Norma de Carácter General N°528

N°528: Nueva norma para entidades intermediarias

El 27 de diciembre de 2024, la Comisión para el Mercado Financiero (CMF) dictó la nueva Norma de Carácter General N°528 que imparte instrucciones para el gobierno corporativo de corredores de bolsa, agentes de valores y corredora de bolsa de productos, es decir, intermediarios.

Esto, porque los intermediarios asumen riesgos inherentes a su actividad que pueden afectar tanto su patrimonio como el de sus clientes y, por lo tanto, es importante que cuenten con una estructura organizacional, recursos materiales y humanos adecuados al tamaño, volumen y naturaleza de sus operaciones y riesgos. Por lo mismo, deben contar con adecuados controles internos para gestionar los riesgos relacionados a su actividad y promover la mejora continua al respecto.

Este enfoque integral busca fortalecer la estabilidad y la confianza en el mercado financiero a través de prácticas sólidas de gobierno corporativo y gestión de riesgos.

Responsabilidad del Directorio u órgano equivalente

La NCG N°528 indica que el directorio u órgano equivalente es responsable de asegurar que la entidad esté bien organizada y de implementar un sistema de control interno y gestión de riesgos. Para lograrlo, debe promover el cumplimiento de normas y procedimientos, velando por el buen funcionamiento y alineación con los objetivos estratégicos y el marco regulatorio.

Entre sus responsabilidades clave destacan:

  1. Establecer la misión, visión y objetivos estratégicos, considerando el marco regulatorio vigente.
  2. Comprender los riesgos inherentes a las actividades del intermediario.
  3. Aprobar y revisar anualmente el apetito de riesgos, asegurando que permita cumplir con las obligaciones legales y objetivos estratégicos.
  4. Aprobar y revisar anualmente las políticas de gestión de riesgos y control interno, garantizando su coherencia con los objetivos estratégicos, el marco regulatorio, los valores organizacionales y las buenas prácticas.
  5. Aprobar el código de ética que refleje los valores organizacionales y sirva de guía para los empleados, pudiendo incluir estándares internacionales o integrarse en otros documentos, como el código de autorregulación.
  6. Contar con un comité de gestión de riesgos integrado por al menos un director. Además, deberán evaluar la necesidad de crear comités o instancias para analizar y monitorear aspectos clave como auditoría, prevención de lavado de activos, financiamiento del terrorismo y proliferación de armas de destrucción masiva, inversiones, nuevos productos, continuidad del negocio, ciberseguridad y más.
  7. Definir y documentar los procedimientos para la conformación y funcionamiento de los comités, asegurando que los de gestión de riesgos y auditoría incluyan al menos un director, quien no podrá ser parte de ambos comités al mismo tiempo.
  8. Aprobar los planes anuales de gestión de riesgos y auditoría interna, y mantenerse informado sobre su cumplimiento.
  9. Evaluar y asegurar periódicamente los recursos para gestión de riesgos y auditoría interna, aprobando su asignación y monitoreando el cumplimiento del presupuesto.
  10. Establecer una estructura organizacional adecuada al tamaño, volumen y naturaleza de los negocios, con una correcta segregación de funciones para evitar errores y riesgos no controlados, separando claramente las áreas operativas, de negocios, y de gestión de riesgos y auditoría interna.
  11. El directorio deberá garantizar el diseño, implementación y documentación de políticas para:
    – Las operaciones y actividades del intermediario.
    – El manejo de información confidencial.
    – Resolver conflictos de intereses entre el intermediario, sus empleados y clientes.
    – Conocer las necesidades y objetivos de los clientes, y evitar ofrecerles inversiones inapropiadas.
    – Prevenir actividades u operaciones prohibidas
    – Prevenir el lavado de activos, financiamiento del terrorismo y proliferación de armas de destrucción masiva.
    – Incorporar nuevos productos o servicios.
  12. Asegurarse de que la administración establezca procedimientos para implementar las políticas aprobadas, los cuales deberán ser visadas por el gerente general o un comité con al menos un miembro del directorio, y actualizados cuando se modifiquen las políticas.
  13. Aprobar los sistemas de medición y control de los distintos riesgos.
  14. Aprobar políticas para el tratamiento de excepciones a los límites de exposición a los diversos riesgos.
  15. Aprobar el manual de gestión de riesgos y asegurarse de su permanente actualización.
  16. Velar por una instancia encargada de la gestión de riesgos, asegurando su independencia y que funcione correctamente.
  17. Velar por la existencia de una instancia encargada de la auditoría interna y asegurarse de su independencia y adecuado funcionamiento.
  18. El directorio deberá implementar políticas de remuneración y compensación para prevenir conflictos de interés, tanto para quienes gestionan recursos de la entidad como para los que asesoran o mantienen relaciones comerciales con los clientes.
  19. Establecer políticas de contratación de empleados que aseguren la contratación de personal calificado, especialmente para la gestión de riesgos y asesoría a clientes.
  20. Velar por la implementación de un sistema de información para el desarrollo de las actividades del intermediario, y para el control y gestión de riesgo.
  21. Definir un proceso adecuado para difundir la cultura de gestión de riesgo en toda la organización.
  22. Establecer un mecanismo eficaz para recibir, gestionar y resolver denuncias de incumplimiento del código de ética, asegurando la confidencialidad del denunciante y manteniéndose informado de los casos relevantes.
  23. Tomar conocimiento de los reportes o informes emitidos por las instancias encargadas de las funciones de gestión de riesgos y auditoría interna.
  24. Implementar un programa de mejora continua del sistema de control interno y gestión de riesgos, que incluya capacitación al personal.

