Norma de Carácter General nº 454 de Comisión para el Mercado Financiero, 18-05-2021
| Fecha | 18 Mayo 2021 |
REF.: Imparte instrucciones en
materia de gestión de Riesgo
Operacional y Ciberseguridad, así
como de la realización periódica de
autoevaluaciones en ambas materias
en entidades aseguradoras y
reaseguradoras.
NORMA DE CARACTER GENERAL Nº 454
A todas las entidades aseguradoras y reaseguradoras
18 de mayo de 2021
Esta Comisión, en uso de sus facultades legales, en especial lo dispuesto en el número 1 del
artículo 5 y el número 3 del artículo 20 del DL N°3.538, de 1980, y la letra b) del artículo 3° del
D.F.L N°251, de 1931, y lo acordado por el Consejo de la Comisión para el Mercado Financiero
en Sesión Ordinaria N° 235 del 13 de mayo de 2021, ha resuelto impartir las siguientes
instrucciones relativas al sistema de gestión del riesgo operacional por parte de las entidades
aseguradoras y reaseguradoras, de ciberseguridad y a la información sobre sus eventos de
seguridad de la información y ciberseguridad que dichas entidades deben proporcionar a este
Servicio.
I. OBJETIVO Y ALCANCE DE LA NORMA.
En el marco de la implementación del sistema de Supervisión Basado en Riesgo que la Comisión
para el Mercado Financiero (CMF) ha estado impulsando en los últimos años con el propósito
de fortalecer el sistema de supervisión del mercado de seguros en Chile, y a partir del análisis
de la experiencia en otras jurisdicciones y las recomendaciones internacionales en materia del
sistema de gestión de riesgo operacional, en especial de la Asociación Internacional de
Supervisores de Seguros (IAIS, por siglas en inglés), la CMF ha decidido emitir la presente norma.
Su objetivo es establecer principios de un adecuado sistema de gestión del riesgo operacional y
ciberseguridad que servirán de base para la evaluación de las compañías en esta materia por
parte de esta Comisión. Lo anterior, en el contexto de la evaluación del nivel de solvencia de las
compañías que este Servicio realiza, de acuerdo a lo dispuesto en la NCG N°325. Asimismo, la
presente norma establece la información so bre los eventos o peracionales que las entidades
deberán comunicar a esta Comisión.
2
Los principios y conceptos de gestión del riesgo operacional señalados en la presente norma,
serán considerados en la evaluación de la CMF, de acuerdo a la realidad de cada compañía,
reconociendo la existencia de diferentes prácticas de gestión de riesgo operacional
dependiendo del tamaño, naturaleza, alcance y complejidad de sus operaciones, estrategia y
perfil de riesgo de la compañía. De esta manera, la aplicación de estos principios o conceptos
pueden adoptar modalidades distintas en cada aseguradora, lo que será tomado en cuenta por
la Comisión en su evaluación.
El directorio y la alta gerencia son los responsables del cumplimiento de los principios
establecidos en esta norma. De esta forma, el directorio deberá aprobar las políticas que
implementan los principios detallados en esta norma en la compañía y monitorear el
cumplimiento de estos principios. Por su parte, la administración deberá establecer los
procedimientos para una correcta implementación de dichos principios. De la misma forma, el
directorio de la compañía deberá aprobar los informes de autoevaluación en materia de riesgo
operacional y ciberseguridad requeridos en esta norma, previo a su envío a la CMF en el caso de
riesgo operacional.
La efectividad del sistema de gestión del riesgo operacional, como h erramienta de mitigación
de los riesgos operacionales que enfrentan las compañías, dependerá en gran medida de una
participación activa del directorio y alta gerencia en la definición de dicho sistema, de la
estrategia de gestión de riesgo operacional y de sus políticas, y en la supervisión de su adecuada
aplicación. Por lo anterior, la presente norma se enmarca en el contexto de la aplicación de los
principios de un adecuado gobierno corporativo en las compañías, co nsiderando para ello las
definiciones y principios establecidos en la NCG N°309.
3
II. DEFINICIÓN DE RIESGO OPERACIONAL.
Para los fines de esta norma, el riesgo operacional se definirá como el riesgo de pérdidas
financieras que resulta de fallos en los procesos, personas o sistemas, ya sea ante eventos
internos o externos. Se excluye la exposición al riesgo que se deriva de la cobertura vendida por
las compañías a terceros; mientras que el riesgo en las operaciones propias de una compañía se
considera incorporado dentro del alcance de la definición de riesgo operacional.
Para continuar leyendo
Solicita tu prueba