La C.C.A.F. deberá establecer un sistema integral de gestión del riesgo de fraude que contemple, al menos, las siguientes fases críticas: prevención, detección, respuesta y reporte. Este sistema deberá estar alineado con los sistemas de gestión de riesgos ya implementados y deberá considerar el uso de herramientas tecnológicas adecuadas, basadas en ciencia de datos, para su identificación y mitigación.

Además, el sistema complementará la evaluación de los riesgos operacionales y sus definiciones, para así identificar las áreas más vulnerables dentro de los procesos, líneas de negocio y áreas organizacionales de la entidad, que puedan ser afectadas por el riesgo de fraude.

El enfoque adoptado por la C.C.A.F. podrá estar basado en el uso de estándares internacionales o hacer referencia a alguno de ellos, considerando las buenas prácticas existentes, y garantizando una gestión estructurada y proactiva del riesgo de fraude. Esto implica la evaluación continua de los riesgos, la implementación de controles específicos y el uso de análisis de datos para la detección temprana de patrones sospechosos, así como la respuesta oportuna y el seguimiento de cualquier fraude detectado o materializado.

1. Rol del Directorio

   El Directorio de la C.C.A.F. tiene la responsabilidad principal de asegurar la implementación efectiva del sistema de gestión del riesgo de fraude. Este sistema podrá estar alineado y complementado con el Modelo de Prevención de Delitos establecido, considerando la relación entre fraudes y delitos como el lavado y blanqueo de activos.

   Dentro de sus funciones más relevantes se encuentran las siguientes:

   1. Aprobación de la Política de Gestión del Riesgo de Fraude: El Directorio debe aprobar una política clara y detallada que establezca las directrices para la prevención, detección y respuesta ante fraudes. Esta política de gestión del Riesgo de Fraude debe estar alineada con las normativas vigentes y los estándares internacionales de buenas prácticas.
   2. Revisión periódica de la Política de Gestión del Riesgo de Fraude: El Directorio debe revisar anualmente la Política de Gestión de Riesgo de Fraude, adecuándose a los escenarios cambiantes de este tipo de riesgo.
   3. Asignación de Recursos: El Directorio debe garantizar la asignación adecuada de recursos financieros, tecnológicos y humanos para la implementación y mantenimiento del sistema de gestión del riesgo de fraude, asegurando que estos recursos sean suficientes para cubrir los procesos y líneas de negocio de la organización.
   4. Supervisión y Monitoreo del Sistema de Gestión de Riesgo de Fraude: El Directorio debe supervisar y monitorear la efectividad del sistema de gestión del riesgo de fraude. Esto incluye la revisión periódica de informes de riesgo de fraude, de las auditorías realizadas, KPI's (Key Performance Indicators - son indicadores clave de desempeño que se utilizan para medir la eficacia de las acciones y controles implementados en la gestión del riesgo de fraude), KRI´s (Key Risk Indicators - son indicadores clave de riesgo que señalan posibles riesgos futuros, permitiendo la identificación temprana de amenazas potenciales de fraude) y KCI (Key Control Indicators - que son indicadores que miden la efectividad de los controles), la evaluación de la eficacia de los controles implementados, y la toma de decisiones sobre mejoras necesarias en el sistema. Esta gestión de supervisión y monitoreo de fraude, deberá complementar la gestión del Riesgo Operacional.
   5. Promoción de la Cultura Antifraude: El Directorio tiene la responsabilidad de promover una cultura organizacional basada en la ética, fomentando la transparencia en todas las operaciones de la entidad. Esto incluye la implementación de programas de capacitación y concientización para todos los niveles de la organización.
   6. Establecimiento de Canales de Denuncia: El Directorio debe garantizar la existencia de uno o más canales de denuncia, con la posibilidad de ser anónimos, seguros y confidenciales que permitan a los empleados, afiliados y otros a reportar actividades fraudulentas.

2. Rol de la Administración

   La Administración de la C.C.A.F. es responsable de la ejecución diaria del sistema de gestión del riesgo de fraude, asegurando que las políticas y directrices aprobadas por el Directorio se implementen de manera efectiva. Dentro de sus funciones más relevantes se encuentran las siguientes:

   1. Implementación de la Política de Gestión del Riesgo de Fraude: La Administración debe desarrollar e implementar procedimientos específicos para aplicar la política de gestión del riesgo de fraude en todas las áreas operativas, con flexibilidad en la metodología que adopte.

      Esto incluye la creación de controles preventivos, mecanismos de detección y protocolos de respuesta.

   2. Evaluación Continua del Riesgo de Fraude: La Administración debe llevar a cabo evaluaciones continuas del riesgo de fraude en todas las líneas de negocio y procesos, identificando las áreas más vulnerables y adaptando los controles según sea necesario para mitigar estos riesgos, complementando la gestión y herramientas del Sistema de Gestión del Riesgo Operacional.
   3. Monitoreo y Auditoría del riesgo de Fraude: La Administración debe implementar y mantener un sistema de monitoreo continuo del riesgo de fraude y desarrollar auditorías internas para la detección de actividades sospechosas y la evaluación de la efectividad de los controles existentes dentro del sistema de gestión del riesgo de fraude. Esto incluye el uso de herramientas tecnológicas avanzadas para el análisis de datos, la detección de patrones anómalos, y la identificación temprana de riesgos emergentes.
   4. Gestión de Incidentes de Fraude: La Administración es responsable de gestionar los incidentes de fraude que se detecten, incluyendo la recolección de antecedentes, la coordinación de investigaciones internas y externas, su reporte y denuncia, así como la implementación de medidas correctivas.
   5. Capacitación y Concientización en el riesgo de Fraude: La Administración debe asegurar que todos los empleados reciban capacitación regular sobre materias antifraude, las mejores prácticas y los procedimientos de denuncia, promoviendo así una cultura de prevención del fraude en toda la organización.
   6. Informe de autoevaluación sobre la Gestión del Riesgo de Fraude: Anualmente, la Administración deberá presentar al Directorio un informe detallado de la gestión realizada, incluyendo las auditorías realizadas, y las recomendaciones de mejora, garantizando que el sistema evolucione y se fortalezca constantemente en respuesta a los nuevos desafíos. Este informe deberá ser remitido a esta Superintendencia en el mes de abril de cada año.