Todo esto debe quedar documentado en actas o en documentación equivalente, según el tipo de sociedad, y estar disponible para su revisión por la Comisión correspondiente.

Gestión de Riesgos

Los intermediarios deben implementar un sistema de gestión de riesgos adecuado a su tamaño, volumen y naturaleza de negocios, enfocado en gestionar riesgos financieros, operacionales, de lavado de activos, financiamiento del terrorismo, armas de destrucción masiva y compliance, incluyendo la protección de intereses y activos de clientes.

Este sistema de gestión de riesgos debe incluir:

  1. Identificar el mapa de procesos clave y definir responsables.
  2. Identificar y evaluar los riesgos asociados, incluyendo los que pueden impactar los activos e intereses de los inversionistas.
  3. Establecer niveles de apetito al riesgo en relación a objetivos.
  4. Diseñar controles para mitigar riesgos.
  5. Monitorear alertas y el cumplimiento de controles establecidos.
  6. Garantizar comunicación efectiva y veraz al directorio.

 

Función de Gestión de Riesgos

El directorio del intermediario será siempre responsable de la función de gestión de riesgos. Por eso, la instancia encargada de la función de gestión de riesgos deberá considerar personal calificado con experiencia y conocimientos en estándares de gestión de riesgos en general, y riesgos específicos del negocio. Esta función debe ser independiente de las áreas generadoras de riesgos y de la auditoría interna, y reportarán directamente al directorio.

En caso de pertenecer a un grupo empresarial, puede delegarse a una unidad corporativa, siempre que se asegure independencia y no genere conflictos de interés.

Sus responsabilidades incluyen:

  • Desarrollar actividades de gestión de riesgos.
  • Proponer y evaluar políticas y procedimientos, consistentes con la estrategia de negocio y la protección de los activos e intereses de los clientes.
  • Analizar riesgos en situaciones de crisis y de cambios externos (entorno económico, legal, regulatorio, etc.).
  • Actualizar políticas y procedimientos.
  • Sensibilizar a los empleados sobre los riesgos, mecanismos de prevención y consecuencias del incumplimiento de políticas y controles.
  • Monitorear los límites de exposición al riesgo y las medidas correctivas en brechas.
  • Emitir informes trimestrales al directorio sobre incumplimientos detectados.
  • Proponer un plan de actividades anual para su aprobación por el directorio.
  • Supervisar la oportuna corrección de observaciones internas y externas que afecten la gestión de riesgos.
  • Implementar sistemas de información para optimizar las actividades, que permitan registrar planes de trabajo y resultados, respaldar documentación que evidencie el desarrollo de las actividades realizadas, realizar seguimientos y alertas de cumplimiento, y controlar actualizaciones de políticas y procedimientos.

