomendaciones de mejoras, las cuales proveen importantes retroalimentaciones sobre la efectividad del sistema de gestión de riesgos.

Una buena práctica en relación al rol del auditor externo, comprende que éste tenga acceso directo al Directorio y a los Comités de Directorio.

Nota de actualización: Este Capítulo fue reemplazado por la Norma de Carácter General N° 216, de fecha 26 de diciembre de 2017.