Manuel de Gestión de Riesgos

Los intermediarios deberán tener un Manual de Gestión de Riesgos aprobado por el directorio, el cual debe revisarse al menos anualmente y actualizarse cuando haya cambios significativos en la exposición al riesgo.

El manual debe incluir, al menos, los siguientes contenidos:

  1. Políticas y procedimientos de gestión de riesgos alineados con la estrategia de negocio, y al tamaño, volumen y naturaleza de este.
  2. Contar con una matriz de riesgos que identifique los procesos, los riesgos inherentes y residuales de cada línea de negocio, su probabilidad e impacto, su relevancia para los objetivos del intermediario y la protección de los clientes, estableciendo responsables.
  3. Indicadores clave para monitorear el apetito al riesgo, definiendo metodología de cálculo, responsables y estableciendo umbrales y niveles de apetito al riesgo.
  4. Procedimientos de comunicación y supervisión, garantizando que la información relevante sobre la efectividad de los controles y el cumplimiento de los niveles de apetito al riesgo llegue a todas las instancias pertinentes, incluido el directorio
  5. Identificación de responsables de quienes aplican las políticas y procedimientos, describiendo sus cargos y funciones.
  6. Identificar a quienes supervisan que las políticas y procedimientos se cumplan conforme a lo establecido.
  7. Especificar a las personas responsables de autorizar excepciones en los procedimientos definidos.
  8. Monitorear y reportar el cumplimiento o incumplimiento de los procedimientos de gestión de riesgos.
  9. Describir el procedimiento mediante el cual se aprueban, revisan y actualizan los procedimientos y controles y la periodicidad de estas gestiones.

Políticas, procedimientos y controles

Los intermediarios deberán establecer y mantener políticas, procedimientos y controles operativos efectivos para sus actividades diarias, los cuales deberán estar documentados en manuales, divulgados internamente y orientados a asegurar lo siguiente:

    • Conflictos de intereses: Identificar, prevenir y monitorear conflictos entre el intermediario, empleados y clientes, asegurando un trato justo.
    • Confidencialidad: Resguardar la confidencialidad de la información relacionada con operaciones y clientes, cumpliendo con la Ley de Protección de Datos Personales.
    • Oferta de productos: Asegurar que los productos ofrecidos a los inversionistas sean adecuados a sus necesidades, expectativas y disposición al riesgo.
    • Información al inversionista: Garantizar que los clientes reciban información veraz, suficiente y oportuna sobre productos y servicios.
    • Aprobación de algoritmos: Definir procedimientos para aprobar, evaluar y controlar algoritmos, garantizando su correcto funcionamiento en favor de los clientes.
    • Garantías: Establecer la metodología para la valorización de garantías y la elegibilidad de los instrumentos a entregar.
    • Prevención de delitos financieros: Cumplir con las normativas relacionadas a la prevención del lavado de activos, terrorismo y proliferación de armas de destrucción masiva.
    • Cumplimiento normativo (Compliance): Asegurar el cumplimiento de requisitos legales y normativos, y definir procedimientos para abordar incumplimientos.
    • Gestión de consultas, reclamos y denuncias: Los intermediarios deben establecer políticas y procedimientos para gestionar consultas, denuncias y reclamos de clientes, trabajadores y el público. Esto incluye un manual que debe detallar:
      – Procedimientos para resolver consultas, incluyendo seguimiento.
      – Métodos para garantizar la confidencialidad de quien presenta un reclamo.
      – Criterios para calificar la gravedad de los reclamos y su comunicación al directorio si es relevante.
      – Identificación de las instancias encargadas de gestionar los reclamos, separadas de las áreas operativas.
      – Tiempos máximos para gestionar y responder a consultas, denuncias y reclamos.
      – Registro de las consultas, denuncias y reclamos con su resolución.
      – Análisis y propuestas para evitar la repetición de situaciones que generen reclamos.
    • Otras políticas: el intermediario deberá definir políticas y procedimientos en los siguientes ámbitos:
      – Integridad de las prácticas de negociación.
      – Protección de los activos financieros propios y de los clientes, garantizando su adecuada custodia y administración.
      – Integridad, disponibilidad y confiabilidad de la información, especialmente registros contables y otros exigidos por la normativa.
      – Análisis de riesgos al introducir nuevos productos, operaciones y actividades, garantizando la protección de los intereses de los inversionistas y mitigando el riesgo de ciberseguridad.
      – Seguridad de la información, ciberseguridad, continuidad operacional y externalización de servicios, conforme a la normativa vigente.
      – Manejo de información privilegiada.

Función de Auditoría Externa

Los intermediarios deberán contar con una función de auditoría interna, encargada de verificar el funcionamiento del sistema de control interno, la gestión de riesgos y el cumplimiento de las normativas aplicables.

Esta función debe ser independiente de las áreas operativas y de gestión de riesgos, con reporte directo al directorio. Puede ser realizada por personal interno o externalizada, y si pertenece a un grupo empresarial, debe cumplir con los requisitos establecidos. El directorio es responsable de revisar los informes de auditoría, que deben incluir el objetivo, alcance, hallazgos, medidas correctivas y plazos.

La función de auditoría interna debe contar con personal capacitado para realizar las actividades correspondientes, al menos, las siguientes actividades:

  1. Evaluar la adhesión a políticas y procedimientos relacionados al control interno.
  2. Evaluar la efectividad y cumplimiento de políticas, procedimientos y controles para proteger los activos propios y de sus clientes.
  3. Evaluar el funcionamiento de la instancia encargada de gestionar los riesgos.
  4. Verificar que la información financiera utilizada para los negocios y el control de riesgos sea confiable, completa, oportuna e íntegra.
  5. Revisar que exista una adecuada segregación de funciones dentro de la estructura organizacional.
  6. Asegurar que se cumplan las normativas legales y reglamentos internos.
  7. Supervisar que las brechas detectadas en control interno y gestión de riesgos sean corregidas oportunamente y, en caso de incumplimiento grave, informar al directorio.
  8. Contar con sistemas de información que optimicen la auditoría interna, permitiendo registrar actividades, programas y resultados de auditoría; respaldar la documentación que evidencie el desarrollo de las actividades, y realizar seguimiento del cumplimiento de compromisos y generar alertas para controlar los plazos.

Para esto se deberá desarrollar un plan de auditoría anual aprobado por el directorio, con procedimientos documentados y una metodología para garantizar la revisión de procesos relevantes de manera eficaz, e informar semestralmente al directorio sobre el desempeño de las auditorías y el cumplimiento del plan de revisión anual. Los incumplimientos graves se deben informar al directorio de inmediato.

Proporcionalidad

La normativa establece una clasificación proporcional para los intermediarios según su tamaño, volumen de negocio y riesgos:

  1. Bloque 1: Intermediarios con menor volumen de negocio.
  2. Bloque 2: Intermediarios que cumplan alguna de las siguientes condiciones:
    – Entre 500 y 5.000 clientes activos
    – Transacciones diarias entre UF 100.000 y UF 500.000,
    – Ingresos entre UF 25.000 y UF 50.000.
  3. Bloque 3: Intermediarios que cumplan alguna de las siguientes condiciones:
    – Más de 5.000 clientes activos
    – Transacciones diarias superiores a UF 500.000 en los últimos 12 meses.
    – Activos custodiados promedio diarios en los últimos 12 meses mayor a UF 0.
    – Ingresos en los últimos 12 meses mayores a UF 50.000.

Los intermediarios podrán adaptar las disposiciones de la Normativa dependiendo de su clasificación. De esta forma, los que clasifiquen en el Bloque 1 y Bloque 2 podrán desarrollar la función de gestión de riesgos por una persona o unidad interna, y la función de auditoría interna por una persona o unidad interna o por un tercero externo; mientras que los del Bloque 3 deberán desarrollar ambas funciones a través de una unidad interna.

Sin perjuicio de lo anterior, la CMF podrá exigir la creación de unidades internas en los Bloques 1 y 2 si la calidad de su gestión lo requiere.

Evaluación de la calidad de la Gestión de Riesgos

La CMF evaluará cómo el directorio y el sistema de gestión de riesgos cumplen con las normativas aplicables, incluyendo la Norma N°510 sobre gestión de riesgo operacional. Si es necesario, informará al intermediario sobre los resultados de la evaluación, recomendando medidas para mejorar la gobernanza y el sistema de gestión de riesgos.

Vigencia

Las instrucciones establecidas en la Norma de Carácter General N° 528 rigen a contar del 1 de julio de 2025, excepto los párrafos 2 y 3 de la sección V.3 y el párrafo 1 de la sección VI, que entrarán en vigencia a partir del 1 de julio de 2027.

Para más información:

Revisa aquí las disposiciones de la CMF en la la NCG N°528: 

https://www.cmfchile.cl/normativa/ncg_528_2024.pdf

 

 

CMF TAMBIÉN DICTA NCG N°529 SOBRE OBLIGACIONES DE GESTIÓN DE RIESGO OPERACIONAL PARA INTERMEDIARIOS

Cabe destacar que, también el 27 de diciembre de diciembre de 2024, la CMF dio a conocer la  Norma de Carácter General N°529, que modifica la Norma de Carácter General N°510 que imparte instrucciones sobre gestión de riesgo operacional para Administradoras Generales de Fondos, Bolsas de Valores, Bolsas de Productos, Intermediarios de Valores, Corredores de Bolsas de Productos, Sociedades Administradoras de Sistemas de Compensación y Liquidación de Instrumentos Financieros y Entidades de Depósito y Custodia de Valores.

La gestión del riesgo operacional implica identificar y mitigar riesgos derivados de deficiencias en sistemas, procesos, personal o eventos externos que puedan interrumpir los servicios de una empresa, afectando su estabilidad financiera. Por esto, estas deben ser capaces de continuar sus operaciones frente a eventos disruptivos gestionando el riesgo operacional a través de políticas, procedimientos, controles y sistemas adecuados a sus operaciones.

Las políticas de gestión de riesgo operacional deben ser formalmente establecidas, documentadas e incluir áreas clave como seguridad de la información, continuidad de negocio y externalización de servicios. Además, deben ser aprobadas por el directorio y difundidas a todo el personal, definiendo el apetito por riesgo y estableciendo controles mitigantes. La entidad debe contar con indicadores de medición del riesgo y recursos adecuados para su gestión, con responsabilidad clara sobre los procesos y objetivos establecidos.

* Para conocer las modificaciones que introduce la NCG N°529 a la NCG N° 510, revisa aquí: https://www.cmfchile.cl/normativa/ncg_529_2024.pdf

Medir la G de ESG con G-Metrix

Bajo este contexto, el diagnóstico inicial de la gobernanza toma un rol fundamental para establecer las brechas y generar planes de acción necesarios para solucionarlas.  

A través de G-Metrix podrás medir cada uno de los lineamientos que ha establecido el Foro Económico Mundial como base para un buen gobierno corporativo. Así, las empresas podrán recolectar y revisar la evidencia de sus prácticas corporativas, visibilizando si se están llevando a cabo o, por el contrario, no se están cumpliendo.  

¿Cómo funciona G-Metrix?

  • Tú y tu equipo deben contestar un formulario.
  • Adjuntan la evidencia requerida, que demuestra las respuestas declaradas en el cuestionario.
  • El equipo de BH Compliance revisará el formulario y la evidencia recopilada, levantando así un diagnóstico. 

De esta manera, podrás medir año a año las métricas para ir midiendo tus avances en materia de gobernanza, establecer las metas deseadas, para luego planificar y ejecutar un plan de mediano y largo plazo que permita fortalecer el gobierno corporativo de la empresa.  

Conoce G-Metrix

Suscríbase a nuestro
Newsletter

Descargas

Descargar

Reglamento interno BH Compliance

Membresías​

fiba-logo-membership
ccs-logo-membership
miamidade-logo-membership
logo
FBC-Signature
logo amcham
logo ICGN
logo icare

BH Compliance mide la efectividad de las prácticas de compliance y buena gobernanza, permitiendo a las empresas evaluar y verificar la eficacia de sus políticas y procedimientos internos, además de facilitar la detección temprana de posibles brechas para corregirlas a tiempo.

Nuestras Oficinas

SUDAMÉRICA

(OFICINA EN CHILE)
Av. Presidente Riesco 5561. Piso 9
Las Condes, Santiago de Chile

NORTE AMÉRICA

(OFICINA EN MIAMI)
Causeway Square, 1801 Northeast 123rd Street, Suite 314
North Miami, FL 33181

Copyright © Todos los derechos reservados.

Producido por Webit Studios